1 Europaparlaments- og rådsforordning (EU) 2019/817 av 20.mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS
EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR —
under henvisning til traktaten om Den europeiske unions virkemåte, særlig artikkel 16 nr. 2, artikkel 74 og artikkel 77 nr. 2 bokstav a), b), d) og e),
under henvisning til forslag fra Europakommisjonen,
etter oversending av utkast til regelverksakt til de nasjonale parlamentene,
under henvisning til uttalelse fra Den europeiske økonomiske og sosiale komité1,
etter samråd med Regionkomiteen,
etter den ordinære regelverksprosedyren2, og
ut fra følgende betraktninger:
Kommisjonen understreket i sin melding av 6. april 2016 med tittelen «Stronger and Smarter Information Systems for Borders and Security» behovet for å forbedre Unionens struktur for behandling av opplysninger for grenseforvaltning og sikkerhet. Meldingen innledet en prosess for å oppnå interoperabilitet mellom EU-informasjonssystemer for sikkerhets-, grense- og migrasjonsforvaltning med henblikk på å avhjelpe de strukturelle manglene i disse systemene som hindrer de nasjonale myndighetenes arbeid, og for å sikre at grensevakter, tollmyndigheter, politibetjenter og rettsmyndigheter har tilgang til nødvendige opplysninger.
I sitt veikart for styrking av informasjonsutveksling og informasjonsforvaltning, herunder interoperabilitetsløsninger for rettslige og indre anliggender, av 6. juni 2016 kartla Rådet forskjellige rettslige, tekniske og driftsmessige utfordringer i forbindelse med interoperabiliteten mellom EU-informasjonssystemer og oppfordret til å finne løsninger.
Europaparlamentet oppfordret i sin beslutning av 6. juli 2016 om de strategiske prioriteringene for Kommisjonens arbeidsprogram for 20173 til å fremme forslag til å forbedre og utvikle eksisterende EU-informasjonssystemer, løse problemet med manglende opplysninger og gå i retning av interoperabilitet og forslag om obligatorisk informasjonsutveksling på EU-plan ledsaget av nødvendige personvernbestemmelser.
Det europeiske råd oppfordret i sine konklusjoner av 15. desember 2016 til at arbeidet skulle fortsette med å levere interoperabilitet mellom EU-informasjonssystemer og -databaser.
Ekspertgruppen på høyt nivå for informasjonssystemer og interoperabilitet konkluderte i sin sluttrapport av 11. mai 2017 at det var nødvendig og teknisk gjennomførbart å arbeide for praktiske interoperabilitetsløsninger, og at interoperabilitet i prinsippet både kan gi driftsmessige gevinster og innføres i samsvar med personvernkravene.
Kommisjonen fastsatte i sin melding av 16. mai 2017 med tittelen «Seventh progress report towards an effective and genuine Security Union», i samsvar med sin melding av 6. april 2016 og resultatene og anbefalingene fra ekspertgruppen på høyt nivå for informasjonssystemer og interoperabilitet en ny strategi for forvaltning av opplysninger for grenser, sikkerhet og migrasjon der alle EU-informasjonssystemer for sikkerhets-, grense- og migrasjonsforvaltning vil være interoperable på en måte som fullt ut overholder de grunnleggende rettigheter.
Rådet oppfordret i sine konklusjoner av 9. juni 2017 om veien til å forbedre informasjonsutvekslingen og sikre interoperabiliteten mellom EU-informasjonssystemer Kommisjonen til å prøve å oppnå interoperabilitetsløsningene som ekspertgruppen på høyt nivå hadde foreslått.
Det europeiske råd understreket i sine konklusjoner av 23. juni 2017 behovet for å forbedre interoperabiliteten mellom databaser og oppfordret Kommisjonen til snarest mulig å utarbeide utkast til lovgivning på grunnlag av forslagene fra ekspertgruppen på høyt nivå for informasjonssystemer og interoperabilitet.
Med henblikk på å forbedre formålstjenligheten og effektiviteten av kontrollene ved de ytre grensene, bidra til å forebygge og bekjempe ulovlig innvandring og bidra til et høyt sikkerhetsnivå innenfor området frihet, sikkerhet og rettferdighet i Unionen, herunder opprettholde den offentlige sikkerhet og den offentlige orden og ivareta sikkerheten på medlemsstatenes territorier, forbedre gjennomføringen av den felles visumpolitikken, bistå ved gjennomgåelsen av søknader om internasjonal beskyttelse, bidra til å forebygge, avsløre og etterforske terrorhandlinger og andre alvorlige straffbare forhold, forenkle identifiseringen av ukjente personer som er ute av stand til å legitimere seg, eller uidentifiserte menneskelige levninger ved en naturkatastrofe, en ulykke eller et terrorangrep, med det formål å opprettholde allmennhetens tillit til Unionens migrasjons- og asylsystem, Unionens sikkerhetstiltak og Unionens evne til å forvalte de ytre grensene, bør det skapes interoperabilitet mellom EU-informasjonssystemene, dvs. inn- og utreisesystemet (EES), visuminformasjonssystemet (VIS), det europeiske systemet for reiseinformasjon og fremreisetillatelse (ETIAS), Eurodac, Schengen-informasjonssystemet (SIS) og det europeiske strafferegisterinformasjonssystemet for tredjestatsborgere (ECRIS-TCN), slik at disse EU-informasjonssystemene og opplysningene i dem utfyller hverandre, samtidig som enkeltmenneskets grunnleggende rettigheter, særlig retten til vern av personopplysninger, respekteres. For å oppnå dette bør det opprettes en europeisk søkeportal (ESP), en felles biometrisk sammenligningstjeneste (sBMS), et felles identitetsregister (CIR) og en fleridentitetsdetektor (MID) som interoperabilitetskomponenter.
Interoperabiliteten mellom EU-informasjonssystemer bør gjøre det mulig for disse systemene å utfylle hverandre for å forenkle korrekt identifisering av personer, herunder ukjente personer ute av stand til å legitimere seg eller uidentifiserte menneskelige levninger, bidra til å bekjempe identitetsbedrageri, forbedre og harmonisere kravene til opplysningenes kvalitet i de enkelte EU-informasjonssystemene, forenkle medlemsstatenes tekniske og praktiske implementering av EU-informasjonssystemer, styrke datasikkerheten og personvernbestemmelsene som gjelder for de enkelte EU-informasjonssystemer, effektivisere tilgang til EES, VIS, ETIAS og Eurodac med det formål å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold, og støtte formålene med EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN.
Interoperabilitetskomponentene bør omfatte EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN. De bør også omfatte Europol-opplysninger, men bare i det omfang det gir mulighet til å søke Europol-opplysninger samtidig med disse EU-informasjonssystemene.
Interoperabilitetskomponentene bør behandle personopplysningene for personer hvis personopplysninger behandles i de underliggende EU-informasjonssystemene og av Europol.
ESP bør opprettes for teknisk å forenkle medlemsstatenes myndigheters og unionsbyråenes raske, smidige, effektive, systematiske og kontrollerte tilgang til EU-informasjonssystemene, Europol-opplysninger og Den internasjonale kriminalpolitiorganisasjons (Interpols) databaser, i det omfang dette er nødvendig for at de kan utføre sine oppgaver i samsvar med sine tilgangsrettigheter. ESP bør også opprettes for å støtte målene med EES, VIS, ETIAS, Eurodac, SIS, ECRIS-TCN og Europol-opplysninger. Ved å gjøre det mulig å søke parallelt i alle relevante EU-informasjonssystemer, Europol-opplysninger og Interpol-databasene bør ESP fungere som et felles kontaktpunkt eller en «meldingsformidler» for å søke i de forskjellige sentrale systemene og problemfritt trekke ut de nødvendige opplysningene, idet de underliggende systemenes tilgangskontroll og personvernkrav fullt ut respekteres.
Utformingen av ESP bør sikre at opplysningene som ved et søk i Interpol-databasene brukes av en ESP-bruker til å innlede et søk, ikke deles med eierne av Interpol-opplysninger. Utformingen av ESP bør også sikre at det søkes i Interpol-databasene bare i samsvar med gjeldende unionsrett og nasjonal rett.
Interpols database over stjålne og forsvunne reisedokumenter (SLTD-databasen) gjør det mulig for kompetente enheter med ansvar for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold i medlemsstatene, herunder immigrasjons- og grensekontrollmyndigheter, å fastslå om et reisedokument er gyldig. Via ETIAS søkes det i SLTD-databasen og Interpols database over reisedokumenter med tilknyttede meldinger (TDAWN-databasen) for å vurdere om det er sannsynlig at en person som søker om fremreisetillatelse, for eksempel vil bli en irregulær migrant eller utgjøre en trussel mot sikkerheten. ESP bør gjøre det mulig å søke i SLTD- og TDAWN-databasene ved hjelp av en persons identitetsopplysninger eller reisedokumentopplysninger. Dersom personopplysninger overføres fra Unionen til Interpol via ESP, bør bestemmelsene om internasjonale overføringer i kapittel V i europaparlaments- og rådsforordning (EU) 2016/6794 eller de nasjonale bestemmelsene som innarbeider kapittel V i europaparlaments- og rådsdirektiv (EU) 2016/6805, få anvendelse. Dette bør ikke berøre de særlige reglene fastsatt i rådets felles standpunkt 2005/69/JIS6 og rådsbeslutning 2007/533/JIS7.
ESP bør utvikles og innrettes slik at det bare er mulig å foreta slike søk med opplysninger som gjelder personer eller reisedokumenter som finnes i et EU-informasjonssystem, i Europol-opplysninger eller i Interpol-databasene.
For å sikre systematisk bruk av de relevante EU-informasjonssystemene bør ESP brukes til å søke i CIR, EES, VIS, ETIAS, Eurodac og ECRIS-TCN. En nasjonal tilkopling til de forskjellige EU-informasjonssystemene bør imidlertid opprettholdes som et teknisk alternativ. Unionsbyråene bør likeledes bruke ESP til å søke i det sentrale SIS i samsvar med sine tilgangsrettigheter og for å utføre sine oppgaver. ESP bør være et ytterligere middel til å søke i det sentrale SIS, Europol-opplysninger og Interpol-databasene som supplement til de eksisterende særlige grensesnittene.
Biometriske opplysninger, for eksempel fingeravtrykk og ansiktsbilder, er unike og derfor langt mer pålitelige enn alfanumeriske opplysninger for det formål å identifisere en person. sBMS bør være et teknisk hjelpemiddel til å styrke og forenkle de relevante EU-informasjonssystemenes og de andre interoperabilitetskomponentenes funksjon. Hovedformålet med sBMS bør være å forenkle identifisering av en person som er registrert i flere databaser, ved å bruke en enkelt teknologisk komponent til å sammenligne denne personens biometriske opplysninger mellom forskjellige systemer i stedet for å bruke flere komponenter. sBMS bør bidra til sikkerheten og gi fordeler når det gjelder økonomi, vedlikehold og drift. Alle automatiserte fingeravtrykksidentifiseringssystemer, herunder slike som for øyeblikket brukes til Eurodac, VIS og SIS, bruker biometriske maler som består av opplysninger som utledes av trekk fra faktiske biometriske prøver. sBMS bør samle og lagre alle disse biometriske malene – logisk atskilt i samsvar med informasjonssystemet opplysningene stammer fra – på et enkelt sted for på den måten å forenkle sammenligninger mellom systemer ved hjelp av biometriske maler og gi stordriftsfordeler ved utvikling og vedlikehold av de sentrale EU-systemene.
De biometriske malene som er lagret i sBMS, bør bestå av opplysninger som er utledet av trekk fra faktiske biometriske prøver, og opprettes på en slik måte at det ikke er mulig å reversere utledningsprosessen. Biometriske maler bør opprettes på bakgrunn av biometriske opplysninger, men det bør ikke være mulig å opprette disse biometriske opplysningene på bakgrunn av de biometriske malene. Ettersom håndflateavtrykksopplysninger og DNA-profiler bare lagres i SIS og ikke kan ikke brukes til å utføre kryssjekk mot opplysninger i andre informasjonssystemer, bør sBMS i henhold til nødvendighets- og forholdsmessighetsprinsippet ikke lagre DNA-profiler eller biometriske maler som skriver seg fra håndflateavtrykksopplysninger.
Biometriske opplysninger utgjør sensitive personopplysninger. Denne forordning bør fastsette grunnlaget og vernetiltakene for behandling av slike opplysninger med det formål entydig å identifisere de berørte personene.
EES, VIS, ETIAS, Eurodac og ECRIS-TCN krever nøyaktig identifisering av personer hvis personopplysninger er lagret i dem. CIR bør derfor forenkle korrekt identifisering av personer som er registrert i disse systemene.
Personopplysninger som lagres i disse EU-informasjonssystemene, kan vedrøre de samme personene, men under forskjellige eller ufullstendige identiteter. Medlemsstatene har effektive metoder til å identifisere sine borgere eller registrerte fastboende personer på sitt territorium. Interoperabiliteten mellom EU-informasjonssystemer bør bidra til korrekt identifisering av personer som er registrert i disse systemene. CIR bør lagre personopplysninger som er nødvendige for å foreta en mer presis identifisering av personer hvis opplysninger er lagret i disse systemene, herunder deres identitetsopplysninger, reisedokumentopplysninger og biometriske opplysninger, uansett hvilket system opplysningene opprinnelig ble samlet inn i. Bare personopplysninger som er absolutt nødvendige for å foreta en nøyaktig identitetskontroll, bør lagres i CIR. Personopplysninger som er registrert i CIR, bør ikke lagres lenger enn absolutt nødvendig for de underliggende systemenes formål og bør slettes automatisk når opplysningene slettes fra de underliggende systemene i samsvar med den logiske atskillelsen.
En ny behandling som består i å lagre slike opplysninger i CIR i stedet for å lagre dem i hvert av de særskilte systemene, er nødvendig for at det skal være mulig å forbedre identifiseringens nøyaktighet via automatisert sammenligning og matching av opplysninger. Det forhold at identitetsopplysninger, reisedokumentopplysninger og biometriske opplysninger lagres i CIR, bør ikke på noen måte hindre behandlingen av opplysninger i forbindelse med EES, VIS, ETIAS, Eurodac eller ECRIS-TCN, ettersom CIR bør være en ny felles komponent i disse underliggende systemene.
Det er derfor nødvendig å opprette en individuell saksmappe i CIR for hver person som registreres i EES, VIS, ETIAS, Eurodac eller ECRIS-TCN for å oppfylle formålet med korrekt identifisering av personer innenfor Schengen-området og for å støtte MID med det dobbelte formål å forenkle identitetskontroller for lovlig reisende og bekjempe identitetsbedrageri. Den individuelle saksmappen bør lagre på et enkelt sted alle de identitetsopplysninger som er knyttet til en person, og gi sluttbrukere med behørig fullmakt tilgang til dem.
CIR bør således forenkle og effektivisere tilgang for myndigheter med ansvar for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold til de EU-informasjonssystemer som ikke er opprettet utelukkende med det formål å forebygge, avsløre eller etterforske alvorlig kriminalitet.
CIR bør være et felles register for identitetsopplysninger, reisedokumentopplysninger og biometriske opplysninger for personer som er registrert i EES, VIS, ETIAS, Eurodac og ECRIS-TCN. Det bør være en del av den tekniske arkitekturen for disse systemene og fungere som den felles komponenten mellom dem for å lagre og søke i identitetsopplysningene, reisedokumentopplysningene og de biometriske opplysningene.
Alle registreringer i CIR bør atskilles logisk ved at hver registrering automatisk merkes med navnet på det underliggende systemet som registreringen ligger i. Tilgangskontrollene til CIR bør bruke disse merkelappene til å avgjøre om det skal gis tilgang til registreringen.
Dersom en medlemsstats politimyndighet ikke kan identifisere en person fordi det mangler et reisedokument eller et annet troverdig dokument som beviser personens identitet, eller dersom det hersker tvil om identitetsopplysningene personen framlegger, eller om reisedokumentets ekthet eller innehaverens identitet, eller dersom personen ikke kan eller vil samarbeide, bør den aktuelle politimyndigheten kunne foreta et søk i CIR for å identifisere personen. For disse formål bør politiet registrere fingeravtrykk ved hjelp av teknikker for direkteskanning av fingeravtrykk, forutsatt at framgangsmåten ble innledet i den berørte personens nærvær. Slike søk i CIR bør ikke tillates for identifisering av mindreårige under 12 år, med mindre det er i barnets interesse.
Dersom en persons biometriske opplysninger ikke kan brukes eller et søk med disse opplysningene mislykkes, bør søket foretas med personens identitetsopplysninger i kombinasjon med reisedokumentopplysninger. Dersom søket viser at opplysninger om denne personen er lagret i CIR, bør medlemsstatenes myndigheter ha tilgang til CIR for å konsultere denne personens identitetsopplysninger og reisedokumentopplysninger, uten at det i CIR angis hvilket EU-informasjonssystem opplysningene tilhører.
Medlemsstatene bør vedta nasjonale lovgivningstiltak for å utpeke kompetente myndigheter for å utføre identitetskontroller ved hjelp av CIR og fastsette framgangsmåter, vilkår og kriterier for slike kontroller, som bør følge forholdsmessighetsprinsippet. Særlig bør den fullmakt en ansatt hos disse myndighetene har til å oppta biometriske opplysninger under en identitetskontroll av en person, fastsettes i nasjonal rett.
Ved denne forordning bør det også innføres en ny mulighet til effektivisert tilgang til andre opplysninger enn identitetsopplysninger og reisedokumentopplysninger i EES, VIS, ETIAS eller Eurodac for medlemsstatenes utpekte myndigheter med ansvar for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold og for Europol. Slike opplysninger kan være nødvendige for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold i en konkret sak der det er rimelig grunn til å anta at en konsultasjon av dem vil bidra til å forebygge, avsløre eller etterforske terrorhandlingen eller andre aktuelle alvorlige straffbare forhold, særlig dersom det er mistanke om at en mistenkt, en gjerningsperson eller et offer for en terrorhandling eller et annet alvorlig straffbart forhold er en person hvis opplysninger er lagret i EES, VIS, ETIAS eller Eurodac.
Full tilgang til opplysninger i EES VIS, ETIAS eller Eurodac som er nødvendige for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold, i tillegg til tilgang til identitetsopplysninger eller reisedokumentopplysninger i CIR, bør fortsatt være omfattet av de relevante rettslige instrumentene. De utpekte myndighetene med ansvar for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold og Europol vet ikke på forhånd hvilket EU-informasjonssystem som inneholder opplysninger om personene de har behov for å foreta søk om. Dette fører til forsinkelser og ineffektivitet. En sluttbruker som har fått fullmakt av den utpekte myndigheten, bør derfor ha rett til å se i hvilket av disse EU-informasjonssystemene opplysningene som tilsvarer resultatet av et søk, er registrert. Det berørte systemet vil dermed bli merket etter den automatiske kontrollen av at det finnes et treff i systemet (en såkalt funksjon for flagging av treff).
I denne sammenheng bør et svar fra CIR ikke tolkes eller brukes som grunnlag for å trekke en konklusjon om eller iverksette tiltak i forbindelse med en person, men bør bare brukes til å inngi en anmodning om tilgang til de underliggende EU-informasjonssystemene på vilkårene og etter framgangsmåtene fastsatt i respektive rettslige instrumenter om slik tilgang. Enhver slik anmodning om tilgang bør være underlagt kapittel VII i denne forordning og eventuelt forordning (EU) 2016/679, direktiv (EU) 2016/680 eller europaparlaments- og rådsforordning (EU) 2018/17258.
Som hovedregel bør de utpekte myndighetene eller Europol anmode om full tilgang til minst ett av de berørte EU-informasjonssystemene dersom en flagging av treff angir at opplysningene er registrert i EES, VIS, ETIAS eller Eurodac. Dersom det unntaksvis ikke anmodes om slik full tilgang, f.eks. fordi de utpekte myndighetene eller Europol allerede har fått opplysningene på annen måte eller det ikke lenger er tillatt å samle inn opplysningene i henhold til nasjonal rett, bør begrunnelsen for ikke å anmode om tilgang registreres.
Loggene over søk i CIR bør vise formålet med søkene. Dersom et slikt søk ble utført ved hjelp av totrinnsmetoden, bør loggene inneholde en henvisning til den nasjonale saksmappen for etterforskingen eller saken og dermed angi at søket ble foretatt for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold.
Utpekte myndigheters og Europols søk i CIR for å få et svar i form av en flagging av treff som angir at opplysningene finnes i EES, VIS, ETIAS eller Eurodac, krever automatisert behandling av personopplysninger. En flagging av treff bør ikke vise andre personopplysninger om den berørte personen enn en angivelse av at visse opplysninger om vedkommende er lagret i et av systemene. Sluttbrukeren med behørig fullmakt bør ikke treffe en negativ beslutning om den berørte personen bare fordi et søk ga en flagging av treff. Sluttbrukerens tilgang til en flagging av treff vil derfor utgjøre et svært begrenset inngrep i den berørte personens rett til beskyttelse av personopplysninger, samtidig som det vil gi de utpekte myndighetene og Europol mulighet til å anmode om tilgang til personopplysninger mer effektivt.
MID bør opprettes for å støtte CIRs funksjon og målene med EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN. For effektivt å kunne oppfylle sine mål krever alle disse EU-informasjonssystemene nøyaktig identifisering av personer hvis personopplysninger er lagret i dem.
For bedre å oppfylle målene med EU-informasjonssystemene bør myndighetene som bruker disse systemene, kunne utføre en tilstrekkelig pålitelig kontroll av identiteten til personer hvis opplysninger er lagret i de forskjellige systemene. Identitetsopplysningene eller reisedokumentopplysningene som er lagret i et bestemt individuelt system, kan være feilaktige, ufullstendig eller falske, og det er for øyeblikket ingen mulighet til å avsløre feilaktige, ufullstendige eller falske identitetsopplysninger eller reisedokumentopplysninger ved å sammenligne opplysninger som er lagret i et annet system. For å avhjelpe denne situasjonen er det nødvendig på EU-plan å ha et teknisk instrument som gjør det mulig å identifisere personer nøyaktig for disse formål.
MID bør opprette og lagre lenker mellom opplysninger i de forskjellige EU-informasjonssystemene med henblikk på å avdekke flere identiteter, både for å forenkle identitetskontrollen av lovlig reisende og bekjempe identitetsbedrageri. MID bør bare inneholde lenker mellom opplysninger om personer som er registrert i mer enn ett EU-informasjonssystem. De lenkede opplysningene bør være strengt begrenset til nødvendige opplysninger for å kontrollere at en person er registrert på en begrunnet eller ubegrunnet måte med forskjellige identiteter i forskjellige systemer, eller for å presisere at to personer med lignende identitetsopplysninger kanskje ikke er den samme personen. Behandling av opplysninger via ESP og sBMS for å knytte sammen individuelle saksmapper mellom forskjellige systemer bør holdes på et absolutt minimum og derfor begrenses til avdekking av flere identiteter på det tidspunkt nye opplysninger tilføyes i et av systemene som har opplysninger lagret i CIR, eller tilføyes i SIS. MID bør omfatte vernetiltak mot potensiell forskjellsbehandling og ufordelaktige beslutninger mot personer med flere lovlige identiteter.
I denne forordning fastsettes bestemmelser om nye typer behandling av opplysninger for korrekt identifisering av de berørte personene. Dette utgjør et inngrep i deres grunnleggende rettigheter som beskyttet av artikkel 7 og 8 i Den europeiske unions pakt om grunnleggende rettigheter. Ettersom EU-informasjonssystemene er avhengige av at de berørte personene identifiseres korrekt for å fungere effektivt, er dette inngrepet begrunnet i samme mål som hvert av disse systemene ble opprettet for, nemlig effektiv forvaltning av Unionens grenser, Unionens indre sikkerhet og effektiv gjennomføring av Unionens asyl- og visumpolitikk.
ESP og sBMS bør sammenligne opplysninger om personer i CIR og SIS når en nasjonal myndighet eller et unionsbyrå oppretter eller laster opp nye opplysninger. Denne sammenligningen bør automatiseres. CIR og SIS bør bruke sBMS til å oppdage mulige lenker på grunnlag av biometriske opplysninger. CIR og SIS bør bruke ESP til å oppdage mulige lenker på grunnlag av alfanumeriske opplysninger. CIR og SIS bør kunne identifisere de samme eller lignende opplysninger om en person som er lagret i flere systemer. Når det er tilfelle, bør det opprettes en lenke som angir at det er den samme personen. CIR og SIS bør innrettes slik at små translittererings- eller stavefeil oppdages på en slik måte at det ikke skaper noen ubegrunnet hindring for den berørte personen.
Den nasjonale myndigheten eller unionsbyrået som registrerte opplysningene i det respektive EU-informasjonssystemet, bør bekrefte eller endre lenkene. Denne nasjonale myndigheten eller dette unionsbyrået bør ha tilgang til opplysningene som er lagret i CIR eller SIS og i MID for manuell verifisering av forskjellige identiteter.
En manuell verifisering av forskjellige identiteter bør sikres av myndigheten som har opprettet eller ajourført opplysningene som førte til et treff som ga opphav til en lenke til opplysninger som er lagret i et annet EU-informasjonssystem. Myndigheten med ansvar for manuell verifisering av forskjellige identiteter bør vurdere om det er flere identiteter som på en begrunnet eller ubegrunnet måte henviser til den samme personen. En slik vurdering bør om mulig utføres i den berørte personens nærvær og om nødvendig ved å kreve ytterligere presiseringer eller opplysninger. Vurderingen bør utføres uten ugrunnet opphold og i samsvar med de lovfestede kravene til opplysningers nøyaktighet i henhold til unionsretten og nasjonal rett. Særlig ved grensene vil de berørte personenes bevegelsesfrihet være begrenset i kontrollperioden, som derfor ikke bør vare ved på ubestemt tid. Forekomsten av en gul lenke i MID bør ikke i seg selv utgjøre en grunn til nektet innreise, og enhver beslutning om å tillate eller nekte innreise bør treffes utelukkende på grunnlag av de relevante bestemmelsene i europaparlaments- og rådsforordning (EU) 2016/3999.
For lenker som er opprettet via SIS med meldinger om personer som er etterlyst for pågripelse og overlevering eller utlevering, savnede eller utsatte personer, personer som er etterlyst i forbindelse med rettslig prosedyre, og personer omfattet av diskret kontroll, undersøkelseskontroll eller målrettet kontroll, bør myndigheten med ansvar for manuell verifisering av forskjellige identiteter være SIRENE-kontoret i medlemsstaten som har opprettet meldingen. Disse kategoriene av SIS-meldinger er sensitive og bør ikke nødvendigvis deles med myndighetene som opprettet eller ajourførte opplysninger som er lenket til dem i et av de andre EU-informasjonssystemene. Opprettelsen av en lenke til SIS-opplysninger bør ikke berøre tiltakene som skal iverksettes i samsvar med europaparlaments- og rådsforordning (EU) 2018/186010, (EU) 2018/186111 og (EU) 2018/186212.
Opprettelsen av slike lenker krever åpenhet overfor de berørte personene. For å forenkle gjennomføringen av de nødvendige vernetiltak i samsvar med Unionens relevante personvernbestemmelser bør personer som det er opprettet en rød lenke eller en hvit lenke for etter manuell verifisering av forskjellige identiteter, underrettes skriftlig, med forbehold mot begrensninger med henblikk på å ivareta sikkerheten og den offentlige orden, forebygge kriminalitet og garantere at nasjonale etterforskinger ikke settes i fare. Disse personene bør få et enkelt identifiseringsnummer som gjør det mulig å identifisere myndigheten de bør henvende seg til for å utøve sine rettigheter.
Dersom det opprettes en gul lenke, bør myndigheten med ansvar for manuell verifisering av forskjellige identiteter ha tilgang til MID. Dersom det er en rød lenke, bør medlemsstatenes myndigheter og unionsbyråene med tilgang til minst ett EU-informasjonssystem i CIR eller til SIS ha tilgang til MID. En rød lenke bør vise at en person ubegrunnet bruker forskjellige identiteter, eller at en person bruker en annen persons identitet.
Dersom det er en hvit eller grønn lenke mellom opplysninger fra to EU-informasjonssystemer, bør medlemsstatenes myndigheter og unionsbyråene ha tilgang til MID, dersom den berørte myndigheten eller det berørte byrået har tilgang til begge informasjonssystemene. En slik tilgang bør gis bare med det formål å gjøre det mulig for denne myndigheten eller dette byrået å oppdage potensielle tilfeller der opplysninger er feilaktig lenket eller behandlet i MID, CIR og SIS i strid med denne forordning, og iverksette tiltak for å avhjelpe situasjonen og ajourføre eller slette lenken.
