4 Om rettsaktene
4.1 Hovedtrekkene i forordningene (EU) 2019/817 og (EU) 2019/818 om interoperabilitet
Interoperabilitetsløsningen etablerer felles funksjoner og infrastruktur for ulike EU-informasjonssystemer. Med interoperabilitet forstås IT-systemers evne til å utveksle data og informasjon. Informasjonssystemene som inngår i interoperabilitetsløsningen er EES, ETIAS, VIS, SIS, Eurodac og ECRIS-TCN. Rettsaktene forutsetter også at det skal kunne søkes mot Europol-opplysninger og Interpol-databaser.
Interoperabilitetsforordningenes regulering av funksjoner som er felles for IT-systemene, innebærer ikke at flere personer blir registrert eller at noen må gi flere opplysninger om seg selv enn det som allerede følger av rettsaktene som regulerer de underliggende systemene.
Interoperabilitetsløsningen skal sikre at sluttbrukerne av de ulike systemene gis rask og enkel tilgang til informasjonen i de underliggende systemene. Eksisterende biometrisk informasjon skal brukes for å sikre at en person identifiseres korrekt, samt hindre misbruk av identitet. For å nå disse målsettingene foreskriver forordningene en interoperabilitetsløsning bestående av fire komponenter:
Felles søkeportal (European Search Portal – ESP)
Felles biometrisk sammenligningstjeneste (shared Biometric Matching Service – sBMS)
Felles identitetsregister (Common Identity Repository – CIR)
Fleridentitetsdetektor (Multiple-Identity Detector – MID)
Den felles søkeportalen (ESP) vil være en felles inngang til systemene som omfattes av løsningen. Portalen vil gjøre det mulig å foreta søk i flere systemer samtidig og få et samlet svar tilbake. Myndigheten som foretar slike søk vil som hovedregel ikke få tilgang til mer informasjon enn det som følger av brukertilgangen til de underliggende EU-informasjonssystemene.
Den felles biometriske sammenligningstjenesten (sBMS) skal ha en sentral infrastruktur hvor biometriske maler samles og lagres, til erstatning for systemene for lagring av biometriske maler i EES, VIS, SIS, Eurodac og ECRIS-TCN. En biometrisk mal er en kodebasert representasjon av materialet, i stedet for en hel gjengivelse med alle detaljer. Lagring av maler fremfor fullt ansiktsbilde og fingeravtrykk anses som et mindre inngrep i personvernet, og malene er dessuten godt egnet for elektronisk behandling.
Felles identitetsregister (CIR) skal inneholde biografiske data (navn, fødselsdato, nasjonalitet mv.), opplysninger om reisedokument og biometriske opplysninger (ansiktsbilde, fingeravtrykk) som er registrert om en person i Eurodac, VIS, EES, ETIAS og ECRIS-TCN. Personinformasjon registrert i SIS inngår ikke i CIR. Hovedformålet med registeret er å sikre at en person blir riktig identifisert uansett hvilket system eller systemer det søkes i. De biografiske opplysningene vil bli lagret i CIR i individuelle saksmapper for hver person som er registrert, men opplysningene skal fortsatt tilhøre de enkelte underliggende systemene.
Opprettelsen av CIR gir i utgangspunktet ingen utvidet rett til eller mulighet for søk utover det som følger av myndighetens tilgang til de underliggende informasjonssystemene. Søketreffene avgrenses til systemene enheten har tilgang til etter underliggende rettsgrunnlag og til de formål tilgangsretten gjelder. Et unntak er hvis et søk gir treff på liknende identitetsopplysninger i et annet informasjonssystem, slik at det opprettes en gul eller rød lenke som omtalt nedenfor. I slike tilfeller vil myndigheten med ansvar for manuell kontroll av lenker ha tilgang til opplysningene i de lenkede saksmappene også fra andre informasjonssystemer.
