Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32019R0816

Europaparlamentets och rådets förordning (EU) 2019/816 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726

PE/88/2018/REV/1

EUT L 135, 22.5.2019, p. 1–26 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 03/08/2021

ELI: http://data.europa.eu/eli/reg/2019/816/oj

22.5.2019   

SV

Europeiska unionens officiella tidning

L 135/1


EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2019/816

av den 17 april 2019

om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 82.1 andra stycket d,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

i enlighet med det ordinarie lagstiftningsförfarandet (1), och

av följande skäl:

(1)

Unionen har satt som mål att erbjuda sina medborgare ett område med frihet, säkerhet och rättvisa utan inre gränser, där den fria rörligheten för personer säkerställs. Detta mål bör uppnås bland annat genom lämpliga åtgärder för att förebygga och bekämpa brottslighet, däribland organiserad brottslighet och terrorism.

(2)

Detta mål förutsätter att uppgifter om fällande domar som meddelats i en medlemsstat beaktas utanför den dömande medlemsstaten, i samband med nya brottmålsförfaranden, i enlighet med rådets rambeslut 2008/675/RIF (2), och för att förhindra nya brott.

(3)

Det förutsätter också utbyte av uppgifter ur kriminalregister mellan medlemsstaternas behöriga myndigheter. Sådant utbyte av uppgifter organiseras och underlättas genom bestämmelserna i rådets rambeslut 2009/315/RIF (3) och genom det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister (Ecris), som inrättats i enlighet med rådets beslut 2009/316/RIF (4).

(4)

Den befintliga rättsliga ramen för Ecris omfattar dock inte i tillräcklig utsträckning de särskilda omständigheterna när det gäller begäran om uppgifter rörande tredjelandsmedborgare. Även om det redan är möjligt att utbyta uppgifter om tredjelandsmedborgare via Ecris, finns det varken något gemensamt unionsförfarande eller någon gemensam unionsmekanism för att göra detta på ett effektivt, snabbt och korrekt sätt.

(5)

Inom unionen samlas inte uppgifter om tredjelandsmedborgare in på det sätt som medlemsstaterna gör med avseende på sina medborgare, utan de lagras endast i den medlemsstat där den fällande domen har meddelats. En samlad bild av en tredjelandsmedborgares brottshistorik kan därför säkerställas endast om sådana uppgifter begärs från samtliga medlemsstater.

(6)

Sådana generella begäranden medför en oproportionerlig administrativ börda för alla medlemsstater, inbegripet för dem som inte innehar några uppgifter om den berörda tredjelandsmedborgaren. Denna börda innebär i praktiken att medlemsstaterna avskräcks från att begära uppgifter om tredjelandsmedborgare från andra medlemsstater, vilket utgör ett allvarligt hinder för uppgiftsutbyte mellan dem och att medlemsstaterna endast har åtkomst till sådana uppgifter i kriminalregister som lagras i deras nationella register. Till följd av detta ökar risken för att utbytet av uppgifter mellan medlemsstaterna blir ineffektivt och ofullständigt, något som i sin tur påverkar nivån på den säkerhet och trygghet som tillhandahålls medborgare och personer som är bosatta i unionen.

(7)

För att förbättra situationen bör det inrättas ett system varigenom en medlemsstats centralmyndighet omedelbart och effektivt kan få reda på vilka andra medlemsstater som innehar uppgifter i kriminalregister om en tredjelandsmedborgare (nedan kallat Ecris-TCN). Den befintliga Ecris-ramen kan sedan användas för att begära uppgifter ur kriminalregister från de medlemsstaterna i enlighet med rambeslut 2009/315/RIF.

(8)

Denna förordning bör därför fastställa regler om inrättandet av ett centraliserat system på unionsnivå som innehåller personuppgifter och regler om ansvarsfördelningen mellan medlemsstaterna och den organisation som är ansvarig för utveckling och underhåll av det centraliserade systemet. Den bör också fastställa specifika dataskyddsbestämmelser som behövs för att komplettera de befintliga dataskyddsarrangemangen och sörja för en adekvat övergripande nivå av dataskydd, datasäkerhet och skydd av berörda personers grundläggande rättigheter.

(9)

Målet att erbjuda unionsmedborgare ett område med frihet, säkerhet och rättvisa utan inre gränser, där den fria rörligheten för personer säkerställs, kräver även fullständiga uppgifter om fällande domar mot unionsmedborgare som även är medborgare i ett tredjeland. Med tanke på möjligheten att dessa personer kan utge sig för att ha ett eller flera medborgarskap och att olika fällande domar kanske lagras i den dömande medlemsstaten eller i den medlemsstat där tredjelandsmedborgaren är medborgare, är det nödvändigt att unionsmedborgare som även är medborgare i ett tredjeland omfattas av denna förordnings tillämpningsområde. Att utesluta sådana personer skulle leda till att de uppgifter som lagras i Ecris-TCN är ofullständiga. Det skulle äventyra systemets tillförlitlighet. Eftersom sådana personer är unionsmedborgare bör dock de villkor enligt vilka uppgifter om fingeravtryck får föras in i Ecris-TCN vad gäller dessa personer vara jämförbara med de villkor enligt vilka uppgifter om fingeravtryck som rör unionsmedborgare utbyts mellan medlemsstater via Ecris, som inrättats genom rambeslut 2009/315/RIF och beslut 2009/316/RIF. Med avseende på unionsmedborgare som även är medborgare i ett tredjeland bör därför uppgifter om fingeravtryck endast föras in i Ecris-TCN om de har samlats in i enlighet med nationell rätt under ett brottmålsförfarande, varvid det är underförstått att medlemsstaterna i syfte att föra in sådana uppgifter bör kunna använda uppgifter om fingeravtryck som samlats in för andra ändamål än för ett brottmålsförfarande om sådan användning är tillåten enligt nationell rätt.

(10)

Ecris-TCN bör göra det möjligt att behandla uppgifter om fingeravtryck i syfte att identifiera de medlemsstater som innehar uppgifter i kriminalregister om en tredjelandsmedborgare. Det bör också göra det möjligt att behandla ansiktsbilder för att bekräfta tredjelandsmedborgarens identitet. Det är mycket viktigt att införande och användning av uppgifter om fingeravtryck och ansiktsbilder inte går utöver vad som är absolut nödvändigt för att uppfylla målet, sker med respekt för de grundläggande rättigheterna, liksom barnets bästa, och är förenligt med unionens tillämpliga dataskyddsregler.

(11)

Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (EU-Lisa), inrättad genom Europaparlamentets och rådets förordning (EU) 2018/1726 (5), bör anförtros uppgiften att utveckla och driva Ecris-TCN med tanke på dess erfarenhet av att hantera andra stora system på området rättsliga och inrikes frågor. Byråns mandat bör ändras så att det motsvarar dessa nya uppgifter.

(12)

EU-Lisa bör förses med finansiering och personal som är tillräcklig för att den ska kunna utöva sitt ansvar enligt denna förordning.

(13)

Med tanke på behovet av att skapa nära tekniska kopplingar mellan Ecris-TCN och Ecris bör EU-Lisa även anförtros uppgiften att ytterligare utveckla och underhålla Ecris referensprogramvara, och dess mandat bör ändras i enlighet med detta.

(14)

Fyra medlemsstater har utvecklat en egen nationell programvara för genomförande av Ecris i enlighet med beslut 2009/316/RIF och har använt den i stället för Ecris referensprogramvara för att utbyta uppgifter ur kriminalregister. Med tanke på de särskilda inslag som dessa medlemsstater har infört i sina system för nationellt bruk samt de investeringar som de har gjort, bör de tillåtas att använda sin nationella programvara för genomförande av Ecris också avseende Ecris-TCN, förutsatt att villkoren i denna förordning uppfylls.

(15)

Ecris-TCN bör endast innehålla identitetsuppgifter om tredjelandsmedborgare som har dömts av en brottmålsdomstol inom unionen. Sådana identitetsuppgifter bör omfatta alfanumeriska uppgifter och uppgifter om fingeravtryck. Det bör också vara möjligt att föra in ansiktsbilder i den mån rätten i den medlemsstat där en fällande dom har meddelats tillåter att en dömd persons ansiktsbilder samlas in och lagras.

(16)

De alfanumeriska uppgifter som medlemsstaterna ska föra in i det centrala systemet bör omfatta den dömda personens efternamn, förnamn samt, i de fall sådana uppgifter är tillgängliga för centralmyndigheten, personens eventuella pseudonymer eller alias. Om den berörda medlemsstaten har kännedom om avvikande personuppgifter, som en annorlunda stavning av ett namn med ett annat alfabet, bör det vara möjligt att föra in sådana uppgifter i det centrala systemet som tilläggsuppgifter.

(17)

De alfanumeriska uppgifterna bör även omfatta, i form av tilläggsuppgifter, id-nummer eller typ av och nummer på personens identitetshandlingar, samt namnet på den myndighet som utfärdat de handlingarna, om denna information är tillgänglig för centralmyndigheten. Medlemsstaten bör försöka kontrollera att identitetshandlingarna är äkta innan den för in den relevanta informationen i det centrala systemet. I alla händelser bör sådan information användas med försiktighet eftersom den kan vara otillförlitlig.

(18)

Centralmyndigheterna bör använda Ecris-TCN för att identifiera de medlemsstater som innehar uppgifter i kriminalregister om en tredjelandsmedborgare när begäran om uppgifter ur kriminalregister om den personen görs i den berörda medlemsstaten inom ramen för ett brottmålsförfarande mot denna person, för de ändamål som avses i denna förordning. Ecris-TCN bör i princip användas i alla sådana fall, men den myndighet som ansvarar för att driva brottmålsförfaranden bör kunna besluta att Ecris-TCN inte bör användas när detta inte skulle vara lämpligt med tanke på omständigheterna i fallet, t.ex. i vissa typer av brådskande brottmålsförfaranden, i fall av transitering, om uppgifter ur kriminalregister nyligen har erhållits via Ecris, eller om de avser ringa brott, särskilt ringa trafikbrott, överträdelser av allmänna kommunala föreskrifter och ringa brott mot allmän ordning.

(19)

Medlemsstaterna bör också kunna använda Ecris-TCN för andra ändamål än de som anges i denna förordning, om de föreskrivs i och i enlighet med nationell rätt. För att öka öppenheten när det gäller användningen av Ecris-TCN bör medlemsstaterna dock underrätta kommissionen om sådana andra ändamål och kommissionen bör säkerställa att samtliga underrättelser offentliggörs i Europeiska unionens officiella tidning.

(20)

Det bör också vara möjligt för andra myndigheter som begär uppgifter ur kriminalregister att besluta att Ecris-TCN inte bör användas när detta inte skulle vara lämpligt med tanke på omständigheterna i fallet, t.ex. när vissa administrativa standardkontroller behöver göras vad gäller en persons yrkeskvalifikationer, i synnerhet om det är känt att begäran om uppgifter ur kriminalregister inte kommer att begäras från andra medlemsstater, oavsett resultatet av sökningen i Ecris-TCN. Ecris-TCN bör dock alltid användas när begäran om uppgifter ur kriminalregister har inletts av en person som frågar om uppgifter om sig själv i kriminalregistret i enlighet med rambeslut 2009/315/RIF, eller när begäran görs i syfte att erhålla uppgifter ur kriminalregister i enlighet med Europaparlamentets och rådets direktiv 2011/93/EU (6).