Den europeiske unions byrå for driftsforvaltning av store IT-systemer innenfor området frihet, sikkerhet og rettferdighet (eu-LISA) bør opprette automatiserte mekanismer for kontroll av opplysningenes kvalitet og felles indikatorer for opplysningenes kvalitet. eu-LISA bør ha ansvar for å utvikle en sentral overvåkingskapasitet for opplysningenes kvalitet og regelmessig utarbeide rapporter for analyse av opplysninger for å forbedre kontrollen med medlemsstatenes implementering av EU-informasjonssystemene. De felles indikatorene for opplysningenes kvalitet bør omfatte minstekvalitetsstandarder for lagring av opplysninger i EU-informasjonssystemene eller interoperabilitetskomponentene. Målet med slike standarder for opplysningers kvalitet bør være at EU-informasjonssystemene og interoperabilitetskomponentene automatisk kan finne tilsynelatende feilaktige eller inkonsekvente registreringer av opplysninger, slik at medlemsstaten opplysningene kommer fra, kan kontrollere opplysningene og iverksette nødvendige avhjelpende tiltak.
Kommisjonen bør evaluere eu-LISAs kvalitetsrapporter og gi anbefalinger til medlemsstatene dersom det er relevant. Medlemsstatene bør ha ansvar for å utarbeide en handlingsplan som beskriver tiltak for å avhjelpe eventuelle mangler i opplysningenes kvalitet, og bør regelmessig framlegge rapport om framskrittene.
Det universelle meldingsformatet (UMF) bør være en standard for strukturert, grenseoverskridende informasjonsutveksling mellom informasjonssystemer, myndigheter eller organisasjoner for rettslige og indre anliggender. UMF bør fastsette et felles ordforråd og logiske strukturer for alminnelig utvekslede opplysninger, med det formål å forenkle interoperabiliteten ved å gjøre det mulig å opprette og lese innholdet av utvekslede opplysninger på en konsekvent og semantisk likeverdig måte.
Det kan vurderes å innføre UMF-standarden i VIS, SIS og i andre eksisterende eller nye modeller for grenseoverskridende informasjonsutveksling og informasjonssystemer innenfor rettslige og indre anliggender som medlemsstatene utvikler.
Det bør opprettes et sentralt register for rapportering og statistikk (CRRS) for å generere statistiske opplysninger og analytisk rapportering mellom systemene av hensyn til politikk, drift og opplysningenes kvalitet i samsvar med gjeldende rettslige instrumenter. eu-LISA bør opprette, gjennomføre og drifte CRRS på sine tekniske anlegg. Det bør inneholde anonymiserte statistiske opplysninger fra EU-informasjonssystemene, CIR, MID og sBMS. Opplysningene i CRRS bør ikke gjøre det mulig å identifisere enkeltpersoner. eu-LISA bør automatisk anonymisere opplysningene og registrere de anonymiserte opplysningene i CRRS. Anonymiseringsprosessen bør automatiseres, og eu-LISAs personale bør ikke gis direkte tilgang til personopplysninger som er lagret i EU-informasjonssystemene eller i interoperabilitetskomponentene.
Forordning (EU) 2016/679 får anvendelse for nasjonale myndighetenes behandling av personopplysninger med interoperabilitetsformål i henhold til denne forordning, med mindre behandlingen utføres av medlemsstatenes utpekte myndigheter eller sentrale tilgangspunkter for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold.
Dersom medlemsstatenes behandling av personopplysninger utføres av kompetente myndigheter for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold til interoperabilitetsformål i henhold til denne forordning, får direktiv (EU) 2016/680 anvendelse.
Forordning (EU) 2016/679, forordning (EU) 2018/1725 eller eventuelt direktiv (EU) 2016/680 får anvendelse på enhver overføring av personopplysninger til tredjestater eller internasjonale organisasjoner som utføres i henhold til denne forordning. Uten at det berører grunnene til overføring i henhold til kapittel V i forordning (EU) 2016/679 eller eventuelt direktiv (EU) 2016/680, bør en dom i en domstol eller et vedtak av en administrativ myndighet i en tredjestat som krever at en behandlingsansvarlig eller en databehandler overfører eller utleverer personopplysninger, anerkjennes eller iverksettes på en eller annen måte bare dersom dommen eller vedtaket bygger på en gjeldende internasjonal avtale mellom den anmodende tredjestaten og Unionen eller en medlemsstat.
De særlige bestemmelsene om personvern i europaparlaments- og rådsforordning (EU) 2017/222613, (EF) nr. 767/200814, (EU) 2018/124015 og forordning (EU) 2018/1861 får anvendelse på behandlingen av personopplysninger i systemer som reguleres ved disse forordningene.
Forordning (EU) 2018/1725 får anvendelse på behandling av personopplysninger som utføres av eu-LISA og Unionens andre institusjoner og organer når de oppfyller sine forpliktelser i henhold til denne forordning, uten at det berører europaparlaments- og rådsforordning (EU) 2016/79416, som får anvendelse på Europols behandling av personopplysninger.
Tilsynsmyndighetene nevnt i forordning (EU) 2016/679 eller direktiv (EU) 2016/680 bør overvåke lovligheten av medlemsstatenes behandling av personopplysninger. EUs datatilsyn bør overvåke unionsinstitusjonenes og -organenes behandling av personopplysninger. EUs datatilsyn og tilsynsmyndighetene bør samarbeide om å overvåke interoperabilitetskomponentenes behandling av personopplysninger. For at EUs datatilsyn skal kunne utføre sine oppgaver i samsvar med denne forordning, kreves tilstrekkelige ressurser, både menneskelige og økonomiske.
EUs datatilsyn er blitt rådspurt i samsvar med artikkel 28 nr. 2 i europaparlaments- og rådsforordning (EF) nr. 45/200117 og avga uttalelse 16. april 2018.18
Artikkel 29-gruppen for personvern avga uttalelse 11. april 2018.
Både medlemsstatene og eu-LISA bør ha sikkerhetsplaner for å forenkle gjennomføringen av sikkerhetsforpliktelser og bør samarbeide innbyrdes om å ta hånd om sikkerhetsspørsmål. eu-LISA bør også sikre at den nyeste teknologiske utviklingen utnyttes kontinuerlig for å sikre dataintegritet ved utvikling, utforming og forvaltning av interoperabilitetskomponentene. eu-LISAs forpliktelser i denne sammenheng bør omfatte vedtakelse av nødvendige tiltak for å hindre at uvedkommende, f.eks. personale hos eksterne tjenesteleverandører, får tilgang til personopplysninger som behandles via interoperabilitetskomponentene. Når medlemsstatene og eu-LISA tildeler kontrakter om levering av tjenester, bør de vurdere alle nødvendige tiltak for å sikre at lover eller bestemmelser om vern av personopplysninger og personvern overholdes, eller for å ivareta vesentlige sikkerhetsinteresser i henhold til europaparlaments- og rådsforordning (EU, Euratom) 2018/104619 og relevante internasjonale konvensjoner. eu-LISA bør anvende prinsippene om innbygd personvern og personvern som standard under utviklingen av interoperabilitetskomponentene.
Gjennomføringen av interoperabilitetskomponentene fastsatt i denne forordning vil ha en påvirkning på hvordan kontroller utføres ved grenseovergangene. Påvirkningen vil være resultatet av den kombinerte anvendelsen av de eksisterende reglene i forordning (EU) 2016/399 og reglene om interoperabilitet fastsatt i denne forordning.
Som følge av denne kombinerte anvendelse av reglene bør ESP utgjøre det viktigste tilgangspunktet for obligatorisk, systematisk søk i databaser når det gjelder personer ved grenseoverganger fastsatt i forordning (EU) 2016/399. Dessuten bør grensevakter ta hensyn til identitetsopplysningene eller reisedokumentopplysningene som har ført til at en lenke i MID ble klassifisert som en rød lenke når de vurderer om en person oppfyller vilkårene for innreise fastsatt i forordning (EU) 2016/399. Forekomsten av en rød lenke bør imidlertid ikke i seg selv utgjøre en grunn til nektet innreise, og de eksisterende grunnene til nektet innreise som angis i forordning (EU) 2016/399, bør derfor ikke endres.
Den praktiske håndboken for grensevakter bør ajourføres for uttrykkelig å presisere dette.
Dersom et søk i MID via ESP fører til en gul lenke eller viser en rød lenke, bør grensevakten søke i CIR eller SIS eller begge for å vurdere opplysningene om personen som kontrolleres for manuelt å kontrollere personens identitetsopplysninger og ved behov tilpasse lenkens farge.
For å støtte både statistikk og rapportering er det nødvendig å gi personale med behørig fullmakt hos de kompetente myndigheter, unionsinstitusjoner og unionsbyråer nevnt i denne forordning tilgang til visse opplysninger om visse interoperabilitetskomponenter uten å gjør det mulig å identifisere enkeltpersoner.
For at medlemsstatenes myndigheter og unionsbyråene skal kunne tilpasse seg de nye kravene til bruk av ESP, er det nødvendig å fastsette en overgangsperiode. Likeledes bør det fastsettes overgangstiltak for at MID skal fungere konsekvent og optimalt når driften startes.
Ettersom målet for denne forordning, nemlig å fastsette en ramme for interoperabilitet mellom EU-informasjonssystemer, ikke i tilstrekkelig grad kan nås av medlemsstatene, men på grunn av tiltakets omfang og virkninger bedre kan nås på unionsnivå, kan Unionen treffe tiltak i samsvar med nærhetsprinsippet i artikkel 5 i traktaten om Den europeiske union (TEU). I samsvar med forholdsmessighetsprinsippet fastsatt i nevnte artikkel går denne forordning ikke lenger enn det som er nødvendig for å nå dette målet.
Det gjenstående beløpet på budsjettet øremerket smarte grenser i europaparlaments- og rådsforordning (EU) nr. 515/201420 bør omfordeles til denne forordning i henhold til artikkel 5 nr. 5 bokstav b) i forordning (EU) nr. 515/2014 for å dekke kostnadene ved utvikling av interoperabilitetskomponentene.
For å utfylle visse detaljerte tekniske aspekter i denne forordning bør myndigheten til å vedta rettsakter i samsvar med artikkel 290 i traktaten om Den europeiske unions virkemåte (TEUV) delegeres til Kommisjonen i forbindelse med
forlengelse av overgangsperioden for bruk av ESP,
forlengelse av overgangsperioden for avdekking av flere identiteter som utføres av den sentrale ETIAS-enheten,
framgangsmåtene for å fastslå tilfeller der identitetsopplysningene kan anses som de samme eller lignende,
reglene for driften av CRRS, herunder særlige vernetiltak for behandling av personopplysninger og sikkerhetsregler for registeret, og
nærmere regler om driften av nettportalen.
Det er særlig viktig at Kommisjonen gjennomfører relevante høringer under sitt forberedende arbeid, herunder på ekspertnivå, og at disse høringene gjennomføres i samsvar med prinsippene i den tverrinstitusjonelle avtalen av 13. april 2016 om bedre regelverksutforming21. For å sikre lik deltakelse i utarbeidelsen av delegerte rettsakter mottar Europaparlamentet og Rådet alle dokumenter samtidig som medlemsstatenes eksperter, og deres eksperter har systematisk tilgang til møter i Kommisjonens ekspertgrupper som arbeider med forberedelse av delegerte rettsakter.
For å sikre enhetlige vilkår for gjennomføringen av denne forordning bør Kommisjonen gis gjennomføringsmyndighet til å fastsette datoene ESP, sBMS, CIR, MID og CRRS skal settes i drift.
Kommisjonen bør også tillegges gjennomføringsmyndighet i forbindelse med vedtakelse av nærmere regler for tekniske detaljer for ESP-brukerprofilene, spesifikasjoner for den tekniske løsningen som vil gjøre det mulig å utføre søk i EU-informasjonssystemene, Europol-opplysninger og Interpol-databasene via ESP, og formatet til ESP-svarene, de tekniske reglene for opprettelse av lenker i MID mellom opplysninger fra forskjellige EU-informasjonssystemer, innholdet og utformingen av skjemaet som skal brukes til å informere den registrerte når det opprettes en rød lenke, kravene til og overvåking av sBMS’ resultater, mekanismer, framgangsmåter og indikatorer for automatisert kontroll av opplysningenes kvalitet, utvikling av UMF-standarden, samarbeidsframgangsmåten som skal brukes ved brudd på personopplysningssikkerheten, og spesifikasjonene for den tekniske løsningen for medlemsstatenes forvaltning av tilgangsanmodninger fra brukere. Disse fullmaktene bør utøves i samsvar med europaparlaments- og rådsforordning (EU) nr. 182/201122.
Ettersom interoperabilitetskomponentene vil omfatte behandling av betydelige mengder sensitive personopplysninger, er det viktig at personer hvis opplysninger behandles via disse komponentene, effektivt kan utøve sine rettigheter som registrerte i henhold til forordning (EU) 2016/679, direktiv (EU) 2016/680 og forordning (EU) 2018/1725. De registrerte bør ha tilgang til en nettportal som gjør det lettere for dem å utøve sin rett til tilgang til og retting av, sletting av og begrensning av behandlingen av sine personopplysninger. eu-LISA bør opprette og forvalte en slik nettportal.
Et av hovedprinsippene for personvern er dataminimering: I henhold til artikkel 5 nr. 1 bokstav c) i forordning (EU) 2016/679 skal behandlingen av personopplysninger være tilstrekkelig, relevant og begrenset til formålene de behandles for. Interoperabilitetskomponentene bør derfor ikke lagre nye personopplysninger med unntak av lenkene som vil bli lagret i MID, og som utgjør det nødvendige minimum i henhold til denne forordning.
Denne forordning bør inneholde klare bestemmelser om erstatningsansvar og retten til erstatning for ulovlig behandling av personopplysninger og for enhver annen handling som er i strid med denne forordning. Slike bestemmelser bør ikke berøre retten til erstatning fra den behandlingsansvarlige eller databehandleren, og deres erstatningsansvar, i henhold til forordning (EU) 2016/679, direktiv (EU) 2016/680 og forordning (EU) 2018/1725. eu-LISA bør ha ansvar for enhver skade som byrået har forårsaket i egenskap av databehandler dersom det ikke har oppfylt forpliktelsene som det uttrykkelig er pålagt i henhold til denne forordning, eller dersom det har unnlat å følge eller har handlet i strid med lovfestede instrukser fra medlemsstaten som er behandlingsansvarlig.
Denne forordning berører ikke anvendelsen av europaparlaments- og rådsdirektiv 2004/38/EF.23
I henhold til artikkel 1 og 2 i protokoll nr. 22 om Danmarks stilling, vedlagt TEU og TEUV, deltar Danmark ikke i vedtakelsen av denne forordning, som ikke er bindende for og ikke får anvendelse i Danmark. Ettersom denne forordning er en utvikling av Schengen-regelverket, skal Danmark, i samsvar med artikkel 4 i protokollen, innen seks måneder etter at Rådet har truffet beslutning om denne forordning, beslutte om landet skal gjennomføre denne forordning i sin nasjonale rett.
Denne forordning utgjør en utvikling av de bestemmelser i Schengen-regelverket som Det forente kongeriket Storbritannia og Nord-Irland ikke deltar i etter rådsbeslutning 2000/365/EF24; Det forente kongeriket Storbritannia og Nord-Irland deltar derfor ikke i vedtakelsen av denne forordning, som ikke er bindende for og ikke får anvendelse i Det forente kongeriket Storbritannia og Nord-Irland.
Denne forordning utgjør en utvikling av de bestemmelser i Schengen-regelverket som Irland ikke deltar i etter rådsbeslutning 2002/192/EF25; Irland deltar derfor ikke i vedtakelsen av denne forordning, som ikke er bindende for og ikke får anvendelse i Irland.
Når det gjelder Island og Norge, utgjør denne forordning, i henhold til avtalen mellom Rådet for Den europeiske union og Republikken Island og Kongeriket Norge om disse to statenes tilknytning til gjennomføringen, anvendelsen og utviklingen av Schengen-regelverket, en utvikling av de bestemmelser i Schengen-regelverket26 som er omfattet av området nevnt i artikkel 1 bokstav A), B), C) og G) i rådsbeslutning 1999/437/EF27.
Når det gjelder Sveits, utgjør denne forordning, i henhold til avtalen mellom Den europeiske union, Det europeiske fellesskap og Det sveitsiske edsforbund om Det sveitsiske edsforbunds tilknytning til gjennomføringen, anvendelsen og utviklingen av Schengen-regelverket28, en utvikling av de bestemmelser i Schengen-regelverket som er omfattet av området nevnt i artikkel 1 bokstav A), B), C) og G) i beslutning 1999/437/EF sammenlignet med artikkel 3 i rådsbeslutning 2008/146/EF.29
Når det gjelder Liechtenstein, utgjør denne forordning, i henhold til protokollen mellom Den europeiske union, Det europeiske fellesskap, Det sveitsiske edsforbund og Fyrstedømmet Liechtenstein om Fyrstedømmet Liechtensteins tiltredelse til avtalen mellom Den europeiske union, Det europeiske fellesskap og Det sveitsiske edsforbund om Det sveitsiske edsforbunds tilknytning til gjennomføringen, anvendelsen og utviklingen av Schengen-regelverket, en utvikling av de bestemmelser i Schengen-regelverket30 som er omfattet av området nevnt i artikkel 1 bokstav A), B), C) og G) i beslutning 1999/437/EF sammenlignet med artikkel 3 i rådsbeslutning 2011/350/EU31.
Denne forordning respekterer de grunnleggende rettigheter og overholder prinsippene som er anerkjent særlig i Den europeiske unions pakt om grunnleggende rettigheter, og bør anvendes i samsvar med disse rettigheter og prinsipper.
For at denne forordning skal passe inn i den eksisterende rettslige rammen, bør forordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, og rådsbeslutning 2004/512/EF32 og rådsbeslutning 2008/633/JIS33 endres i samsvar med dette.
VEDTATT DENNE FORORDNING:
Kapittel I
Alminnelige bestemmelser
Artikkel 1
Formål
1. Ved denne forordning sammen med europaparlaments- og rådsforordning (EU) 2019/81834 opprettes det en ramme for å sikre interoperabilitet mellom inn- og utreisesystemet (EES), visuminformasjonssystemet (VIS), det europeiske systemet for reiseinformasjon og fremreisetillatelse (ETIAS), Eurodac, Schengen-informasjonssystemet (SIS) og det europeiske strafferegisterinformasjonssystemet for tredjestatsborgere (ECRIS-TCN).
2. Denne rammen skal omfatte følgende interoperabilitetskomponenter:
(a) en europeisk søkeportal (ESP),
(b) en felles biometrisk sammenligningstjeneste (sBMS),
(c) et felles identitetsregister (CIR),
(d) en fleridentitetsdetektor (MID).
3. Ved denne forordning fastsettes også bestemmelser om krav til opplysningenes kvalitet, et universelt meldingsformat (UMF), et sentralt register for rapportering og statistikk (CRRS) og om ansvaret til medlemsstatene og Det europeiske byrå for driftsforvaltning av store IT-systemer innenfor området frihet, sikkerhet og rettferdighet (eu-LISA) når det gjelder utformingen, utviklingen og driften av interoperabilitetskomponentene.
4. Ved denne forordning tilpasses også framgangsmåtene og vilkårene for at de utpekte myndighetene og Den europeiske unions byrå for politisamarbeid (Europol) skal få tilgang til EES, VIS, ETIAS og Eurodac for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold.
5. Ved denne forordning fastsettes også en ramme for verifisering av personers identitet og for identifisering av personer.
Artikkel 2
Mål
1. Ved å sikre interoperabilitet har denne forordning følgende mål:
(a) forbedre formålstjenligheten og effektiviteten av inn- og utreisekontrollene ved de ytre grensene,
(b) bidra til å forebygge og bekjempe ulovlig innvandring,
(c) bidra til et høyt sikkerhetsnivå innenfor frihet, sikkerhet og rettferdighet i Unionen, herunder opprettholde den offentlige sikkerhet og den offentlige orden og ivareta sikkerheten på medlemsstatenes territorier,
(d) forbedre gjennomføringen av den felles visumpolitikken,
(e) bistå ved gjennomgåelsen av søknader om internasjonal beskyttelse,
(f) bidra til å forebygge, avsløre og etterforske terrorhandlinger og andre alvorlige straffbare forhold,
(g) gjøre det enklere å identifisere ukjente personer ute av stand til å legitimere seg eller uidentifiserte menneskelige levninger ved en naturkatastrofe, en ulykke eller et terrorangrep,
2. Målene i nr. 1 skal oppnås ved å
(a) sikre korrekt identifisering av personer,
(b) bidra til å bekjempe identitetsbedrageri,
(c) forbedre opplysningenes kvalitet og harmonisere kvalitetskravene til opplysninger som lagres i EU-informasjonssystemene, samtidig som kravene til behandling av opplysninger i de rettslige instrumentene for de enkelte systemene og standardene og prinsippene for personvern, oppfylles,
(d)forenkle og støtte medlemsstatenes tekniske og praktiske implementering av EU-informasjonssystemer,
(e) styrke og forenkle de vilkår for datasikkerhet og personvern som regulerer de respektive EU-informasjonssystemene, og gjøre dem mer enhetlige, uten at det påvirker det særlige vernet og de særlige beskyttelsestiltakene som gjelder for visse kategorier av opplysninger,
(f) effektivisere vilkårene for utpekte myndigheters tilgang til EES, VIS, ETIAS og Eurodac, og samtidig sikre nødvendige og forholdsmessige vilkår for denne tilgangen,
(g)støtte formålene med EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN.
Artikkel 3
Virkeområde
1. Denne forordning får anvendelse på EES, VIS, ETIAS og SIS.
2. Denne forordning får anvendelse på personer hvis personopplysninger kan behandles i EU-informasjonssystemene nevnt i nr. 1 i denne artikkel, og hvis opplysninger samles inn for formålene fastsatt i artikkel 1 og 2 i forordning (EF) nr. 767/2008, artikkel 1 i forordning (EU) 2017/2226, artikkel 1 og 4 i forordning (EU) 2018/1240, artikkel 1 i forordning (EU) 2018/1860 og artikkel 1 i forordning (EU) 2018/1861.
Artikkel 4
Definisjoner
I denne forordning menes med
(1) «ytre grenser» ytre grenser som definert i artikkel 2 nr. 2 i forordning (EU) 2016/399,
(2) «inn- og utreisekontroller» inn- og utreisekontroller som definert i artikkel 2 nr. 11 i forordning (EU) 2016/399,
(3) «grensemyndighet» grensevakten som i samsvar med nasjonal rett er utpekt til å foreta inn- og utreisekontroller,
(4) «tilsynsmyndigheter» tilsynsmyndigheten nevnt i artikkel 51 nr. 1 i forordning (EU) 2016/679 og tilsynsmyndigheten nevnt i artikkel 41 nr. 1 i direktiv (EU) 2016/680,
(5) «verifikasjon» sammenligning av sett av opplysninger for å fastslå om en påstått identitet er ekte (kontroll ved sammenligning av to sett av opplysninger),
(6) «identifisering» fastsettelse av en persons identitet via et databasesøk på grunnlag av flere sett av opplysninger (kontroll ved sammenligning av mange sett av opplysninger),
(7) «alfanumeriske opplysninger» opplysninger som gjengis med bokstaver, sifre, spesialtegn, mellomrom og skilletegn,
(8) «identitetsopplysninger» opplysningene nevnt i artikkel 27 nr. 3 bokstav a)–e),
(9) «fingeravtrykksopplysninger» bilder av fingeravtrykk og bilder av fingeravtrykksspor som på grunn av sin unike karakter og referansepunktene i dem gjør det mulig å foreta nøyaktige og entydige sammenligninger for å fastslå en persons identitet,
(10) «ansiktsbilde» digitale bilder av ansiktet,
(11) «biometriske opplysninger» fingeravtrykksopplysninger eller ansiktsbilder, eller begge,
(12) «biometrisk mal» en matematisk gjengivelse som oppnås ved å utlede trekk fra biometriske opplysninger, og som er begrenset til egenskaper som er nødvendige for å utføre identifiseringer og kontroller,
(13) «reisedokument» et pass eller annet tilsvarende dokument som gir innehaveren rett til å passere de ytre grensene, og som kan forsynes med visum,
(14) «reisedokumentopplysninger» reisedokumentets type, nummer og utstedelsesland, siste gyldighetsdato og koden på tre bokstaver for det landet som utstedte reisedokumentet,
(15) «EU-informasjonssystemer» EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN,
(16) «Europol-opplysninger» personopplysninger behandlet av Europol for formålet nevnt i artikkel 18 nr. 2 bokstav a), b) og c) i forordning (EU) 2016/794,
(17) «Interpol-databaser» Interpols database over stjålne og forsvunne reisedokumenter (SLTD-databasen) og Interpols database over reisedokumenter med tilknyttede meldinger (TDAWN-databasen),
(18) «treff» det forhold at det konstateres et samsvar som følge av en automatisert sammenligning mellom personopplysninger som er eller holder på å bli registrert i et informasjonssystem eller en database,
(19) «politimyndighet» kompetent myndighet som definert i artikkel 3 nr. 7 i direktiv (EU) 2016/680,
(20) «utpekte myndigheter» medlemsstatenes utpekte myndigheter som definert i artikkel 3 nr. 1 (26) i forordning (EU) 2017/2226, artikkel 2 nr. 1 bokstav e) i beslutning 2008/633/JIS og artikkel 3 nr. 1 (21) i forordning (EU) 2018/1240,
(21) «terrorhandling» et straffbart forhold i henhold til nasjonal rett som tilsvarer eller er likestilt med et av de straffbare forholdene i europaparlaments- og rådsdirektiv (EU) 2017/54135,
(22) «alvorlig straffbart forhold» et straffbart forhold som tilsvarer eller er likestilt med et av de straffbare forholdene nevnt i artikkel 2 nr. 2 i rådsrammebeslutning 2002/584/JIS36 dersom det i henhold til nasjonal rett kan straffes med frihetsstraff eller et annet frihetsberøvende tiltak i minst tre år,
(23) «inn- og utreisesystem» eller «EES» inn- og utreisesystemet opprettet ved forordning (EU) 2017/2226,
(24) «visuminformasjonssystem» eller «VIS» visuminformasjonssystemet opprettet ved forordning (EF) nr. 767/2008,
(25) «europeisk system for reiseinformasjon og fremreisetillatelse» eller «ETIAS» det europeiske systemet for reiseinformasjon og fremreisetillatelse opprettet ved forordning (EU) 2018/1240,
(26) «Eurodac» Eurodac opprettet ved europaparlaments- og rådsforordning (EU) nr. 603/201337,
(27) «Schengen-informasjonssystem» eller «SIS» Schengen-informasjonssystemet opprettet ved forordning (EU) 2018/1860, (EU) 2018/1861 og (EU) 2018/1862,
(28) «ECRIS-TCN» det sentraliserte systemet for identifisering av medlemsstater som innehar opplysninger om straffedommer mot tredjestatsborgere og statsløse personer opprettet ved europaparlaments- og rådsforordning (EU) 2019/81638.
Artikkel 5
Likebehandling og grunnleggende rettigheter
Behandling av personopplysninger i samsvar med denne forordning skal ikke føre til forskjellsbehandling av personer på noen grunnlag, f.eks. kjønn, rase, hudfarge, etnisk eller sosial opprinnelse, genetiske anlegg, språk, religion eller overbevisning, politiske eller andre oppfatninger, tilhørighet til en nasjonal minoritet, formuesforhold, fødsel, funksjonsnedsettelse, alder eller seksuell orientering. Behandlingen skal fullt ut respektere menneskeverdet og menneskets integritet og de grunnleggende rettigheter, herunder retten til respekt for privatliv og vern av personopplysninger. Det skal tas særlig hensyn til barn, eldre, personer med funksjonsnedsettelse og personer med behov for internasjonal beskyttelse. Barnets beste skal være et grunnleggende hensyn.
Kapittel II
Europeisk søkeportal
Artikkel 6
Europeisk søkeportal
1. Det opprettes en europeisk søkeportal (ESP) for å tilrettelegge for medlemsstatenes myndigheters og unionsbyråenes mulighet til å få rask, kontinuerlig, effektiv, systematisk og kontrollert tilgang til EU-informasjonssystemene, Europol-opplysninger og Interpol-databasene for at de skal kunne utføre sine oppgaver i samsvar med sine tilgangsrettigheter og målene og formålene med EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN.
2. ESP skal bestå av følgende:
(a) en sentral infrastruktur, herunder en søkeportal som gjør det mulig samtidig å søke i EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN og i Europol-opplysninger og Interpol-databasene,
(b) en sikker kommunikasjonskanal mellom ESP, medlemsstatene og unionsbyråene som har rett til å bruke søkeportalen,
(c) en sikker kommunikasjonsinfrastruktur mellom ESP og EES, VIS, ETIAS, Eurodac, det sentrale SIS, ECRIS-TCN, Europol-opplysninger og Interpol-databasene og mellom ESP og de sentrale infrastrukturene for CIR og MID.
3. eu-LISA skal utvikle ESP og sikre den tekniske forvaltningen.