For å forenkle identitetskontroller og bekjempe identitetsbedrageri opprettes en teknisk komponent kalt fleridentitetsdetektor (MID) som skal kunne påvise urettmessig bruk av identiteter. Når en person er registrert i flere informasjonssystemer, blir det opprettet en lenke mellom identitetsopplysningene. Lenkene gis en farge som angir hvorvidt en person anses som korrekt identifisert (hvit), om det er behov for nærmere manuelle undersøkelser (gul), at det er manuelt avklart at opplysningene knytter seg til to ulike faktiske personer (grønn) eller at det er manuelt avklart at samme person opererer med ulike identiteter eller andres identitet på en ubegrunnet måte (rød).
Myndigheten med ansvar for manuell kontroll av lenker om fleridentitet gis for dette formålet tilgang til de lenkede individuelle saksmappene også i andre informasjonssystemer. Når det er lenker mellom ulike informasjonssystemer, opprettes en identitetsbekreftelsesmappe hvor det blant annet skal være en henvisning til hvilke av de underliggende systemene de lenkede opplysningene tilhører.
Personvernforordningen (forordning (EU) 2016/679) gjelder for myndighetenes behandling av opplysninger etter forordningene, med mindre behandlingen foretas av rettshåndhevende myndigheter med sikte på å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold. I disse tilfellene kommer personverndirektivet (direktiv (EU) 2016/680) til anvendelse. I Norge er disse rettsaktene gjennomført i henholdsvis personopplysningsloven og politiregisterloven, som dermed vil gjelde når norske myndigheter behandler opplysninger i henhold til interoperabilitetsforordningene.
Personopplysningene det gis tilgang til gjennom interoperabilitetsløsningen er innhentet med grunnlag i rettsaktene som regulerer de enkelte informasjonssystemene. Interoperabilitetsforordningene angir hvem som vil være behandlingsansvarlig for behandlingen av opplysninger gjennom interoperabilitetsforordningenes nye tekniske komponenter, og fordeler dette ansvaret mellom ulike nasjonale myndigheter og EU-organer, avhengig av bruk.
4.2 Hovedtrekkene i forordningene (EU) 2021/1134 og (EU) 2021/1133 om visuminformasjonssystemet VIS
Utvidet anvendelsesområde
Den viktigste endringen i forordning (EU) 2021/1134, er at VIS nå ikke kun skal inneholde opplysninger om Schengen-visum, som gir mulighet for korttidsbesøk (90 dager i en 180-dagers periode), men også visum for langvarig opphold og oppholdstillatelser i medlemsstatene. Endringen omfatter også lagring av biometriske opplysninger for denne gruppen.
Endringen medfører at et informasjonshull tettes om innreise- og oppholdsgrunnlaget for tredjelandsborgere med andre visum og oppholdstillatelser fra en Schengen-stat. På denne måten kan myndigheter i alle Schengen-statene kontrollere tillatelsenes ekthet, at de blir benyttet av rett person, hvorvidt tillatelsesinnehaveren har lovlig opphold i Schengen-området, og eventuelt avdekke om personer som ikke fremlegger id-dokumenter eller annen dokumentasjon, faktisk har oppholdstillatelse i en Schengen-stat.
En annen viktig endring er at det vil bli gjennomført søk i andre EU-informasjonssystemer i forbindelse med både søknader om Schengen-visum, visum for langvarig opphold og oppholdstillatelser. Dette vil støtte søknadsbehandlingen ved at informasjon av betydning for hvorvidt søkeren oppfyller vilkår for visum og tillatelser enkelt kan fremskaffes. På bakgrunn av slike registrerte opplysninger skal en utpekt VIS-myndighet i aktuelle tilfeller avgi en begrunnet uttalelse om hvorvidt søkeren utgjør en trussel mot offentlig sikkerhet.
Ny informasjon skal legges inn
Endringsforordningene medfører internasjonal håndtering av en større mengde personopplysninger. Endringene tetter flere informasjonshull som ble identifisert i evalueringen av VIS, som ble gjennomført i forkant av forslaget. Aldersgrensen for opptak av fingeravtrykk senkes fra tolv til seks år. Det ble vurdert at dette vil styrke oppnåelsen av formålene med VIS, særlig ved å motvirke identitetsmisbruk og ved å strømlinjeforme kontrollen ved grensene. Det er også lagt til grunn at endringen vil kunne styrke forebyggingen og bekjempelsen av brudd på barns rettigheter. Blant annet vil man kunne identifisere barn fra tredjeland innenfor Schengen-området som er savnet, som søker asyl alene eller er ofre for menneskehandel. Det er også lagt inn flere virkemidler for å sikre at barnets beste ivaretas i forbindelse med visumsaksbehandlingen, og for den videre bruken av opplysninger fra barn.