(21)

Tredjelandsmedborgare bör ha rätt att få skriftlig information om sina egna uppgifter ur kriminalregistret i enlighet med lagen i den medlemsstat där de begär sådana uppgifter, och i enlighet med rambeslut 2009/315/RIF. Innan den berörda medlemsstaten lämnar ut sådana uppgifter till en tredjelandsmedborgare, bör den göra en sökning i Ecris-TCN.

(22)

Unionsmedborgare som även är medborgare i ett tredjeland kommer endast föras in i Ecris-TCN om de behöriga myndigheterna känner till att dessa personer är medborgare i ett tredjeland. I fall då de behöriga myndigheterna inte känner till att unionsmedborgare även är medborgare i ett tredjeland är det dock möjligt att sådana personer har tidigare fällande domar i egenskap av tredjelandsmedborgare. För att säkerställa att de behöriga myndigheterna har en fullständig överblick över kriminalregistret bör det vara möjligt att söka i Ecris-TCN med avseende på en unionsmedborgare för att kontrollera huruvida någon medlemsstat innehar uppgifter i kriminalregister om denna person i egenskap av tredjelandsmedborgare.

(23)

Om det råder överensstämmelse mellan uppgifterna i det centrala systemet och de uppgifter som en medlemsstat använder för sökning (träff), bör de identitetsuppgifter mot vilka en ”träff” registrerades tillhandahållas tillsammans med träffen. Resultatet av en sökning bör, vad gäller centralmyndigheterna, endast användas för att göra en begäran via Ecris eller, vad gäller Europeiska unionens byrå för straffrättsligt samarbete (Eurojust), som inrättats genom Europaparlamentets och rådets förordning (EU) 2018/1727 (7), Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol), som inrättats genom Europaparlamentets och rådets förordning (EU) 2016/794 (8), och Europeiska åklagarmyndigheten, som inrättats genom rådets förordning (EU) 2017/1939 (9), endast för att begära uppgifter om fällande domar enligt denna förordning.

(24)

I första hand bör ansiktsbilder som ingår i Ecris-TCN endast användas för ändamålet att bekräfta en tredjelandsmedborgares identitet i syfte att identifiera de medlemsstater som innehar information om tidigare fällande domar mot den tredjelandsmedborgaren. I framtiden bör det vara möjligt att använda ansiktsbilder för automatiserad biometrisk matchning, förutsatt att de tekniska och politiska kraven är uppfyllda. Kommissionen bör, med hänsyn till behov och proportionalitet samt den tekniska utvecklingen i fråga om programvara för ansiktsigenkänning, bedöma huruvida den teknik som krävs finns tillgänglig och är klar att tas i bruk innan den antar en delegerad akt om användning av ansiktsbilder för identifiering av tredjelandsmedborgare för att identifiera vilka medlemsstater som innehar information om tidigare fällande domar som gäller dessa personer.

(25)

Det är nödvändigt att använda biometriska uppgifter eftersom det är den mest tillförlitliga metoden för att identifiera tredjelandsmedborgare inom medlemsstaternas territorium, som ofta inte innehar handlingar eller någon annan form av identifiering, samt för en tillförlitligare matchning av uppgifterna om tredjelandsmedborgare.

(26)

Medlemsstaterna bör i det centrala systemet föra in dömda tredjelandsmedborgares uppgifter om fingeravtryck som har samlats in i enlighet med nationell rätt under ett brottmålsförfarande. För att identitetsuppgifterna i det centrala systemet ska vara så fullständiga som möjligt bör medlemsstaterna också ha möjlighet att i det centrala systemet föra in uppgifter om fingeravtryck som har samlats in för andra ändamål än för brottmålsförfaranden, om dessa uppgifter om fingeravtryck är tillgängliga för att användas under ett brottmålsförfarande i enlighet med nationell rätt.

(27)

Denna förordning bör fastställa minimikriterier vad gäller de uppgifter om fingeravtryck som medlemsstaterna bör föra in i det centrala systemet. Medlemsstaterna bör kunna välja mellan att föra in antingen uppgifter om fingeravtryck för tredjelandsmedborgare som har dömts till ett fängelsestraff på minst sex månader eller uppgifter om fingeravtryck för tredjelandsmedborgare som har dömts för ett brott som enligt den berörda medlemsstatens rätt är belagt med ett maximalt fängelsestraff på minst tolv månader.

(28)

Medlemsstaterna bör skapa poster i Ecris-TCN för dömda tredjelandsmedborgare. Detta bör, om möjligt, ske automatiskt och utan onödigt dröjsmål efter det att den fällande domen registrerades i det nationella kriminalregistret. Medlemsstaterna bör, i enlighet med denna förordning, i det centrala systemet föra in alfanumeriska uppgifter och uppgifter om fingeravtryck som rör fällande domar som meddelats efter den dag då uppgifter ska börja föras in i Ecris-TCN. Från och med samma dag, och när som helst därefter, bör medlemsstaterna kunna föra in ansiktsbilder i det centrala systemet.

(29)

Medlemsstaterna bör också, i enlighet med denna förordning, skapa poster i Ecris-TCN för tredjelandsmedborgare som har dömts före den dag då uppgifter ska börja föras in i syfte att säkerställa största möjliga ändamålsenlighet i systemet. För detta ändamål bör medlemsstaterna dock inte vara skyldiga att samla in information som inte redan fanns i deras kriminalregister före den dag då uppgifter ska börja föras. Tredjelandsmedborgares uppgifter om fingeravtryck som samlats in i samband med sådana tidigare fällande domar bör inkluderas endast om de har samlats in under ett brottmålsförfarande och om den berörda medlemsstaten anser att de tydligt överensstämmer med andra identitetsuppgifter i kriminalregister.

(30)

Bättre utbyte av uppgifter om fällande domar bör hjälpa medlemsstaterna att genomföra rambeslut 2008/675/RIF, som ålägger medlemsstaterna att beakta tidigare fällande domar i andra medlemsstater vid nya brottmålsförfaranden, i den utsträckning tidigare nationella fällande domar beaktas enligt nationell rätt.

(31)

En träff i Ecris-TCN bör inte i sig uppfattas så att den berörda tredjelandsmedborgaren har dömts i de angivna medlemsstaterna. Förekomsten av tidigare fällande domar bör endast bekräftas på grundval av uppgifter från kriminalregistren i de berörda medlemsstaterna.

(32)

Trots möjligheten att använda unionens finansieringsprogram i enlighet med tillämpliga regler bör varje medlemsstat bära sina egna kostnader för genomförande, förvaltning, användning och underhåll av datoriserade kriminalregister och nationella fingeravtrycksdatabaser och för genomförande, förvaltning, användning och underhåll av de tekniska anpassningar som behövs för att kunna använda Ecris-TCN, inbegripet deras anslutning till den nationella centrala åtkomstpunkten.

(33)

Eurojust, Europol och Europeiska åklagarmyndigheten bör ha åtkomst till Ecris-TCN i syfte att identifiera de medlemsstater som innehar uppgifter i kriminalregister om en tredjelandsmedborgare i syfte att stödja deras lagstadgade uppgifter. Eurojust bör även ha direkt åtkomst till Ecris-TCN för utförandet av sin uppgift enligt denna förordning att fungera som kontaktpunkt för tredjeländer och internationella organisationer, utan att det påverkar tillämpningen av principen om straffrättsligt samarbete, inbegripet reglerna om ömsesidig rättslig hjälp. Även om ståndpunkten bland de medlemsstater som inte deltar i förfarandet för fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten bör beaktas, bör Europeiska åklagarmyndigheten inte nekas åtkomst till uppgifter om fällande domar av det enda skälet att den berörda medlemsstaten inte deltar i det fördjupade samarbetet.

(34)

I denna förordning fastställs strikta regler för åtkomst till Ecris-TCN och nödvändiga skyddsåtgärder, inbegripet medlemsstaternas ansvar när det gäller att samla in och använda uppgifter. I förordningen fastställs även hur enskilda kan utöva sin rätt till ersättning, åtkomst, rättelse, radering och prövning, särskilt rätten till ett effektivt rättsmedel och oberoende offentliga myndigheters övervakning av behandlingen. Den är därför förenlig med de grundläggande rättigheter och friheter som stadfästs särskilt i Europeiska unionens stadga om de grundläggande rättigheterna, inklusive rätten till skydd av personuppgifter och principen om likhet inför lagen och det allmänna förbudet mot diskriminering. I detta avseende beaktar den också europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, den internationella konventionen om medborgerliga och politiska rättigheter och andra skyldigheter på området för mänskliga rättigheter enligt internationell rätt.

(35)

Europaparlamentets och rådets direktiv (EU) 2016/680 (10) bör tillämpas på behandling av personuppgifter som utförs av behöriga nationella myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Europaparlamentets och rådets förordning (EU) 2016/679 (11) bör tillämpas på nationella myndigheters behandling av personuppgifter när sådan behandling inte omfattas av direktiv (EU) 2016/680. En samordnad tillsyn bör säkerställas i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725 (12) som även bör vara tillämplig på EU-Lisas behandling av personuppgifter.

(36)

När det gäller tidigare fällande domar bör centralmyndigheterna föra in alfanumeriska uppgifter senast vid utgången av perioden för införande av uppgifter enligt denna förordning och uppgifter om fingeravtryck inom två år från den dag då Ecris-TCN tas i drift. Medlemsstaterna bör kunna föra in alla uppgifter samtidigt, förutsatt att dessa tidsfrister respekteras.

(37)

Det bör fastställas regler om medlemsstaternas, Eurojusts, Europols, Europeiska åklagarmyndighetens och EU-Lisas ansvar när det gäller skada på grund av överträdelse av denna förordning.

(38)

I syfte att förbättra identifieringen av de medlemsstater som innehar uppgifter om tidigare fällande domar mot tredjelandsmedborgare, bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) delegeras till kommissionen när det gäller att komplettera denna förordning genom att föreskriva användning av ansiktsbilder för identifiering av tredjelandsmedborgare i syfte att identifiera de medlemsstater som innehar uppgifter om tidigare fällande domar. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inbegripet på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (13). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(39)

För att säkerställa enhetliga villkor för inrättande och operativ förvaltning av Ecris-TCN bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (14).

(40)

Medlemsstaterna bör vidta de åtgärder som är nödvändiga för att följa denna förordning så snart som möjligt och därmed säkerställa att Ecris-TCN fungerar väl, med beaktande av den tid som EU-Lisa behöver för att utveckla och genomföra Ecris-TCN. Medlemsstaterna bör dock ha minst 36 månader efter denna förordnings ikraftträdande till att vidta åtgärder för att följa denna förordning.

(41)

Eftersom målet för denna förordning, nämligen att möjliggöra ett snabbt och effektivt utbyte av riktiga uppgifter ur kriminalregister om tredjelandsmedborgare, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, genom införande av gemensamma regler, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU-fördraget). I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(42)

I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget, deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark.

(43)

I enlighet med artiklarna 1, 2 och 4a.1 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget, och utan att det påverkar tillämpningen av artikel 4 i det protokollet, deltar Irland inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Irland.

(44)

I enlighet med artiklarna 3 och 4a.1 i protokoll nr 21, har Förenade kungariket meddelat att det önskar delta i antagandet och tillämpningen av denna förordning.

(45)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 (15) och avgav ett yttrande den 12 december 2017 (16).