Artikkel 7
Bruk av den europeiske søkeportalen
1. Bruken av ESP skal forbeholdes medlemsstatenes myndigheter og unionsbyråene som har tilgang til minst ett av EU-informasjonssystemene i samsvar med de rettslige instrumentene for disse EU-informasjonssystemene, til CIR og MID i samsvar med denne forordning, til Europol-opplysninger i samsvar med forordning (EU) 2016/794 eller til Interpol-databasene i samsvar med unionsretten eller nasjonal rett som regulerer slik tilgang.
Disse medlemsstatenes myndigheter og unionsbyråene kan bruke ESP og opplysningene som gis gjennom den, bare for målene og formålene fastsatt i de rettslige instrumentene for disse EU-informasjonssystemene, i forordning (EU) 2016/794 og i denne forordning.
2. Medlemsstatenes myndigheter og unionsbyråene nevnt i nr. 1 skal bruke ESP til å søke på opplysninger om personer eller deres reisedokumenter i de sentrale systemene i EES, VIS og ETIAS i samsvar med sine tilgangsrettigheter som nevnt i de rettslige instrumentene for disse EU-informasjonssystemene og nasjonal rett. De skal også bruke ESP til å søke i CIR i samsvar med sine tilgangsrettigheter i samsvar med denne forordning for formålene nevnt i artikkel 20, 21 og 22.
3. Medlemsstatenes myndigheter nevnt i nr. 1 kan bruke ESP til å søke på opplysninger om personer eller deres reisedokumenter i det sentrale SIS nevnt i forordning (EU) 2018/1860 og (EU) 2018/1861.
4. Når det er fastsatt i unionsretten, skal unionsbyråene nevnt i nr. 1 bruke ESP til å søke på opplysninger om personer eller deres reisedokumenter i det sentrale SIS.
5. Medlemsstatenes myndigheter og unionsbyråene nevnt i nr. 1 kan bruke ESP til å søke på opplysninger om reisedokumenter i Interpol-databasene når det er fastsatt i og er i samsvar med deres tilgangsrettigheter i samsvar med unionsretten og nasjonal rett.
Artikkel 8
Profiler for brukerne av ESP
1. For at det skal være mulig å bruke ESP, skal eu-LISA i samarbeid med medlemsstatene opprette en profil for hver kategori av ESP-bruker og for formålene de har med søkene, i samsvar med de tekniske detaljene og tilgangsrettighetene nevnt i nr. 2. Hver profil skal i samsvar med unionsretten og nasjonal rett omfatte følgende opplysninger:
(a) feltene med opplysninger som skal brukes ved søk,
(b) EU-informasjonssystemene, Europol-opplysninger og Interpol-databasene som det skal foretas søk i, de som det kan foretas søk i, og de som skal gi brukeren et svar,
(c) de spesifikke opplysningene i EU-informasjonssystemene, Europol-opplysninger og Interpol-databasene som det kan foretas søk i,
(d) de kategorier av opplysninger som kan gis i hvert svar.
2. Kommisjonen skal vedta gjennomføringsrettsakter for nærmere å angi de tekniske detaljene for profilene nevnt i nr. 1 i samsvar med ESP-brukernes tilgangsrettigheter i henhold til de rettslige instrumentene for EU-informasjonssystemene og nasjonal rett. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
3. Profilene nevnt i nr. 1 skal regelmessig gjennomgås av eu-LISA i samarbeid med medlemsstatene, minst én gang i året, og ajourføres om nødvendig.
Artikkel 9
Søk
1. Brukerne av ESP skal innlede et søk ved å sende alfanumeriske eller biometriske opplysninger til ESP. Dersom et søk er innledet, skal ESP samtidig søke i EES, ETIAS, VIS, SIS, Eurodac, ECRIS-TCN og CIR og i Europol-opplysninger og Interpol-databasene med opplysningene som brukeren benyttet i søket, og i samsvar med brukerprofilen.
2. De kategorier av opplysninger som brukes til å innlede et søk via ESP, skal tilsvare kategoriene av opplysninger knyttet til personer eller reisedokumenter som kan brukes til å søke i de forskjellige EU-informasjonssystemene, Europol-opplysninger og Interpol-databasene i samsvar med de rettslige instrumentene som regulerer dem.
3. eu-LISA skal i samarbeid med medlemsstatene utvikle et grensesnittkontrolldokument for ESP på grunnlag av det universelle meldingsformatet nevnt i artikkel 38.
4. Når et søk innledes av en ESP-bruker, skal EES, ETIAS, VIS, SIS, Eurodac, ECRIS-TCN, CIR og MID og Europol-opplysninger og Interpol-databasene gi opplysninger de besitter som svar på søket.
Uten at det berører artikkel 20, skal det i svaret fra ESP angis hvilket EU-informasjonssystem eller hvilken database opplysningene tilhører.
ESP skal ikke gi informasjon om opplysninger i EU-informasjonssystemene, Europol-opplysninger og Interpol-databasene som brukeren mangler tilgang til i henhold til gjeldende unionsrett og nasjonal rett.
5. Alle søk i Interpol-databasene via ESP skal utføres på en slik måte at ingen opplysninger avsløres for eieren av Interpol-meldingen.
6. ESP skal så snart opplysninger er tilgjengelige, gi brukeren svar fra et av EU-informasjonssystemene, Europol-opplysninger eller Interpol-databasene. Disse svarene skal bare inneholde opplysningene som brukeren har tilgang til i henhold til unionsretten og nasjonal rett.
7. Kommisjonen skal vedta en gjennomføringsrettsakt for å spesifisere den tekniske framgangsmåten for ESPs søk i EU-informasjonssystemene, Europol-opplysningene og Interpol-databasene og formatet for ESPs svar. Denne gjennomføringsrettsakten skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
Artikkel 10
Føring av logger
1. Uten at det berører artikkel 46 i forordning (EU) 2017/2226, artikkel 34 i forordning (EF) nr. 767/2008, artikkel 69 i forordning (EU) 2018/1240 og artikkel 12 og 18 i forordning (EU) 2018/1861, skal eu-LISA føre logg over all behandling av opplysninger i ESP. Disse loggene skal omfatte følgende:
(a) medlemsstaten eller unionsbyrået som innledet søket, og ESP-profilen som brukes,
(b) dato og tidspunkt for søket,
(c) EU-informasjonssystemene og Interpol-databasene som det er foretatt søk i.
2. Hver medlemsstat skal føre logg over søk som myndighetene og personale hos disse myndighetene med behørig fullmakt til å bruke ESP utfører. Hvert unionsbyrå skal føre logg over søk som personale med behørig fullmakt utfører.
3. Loggene i nr. 1 og 2 kan brukes bare til å overvåke personvern, herunder kontrollere om et søk er tillatt, og om opplysninger er behandlet på lovlig måte og til å ivareta datasikkerheten og dataintegriteten. Disse loggene skal ved hjelp av egnede tiltak beskyttes mot tilgang for uvedkommende og skal slettes ett år etter at de er opprettet. Dersom de trengs for kontrollprosedyrer som allerede er innledet, skal de imidlertid slettes så snart loggene ikke lenger trengs for kontrollprosedyrene.
Artikkel 11
Alternative framgangsmåter dersom det er teknisk umulig å bruke den europeiske søkeportalen
1. Dersom det er teknisk umulig å bruke ESP til å søke i ett eller flere EU-informasjonssystemer eller i CIR på grunn av en feil i ESP, skal ESP-brukerne automatisk underrettes av eu-LISA.
2. Dersom det er teknisk umulig å bruke ESP til å søke i ett eller flere EU-informasjonssystemer eller i CIR på grunn av en feil i en medlemsstats nasjonale infrastruktur, skal denne medlemsstaten automatisk underrette eu-LISA og Kommisjonen.
3. I tilfellene nevnt i nr. 1 og 2 i denne artikkel, og til den tekniske feilen er utbedret, får forpliktelsen nevnt i artikkel 7 nr. 2 og nr. 4 ikke anvendelse, og medlemsstatene skal ha tilgang til EU-informasjonssystemene eller CIR direkte dersom det er nødvendig i henhold til unionsretten eller nasjonal rett.
4. Dersom det er teknisk umulig å bruke ESP til å søke i ett eller flere EU-informasjonssystemer eller i CIR på grunn av en feil i et unionsbyrås infrastruktur, skal dette byrået automatisk underrette eu-LISA og Kommisjonen.
Kapittel III
Felles biometrisk sammenligningstjeneste
Artikkel 12
Felles biometrisk sammenligningstjeneste
1. Det skal opprettes en felles biometrisk sammenligningstjeneste (sBMS) for å lagre biometriske maler som er opprettet fra de biometriske opplysningene nevnt i artikkel 13 lagret i CIR og SIS, og som gjør det mulig å søke med biometriske opplysninger i flere EU-informasjonssystemer for å støtte CIR og MID og målene med EES, VIS, Eurodac, SIS og ECRIS-TCN.
2. sBMS skal bestå av følgende:
(a) en sentral infrastruktur som skal erstatte de sentrale systemene i henholdsvis EES, VIS, SIS, Eurodac og ECRIS-TCN i det omfang at den skal lagre biometriske maler og gjøre det mulig å søke med biometriske opplysninger,
(b) en sikker kommunikasjonsinfrastruktur mellom sBMS, det sentrale SIS og CIR.
3. eu-LISA skal utvikle sBMS og sikre den tekniske forvaltningen.
Artikkel 13
Lagring av biometriske maler i den felles biometriske sammenligningstjenesten
1. sBMS skal lagre de biometriske malene som den skal få fra følgende biometriske opplysninger:
(a) opplysningene nevnt i artikkel 16 nr. 1 bokstav d), artikkel 17 nr. 1 bokstav b) og c) og artikkel 18 nr. 2 bokstav a), b) og c) i forordning (EU) 2017/2226,
(b) opplysningene nevnt i artikkel 9 nr. 6 i forordning (EF) nr. 767/2008,
(c) opplysningene nevnt i artikkel 20 nr. 2 bokstav w) og x) i forordning (EU) 2018/1861, med unntak av håndflateavtrykksopplysninger,
(d) opplysningene nevnt i artikkel 4 nr. 1 bokstav u) og v) i forordning (EU) 2018/1860, med unntak av håndflateavtrykksopplysninger.
De biometriske malene skal lagres logisk adskilt i sBMS i samsvar med EU-informasjonssystemet som opplysningene skriver seg fra.
2. For hvert sett opplysninger nevnt i nr. 1 skal hver biometriske mal i sBMS inneholde en henvisning til EU-informasjonssystemene som de tilsvarende biometriske opplysningene lagres i, og en henvisning til de konkrete registreringene i disse EU-informasjonssystemene.
3. Biometriske maler skal registreres i sBMS bare etter en automatisk kvalitetskontroll av de biometriske opplysningene som registreres i et av EU-informasjonssystemene, som utføres av sBMS for å sikre at en minstestandard for opplysningenes kvalitet oppfylles.
4. Lagringen av opplysningene i nr. 1 skal oppfylle kvalitetsstandardene i artikkel 37 nr. 2.
5. Kommisjonen skal ved en gjennomføringsrettsakt fastsette ytelseskrav og praktiske ordninger for å overvåke sBMS’ ytelse, med henblikk på å sikre at effektiviteten i de biometriske søkene respekterer tidskritiske framgangsmåter, f.eks. inn- og utreisekontroller og identifiseringer. Denne gjennomføringsrettsakten skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
Artikkel 14
Søk på biometriske opplysninger med den felles biometriske sammenligningstjenesten
For å søke på de biometriske opplysningene som er lagret i CIR og SIS, skal CIR og SIS bruke de biometriske malene som er lagret i sBMS. Søk med biometriske opplysninger skal finne sted i samsvar med formålene angitt i denne forordning og i forordning (EF) nr. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 og (EU) 2019/816.
Artikkel 15
Lagring av opplysninger i den felles biometriske sammenligningstjenesten
Opplysningene nevnt i artikkel 13 nr. 1 og artikkel 13 nr. 2 skal bare lagres i sBMS så lenge tilsvarende biometriske opplysninger lagres i CIR eller SIS. Opplysningene skal slettes automatisk fra sBMS.
Artikkel 16
Føring av logger
1. Uten at det berører artikkel 46 i forordning (EU) 2017/2226, artikkel 34 i forordning (EF) nr. 767/2008 og artikkel 12 og 18 i forordning (EU) 2018/1861, skal eu-LISA føre logg over all behandling av opplysninger i sBMS. Disse loggene skal omfatte følgende:
(a) medlemsstaten eller unionsbyrået som innledet søket,
(b) historikken for opprettelsen og lagringen av biometriske maler,
(c) EU-informasjonssystemene der det er foretatt søk med de biometriske malene som er lagret i sBMS,
(d) dato og tidspunkt for søket,
(e) typen biometriske opplysninger som brukes til å innlede søket,
(f) resultatene av søket og dato og tidspunkt for resultatet.
2. Hver medlemsstat skal føre logg over søk som myndighetene og personalet hos disse myndighetene med behørig fullmakt til å bruke sBMS utfører. Hvert unionsbyrå skal føre logg over søk som personale med behørig fullmakt utfører.
3. Loggene i nr. 1 og 2 kan brukes bare til å overvåke personvern, herunder kontrollere om et søk er tillatt, og om opplysninger er behandlet på lovlig måte og til å ivareta datasikkerheten og dataintegriteten. Disse loggene skal ved hjelp av egnede tiltak beskyttes mot tilgang for uvedkommende og skal slettes ett år etter at de er opprettet. Dersom de trengs for kontrollprosedyre som allerede er innledet, skal de imidlertid slettes så snart loggene ikke lenger trengs for kontrollprosedyrene.
Kapittel IV
Felles identitetsregister
Artikkel 17
Felles identitetsregister
1. Det skal opprettes et felles identitetsregister (CIR) med en individuell saksmappe for hver person som er registrert i EES, VIS, ETIAS, Eurodac eller ECRIS-TCN, og med opplysningene nevnt i artikkel 18, for å forenkle og bistå med korrekt identifisering av personer som er registrert i EES, VIS, ETIAS, Eurodac og ECRIS-TCN i samsvar med artikkel 20, støtte driften av MID i samsvar med artikkel 21 og forenkle og effektivisere de utpekte myndighetenes og Europols tilgang til EES, VIS, ETIAS og Eurodac, dersom det er nødvendig for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold i samsvar med artikkel 22.
2. CIR skal bestå av følgende:
(a) en sentral infrastruktur som skal erstatte de sentrale systemene i EES, VIS, ETIAS, Eurodac og ECRIS-TCN i det omfang at den skal lagre opplysningene nevnt i artikkel 18,
(b) en sikker kommunikasjonskanal mellom CIR, medlemsstatene og unionsbyråene som har rett til å bruke CIR i samsvar med unionsretten og nasjonal rett,
(c) en sikker kommunikasjonsinfrastruktur mellom CIR og EES, VIS, ETIAS, Eurodac og ECRIS-TCN og de sentrale infrastrukturene i ESP, sBMS og MID.
3. eu-LISA skal utvikle CIR og sikre den tekniske forvaltningen.
4. Dersom det på grunn av en feil i CIR er teknisk umulig å søke i CIR med det formål å identifisere en person i samsvar med artikkel 20, for å avdekke flere identiteter i henhold til artikkel 21, eller med det formål å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold i henhold til artikkel 22, skal CIR-brukerne automatisk underrettes av eu-LISA.
5. eu-LISA skal i samarbeid med medlemsstatene utvikle et grensesnittkontrolldokument for CIR på grunnlag av det universelle meldingsformatet nevnt i artikkel 38.
Artikkel 18
Opplysninger i det felles identitetsregisteret
1. CIR skal lagre følgende opplysninger, logisk atskilt i samsvar med informasjonssystemet som opplysningene skriver seg fra:
(a) opplysningene nevnt i artikkel 16 nr. 1 bokstav a)–d), artikkel 17 nr. 1 bokstav a), b) og c) og artikkel 18 nr. 1 og artikkel 18 nr. 2 i forordning (EU) 2017/2226,
(b) opplysningene nevnt i artikkel 9 nr. 4 bokstav a)–c), artikkel 9 nr. 5 og artikkel 9 nr. 6 i forordning (EF) nr. 767/2008,
(c) opplysningene nevnt i artikkel 17 nr. 2 bokstav a)–e) i forordning (EU) 2018/1240.
2. For hvert sett opplysninger nevnt i nr. 1 skal CIR inneholde en henvisning til EU-informasjonssystemene som opplysningene tilhører.
3. Myndighetene som har tilgang til CIR, skal handle i samsvar med sine tilgangsrettigheter i henhold til de rettslige instrumentene for EU-informasjonssystemene og nasjonal rett og i samsvar med sine tilgangsrettigheter i henhold til denne forordning for formålene nevnt i artikkel 20, 21 og 22.
4. For hvert sett opplysninger nevnt i nr. 1 skal CIR inneholde en henvisning til den konkrete registreringen i EU-informasjonssystemene som opplysningene tilhører.
5. Lagringen av opplysningene i nr. 1 skal oppfylle kvalitetsstandardene i artikkel 37 nr. 2.
Artikkel 19
Tilføyelse, endring og sletting av opplysninger i det felles identitetsregisteret
1. Dersom opplysninger tilføyes, endres eller slettes i EES, VIS og ETIAS, skal opplysningene nevnt i artikkel 18 og lagret i den individuelle saksmappen i CIR automatisk tilføyes, endres eller slettes.
2. Dersom en hvit eller en rød lenke opprettes i MID i samsvar med artikkel 32 eller 33 mellom opplysninger fra to eller flere av EU-informasjonssystemene som utgjør CIR, skal CIR i stedet for å skape en ny individuell saksmappe tilføye de nye opplysningene i den individuelle saksmappen som inneholder de lenkede opplysningene.
Artikkel 20
Tilgang til det felles identitetsregisteret for identifiseringsformål
1. Søk i CIR skal utføres av en politimyndighet i samsvar med nr. 2 og 5 bare under følgende omstendigheter:
(a) dersom en politimyndighet ikke kan identifisere en person ettersom det mangler et reisedokument eller et annet troverdig dokument som beviser personens identitet,
(b) dersom det er tvil om identitetsopplysningene som en person har framlagt,
(c) dersom det er tvil om ektheten av det reisedokumentet eller et annet troverdig dokument som en person har framlagt,
(d) dersom det er tvil om identiteten til innehaveren av et reisedokument eller et annet troverdig dokument, eller
(e) dersom en person ikke kan eller vil samarbeide.
Slike søk skal ikke tillates når det gjelder mindreårige under 12 år, dersom det ikke skjer i barnets interesse.
2. Dersom noen av omstendighetene angitt i nr. 1 oppstår og en politimyndighet har fått fullmakt ved de nasjonale lovgivningstiltakene nevnt i nr. 5, kan myndigheten, bare med det formål å identifisere en person, søke i CIR med denne personens biometriske opplysninger som er registrert direkte under en identitetskontroll, forutsatt at framgangsmåten er innledet i den berørte personens nærvær.
3. Dersom søket viser at opplysninger om denne personen er lagret i CIR, skal politimyndigheten ha tilgang for å konsultere opplysningene nevnt i artikkel 18 nr. 1.
Dersom personens biometriske opplysninger ikke kan brukes eller søket med disse opplysningene mislykkes, skal søket utføres med vedkommendes identitetsopplysninger i kombinasjon med reisedokumentopplysninger eller med identitetsopplysningene som personen har gitt.
4. Dersom en politimyndighet har fått fullmakt ved de nasjonale lovgivningstiltakene nevnt i nr. 6, kan den ved en naturkatastrofe, en ulykke eller et terrorangrep og bare for å identifisere ukjente personer ute av stand til å legitimere seg eller uidentifiserte menneskelige levninger, søke i CIR med disse personenes biometriske opplysninger.
5. Medlemsstater som vil benytte muligheten i nr. 2, skal vedta nasjonale lovgivningstiltak. Medlemsstatene skal i den forbindelse ta hensyn til at det ikke må forekomme forskjellsbehandling av tredjestatsborgere. I slike lovgivningstiltak skal de eksakte formålene med identifiseringen angis i henhold til artikkel 2 nr. 1 bokstav b) og c). Kompetente politimyndigheter skal utpekes, og framgangsmåter, vilkår og kriterier for slike kontroller skal fastsettes i disse lovgivningstiltakene.
6. Medlemsstater som vil benytte muligheten i nr. 4, skal vedta nasjonale lovgivningstiltak som fastsetter framgangsmåtene, vilkårene og kriteriene.
Artikkel 21
Tilgang til det felles identitetsregisteret for avdekking av flere identiteter
1. Dersom et søk i CIR fører til en gul lenke i samsvar med artikkel 28 nr. 4, skal myndigheten med ansvar for manuell verifisering av forskjellige identiteter i samsvar med artikkel 29 bare for dette verifiseringsformålet ha tilgang til opplysningene nevnt i artikkel 18 nr. 1 og nr. 2 som er lagret i CIR og som er koplet sammen via en gul lenke.
2. Dersom et søk i CIR fører til en rød lenke i samsvar med artikkel 32, skal myndighetene nevnt i artikkel 26 nr. 2 bare med det formål å bekjempe identitetsbedrageri ha tilgang til opplysningene nevnt i artikkel 18 nr. 1 og nr. 2, som er lagret i CIR, og som er koplet sammen via en rød lenke.
Artikkel 22
Søk i det felles identitetsregisteret med det formål å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold
1. Dersom det i et særlig tilfelle er rimelig grunn til å anta at et søk i EU-informasjonssystemer vil bidra til å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold, særlig dersom det finnes mistanker om at en mistenkt, en gjerningsperson eller et offer for en terrorhandling eller et annet alvorlig straffbart forhold er en person hvis opplysninger er lagret i EES, VIS eller ETIAS, kan de utpekte myndighetene og Europol søke i CIR for å få informasjon om hvorvidt det finnes opplysninger om en bestemt person i EES, VIS eller ETIAS.
2. Dersom et svar på et søk i CIR viser at det finnes opplysninger om den personen i EES, VIS eller ETIAS, skal CIR gi de utpekte myndighetene og Europol et svar i form av en henvisning nevnt i artikkel 18 nr. 2 som angir hvilke av disse EU-informasjonssystemene som inneholder tilsvarende opplysninger. CIR skal svare på en slik måte at opplysningenes sikkerhet ikke settes i fare.
Svaret om at det foreligger opplysninger om den aktuelle personen i noen av EU-informasjonssystemene nevnt i nr. 1, kan brukes bare med det formål å inngi en anmodning om full tilgang på vilkårene og etter framgangsmåtene fastsatt i respektive rettslige instrumenter for slik tilgang.
I tilfelle ett eller flere treff skal den utpekte myndigheten eller Europol anmode om full tilgang til minst ett av informasjonssystemene der det var et treff.
Dersom det unntaksvis ikke anmodes om slik full tilgang, skal de utpekte myndighetene registrere begrunnelsen til at det ikke er inngitt en anmodning, som skal kunne spores til den nasjonale saksmappen. Europol skal registrere begrunnelsen i den relevante saksmappen.
3. Full tilgang til opplysningene i EES, VIS eller ETIAS for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold er fortsatt underlagt vilkårene og framgangsmåtene fastsatt i de respektive rettslige instrumentene for slik tilgang.
Artikkel 23
Lagring av opplysninger i det felles identitetsregisteret
1. Opplysningene nevnt i artikkel 18 nr. 1, nr. 2 og nr. 4 skal automatisk slettes fra CIR i samsvar med bestemmelsene om lagring av opplysninger i henholdsvis forordning (EU) 2017/2226, (EF) nr. 767/2008 og (EU) 2018/1240.
2. Den individuelle saksmappen skal lagres i CIR bare så lenge de tilsvarende opplysningene lagres i minst ett av EU-informasjonssystemene med opplysninger i CIR. Opprettelsen av en lenke skal ikke påvirke lagringstiden for hvert element av de lenkede opplysningene.
Artikkel 24
Føring av logger
1. Uten at det berører artikkel 46 i forordning (EU) 2017/2226, artikkel 34 i forordning (EF) nr. 767/2008 og artikkel 69 i forordning (EU) 2018/1240, skal eu-LISA føre logg over all behandling av opplysninger i CIR i samsvar med nr. 2, 3 og 4 i denne artikkel.
2. eu-LISA skal føre logg over all behandling av opplysninger i henhold til artikkel 20 i CIR. Disse loggene skal omfatte følgende:
(a) medlemsstaten eller unionsbyrået som innledet søket,
(b) formålet med brukerens tilgang for å søke via CIR,
(c) dato og tidspunkt for søket,
(d) typen av opplysninger som brukes til å innlede søket,
(e) resultatene av søket.
3. eu-LISA skal føre logg over all behandling av opplysninger i henhold til artikkel 21 i CIR. Disse loggene skal omfatte følgende:
(a) medlemsstaten eller unionsbyrået som innledet søket,
(b) formålet med brukerens tilgang for å søke via CIR,
(c) dato og tidspunkt for søket,
(d) dersom det opprettes en lenke, opplysningene som brukes til å innlede søket og søkets resultater med angivelse av EU-informasjonssystemet som opplysningene ble mottatt fra.
4. eu-LISA skal føre logg over all behandling av opplysninger i henhold til artikkel 22 i CIR. Disse loggene skal omfatte følgende:
(a) dato og tidspunkt for søket,
(b) opplysningene som brukes til å innlede søket,
(c) resultatene av søket,
(d) medlemsstaten eller unionsbyrået som søker i CIR.
Loggene over slik tilgang skal kontrolleres regelmessig av kompetent tilsynsmyndighet i samsvar med artikkel 41 i direktiv (EU) 2016/680 eller av EUs datatilsyn i samsvar med artikkel 43 i forordning (EU) 2016/794, med høyst seks måneders mellomrom, for å kontrollere om framgangsmåtene og vilkårene i artikkel 22 nr. 1 og nr. 2 i denne forordning er oppfylt.
5. Hver medlemsstat skal føre logg over søk som myndighetene og personale hos disse myndighetene med behørig fullmakt til å bruke CIR utfører i samsvar med artikkel 20, 21 og 22. Hvert unionsbyrå skal føre logg over søk som personale med behørig fullmakt utfører i samsvar med artikkel 21 og 22.
For all tilgang til CIR i henhold til artikkel 22 skal hver medlemsstat dessuten føre logg over følgende:
(a) henvisningen til den nasjonale saksmappen,
(b) formålet med tilgangen,
(c) i samsvar med nasjonale regler, den unike brukeridentiteten for tjenestemannen som utførte søket, og for tjenestemannen som bestilte søket.
6. I samsvar med forordning (EU) 2016/794, skal Europol ved all tilgang til CIR i samsvar med artikkel 22 i denne forordning føre logg over den unike brukeridentiteten for tjenestemannen som utførte søket, og for tjenestemannen som bestilte søket.
7. Loggene nevnt i nr. 2–6 kan bare brukes til å overvåke personvernet, herunder kontrollere om et søk er tillatt, og om opplysninger er behandlet på lovlig måte, og til å ivareta datasikkerheten og dataintegriteten. Disse loggene skal ved hjelp av egnede tiltak beskyttes mot tilgang for uvedkommende og skal slettes ett år etter at de er opprettet. Dersom de trengs for kontrollprosedyrer som allerede er innledet, skal de imidlertid slettes så snart loggene ikke lenger trengs for kontrollprosedyrene.
8. eu-LISA skal lagre loggene over historikken for opplysningene i individuelle saksmapper. eu-LISA skal automatisk slette slike logger så snart opplysningene slettes.
Kapittel V
Fleridentitetsdetektor
Artikkel 25
Fleridentitetsdetektor
1. Det skal opprettes en fleridentitetsdetektor (MID) som oppretter og lagrer identitetsbekreftelsesmapper som nevnt i artikkel 34, som inneholder lenker mellom opplysninger i EU-informasjonssystemene som inngår i CIR og SIS, og som gjør det mulig å avdekke flere identiteter, både for å forenkle identitetskontroller og bekjempe identitetsbedrageri, og støtte CIRs funksjoner og målene med EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN.
2. MID skal bestå av følgende:
(a) en sentral infrastruktur som lagrer lenker og henvisninger til EU-informasjonssystemer,
(b) en sikker kommunikasjonsinfrastruktur som kopler MID til SIS og de sentrale infrastrukturene i ESP og CIR.
3. eu-LISA skal utvikle MID og sikre den tekniske forvaltningen.
Artikkel 26
Tilgang til MID
1. For den manuelle verifiseringen av forskjellige identiteter nevnt i artikkel 29 skal det gis tilgang til opplysningene nevnt i artikkel 34 og som er lagret i MID til
(a) kompetente myndigheter utpekt i samsvar med artikkel 9 nr. 2 i forordning (EU) 2017/2226 ved opprettelse eller ajourføring av en individuell saksmappe i EES i samsvar med artikkel 14 i nevnte forordning,
(b) visummyndighetene nevnt i artikkel 6 nr. 1 i forordning (EF) nr. 767/2008 ved opprettelse eller ajourføring av en søknadsmappe i VIS i samsvar med nevnte forordning,
(c) den sentrale ETIAS-enheten og de nasjonale ETIAS-enhetene når de utfører behandlingen nevnt i artikkel 22 og 26 i forordning (EU) 2018/1240,
(d) SIRENE-kontoret i medlemsstaten som oppretter eller ajourfører en melding i SIS i samsvar med forordning (EU) 2018/1860 og (EU) 2018/1861.