Det skal som hovedregel tas ansiktsbilde av alle søkere over seks år. Kun unntaksvis kan scannet papirfoto aksepteres isteden.
En kopi av siden med personopplysninger i visumsøkers reisedokument skal lagres i VIS for å støtte eventuelle returprosedyrer. Hittil har hver medlemsstat tatt kopi av søkerens pass, men det har ikke vært noen felles regler for utveksling av slik informasjon mellom medlemsstater.
Videre er andre tekniske komponenter av VIS oppgradert, herunder blant annet en ordning for effektiv informasjonsutveksling mellom medlemsstatene (VISMail), og kvalitetskontrollfunksjoner for informasjon som legges inn i systemet.
Endringene er utformet rundt prinsippet om innebygget personvern. Dette innebærer at den tekniske utformingen av VIS hensyntar personvern, blant annet ved at informasjon teknisk sett kun vil være tilgjengelig for behørig autorisert personell. Det er i forordningen også lagt vekt på forholdsmessighet mellom personvernhensyn og legitime formål, siden det ikke kreves innsamling og lagring av flere opplysninger enn det som er absolutt nødvendig for at formålene med VIS skal oppnås.
VIS-forordningen fra 2008 etablerte strenge regler om tilgang til VIS, og nødvendige sikringstiltak. Forordningen sikret også retten til informasjon, korrigering, sletting og oppreising. Ytterligere sikringstiltak introduseres med endringsforordningen for å dekke spesifikke behov knyttet til de nye datatypene, databehandlingen og personene som nå skal omfattes i VIS.
Rettsakten regulerer detaljert hvilket behørig autorisert personell som skal ha tilgang til informasjonen hos de ulike kompetente myndigheter med ansvar for henholdsvis visum, asyl, grensekontroll, utlendingskontroll, samt forebygging, avdekking og etterforsking av terrorisme og annen alvorlig kriminalitet. Siden internorganiseringen varierer mellom Schengen-statene, er det behov for avklaring på nasjonalt nivå og internt hos relevante myndigheter om hvilke typer personell som gitt deres oppgaver, kompetanse og autorisering skal ha tilgang til hvilken informasjon. Tilgangsstyringen skal være automatisert og styrt på nasjonalt nivå, og ansvaret ligger hos myndigheten som forvalter VIS. Tilgang til opplysninger med formål om forebygging, avdekking og etterforsking av terrorisme og annen alvorlig kriminalitet var tidligere omfattet av en egen rettsakt (rådsbeslutning 633/2008), men bestemmelsene inntas nå i VIS-forordningen, og den tidligere rettsakten oppheves.
For øvrig gjelder reglene i henholdsvis personvernforordningen ((EU) 2016/679) for behandlingen av opplysninger i VIS for myndigheter med ansvar for visum, grenser, asyl og innvandring, og personverndirektivet (direktiv (EU) 2016/680) for behandling som foretas av rettshåndhevende myndigheter med sikte på å forebygge, etterforske, avdekke og straffeforfølge lovbrudd.