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Syfte

Denna förordning fastställer

a)

ett system för att identifiera de medlemsstater som innehar uppgifter om tidigare fällande domar mot tredjelandsmedborgare (nedan kallat Ecris-TCN),

b)

de villkor enligt vilka Ecris-TCN ska användas av centralmyndigheterna i syfte att få uppgifter om sådana tidigare fällande domar via det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister (Ecris), som inrättats genom beslut 2009/316/RIF, samt de villkor enligt vilka Eurojust, Europol och Europeiska åklagarmyndigheten ska använda Ecris-TCN.

Artikel 2

Tillämpningsområde

Denna förordning ska tillämpas på behandlingen av identitetsuppgifter om tredjelandsmedborgare som har varit föremål för fällande domar i medlemsstaterna, för ändamålet att identifiera den eller de medlemsstater där dessa domar har meddelats. Med undantag för artikel 5.1 b ii är de bestämmelser i denna förordning som är tillämpliga på tredjelandsmedborgare även tillämpliga på unionsmedborgare som även är medborgare i ett tredjeland och som har varit föremål för fällande domar i medlemsstaterna.

Artikel 3

Definitioner

I denna förordning avses med

1.    fällande dom : ett lagakraftvunnet avgörande av en brottmålsdomstol mot en fysisk person med avseende på ett brott, om detta avgörande registreras i den dömande medlemsstatens kriminalregister,

2.    brottmålsförfarande : förundersökningsskedet, själva rättegången och verkställigheten av domen,

3.    kriminalregister : det eller de nationella registren för registrering av fällande domar i enlighet med nationell rätt,

4.    dömande medlemsstat : den medlemsstat där en fällande dom har meddelats,

5.    centralmyndighet : en myndighet som utsetts i enlighet med artikel 3.1 i rambeslut 2009/315/RIF,

6.    behöriga myndigheter : centralmyndigheterna och Eurojust, Europol och Europeiska åklagarmyndigheten, som är behöriga att få åtkomst till eller göra sökningar i Ecris-TCN i enlighet med denna förordning,

7.    tredjelandsmedborgare : en person som inte är unionsmedborgare i den mening som avses i artikel 20.1 i EUF-fördraget eller som är en statslös person eller en person vars medborgarskap är okänt,

8.    det centrala systemet : den eller de databaser som utvecklas och underhålls av EU-Lisa och som innehåller identitetsuppgifter om tredjelandsmedborgare som har varit föremål för fällande domar i medlemsstaterna,

9.    gränssnittsprogram : den programvara finns hos de behöriga myndigheterna genom vilken de kan få åtkomst till det centrala systemet via den kommunikationsinfrastruktur som avses i artikel 4.1 d,

10.    identitetsuppgifter : alfanumeriska uppgifter, uppgifter om fingeravtryck och ansiktsbilder som används för att fastställa en koppling mellan dessa uppgifter och en fysisk person,

11.    alfanumeriska uppgifter : uppgifter som återges med bokstäver, siffror, specialtecken, mellanslag och skiljetecken,

12.    uppgifter om fingeravtryck : uppgifter om platta och rullade fingeravtryck av en persons alla fingrar,

13.    ansiktsbild : en digital avbildning av en persons ansikte,

14.    träff : en eller flera överensstämmelser som kan konstateras genom en jämförelse mellan identitetsuppgifter registrerade i det centrala systemet och de identitetsuppgifter som används för en sökning,

15.    nationell central åtkomstpunkt : den nationella anslutningspunkt till kommunikationsinfrastrukturen som anges i artikel 4.1 d,

16.    Ecris referensprogramvara : den programvara som utvecklats av kommissionen och som ställts till medlemsstaternas förfogande för utbyte av uppgifter ur kriminalregister via Ecris,

17.    nationell tillsynsmyndighet : en oberoende offentlig myndighet som har utsetts av en medlemsstat enligt unionens tillämpliga dataskyddsregler,

18.    tillsynsmyndigheter : Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna.

Artikel 4

Ecris-TCN:s tekniska utformning

1.   Ecris-TCN ska bestå av

a)

ett centralt system i vilket identitetsuppgifter om dömda tredjelandsmedborgare lagras,

b)

en nationell central åtkomstpunkt i varje medlemsstat,

c)

gränssnittsprogram som gör det möjligt att ansluta de behöriga myndigheterna till det centrala systemet via de nationella centrala åtkomstpunkterna och den kommunikationsinfrastruktur som avses i led d,

d)

en kommunikationsinfrastruktur mellan det centrala systemet och de nationella centrala åtkomstpunkterna.

2.   Det centrala systemet ska hysas av EU-Lisas tekniska driftställen.

3.   Gränssnittsprogrammet ska integreras med Ecris referensprogramvara. Medlemsstaterna ska använda Ecris referensprogramvara eller, i den situation och på de villkor som fastställs i punkterna 4–8, den nationella programvaran för genomförande av Ecris, för att göra sökningar i Ecris-TCN samt för att skicka påföljande begäranden om uppgifter ur kriminalregister.

4.   De medlemsstater som använder sin nationella programvara för genomförande av Ecris ska ansvara för att säkerställa att deras nationella programvara för genomförande av Ecris tillåter deras nationella kriminalregistermyndigheter att använda Ecris-TCN, med undantag för gränssnittsprogrammet, i enlighet med denna förordning. I detta syfte ska de innan den dag då Ecris-TCN tas i drift i enlighet med artikel 35.4 säkerställa att deras nationella programvara för genomförande av Ecris fungerar i enlighet med de protokoll och tekniska specifikationer som fastställs i de genomförandeakter som avses i artikel 10 och med eventuella ytterligare tekniska krav som EU-Lisa fastställer enligt denna förordning och som är baserade på de genomförandeakterna.

5.   Så länge de inte använder Ecris referensprogramvara ska medlemsstater som använder sin nationella programvara för genomförande av Ecris utan onödigt dröjsmål även säkerställa genomförandet av eventuella efterföljande tekniska anpassningar av den nationella programvaran för genomförande av Ecris som är nödvändiga till följd av ändringar av de tekniska specifikationer som fastställts i de genomförandeakter som avses i artikel 10 eller till följd av ändringar av eventuella ytterligare tekniska krav som EU-Lisa fastställer enligt denna förordning och som är baserade på de genomförandeakterna.

6.   De medlemsstater som använder sin nationella programvara för genomförande av Ecris ska bära samtliga kostnader för genomförande, underhåll och vidareutveckling av denna nationella programvara för genomförande av Ecris och för sammankopplingen av den med Ecris-TCN, med undantag för gränssnittsprogrammet.

7.   Om en medlemsstat som använder sin nationella programvara för genomförande av Ecris inte kan uppfylla sina skyldigheter enligt denna artikel är den skyldig att använda Ecris referensprogramvara, inklusive det integrerade gränssnittsprogrammet, för användningen av Ecris-TCN.

8.   Inför den utvärdering som kommissionen ska göra enligt artikel 36.10 b ska de berörda medlemsstaterna tillhandahålla kommissionen all nödvändig information.

KAPITEL II

Centralmyndigheternas införande och användning av uppgifter

Artikel 5

Införande av uppgifter i Ecris-TCN

1.   För varje dömd tredjelandsmedborgare ska den dömande medlemsstatens centralmyndighet skapa en uppgiftspost i det centrala systemet. Uppgiftsposten ska innehålla

a)

vad gäller alfanumeriska uppgifter:

i)

uppgifter som ska inkluderas såvida de inte i enskilda fall är okända för centralmyndigheten (obligatoriska uppgifter):

Efternamn.

Förnamn.

Födelsedatum.

Födelseort (ort och land).

Medborgarskap (ett eller flera).

Kön.

Tidigare namn (i förekommande fall).

Den dömande medlemsstatens kod.

ii)

uppgifter som ska inkluderas om de har förts in i kriminalregistret (valfria uppgifter):

Föräldrarnas namn.

iii)

uppgifter som ska inkluderas om de är tillgängliga för centralmyndigheten (tilläggsuppgifter):

Id-nummer eller typ av och nummer på personens identitetshandlingar, samt namn på den utfärdande myndigheten.

Pseudonym eller alias.

b)

vad gäller uppgifter om fingeravtryck:

i)

Uppgifter om fingeravtryck som har samlats in i enlighet med nationell rätt under ett brottmålsförfarande.

ii)

Åtminstone uppgifter om fingeravtryck på grundval av något av följande kriterier:

tredjelandsmedborgaren har dömts till ett fängelsestraff på minst sex månader,

eller

tredjelandsmedborgaren har dömts för ett brott som enligt medlemsstatens rätt är belagt med ett maximalt fängelsestraff på minst tolv månader.

2.   De uppgifter om fingeravtryck som avses i punkt 1 b i den här artikeln ska följa de tekniska specifikationer för kvalitet, bildupplösning och behandling av uppgifter om fingeravtryck som föreskrivs i den genomförandeakt som avses i artikel 10.1 b. Referensnumret för uppgifterna om den dömda personens fingeravtryck ska inbegripa den dömande medlemsstatens kod.

3.   Uppgiftsposten får också innehålla ansiktsbilder av den dömda tredjelandsmedborgaren om rätt den dömande medlemsstatens rätt tillåter att dömda personers ansiktsbilder samlas in och lagras.

4.   Den dömande medlemsstaten ska skapa uppgiftsposten automatiskt när så är möjligt och utan onödigt dröjsmål efter det att den fällande domen har förts in i kriminalregistret.

5.   De dömande medlemsstaterna ska även skapa uppgiftsposter för fällande domar som meddelats före den dag då uppgifter ska börja föras in i enlighet med artikel 35.1 i den mån uppgifter om dömda personer lagras i deras nationella databaser. I sådana fall ska uppgifter om fingeravtryck inkluderas endast om de har samlats in under ett brottmålsförfarande i enlighet med nationell rätt och om de tydligt överensstämmer med andra identitetsuppgifter i kriminalregister.

6.   För att uppfylla de skyldigheter som anges i punkt 1 b i och ii samt i punkt 5 får medlemsstaterna använda uppgifter om fingeravtryck som har samlats in för andra ändamål än brottmålsförfaranden, om sådan användning är tillåten enligt nationell rätt.

Artikel 6

Ansiktsbilder

1.   Fram till ikraftträdandet av den delegerade akt som föreskrivs i punkt 2 får ansiktsbilder endast användas för att bekräfta identiteten hos en tredjelandsmedborgare som har identifierats som ett resultat av en alfanumerisk sökning eller en sökning med hjälp av uppgifter om fingeravtryck.

2.   Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 37 för att komplettera denna förordning när det gäller användning av ansiktsbilder för identifiering av tredjelandsmedborgare i syfte att identifiera vilka medlemsstater som innehar information om tidigare fällande domar mot sådana personer när detta blir tekniskt möjligt. Innan kommissionen utövar denna befogenhet ska den, med beaktande av behov och proportionalitet samt den tekniska utvecklingen i fråga om programvara för ansiktsigenkänning, bedöma huruvida den teknik som krävs finns tillgänglig och är klar att tas i bruk.

Artikel 7

Användning av Ecris-TCN för att identifiera de medlemsstater som innehar uppgifter i kriminalregister

1.   Centralmyndigheterna ska använda Ecris-TCN för att identifiera de medlemsstater som innehar uppgifter i kriminalregister om en tredjelandsmedborgare i syfte att få uppgifter om tidigare fällande domar via Ecris när begäran om uppgifter ur kriminalregister om den personen görs i den berörda medlemsstaten inom ramen för ett brottmålsförfarande mot denna person eller för något av följande ändamål, om de föreskrivs i och är i enlighet med nationell rätt:

Kontroll av en persons egna uppgifter i kriminalregister på begäran av honom eller henne.