2. Medlemsstatenes myndigheter og unionsbyråene som har tilgang til minst ett av EU-informasjonssystemene i CIR eller til SIS, skal ha tilgang til opplysningene nevnt i artikkel 34 bokstav a) og b) når det gjelder alle røde lenker nevnt i artikkel 32.
3. Medlemsstatenes myndigheter og unionsbyråene skal ha tilgang til de hvite lenkene nevnt i artikkel 33 dersom de har tilgang til de to EU-informasjonssystemene som inneholder opplysninger som den hvite lenken ble opprettet mellom.
4. Medlemsstatenes myndigheter og unionsbyråene skal ha tilgang til de grønne lenkene nevnt i artikkel 31 dersom de har tilgang til de to EU-informasjonssystemene som inneholder opplysninger som den grønne lenken ble opprettet mellom, og et søk i disse informasjonssystemene har gitt et treff med de to settene lenkede opplysninger.
Artikkel 27
Avdekking av flere identiteter
1. Avdekking av flere identiteter skal iverksettes i CIR og i SIS dersom
(a) det opprettes eller ajourføres en individuell saksmappe i EES i samsvar med artikkel 14 i forordning (EU) 2017/2226,
(b) det opprettes eller ajourføres en søknadsmappe i VIS i samsvar med forordning (EF) nr. 767/2008,
(c) det opprettes eller ajourføres en søknadsmappe i ETIAS i samsvar med artikkel 19 i forordning (EU) 2018/1240,
(d) det opprettes eller ajourføres en melding om en person i SIS i samsvar med artikkel 3 i forordning (EU) 2018/1860 og kapittel V i forordning (EU) 2018/1861.
2. Dersom opplysningene i et EU-informasjonssystem nevnt i nr. 1 inneholder biometriske opplysninger, skal CIR og det sentrale SIS bruke sBMS til å utføre en avdekking av flere identiteter. sBMS skal sammenligne de biometriske malene som er opprettet fra nye biometriske opplysninger med de biometriske malene som allerede finnes i sBMS med det formål å kontrollere om opplysninger som tilhører samme person, allerede er lagret i CIR eller i det sentrale SIS.
3. I tillegg til framgangsmåten nevnt i nr. 2 skal CIR og det sentrale SIS bruke ESP til å søke i opplysninger som er lagret i henholdsvis det sentrale SIS og CIR ved hjelp av følgende opplysninger:
(a) etternavn (familienavn), fornavn, fødselsdato, statsborgerskap og kjønn i samsvar med artikkel 16 nr. 1 bokstav a), artikkel 17 nr. 1 og artikkel 18 nr. 1 i forordning (EU) 2017/2226,
(b) etternavn (familienavn), fornavn, fødselsdato, kjønn, fødested, fødeland og statsborgerskap i samsvar med artikkel 9 nr. 4 bokstav a) og aa) i forordning (EF) nr. 767/2008,
(c) etternavn (familienavn), fornavn, etternavn ved fødselen, aliasnavn, fødselsdato, fødested, kjønn og nåværende statsborgerskap i samsvar med artikkel 17 nr. 2 i forordning (EU) 2018/1240,
(d) etternavn, fornavn, navn ved fødsel, tidligere anvendte navn og aliasnavn, fødested, fødselsdato, kjønn og samtlige statsborgerskap i samsvar med artikkel 20 nr. 2 i forordning (EU) 2018/1861,
(e) etternavn, fornavn, navn ved fødsel, tidligere anvendte navn og aliasnavn, fødested, fødselsdato, kjønn og samtlige statsborgerskap i samsvar med artikkel 4 i forordning (EU) 2018/1860.
4. I tillegg til framgangsmåten nevnt i nr. 2 og 3 skal CIR og det sentrale SIS bruke ESP til å søke på opplysninger som er lagret henholdsvis i det sentrale SIS og CIR ved hjelp av reisedokumentopplysninger.
5. Avdekking av flere identiteter skal bare iverksettes for å sammenligne tilgjengelige opplysninger i et EU-informasjonssystem med tilgjengelige opplysninger i andre EU-informasjonssystemer.
Artikkel 28
Resultater av avdekking av flere identiteter
1. Dersom søkene nevnt i artikkel 27 nr. 2, nr. 3 og nr. 4 ikke gir treff, skal framgangsmåtene nevnt i artikkel 27 nr. 1 fortsette i samsvar med de rettslige instrumentene for dem.
2. Dersom søket nevnt i artikkel 27 nr. 2, nr. 3 og nr. 4 gir ett eller flere treff, skal CIR og eventuelt SIS opprette en lenke mellom opplysningene som brukes til å innlede søket, og opplysningene som førte til treffet.
Ved flere treff skal det opprettes en lenke mellom alle opplysningene som har ført til treffet. Dersom opplysningene allerede er lenket, skal den eksisterende lenken utvides til å omfatte opplysningene som ble brukt til å innlede søket.
3. Dersom søket nevnt i artikkel 27 nr. 2, nr. 3 og nr. 4 gir ett eller flere treff og identitetsopplysningene i de lenkede dokumentene er de samme eller lignende, skal det opprettes en hvit lenke i samsvar med artikkel 33.
4. Dersom søket nevnt i artikkel 27 nr. 2, nr. 3 og nr. 4 gir ett eller flere treff og identitetsopplysningene i de lenkede dokumentene ikke kan anses å være lignende, skal det opprettes en gul lenke i samsvar med artikkel 30, og framgangsmåten nevnt i artikkel 29 får anvendelse.
5. Kommisjonen skal vedta delegerte rettsakter i samsvar med artikkel 73 for å fastsette framgangsmåtene for å avgjøre saker der identitetsopplysninger kan anses å være de samme eller lignende.
6. Lenkene skal lagres i identitetsbekreftelsesmappen nevnt i artikkel 34.
7. Kommisjonen skal, i samarbeid med eu-LISA, fastsette de tekniske reglene for å opprette lenker mellom opplysninger fra forskjellige EU-informasjonssystemer ved hjelp av gjennomføringsrettsakter. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
Artikkel 29
Manuell verifisering av forskjellige identiteter og ansvarlige myndigheter
1. Uten at det berører nr. 2, skal myndigheten med ansvar for manuell verifisering av forskjellige identiteter være følgende:
(a) kompetent myndighet utpekt i henhold til artikkel 9 nr. 2 i forordning (EU) 2017/2226 for treff som forekom ved opprettelse eller ajourføring av en individuell saksmappe i EES i samsvar med nevnte forordning,
(b) visummyndighetene nevnt i artikkel 6 nr. 1 i forordning (EF) nr. 767/2008 for treff som forekom ved opprettelse eller ajourføring av en søknadsmappe i VIS i samsvar med nevnte forordning,
(c) den sentrale ETIAS-enheten og de nasjonale ETIAS-enhetene for treff som forekom ved opprettelse eller ajourføring av en søknadsmappe i samsvar med forordning (EU) 2018/1240,
(d) SIRENE-kontoret i medlemsstaten for treff som forekom ved opprettelse eller ajourføring av en melding i SIS i samsvar med forordning (EU) 2018/1860 og (EU) 2018/1861.
MID skal angi myndigheten med ansvar for manuell verifisering av forskjellige identiteter i identitetsbekreftelsesmappen.
2. Myndigheten med ansvar for manuell verifisering av forskjellige identiteter i identitetsbekreftelsesmappen skal være SIRENE-kontoret i medlemsstaten som opprettet meldingen dersom det opprettes en lenke til opplysningene i en melding om
(a) personer som er etterlyst med henblikk på pågripelse og overlevering eller utlevering i henhold til artikkel 26 i forordning (EU) 2018/1862,
(b) savnede eller sårbare personer i henhold til artikkel 32 i forordning (EU) 2018/1862,
(c) personer som er etterlyst i forbindelse med rettslig prosedyre i henhold til artikkel 34 i forordning (EU) 2018/1862,
(d) personer med sikte på diskret kontroll, undersøkelseskontroll eller målrettet kontroll i henhold til artikkel 36 i forordning (EU) 2018/1862.
3. Uten at det berører nr. 4 i denne artikkel, skal myndigheten med ansvar for manuell verifisering av forskjellige identiteter ha tilgang til de lenkede opplysningene i den relevante identitetsbekreftelsesmappen og til identitetsopplysningene som er lenket i CIR og eventuelt i SIS. Den skal uten ugrunnet opphold vurdere de forskjellige identitetene. Når vurderingen er avsluttet, skal den oppdatere lenken i samsvar med artikkel 31, 32 og 33 og uten ugrunnet opphold tilføye den i identitetsbekreftelsesmappen.
4. Dersom myndigheten med ansvar for manuell verifisering av forskjellige identiteter i identitetsbekreftelsesmappen er kompetent myndighet som er utpekt i samsvar med artikkel 9 nr. 2 i forordning (EU) 2017/2226, og som oppretter eller ajourfører en individuell saksmappe i EES i samsvar med artikkel 14 i nevnte forordning og det opprettes en gul lenke, skal denne myndigheten utføre ytterligere kontroller. Myndigheten skal bare for dette formål ha tilgang til de tilknyttede opplysningene som finnes i den relevante identitetsbekreftelsesmappen. Den skal vurdere de forskjellige identitetene, oppdatere lenken i samsvar med artikkel 31, 32 og 33 i denne forordning og tilføye den i identitetsbekreftelsesmappen.
Slik manuell verifisering av forskjellige identiteter skal innledes i nærvær av den berørte personen, som skal gis mulighet til å forklare omstendighetene for den ansvarlige myndigheten, som skal ta hensyn til disse forklaringene.
Dersom den manuelle verifiseringen av forskjellige identiteter finner sted ved grensen, skal den om mulig finne sted innen 12 timer fra det er opprettet en gul lenke i henhold til artikkel 28 nr. 4.
5. Dersom det opprettes mer enn én lenke, skal myndigheten med ansvar for manuell verifisering av forskjellige identiteter vurdere hver lenke for seg.
6. Dersom opplysninger som gir et treff, allerede var lenket, skal myndigheten med ansvar for manuell verifisering av forskjellige identiteter ta hensyn til de eksisterende lenkene ved vurderingen av opprettelsen av nye lenker.
Artikkel 30
Gul lenke
1. Når en manuell verifisering av forskjellige identiteter ennå ikke har funnet sted, skal en lenke mellom opplysninger fra to eller flere EU-informasjonssystemer klassifiseres som gul i alle følgende tilfeller:
(a) De lenkede opplysningene inneholder de samme biometriske opplysningene, men har lignende eller forskjellige identitetsopplysninger.
(b) De lenkede opplysningene har forskjellige identitetsopplysninger, men inneholder de samme reisedokumentopplysningene, og minst ett av EU-informasjonssystemene mangler biometriske opplysninger om den berørte personen.
(c) De lenkede opplysningene inneholder de samme identitetsopplysningene, men har forskjellige biometriske opplysninger.
(d) De lenkede opplysningene har lignende eller forskjellige identitetsopplysninger og inneholder de samme reisedokumentopplysningene, men har forskjellige biometriske opplysninger.
2. Dersom en lenke klassifiseres som gul i samsvar med nr. 1, får framgangsmåten i artikkel 29 anvendelse.
Artikkel 31
Grønn lenke
1. En lenke mellom opplysninger fra to eller flere EU-informasjonssystemer skal klassifiseres som grønn dersom
(a) de lenkede opplysningene har forskjellige biometriske opplysninger, men inneholder de samme identitetsopplysningene, og myndigheten med ansvar for manuell verifisering av forskjellige identiteter har konkludert at de lenkede opplysningene henviser til to forskjellige personer,
(b) de lenkede opplysningene har forskjellige biometriske opplysninger, har lignende eller forskjellige identitetsopplysninger, inneholder de samme reisedokumentopplysningene, og myndigheten med ansvar for manuell verifisering av forskjellige identiteter, har konkludert at de lenkede opplysningene henviser til to forskjellige personer,
(c) de lenkede opplysningene har forskjellige identitetsopplysninger, men inneholder de samme reisedokumentopplysningene, minst et av EU-informasjonssystemene mangler biometriske opplysninger om den berørte personen, og myndigheten med ansvar for manuell verifisering av forskjellige identiteter har konkludert at de lenkede opplysningene henviser til to forskjellige personer.
2. Dersom det foretas et søk i CIR eller SIS og det er en grønn lenke mellom opplysninger fra to eller flere av EU-informasjonssystemene, skal MID angi at identitetsopplysningene i de lenkede opplysningene ikke gjelder den samme personen.
3. Dersom en myndighet i en medlemsstat har dokumentasjon som tyder på at en grønn lenke er registrert feilaktig i MID, at en grønn lenke er foreldet, eller at opplysninger er behandlet i MID eller EU-informasjonssystemene i strid med denne forordning, skal den kontrollere de berørte opplysningene i CIR og SIS og om nødvendig uten ugrunnet opphold rette eller slette lenken fra MID. Myndigheten i medlemsstaten skal uten ugrunnet opphold underrette medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter.
Artikkel 32
Rød lenke
1. En lenke mellom opplysninger fra to eller flere EU-informasjonssystemer skal klassifiseres som rød i alle følgende tilfeller:
(a) De lenkede opplysningene inneholder de samme biometriske opplysningene, men har lignende eller forskjellige identitetsopplysninger, og myndigheten med ansvar for manuell verifisering av forskjellige identiteter har konkludert at de lenkede opplysningene henviser til den samme personen på en ubegrunnet måte.
(b) De lenkede opplysningene har de samme, lignende eller forskjellige identitetsopplysninger og har de samme reisedokumentopplysningene, men forskjellige biometriske opplysninger, og myndigheten med ansvar for manuell verifisering av forskjellige identiteter har konkludert at de lenkede opplysningene henviser til to forskjellige personer, hvorav minst én person bruker det samme reisedokumentet på en ubegrunnet måte.
(c) De lenkede opplysningene inneholder de samme identitetsopplysningene, men har forskjellige biometriske opplysninger og forskjellige eller ingen reisedokumentopplysninger, og myndigheten med ansvar for manuell verifisering av forskjellige identiteter har konkludert at de lenkede opplysningene henviser til to forskjellige personer på en ubegrunnet måte.
(d) De lenkede opplysningene har forskjellige identitetsopplysninger, men inneholder de samme reisedokumentopplysningene, minst ett av EU-informasjonssystemene mangler biometriske opplysninger om den berørte personen, og myndigheten med ansvar for manuell verifisering av forskjellige identiteter har konkludert at de lenkede opplysningene henviser til den samme personen på en ubegrunnet måte.
2. Dersom det foretas søk i CIR eller SIS, og dersom det er en rød lenke mellom opplysninger i to eller flere av EU-informasjonssystemene, skal MID angi opplysningene nevnt i artikkel 34. En oppfølging av en rød lenke skal skje i samsvar med unionsretten og nasjonal rett, og eventuelle rettslige følger for den berørte personen skal bygge utelukkende på de relevante opplysningene om den aktuelle personen. Det skal ikke være noen rettslige følger for den berørte personen bare fordi det finnes en rød lenke.
3. Dersom det opprettes en rød lenke mellom opplysninger i EES, VIS, ETIAS, Eurodac eller ECRIS-TCN, skal den individuelle saksmappen som er lagret i CIR, ajourføres i samsvar med artikkel 19 nr. 2.
4. Uten at det berører bestemmelsene om behandling av meldinger i SIS i forordning (EU) 2018/1860, (EU) 2018/1861 og (EU) 2018/1862, og uten at det berører begrensninger som er nødvendige for å ivareta sikkerheten og den offentlige orden, forebygge kriminalitet og garantere at ingen nasjonale etterforskinger settes i fare, skal myndigheten med ansvar for manuell verifisering av forskjellige identiteter, ved opprettelsen av en rød lenke, underrette den berørte personen om forekomsten av flere ulovlige identitetsopplysninger, og skal gi den aktuelle personen det enkeltstående identifiseringsnummeret nevnt i artikkel 34 bokstav c) i denne forordning, en henvisning til myndigheten med ansvar for manuell verifisering av forskjellige identiteter nevnt i artikkel 34 bokstav d) i denne forordning og nettadressen til nettportalen som er opprettet i samsvar med artikkel 49 i denne forordning.
5. Myndigheten med ansvar for manuell verifisering av forskjellige identiteter skal skriftlig gi opplysningene nevnt i nr. 4 i form av et standardskjema. Kommisjonen skal ved gjennomføringsrettsakter fastsette skjemaets innhold og utforming. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
6. Dersom det opprettes en rød lenke, skal MID automatisk underrette myndighetene med ansvar for de lenkede opplysningene.
7. Dersom en myndighet i en medlemsstat eller et unionsbyrå med tilgang til CIR eller SIS har dokumentasjon som tyder på at en rød lenke er registrert feilaktig i MID, eller at opplysninger er behandlet i MID, CIR eller SIS i strid med denne forordning, skal denne myndigheten eller dette byrået kontrollere relevante opplysninger som lagres i CIR og SIS, og skal
(a) dersom lenken gjelder en av meldingene i SIS nevnt i artikkel 29 nr. 2, umiddelbart underrette det berørte SIRENE-kontoret i medlemsstaten som opprettet meldingen i SIS,
(b) i alle andre tilfeller, umiddelbart rette eller slette lenken fra MID.
Dersom et SIRENE-kontor kontaktes i samsvar med bokstav a) i første ledd, skal det kontrollere dokumentasjonen som er framlagt av medlemsstatens myndighet eller unionsbyrået og eventuelt umiddelbart rette eller slette lenken fra MID.
Medlemsstatens myndighet som innhenter dokumentasjonen, skal uten ugrunnet opphold underrette medlemsstatens myndighet med ansvar for manuell kontroll av forskjellige identiteter og angi eventuelle relevante rettelser eller slettinger av en rød lenke.
Artikkel 33
Hvit lenke
1. En lenke mellom opplysninger fra to eller flere EU-informasjonssystemer skal klassifiseres som hvit i alle følgende tilfeller:
(a) De lenkede opplysningene inneholder de samme biometriske opplysningene og de samme eller lignende identitetsopplysninger.
(b) De lenkede opplysningene inneholder de samme eller lignende identitetsopplysninger og de samme reisedokumentopplysningene, og minst ett av EU-informasjonssystemene mangler biometriske opplysninger om den berørte personen.
(c) De lenkede opplysningene inneholder de samme biometriske opplysningene, de samme reisedokumentopplysningene og lignende identitetsopplysninger.
(d) De lenkede opplysningene inneholder de samme biometriske opplysningene, men har lignende eller forskjellige identitetsopplysninger, og myndigheten med ansvar for manuell verifisering av forskjellige identiteter har konkludert at de lenkede opplysningene henviser til den samme personen på en begrunnet måte.
2. Dersom det foretas søk i CIR eller SIS og det er en hvit lenke mellom opplysninger i to eller flere av EU-informasjonssystemene, skal MID angi at identitetsopplysningene i de lenkede opplysningene gjelder den samme personen. EU-informasjonssystemene som er gjenstand for søk, skal svare ved eventuelt å angi alle lenkede opplysninger om personen, som på denne måten fører til et treff mot opplysningene som er lenket gjennom den hvite lenken, dersom myndigheten som innledet søket, har tilgang til de lenkede opplysningene i samsvar med unionsretten eller nasjonal rett.
3. Dersom det opprettes en hvit lenke mellom opplysninger i EES, VIS, ETIAS, Eurodac eller ECRIS-TCN, skal den individuelle saksmappen som er lagret i CIR, ajourføres i samsvar med artikkel 19 nr. 2.
4. Uten at det berører bestemmelsene om behandling av meldinger i SIS i forordning (EU) 2018/1860, (EU) 2018/1861 og (EU) 2018/1862, og uten at det berører begrensninger som er nødvendige for å ivareta sikkerheten og den offentlige orden, forebygge kriminalitet og garantere at nasjonale etterforskinger ikke settes i fare, skal myndigheten med ansvar for manuell verifisering av forskjellige identiteter, ved opprettelsen av en hvit lenke etter en manuell verifisering av flere identiteter, underrette den berørte personen om forekomsten av lignende eller forskjellige identitetsopplysninger, og skal gi den aktuelle personen det enkeltstående identifiseringsnummeret nevnt i artikkel 34 bokstav c) i denne forordning, en henvisning til myndigheten med ansvar for manuell verifisering av forskjellige identiteter nevnt i artikkel 34 bokstav d) i denne forordning og nettadressen til nettportalen som er opprettet i samsvar med artikkel 49 i denne forordning.
5. Dersom en myndighet i en medlemsstat har dokumentasjon som tyder på at en hvit lenke er registrert feilaktig i MID, at en hvit lenke er foreldet, eller at opplysninger er behandlet i MID eller EU-informasjonssystemene i strid med denne forordning, skal den kontrollere de berørte opplysningene i CIR og SIS og om nødvendig uten ugrunnet opphold rette eller slette lenken fra MID. Myndigheten i medlemsstaten skal uten ugrunnet opphold underrette medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter.
6. Myndigheten med ansvar for manuell verifisering av forskjellige identiteter skal skriftlig gi opplysningene nevnt i nr. 4 i form av et standardskjema. Kommisjonen skal ved gjennomføringsrettsakter fastsette skjemaets innhold og utforming. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
Artikkel 34
Identitetsbekreftelsesmappe
Identitetsbekreftelsesmappen skal inneholde følgende opplysninger:
(a) lenkene nevnt i artikkel 30–33,
(b) en henvisning til EU-informasjonssystemene der de lenkede opplysningene lagres,
(c) et enkeltstående identifiseringsnummer som gjør det mulig å hente de lenkede opplysningene fra de tilsvarende EU-informasjonssystemene,
(d) myndigheten med ansvar for manuell verifisering av forskjellige identiteter,
(e) dato for opprettelse av lenken eller ajourføring av den.
Artikkel 35
Lagring av opplysninger i fleridentitetsdetektoren
Identitetsbekreftelsesmappene og opplysningene i dem, herunder lenkene, skal lagres i MID bare så lenge de lenkede opplysningene er lagret i to eller flere EU-informasjonssystemer. De skal slettes automatisk fra MID.
Artikkel 36
Føring av logger
1. eu-LISA skal føre logg over all behandling av opplysninger i MID. Disse loggene skal omfatte følgende:
(a) medlemsstaten som innledet søket,
(b) formålet med brukerens tilgang,
(c) dato og tidspunkt for søket,
(d) typen av opplysninger som brukes til å innlede søket,
(e) henvisning til de lenkede opplysningene,
(f) historikken for identitetsbekreftelsesmappen.
2. Hver medlemsstat skal føre logg over søk som myndighetene og personale hos disse myndighetene med behørig fullmakt til å bruke MID utfører. Hvert unionsbyrå skal føre logg over søk som personale med behørig fullmakt utfører.
3. Loggene i nr. 1 og 2 kan brukes bare til å overvåke personvern, herunder kontrollere om et søk er tillatt, og om opplysninger er behandlet på lovlig måte og til å ivareta datasikkerheten og dataintegriteten. Disse loggene skal ved hjelp av egnede tiltak beskyttes mot tilgang for uvedkommende og skal slettes ett år etter at de er opprettet. Dersom de trengs for kontrollprosedyrer som allerede er innledet, skal de imidlertid slettes så snart loggene ikke lenger trengs for kontrollprosedyrene.
Kapittel VI
Tiltak til støtte for interoperabilitet
Artikkel 37
Opplysningenes kvalitet
1. Uten at det berører medlemsstatenes ansvar for kvaliteten på opplysningene som registreres i systemene, skal eu-LISA opprette automatiske mekanismer og framgangsmåter for kontroll av opplysningenes kvalitet for opplysningene som lagres i EES, VIS, ETIAS, SIS, sBMS og CIR.
2. eu-LISA skal innføre mekanismer for evaluering av sBMS’ nøyaktighet, felles indikatorer for opplysningenes kvalitet og minstekvalitetsstandarder for lagring av opplysninger i EES, VIS, ETIAS, SIS, sBMS og CIR.
Bare opplysninger som oppfyller minstekvalitetsstandardene, kan registreres i EES, VIS, ETIAS, SIS, sBMS, CIR og MID.
3. eu-LISA skal regelmessig fremlegge rapporter om de automatiske mekanismene og framgangsmåtene for kontroll av opplysningenes kvalitet og de felles indikatorene for opplysningenes kvalitet for medlemsstatene. eu-LISA skal også regelmessig framlegge rapport for Kommisjonen om problemer som har oppstått, og hvilke medlemsstater som er berørt. eu-LISA skal også oversende denne rapporten til Europaparlamentet og Rådet på anmodning. Ingen rapporter som framlegges i samsvar med dette nummer, skal inneholde personopplysninger.
4. De nærmere detaljene om de automatiske mekanismene og framgangsmåtene for kontroll av opplysningenes kvalitet, de felles indikatorene for opplysningenes kvalitet og minstekvalitetsstandardene for lagring av opplysninger i EES, VIS, ETIAS, SIS, sBMS og CIR, særlig når det gjelder biometriske opplysninger, skal fastsettes i gjennomføringsrettsakter. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
5. Ett år etter opprettelsen av de automatiske mekanismene og framgangsmåtene for kontroll av opplysningenes kvalitet, de felles indikatorene for opplysningenes kvalitet og minstestandardene for opplysningenes kvalitet, og hvert år deretter, skal Kommisjonen evaluere medlemsstatenes gjennomføring av opplysningenes kvalitet og gi nødvendige anbefalinger. Medlemsstatene skal utarbeide en handlingsplan til Kommisjonen for å avhjelpe manglene som er konstatert i evalueringsrapporten og særlig problemer med opplysningenes kvalitet som skriver seg fra feilaktige opplysninger i EU-informasjonssystemer. Medlemsstatene skal regelmessig framlegge rapport for Kommisjonen om hvilke framskritt som er gjort med denne handlingsplanen til den er fullt ut gjennomført.
Kommisjonen skal oversende evalueringsrapporten til Europaparlamentet, Rådet, EUs datatilsyn, Det europeiske personvernråd og Den europeiske unions byrå for grunnleggende rettigheter opprettet ved rådsforordning (EF) nr. 168/200739.
Artikkel 38
Universelt meldingsformat
1. Det opprettes herved en standard for det universelle meldingsformatet (UMF). Via UMF fastsettes standarder for visse innholdselementer av den grenseoverskridende informasjonsutvekslingen mellom informasjonssystemer, myndigheter eller organisasjoner for rettslige og indre anliggender.
2. UMF-standarden skal brukes ved utviklingen av EES, ETIAS, ESP, CIR, MID og, dersom det er relevant, eu-LISAs eller andre unionsbyråers utvikling av nye modeller for informasjonsutveksling og informasjonssystemer innenfor rettslige og indre anliggender.
3. Kommisjonen skal vedta en gjennomføringsrettsakt for å fastsette og utvikle UMF-standarden nevnt i nr. 1 i denne artikkel. Denne gjennomføringsrettsakten skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
Artikkel 39
Sentralt register for rapportering og statistikk
1. Det skal opprettes et sentralt register for rapportering og statistikk (CRRS) for å støtte målene med EES, VIS, ETIAS og SIS i samsvar med de respektive rettslige instrumentene for disse systemene, og for å levere statistiske opplysninger og analytisk rapportering mellom systemene av hensyn til politikk, drift og opplysningenes kvalitet.
2. eu-LISA skal opprette, gjennomføre og drifte CRRS på sine tekniske anlegg, som inneholder opplysningene og statistikken nevnt i artikkel 63 i forordning (EU) 2017/2226, artikkel 17 i forordning (EF) nr. 767/2008, artikkel 84 i forordning (EU) 2018/1240, artikkel 60 i forordning (EU) 2018/1861 og artikkel 16 i forordning (EU) 2018/1860, som holdes logisk atskilt etter EU-informasjonssystem. Tilgang til CRRS skal gis via kontrollert, sikret tilgang og spesifikke brukerprofiler, bare for rapportering og statistikk, til myndighetene nevnt i artikkel 63 i forordning (EU) 2017/2226, artikkel 17 i forordning (EF) nr. 767/2008, artikkel 84 i forordning (EU) 2018/1240 og artikkel 60 i forordning (EU) 2018/1861.
3. eu-LISA skal anonymisere opplysningene og registrere de anonymiserte opplysningene i CRRS. Framgangsmåten for å anonymisere opplysningene skal automatiseres.
Opplysningene i CRRS skal ikke gjøre det mulig å identifisere enkeltpersoner.
