|
15.12.2021 |
SV |
Europeiska unionens officiella tidning |
L 448/1 |
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2021/2222
av den 30 september 2021
om komplettering av Europaparlamentets och rådets förordning (EU) 2019/818 med detaljerade bestämmelser om driften av den centrala databasen för rapporter och statistik
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2019/818 av den 20 maj 2019 om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området polissamarbete och straffrättsligt samarbete, asyl och migration och om ändring av förordningarna (EU) 2018/1726, (EU) 2018/1862 och (EU) 2019/816 (1), särskilt artikel 39.5, och
av följande skäl:
|
(1) |
Genom förordning (EU) 2019/818, tillsammans med Europaparlamentets och rådets förordning (EU) 2019/817 (2), inrättas en ram för att säkerställa interoperabilitet mellan EU-informationssystemen på områdena gränser, viseringar, polissamarbete, rättsligt samarbete, asyl och migration. |
|
(2) |
Denna ram omfattar ett antal komponenter och verktyg till stöd för interoperabilitet, bland annat en central databas för rapporter och statistik (den centrala databasen). Den centrala databasen lagrar anonymiserade uppgifter som extraherats från de underliggande EU-informationssystemen, den gemensamma biometriska matchningstjänsten, den gemensamma databasen för identitetsuppgifter och detektorn för multipla identiteter, för att tillhandahålla systemöverskridande statistisk rapportering för politiska och operativa syften samt för uppgiftskvaliteten. |
|
(3) |
Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA) ansvarar för att inrätta, implementera och hysa den centrala databasen och för dess operativa förvaltning. |
|
(4) |
För att den centrala databasen ska kunna tillhandahålla systemöverskridande statistiska uppgifter är det nödvändigt att fastställa detaljerade bestämmelser om dess drift, inbegripet särskilda standarder för behandlingen av personuppgifter samt säkerhetsregler. |
|
(5) |
För att göra det omöjligt att identifiera enskilda personer ur de statistiska uppgifterna i den centrala databasen bör eu-LISA utveckla ett verktyg för anonymisering av uppgifter som en del av dess arkitektur. Anonymiseringsprocessen bör automatiseras. |
|
(6) |
Kontrollerad och säker åtkomst bör endast beviljas bemyndigad personal vid de behöriga myndigheterna samt unionens institutioner och byråer, så att de kan inhämta uppgifter och statistik i den centrala databasen. För detta ändamål bör eu-LISA utveckla ett rapporteringsverktyg som en del av sin arkitektur. Personal vid eu-LISA bör inte ha direkt åtkomst till personuppgifter som lagras i EU-informationssystemen eller interoperabilitetskomponenterna. |
|
(7) |
För att det ska gå att spåra korsmatchning av identitetsakter inom eller mellan motsvarande EU-informationssystem för relevanta statistiska ändamål bör den centrala databasen behålla ett unikt referensnummer. Det bör inte vara möjligt att använda detta nummer för att hämta information från identitetsakterna. |
|
(8) |
Den tekniska lösning som hyser den centrala databasen bör implementeras i eu-LISA:s tekniska anläggning och vid backup-enheten för att säkerställa att den alltid är tillgänglig. |
|
(9) |
Eftersom förordning (EU) 2019/818 är en utveckling av Schengenregelverket har Danmark, i enlighet med artikel 4 i protokoll nr 22 om Danmarks ställning som är fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, lämnat ett meddelande om genomförande av förordning (EU) 2019/818 i sin nationella lagstiftning. Danmark är därför bundet av denna förordning. |
|
(10) |
Denna förordning utgör en utveckling av de bestämmelser i Schengenregelverket i vilka Irland inte deltar (3). Irland deltar därför inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Irland. |
|
(11) |
När det gäller Island och Norge utgör denna förordning, i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (4), en utveckling av de bestämmelser i Schengenregelverket som omfattas av det område som avses i artikel 1 A i rådets beslut 1999/437/EG (5). |