Säkerhetsgodkännanden.

Erhållande av licens eller tillstånd.

Prövning inför anställning.

Prövning för frivilligverksamhet som innefattar direkta och regelbundna kontakter med barn eller utsatta personer.

Visering, förvärv av medborgarskap och migrationsförfaranden, inbegripet asylförfaranden.

Kontroller i samband med offentliga kontrakt och offentliga prov.

I vissa fall, utom när en tredjelandsmedborgare hos en centralmyndighet efterfrågar uppgifter om sig själv i kriminalregistret eller när begäran görs i syfte att erhålla uppgifter i kriminalregister enligt artikel 10.2 i direktiv 2011/93/EU, får den myndighet som begär uppgifter i kriminalregister emellertid besluta att sådan användning av Ecris-TCN inte är lämplig.

2.   Varje medlemsstat som beslutar, om så föreskrivs i och i enlighet med nationell rätt, att använda Ecris-TCN för andra ändamål än de som anges i punkt 1 i syfte att få uppgifter om tidigare fällande domar via Ecris ska senast dagen för driftstart enligt artikel 35.4, eller när som helst därefter, underrätta kommissionen om sådana andra ändamål och eventuella ändringar av sådana ändamål. Kommissionen ska offentliggöra sådana underrättelser i Europeiska unionens officiella tidning inom 30 dagar från det att underrättelserna mottagits.

3.   Eurojust, Europol och Europeiska åklagarmyndigheten får söka i Ecris-TCN för att identifiera de medlemsstater som innehar uppgifter i kriminalregister om en tredjelandsmedborgare i enlighet med artiklarna 14–18. De får emellertid inte föra in, rätta eller radera några uppgifter i Ecris-TCN.

4.   För de ändamål som avses i punkterna 1, 2 och 3 får de behöriga myndigheterna också söka i Ecris-TCN för att med avseende på en person som är unionsmedborgare kontrollera huruvida någon medlemsstat innehar uppgifter i kriminalregister om denna person i egenskap av tredjelandsmedborgare.

5.   När de behöriga myndigheterna söker i Ecris-TCN får de använda alla eller bara vissa av de uppgifter som avses i artikel 5.1. Det minimum av uppgifter som krävs för att söka i systemet ska specificeras i en genomförandeakt som antas i enlighet med artikel 10.1 g.

6.   De behöriga myndigheterna får också söka i Ecris-TCN med användning av ansiktsbilder, förutsatt att en sådan funktion har genomförts i enlighet med artikel 6.2.

7.   Vid en träff ska det centrala systemet automatiskt förse den behöriga myndigheten med information om de medlemsstater som innehar uppgifter ur kriminalregister om tredjelandsmedborgaren, tillsammans med de tillhörande referensnumren och eventuella motsvarande identitetsuppgifter. Sådana identitetsuppgifter ska endast användas för att kontrollera den berörda tredjelandsmedborgarens identitet. Resultatet av en sökning i det centrala systemet får endast användas för att göra en ansökan enligt artikel 6 i rambeslut 2009/315/RIF eller en sådan begäran som avses i artikel 17.3 i denna förordning.

8.   Vid utebliven träff ska det centrala systemet automatiskt underrätta den behöriga myndigheten.

KAPITEL III

Lagring och ändring av uppgifter

Artikel 8

Lagringsperiod för uppgifter

1.   Varje uppgiftspost ska lagras i det centrala systemet så länge som de uppgifter som gäller de fällande domarna mot den berörda personen lagras i kriminalregistret.

2.   Efter utgången av den lagringsperiod som avses i punkt 1 ska den dömande medlemsstatens centralmyndighet radera uppgiftsposten, inbegripet uppgifter om fingeravtryck eller ansiktsbilder, ur det centrala systemet. Raderingen ska om möjligt ske automatiskt, och under inga omständigheter senare än en månad efter lagringsperiodens utgång.

Artikel 9

Ändring och radering av uppgifter

1.   Medlemsstaterna får ändra eller radera de uppgifter som de har fört in i Ecris-TCN.

2.   Varje ändring av de uppgifter i kriminalregistret som ledde till skapandet av en uppgiftspost i enlighet med artikel 5 ska innefatta en identisk ändring, utan onödigt dröjsmål, av de uppgifter som lagrats i den uppgiftsposten i det centrala systemet av den dömande medlemsstaten.

3.   Om en dömande medlemsstat har anledning att tro att de uppgifter som den har registrerat i det centrala systemet är felaktiga eller att uppgifter har behandlats i det centrala systemet i strid med denna förordning, ska den

a)

omedelbart inleda ett förfarande för att kontrollera de berörda uppgifternas riktighet eller lagligheten i behandlingen av dessa, beroende på vad som är lämpligt,

b)

om nödvändigt rätta dem eller radera dem från det centrala systemet utan onödigt dröjsmål.

4.   Om en annan medlemsstat än den dömande medlemsstat som har fört in uppgifterna har anledning att tro att de uppgifter som registrerats i det centrala systemet är felaktiga eller att uppgifter har behandlats i det centrala systemet i strid med denna förordning, ska den utan onödigt dröjsmål kontakta den dömande medlemsstatens centralmyndighet.

Den dömande medlemsstaten ska

a)

omedelbart inleda ett förfarande för att kontrollera uppgifternas riktighet eller lagligheten i behandlingen av dessa, beroende på vad som är lämpligt,

b)

om nödvändigt rätta uppgifterna eller radera dem från det centrala systemet utan onödigt dröjsmål,

c)

utan onödigt dröjsmål informera den andra medlemsstaten om att uppgifterna har rättats eller raderats, alternativt om skälen till att uppgifterna inte har rättats eller raderats.

KAPITEL IV

Utveckling, drift och ansvarsområden

Artikel 10

Genomförandeakter som ska antas av kommissionen

1.   Kommissionen ska snarast möjligt anta de genomförandeakter som är nödvändiga för den tekniska utvecklingen och genomförandet av Ecris-TCN, särskilt akter om

a)

de tekniska specifikationerna för behandling av alfanumeriska uppgifter,

b)

de tekniska specifikationerna för kvalitet, bildupplösning och behandling av uppgifter om fingeravtryck,

c)

de tekniska specifikationerna för gränssnittsprogrammet,

d)

de tekniska specifikationerna för kvalitet, bildupplösning och behandling av ansiktsbilder, för de ändamål och på de villkor som fastställs i artikel 6,

e)

uppgifternas kvalitet, inbegripet ett system och förfaranden för att utföra kontroller av uppgiftskvaliteten,

f)

införande av uppgifter i enlighet med artikel 5,

g)

åtkomst till och sökning i Ecris-TCN i enlighet med artikel 7,

h)

ändring och radering av uppgifter i enlighet med artiklarna 8 och 9,

i)

förande av och åtkomst till loggar i enlighet med artikel 31,

j)

centralregistrets drift samt de regler om datasäkerhet och dataskydd som är tillämpliga på registret, i enlighet med artikel 32,

k)

tillhandahållande av statistik i enlighet med artikel 32,

l)

prestanda- och tillgänglighetskrav för Ecris-TCN, inbegripet minimispecifikationer och minimikrav på Ecris-TCN:s biometriska prestanda, särskilt vad gäller kraven i fråga om andel felaktig positiv identifiering och andel felaktig negativ identifiering.

2.   De genomförandeakter som avses i punkt 1 ska antas i enlighet med det granskningsförfarande som avses i artikel 38.2.

Artikel 11

Utveckling och operativ förvaltning av Ecris-TCN

1.   EU-Lisa ska ansvara för utveckling av Ecris-TCN i enlighet med principerna om inbyggt dataskydd och dataskydd som standard. Dessutom ska EU-Lisa ansvara för den operativa förvaltningen av Ecris-TCN. Utvecklingen ska bestå av att utarbeta och genomföra de tekniska specifikationerna samt av testning och övergripande projektsamordning.

2.   EU-Lisa ska också ansvara för vidareutveckling och underhåll av Ecris referensprogramvara.

3.   EU-Lisa ska fastställa utformningen av Ecris-TCN:s fysiska struktur, inbegripet de tekniska specifikationerna för Ecris-TCN och utvecklingen med avseende på det centrala systemet, den nationella centrala åtkomstpunkten och gränssnittsprogrammet. Denna utformning ska antas av EU-Lisas styrelse, förutsatt att kommissionen avgett ett positivt yttrande.

4.   EU-Lisa ska utveckla och genomföra Ecris-TCN snarast möjligt efter denna förordnings ikraftträdande och efter kommissionens antagande av de genomförandeakter som föreskrivs i artikel 10.

5.   Innan utformnings- och utvecklingsfasen av Ecris-TCN inleds ska EU-Lisas styrelse inrätta en programstyrelse bestående av tio ledamöter.

Programstyrelsen ska bestå av åtta ledamöter som utses av styrelsen, ordföranden för den rådgivande grupp som avses i artikel 39 och en ledamot som utses av kommissionen. De ledamöter som utses av styrelsen ska väljas enbart bland de medlemsstater som enligt unionsrätten fullt ut omfattas av de lagstiftningsinstrument som reglerar Ecris och som kommer att delta i Ecris-TCN. Styrelsen ska säkerställa att de ledamöter den utser till programstyrelsen har nödvändig erfarenhet och sakkunskap när det gäller utveckling och hantering av it-system till stöd för rättsliga myndigheter och kriminalregistermyndigheter.

EU-Lisa ska delta i arbetet inom programstyrelsen. I detta syfte ska företrädare för EU-Lisa närvara vid mötena i programstyrelsen, i syfte att rapportera om arbetet med utformningen och utvecklingen av Ecris-TCN och annat närliggande arbete och annan närliggande verksamhet.

Programstyrelsen ska sammanträda minst en gång per kvartal, och oftare vid behov. Den ska säkerställa en lämplig hantering av utformnings- och utvecklingsfasen av Ecris-TCN och säkerställa konsekvens mellan centrala och nationella Ecris-TCN-projekt och nationell programvara för genomförande av Ecris. Programstyrelsen ska regelbundet, om möjligt varje månad, lämna skriftliga rapporter till EU-Lisas styrelse om projektets utveckling. Programstyrelsen ska inte ha befogenhet att fatta beslut eller mandat att företräda styrelsens ledamöter.

6.   Programstyrelsen ska fastställa sin arbetsordning, som särskilt ska innehålla regler om följande:

a)

Ordförandeskap.

b)

Mötesplatser.

c)

Mötesförberedelser.

d)

Tillträde för experter till mötena.

e)

Kommunikationsplaner som säkerställer att icke-deltagande ledamöter i styrelsen hålls fullt informerade.

7.   Ordförandeskapet i programstyrelsen ska innehas av en medlemsstat som enligt unionsrätten fullt ut omfattas av de lagstiftningsinstrument som reglerar Ecris och de lagstiftningsinstrument som reglerar utveckling, inrättande, drift och användning av samtliga stora it-system som förvaltas av EU-Lisa.

8.   Programstyrelsens ledamöter ska få alla sina utgifter för resa och uppehälle ersatta av EU-Lisa. Artikel 10 i EU-Lisas arbetsordning ska gälla i tillämpliga delar. EU-Lisa ska tillhandahålla programstyrelsens sekretariat.