4. CRRS skal bestå av følgende:
(a) nødvendige verktøy for anonymisering av opplysninger,
(b) en sentral infrastruktur som består av et dataregister med anonymiserte opplysninger,
(c) en sikker kommunikasjonsinfrastruktur for å kople CRRS til EES, VIS, ETIAS og SIS og de sentrale infrastrukturene i sBMS, CIR og MID.
5. Kommisjonen skal vedta en delegert rettsakt i samsvar med artikkel 73 for å fastsette nærmere regler for driften av CRRS, herunder særlige vernetiltak for behandling av personopplysninger i henhold til nr. 2 og 3 i denne artikkel og sikkerhetsreglene som gjelder for registeret.
Kapittel VII
Vern av personopplysninger
Artikkel 40
Behandlingsansvarlig
1. Når det gjelder behandling av opplysninger i sBMS, skal medlemsstatenes myndigheter som er behandlingsansvarlige for henholdsvis EES, VIS og SIS, være behandlingsansvarlige i samsvar med artikkel 4 nr. 7 i forordning (EU) 2016/679 eller artikkel 3 nr. 8 i direktiv (EU) 2016/680 for de biometriske malene som er opprettet på bakgrunn av opplysningene nevnt i artikkel 13 i denne forordning, og som de registrerer i de underliggende systemene, og skal ha ansvar for behandlingen av de biometriske malene i sBMS.
2. Når det gjelder behandling av opplysninger i CIR, skal medlemsstatenes myndigheter som er behandlingsansvarlige for henholdsvis EES, VIS og ETIAS, være behandlingsansvarlige i samsvar med artikkel 4 nr. 7 i forordning (EU) 2016/679 for opplysningene nevnt i artikkel 18 i denne forordning, og som de registrerer i de underliggende systemene, og skal ha ansvar for behandlingen av disse personopplysningene i CIR.
3. Når det gjelder behandling av opplysninger i MID, skal følgende gjelde:
(a) Det europeiske grense- og kystvaktbyrå skal være behandlingsansvarlig i henhold til artikkel 3 nr. 8 i forordning (EU) 2018/1725 i forbindelse med behandling av personopplysninger som utføres av Den sentrale ETIAS-enheten.
(b) Medlemsstatenes myndigheter som tilføyer eller endrer opplysninger i identitetsbekreftelsesmappen, skal være behandlingsansvarlige i henhold til artikkel 4 nr. 7 i forordning (EU) 2016/679 eller artikkel 3 nr. 8 i direktiv (EU) 2016/680 og skal ha ansvar for behandlingen av personopplysninger i MID.
4. For å overvåke personvernet, herunder kontrollere om et søk er tillatt, og om opplysninger er behandlet på lovlig måte, skal de behandlingsansvarlige ha tilgang til loggene nevnt i artikkel 10, 16, 24 og 36 for internkontroll som nevnt i artikkel 44.
Artikkel 41
Databehandler
Når det gjelder behandling av personopplysninger i sBMS, CIR og MID, skal eu-LISA være databehandler i henhold til artikkel 3 nr. 12 bokstav a) i forordning (EU) 2018/1725.
Artikkel 42
Informasjonssikkerhet
1. eu-LISA, den sentrale ETIAS-enheten, Europol og medlemsstatenes myndigheter skal ivareta sikkerheten ved behandlingen av personopplysninger som finner sted i samsvar med denne forordning. eu-LISA, den sentrale ETIAS-enheten, Europol og medlemsstatenes myndigheter skal samarbeide om sikkerhetsrelaterte oppgaver.
2. Uten at det berører artikkel 33 i forordning (EU) 2018/1725, skal eu-LISA iverksette nødvendige tiltak for å ivareta interoperabilitetskomponentenes og den relaterte kommunikasjonsinfrastrukturens sikkerhet.
3. eu-LISA skal særlig iverksette nødvendige tiltak, herunder en sikkerhetsplan, en kontinuitetsplan og en katastrofeplan, for
(a) fysisk å verne opplysninger, herunder ved å utarbeide beredskapsplaner for beskyttelse av viktig infrastruktur,
(b) å hindre at uvedkommende får tilgang til utstyr og anlegg for behandling av opplysninger,
(c) å hindre at uvedkommende leser, kopierer, endrer eller sletter datamedier,
(d) å hindre at uvedkommende registrerer opplysninger, og at uvedkommende får innsyn i, endrer eller sletter registrerte personopplysninger,
(e) å hindre at uvedkommende behandler opplysninger, og at uvedkommende kopierer, endrer eller sletter opplysninger,
(f) å hindre at uvedkommende bruker automatiserte systemer for behandling av opplysninger ved hjelp av dataoverføringsutstyr,
(g) å sikre at personer med tilgangsrett til interoperabilitetskomponentene bare har tilgang til opplysninger omfattet av tilgangsretten ved hjelp av individuelle og entydige brukeridentiteter og fortrolige tilgangsmetoder,
(h) å sikre at det er mulig å kontrollere og fastslå hvilke organer personopplysninger kan overføres til via dataoverføringsutstyr,
(i) å sikre at det er mulig å kontrollere og fastslå hvilke opplysninger som er blitt behandlet i interoperabilitetskomponentene, når det er skjedd, hvem som har gjort det, og til hvilket formål,
(j) å hindre at uvedkommende leser, kopierer, endrer eller sletter personopplysninger under overføring av personopplysninger til eller fra interoperabilitetskomponentene eller under transport av datamedier, særlig ved hjelp av egnede krypteringsteknikker,
(k) å sikre at de installerte systemene ved avbrudd kan gjenopprettes til normal drift,
(l) å sikre pålitelighet ved å sørge for at eventuelle funksjonsfeil i interoperabilitetskomponentene rapporteres på riktig måte,
(m) å overvåke at sikkerhetstiltakene i dette nummer er effektive, og iverksette nødvendige organisatoriske tiltak for intern overvåking for å sikre at denne forordning overholdes, og for å vurdere disse sikkerhetstiltakene på bakgrunn av utviklingen av ny teknologi.
4. Medlemsstatene, Europol og den sentrale ETIAS-enheten skal iverksette tiltak som er likeverdige med tiltakene nevnt i nr. 3 når det gjelder sikkerheten ved behandling av personopplysninger som utføres av myndighetene som har rett til tilgang til noen av interoperabilitetskomponentene.
Artikkel 43
Brudd på personopplysningssikkerheten
1. Alle hendelser som har eller kan ha innvirkning på interoperabilitetskomponentenes sikkerhet, og som kan forårsake skade på eller tap av opplysninger som er lagret i dem, skal anses som brudd på personopplysningssikkerheten, særlig dersom uvedkommende kan ha fått tilgang til opplysninger, eller dersom opplysningenes tilgjengelighet, integritet og konfidensialitet er satt i fare eller kan ha blitt satt i fare.
2. Brudd på personopplysningssikkerheten skal håndteres slik at en rask, effektiv og passende reaksjon sikres.
3. Uten at det berører melding av og underrettelse om brudd på personopplysningssikkerheten i henhold til artikkel 33 i forordning (EU) 2016/679, artikkel 30 i direktiv (EU) 2016/680, eller begge, skal medlemsstatene uten ugrunnet opphold underrette Kommisjonen, eu-LISA, kompetente tilsynsmyndigheter og EUs datatilsyn om alle brudd på personopplysningssikkerheten.
Uten at det berører artikkel 34 og 35 i forordning (EU) 2018/1725 og artikkel 34 i forordning (EU) 2016/794, skal den sentrale ETIAS-enheten og Europol uten ugrunnet opphold underrette Kommisjonen, eu-LISA og EUs datatilsyn om alle brudd på personopplysningssikkerheten.
Dersom det inntreffer et brudd på personopplysningssikkerheten i forbindelse med interoperabilitetskomponentenes sentrale infrastruktur, skal eu-LISA uten ugrunnet opphold underrette Kommisjonen og EUs datatilsyn.
4. Opplysninger om brudd på personopplysningssikkerheten som har eller kan ha innvirkning på interoperabilitetskomponentenes funksjon eller opplysningenes tilgjengelighet, integritet og konfidensialitet, skal uten ugrunnet opphold gis medlemsstatene, den sentrale ETIAS-enheten og Europol og rapporteres i samsvar med den hendelsesstyringsplanen som eu-LISA skal utarbeide.
5. De berørte medlemsstatene, den sentrale ETIAS-enheten, Europol og eu-LISA skal samarbeide dersom det inntreffer et brudd på personopplysningssikkerheten. Kommisjonen skal fastsette retningslinjene for dette samarbeidet ved gjennomføringsrettsakter. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
Artikkel 44
Internkontroll
Medlemsstatene og de relevante unionsbyråene skal påse at hver myndighet som har tilgangsrett til interoperabilitetskomponentene, iverksetter nødvendige tiltak for å overvåke overholdelsen av denne forordning og om nødvendig samarbeider med tilsynsmyndighetene.
De behandlingsansvarlige nevnt i artikkel 40 skal iverksette nødvendige tiltak for å overvåke at behandlingen av opplysninger skjer i samsvar med denne forordning, herunder ved hyppig kontroll av loggene nevnt i artikkel 10, 16, 24 og 36, og om nødvendig samarbeide med tilsynsmyndighetene og med EUs datatilsyn.
Artikkel 45
Sanksjoner
Medlemsstatene skal påse at misbruk av opplysninger eller behandling eller utveksling av opplysninger i strid med denne forordning straffes i samsvar med nasjonal rett. Sanksjonene skal være effektive, forholdsmessige og avskrekkende.
Artikkel 46
Erstatningsansvar
1. Uten at det berører retten til erstatning fra den behandlingsansvarlige eller databehandleren og dennes erstatningsansvar i henhold til forordning (EU) 2016/679, direktiv (EU) 2016/680 og forordning (EU) 2018/1725, skal følgende gjelde:
(a) Hver person eller medlemsstat som har lidt materiell eller immateriell skade som følge av en ulovlig behandling av personopplysninger eller enhver annen handling fra en medlemsstats side som er i strid med denne forordning, skal ha rett til erstatning fra den berørte medlemsstaten.
(b) Hver person eller medlemsstat som har lidt materiell eller immateriell skade som følge av en handling fra Europols, Det europeiske grense- og kystvaktbyrås eller eu-LISAs side som er i strid med denne forordning, skal ha rett til erstatning fra det aktuelle byrået.
Den berørte medlemsstaten, Europol, Det europeiske grense- og kystvaktbyrå eller eu-LISA skal helt eller delvis unntas fra sitt erstatningsansvar i samsvar med første ledd dersom de beviser at de ikke er ansvarlige for hendelsen som forårsaket skaden.
2. Dersom en medlemsstats unnlatelse av å utføre sine forpliktelser i samsvar med denne forordning skader interoperabilitetskomponentene, skal medlemsstaten være ansvarlig for denne skaden så sant ikke og i den grad eu-LISA eller en annen medlemsstat som er bundet av denne forordning, har unnlatt å iverksette rimelige tiltak for å hindre skaden i å oppstå eller for å begrense dens omfang.
3. Erstatningskrav mot en medlemsstat for skade nevnt i nr. 1 og 2 skal reguleres etter den innklagede medlemsstatens nasjonale rett. Erstatningskrav mot den behandlingsansvarlige eller eu-LISA for skaden nevnt i nr. 1 og 2 er underlagt vilkårene fastsatt i traktatene.
Artikkel 47
Rett til opplysninger
1. Myndigheten som samler inn personopplysningene som skal lagres i sBMS, CIR eller MID, skal gi personer hvis opplysninger samles inn, opplysningene som er påkrevd i samsvar med artikkel 13 og 14 i forordning (EU) 2016/679, artikkel 12 og 13 i forordning (EU) 2016/680 og artikkel 15 og 16 i forordning (EU) 2018/1725. Myndigheten skal gi opplysningene når slike opplysninger samles inn.
2. Alle opplysninger skal stilles til rådighet ved hjelp av et klart og tydelig språk i en språkversjon som den berørte personen forstår eller med rimelighet kan forventes å forstå. Dette skal innebære at opplysninger gis på en måte som er tilpasset alderen på registrerte personer som er mindreårige.
3. Personer hvis opplysninger er registrert i EES, VIS eller ETIAS, skal underrettes om behandlingen av personopplysninger i henhold til denne forordning i samsvar med nr. 1 i følgende tilfeller:
(a) Det opprettes eller ajourføres en individuell saksmappe i EES i samsvar med artikkel 14 i forordning (EU) 2017/2226.
(b) Det opprettes eller ajourføres en søknadsmappe i VIS i samsvar med artikkel 8 i forordning (EF) nr. 767/2008.
(c) Det opprettes eller ajourføres en søknadsmappe i ETIAS i samsvar med artikkel 19 i forordning (EU) 2018/1240.
Artikkel 48
Rett til innsyn i, retting og sletting av personopplysninger lagret i MID og begrensning av behandlingen
1. For å utøve sine rettigheter i samsvar med artikkel 15–18 i forordning (EU) 2016/679, artikkel 17–20 i forordning (EU) 2018/1725 og artikkel 14, 15 og 16 i direktiv (EU) 2016/680 skal hver person ha rett til å henvende seg til kompetent myndighet i hvilken som helst medlemsstat, som skal gjennomgå og besvare anmodningen.
2. Medlemsstaten som gjennomgår en slik anmodning, skal svare uten ugrunnet opphold og senest innen 45 dager fra mottak av anmodningen. Denne perioden kan ved behov forlenges med ytterligere 15 dager, av hensyn til anmodningenes kompleksitet og antall. Medlemsstaten som gjennomgår anmodningen, skal underrette den registrerte om en slik forlengelse innen 45 dager fra mottak av anmodningen og angi årsakene til forsinkelsen. Medlemsstatene kan beslutte at disse svarene skal gis av sentralenheter.
3. Dersom en anmodning om retting eller sletting av personopplysninger inngis til en annen medlemsstat enn medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter, skal medlemsstaten som anmodningen er inngitt til, innen sju dager kontakte myndighetene i medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter. Medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter skal uten ugrunnet opphold og senest innen 30 dager fra en slik kontakt kontrollere om opplysningene er korrekte, og om de er behandlet på lovlig måte. Denne perioden kan ved behov forlenges med ytterligere 15 dager, av hensyn til anmodningenes kompleksitet og antall. Medlemsstaten med ansvar for verifisering kontroll av forskjellige identiteter skal underrette medlemsstaten som kontaktet denne om en slik forlengelse og årsakene til forsinkelsen. Den berørte personen skal underrettes av medlemsstaten som kontaktet myndigheten i medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter om den videre prosedyren.
4. Dersom det inngis en anmodning om retting eller sletting av personopplysninger til en medlemsstat der den sentrale ETIAS-enheten hadde ansvar for manuell kontroll av forskjellige identiteter, skal medlemsstaten som anmodningen ble inngitt til, kontakte den sentrale ETIAS-enheten innen sju dager og kreve at den avgir uttalelse. Den sentrale ETIAS-enheten skal avgi uttalelse uten ugrunnet opphold og senest innen 30 dager etter at den ble kontaktet. Denne perioden kan ved behov forlenges med ytterligere 15 dager, av hensyn til anmodningenes kompleksitet og antall. Den berørte personen skal underrettes om den videre prosedyren av medlemsstaten som kontaktet den sentrale ETIAS-enheten.
5. Dersom det etter en gjennomgåelse viser seg at opplysningene som ble lagret i MID, er uriktige eller er registrert på ulovlig måte, skal medlemsstaten som hadde ansvar for manuell verifisering av forskjellige identiteter, eller – dersom det ikke ble funnet noen medlemsstat som hadde ansvar for manuell verifisering av forskjellige identiteter, eller dersom den sentrale ETIAS-enheten hadde ansvar for manuell verifisering av forskjellige identiteter – medlemsstaten som anmodningen er inngitt til, uten ugrunnet opphold rette eller slette disse opplysningene. Den berørte personen skal underrettes skriftlig om at vedkommendes opplysninger er rettet eller slettet.
6. Dersom opplysninger lagret i MID endres av en medlemsstat i løpet av lagringstiden, skal medlemsstaten utføre behandlingen angitt i artikkel 27 og eventuelt artikkel 29 for å avgjøre om de endrede opplysningene skal lenkes. Dersom behandlingen ikke gir noen treff, skal denne medlemsstaten slette opplysningene fra identitetsbekreftelsesmappen. Dersom den automatiske behandlingen gir ett eller flere treff, skal medlemsstaten opprette eller oppdatere den relevante lenken i samsvar med de relevante bestemmelsene i denne forordning.
7. Dersom medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter eller eventuelt medlemsstaten som anmodningen er inngitt til, ikke er enig i at opplysninger lagret i MID er uriktige eller er registrert på ulovlig måte, skal denne medlemsstaten uten ugrunnet opphold treffe en administrativ beslutning med en skriftlig forklaring til den berørte personen om hvorfor den ikke er villig til å rette eller slette opplysninger som gjelder vedkommende.
8. Beslutningen nevnt i nr. 7 skal også gi den berørte personen opplysninger om muligheten til å reise innvendinger mot beslutningen som ble truffet i forbindelse med anmodningen om tilgang til, retting, sletting eller begrensning av behandling av personopplysninger og eventuelt opplysninger om hvordan krav eller klage kan inngis til kompetente myndigheter eller domstoler og muligheten til å få bistand, også fra tilsynsmyndighetene.
9. En anmodning om tilgang til, retting, sletting eller begrensning av behandling av personopplysninger skal inneholde nødvendige opplysninger for at den berørte personen skal kunne identifiseres. Disse opplysningene skal brukes utelukkende for at rettighetene nevnt i denne artikkel skal kunne utøves, og skal deretter umiddelbart slettes.
10. Medlemsstaten som har ansvar for manuell verifisering av forskjellige identiteter, eller eventuelt medlemsstaten som anmodningen er inngitt til, skal registrere skriftlig at det er inngitt en anmodning om tilgang til, retting, sletting eller begrensning av behandling av personopplysninger, og hvordan den er behandlet, og skal uten ugrunnet opphold stille registreringen til rådighet for tilsynsmyndighetene.
11. Denne artikkel berører ikke begrensninger og innskrenkninger av rettighetene fastsatt i denne artikkel i samsvar med forordning (EU) 2016/679 og direktiv (EU) 2016/680.
Artikkel 49
Nettportal
1. Det opprettes en nettportal for å forenkle utøvelse av retten til tilgang til, retting, sletting eller begrensning av behandling av personopplysninger.
2. Nettportalen skal inneholde informasjon om rettighetene og prosedyrene nevnt i artikkel 47 og 48 og et brukergrensesnitt som gjør det mulig for personer hvis opplysninger behandles i MID, og som er underrettet om forekomsten av en rød lenke i samsvar med artikkel 32 nr. 4, til å få kontaktopplysningene til kompetent myndighet i medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter.
3. For å få kontaktopplysningene til kompetent myndighet i medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter bør personen hvis opplysninger behandles i MID, angi henvisningen til myndigheten med ansvar for manuell verifisering av forskjellige identiteter som nevnt i artikkel 34 bokstav d). Nettportalen skal bruke denne henvisningen til å hente kontaktopplysningene til kompetent myndighet i medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter. Nettportalen skal også inneholde en mal for e-postmelding for å forenkle kommunikasjonen mellom portalbrukeren og kompetent myndighet i medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter. Denne e-postmeldingen skal inneholde et felt for det enkeltstående identifiseringsnummeret nevnt i artikkel 34 bokstav c), slik at kompetent myndighet i medlemsstaten med ansvar for manuell verifisering av forskjellige identiteter kan identifisere de berørte opplysningene.
4. Medlemsstatene skal gi eu-LISA kontaktopplysninger til alle myndigheter med fullmakt til å gjennomgå og besvare hver slik anmodning nevnt i artikkel 47 og 48 og skal regelmessig vurdere om disse kontaktopplysningene er oppdaterte.
5. eu-LISA skal utvikle nettportalen og sikre den tekniske forvaltningen.
6. Kommisjonen skal vedta en delegert rettsakt i samsvar med artikkel 73 for å fastsette nærmere regler for driften av nettportalen, herunder brukergrensesnittet, språkene som nettportalen skal være tilgjengelig på, og e-postmalen.
Artikkel 50
Overføring av personopplysninger til tredjestater, internasjonale organisasjoner og private parter
Uten at det berører artikkel 65 i forordning (EU) 2018/1240, artikkel 25 og 26 i forordning (EU) 2016/794, artikkel 41 i forordning (EU) 2017/2226, artikkel 31 i forordning (EF) nr. 767/2008 eller søk via ESP i samsvar med artikkel 9 nr. 5 i denne forordning i Interpol-databasene som oppfyller bestemmelsene i kapittel V i forordning (EU) 2018/1725 og kapittel V i forordning (EU) 2016/679, skal personopplysninger som lagres eller behandles i interoperabilitetskomponentene, eller som interoperabilitetskomponentene har fått tilgang til, ikke overføres til eller stilles til rådighet for tredjestater, internasjonale organisasjoner eller private parter.
Artikkel 51
Tilsynsmyndighetenes tilsyn
1. Hver medlemsstat skal sikre at tilsynsmyndighetene på en uavhengig måte overvåker lovligheten av den berørte medlemsstatens behandling av personopplysninger i samsvar med denne forordning, herunder overføringen av dem til og fra interoperabilitetskomponentene.
2. Hver medlemsstat skal sikre at de nasjonale lovene og forskriftene som vedtas i henhold til direktiv (EU) 2016/680, ved behov får anvendelse også på politimyndigheters og utpekte myndigheters tilgang til interoperabilitetskomponentene, også i forbindelse med rettighetene for personer hvis opplysninger tilgangen gjelder.
3. Tilsynsmyndighetene skal påse at en revisjon av den behandling av personopplysninger som utføres av de ansvarlige nasjonale myndighetene i henhold til denne forordning, utføres i samsvar med relevante internasjonale revisjonsstandarder minst hvert fjerde år.
Tilsynsmyndighetene skal hvert år offentliggjøre antallet anmodninger om retting, sletting eller begrensning av behandling av personopplysninger, tiltak som er iverksatt som følge av dette, og antallet rettinger, slettinger eller begrensninger av behandling som er utført som følge av anmodninger fra de berørte personene.
4. Medlemsstatene skal påse at deres tilsynsmyndigheter har de ressurser og den ekspertise som kreves for å utføre oppgavene de pålegges i henhold til denne forordning.
5. Medlemsstatene skal gi alle opplysninger som det anmodes om av en slik tilsynsmyndighet nevnt i artikkel 51 nr. 1 i forordning (EU) 2016/679, og skal særlig forsyne den med opplysninger om virksomhet som drives i samsvar med deres ansvar i henhold til denne forordning. Medlemsstatene skal gi tilsynsmyndighetene nevnt i artikkel 51 nr. 1 i forordning (EU) 2016/679 tilgang til loggene nevnt i artikkel 10, 16, 24 og 36 i denne forordning og til begrunnelsene nevnt i artikkel 22 nr. 2 i denne forordning og når som helst gi dem tilgang til alle sine lokaler som brukes til interoperabilitetsformål.
Artikkel 52
Revisjoner ved EUs datatilsyn
EUs datatilsyn skal sikre at en revisjon av eu-LISAs, den sentrale ETIAS-enhetens og Europols behandling av personopplysninger i henhold til denne forordning utføres i samsvar med relevante internasjonale revisjonsstandarder minst hvert fjerde år. En rapport om revisjonen skal oversendes til Europaparlamentet, Rådet, eu-LISA, Kommisjonen, medlemsstatene og det berørte unionsbyrået. eu-LISA, den sentrale ETIAS-enheten og Europol skal gis mulighet til å framsette kommentarer før rapportene vedtas.
eu-LISA, den sentrale ETIAS-enheten og Europol skal gi EUs datatilsyn anmodet informasjon, gi EUs datatilsyn tilgang til alle anmodede dokumenter og tilgang til sine logger som nevnt i artikkel 10, 16, 24 og 36 og når som helst gi EUs datatilsyn tilgang til alle sine lokaler.
Artikkel 53
Samarbeid mellom tilsynsmyndigheter og EUs datatilsyn
1. Tilsynsmyndighetene og EUs datatilsyn, som hver handler innen rammen av sine respektive fullmakter, skal aktivt samarbeide innen rammen av sine respektive ansvarsområder og sikre et samordnet tilsyn med bruken av interoperabilitetskomponentene og anvendelsen av andre bestemmelser i denne forordning, særlig dersom EUs datatilsyn eller en tilsynsmyndighet oppdager store forskjeller mellom praksis i medlemsstatene eller oppdager eventuelt ulovlige overføringer via interoperabilitetskomponentenes kommunikasjonskanaler.
2. I tilfellene nevnt i nr. 1 i denne artikkel skal et samordnet tilsyn sikres i samsvar med artikkel 62 i forordning (EU) 2018/1725.
3. Det europeiske personvernråd skal senest 12. juni 2021, og deretter annethvert år, sende en felles rapport om sine aktiviteter i henhold til denne artikkel til Europaparlamentet, Rådet, Kommisjonen, Europol, Det europeiske grense- og kystvaktbyrå og eu-LISA. Denne rapporten skal inneholde et kapittel om hver medlemsstat som den berørte medlemsstatens tilsynsmyndighet har utarbeidet.
Kapittel VIII
Ansvar
Artikkel 54
eu-LISAs ansvar under utformings- og utviklingsfasen
1. eu-LISA skal sikre at de sentrale infrastrukturene i interoperabilitetskomponentene drives i samsvar med denne forordning.
2. Interoperabilitetskomponentene skal driftes av eu-LISA på dets tekniske anlegg og skal levere funksjonene fastsatt i denne forordning i samsvar med vilkårene for sikkerhet, tilgjengelighet, kvalitet og ytelse angitt i artikkel 55 nr. 1.
3. eu-LISA skal ha ansvar for interoperabilitetskomponentenes utvikling og for tilpasningene som kreves for å opprette interoperabilitet mellom de sentrale systemene i EES, VIS, ETIAS, SIS, Eurodac, ECRIS-TCN, ESP, sBMS, CIR, MID og CRRS.
Uten at det berører artikkel 66, skal eu-LISA ikke ha tilgang til noen av personopplysningene som behandles i ESP, sBMS, CIR eller MID.
eu-LISA skal fastsette utformingen av interoperabilitetskomponentenes fysiske arkitektur, herunder deres kommunikasjonsinfrastrukturer og de tekniske spesifikasjonene og deres utvikling når det gjelder den sentrale infrastrukturen og den sikre kommunikasjonsinfrastrukturen, som skal vedtas av styret, med forbehold om en positiv uttalelse fra Kommisjonen. eu-LISA skal også foreta alle nødvendige tilpasninger av EES, VIS, ETIAS eller SIS som følger av opprettelsen av interoperabilitet, og som fastsettes i denne forordning.
eu-LISA skal utvikle og gjennomføre interoperabilitetskomponentene snarest mulig etter at denne forordning er trådt i kraft og Kommisjonen har vedtatt tiltakene angitt i artikkel 8 nr. 2, artikkel 9 nr. 7, artikkel 28 nr. 5 og nr. 7, artikkel 37 nr. 4, artikkel 38 nr. 3, artikkel 39 nr. 5, artikkel 43 nr. 5 og artikkel 78 nr. 10.
Utviklingen skal bestå i å utarbeide og gjennomføre de tekniske spesifikasjonene, utprøvingene og den overordnede prosjektledelsen og prosjektsamordningen.
4. I utformings- og utviklingsfasen skal det nedsettes et programstyringsråd som består av høyst ti medlemmer. Det skal bestå av sju medlemmer som utpekes av eu-LISAs styre blant dets medlemmer eller stedfortredere, lederen for den rådgivende gruppen for interoperabilitet nevnt i artikkel 75, et medlem som representerer eu-LISA, og som utpekes av den administrerende direktøren, og et medlem som utpekes av Kommisjonen. Medlemmer som utpekes av eu-LISAs styre, skal velges bare fra medlemsstater som i samsvar med unionsretten er fullt ut bundet av de rettslige instrumentene for utvikling, opprettelse, drift og bruk av alle EU-informasjonssystemer, og som vil delta i interoperabilitetskomponentene.
5. Programstyringsrådet skal møtes regelmessig og minst tre ganger per kvartal. Det skal sikre en hensiktsmessig styring av interoperabilitetskomponentenes utformings- og utviklingsfase.
Programstyringsrådet skal hver måned framlegge skriftlige rapporter for eu-LISAs styre om prosjektets framskritt. Programstyringsrådet skal verken ha fullmakt til å treffe beslutning eller mandat til å representere medlemmene i eu-LISAs styre.
6. eu-LISAs styre skal fastsette programstyringsrådets forretningsorden, som særlig skal inneholde regler for
(a) lederskap,
(b) møtesteder,
(c) forberedelse av møter,
(d) eksperters tilgang til møtene,
(e) kommunikasjonsplaner for å sikre at fraværende medlemmer av styret er fullt ut underrettet.