Tilgang for nye grupper
Transportører gis tilgang til VIS for å verifisere om den reisende har visum, visum for langvarig opphold eller oppholdstillatelse. VIS vil kun gi transportørene informasjon om at vedkommende kan reise inn eller ikke. Denne tilgangen er knyttet til transportørens forpliktelse til å ta ansvar for og returnere tredjelandsborgere uten gyldige reisedokumenter etter Schengen-regelverket.1
Interoperable søk og oppfølging
Endringen innebærer at VIS kobles til de tekniske komponentene i interoperabilitetsløsningen mellom EU-informasjonssystemene, slik at søk skal utføres mellom systemene av myndigheter med ansvar for visum, grensekontroll, utlendingskontroll, migrasjon, asyl og rettshåndhevelse. Hittil har det kun vært krav om å utføre søk i Schengen informasjonssystem (SIS) for å undersøke hvorvidt visumsøkeren er ilagt innreiseforbud av noen medlemsstater. Med endringsforordningene (EU) 2021/1133 og (EU) 2021/1134 skal det ved registrering av søknad om visum eller oppholdstillatelse utføres automatiske søk i andre europeiske og internasjonale informasjonssystemer om etterlysninger, migrasjon, asyl og grensekontroll (EES, ETIAS, SIS og EURODAC), samt opplysninger fra Europol, og i Interpols databaser for tapte og stjålne reisedokumenter (SLTD), og for reisedokumenter knyttet til meldinger (TDAWN)). Det er regulert i rettsakten hvilke søk som skal utføres i ulike tilfeller, og hvilken informasjon om treff som eventuelt skal lagres.
En eller flere utpekte VIS-myndigheter skal etableres i hver stat, som skal vurdere om treff i andre EU-informasjonssystemer angående etterlysninger med mer innebærer at søkeren utgjør en trussel eller risiko mot offentlig orden og sikkerhet. Vurderingen skal tas i betraktning i visumsaksbehandlingen. I arbeidet med oppfølgingen av treff skal utpekt VIS-myndighet kunne utveksle informasjon med Europol, Interpol og nasjonalt SIRENE-kontor, som har ansvaret for oppfølgingen av treff i SIS.
Listen av godkjente reisedokumenter2 skal også legges inn i VIS, slik at søkernes reisedokumenter automatisk kan verifiseres opp mot denne. Kompetansen til å anerkjenne reisedokumenter ligger hos medlemsstatene.
Risikoprofilering
Visumsaksbehandlingen skal også støttes av spesifikke risikoindikatorer. Disse vil ikke inneholde personopplysninger, men vil etableres ved automatisk analyse av statistikk fra medlemsstatene, samt fra EUs øvrige informasjonssystemer. Fokuset vil blant annet være på unormalt høyt nivå av bortvisning ved grensen eller oversittelse av visumperioden for ulike kategorier tredjelandsborgere, samt risikoer for folkehelsen. Analyseverktøyet for risikoindikatorene vil dra nytte av de store datamengdene som blir tilgjengelige med de oppgraderte informasjonssystemene.
Risikoindikatorene skal utformes og vedlikeholdes av den sentrale VIS-myndigheten, som skal ligge hos Det europeiske grense- og kystvaktbyrået (EBCG/Frontex). Arbeidet med risikoindikatorene skal veiledes og kontrolleres av et VIS-veiledningsråd for grunnleggende rettigheter.
4.3 Hovedtrekkene i forordningene (EU) 2021/1150 og (EU) 2021/1152 om etablering av vilkår for tilgang til andre EU-informasjonssystemer for ETIAS
Forordningene (EU) 2021/1150 og (EU) 2021/1152 fastsetter regler om gjennomføringen av interoperabilitet mellom det sentrale ETIAS-systemet og EUs øvrige informasjonssystemer samt opplysninger fra Europol. Det var tidligere angitt i ETIAS-forordningen artikkel 11 at nærmere regler om dette skulle fastsettes i en egen rettsakt. Saksbehandlingen etter ETIAS-forordningen forutsetter allerede at det gjennomføres automatiserte søk mellom informasjonssystemene, og at den sentrale ETIAS-enheten og nasjonale ETIAS-enheter skal gis tilgang til opplysninger om slike treff. Rettsaktene regulerer hvordan de automatiserte søkene skal gjennomføres, og gir regler om hvem som gis tilgang til opplysninger om treff.
I tillegg gis det regler og tekniske spesifikasjoner om automatisert informasjonsutveksling mellom ETIAS, EES og SIS i visse tilfeller, og at det ved søknad om fremreisetillatelse også skal kunne gjøres treff mot meldinger i SIS om retur og undersøkelseskontroll. Det gis også bestemmelser om såkalte tilbakefallsprosedyrer, dvs. fritak for undersøkelsesplikt, varsling og operativ støtte for transportører ved teknisk feil i EES og ETIAS.