9.   Den rådgivande grupp som avses i artikel 39 ska under utformnings- och utvecklingsfasen bestå av de nationella projektledarna för Ecris-TCN, och EU-Lisa ska inneha ordförandeskapet. Gruppen ska sammanträda regelbundet, om möjligt minst en gång i månaden, under utformnings- och utvecklingsfasen till dess att Ecris-TCN tas i drift. Den ska rapportera till programstyrelsen efter varje möte. Den ska tillhandahålla teknisk expertis för att stödja programstyrelsen i dess uppgifter och följa upp medlemsstaternas förberedelser.

10.   För att säkerställa att konfidentialitet och integritet för de uppgifter som lagras i Ecris-TCN alltid respekteras ska EU-Lisa, i samarbete med medlemsstaterna, med beaktande av den senaste tekniska utvecklingen, kostnaden för genomförande samt riskerna med behandlingen, sörja för lämpliga tekniska och organisatoriska åtgärder.

11.   EU-Lisa ska ansvara för följande uppgifter i samband med den kommunikationsinfrastruktur som avses i artikel 4.1 d:

a)

Tillsyn.

b)

Säkerhet.

c)

Samordning av förbindelserna mellan medlemsstaterna och leverantören.

12.   Kommissionen ska ansvara för alla andra uppgifter avseende kommunikationsinfrastrukturen som avses i artikel 4.1 d, särskilt

a)

uppgifter avseende genomförande av budgeten,

b)

förvärv och förnyande,

c)

avtalsfrågor.

13.   EU-Lisa ska utveckla och underhålla ett system och förfaranden för att utföra kvalitetskontroller av uppgifter lagrade i Ecris-TCN och ska regelbundet lämna rapporter till medlemsstaterna. EU-Lisa ska regelbundet lämna rapporter till kommissionen om problem som uppstått och vilka medlemsstater som berörs.

14.   Den operativa förvaltningen av Ecris-TCN ska bestå av alla de arbetsuppgifter som krävs för att Ecris-TCN ska kunna fungera i enlighet med denna förordning, och särskilt det underhåll och den tekniska utveckling som krävs för att säkerställa att Ecris-TCN fungerar tillfredsställande i enlighet med de tekniska specifikationerna.

15.   EU-Lisa ska utföra uppgifter som rör tillhandahållandet av utbildning i den tekniska användningen av Ecris-TCN och Ecris referensprogramvara.

16.   Utan att det påverkar tillämpningen av artikel 17 i tjänsteföreskrifterna för tjänstemän vid Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (17), ska EU-Lisa tillämpa lämpliga regler avseende tystnadsplikt eller andra likvärdiga konfidentialitetskrav på all personal som arbetar med uppgifter som registrerats i det centrala systemet. Denna skyldighet ska också gälla efter det att den anställde i fråga lämnat sin tjänst eller anställning eller upphört med sin yrkesverksamhet.

Artikel 12

Medlemsstaternas ansvarsområden

1.   Varje medlemsstat ska ansvara för

a)

säkerställande av en säker anslutning mellan sina nationella datoriserade kriminalregister och fingeravtrycksdatabaser och den nationella centrala åtkomstpunkten,

b)

utveckling, drift och underhåll av den anslutning som avses i led a,

c)

säkerställande av en anslutning mellan sina nationella system och Ecris referensprogramvara,

d)

förvaltning av och arrangemang för hur vederbörligen bemyndigad personal vid centralmyndigheterna ska ges åtkomst till Ecris-TCN i enlighet med denna förordning och upprättande och regelbunden uppdatering av en förteckning över sådan personal och de profiler som avses i artikel 19.3 g.

2.   Varje medlemsstat ska ge den personal vid sina centralmyndigheter som har rätt till åtkomst till Ecris-TCN lämplig utbildning, särskilt om regler om datasäkerhet och dataskydd och om tillämpliga grundläggande rättigheter, innan den bemyndigar den personalen att behandla uppgifter som lagras i det centrala systemet.

Artikel 13

Ansvaret för användningen av uppgifter

1.   I enlighet med unionens tillämpliga dataskyddsregler ska varje medlemsstat säkerställa att de uppgifter som registrerats i Ecris-TCN behandlas på ett lagligt sätt och särskilt att

a)

endast vederbörligen bemyndigad personal har åtkomst till uppgifterna för utförandet av sina arbetsuppgifter,

b)

uppgifterna samlas in på lagligt sätt och med full respekt för tredjelandsmedborgarens mänskliga värdighet och grundläggande rättigheter,

c)

uppgifterna införs i Ecris-TCN på lagligt sätt,

d)

uppgifterna är riktiga och uppdaterade när de införs i Ecris-TCN.

2.   EU-Lisa ska säkerställa att Ecris-TCN drivs i enlighet med denna förordning, den delegerade akt som avses i artikel 6.2 och de genomförandeakter som avses i artikel 10 samt i enlighet med förordning (EU) 2018/1725. EU-Lisa ska framför allt vidta nödvändiga åtgärder för att säkerställa säkerheten hos det centrala systemet och den kommunikationsinfrastruktur som avses i artikel 4.1 d, utan att detta påverkar varje medlemsstats ansvarsområde.

3.   EU-Lisa ska snarast möjligt informera Europaparlamentet, rådet, kommissionen och Europeiska datatillsynsmannen om de åtgärder som den vidtar enligt punkt 2 inför driftstarten av Ecris-TCN.

4.   Kommissionen ska göra den information som avses i punkt 3 tillgänglig för medlemsstaterna och allmänheten via en regelbundet uppdaterad offentlig webbplats.

Artikel 14

Åtkomst för Eurojust, Europol och Europeiska åklagarmyndigheten

1.   Eurojust ska ha direkt åtkomst till Ecris-TCN för genomförande av artikel 17 samt för att fullgöra sina uppgifter enligt artikel 2 i förordning (EU) 2018/1727 i syfte att identifiera de medlemsstater som innehar uppgifter om tidigare fällande domar mot tredjelandsmedborgare.

2.   Europol ska ha direkt åtkomst till Ecris-TCN i syfte att fullgöra sina uppgifter enligt artikel 4.1 a–e och h i förordning (EU) 2016/794 i syfte att identifiera de medlemsstater som innehar uppgifter om tidigare fällande domar mot tredjelandsmedborgare.

3.   Europeiska åklagarmyndigheten ska ha direkt åtkomst till Ecris-TCN i syfte att fullgöra sina uppgifter enligt artikel 4 i förordning (EU) 2017/1939 i syfte att identifiera de medlemsstater som innehar uppgifter om tidigare fällande domar mot tredjelandsmedborgare.

4.   Efter en träff som anger vilka medlemsstater som innehar uppgifter i kriminalregister om en tredjelandsmedborgare får Eurojust, Europol och Europeiska åklagarmyndigheten kontakta de nationella myndigheterna i dessa medlemsstater för att begära uppgifter ur kriminalregister på det sätt som föreskrivs i deras respektive grundakt.

Artikel 15

Åtkomst för bemyndigad personal vid Eurojust, Europol och Europeiska åklagarmyndigheten

Eurojust, Europol och Europeiska åklagarmyndigheten ska ansvara för förvaltningen av och formerna för vederbörligen bemyndigad personals åtkomst till Ecris-TCN i enlighet med denna förordning och för att upprätta och regelbundet uppdatera en förteckning över denna personal och dess profiler.

Artikel 16

Ansvarsområden för Eurojust, Europol och Europeiska åklagarmyndigheten

Eurojust, Europol och Europeiska åklagarmyndigheten ska

a)

fastställa de tekniska medlen för en anslutning till Ecris-TCN och ansvara för att upprätthålla anslutningen,

b)

tillhandahålla lämplig utbildning, särskilt om regler om datasäkerhet och dataskydd och om tillämpliga grundläggande rättigheter för den del av sin personal som har rätt till åtkomst till Ecris-TCN innan de bemyndigar den personalen att behandla uppgifter som lagras i det centrala systemet,

c)

säkerställa att de personuppgifter som de behandlar inom ramen för denna förordning skyddas i enlighet med tillämpliga dataskyddsregler.

Artikel 17

Kontaktpunkt för tredjeländer och internationella organisationer

1.   Tredjeländer och internationella organisationer får inom ramen för ett brottmålsförfarande rikta begäran om information om vilka medlemsstater, om någon, som innehar uppgifter i kriminalregister om en tredjelandsmedborgare till Eurojust. För detta ändamål ska de använda den standardblankett som återfinns i bilagan till denna förordning.

2.   När Eurojust tar emot en begäran enligt punkt 1 ska den använda Ecris-TCN för att identifiera vilka medlemsstater, om någon, som innehar uppgifter i kriminalregister om den berörda tredjelandsmedborgaren.

3.   Vid en träff ska Eurojust fråga den medlemsstat som innehar uppgifter i kriminalregister om den berörda tredjelandsmedborgaren om den samtycker till att Eurojust informerar tredjelandet eller den internationella organisationen om namnet på den berörda medlemsstaten. Om den medlemsstaten lämnar sitt samtycke ska Eurojust informera tredjelandet eller den internationella organisationen om namnet på den medlemsstaten samt om hur tredjelandet eller organisationen kan begära utdrag ur kriminalregistret från den medlemsstaten i enlighet med tillämpliga förfaranden.

4.   I fall där det inte finns någon träff eller om Eurojust inte kan lämna ett svar i enlighet med punkt 3 på framställningar som görs enligt denna artikel, ska Eurojust informera det berörda tredjelandet eller den berörda internationella organisationen om att den har avslutat förfarandet utan att ge någon indikation på huruvida uppgifter i kriminalregister om den berörda personen innehas av någon av medlemsstaterna.

Artikel 18

Tillhandahållande av uppgifter till ett tredjeland, en internationell organisation eller en privat part

Varken Eurojust, Europol, Europeiska åklagarmyndigheten eller någon centralmyndighet får överföra eller göra tillgänglig för ett tredjeland, en internationell organisation eller en privat part, uppgifter från Ecris-TCN om en tredjelandsmedborgare. Denna artikel ska inte påverka tillämpningen av artikel 17.3.

Artikel 19

Datasäkerhet

1.   EU-Lisa ska vidta nödvändiga åtgärder för att säkerställa säkerheten i Ecris-TCN, utan att detta påverkar varje medlemsstats ansvarsområde, med beaktande av de säkerhetsåtgärder som anges i punkt 3.

2.   Med avseende på driften av Ecris-TCN ska EU-Lisa vidta de åtgärder som är nödvändiga för att uppnå de mål som anges i punkt 3, bland annat anta en säkerhetsplan och en driftskontinuitets- och katastrofplan, samt för att säkerställa att installerade system kan återställas vid driftavbrott.