Lederskapet skal innehas av en medlemsstat som i henhold til unionsretten er fullt ut bundet av de rettslige instrumentene for utvikling, opprettelse, drift og bruk av alle EU-informasjonssystemer, og som vil delta i interoperabilitetskomponentene.
Medlemmene i programstyringsrådet skal få alle sine utgifter til reise og opphold dekket av eu-LISA, og artikkel 10 i eu-LISAs forretningsorden får tilsvarende anvendelse. eu-LISA yter sekretariatsbistand til programstyringsrådet.
Den rådgivende gruppen for interoperabilitet nevnt i artikkel 75 skal møtes regelmessig til interoperabilitetskomponentene settes i drift. Den skal etter hvert møte framlegge rapport for programstyringsrådet. Den skal yte teknisk ekspertise til støtte for programstyringsrådets oppgaver og følge opp medlemsstatenes forberedelser.
Artikkel 55
eu-LISAs ansvar etter idriftsettingen
1. Etter at hver interoperabilitetskomponent er satt i drift, skal eu-LISA ha ansvar for den tekniske forvaltningen av den sentrale infrastrukturen i interoperabilitetskomponentene, herunder vedlikeholdet av dem og den tekniske utviklingen. I samarbeid med medlemsstatene skal byrået påse at beste tilgjengelige teknologi brukes, med forbehold om en nytte- og kostnadsanalyse. eu-LISA skal også ha ansvar for den tekniske forvaltningen av kommunikasjonsinfrastrukturen nevnt i artikkel 6, 12, 17, 25 og 39.
Den tekniske forvaltningen av interoperabilitetskomponentene skal bestå av alle de oppgaver og tekniske løsninger som kreves for at interoperabilitetskomponentene skal kunne fungere og gi medlemsstatene og unionsbyråene uavbrutte tjenester døgnet rundt alle dager i uken i samsvar med denne forordning. Den skal omfatte nødvendig vedlikehold og teknisk utvikling for at komponentene skal fungere med tilfredsstillende teknisk kvalitet, særlig når det gjelder svartiden ved søk i de sentrale infrastrukturene i samsvar med de tekniske spesifikasjonene.
Alle interoperabilitetskomponenter skal utvikles og forvaltes på en måte som sikrer rask, smidig, effektiv og kontrollert tilgang og fullstendig og uavbrutt tilgjengelighet til komponentene og opplysningene som er lagret i MID, sBMS og CIR, og en svartid i tråd med medlemsstatenes myndigheters og unionsbyråenes driftsmessige behov.
2. Uten at det berører artikkel 17 i vedtektene for Den europeiske unions tjenestemenn, skal eu-LISA anvende egnede regler for taushetsplikt eller tilsvarende fortrolighetsplikt på alt personale som arbeider med opplysninger som er lagret i interoperabilitetskomponentene. Denne forpliktelsen skal gjelde også etter at den aktuelle ansatte har fratrådt sin stilling eller opphørt med sin virksomhet.
Uten at det berører artikkel 66, skal eu-LISA ikke ha tilgang til noen av personopplysningene som behandles i ESP, sBMS, CIR og MID.
3. eu-LISA skal utvikle og opprettholde en mekanisme og framgangsmåter for å gjennomføre kvalitetskontroller av opplysningene som er lagret i sBMS og CIR i samsvar med artikkel 37.
4. eu-LISA skal også utføre oppgaver i forbindelse med opplæring i teknisk bruk av interoperabilitetskomponentene.
Artikkel 56
Medlemsstatenes ansvar
1. Hver medlemsstat skal ha ansvaret for
(a) forbindelsen til kommunikasjonsinfrastrukturen i ESP og CIR,
(b) integrasjon av de eksisterende nasjonale systemene og infrastrukturene med ESP, CIR og MID,
(c) organisasjon, forvaltning, drift og vedlikehold av den eksisterende nasjonale infrastrukturen og forbindelsen til interoperabilitetskomponentene,
(d) forvaltning av og ordninger for tilgang for personale med behørig fullmakt hos kompetente nasjonale myndigheter til ESP, CIR og MID i samsvar med denne forordning og opprettelse og regelmessig ajourføring av en liste over dette personalet og dets profiler,
(e) vedtakelse av lovgivningstiltakene nevnt i artikkel 20 nr. 5 og 6 for å få tilgang til CIR for identifiseringsformål,
(f) manuell verifisering av forskjellige identiteter nevnt i artikkel 29,
(g) oppfyllelse av kravene til opplysningenes kvalitet fastsatt i unionsretten,
(h) overholdelse av reglene for hvert EU-informasjonssystem vedrørende personopplysningenes sikkerhet og integritet,
(i) utbedring av eventuelle mangler som er konstatert i Kommisjonens evalueringsrapport om opplysningenes kvalitet nevnt i artikkel 37 nr. 5.
2. Hver medlemsstat skal kople sine utpekte myndigheter til CIR.
Artikkel 57
Den sentrale ETIAS-enhetens ansvar
Den sentrale ETIAS-enheten skal ha ansvar for følgende:
(a) manuell verifisering av forskjellige identiteter i samsvar med artikkel 29,
(b) gjennomføring av avdekking av flere identiteter blant opplysningene som er lagret i EES, VIS, Eurodac og SIS i samsvar med artikkel 69.
Kapittel IX
Endring av andre unionsinstrumenter
Artikkel 58
Endring av forordning (EF) nr. 767/2008
I forordning (EF) nr. 767/2008 gjøres følgende endringer:
(1) I artikkel 1 skal nytt ledd lyde:
«Ved å lagre identitetsopplysninger, reisedokumentopplysninger og biometriske opplysninger i det felles identitetsregisteret (CIR) opprettet ved artikkel 17 nr. 1 i europaparlaments- og rådsforordning (EU) 2019/81740 bidrar VIS til å forenkle og støtte korrekt identifisering av personer registrert i VIS på vilkårene og for formålene nevnt i artikkel 20 i nevnte forordning.»
(2) I artikkel 4 skal nye numre lyde:
«12) «VIS-opplysninger» alle opplysninger lagret i det sentrale VIS-systemet og i CIR i samsvar med artikkel 9–14,
13) «identitetsopplysninger» opplysningene nevnt i artikkel 9 nr. 4 bokstav a) og aa),
14) «fingeravtrykksopplysninger» opplysninger om de fem fingeravtrykkene av pekefingeren, langfingeren, ringfingeren, lillefingeren og tommelen fra høyre hånd og eventuelt fra venstre hånd,»
(3) I artikkel 5 skal nytt nummer lyde:
«1a. CIR skal inneholde opplysningene nevnt i artikkel 9 nr. 4 bokstav a)–c), nr. 5 og nr. 6. De gjenstående opplysningene i VIS skal lagres i det sentrale VIS-systemet.»
(4) I artikkel 6 skal nr. 2 lyde:
«2. Tilgang til VIS for å søke på opplysningene skal utelukkende forbeholdes personale med behørig fullmakt hos de nasjonale myndigheter i hver medlemsstat som er kompetente for formålene angitt i artikkel 15–22, og personale med behørig fullmakt hos de nasjonale myndighetene i hver medlemsstat og unionsbyråene som er kompetente for formålene angitt i artikkel 20 og 21 i forordning (EU) 2019/817. Denne tilgangen skal være begrenset til opplysningene er nødvendige for å utføre oppgavene for disse formålene, og skal stå i rimelig forhold til målene som etterstrebes.»
(5) I artikkel 9 nr. 4 skal bokstav a)–c) og ny bokstav lyde:
«a) etternavn (familienavn), fornavn, fødselsdato, kjønn,
aa) fødenavn (tidligere etternavn), fødested og fødeland, nåværende statsborgerskap og statsborgerskap ved fødsel,
b) reisedokumentets eller -dokumentenes type og nummer og koden på tre bokstaver for staten som har utstedt reisedokumentet eller -dokumentene,
c) reisedokumentets eller -dokumentenes siste gyldighetsdato,
ca) myndigheten som utarbeidet reisedokumentet og utstedelsesdatoen,»
Artikkel 59
Endring av forordning (EU) 2016/399
I artikkel 8 skal nytt nummer lyde:
«4a. Dersom søket i relevante databaser ved inn- eller utreise, herunder fleridentitetsdetektoren via den europeiske søkeportalen opprettet ved artikkel 25 nr. 1 og artikkel 6 nr. 1 i europaparlaments- og rådsforordning (EU) 2019/817,41 henholdsvis fører til en gul lenke og viser en rød lenke, skal grensevakten konsultere det felles identitetsregisteret opprettet ved artikkel 17 nr. 1 i nevnte forordning eller SIS eller begge for å vurdere forskjellene i de lenkede identitetsopplysningene eller reisedokumentopplysningene. Grensevakten skal utføre all ytterligere kontroll som kreves for å treffe en beslutning om lenkens status og farge.
I samsvar med artikkel 69 nr. 1 i forordning (EU) 2019/817 får dette nummer anvendelse fra fleridentitetsdetektoren settes i drift i henhold til artikkel 72 nr. 4 i nevnte forordning.»
Artikkel 60
Endring av forordning (EU) 2017/2226
I forordning (EU) 2017/2226 gjøres følgende endringer:
(1) I artikkel 1 skal nytt ledd lyde:
«3. Ved å lagre identitetsopplysninger, reisedokumentopplysninger og biometriske opplysninger i det felles identitetsregisteret (CIR) opprettet ved artikkel 17 nr. 1 i europaparlaments- og rådsforordning (EU) 2019/817 42 bidrar EES til å forenkle og støtte korrekt identifisering av personer som registreres i EES på vilkårene og for formålene angitt i artikkel 20 i nevnte forordning.»
(2) I artikkel 3 nr. 1 gjøres følgende endringer:
(a) Nr. 22 skal lyde:
«22) «EES-opplysninger» alle opplysninger lagret i det sentrale EES-systemet og i CIR i samsvar med artikkel 15–20,»
(b) Nytt nummer skal lyde:
«22a) «identitetsopplysninger» opplysningene nevnt i artikkel 16 nr. 1 bokstav a) og de relevante opplysningene nevnt i artikkel 17 nr. 1 og artikkel 18 nr. 1,»
(c) Nye numre skal lyde:
«32) «ESP» den europeiske søkeportalen opprettet ved artikkel 6 nr. 1 i forordning (EU) 2019/817,
33) «CIR» det felles identitetsregisteret opprettet ved artikkel 17 nr. 1 i forordning (EU) 2019/817.»
(3) I artikkel 6 nr. 1 skal ny bokstav lyde:
«j) sikre korrekt identifisering av personer.»
(4) I artikkel 7 gjøres følgende endringer:
(a) I nr. 1 gjøres følgende endringer:
(i) Nytt nummer skal lyde:
«aa) den sentrale infrastrukturen for CIR nevnt i artikkel 17 nr. 2 bokstav a) i forordning (EU) 2019/817,»
(ii) Bokstav f) skal lyde:
«f) en sikker kommunikasjonsinfrastruktur mellom det sentrale EES-systemet og de sentrale infrastrukturene i ESP og CIR.»
(b) Nytt nummer skal lyde:
«1a. CIR skal inneholde opplysningene nevnt i artikkel 16 nr. 1 bokstav a)–d), artikkel 17 nr. 1 bokstav a), b) og c) og artikkel 18 nr. 1 og nr. 2. Gjenstående EES-opplysninger skal lagres i det sentrale EES-systemet.»
(5) I artikkel 9 skal nytt nummer lyde:
«4. Tilgang til EES-opplysningene som lagres i CIR, skal utelukkende forbeholdes personale med behørig fullmakt hos de nasjonale myndighetene i hver medlemsstat og personale med behørig fullmakt hos unionsbyråene som er kompetente for formålene angitt i artikkel 20 og 21 i forordning (EU) 2019/817. Denne tilgangen skal være begrenset til opplysningene er nødvendige for å utføre oppgavene for disse formålene, og skal stå i rimelig forhold til målene som etterstrebes.»
(6) I artikkel 21 gjøres følgende endringer:
(a) Nr. 1 skal lyde:
«1. Dersom det er teknisk umulig å registrere opplysninger i det sentrale EES-systemet eller CIR, eller ved feil på det sentrale EES-systemet eller CIR, skal opplysningene nevnt i artikkel 16–20 midlertidig lagres i det enhetlige nasjonale grensesnittet. Dersom dette ikke er mulig, skal opplysningene midlertidig lagres lokalt i et elektronisk format. I begge tilfeller skal opplysningene registreres i det sentrale EES-systemet eller CIR så snart det er teknisk mulig eller feilen er utbedret. Medlemsstatene skal iverksette egnede tiltak og levere den infrastruktur, det utstyr og de ressurser som kreves for å sikre at slik midlertidig lokal lagring kan utføres når som helst og ved alle grenseoverganger.»
(b) I nr. 2 skal første ledd lyde:
«2. Uten at det berører plikten til å utføre inn- og utreisekontroller i samsvar med forordning (EU) 2016/399, skal grensemyndigheten, i de unntakstilfeller der det er teknisk umulig å registrere opplysninger i enten det sentrale EES-systemet og CIR eller i det enhetlige nasjonale grensesnittet og teknisk umulig midlertidig å lagre opplysningene lokalt i elektronisk format, manuelt lagre opplysninger nevnt i artikkel 16–20 i denne forordning, med unntak av biometriske opplysninger, og påføre tredjestatsborgerens reisedokument et innreise- eller utreisestempel. Disse opplysningene skal registreres i det sentrale EES-systemet og CIR så snart det er teknisk mulig.»
(7) I artikkel 23 gjøres følgende endringer:
(a) Nytt nummer skal lyde:
«2a. For kontrollene angitt i nr. 1 i denne artikkel skal grensemyndigheten innlede et søk ved å bruke ESP til å sammenligne opplysningene om tredjestatsborgeren med de relevante opplysningene i EES og VIS.»
(b) I nr. 4 skal første ledd lyde:
«4. Dersom søket på grunnlag av de alfanumeriske opplysningene i nr. 2 i denne artikkel viser at opplysninger om tredjestatsborgeren ikke er registrert i EES, dersom kontrollen av tredjestatsborgeren i samsvar med nr. 2 i denne artikkel ikke lykkes, eller dersom det er uklarhet om tredjestatsborgerens identitet, skal grensemyndighetene ha tilgang til opplysninger for identifisering i samsvar med artikkel 27 med det formål å opprette eller ajourføre en individuell saksmappe i samsvar med artikkel 14.»
(8) I artikkel 32 skal nytt nummer lyde:
«1a. I de tilfeller de utpekte myndighetene har innledet et søk i CIR i samsvar med artikkel 22 i forordning (EU) 2019/817, kan de ha tilgang til EES for søk, dersom vilkårene fastsatt i denne artikkel er oppfylt, og dersom det oppnådde svaret nevnt i artikkel 22 nr. 2 i forordning (EU) 2019/817 viser at det finnes opplysninger i EES.»
(9) I artikkel 33 skal nytt nummer lyde:
«1a. I de tilfeller Europol har innledet et søk i CIR i samsvar med artikkel 22 i forordning (EU) 2019/817, kan byrået ha tilgang til EES for søk, dersom vilkårene fastsatt i denne artikkel er oppfylt, og dersom det oppnådde svaret nevnt i artikkel 22 nr. 2 i forordning (EU) 2019/817 viser at det finnes opplysninger i EES.»
(10) I artikkel 34 gjøres følgende endringer:
(a) I nr. 1 og 2 erstattes «i det sentrale EES-systemet» med «i CIR og i det sentrale EES-systemet».
(b) I nr. 5 erstattes «fra det sentrale EES-systemet» med «fra det sentrale EES-systemet og CIR».
(11) I artikkel 35 skal nr. 7 lyde:
«7. Det sentrale EES-systemet og CIR skal umiddelbart underrette alle medlemsstater om sletting av opplysninger i EES eller CIR og eventuelt fjerne dem fra listen over identifiserte personer nevnt i artikkel 12 nr. 3.»
(12) I artikkel 36 erstattes «det sentrale EES-systemet» med «det sentrale EES-systemet og CIR».
(13) I artikkel 37 gjøres følgende endringer:
(a) I nr. 1 skal første ledd lyde:
«1. eu-LISA skal ha ansvar for utviklingen av det sentrale EES-systemet og CIR, de enhetlige nasjonale grensesnittene, kommunikasjonsinfrastrukturen og den sikre kommunikasjonskanalen mellom det sentrale EES-systemet og det sentrale VIS-systemet. eu-LISA skal også ha ansvar for utviklingen av nettjenesten nevnt i artikkel 13 i samsvar med de nærmere reglene nevnt i artikkel 13 nr. 7 og spesifikasjonene og vilkårene som er vedtatt i henhold til artikkel 36 første ledd bokstav h) og for utviklingen av dataregisteret nevnt i artikkel 63 nr. 2.»
(b) I nr. 3 skal første ledd lyde:
«3. eu-LISA skal ha ansvar for driftsforvaltningen av det sentrale EES-systemet og CIR, de enhetlige nasjonale grensesnittene, den sikre kommunikasjonskanalen mellom det sentrale EES-systemet og det sentrale VIS-systemet. eu-LISA skal i samarbeid med medlemsstatene og med forbehold om en nytte- og kostnadsanalyse sikre at beste tilgjengelige teknologi alltid brukes i det sentrale EES-systemet og CIR, de enhetlige nasjonale grensesnittene, kommunikasjonsinfrastrukturen, den sikre kommunikasjonskanalen mellom det sentrale EES-systemet og det sentrale VIS-systemet, nettjenesten nevnt i artikkel 13 og dataregisteret nevnt i artikkel 63 nr. 2. eu-LISA skal også ha ansvar for driftsforvaltningen av kommunikasjonsinfrastrukturen mellom det sentrale EES-systemet og de enhetlige nasjonale grensesnittene, nettjenesten nevnt i artikkel 13 og dataregisteret nevnt i artikkel 63 nr. 2.»
(14) I artikkel 46 nr. 1 skal ny bokstav lyde:
«f) en henvisning til bruken av ESP for søk i EES som nevnt i artikkel 7 nr. 2 i forordning (EU) 2019/817.»
(15) I artikkel 63 gjøres følgende endringer:
(a) Nr. 2 skal lyde:
«2. I henhold til nr. 1 i denne artikkel skal eu-LISA lagre opplysningene nevnt i det punktet i det sentrale registeret for rapportering og statistikk nevnt i artikkel 39 i forordning (EU) 2019/817.»
(b) I nr. 4 skal nytt ledd lyde:
«Den daglige statistikken skal lagres i det sentrale registeret for rapportering og statistikk.»
Artikkel 61
Endring av forordning (EU) 2018/1240
I forordning (EU) 2018/1240 gjøres følgende endringer:
(1) I artikkel 1 skal nytt nummer lyde:
«3. Ved å lagre identitetsopplysninger og reisedokumentopplysninger i det felles identitetsregisteret (CIR) opprettet ved artikkel 17 nr. 1 i europaparlaments- og rådsforordning (EU) 2019/817 43 bidrar ETIAS til å forenkle og støtte korrekt identifisering av personer som er registrert i ETIAS på vilkårene og for formålene angitt i artikkel 20 i nevnte forordning.»
(2) I artikkel 3 nr. 1 skal nye numre lyde:
«(23) «CIR» det felles identitetsregisteret opprettet ved artikkel 17 nr. 1 i forordning (EU) 2019/817.
(24) «ESP» den europeiske søkeportalen opprettet ved artikkel 6 nr. 1 i forordning (EU) 2019/817,
(25) «Det sentrale ETIAS-systemet» det sentrale systemet nevnt i artikkel 6 nr. 2 bokstav a), sammen med CIR i den grad CIR inneholder opplysningene nevnt i artikkel 6 nr. 2a).
(26) «identitetsopplysninger» opplysningene nevnt i artikkel 17 nr. 2 bokstav a), b) og c).
(27) «reisedokumentopplysninger» opplysningene nevnt i artikkel 17 nr. 2 bokstav d) og e) og koden på tre bokstaver for staten som utstedte reisedokumentet som nevnt i artikkel 19 nr. 3 bokstav c).»
(3) I artikkel 4 skal ny bokstav lyde:
«g) bidra til korrekt identifisering av personer.»
(4) I artikkel 6 gjøres følgende endringer:
(a) I nr. 2 gjøres følgende endringer:
i) Ny bokstav a) skal lyde:
«a) et sentralt system, herunder ETIAS-overvåkingslisten nevnt i artikkel 34,»
ii) Ny bokstav skal lyde:
«aa) CIR,»
(iii) Ny bokstav d) skal lyde:
«d) en sikker kommunikasjonsinfrastruktur mellom det sentrale systemet og de sentrale infrastrukturene i ESP og CIR,»
(b) Nytt nummer skal lyde:
«2a. CIR skal inneholde identitetsopplysninger og reisedokumentopplysninger. De gjenstående opplysningene skal lagres i det sentrale systemet.»
(5) I artikkel 13 gjøres følgende endringer:
(a) Nytt nummer skal lyde:
«4a. Tilgang til identitets- og reisedokumentopplysningene i ETIAS som lagres i CIR, skal også utelukkende forbeholdes personale med behørig fullmakt hos de nasjonale myndighetene i hver medlemsstat og personale med behørig fullmakt hos unionsbyråene som er kompetent for formålene angitt i artikkel 20 og 21 i forordning (EU) 2019/817. Denne tilgangen skal være begrenset til opplysningene er nødvendige for å utføre oppgavene for disse formålene, og skal stå i rimelig forhold til målene som etterstrebes.»
(b) Nr. 5 skal lyde:
«5. Hver medlemsstat skal utpeke kompetente nasjonale myndigheter nevnt i nr. 1, 2, 4 og 4a i denne artikkel og skal uten ugrunnet opphold oversende en liste over disse myndighetene til eu-LISA i samsvar med artikkel 87 nr. 2. På denne listen skal det angis for hvilke formål personalet med behørig fullmakt hos hver myndighet skal få tilgang til opplysningene i ETIAS-informasjonssystemet i samsvar med nr. 1, 2, 4 og 4a i denne artikkel.»
(6) I artikkel 17 nr. 2 gjøres følgende endringer:
(a) Bokstav a) skal lyde:
«a) etternavn (familienavn), fornavn, fødenavn, fødselsdato, fødested, kjønn, nåværende statsborgerskap,»
(b) Ny bokstav skal lyde:
«aa) fødeland, søkerens foreldres fornavn.»
(7) I artikkel 19 nr. 4 erstattes «artikkel 17 nr. 2 bokstav a)» med «artikkel 17 nr. 2 bokstav a) og aa)».
(8) I artikkel 20 gjøres følgende endringer:
(a) I nr. 2 skal første ledd lyde:
«2. Det sentrale ETIAS-systemet skal innlede et søk ved å bruke ESP til å sammenligne de relevante opplysningene nevnt i artikkel 17 nr. 2 bokstav a), aa), b), c), d), f), g), j), k) og m) og nr. 8 med opplysningene i et register, en mappe eller en melding i en søknadsmappe i det sentrale ETIAS-systemet, SIS, EES, VIS, Eurodac, Europol-opplysninger og Interpol-databasene SLTD og TDAWN.»
(b) I nr. 4 erstattes «artikkel 17 nr. 2 bokstav a), b), c), d), f), g), j), k) og m)» med «artikkel 17 nr. 2 bokstav a), aa), b), c), d), f), g), j), k) og m)».
(c) I nr. 5 erstattes «artikkel 17 nr. 2 bokstav a), c), f), h) og i)» med «artikkel 17 nr. 2 bokstav a), aa), c), f), h) og i)».
(9) I artikkel 23 skal nr. 1 lyde:
«1. Det sentrale ETIAS-systemet skal innlede et søk ved å bruke ESP til å sammenligne de relevante opplysningene nevnt i artikkel 17 nr. 2 bokstav a), aa), b) og d) med opplysninger i SIS for å avgjøre om søkeren er gjenstand for noen av følgende meldinger:
a) en melding om savnede personer,
b) en melding om personer som er etterlyst i forbindelse med rettslig prosedyre,
c) en melding om personer med sikte på diskret kontroll eller målrettet kontroll.»
(10) I artikkel 52 skal nytt nummer lyde:
«1a. I de tilfeller der de utpekte myndighetene har innledet et søk i CIR i samsvar med artikkel 22 i forordning (EU) 2019/817, kan de ha tilgang til søknadsmapper i det sentrale ETIAS-systemet i samsvar med denne artikkel for søk dersom det oppnådde svaret nevnt i artikkel 22 nr. 2 i forordning (EU) 2019/817 viser at det finnes opplysninger i søknadsmappene i det sentrale ETIAS-systemet.»
(11) I artikkel 53 skal nytt nummer lyde:
«1a. I de tilfeller der Europol har innledet et søk i CIR i samsvar med artikkel 22 i forordning (EU) 2019/817, kan byrået ha tilgang til søknadsmapper i det sentrale ETIAS-systemet i samsvar med denne artikkel for søk dersom det oppnådde svaret nevnt i artikkel 22 nr. 2 i forordning (EU) 2019/817 viser at det finnes opplysninger i søknadsmappene i det sentrale ETIAS-systemet.»
(12) I artikkel 65 nr. 3 femte ledd erstattes «artikkel 17 nr. 2 bokstav a), b), d), e) og f)» med «artikkel 17 nr. 2 bokstav a), aa), b), d), e) og f)».
(13) I artikkel 69 nr. 1 skal ny bokstav lyde:
«(ca) dersom det er relevant, en henvisning til at ESP er brukt til søk i det sentrale ETIAS-systemet som nevnt i artikkel 7 nr. 2 i forordning (EU) 2019/817»
(14) I artikkel 73 nr. 2 erstattes «det sentrale dataregisteret» med «det sentrale registeret for rapportering og statistikk nevnt i artikkel 39 i forordning (EU) 2019/817, i den grad det inneholder opplysninger fra det sentrale ETIAS-systemet i samsvar med artikkel 84 i denne forordning».
(15) I artikkel 74 nr. 1 skal første ledd lyde:
«1. Når ETIAS er satt i drift, skal eu-LISA ha ansvaret for den tekniske forvaltningen av det sentrale ETIAS-systemet og de nasjonale ensartede grensesnittene. eu-LISA skal også ha ansvaret for all teknisk utprøving som kreves for å opprette og ajourføre ETIAS-screeningreglene. Byrået skal i samarbeid med medlemsstatene med forbehold om en nytte- og kostnadsanalyse sikre at beste tilgjengelige teknologi alltid brukes. eu-LISA skal også ha ansvar for den tekniske forvaltningen av kommunikasjonsinfrastrukturen mellom det sentrale ETIAS-systemet og de enhetlige nasjonale grensesnittene og for det offentlige nettstedet, appen for mobile enheter, e-posttjenesten, den sikre kontotjenesten, kontrollverktøyet for søkere, samtykkeverktøyet for søkere, vurderingsverktøyet for ETIAS-overvåkingslisten, nettportalen for transportører, nettjenesten og programvaren for å behandle søknadene.»
(16) I artikkel 84 nr. 2 skal første ledd lyde:
«2. I henhold til nr. 1 i denne artikkel skal eu-LISA lagre opplysningene nevnt i det nummer i det sentrale registeret for rapportering og statistikk nevnt i artikkel 39 i forordning (EU) 2019/817. I samsvar med artikkel 39 nr. 1 i nevnte forordning skal systemovergripende statistiske opplysninger og analyserapporter gi myndighetene nevnt i nr. 1 i denne artikkel mulighet til å få tilpassede rapporter og statistikk, for å støtte gjennomføringen av ETIAS-screeningreglene nevnt i artikkel 33, for bedre å kunne vurdere sikkerhetsrisikoen, risikoen for ulovlig innvandring og den høye epidemirisikoen, for å effektivisere inn- og utreisekontroller og for å hjelpe den sentrale ETIAS-enheten og de nasjonale ETIAS-enhetene med å behandle søknader om fremreisetillatelse.»
(17) I artikkel 84 nr. 4 skal nytt ledd lyde:
«Den daglige statistikken skal lagres i det sentrale registeret for rapportering og statistikk nevnt i artikkel 39 i forordning (EU) 2019/817.»
Artikkel 62
Endring av forordning (EU) 2018/1726
I forordning (EU) 2018/1726 gjøres følgende endringer:
(1) Artikkel 12 skal lyde:
«Artikkel 12
Opplysningenes kvalitet
1. Uten at det berører medlemsstatenes ansvar for opplysningene som registreres i systemene under Byråets driftsmessige ansvar, skal Byrået, i tett samarbeid med sine rådgivende grupper, for alle systemer under Byråets driftsmessige ansvar opprette automatiske mekanismer og framgangsmåter for kontroll av opplysningenes kvalitet, felles indikatorer for opplysningenes kvalitet og minstekvalitetsstandarder for lagring av opplysninger i samsvar med de relevante bestemmelsene i de rettslige instrumentene for informasjonssystemene og i artikkel 37 i europaparlaments- og rådsforordning (EU) 2019/81744 og (EU) 2019/81845.