Endringsforordningene gjør to endringer i privates plikter etter ETIAS-forordningen og EES-forordningen. For det første gjøres det unntak fra transportørers undersøkelsesplikt etter EES-forordningen ved teknisk umulighet, samtidig som transportørene pålegges en varslingsplikt overfor den sentrale ETIAS-enheten dersom det oppstår tekniske feil som over lengre tid gjør det umulig for dem å oppfylle sin undersøkelsesplikt, forutsatt at feilen ikke skyldes EES. For det andre gjøres den endring at søkere skal opplyse om straffbare forhold noe lengre tilbake i tid: Om straffbare forhold inntil 15 år tilbake i tid, istedenfor ti år, men inntil 25 år tilbake i tid hva gjelder terrorhandlinger, mot tidligere 20 år.
For øvrig gjøres det noen spredte og tekniske endringer i ETIAS-forordningens bestemmelser om tilgangsbegrensninger og saksgang.
4.4 Nærmere om innholdet i forordningene
4.4.1 Europaparlaments- og rådsforordning (EU) 2019/817
Kapittel I gir alminnelige bestemmelser om formål, virkeområde og definisjoner. Det opprettes en ramme for å sikre interoperabilitet mellom inn- og utreisesystemet (EES), visuminformasjonssystemet (VIS), det europeiske systemet for reiseinformasjon og fremreisetillatelse (ETIAS), Eurodac, Schengen informasjonssystem (SIS) og det europeiske straffereaksjonssystemet for tredjestatsborgere (ECRIS-TCN). Løsningen omfatter en søkeportal (ESP), en felles biometrisk sammenligningstjeneste (sBMS), et felles identitetsregister (CIR) og en fleridentitetsdetektor (MID). Målet er blant annet å forbedre effektiviteten av inn- og utreisekontrollene ved de ytre grensene og å bidra til å forebygge, avsløre og etterforske terrorhandlinger og andre alvorlige straffbare forhold. Dette skal gjøres ved blant annet å sikre korrekt identifisering av personer og bidra til å bekjempe identitetsbedrageri.
Kapittel II handler om Den europeiske søkeportalen (ESP). Portalen skal gjøre det mulig å søke samtidig i EES, VIS, ETIAS, Eurodac, SIS og ECRIS-TCN, samt i Europol-opplysninger og Interpol-databaser. Bruken av ESP skal forbeholdes medlemsstatene og byråene som har tilgang til minst ett av EU-informasjonssystemene. Det skal opprettes en profil for hver kategori av brukere av portalen hvor det fremgår hvilke systemer og opplysninger det kan foretas søk i. Svarene på søkene kan som hovedregel bare inneholde opplysningene brukeren har tilgang til. eu-LISA (Den europeiske unions byrå for driftsforvaltning av store IT-systemer innenfor området frihet, sikkerhet og rettferdighet) skal føre logg over all behandling av opplysninger i ESP. Dette omfatter medlemsstaten eller unionsbyrået som innledet søket og hvilke systemer det er foretatt søk i. Den enkelte medlemsstat skal på sin side føre logg over søk myndighetene og personale hos disse gjennomfører.
Kapittel III regulerer felles biometrisk sammenligningstjeneste (sBMS). Den skal bestå av en sentral infrastruktur for lagring av biometriske maler til erstatning for de sentrale systemene i henholdsvis EES, VIS, SIS, Eurodac og ECRIS-TCN. Hovedformålet med sBMS er å forenkle identifiseringen av en person som er registrert i flere informasjonssystemer ved søk med biometriske opplysninger opp mot en felles teknisk komponent.
Kapittel IV gir regler om det felles identitetsregisteret (CIR). Dette skal bestå av individuelle saksmapper for personer registrert EES, VIS, ETIAS, Eurodac og ECRIS-TCN. Den individuelle saksmappen kan bare lagres i CIR så lenge de tilsvarende opplysningene lagres i minst ett av EU-informasjonssystemene med opplysninger i CIR.