3.   Medlemsstaterna ska säkerställa datasäkerheten före och under överföringen till och mottagandet från den nationella centrala åtkomstpunkten. Varje medlemsstat ska särskilt

a)

fysiskt skydda uppgifter, bland annat genom att utarbeta beredskapsplaner för att skydda infrastruktur,

b)

hindra obehöriga från att få åtkomst till nationella anläggningar där medlemsstaten bedriver verksamhet med anknytning till Ecris-TCN,

c)

hindra obehöriga från att läsa, kopiera, ändra eller avlägsna datamedier,

d)

förhindra obehörig registrering av uppgifter och obehörig inspektion, ändring eller radering av lagrade personuppgifter,

e)

hindra obehörig behandling av uppgifter i Ecris-TCN och obehörig ändring eller radering av uppgifter som behandlats i Ecris-TCN,

f)

säkerställa att personer som är behöriga att få åtkomst till Ecris-TCN endast har åtkomst till de uppgifter för vilka de har åtkomstbehörighet, och att detta sker endast med hjälp av individuella användaridentiteter och konfidentiella åtkomstmetoder,

g)

säkerställa att alla myndigheter med rätt till åtkomst till Ecris-TCN skapar profiler som beskriver arbetsuppgifter och ansvarsområden för personer som är behöriga att föra in, rätta, radera, konsultera och söka uppgifter och på begäran utan onödigt dröjsmål gör dessa profiler tillgängliga för de nationella tillsynsmyndigheterna,

h)

säkerställa att det finns möjlighet att kontrollera och fastställa till vilka av unionens organ och byråer personuppgifter får överföras via datakommunikationsutrustning,

i)

säkerställa att det finns möjlighet att kontrollera och fastställa vilka uppgifter som har behandlats i Ecris-TCN, när detta har gjorts, av vem, och med vilket ändamål,

j)

hindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av personuppgifter till eller från Ecris-TCN eller under transport av datamedier, särskilt med hjälp av lämplig krypteringsteknik,

k)

övervaka att de säkerhetsåtgärder som avses i denna punkt är ändamålsenliga och vidta nödvändiga organisatoriska åtgärder i fråga om egenkontroll och tillsyn för att säkerställa att denna förordning efterlevs.

4.   EU-Lisa och medlemsstaterna ska samarbeta för att säkerställa ett konsekvent arbetssätt när det gäller datasäkerhet som grundar sig på en process för säkerhetsriskhantering som omfattar hela Ecris-TCN.

Artikel 20

Ansvarighet

1.   Varje person eller medlemsstat som har lidit ekonomisk eller ideell skada till följd av en olaglig behandling eller någon annan handling som är oförenlig med denna förordning ska ha rätt till ersättning från

a)

den medlemsstat som är ansvarig för den uppkomna skadan, eller

b)

EU-Lisa, om EU-Lisa inte har uppfyllt sina skyldigheter enligt denna förordning eller förordning (EU) 2018/1725.

Den medlemsstat som är ansvarig för den uppkomna skadan respektive EU-Lisa ska helt eller delvis befrias från detta ansvar om den bevisar att den inte är ansvarig för den händelse som orsakade skadan.

2.   Om en medlemsstats, Eurojusts, Europols eller Europeiska åklagarmyndighetens underlåtenhet att uppfylla sina skyldigheter enligt denna förordning skadar Ecris-TCN, ska den medlemsstaten, Eurojust, Europol respektive Europeiska åklagarmyndigheten hållas ansvarig för sådan skada, såvida inte och i den mån EU-Lisa eller en annan medlemsstat som deltar i Ecris-TCN underlät att vidta rimliga åtgärder för att förhindra skadan eller för att minimera dess verkningar.

3.   Ersättningsanspråk mot en medlemsstat för de skador som avses i punkterna 1 och 2 ska regleras av svarandemedlemsstatens rätt. Ersättningsanspråk mot EU-Lisa, Eurojust, Europol och Europeiska åklagarmyndigheten för de skador som avses i punkterna 1 och 2 ska regleras av deras respektive grundakt.

Artikel 21

Egenkontroll

Medlemsstaterna ska säkerställa att varje centralmyndighet vidtar de åtgärder som är nödvändiga för att följa denna förordning och vid behov samarbetar med tillsynsmyndigheterna.

Artikel 22

Sanktioner

Varje missbruk av uppgifter som förts in i Ecris-TCN ska bli föremål för effektiva, proportionella och avskräckande sanktioner eller disciplinära åtgärder, i enlighet med nationell rätt eller unionsrätt.

KAPITEL V

Dataskyddsrättigheter och tillsyn

Artikel 23

Personuppgiftsansvarig och personuppgiftsbiträde

1.   Varje centralmyndighet ska fungera som personuppgiftsansvarig i enlighet med unionens tillämpliga dataskyddsregler med avseende på behandling av personuppgifter som centralmyndighetens medlemsstat utför enligt denna förordning.

2.   EU-Lisa ska fungera som personuppgiftsbiträde i enlighet med förordning (EU) 2018/1725 i fråga om personuppgifter som förts in i det centrala systemet av medlemsstaterna.

Artikel 24

Ändamål med behandlingen av personuppgifter

1.   De uppgifter som förs in i det centrala systemet ska endast behandlas med ändamålet att identifiera de medlemsstater som innehar uppgifterna i kriminalregister om tredjelandsmedborgare.

2.   Med undantag för vederbörligen bemyndigad personal vid Eurojust, Europol och Europeiska åklagarmyndigheten som har åtkomst till Ecris-TCN inom ramen för denna förordning, ska åtkomst till Ecris-TCN uteslutande vara förbehållen vederbörligen bemyndigad personal vid centralmyndigheterna. Åtkomst ska begränsas till den utsträckning som är nödvändig för att utföra arbetsuppgifterna för det ändamål som anges i punkt 1, och till vad som är nödvändigt och proportionellt i förhållande till de mål som eftersträvas.

Artikel 25

Rätt till tillgång, rättelse, radering och begränsning av behandling

1.   Begäranden från tredjelandsmedborgare som avser rätten till tillgång till personuppgifter, till rättelse och radering liksom begränsning av behandlingen av personuppgifter, vilken fastställs i unionens tillämpliga dataskyddsregler, kan riktas till centralmyndigheten i varje medlemsstat.

2.   Om en begäran görs hos en annan medlemsstat än den dömande medlemsstaten ska den medlemsstat hos vilken begäran har ingetts vidarebefordra denna till den dömande medlemsstaten, utan onödigt dröjsmål och under alla omständigheter inom 10 arbetsdagar efter det att begäran har mottagits. Vid mottagande av begäran ska den dömande medlemsstaten

a)

omedelbart inleda förfarandet för att kontrollera att de berörda uppgifterna är riktiga och att behandlingen av dessa i Ecris-TCN var laglig, och

b)

utan onödigt dröjsmål svara den medlemsstat som vidarebefordrat begäran.

3.   Om det framkommer att uppgifter som registrerats i Ecris-TCN är felaktiga eller har behandlats på ett olagligt sätt ska den dömande medlemsstaten rätta eller radera uppgifterna i enlighet med artikel 9. Den dömande medlemsstaten eller, i tillämpliga fall, den medlemsstat hos vilken begäran har gjorts, ska utan onödigt dröjsmål lämna skriftlig bekräftelse till den berörda personen på att åtgärder har vidtagits för att rätta eller radera uppgifter om den personen. Den dömande medlemsstaten ska också utan onödigt dröjsmål informera eventuella andra medlemsstater som har mottagit uppgifter om fällande domar som erhållits genom en sökning i Ecris-TCN om vilka åtgärder som har vidtagits.

4.   Om den dömande medlemsstaten inte instämmer i att uppgifter som registrerats i Ecris-TCN är felaktiga eller har behandlats på ett olagligt sätt, ska medlemsstaten anta ett administrativt eller rättsligt beslut med en skriftlig förklaring till den berörda personen om varför den inte är beredd att rätta eller radera uppgifter som rör den personen. Sådana fall får, när så är lämpligt, meddelas till den nationella tillsynsmyndigheten.

5.   Den medlemsstat som har antagit beslutet enligt punkt 4 ska också tillhandahålla den berörda personen information som förklarar vilka åtgärder personen kan vidta om denne inte godtar den förklaring som getts enligt punkt 4. Detta ska omfatta information om hur det går till att väcka talan vid domstol eller inge klagomål till behöriga myndigheter i den medlemsstaten och vilket bistånd, inbegripet från de nationella tillsynsmyndigheterna, som finns tillgängligt i enlighet med nationell rätt i den medlemsstaten.

6.   En begäran enligt punkt 1 ska innehålla den information som behövs för att den berörda personen ska kunna identifieras. Denna information ska endast användas för att de rättigheter som avses i punkt 1 ska kunna utövas och ska sedan omedelbart raderas.

7.   I fall då punkt 2 är tillämplig ska den centralmyndighet till vilken begäran riktades bevara en skriftlig handling där det anges att en sådan begäran har gjorts och hur den hanterades samt till vilken myndighet den vidarebefordrades. På begäran av den nationella tillsynsmyndigheten ska centralmyndigheten utan dröjsmål göra denna handling tillgänglig för den nationella tillsynsmyndigheten. Centralmyndigheten och tillsynsmyndigheterna ska radera sådana registreringar tre år efter det att de gjordes.

Artikel 26

Samarbete för att säkerställa respekten för dataskyddsrättigheter

1.   Centralmyndigheterna ska samarbeta med varandra för att säkerställa att de rättigheter som föreskrivs i artikel 25 respekteras.

2.   I varje medlemsstat ska den nationella tillsynsmyndigheten på begäran ge berörda personer information om hur de kan utöva sin rätt att rätta eller radera uppgifter som rör dem, i enlighet med unionens tillämpliga dataskyddsregler.

3.   Vid tillämpning av denna artikel ska den nationella tillsynsmyndigheten i den medlemsstat som överförde uppgifterna och den nationella tillsynsmyndigheten i medlemsstaten hos vilken begäran gjorts samarbeta med varandra.

Artikel 27

Rättsmedel

Var och en ska i enlighet med nationell rätt eller unionsrätt ha rätt att inge klagomål och rätt att anlita ett rättsmedel i den dömande medlemsstat som har vägrat vederbörande rätt att få åtkomst till eller rätt att rätta eller radera uppgifter om honom eller henne som avses i artikel 25.

Artikel 28

Nationella tillsynsmyndigheters tillsyn

1.   Varje medlemsstat ska säkerställa att de nationella tillsynsmyndigheter som utsetts enligt unionens tillämpliga dataskyddsregler kontrollerar lagligheten i den berörda medlemsstatens behandling av personuppgifter enligt artiklarna 5 och 6, inbegripet överföring av dem till och från Ecris-TCN.

2.   Den nationella tillsynsmyndigheten ska säkerställa att en granskning av behandlingar av uppgifter i de nationella datoriserade kriminalregistren och fingeravtrycksdatabaserna i samband med utbyte av uppgifter mellan de systemen och Ecris-TCN utförs i enlighet med relevanta internationella revisionsstandarder minst vart tredje år efter den dag då Ecris-TCN tas i drift.

3.   Medlemsstaterna ska säkerställa att deras nationella tillsynsmyndigheter har tillräckliga resurser för att fullgöra de uppgifter som den åläggs inom ramen för denna förordning.

4.   Varje medlemsstat ska tillhandahålla all information som begärs av de nationella tillsynsmyndigheterna och ska särskilt förse dem med information om verksamhet i enlighet med artiklarna 12, 13 och 19. Varje medlemsstat ska ge tillsynsmyndigheterna åtkomst till sina register enligt artikel 25.7 och till sina loggar enligt artikel 31.6 och vid varje tidpunkt bevilja dem tillträde till alla sina lokaler som är relaterade till Ecris-TCN.

Artikel 29

Europeiska datatillsynsmannens tillsyn

1.   Europeiska datatillsynsmannen ska tillse att EU-Lisas behandling av personuppgifter som rör Ecris-TCN utförs i enlighet med denna förordning.

2.   Europeiska datatillsynsmannen ska säkerställa att en revision av EU-Lisas behandling av personuppgifter genomförs minst vart tredje år i enlighet med internationella revisionsstandarder. En rapport om revisionen ska sändas till Europaparlamentet, rådet, kommissionen, EU-Lisa och tillsynsmyndigheterna. EU-Lisa ska ges tillfälle att yttra sig innan rapporten antas.