2. Byrået skal opprette et sentralt register som inneholder bare anonymiserte opplysninger for rapportering og statistikk i samsvar med artikkel 39 i forordning (EU) 2019/817 og (EU) 2019/818, som omfattes av særlige bestemmelser i de rettslige instrumentene for utvikling, opprettelse, drift og bruk av store it-systemer som Byrået forvalter.»
(2) I artikkel 19 nr. 1 gjøres følgende endringer:
(a) Nytt nummer skal lyde:
«eea) vedta rapporter om status over utviklingen av interoperabilitetskomponentene i henhold til artikkel 78 nr. 2 i forordning (EU) 2019/817 og artikkel 74 nr. 2 i forordning (EU) 2019/818,»
(b) Bokstav ff) skal lyde:
«ff) vedta rapporter om den tekniske driften av SIS i samsvar med artikkel 60 nr. 7 i europaparlaments- og rådsforordning (EU) 2018/186146 og artikkel 74 nr. 8 i europaparlaments- og rådsforordning (EU) 2018/1862,47 av VIS i samsvar med artikkel 50 nr. 3 i forordning (EF) nr. 767/2008 og artikkel 17 nr. 3 i rådsbeslutning 2008/633/JIS, av EES i samsvar med artikkel 72 nr. 4 i forordning (EU) 2017/2226, av ETIAS i samsvar med artikkel 92 nr. 4 i forordning (EU) 2018/1240, av ECRIS-TCN og av ECRIS-referansegjennomføringen i samsvar med artikkel 36 nr. 8 i europaparlaments- og rådsforordning (EU) 2019/81648 og av interoperabilitetskomponentene i samsvar med artikkel 78 nr. 3 i forordning (EU) 2019/817 og artikkel 74 nr. 3 i forordning (EU) 2019/818.»
(c) Bokstav hh) skal lyde:
«hh) vedta formelle kommentarer om EUs datatilsyns revisjonsrapporter i henhold til artikkel 56 nr. 2 i forordning (EU) 2018/1861, artikkel 42 nr. 2 i forordning (EF) nr. 767/2008, artikkel 31 nr. 2 i forordning (EU) nr. 603/2013, artikkel 56 nr. 2 i forordning (EU) 2017/2226, artikkel 67 i forordning (EU) 2018/1240, artikkel 29 nr. 2 i forordning (EU) 2019/816 og artikkel 52 i forordning (EU) 2019/817 og (EU) 2019/818, og sikre egnet oppfølging av revisjonene.»
(d) Bokstav mm) skal lyde:
«mm) årlig offentliggjøre listen over kompetente myndigheter som er autorisert til direkte å søke opplysninger i SIS i henhold til artikkel 41 nr. 8 i forordning (EU) 2018/1861 og artikkel 56 nr. 7 i forordning (EU) 2018/1862, sammen med listen over kontorene i de nasjonale SIS-systemene (N.SIS) og SIRENE-kontorene i henhold til henholdsvis artikkel 7 nr. 3 i forordning (EU) 2018/1861 og artikkel 7 nr. 3 i forordning (EU) 2018/1862 og listen over kompetente myndigheter i henhold til artikkel 65 nr. 2 i forordning (EU) 2017/2226, listen over kompetente myndigheter i henhold til artikkel 87 nr. 2 i forordning (EU) 2018/1240, listen over sentrale myndigheter i henhold til artikkel 34 nr. 2 i forordning (EU) 2019/816 og listen over myndigheter i samsvar med artikkel 71 nr. 1 i forordning (EU) 2019/817 og artikkel 67 nr. 1 i forordning (EU) 2019/818.»
(3) I artikkel 22 skal nr. 4 lyde:
«4. Europol og Eurojust kan delta i styrets møter som observatører når et spørsmål om SIS II i forbindelse med anvendelsen av beslutning 2007/533/JIS står på dagsordenen.
Det europeiske grense- og kystvaktbyrå kan delta i styrets møter som observatør når et spørsmål om SIS i forbindelse med anvendelsen av forordning (EU) 2016/1624 står på dagsordenen.
Europol kan delta i styrets møter som observatør når et spørsmål om VIS i forbindelse med anvendelsen av beslutning 2008/633/JIS eller et spørsmål om Eurodac i forbindelse med anvendelsen av forordning (EU) nr. 603/2013 står på dagsordenen.
Europol kan delta i styrets møter som observatør når et spørsmål om EES i forbindelse med anvendelsen av forordning (EU) 2017/2226 står på dagsordenen, eller når et spørsmål om ETIAS i forbindelse med anvendelsen av forordning (EU) 2018/1240 står på dagsordenen.
Det europeiske grense- og kystvaktbyrå kan delta i styrets møter som observatør når et spørsmål om ETIAS i forbindelse med anvendelsen av forordning (EU) 2018/1240 står på dagsordenen.
Eurojust, Europol og den europeiske påtalemyndigheten kan delta i styrets møter som observatører når et spørsmål om forordning (EU) 2019/816 står på dagsordenen.
Europol, Eurojust og Det europeiske grense- og kystvaktbyrå kan delta i styrets møter som observatører når et spørsmål om forordning (EU) 2019/817 og (EU) 2019/818 står på dagsordenen.
Styret kan invitere alle andre personer med meninger som kan være av interesse, til å delta som observatører ved møtene.»
(4) I artikkel 24 nr. 3 skal bokstav p) lyde:
«p) Uten at det berører artikkel 17 i vedtektene for Den europeiske unions tjenestemenn, fastsette krav til konfidensiell behandling som stemmer overens med artikkel 17 i forordning (EF) nr. 1987/2006, artikkel 17 i beslutning 2007/533/JIS, artikkel 26 nr. 9 i forordning (EF) nr. 767/2008, artikkel 4 nr. 4 i forordning (EU) nr. 603/2013, artikkel 37 nr. 4 i forordning (EU) 2017/2226, artikkel 74 nr. 2 i forordning (EU) 2018/1240, artikkel 11 nr. 16 i forordning (EU) 2019/816 og artikkel 55 nr. 2 i forordning (EU) 2019/817 og (EU) 2019/818.»
(5) I artikkel 27 gjøres følgende endringer:
(a) I nr. 1 skal ny bokstav lyde:
«da) den rådgivende gruppen for interoperabilitet.»
(b) Nr. 3 skal lyde:
«3. Europol, Eurojust og Det europeiske grense- og kystvaktbyrå kan utnevne hver sin representant i den rådgivende gruppen for SIS II.
Europol kan også utnevne en representant i de rådgivende gruppene for VIS, Eurodac og EES og ETIAS.
Det europeiske grense- og kystvaktbyrå kan også utnevne en representant i den rådgivende gruppen for EES og ETIAS.
Eurojust, Europol og den europeiske påtalemyndigheten kan utnevne hver sin representant i den rådgivende gruppen for ECRIS-TCN.
Europol, Eurojust og Det europeiske grense- og kystvaktbyrå kan utnevne hver sin representant i den rådgivende gruppen for interoperabilitet.»
Artikkel 63
Endring av forordning (EU) 2018/1861
I forordning (EU) 2018/1861 gjøres følgende endringer:
(1) I artikkel 3 skal nye numre lyde:
«(22) «ESP» den europeiske søkeportalen opprettet ved artikkel 6 nr. 1 i europaparlaments- og rådsforordning (EU) 2019/817,49
(23) «sBMS» den felles biometriske sammenligningstjenesten opprettet ved artikkel 12 nr. 1 i forordning (EU) 2019/817,
(24) «CIR» det felles identitetsregisteret opprettet ved artikkel 17 nr. 1 i forordning (EU) 2019/817,
(25) «MID» fleridentitetsdetektoren opprettet ved artikkel 25 nr. 1 i forordning (EU) 2019/817.»
(2) I artikkel 4 gjøres følgende endringer:
(a) I nr. 1 skal bokstav b) og c) og ny bokstav lyde:
«b) et nasjonalt system (N.SIS) i hver av medlemsstatene, bestående av de nasjonale datasystemene som står i forbindelse med det sentrale SIS, herunder minst en nasjonal eller felles reserve for N.SIS,
c) en kommunikasjonsinfrastruktur mellom CS-SIS, en reserve for CS-SIS og NI-SIS («kommunikasjonsinfrastrukturen») med et kryptert virtuelt nettverk for SIS-opplysninger og utveksling av opplysninger mellom SIRENE-kontorene omhandlet i artikkel 7 nr. 2, og
d) en sikker kommunikasjonsinfrastruktur mellom CS-SIS og de sentrale infrastrukturene i ESP, sBMS og MID.»
(b) Nye numre skal lyde:
«8. Uten at det berører nr. 1–5, kan søk i SIS-opplysninger også gjøres via ESP.
9. Uten at det berører nr. 1–5, kan SIS-opplysninger også overføres via den sikre kommunikasjonsinfrastrukturen nevnt i nr. 1 bokstav d). Disse overføringene skal begrenses til opplysningene som er nødvendige i henhold til forordning (EU) 2019/817.»
(3) I artikkel 7 skal nytt nummer lyde:
«2a. SIRENE-kontorene skal også sikre manuell verifisering av forskjellige identiteter i samsvar med artikkel 29 i forordning (EU) 2019/817. I det omfang som er nødvendig for å utføre denne oppgaven, skal SIRENE-kontorene ha tilgang til opplysningene i CIR og MID for formålene fastsatt i artikkel 21 og 26 i forordning (EU) 2019/817.»
(4) I artikkel 12 skal nr. 1 lyde:
«1. Medlemsstater skal sikre at enhver tilgang til og utveksling av personopplysninger i CS-SIS logges i N.SIS for å kontrollere om søket var lovlig, overvåke at behandlingen av opplysninger er lovlig, utføre internkontroll, sikre at N.SIS fungerer tilfredsstillende, og garantere opplysningenes integritet og sikkerhet. Dette kravet gjelder ikke de automatiske prosessene i artikkel 4 nr. 6 bokstav a), b) og c).
Medlemsstatene skal sikre at enhver tilgang til personopplysninger via ESP også logges for å kontrollere om søket var lovlig, overvåke at behandlingen av opplysninger er lovlig, utføre internkontroll og garantere opplysningenes integritet og sikkerhet.»
(5) I artikkel 34 nr. 1 skal ny bokstav lyde:
«g) kontroll av forskjellige identiteter og bekjempelse av identitetsbedrageri i samsvar med kapittel V i forordning (EU) 2019/817.»
(6) I artikkel 60 skal nr. 6 lyde:
«6. I henhold til artikkel 15 nr. 4 og nr. 3, 4 og 5 i denne artikkel skal eu-LISA lagre opplysningene nevnt i artikkel 15 nr. 4 og i nr. 3 i denne artikkel, noe som ikke skal muliggjøre identifisering av enkeltpersoner, i det sentrale registeret for rapportering og statistikk nevnt i artikkel 39 i forordning (EU) 2019/817.
eu-LISA skal la Kommisjonen og organene nevnt i nr. 5 i denne artikkel få tilpasset rapportering og statistikk. På anmodning skal eu-LISA gi medlemsstatene, Kommisjonen, Europol og Det europeiske grense- og kystvaktbyrå tilgang til det sentrale registeret for rapportering og statistikk i samsvar med artikkel 39 i forordning (EU) 2019/817.»
Artikkel 64
Endring av rådsvedtak 2004/512/EF
I rådsvedtak 2004/512/EF skal artikkel 1 nr. 2 lyde:
«2. Visuminformasjonssystemet skal være basert på en sentralisert struktur og bestå av
(a) den sentrale infrastrukturen i det felles identitetsregisteret nevnt i artikkel 17 nr. 2 bokstav a) i europaparlaments- og rådsforordning (EU) 2019/817,50
(b) et sentralt informasjonssystem, heretter kalt «det sentrale visuminformasjonssystemet» (CS-VIS),
(c) et grensesnitt i hver medlemsstat, heretter kalt det «nasjonale grensesnittet» (NI-VIS), som skal utgjøre en forbindelse med den berørte sentrale nasjonale myndigheten i den respektive medlemsstaten,
(d) en kommunikasjonsinfrastruktur mellom det sentrale visuminformasjonssystemet og de nasjonale grensesnittene,
(e) en sikker kommunikasjonskanal mellom det sentrale EES-systemet og CS-VIS,
(f) en sikker kommunikasjonsinfrastruktur mellom det sentrale VIS-systemet og den sentrale infrastrukturen i den europeiske søkeportalen opprettet ved artikkel 6 nr. 1 i forordning (EU) 2019/817 og det felles identitetsregisteret opprettet ved artikkel 17 nr. 1 i forordning (EU) 2019/817.»
Artikkel 65
Endringer av rådsbeslutning 2008/633/JIS
I rådsbeslutning 2008/633/JIS gjøres følgende endringer:
(1) I artikkel 5 skal nytt nummer lyde:
«1a. Dersom de utpekte myndighetene har innledet et søk i det felles identitetsregisteret (CIR) i samsvar med artikkel 22 i europaparlaments- og rådsforordning (EU) 2019/81751 og vilkårene for tilgang fastsatt i denne artikkel er oppfylt, kan de få tilgang til VIS for søk dersom svaret som oppnås i samsvar med artikkel 22 nr. 2 i nevnte forordning, viser at det finnes opplysninger i VIS.»
(2) I artikkel 7 skal nytt nummer lyde:
«1a. I de tilfeller Europol har innledet et søk i CIR i samsvar med artikkel 22 i forordning (EU) 2019/817, kan byrået ha tilgang til VIS for søk, dersom vilkårene fastsatt i denne artikkel er oppfylt, og dersom det oppnådde svaret nevnt i artikkel 22 nr. 2 i forordning (EU) 2019/817 viser at det finnes opplysninger i VIS.»
Kapittel X
Sluttbestemmelser
Artikkel 66
Rapportering og statistikk
1. Personale med behørig fullmakt hos medlemsstatenes kompetente myndigheter, Kommisjonen og eu-LISA skal ha tilgang for å søke på følgende opplysninger vedrørende ESP, men bare for rapporterings- og statistikkformål:
(a) antall anmodninger per ESP-brukerprofil,
(b) antall anmodninger til hver av Interpol-databasene.
Opplysningene skal ikke gjøre det mulig å identifisere enkeltpersoner.
2. Personale med behørig fullmakt hos medlemsstatenes kompetente myndigheter, Kommisjonen og eu-LISA skal ha tilgang for å søke på følgende opplysninger vedrørende CIR, men bare for rapporterings- og statistikkformål:
(a) antall anmodninger med henblikk på artikkel 20, 21 og 22,
(b) personens statsborgerskap, kjønn og fødselsår,
(c) reisedokumentets type og koden på tre bokstaver for den utstedende staten,
(d) antallet søk foretatt med og uten biometriske opplysninger.
Opplysningene skal ikke gjøre det mulig å identifisere enkeltpersoner.
3. Personale med behørig fullmakt hos medlemsstatenes kompetente myndigheter, Kommisjonen og eu-LISA skal ha tilgang for å søke på følgende opplysninger vedrørende MID, men bare for rapporterings- og statistikkformål:
(a) antall søk foretatt med og uten biometriske opplysninger,
(b) antall av hver type lenke og EU-informasjonssystemene som inneholder de lenkede opplysningene,
(c) tidsperioden der det var en gul og en rød lenke i systemet.
Opplysningene skal ikke gjøre det mulig å identifisere enkeltpersoner.
4. Personale med behørig fullmakt hos Det europeiske grense- og kystvaktbyrå skal ha tilgang for å søke på opplysningene nevnt i nr. 1, 2 og 3 i denne artikkel med det formål å utføre risikoanalysene og sårbarhetsanalysene nevnt i artikkel 11 og 13 i europaparlaments- og rådsforordning (EU) 2016/162452 .
5. Europols personale med behørig fullmakt skal ha tilgang til opplysningene nevnt i nr. 2 og 3 i denne artikkel med det formål å utføre strategiske, tematiske og driftsmessige analyser som nevnt i artikkel 18 nr. 2 bokstav b) og c) i forordning (EU) 2016/794.
6. I henhold til nr. 1, 2 og 3 skal eu-LISA lagre opplysningene nevnt i disse numrene i CRRS. Opplysningene som inngår i CRRS, skal ikke gjøre det mulig å identifisere enkeltpersoner, men opplysningene skal gjøre det mulig for myndighetene i nr. 1, 2 og 3 å få tilpassede rapporter og tilpasset statistikk for å effektivisere inn- og utreisekontroller, hjelpe myndighetenes behandling av visumsøknader og støtte evidensbasert beslutningstaking om migrering og sikkerhet i Unionen.
7. På anmodning skal Kommisjonen stille relevante opplysninger til rådighet for Den europeiske unions byrå for grunnleggende rettigheter med det formål å evaluere denne forordnings innvirkning på de grunnleggende rettighetene.
Artikkel 67
Overgangsperiode for bruk av den europeiske søkeportalen
1. I en toårsperiode fra den dato ESP settes i drift, får forpliktelsene nevnt i artikkel 7 nr. 2 og nr. 4 ikke anvendelse, og det skal være frivillig å bruke ESP.
2. Kommisjonen gis fullmakt til å vedta en delegert rettsakt i samsvar med artikkel 73 for å endre denne forordning ved å forlenge perioden nevnt i nr. 1 i denne artikkel én gang med høyst ett år, dersom en vurdering av gjennomføringen av ESP viser at en slik forlengelse er nødvendig, særlig på bakgrunn av konsekvensene som idriftsettingen av ESP vil ha for organiseringen og varigheten av inn- og utreisekontroller.
Artikkel 68
Overgangsperiode for bestemmelsene om tilgang til det felles identitetsregisteret med det formål å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold
Artikkel 22, artikkel 60 nr. 8 og nr. 9, artikkel 61 nr. 10 og nr. 11 og artikkel 65 får anvendelse fra datoen for idriftsetting av CIR nevnt i artikkel 72 nr. 3.
Artikkel 69
Overgangsperiode for avdekking av flere identiteter
1. I en ettårsperiode etter eu-LISAs underretning om at utprøvingen av MID nevnt i artikkel 72 nr. 4 bokstav b) er avsluttet, og før MID settes i drift, skal den sentrale ETIAS-enheten ha ansvar for å utføre avdekking av flere identiteter med bruk av opplysningene lagret i EES, VIS, Eurodac og SIS. Avdekkingene av flere identiteter skal utføres bare ved hjelp av biometriske opplysninger.
2. Dersom søket gir ett eller flere treff og identitetsopplysningene i de lenkede saksmappene er de samme eller lignende, skal det opprettes en hvit lenke i samsvar med artikkel 33.
Dersom søket gir ett eller flere treff og identitetsopplysningene i de lenkede dokumentene ikke kan anses å være lignende, skal det opprettes en gul lenke i samsvar med artikkel 30, og framgangsmåten nevnt i artikkel 29 får anvendelse.
Ved flere treff skal det opprettes en lenke mellom alle opplysninger som har ført til treffet.
3. Dersom det opprettes en gul lenke, skal MID gi den sentrale ETIAS-enheten tilgang til identitetsopplysningene i de forskjellige EU-informasjonssystemene.
4. Dersom det opprettes en lenke til en annen melding i SIS enn en melding opprettet i henhold til artikkel 3 i forordning (EU) 2018/1860, artikkel 24 og 25 i forordning (EU) 2018/1861 eller artikkel 38 i forordning (EU) 2018/1862, skal MID gi SIRENE-kontoret i medlemsstaten som opprettet meldingen, tilgang til identitetsopplysningene i de forskjellige informasjonssystemene.
5. Den sentrale ETIAS-enheten eller, i tilfellene nevnt i nr. 4 i denne artikkel, SIRENE-kontoret i medlemsstaten som opprettet meldingen, skal ha tilgang til opplysningene i identitetsbekreftelsesmappen og skal vurdere de forskjellige identitetene og ajourføre lenken i samsvar med artikkel 31, 32 og 33 og tilføye den i identitetsbekreftelsesmappen.
6. Den sentrale ETIAS-enheten skal underrette Kommisjonen i samsvar med artikkel 71 nr. 3 først etter at alle gule lenker er kontrollert manuelt og status for dem er ajourført til enten grønne, hvite eller røde lenker.
7. Medlemsstatene skal om nødvendig bistå den sentrale ETIAS-enheten med å utføre avdekking av flere identiteter i samsvar med denne artikkel.
8. Kommisjonen gis fullmakt til å vedta en delegert rettsakt i samsvar med artikkel 73 for å endre denne forordning ved å forlenge perioden nevnt i nr. 1 i denne artikkel med seks måneder, noe som kan forlenges to ganger med seks måneder om gangen. En slik forlengelse skal innvilges først etter en vurdering av den anslåtte tiden for fullføring av avdekking av flere identiteter i samsvar med denne artikkel som viser at avdekkinger av flere identiteter ikke kan fullføres før utløpet av perioden som gjenstår, enten i samsvar med nr. 1 i denne artikkel eller en pågående forlengelse, av grunner som ligger utenfor den sentrale ETIAS-enhetens kontroll, og at det ikke kan anvendes avhjelpende tiltak. Vurderingen skal utføres senest tre måneder før utløpet av en slik periode eller av en pågående forlengelse.
Artikkel 70
Kostnader
1. Kostnadene til opprettelse og drift av ESP, sBMS, CIR og MID skal dekkes over Unionens alminnelige budsjett.
2. Kostnadene til integrering av eksisterende nasjonale infrastrukturer og deres tilkopling til de enhetlige nasjonale grensesnittene og til drifting av de enhetlige nasjonale grensesnittene skal dekkes over Unionens alminnelige budsjett.
Følgende kostnader dekkes ikke:
(a) medlemsstatenes prosjektledelseskontor (møter, tjenestereiser, kontorer),
(b) drifting av nasjonale IT-systemer (lokaler, gjennomføring, elektrisitet, kjøling),
(c) drift av nasjonale IT-systemer (operatører og støtteavtaler),
(d) utforming, utvikling, gjennomføring, drift og vedlikehold av nasjonale kommunikasjonsnettverk.
3. Uten at det berører ytterligere finansiering for dette formål fra andre kilder i Den europeiske unions alminnelige budsjett, skal et beløp på 32 077 000 EUR overtas fra finansieringsrammen på 791 000 000 EUR som tildeles i artikkel 5 nr. 5 bokstav b) i forordning (EU) nr. 515/2014 for å dekke kostnadene til gjennomføring av denne forordning i samsvar med nr. 1 og 2 i denne artikkel.
4. Av finansieringsrammen nevnt i nr. 3 skal 22 861 000 EUR tildeles eu-LISA, 9 072 000 EUR Europol og 144 000 EUR Den europeiske unions byrå for politiutdanning (Cepol) for å hjelpe disse byråene med å utføre deres respektive oppgaver i samsvar med denne forordning. Denne finansieringen skal gjennomføres under indirekte forvaltning.
5. De utpekte myndighetenes kostnader skal dekkes av de respektive utpekende medlemsstatene. Kostnadene til tilkopling av hver utpekt myndighet til CIR skal dekkes av hver medlemsstat.
Europols kostnader, herunder kostnadene til tilkopling til CIR, skal dekkes av Europol.
Artikkel 71
Underretninger
1. Medlemsstatene skal underrette eu-LISA om myndighetene nevnt i artikkel 7, 20, 21 og 26 som kan bruke eller ha tilgang til henholdsvis ESP, CIR og MID.
En konsolidert liste over disse myndighetene skal offentliggjøres i Den europeiske unions tidende innen tre måneder fra den dato hver interoperabilitetskomponent ble satt i drift i samsvar med artikkel 72. Dersom listen endres, skal eu-LISA én gang i året offentliggjøre en ajourført konsolidert liste.
2 eu-LISA skal underrette Kommisjonen om at utprøvingene nevnt i artikkel 72 nr. 1 bokstav b), nr. 2 bokstav b), nr. 3 bokstav b), nr. 4) bokstav b), nr. 5 bokstav b) og nr. 6 bokstav b) er avsluttet på tilfredsstillende måte.
3. Den sentrale ETIAS-enheten skal underrette Kommisjonen om at overgangsperioden nevnt i artikkel 69 er avsluttet på tilfredsstillende måte.
4. Kommisjonen skal gjøre de meldte opplysningene i samsvar med nr. 1 tilgjengelige for medlemsstatene og allmennheten via et kontinuerlig oppdatert offentlig nettsted.
Artikkel 72
Idriftsetting
1. Kommisjonen skal fastsette den dato ESP skal settes i drift ved en gjennomføringsrettsakt så snart følgende vilkår er oppfylt:
(a) Tiltakene nevnt i artikkel 8 nr. 2, artikkel 9 nr. 7 og artikkel 43 nr. 5 er vedtatt.
(b) eu-LISA har erklært at en omfattende prøving av ESP, som skal gjennomføres av eu-LISA i samarbeid med medlemsstatenes myndigheter og unionsbyråene som kan bruke ESP, er avsluttet på tilfredsstillende måte.
(c) eu-LISA har godkjent de tekniske og rettslige tiltakene for å samle inn og overføre opplysningene nevnt i artikkel 8 nr. 1 og har underrettet Kommisjonen om dette.
ESP skal søke i Interpol-databasene først når de tekniske tiltakene gjør det mulig å oppfylle kravene nevnt i artikkel 9 nr. 5. Dersom det ikke er mulig å oppfylle kravene i artikkel 9 nr. 5, skal det føre til at ESP ikke søker i Interpol-databasene, men det skal ikke forsinke idriftsettingen av ESP.
Kommisjonen skal fastsette datoen i første ledd til senest 30 dager etter at gjennomføringsrettsakten er vedtatt.
2. Kommisjonen skal fastsette den dato sBMS skal settes i drift ved en gjennomføringsrettsakt så snart følgende vilkår er oppfylt:
(a) Tiltakene nevnt i artikkel 13 nr. 5 og artikkel 43 nr. 5 er vedtatt.
(b) eu-LISA har erklært at en omfattende utprøving av sBMS, som skal gjennomføres av eu-LISA i samarbeid med medlemsstatenes myndigheter, er avsluttet på tilfredsstillende måte.
(c) eu-LISA har godkjent de tekniske og rettslige tiltakene for å samle inn og overføre opplysningene nevnt i artikkel 13 og har underrettet Kommisjonen om dette.
(d) eu-LISA har erklært at utprøvingen i nr. 5 bokstav b) er avsluttet på tilfredsstillende måte.
Kommisjonen skal fastsette datoen i første ledd til senest 30 dager etter at gjennomføringsrettsakten er vedtatt.
3. Kommisjonen skal fastsette den dato CIR skal settes i drift ved en gjennomføringsrettsakt så snart følgende vilkår er oppfylt:
(a) Tiltakene nevnt i artikkel 43 nr. 5 og artikkel 78 nr. 10 er vedtatt.
(b) eu-LISA har erklært at en omfattende utprøving av CIR, som skal gjennomføres av eu-LISA i samarbeid med medlemsstatenes myndigheter, er avsluttet på tilfredsstillende måte.
(c) eu-LISA har godkjent de tekniske og rettslige tiltakene for å samle inn og overføre opplysningene nevnt i artikkel 18 og har underrettet Kommisjonen om dette.
(d) eu-LISA har erklært at utprøvingen i nr. 5 bokstav b) er avsluttet på tilfredsstillende måte.
Kommisjonen skal fastsette datoen i første ledd til senest 30 dager etter at gjennomføringsrettsakten er vedtatt.
4. Kommisjonen skal fastsette den dato MID skal settes i drift ved en gjennomføringsrettsakt så snart følgende vilkår er oppfylt:
(a) Tiltakene nevnt i artikkel 28 nr. 5, artikkel 28 nr. 7, artikkel 32 nr. 5, artikkel 33 nr. 6, artikkel 43 nr. 5 og artikkel 49 nr. 6 er vedtatt.
(b) eu-LISA har erklært at en omfattende utprøving av MID, som skal gjennomføres av eu-LISA i samarbeid med medlemsstatenes myndigheter og den sentrale ETIAS-enheten, er avsluttet på tilfredsstillende måte.
(c) eu-LISA har godkjent de tekniske og rettslige tiltakene for å samle inn og overføre opplysningene nevnt i artikkel 34 og har underrettet Kommisjonen om dette.
(d) Den sentrale ETIAS-enheten har underrettet Kommisjonen i samsvar med artikkel 71 nr. 3.
(e) eu-LISA har erklært at utprøvingene nevnt i nr. 1 bokstav b), nr. 2 bokstav b), nr. 3 bokstav b) og nr. 5 bokstav b) er avsluttet på tilfredsstillende måte.
Kommisjonen skal fastsette datoen i første ledd til senest 30 dager etter at gjennomføringsrettsakten er vedtatt.
5. Kommisjonen skal ved gjennomføringsrettsakter fastsette den dato de automatiske mekanismene og framgangsmåtene for kontroll av opplysningenes kvalitet, de felles indikatorene for opplysningenes kvalitet og minstestandardene for opplysningenes kvalitet skal begynne å brukes så snart følgende vilkår er oppfylt:
(a) Tiltakene nevnt i artikkel 37 nr. 4 er vedtatt.