Politimyndigheter kan, dersom det forankres i nasjonal rett, søke i CIR for identifiseringsformål dersom myndigheten ikke kan identifisere en person fordi personen mangler reisedokument eller annet troverdig dokument som beviser personens identitet, dersom det er tvil om identitetsopplysningene som er fremlagt, dersom det er tvil om ektheten av reisedokumentet som er fremlagt, dersom det er tvil om identiteten til innehaveren av et reisedokument, eller dersom personen ikke kan eller vil samarbeide. Det kan også søkes i CIR mot opplysninger lagret i EES, VIS, ETIAS og Eurodac for å forebygge, avsløre eller etterforske terrorhandlinger eller andre alvorlige straffbare forhold. Slike søk kan foretas dersom det i særlige tilfeller er mistanke om at opplysninger om en mistenkt, en gjerningsperson eller et offer for en terrorhandling eller annet alvorlig straffbart forhold, er lagret i informasjonssystemene. Treff fra slike søk kan brukes til å anmode om tilgang til de aktuelle opplysningene i henhold til de underliggende rettsaktene.
Kapittel V omhandler fleridentitetsdetektoren (MID). Denne skal opprette og lagre identitetsbekreftelsesmapper som inneholder lenker mellom opplysninger i EU-informasjonssystemene som inngår i CIR og SIS og som gjør det mulig å påvise flere identiteter, både for å forenkle identitetskontroller og bekjempe identitetsbedrageri.
Prosessen innledes ved opprettelse eller ajourføring av individuelle saksmapper gjennom EES, VIS, ETIAS, Eurodac eller SIS, samt ved innføring av biometriske opplysninger i sBMS. Dersom innføring av opplysninger i et informasjonssystem gir treff mot opplysninger i CIR eller SIS, skal det opprettes en lenke mellom opplysningene som har ført til treffet. Det opereres med fire farger på lenkene: hvit, gul, grønn og rød.
Hvite lenker skal etableres automatisk eller etter manuell kontroll hvis identitetsopplysningene fra to eller flere informasjonssystemer bekrefter at man står overfor samme person og at eventuelle avvik mellom de registrerte biografiske opplysningene er begrunnet. Dette omfatter eksempelvis tilfeller hvor like biometriske opplysninger viser til ulike biografiske opplysninger, og hvor denne forskjellen er begrunnet, for eksempel fordi en person har endret navn i forbindelse med ekteskapsinngåelse.
En gul lenke opprettes når det er behov for manuell kontroll av opplysningene i ulike informasjonssystemer. Dette vil forekomme når det foreligger ulikhet mellom biografiske eller biometriske opplysninger eller opplysninger om reisedokumenter, eksempelvis hvor like biometriske opplysninger peker til forskjellige identitetsopplysninger.
En grønn lenke skal etableres når koblingen mellom opplysningene er manuelt kontrollert og det viser seg at opplysningene knytter seg til to ulike personer. Dette kan eksempelvis forekomme ved navnelikhet, og der det er registrert ulike biometriske opplysninger.
En rød lenke skal etableres etter manuell kontroll når registreringene viser at samme person opererer med ulike identiteter eller andres identitet på en ubegrunnet måte. Dette kan være tilfellet hvis like biometriske opplysninger peker mot ulike biografiske opplysninger og disse henviser til samme person på en ubegrunnet måte. Røde lenker etableres også når ulike biometriske opplysninger peker mot samme biografiske opplysninger uten at dette er begrunnet, eller hvor forskjellige identitetsopplysninger peker mot samme reisedokumentopplysninger uten at dette er begrunnet.
Identitetsbekreftelsesmappene skal kun lagres i MID så lenge de lenkede opplysningene er lagret i to eller flere EU-informasjonssystemer. Det er nærmere regulert hvilken myndighet som skal foreta manuell kontroll av lenker om fleridentitet. Til dette formål skal myndigheten ha tilgang til de individuelle saksmappene som er blitt lenket sammen.