3.   EU-Lisa ska tillhandahålla den information som begärs av Europeiska datatillsynsmannen, ge honom eller henne åtkomst till alla dokument och till de loggar som avses i artikel 31 samt vid varje tidpunkt bevilja honom eller henne tillträde till alla sina lokaler.

Artikel 30

Samarbete mellan nationella tillsynsmyndigheter och Europeiska datatillsynsmannen

En samordnad tillsyn av Ecris-TCN ska säkerställas i enlighet med artikel 62 i förordning (EU) 2018/1725.

Artikel 31

Förande av loggar

1.   EU-Lisa och de behöriga myndigheterna ska i enlighet med sitt respektive ansvarsområde säkerställa att alla uppgiftsbehandlingar i Ecris-TCN registreras i en logg i enlighet med punkt 2 i syfte att kontrollera om begäranden varit tillåtna, att övervaka dataintegritet och datasäkerhet och att behandlingen av uppgifterna varit laglig samt i syfte att utföra egenkontroll.

2.   Av loggen ska framgå

a)

ändamålet med begäran om åtkomst till uppgifter i Ecris-TCN,

b)

vilka uppgifter som har överförts i enlighet med vad som avses i artikel 5,

c)

nationell ärendereferens,

d)

datum och exakt tidpunkt för uppgiftsbehandlingen,

e)

vilka uppgifter som använts för en sökning,

f)

den identifierande beteckningen för den tjänsteman som utförde sökningen.

3.   Loggen om sökningar och utlämnande av uppgifter ska göra det möjligt att fastställa syftet med sådana uppgiftsbehandlingar.

4.   Loggar får användas endast för att övervaka att uppgiftsbehandling är laglig och för att säkerställa dataintegriteten och datasäkerheten. Endast loggar som innehåller andra uppgifter än personuppgifter får användas för den övervakning och utvärdering som avses i artikel 36. Dessa loggar ska på lämpligt sätt skyddas mot obehörig åtkomst och raderas efter tre år, om de inte längre behövs för övervakningsförfaranden som redan har inletts.

5.   EU-Lisa ska på begäran göra loggarna till sin uppgiftsbehandling tillgängliga för centralmyndigheterna utan onödigt dröjsmål.

6.   De behöriga nationella tillsynsmyndigheter som ansvarar för att kontrollera om begärandena varit tillåtna och för att övervaka att behandlingen av uppgifterna är laglig och för att säkerställa dataintegriteten och datasäkerheten ska ha åtkomst till loggar på begäran, så att de kan fullgöra sina uppgifter. På begäran ska centralmyndigheterna göra loggarna till sin uppgiftsbehandling tillgängliga för de behöriga nationella tillsynsmyndigheterna utan onödigt dröjsmål.

KAPITEL VI

Slutbestämmelser

Artikel 32

Användning av uppgifter för rapportering och statistik

1.   Den vederbörligen bemyndigade personalen vid EU-Lisa, de behöriga myndigheterna och kommissionen ska ha åtkomst till de uppgifter som behandlats inom Ecris-TCN endast för rapporterings- och statistikändamål och utan att det är möjligt att identifiera enskilda personer.

2.   Vid tillämpning av punkt 1 ska EU-Lisa upprätta, genomföra och hysa ett centralregister i sina tekniska driftställen som innehåller uppgifter enligt punkt 1 som, utan att det är möjligt att identifiera enskilda personer, gör det möjligt att erhålla anpassade rapporter och statistik. Åtkomst till centralregistret ska beviljas genom säkrad åtkomst med åtkomstkontroll och specifika användarprofiler, endast för rapporterings- och statistikändamål.

3.   De förfaranden som införs av EU-Lisa i syfte att övervaka Ecris-TCN:s funktion enligt artikel 36 samt Ecris referensprogramvara ska inbegripa möjligheten att ta fram regelbunden statistik för övervakningsändamål.

EU-Lisa ska varje månad till kommissionen översända statistik över registrering, lagring och utbyte av uppgifter ur kriminalregister via Ecris-TCN och Ecris referensprogramvara. EU-Lisa ska säkerställa att det inte är möjligt att identifiera enskilda personer med hjälp av statistiken. På kommissionens begäran ska EU-Lisa tillhandahålla kommissionen statistik om särskilda aspekter som rör genomförandet av denna förordning.

4.   Medlemsstaterna ska tillhandahålla EU-Lisa den statistik den behöver för att kunna uppfylla sina skyldigheter som avses i denna artikel. De ska tillhandahålla kommissionen statistik över antalet dömda tredjelandsmedborgare och antalet fällande domar mot tredjelandsmedborgare inom deras territorium.

Artikel 33

Kostnader

1.   Kostnaderna i samband med inrättande och drift av det centrala systemet, kommunikationsinfrastrukturen som avses i artikel 4.1 d, gränssnittsprogrammet och Ecris referensprogramvara ska belasta unionens allmänna budget.

2.   Kostnaderna för anslutning av Eurojust, Europol och Europeiska åklagarmyndigheten till Ecris-TCN ska belasta deras respektive budget.

3.   Andra kostnader ska bäras av medlemsstaterna, särskilt de kostnader som har förorsakats av anslutningen av befintliga nationella kriminalregister, fingeravtrycksdatabaser och centralmyndigheterna till Ecris-TCN, samt kostnaderna för att hysa Ecris referensprogramvara.

Artikel 34

Underrättelser

1.   Varje medlemsstat ska underrätta EU-Lisa om den eller de centralmyndigheter som har åtkomst för att föra in, rätta, radera, konsultera eller söka uppgifter, samt om alla förändringar i detta avseende.

2.   EU-Lisa ska säkerställa att den förteckning över centralmyndigheter som anges i medlemsstaternas underrättelser offentliggörs både i Europeiska unionens officiella tidning och på dess webbplats. När EU-Lisa mottar en underrättelse om en ändring av en medlemsstats centralmyndighet ska den uppdatera förteckningen utan onödigt dröjsmål.

Artikel 35

Införande av uppgifter och driftstart

1.   När kommissionen konstaterat att följande villkor är uppfyllda ska den fastställa den dag från och med vilken medlemsstaterna ska börja föra in de uppgifter som avses i artikel 5 i Ecris-TCN:

a)

De relevanta genomförandeakter som avses i artikel 10 har antagits.

b)

Medlemsstaterna har godkänt de tekniska och rättsliga arrangemang som ska gälla för insamling och överföring till Ecris-TCN av de uppgifter som avses i artikel 5 och anmält dessa till kommissionen.

c)

EU-Lisa har utfört ett heltäckande test av Ecris-TCN i samarbete med medlemsstaterna och med användning av anonyma testdata.

2.   När kommissionen har fastställt vilken dag uppgifter ska börja föras in i enlighet med punkt 1 ska den underrätta medlemsstaterna om denna dag. Inom två månader från denna dag ska medlemsstaterna föra in de uppgifter som avses i artikel 5 i Ecris-TCN, med beaktande av artikel 41.2.

3.   Efter utgången av den period som avses i punkt 2 ska EU-Lisa utföra ett slutligt test av Ecris-TCN, i samarbete med medlemsstaterna.

4.   När det test som avses i punkt 3 har slutförts med tillfredsställande resultat och EU-Lisa anser att Ecris-TCN kan tas i drift ska EU-Lisa underrätta kommissionen om detta. Kommissionen ska informera Europaparlamentet och rådet om resultaten av testet och besluta vilken dag Ecris-TCN ska tas i drift.

5.   Det kommissionsbeslut om den dag då Ecris-TCN ska tas i drift som avses i punkt 4 ska offentliggöras i Europeiska unionens officiella tidning.

6.   Medlemsstaterna ska börja använda Ecris-TCN från och med den dag som fastställts av kommissionen i enlighet med punkt 4.

7.   När kommissionen fattar de beslut som avses i denna artikel får den ange olika datum för införande i Ecris-TCN av de alfanumeriska uppgifter och uppgifter om fingeravtryck som avses i artikel 5 samt för driftstart för dessa olika kategorier av uppgifter.

Artikel 36

Övervakning och utvärdering

1.   EU-Lisa ska säkerställa att det finns förfaranden för att övervaka utvecklingen av Ecris-TCN mot bakgrund av målen vad gäller planering och kostnader samt att övervaka Ecris-TCN:s och Ecris referensprogramvaras funktion med beaktande av målen vad gäller tekniska resultat, kostnadseffektivitet, säkerhet och tjänsternas kvalitet.

2.   I syfte att övervaka Ecris-TCN:s funktion och det tekniska underhållet av detta ska EU-Lisa ha åtkomst till nödvändig information om de behandlingar av uppgifter som utförs inom Ecris-TCN och inom Ecris referensprogramvara.

3.   Senast den 12 december 2019 och därefter var sjätte månad under utformnings- och utvecklingsfasen ska EU-Lisa lämna en lägesrapport till Europaparlamentet och rådet om utvecklingen av Ecris-TCN och Ecris referensprogramvara.

4.   Den rapport som avses i punkt 3 ska innehålla en översikt över de aktuella kostnaderna och projektets framsteg, en bedömning av de ekonomiska konsekvenserna och information om eventuella tekniska problem och risker som kan påverka de övergripande kostnaderna för Ecris-TCN, vilka ska belasta unionens allmänna budget i enlighet med artikel 33.

5.   Om det uppstår kraftiga förseningar i utvecklingsprocessen ska EU-Lisa snarast möjligt informera Europaparlamentet och rådet om orsakerna till dessa förseningar och vilka tidsmässiga och ekonomiska konsekvenser de får.

6.   Så snart som utvecklingen av Ecris-TCN och Ecris referensprogramvara har slutförts ska EU-Lisa lämna en rapport till Europaparlamentet och rådet med en redogörelse för hur målen avseende framför allt planering och kostnader har uppfyllts samt ge en motivering till eventuella avvikelser.

7.   Om en teknisk uppgradering behöver göras av Ecris-TCN som skulle kunna medföra avsevärda kostnader, ska EU-Lisa informera Europaparlamentet och rådet om detta.

8.   Två år efter det att driften av Ecris-TCN har inletts och därefter varje år ska EU-Lisa lämna en rapport till kommissionen om Ecris-TCN:s och Ecris referensprogramvaras tekniska funktion, inklusive säkerhetsaspekter, särskilt baserat på statistiken om Ecris-TCN:s funktion och användning och om utbytet, via Ecris referensprogramvara, av uppgifter ur kriminalregister.

9.   Fyra år efter driftstarten av Ecris-TCN och därefter vart fjärde år ska kommissionen genomföra en övergripande utvärdering av Ecris-TCN och Ecris referensprogramvara. Den övergripande utvärderingsrapport som upprättas på denna grund ska innehålla en bedömning av denna förordnings tillämpning och en granskning av de resultat som uppnåtts i förhållande till de mål som sattes upp och inverkan på de grundläggande rättigheterna. Rapporten ska också innehålla en bedömning av huruvida de förutsättningar som ligger till grund för att driva Ecris-TCN fortfarande gäller, av huruvida det är lämpligt att använda biometriska uppgifter för Ecris-TCN liksom av säkerheten i Ecris-TCN och eventuella säkerhetskonsekvenser för framtida drift. Utvärderingen ska innefatta eventuella nödvändiga rekommendationer. Kommissionen ska överlämna rapporten till Europaparlamentet, rådet, Europeiska datatillsynsmannen och Europeiska unionens byrå för grundläggande rättigheter.