(b) eu-LISA har erklært at en omfattende utprøving av de automatiske mekanismene og framgangsmåtene for kontroll av opplysningenes kvalitet, de felles indikatorene for opplysningenes kvalitet og minstestandardene for opplysningenes kvalitet, som skal gjennomføres av eu-LISA i samarbeid med medlemsstatenes myndigheter, er avsluttet på tilfredsstillende måte.
Kommisjonen skal fastsette datoen i første ledd til senest 30 dager etter at gjennomføringsrettsakten er vedtatt.
6. Kommisjonen skal fastsette den dato CRRS skal settes i drift ved en gjennomføringsrettsakt så snart følgende vilkår er oppfylt:
(a) Tiltakene nevnt i artikkel 39 nr. 5 og artikkel 43 nr. 5 er vedtatt.
(b) eu-LISA har erklært at en omfattende utprøving av CRRS, som skal gjennomføres av eu-LISA i samarbeid med medlemsstatenes myndigheter, er avsluttet på tilfredsstillende måte.
(c) eu-LISA har godkjent de tekniske og rettslige tiltakene for å samle inn og overføre opplysningene nevnt i artikkel 39 og har underrettet Kommisjonen om dette.
Kommisjonen skal fastsette datoen i første ledd til senest 30 dager etter at gjennomføringsrettsakten er vedtatt.
7. Kommisjonen skal underrette Europaparlamentet og Rådet om resultatene av utprøvingene som er gjennomført i samsvar med nr. 1 bokstav b), nr. 2 bokstav b), nr. 3 bokstav b), nr. 4 bokstav b), nr. 5 bokstav b) og nr. 6 bokstav b).
8. Medlemsstatene, den sentrale ETIAS-enheten og Europol skal begynne å bruke hver av interoperabilitetskomponentene fra den dato Kommisjonen har fastsatt i samsvar med henholdsvis nr. 1, 2, 3 og 4.
Artikkel 73
Utøvelse av delegert myndighet
1. Myndigheten til å vedta delegerte rettsakter gis Kommisjonen på vilkårene fastsatt i denne artikkel.
2. Fullmakten til å vedta delegerte rettsakter nevnt i artikkel 28 nr. 5, artikkel 39 nr. 5, artikkel 49 nr. 6, artikkel 67 nr. 2 og artikkel 69 nr. 8 skal gis Kommisjonen for en periode på fem år fra 11. juni 2019. Kommisjonen skal utarbeide en rapport om den delegerte myndigheten senest ni måneder før utløpet av femårsperioden. Den delegerte myndigheten skal stilltiende forlenges med perioder av samme lengde, dersom ikke Europaparlamentet eller Rådet motsetter seg en slik forlengelse senest tre måneder før utløpet av hver periode.
3. Den delegerte myndigheten nevnt i artikkel 28 nr. 5, artikkel 39 nr. 5, artikkel 49 nr. 6, artikkel 67 nr. 2 og artikkel 69 nr. 8 kan når som helst tilbakekalles av Europaparlamentet eller Rådet. Beslutningen om tilbakekalling innebærer at den delegerte myndigheten som angis i beslutningen, opphører å gjelde. Beslutningen trer i kraft dagen etter at den er kunngjort i Den europeiske unions tidende, eller på et senere tidspunkt som er angitt i beslutningen. Den berører ikke gyldigheten av delegerte rettsakter som allerede er trådt i kraft.
4. Før vedtakelsen av en delegert rettsakt skal Kommisjonen rådføre seg med eksperter som er utpekt av hver enkelt medlemsstat i samsvar med prinsippene i den tverrinstitusjonelle avtalen av 13. april 2016 om bedre regelverksutforming.
5. Så snart Kommisjonen vedtar en delegert rettsakt, skal den underrette Europaparlamentet og Rådet samtidig om dette.
6. En delegert rettsakt som vedtas i samsvar med artikkel 28 nr. 5, artikkel 39 nr. 5, artikkel 49 nr. 6, artikkel 67 nr. 2 og artikkel 69 nr. 8, skal tre i kraft bare dersom verken Europaparlamentet eller Rådet har gjort innvendinger mot den delegerte rettsakten innen en periode på to måneder fra den dato rettsakten ble meddelt Europaparlamentet og Rådet, eller dersom både Europaparlamentet og Rådet, før utløpet av den perioden, har underrettet Kommisjonen om at de ikke vil gjøre innvendinger. Denne perioden skal forlenges med to måneder på initiativ fra Europaparlamentet eller Rådet.
Artikkel 74
Komitéframgangsmåte
1. Kommisjonen skal bistås av en komité. Nevnte komité skal være en komité i henhold til forordning (EU) nr. 182/2011.
2. Når det vises til dette nummer, får artikkel 5 i forordning (EU) nr. 182/2011 anvendelse.
Dersom komiteen ikke avgir uttalelse, skal Kommisjonen ikke vedta utkastet til gjennomføringsrettsakten, og artikkel 5 nr. 4 tredje ledd i forordning (EU) nr. 182/2011 får anvendelse.
Artikkel 75
Rådgivende gruppe
eu-LISA skal opprette en rådgivende gruppe for interoperabilitet. Under interoperabilitetskomponentenes utformings- og utviklingsfase får artikkel 54 nr. 4, 5 og 6 anvendelse.
Artikkel 76
Opplæring
eu-LISA skal utføre oppgaver i forbindelse med opplæring i den tekniske bruken av interoperabilitetskomponentene i samsvar med forordning (EU) 2018/1726.
Medlemsstatenes myndigheter og unionsbyråene skal gi sitt personale med fullmakt til å behandle opplysninger ved hjelp av interoperabilitetskomponentene et egnet opplæringsprogram innenfor datasikkerhet, opplysningenes kvalitet, personvern, framgangsmåtene for behandling av opplysninger og forpliktelsen til å underrette i samsvar med artikkel 32 nr. 4, artikkel 33 nr. 4 og artikkel 47.
Dersom det er relevant, skal det organiseres felles kurs i disse emnene på unionsplan for å forbedre samarbeidet og utvekslingen av beste praksis mellom personale hos medlemsstatenes myndigheter og unionsbyråer som har tillatelse til å behandle opplysninger ved hjelp av interoperabilitetskomponentene. Det skal legges særlig vekt på prosessen for avdekking av flere identiteter, herunder den manuelle verifiseringen av forskjellige identiteter og det medfølgende behovet for å opprettholde egnede vernetiltak for de grunnleggende rettigheter.
Artikkel 77
Praktisk håndbok
Kommisjonen skal i tett samarbeid med medlemsstatene, eu-LISA og andre relevante unionsbyråer utarbeide en håndbok om gjennomføringen og forvaltningen av interoperabilitetskomponentene. Den praktiske håndboken skal inneholde tekniske og driftsmessige retningslinjer, anbefalinger og beste praksis. Kommisjonen skal vedta den praktiske håndboken i form av en rekommandasjon.
Artikkel 78
Overvåking og evaluering
1. eu-LISA skal sikre at det finnes framgangsmåter for å overvåke utviklingen av interoperabilitetskomponentene og deres tilkopling til det enhetlige nasjonale grensesnittet på bakgrunn av målene for planlegging og kostnader og for å overvåke interoperabilitetskomponentenes funksjon på bakgrunn av målene for tekniske resultater, kostnadseffektivitet, sikkerhet og tjenestens kvalitet.
2. Senest 12. desember 2019 og deretter hver sjette måned i interoperabilitetskomponentenes utviklingsfase skal eu-LISA framlegge rapport for Europaparlamentet og Rådet om hvordan utviklingen av interoperabilitetskomponentene og deres tilkopling til det enhetlige nasjonale grensesnittet forløper. Så snart utviklingen er avsluttet, skal det framlegges rapport for Europaparlamentet og Rådet med en inngående forklaring av hvordan målene for særlig planlegging og kostnader har blitt oppfylt, og angi årsakene til eventuelle avvik.
3. Fire år etter at hver interoperabilitetskomponent er satt i drift i samsvar med artikkel 72 og deretter hvert fjerde år, skal eu-LISA framlegge rapport for Europaparlamentet, Rådet og Kommisjonen om interoperabilitetskomponentenes tekniske funksjon, herunder deres sikkerhet.
4. I tillegg skal Kommisjonen ett år etter hver rapport fra eu-LISA utarbeide en overordnet evaluering av interoperabilitetskomponentene, herunder
(a) en vurdering av hvordan denne forordning får anvendelse,
(b) en gjennomgåelse av oppnådde resultater i forbindelse med målene i denne forordning og innvirkningen på grunnleggende rettigheter, herunder særlig en vurdering av interoperabilitetskomponentenes innvirkning på retten til likebehandling,
(c) en vurdering av hvordan nettportalen fungerer, herunder tall om bruken av nettportalen og antallet anmodninger som er behandlet,
(d) en vurdering av hvorvidt forutsetningene som ligger til grunn for interoperabilitetskomponentene, fortsatt er gyldige,
(e) en vurdering av sikkerheten i interoperabilitetskomponentene,
(f) en vurdering av bruken av CIR med henblikk på identifisering,
(g) en vurdering av bruken av CIR for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold,
(h) en vurdering av eventuelle konsekvenser, herunder eventuell uforholdsmessig stor innvirkning på trafikkstrømmen ved grenseoverganger, og konsekvenser for Unionens alminnelige budsjett,
(i) en vurdering av søk i Interpol-databasene via ESP, herunder opplysninger om antallet treff i Interpol-databasene og opplysninger om eventuelle problemer.
Den overordnede evalueringen i henhold til dette nummer første ledd skal omfatte eventuelle nødvendige anbefalinger. Kommisjonen skal oversende evalueringsrapporten til Europaparlamentet, Rådet, EUs datatilsyn og Den europeiske unions byrå for grunnleggende rettigheter.
5. Senest 12. juni 2020 og deretter hvert år fram til Kommisjonen har vedtatt gjennomføringsrettsaktene nevnt i artikkel 72 skal Kommisjonen framlegge rapport for Europaparlamentet og Rådet om situasjonen når det gjelder forberedelsene for en fullstendig gjennomføring av denne forordning. Denne rapporten skal også inneholde nærmere opplysninger om de påløpte utgiftene og opplysninger om eventuell risiko som kan ha innvirkning på de samlede kostnadene.
6. To år etter at MID er satt i drift i samsvar med artikkel 72 nr. 4, skal Kommisjonen gjennomgå hvordan MID påvirker retten til likebehandling. Etter denne første rapporten skal gjennomgåelsen av hvordan MID påvirker retten til likebehandling, være en del av gjennomgåelsen nevnt i nr. 4 bokstav b) i denne artikkel.
7. Medlemsstatene og Europol skal gi eu-LISA og Kommisjonen nødvendige opplysninger for å utarbeide rapportene nevnt i nr. 3–6. Disse opplysningene skal ikke skade arbeidsmetoder eller omfatte opplysninger som avslører kilder, ansatte eller undersøkelser hos de utpekte myndighetene.
8. eu-LISA skal gi Kommisjonen opplysningene den trenger for å utarbeide den overordnede evalueringen nevnt i nr. 4.
9. Hver medlemsstat og Europol skal i tråd med bestemmelsene i nasjonal rett om offentliggjøring av sensitive opplysninger, og uten at det berører nødvendige begrensninger for å ivareta sikkerheten og den offentlige orden, forebygge straffbare forhold og garantere at nasjonale etterforskinger ikke settes i fare, utarbeide årsrapporter om effektiviteten av tilgang til opplysninger som lagres i CIR for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold, som inneholder informasjon og statistikk om
(a) de nøyaktige formålene med søkene, herunder hva slags terrorhandlinger eller andre alvorlige straffbare forhold det var snakk om,
(b) de rimelige grunnene til å tro at en mistenkt, en gjerningsperson eller et offer er omfattet av forordning (EU) 2017/2226, forordning (EF) nr. 767/2008 eller forordning (EU) 2018/1240,
(c) antallet anmodninger om tilgang til CIR for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold,
(d) antall og type saker som har ført til korrekt identifisering,
(e) behovet for og anvendelsen av unntakene for hastesaker, herunder saker der den hastende karakter ikke ble godtatt ved den etterfølgende kontrollen foretatt av det sentrale tilgangspunktet.
Medlemsstatenes og Europols årsrapporter skal oversendes til Kommisjonen senest 30. juni det etterfølgende året.
10. Det skal stilles en teknisk løsning til rådighet for medlemsstatene med det formål å forvalte tilgangsanmodninger som nevnt i artikkel 22 og forenkle innsamlingen av opplysninger i henhold til nr. 7 og 9 i denne artikkel for å generere rapportene og statistikken nevnt i disse numrene. Kommisjonen skal vedta gjennomføringsrettsakter for å fastsette spesifikasjonene for den tekniske løsningen. Disse gjennomføringsrettsaktene skal vedtas etter framgangsmåten med undersøkelseskomité i artikkel 74 nr. 2.
Artikkel 79
Ikrafttredelse og anvendelse
Denne forordning trer i kraft den 20. dag etter at den er kunngjort i Den europeiske unions tidende.
De bestemmelser i denne forordning som gjelder ESP, får anvendelse fra den dato Kommisjonen fastsetter i samsvar med artikkel 72 nr. 1.
De bestemmelser i denne forordning som gjelder sBMS, får anvendelse fra den dato Kommisjonen fastsetter i samsvar med artikkel 72 nr. 2.
De bestemmelser i denne forordning som gjelder CIR, får anvendelse fra den dato Kommisjonen fastsetter i samsvar med artikkel 72 nr. 3.
De bestemmelser i denne forordning som gjelder MID, får anvendelse fra den dato Kommisjonen fastsetter i samsvar med artikkel 72 nr. 4.
De bestemmelser i denne forordning som gjelder de automatiske mekanismene og framgangsmåtene for kontroll av opplysningenes kvalitet, de felles indikatorene for opplysningenes kvalitet og minstestandardene for opplysningenes kvalitet, får anvendelse fra den dato Kommisjonen fastsetter i samsvar med artikkel 72 nr. 5.
De bestemmelser i denne forordning som gjelder CRRS, får anvendelse fra den dato Kommisjonen fastsetter i samsvar med artikkel 72 nr. 6.
Artikkel 6, 12, 17, 25, 38, 42, 54, 56, 57, 70, 71, 73, 74, 75, 77 og 78 nr. 1 får anvendelse fra 11. juni 2019.
Denne forordning får med hensyn til Eurodac anvendelse fra den dato omarbeidingen av forordning (EU) nr. 603/2013 får anvendelse.
Denne forordning er bindende i alle deler og kommer direkte til anvendelse i alle medlemsstater i samsvar med traktatene.
Utferdiget i Brussel, 20. mai 2019.
For Europaparlamentet | For Rådet |
A. TAJANI | G. CIAMBA |
| President | Formann |
Fotnoter
EUT C 283 av 10.8.2018, s. 48.
Europaparlamentets holdning av 16. april 2019 (ennå ikke offentliggjort i EUT) og rådsbeslutning av 14. mai 2019.
EUT C 101 av 16.3.2018, s. 116.
Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) (EUT L 119 av 4.5.2016, s. 1).
Europaparlaments- og rådsdirektiv (EU) 2016/680 av 27. april 2016 om fysiske personers vern i forbindelse med kompetente myndigheters behandling av personopplysninger med sikte på å forebygge, etterforske, avsløre eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner og om fri utveksling av slike opplysninger og opphevelse av Rådets rammebeslutning 2008/977/JIS (EUT L 119 av 4.5.2016, s. 89).
Rådets felles standpunkt 2005/69/JIS av 24. januar 2005 om utveksling av visse opplysninger med Interpol (EUT L 27 av 29.1.2005, s. 61).
Rådsbeslutning 2007/533/JIS av 12. juni 2007 om opprettelse, drift og bruk av annen generasjon av Schengen-informasjonssystemet (SIS II) (EUT L 205 av 7.8.2007, s. 63).
Europaparlaments- og rådsforordning (EU) 2018/1725 av 23. oktober 2018 om vern av fysiske personer i forbindelse med behandling av personopplysninger i Unionens institusjoner, organer, kontorer og byråer og om fri utveksling av slike opplysninger og om oppheving av forordning (EF) nr. 45/2001 og beslutning nr. 1247/2002/EF (EUT L 295 av 21.11.2018, s. 39).
Europaparlaments- og rådsforordning (EU) 2016/399 av 9. mars 2016 om et unionsregelverk som regulerer bevegelse av personer over grensene (grenseforordningen) (EUT L 77 av 23.3.2016, s. 1).
Europaparlaments- og rådsforordning (EU) 2018/1860 av 28. november 2018 om bruk av Schengen-informasjonssystem i forbindelse med retur av tredjestatsborgere med ulovlig opphold (EUT L 312 av 7.12.2018, s. 1).
Europaparlaments- og rådsforordning (EU) 2018/1861 av 28. november 2018 om opprettelse, drift og bruk av Schengen-informasjonssystem (SIS) på området inn- og utreisekontroll, om endring av konvensjonen om gjennomføring av Schengen-avtalen og om endring og oppheving av forordning (EF) nr. 1987/2006 (EUT L 312 av 7.12.2018, s. 14).
Europaparlaments- og rådsforordning (EU) 2018/1862 av 28. november 2018 om opprettelse, drift og bruk av Schengen-informasjonssystem (SIS) innenfor politisamarbeid og strafferettslig samarbeid, om endring og oppheving av rådsbeslutning 2007/533/JIS og om oppheving av europaparlaments- og rådsforordning (EF) nr. 1986/2006 og kommisjonsbeslutning 2010/261/EU (EUT L 312 av 7.12.2018, s. 56).
Europaparlaments- og rådsforordning (EU) 2017/2226 av 30. november 2017 om etablering av et inn- og utreisesystem (EES) for registrering av inn- og utreiseopplysninger og opplysninger om nektet innreise for tredjestatsborgere som passerer medlemsstatenes ytre grenser, om fastsettelse av vilkårene for tilgang til inn- og utreisesystemet for rettshåndhevende formål og om endring av konvensjonen om gjennomføring av Schengen-avtalen og forordning (EF) nr. 767/2008 og (EU) nr. 1077/2011 (EES-forordningen) (EUT L 327 av 9.12.2017, s. 20).
Europaparlaments- og rådsforordning (EF) nr. 767/2008 av 9. juli 2008 om visuminformasjonssystemet (VIS) og utveksling av opplysninger mellom medlemsstatene om visum for kortvarig opphold (VIS-forordningen) (EUT L 218 av 13.8.2008, s. 60).
Europaparlaments- og rådsforordning (EU) 2018/1240 av 12. september 2018 om etablering av et europeisk system for reiseinformasjon og fremreisetillatelse (ETIAS) og om endring av forordning (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 og (EU) 2017/2226 (EU L 236 av 19.9.2018, s. 1).
Europaparlaments- og rådsforordning (EU) 2016/794 av 11. mai 2016 om Den europeiske unions byrå for politisamarbeid (Europol) og erstatning og oppheving av rådsbeslutning 2009/371/JIS, 2009/934/JIS, 2009/935/JIS, 2009/936/JIS og 2009/968/JIS (EUT L 135 av 24.5.2016, s. 53).
Europaparlaments- og rådsforordning (EF) nr. 45/2001 av 18. desember 2000 om personvern i forbindelse med behandling av personopplysninger i Fellesskapets institusjoner og organer og om fri utveksling av slike opplysninger (EFT L 8 av 12.1.2001, s. 1).
EUT C 233 av 4.7.2018, s. 12.
Europaparlaments- og rådsforordning (EU, Euratom) 2018/1046 av 18. juli 2018 om finansielle regler for Unionens alminnelige budsjett, om endring av forordning (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 og beslutning nr. 541/2014/EU og om oppheving av forordning (EU, Euratom) nr. 966/2012 (EUT L 193 av 30.7.2018, s. 1).
Europaparlaments- og rådsforordning (EU) nr. 515/2014 av 16. april 2014 om opprettelse av ordningen for økonomisk støtte til de ytre grenser og visum som en del av fondet for indre sikkerhet, og om oppheving av beslutning nr. 574/2007/EF (EUT L 150 av 20.5.2014, s. 143).
EUT L 123 av 12.5.2016, s. 1.
Europaparlaments- og rådsforordning (EU) nr. 182/2011 av 16. februar 2011 om allmenne regler og prinsipper for medlemsstatenes kontroll med Kommisjonens utøvelse av sin gjennomføringsmyndighet (EUT L 55 av 28.2.2011, s. 13).
Europaparlaments- og rådsdirektiv 2004/38/EF av 29. april 2004 om unionsborgeres og deres familiemedlemmers rett til å ferdes og oppholde seg fritt på medlemsstatenes territorium, om endring av forordning (EØF) nr. 1612/68 og om oppheving av direktiv 64/221/EØF, 68/360/EØF, 72/194/EØF, 73/148/EØF, 75/34/EØF, 75/35/EØF, 90/364/EØF, 90/365/EØF og 93/96/EØF (EUT L 158 av 30.4.2004, s. 77).
Rådsbeslutning 2000/365/EF av 29. mai 2000 om anmodning fra Det forente kongeriket Storbritannia og Nord-Irland om å delta i visse bestemmelser i Schengen-regelverket (EUT L 131 av 1.6.2000, s. 43).
Rådsbeslutning 2002/192/EF av 28. februar 2002 om anmodning fra Irland om å delta i visse bestemmelser i Schengen-regelverket (EUT L 64 av 7.3.2002, s. 20).
EUT L 176 av 10.7.1999, s. 36.
Rådsbeslutning 1999/437/EF av 17. mai 1999 om visse gjennomføringsbestemmelser til den avtale som Rådet for Den europeiske union har inngått med Republikken Island og Kongeriket Norge om disse to staters tilknytning til gjennomføringen, anvendelsen og utviklingen av Schengen-regelverket (EUT L 176 av 10.7.1999, s. 31).
EUT L 53 av 27.2.2008, s. 52.
Rådsbeslutning 2008/146/EF av 28. januar 2008 om inngåelse, på Det europeiske fellesskaps vegne, av avtalen mellom Den europeiske union, Det europeiske fellesskap og Det sveitsiske edsforbund om Det sveitsiske edsforbunds tilknytning til gjennomføringen, anvendelsen og utviklingen av Schengen-regelverket (EUT L 53 av 27.2.2008, s. 1).
EUT L 160 av 18.6.2011, s. 21.
Rådsbeslutning 2011/350/EU av 7. mars 2011 om inngåelse, på Den europeiske unions vegne, av protokollen mellom Den europeiske union, Det europeiske fellesskap, Det sveitsiske edsforbund og Fyrstedømmet Liechtenstein om Fyrstedømmet Liechtensteins tiltredelse til avtalen mellom Den europeiske union, Det europeiske fellesskap og Det sveitsiske edsforbund om Det sveitsiske edsforbunds tilknytning til gjennomføringen, anvendelsen og utviklingen av Schengen-regelverket, når det gjelder avskaffelse av kontroller ved de indre grenser og bevegelse av personer (EUT L 160 av 18.6.2011, s. 19).
Rådsvedtak 2004/512/EF av 8. juni 2004 om opprettelse av visuminformasjonssystemet (VIS) (EUT L 213 av 15.6.2004, s. 5).
Rådsbeslutning 2008/633/JIS av 23. juni 2008 om tilgang til søk i visuminformasjonssystemet (VIS) for de utpekte myndigheter i medlemsstatene og for Europol for å forebygge, avsløre og etterforske terrorhandlinger og andre alvorlige straffbare forhold (EUT L 218 av 13.8.2008, s. 129).
Europaparlaments- og rådsforordning (EU) 2019/818 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for politisamarbeid og rettslig samarbeid, asyl og migrasjon, og om endring av forordning (EU) 2018/1726, (EU) 2018/1862 og (EU) 2019/816 (EUT L 135 av 22.5.2019, s. 85).
Europaparlaments- og rådsdirektiv (EU) 2017/541 av 15. mars 2017 om bekjempelse av terrorisme og om erstatning av rådsrammebeslutning 2002/475/JIS og endring av rådsrammebeslutning 2005/671/JIS (EUT L 88 av 31.3.2017, s. 6).
Rådsrammebeslutning 2002/584/JIS av 13. juni 2002 om den europeiske arrestordre og om framgangsmåtene for overlevering mellom medlemsstater (EUT L 190 av 18.7.2002, s. 1).
Europaparlaments- og rådsforordning (EU) nr. 603/2013 av 26. juni 2013 om opprettelse av «Eurodac» for sammenligning av fingeravtrykk med henblikk på effektiv anvendelse av forordning (EU) nr. 604/2013 om fastsettelse av kriterier og ordninger for å avgjøre hvilken medlemsstat som har ansvaret for behandling av en søknad om internasjonal beskyttelse inngitt i en medlemsstat av en tredjestatsborger eller en statsløs, og om medlemsstatenes rettshåndhevende myndigheters og Europols tilgang til å anmode om sammenligning med Eurodac-opplysninger med henblikk på rettshåndhevelse, og om endring av forordning (EU) nr. 1077/2011 om opprettelse av et europeisk byrå for driftsforvaltning av store it-systemer innenfor området frihet, sikkerhet og rettferdighet (EUT L 180 av 29.6.2013, s. 1).
Europaparlaments- og rådsforordning (EU) 2019/816 av 17. april 2019 om opprettelse av et sentralisert system for identifisering av medlemsstater som innehar opplysninger om straffedommer mot tredjestatsborgere og statsløse personer (ECRIS-TCN) for å utfylle og støtte det europeiske strafferegisterinformasjonssystemet og om endring av forordning (EU) 2018/1726 (EUT L 135 av 22.5.2019, s. 1).
Rådsforordning (EF) nr. 168/2007 av 15. februar 2007 om opprettelse av Den europeiske unions byrå for grunnleggende rettigheter (EUT L 53 av 22.2.2007, s. 1).
Europaparlaments- og rådsforordning (EU) 2019/817 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS (EUT L 135 av 22.5.2019, s. 27).
Europaparlaments- og rådsforordning (EU) 2019/817 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS (EUT L 135 av 22.5.2019, s. 27).
Europaparlaments- og rådsforordning (EU) 2019/817 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS (EUT L 135 av 22.5.2019, s. 27).
Europaparlaments- og rådsforordning (EU) 2019/817 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS (EUT L 135 av 22.5.2019, s. 27).
Europaparlaments- og rådsforordning (EU) 2019/817 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS (EUT L 135 av 22.5.2019, s. 27).
Europaparlaments- og rådsforordning (EU) 2019/818 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for politisamarbeid og rettslig samarbeid, asyl og migrasjon, og om endring av forordning (EU) 2018/1726, (EU) 2018/1862 og (EU) 2019/816 (EUT L 135 av 22.5.2019, s. 85).
Europaparlaments- og rådsforordning (EU) 2018/1861 av 28. november 2018 om opprettelse, drift og bruk av Schengen-informasjonssystemet (SIS) for inn- og utreisekontroller, om endring av konvensjonen om gjennomføring av Schengen-avtalen og om endring og oppheving av forordning (EF) nr. 1987/2006 (EUT L 312 av 7.12.2018, s. 14).
Europaparlaments- og rådsforordning (EU) 2018/1862 av 28. november 2018 om opprettelse, drift og bruk av Schengen-informasjonssystemet (SIS) for politisamarbeid og strafferettslig samarbeid, om endring og oppheving av rådsbeslutning 2007/533/JIS og om oppheving av europaparlaments- og rådsforordning (EF) nr. 1986/2006 og kommisjonsbeslutning 2010/261/EU (EUT L 312 av 7.12.2018, s. 56).
Europaparlaments- og rådsforordning (EU) 2019/816 av 17. april 2019 om opprettelse av et sentralisert system for identifisering av medlemsstater som innehar opplysninger om straffedommer mot tredjestatsborgere og statsløse personer (ECRIS-TCN) for å utfylle og støtte det europeiske strafferegisterinformasjonssystemet og om endring av forordning (EU) 2018/1726 (EUT L 135 av 22.5.2019, s. 1).
Europaparlaments- og rådsforordning (EU) 2019/817 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS (EUT L 135 av 22.5.2019, s. 27).
Europaparlaments- og rådsforordning (EU) 2019/817 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS (EUT L 135 av 22.5.2019, s. 27).
Europaparlaments- og rådsforordning (EU) 2019/817 av 20. mai 2019 om opprettelse av en ramme for interoperabilitet mellom EU-informasjonssystemer for grenser og visum og om endring av europaparlaments- og rådsforordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS (EUT L 135 av 22.5.2019, s. 27).
Europaparlaments- og rådsforordning (EU) 2016/1624 av 14. september 2016 om den europeiske grense- og kystvakt og om endring av europaparlaments- og rådsforordning (EU) 2016/399 og om oppheving av europaparlaments- og rådsforordning (EF) nr. 863/2007, rådsforordning (EF) nr. 2007/2004 og rådsbeslutning 2005/267/EF (EUT L 251 av 16.9.2016, s. 1).