|
(12) |
När det gäller Schweiz utgör denna förordning, i enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (6), en utveckling av de bestämmelser i Schengenregelverket som omfattas av det område som avses i artikel 1 A i beslut 1999/437/EG jämförd med artikel 3 i rådets beslut 2008/146/EG (7). |
|
(13) |
När det gäller Liechtenstein utgör denna förordning, i enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (8), en utveckling av de bestämmelser i Schengenregelverket som omfattas av det område som avses i artikel 1 A i beslut 1999/437/EG jämförd med artikel 3 i rådets beslut 2011/350/EU (9). |
|
(14) |
När det gäller Cypern, Bulgarien och Rumänien samt Kroatien utgör denna förordning en akt som utvecklar Schengenregelverket eller som på annat sätt har samband med detta i den mening som avses i artikel 3.1 i 2003 års anslutningsakt, artikel 4.1 i 2005 års anslutningsakt respektive artikel 4.1 i 2011 års anslutningsakt. |
|
(15) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (10) och avgav ett yttrande den 17 juni 2021. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Definitioner
I denna förordning avses med
|
1) |
statistiska uppgifter: de uppgifter som anonymiseras och används endast för att ta fram statistiska rapporter i enlighet med Europaparlamentets och rådets förordningar (EU) 2017/2226 (11), (EU) 2018/1240 (12), (EU) 2018/1860 (13), (EU) 2018/1861 (14), (EU) 2018/1862 (15) och (EU) 2019/816 (16). |
|
2) |
(statistiska) rapporter: en organiserad samling av statistiska uppgifter som tagits fram av den centrala databasen på ett automatiserat sätt i enlighet med en uppsättning på förhand fastställda regler och som lagras i den centrala databasen. |
|
3) |
anpassningsbara rapporter: statistiska rapporter som extraheras på grundval av statistiska uppgifter som finns i den centrala databasen i enlighet med särskilda regler som fastställts ad hoc av en användare och som lagras i den centrala databasen. |
|
4) |
kritiska identitetsuppgifter: någon av följande uppgifter eller en kombination av dessa, med hjälp av vilka enskilda personer kan identifieras:
|
Artikel 2
Information som ska finnas i den centrala databasen
1. De uppgifter som avses i artikel 39.2 i förordning (EU) 2019/818 ska göras tillgängliga och lagras i den centrala databasen i enlighet med denna förordning.
2. Den centrala databasen ska innehålla statistiska uppgifter, inbegripet rapporter om systemanvändning för övervakning av hur interoperabilitetskomponenterna fungerar i enlighet med artikel 62 i förordning (EU) 2019/818.
3. Den centrala databasen ska innehålla tekniska rapporter för att säkerställa eu-LISA:s övervakning av interoperabilitetskomponenternas utveckling och funktion i enlighet med artikel 74.1 i förordning (EU) 2019/818.
4. Den centrala databasen ska behålla ett unikt referensnummer som gör det möjligt att spåra korsmatchning av identitetsakter inom eller mellan motsvarande EU-informationssystem för statistiska ändamål. Det får inte vara möjligt att använda detta referensnummer för att hämta de underliggande identitetsakterna.
5. Den centrala databasen ska göra det möjligt för vederbörligen bemyndigad personal vid de behöriga myndigheter som avses i artikel 39.2 i förordning (EU) 2019/818 att erhålla följande:
|
a) |
Rapporter enligt artikel 74 i förordning (EU) 2018/1862 som innehåller följande statistik över loggningsnoteringar i Schengens informationssystem:
|
|
b) |
Rapporter enligt artikel 32 i förordning (EU) 2019/816 som innehåller följande statistik över poster i det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister avseende tredjelandsmedborgare (Ecris-TCN) och Ecris referensprogramvara:
|
6. De tekniska rapporter som avses i punkt 2 ska innehålla statistik om användningen av systemet, tillgänglighet, incidenter, prestanda, biometrisk noggrannhet, uppgifternas kvalitet och, i tillämpliga fall, pågående transaktioner.