10.   Dessutom ska den första övergripande utvärderingen enligt punkt 9 innefatta en bedömning av följande:

a)

I vilken utsträckning, på grundval av relevanta statistiska uppgifter och ytterligare information från medlemsstaterna, inkluderingen av identitetsuppgifter i Ecris-TCN för unionsmedborgare som också är medborgare i ett tredjeland har bidragit till uppnåendet av målen i denna förordning.

b)

Möjligheten, för vissa medlemsstater, att fortsätta att använda den nationella programvaran för genomförande av Ecris enligt artikel 4.

c)

Införandet av uppgifter om fingeravtryck i Ecris-TCN, särskilt tillämpningen av de minimikriterier som avses i artikel 5.1 b ii.

d)

Ecris och Ecris-TCN:s inverkan på skyddet av personuppgifter.

Bedömningen kan vid behov åtföljas av lagstiftningsförslag. Efterföljande övergripande utvärderingar får inbegripa en bedömning av någon eller alla dessa aspekter.

11.   Medlemsstaterna, Eurojust, Europol och Europeiska åklagarmyndigheten ska ge EU-Lisa och kommissionen den information som är nödvändig för att utarbeta de rapporter som avses i punkterna 3, 8 och 9 i enlighet med de kvantitativa indikatorer som fastställts på förhand av kommissionen eller EU-Lisa eller båda två. Denna information får inte äventyra arbetsmetoder eller innehålla uppgifter som röjer källor, personal eller utredningar.

12.   I förekommande fall ska tillsynsmyndigheterna ge EU-Lisa och kommissionen den information som de behöver för att kunna utarbeta de rapporter som avses i punkt 9 i enlighet med de kvantitativa indikatorer som fastställts på förhand av kommissionen eller EU-Lisa eller båda två. Denna information får inte äventyra arbetsmetoder eller innehålla uppgifter som röjer källor, personal eller utredningar.

13.   EU-Lisa ska ge kommissionen den information som är nödvändig för att ta fram de övergripande utvärderingar som avses i punkt 9.

Artikel 37

Utövande av delegeringen

1.   Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.   Den befogenhet att anta delegerade akter som avses i artikel 6.2 ska ges till kommissionen tills vidare från och med den 11 juni 2019.

3.   Den delegering av befogenhet som avses i artikel 6.2 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.   Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.   Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

6.   En delegerad akt som antas enligt artikel 6.2 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

Artikel 38

Kommittéförfarande

1.   Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.   När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

Om kommittén inte avger något yttrande, ska kommissionen inte anta utkastet till genomförandeakt och artikel 5.4 tredje stycket i förordning (EU) nr 182/2011 ska tillämpas.

Artikel 39

Rådgivande grupp

EU-Lisa ska inrätta en rådgivande grupp i syfte att inhämta sakkunskap om Ecris-TCN och Ecris referensprogramvara, särskilt i samband med utarbetandet av det årliga arbetsprogrammet och den årliga verksamhetsrapporten. Under utformnings- och utvecklingsfasen ska artikel 11.9 tillämpas.

Artikel 40

Ändringar av förordning (EU) 2018/1726

Förordning (EU) 2018/1726 ska ändras på följande sätt:

1.

Artikel 1.4 ska ersättas med följande:

”4.   Byrån ska ansvara för förberedelsen, utvecklingen eller den operativa förvaltningen av in- och utresesystemet, DubliNet, EU-systemet för reseuppgifter och resetillstånd (Etias), Ecris-TCN och Ecris referensprogramvara.”

2.

Följande artikel ska införas:

”Artikel 8a

Uppgifter som rör Ecris-TCN och Ecris referensprogramvara

När det gäller Ecris-TCN och Ecris referensprogramvara ska byrån utföra

a)

de uppgifter som den tilldelas genom Europaparlamentets och rådets förordning (EU) 2019/816 (*1),

b)

uppgifter som gäller utbildning i den tekniska användningen av Ecris-TCN och Ecris referensprogramvara.

(*1)  Europaparlamentets och rådets förordning (EU) 2019/816 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister (Ecris-TCN) och om ändring av förordning (EU) 2018/1726 (EUT L 135, 22.5.2019, s. 1).”"

3.

Artikel 14.1 ska ersättas med följande:

”1.   Byrån ska följa utvecklingen av forskning som är av relevans för den operativa förvaltningen av SIS II, VIS, Eurodac, in- och utresesystemet, Etias, DubliNet, Ecris-TCN och andra stora it-system i enlighet med vad som avses i artikel 1.5.”

4.

Artikel 19.1 ska ändras på följande sätt:

a)

Led ee ska ersättas med följande:

”ee)

Anta rapporterna om in- och utresesystemets utveckling enligt artikel 72.2 i förordning (EU) 2017/2226, rapporterna om utvecklingen av Etias enligt artikel 92.2 i förordning (EU) 2018/1240 och rapporterna om utvecklingen av Ecris-TCN och Ecris referensprogramvara enligt artikel 36.3 i förordning (EU) 2019/816.”

b)

Led ff ska ersättas med följande:

”ff)

Anta rapporterna om den tekniska funktionen hos SIS II enligt artikel 50.4 i förordning (EG) nr 1987/2006 respektive artikel 66.4 i beslut 2007/533/RIF, hos VIS enligt artikel 50.3 i förordning (EG) nr 767/2008 respektive artikel 17.3 i beslut 2008/633/RIF, hos in- och utresesystemet enligt artikel 72.4 i förordning (EU) 2017/2226, hos Etias enligt artikel 92.4 i förordning (EU) 2018/1240 och hos Ecris-TCN och Ecris referensprogramvara enligt artikel 36.8 i förordning (EU) 2019/816.”

c)

Led hh ska ersättas med följande:

”hh)

Anta formella kommentarer om Europeiska datatillsynsmannens granskningsrapporter enligt artikel 45.2 i förordning (EG) nr 1987/2006, artikel 42.2 i förordning (EG) nr 767/2008, artikel 31.2 i förordning (EU) nr 603/2013, artikel 56.2 i förordning (EU) 2017/2226, artikel 67 i förordning (EU) 2018/1240 och artikel 29.2 i förordning (EU) 2019/816 och säkerställa lämplig uppföljning av granskningarna.”

d)

Följande led ska införas:

”lla)

Översända statistik till kommissionen rörande Ecris-TCN och Ecris referensprogramvara enligt artikel 32.3 andra stycket i förordning (EU) 2019/816.”

e)

Led mm ska ersättas med följande:

”mm)

Säkerställa årligt offentliggörande av förteckningen över de myndigheter som är behöriga att direkt hämta uppgifter ur SIS II enligt artikel 31.8 i förordning (EG) nr 1987/2006 och artikel 46.8 i beslut 2007/533/RIF, tillsammans med förteckningen över nationella SIS II-byråer (N.SIS II-byråer) och Sirenekontor enligt artikel 7.3 i förordning (EG) nr 1987/2006 respektive artikel 7.3 i beslut 2007/533/RIF samt förteckningen över behöriga myndigheter enligt artikel 65.2 i förordning (EU) 2017/2226, förteckningen över behöriga myndigheter enligt artikel 87.2 i förordning (EU) 2018/1240 och förteckningen över centralmyndigheter enligt artikel 34.2 i förordning (EU) 2019/816.”

5.

I artikel 22.4 ska följande stycke införas efter tredje stycket:

”Eurojust, Europol och Europeiska åklagarmyndigheten får delta i styrelsens möten som observatörer när en fråga rörande Ecris-TCN som avser tillämpningen av förordning (EU) 2019/816 står på dagordningen.”

6.

I artikel 24.3 ska led p ersättas med följande:

”p)

Utan att det påverkar tillämpningen av artikel 17 i tjänsteföreskrifterna för tjänstemän fastställa krav avseende konfidentiell behandling som överensstämmer med artikel 17 i förordning (EG) nr 1987/2006, artikel 17 i beslut 2007/533/RIF, artikel 26.9 i förordning (EG) nr 767/2008, artikel 4.4 i förordning (EU) nr 603/2013, artikel 37.4 i förordning (EU) 2017/2226, artikel 74.2 i förordning (EU) 2018/1240 och artikel 11.16 i förordning (EU) 2019/816.”

7.

I artikel 27.1 ska följande led införas:

”da)

Den rådgivande gruppen för Ecris-TCN.”

Artikel 41

Genomförande och övergångsbestämmelser

1.   Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa denna förordning så snart som möjligt och därmed säkerställa att Ecris-TCN fungerar väl.

2.   För fällande domar som meddelats före den dag då uppgifter ska börja föras in i enlighet med artikel 35.1 ska centralmyndigheterna inrätta de enskilda uppgiftsposterna i det centrala systemet enligt följande:

a)

Alfanumeriska uppgifter ska föras in i det centrala systemet senast vid utgången av den period som avses i artikel 35.2.

b)

Uppgifter om fingeravtryck ska föras in i det centrala systemet inom två år från driftstarten i enlighet med artikel 35.4.

Artikel 42

Ikraftträdande och tillämplighet

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.

Utfärdad i Strasbourg den 17 april 2019.

På Europaparlamentets vägnar

A. TAJANI

Ordförande

På rådets vägnar

G. CIAMBA

Ordförande


(1)  Europaparlamentets ståndpunkt av den 12 mars 2019 (ännu ej offentliggjord i EUT) och rådets beslut av den 9 april 2019.

(2)  Rådets rambeslut 2008/675/RIF av den 24 juli 2008 om beaktande av fällande domar avkunnade i Europeiska unionens medlemsstater vid ett nytt brottmålsförfarande i en medlemsstat (EUT L 220, 15.8.2008, s. 32).

(3)  Rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll (EUT L 93, 7.4.2009, s. 23).

(4)  Rådets beslut 2009/316/RIF av den 6 april 2009 om inrättande av det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister (Ecris) i enlighet med artikel 11 i rambeslut 2009/315/RIF (EUT L 93, 7.4.2009, s. 33).

(5)  Europaparlamentets och rådets förordning (EU) 2018/1726 av den 14 november 2018 om Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA), om ändring av förordning (EG) nr 1987/2006 och rådets beslut 2007/533/RIF och om upphävande av förordning (EU) nr 1077/2011 (EUT L 295, 21.11.2018, s. 99).

(6)  Europaparlamentets och rådets direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF (EUT L 335, 17.12.2011, s. 1).

(7)  Europaparlamentets och rådets förordning (EU) 2018/1727 av den 14 november 2018 om Europeiska unionens byrå för straffrättsligt samarbete (Eurojust), och om ersättning och upphävande av rådets beslut 2002/187/RIF (EUT L 295, 21.11.2018, s. 138).

(8)  Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (EUT L 135, 24.5.2016, s. 53).

(9)  Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1).

(10)  Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(11)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(12)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(13)  EUT L 123, 12.5.2016, s. 1.

(14)  Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(15)  Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(16)  EUT C 55, 14.2.2018, s. 4.

(17)  EGT L 56, 4.3.1968, s. 1.


BILAGA

STANDARDBLANKETT FÖR BEGÄRAN SOM AVSES I ARTIKEL 17.1 I FÖRORDNING (EU) 2019/816 I SYFTE ATT FÅ INFORMATION OM VILKEN MEDLEMSSTAT, OM NÅGON, SOM INNEHAR UPPGIFTER I KRIMINALREGISTER OM EN TREDJELANDSMEDBORGARE

Image 1 Text av bilden

Top