7. Användaren ska kunna anpassa de verksamhetsrapporter som produceras av den centrala databasen för att möjliggöra filtrering eller gruppering av uppgifterna med hjälp av ett rapporteringsverktyg som görs tillgängligt med den centrala databasen.
8. En katalog över rapporter ska göras tillgänglig. Begäranden om nya rapporter eller ändringar av befintliga rapporter ska följa eu-LISA:s policy för förändringshantering.
Artikel 3
Databas och rapporteringsverktyg
1. Den centrala databasen ska använda en teknisk lösning som hyser uppgifter som extraherats från de underliggande EU-informationssystemen och interoperabilitetskomponenterna.
2. Den tekniska lösningen ska innehålla ett rapporteringsverktyg som är konfigurerat för att skapa, upprätthålla och verkställa de rapporter och anpassningsbara rapporter som avses i artikel 2.
3. Rapporteringsverktyget ska göra det möjligt att generera verksamhetsrapporter och tekniska rapporter och göra det möjligt för användaren att hämta dem.
4. Rapporteringsverktyget ska göra det möjligt att tillhandahålla systemöverskridande statistiska uppgifter och analytisk rapportering för politiska och operativa syften samt för uppgiftskvaliteten, när så föreskrivs i unionsrätten.
5. Alla rapporter ska hanteras inom ramen för den tekniska lösningen. Lämpliga säkerhets- och integritetsåtgärder ska implementeras i den tekniska lösningen för att uppfylla kraven i den säkerhetsplan som föreskrivs i artikel 42.3 i förordning (EU) 2019/818.
6. Den tekniska lösningen ska implementeras i eu-LISA:s tekniska anläggning och vid backup-enheten.
Artikel 4
Extrahering av uppgifter
Den centrala databasen ska från EU-informationssystemen hämta skrivskyddade kopior av de uppgifter som avses i artiklarna 39.2, 62.1, 62.2 och 62.3 i förordning (EU) 2019/818 för att ta fram den statistik och de rapporter som avses i artiklarna 39 och 62 i den förordningen. Uppgifterna ska hämtas regelbundet, minst en gång om dagen, genom envägsextraktion.
Artikel 5
Verktyg för anonymisering av uppgifter
1. De uppgifter som extraheras från de underliggande EU-informationssystemen och interoperabilitetskomponenterna ska anonymiseras med hjälp av ett verktyg för anonymisering av uppgifter. Endast anonymiserade uppgifter får lagras i den centrala databasen.
2. Verktyget för anonymisering av uppgifter ska identifiera kritiska identitetsuppgifter i EU-informationssystemen och anonymisera dem genom en automatiserad process innan statistiska uppgifter lagras i den centrala databasen. Anonymiseringsprocessen ska vara irreversibel.
Artikel 6
Åtkomst
1. Vederbörligen bemyndigade anställdas åtkomst till den centrala databasen ska beviljas och hanteras i enlighet med artikel 74 i förordning (EU) 2018/1862 och artikel 32 i förordning (EU) 2019/816.
2. Den centrala databasen ska vara åtkomlig för medlemsstaterna, kommissionen och unionsbyråerna, i enlighet med deras åtkomsträttigheter enligt unionsrätten, via en säker nätverksanslutning (Testa).
3. Endast vederbörligen bemyndigad personal vid de behöriga myndigheterna i enlighet med artiklarna 39.2 och 62.1–62.5 i förordning (EU) 2019/818 ska beviljas åtkomst till det verktyg som avses i artikel 3.2 i denna förordning.
4. De behöriga myndigheterna ska ha åtkomst till den centrala databasen med hjälp av användarprofiler. Eu-LISA ska föra en förteckning över användarprofilerna. En myndighet kan ha flera profiler, beroende på dess åtkomsträttigheter.
5. Åtkomsten till den centrala databasen ska loggas. Den information som loggas ska åtminstone innehålla
|
a) |
en tidsstämpel, |
|
b) |
myndighet, |
|
c) |
typ av rapport som berörs. |
6. Loggar som gör det möjligt att identifiera användare som har åtkomst till den centrala databasen ska föras på nationell nivå och av kommissionen, Europeiska gräns- och kustbevakningsbyrån och Europol. Eu-LISA ska föra logg över all åtkomstverksamhet. Loggarna ska lagras i den centrala databasen i ett år, varefter de automatiskt ska raderas.
7. Eventuella motstridiga roller inom den centrala databasen ska identifieras och åtkomst ska beviljas i enlighet med principerna om
|
a) |
behovsenlig behörighet, |
|
b) |
åtkomst med begränsad behörighet, |
|
c) |
åtskillnad mellan funktioner. |
8. Rapporter om uppgifternas kvalitet som utfärdas i enlighet med artikel 15.4 i förordning (EU) 2018/1862 ska innehålla ett verktyg som medlemsstaterna kan använda för att ge eu-LISA återkoppling om hur de problem som uppstått har åtgärdats.
Artikel 7
Personuppgiftsbiträde
När det gäller anonymisering av personuppgifter i enlighet med artikel 5 ska eu-LISA vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725.
Artikel 8
Andra dataskydds- och säkerhetsaspekter
1. De uppgifter som lagras i den centrala databasen ska konsulteras endast för rapporterings- och statistikändamål.
2. Eu-LISA ska vidta nödvändiga säkerhetsåtgärder för att säkerställa integriteten hos uppgifterna i den centrala databasen. Alla ändringar av uppgifterna ska kunna spåras för revisionsändamål.
Artikel 9
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.
Utfärdad i Bryssel den 30 september 2021.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 135, 22.5.2019, s. 85.
(2) Europaparlamentets och rådets förordning (EU) 2019/817 av den 20 maj 2019 om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området gränser och viseringar, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 och (EU) 2018/1861 samt rådets beslut 2004/512/EG och 2008/633/RIF (EUT L 135, 22.5.2019, s. 27).
(3) Denna förordning omfattas inte av de åtgärder som föreskrivs i rådets beslut 2002/192/EG av den 28 februari 2002 om Irlands begäran om att få delta i vissa bestämmelser i Schengenregelverket (EGT L 64, 7.3.2002, s. 20).
(4) EGT L 176, 10.7.1999, s. 36.
(5) Rådets beslut 1999/437/EG av den 17 maj 1999 om vissa tillämpningsföreskrifter för det avtal som har ingåtts mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa båda staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (EGT L 176, 10.7.1999, s. 31).
(6) EUT L 53, 27.2.2008, s. 52.
(7) Rådets beslut 2008/146/EG av den 28 januari 2008 om ingående på Europeiska gemenskapens vägnar av avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (EUT L 53, 27.2.2008, s. 1).
(8) EUT L 160, 18.6.2011, s. 21.
(9) Rådets beslut 2011/350/EU av den 7 mars 2011 om ingående på Europeiska unionens vägnar av protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, om avskaffande av kontroller vid de inre gränserna och om personers rörlighet (EUT L 160, 18.6.2011, s. 19).
(10) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
(11) Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011 (EUT L 327, 9.12.2017, s. 20).
(12) Europaparlamentets och rådets förordning (EU) 2018/1240 av den 12 september 2018 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias) och om ändring av förordningarna (EU) nr 1077/2011, (EU) nr 515/2014, (EU) 2016/399, (EU) 2016/1624 och (EU) 2017/2226 (EUT L 236, 19.9.2018, s. 1).
(13) Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna (EUT L 312, 7.12.2018, s. 1).
(14) Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006 (EUT L 312, 7.12.2018, s. 14).
(15) Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU (EUT L 312, 7.12.2018, s. 56).
(16) Europaparlamentets och rådets förordning (EU) 2019/816 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726 (EUT L 135, 22.5.2019, s. 1).