Kapittel VI angir tiltak for å støtte interoperabilitet, herunder mekanismer for å sikre kvaliteten på opplysningene som registreres. Det angir også meldingsformatet som skal brukes og pålegger eu-LISA å opprette et sentralt register for rapportering og statistikk.
Kapittel VII inneholder bestemmelser om vern av personopplysninger. Det gis bestemmelser om behandlingsansvarlige, eu-LISAs rolle som databehandler og om krav til internkontroll. Som utgangspunkt skal myndigheter som er behandlingsansvarlige for opplysninger i EES, VIS og SIS, også være det for opplysninger i sBMS og i CIR. Det europeiske grense- og kystvaktbyrå (EBCG/Frontex) skal være behandlingsansvarlig i forbindelse med behandling av personopplysninger som utføres av Den sentrale ETIAS-enheten. Myndigheter som tilføyer og endrer opplysninger i identitetsbekreftelsesmappen skal ha ansvar for behandlingen av disse personopplysningene i MID. eu-LISA gis ansvar for å utarbeide en sikkerhetsplan, en kontinuitetsplan og en katastrofeplan, og det gis bestemmelser om rutiner for rapportering ved sikkerhetshendelser. Medlemsstatene skal påse at misbruk, behandling eller utveksling av opplysninger i strid med forordningen sanksjoneres i samsvar med nasjonal rett. Ulovlig behandling av personopplysninger eller handlinger i strid med forordningen kan videre utløse erstatningsansvar. Det gis også bestemmelser om den enkeltes rett til innsyn i egne opplysninger, og om opprettelsen av en nettportal for å forenkle utøvelsen av retten til innsyn, retting, sletting og begrensning av behandlingen. Videre gis det regler om tilsynsmyndighetenes tilsyn.
Kapittel VIII gir nærmere bestemmelser om eu-LISAs, nasjonale myndigheters og den sentrale ETIAS-enhetens ansvar etter forordningen. eu-LISA har ansvaret for den tekniske infrastrukturen og driften av de sentrale systemene, mens medlemsstatene har ansvaret for integrasjon av de eksisterende nasjonale systemene og infrastrukturene med ESP, CIR og MID.
Kapittel IX omhandler endringer i rettsaktene som regulerer de underliggende systemene for å tilpasse disse etableringen av CIR, sBMS og MID. Dette gjelder VIS-forordningen ((EF) 767/2008), grenseforordningen ((EU) 2016/399), EES-forordningen ((EU) 2017/2226), ETIAS-forordningen ((EU) 2018/1240), eu-LISA-forordningen ((EU) 2018/1726), SIS-forordningen innen grensekontroll ((EU) 2018/1861), rådsvedtak 2004/512/EF om opprettelse av VIS, samt rådsbeslutning 2008/633/JIS om rettshåndhevende myndigheters og Europols tilgang til VIS.
Kapittel X gir sluttbestemmelser, herunder overgangsbestemmelser i forbindelse med innfasingen av interoperabilitetsløsningen. Blant annet åpnes det for at bruken av ESP er frivillig i en toårsperiode fra løsningen er satt i drift. CIR skal brukes når løsningen settes i drift, mens den sentrale ETIAS-enheten blir første bruker av MID i en ettårsperiode før løsningen settes i ordinær drift. Fordelingen av kostnader mellom henholdsvis EU med ulike byråer og medlemsstatene reguleres, og det fremgår at medlemsstatene skal underrette eu-LISA om hvilke myndigheter som kan bruke eller ha tilgang til henholdsvis ESP, CIR og MID.
4.4.2 Europaparlaments- og rådsforordning (EU) 2019/818
Forordningen inneholder i det vesentlige likelydende bestemmelser som forordning (EU) 2019/817.
I kraft av å regulere politisamarbeidet omhandler forordning (EU) 2019/818 blant annet oppgaver som ivaretas av Europol, herunder behandlingsansvar for Europol-opplysninger, samt opplysninger som er registrert i ECRIS-TCN. På den annen side omhandler forordningen eksempelvis ikke oppgavene som ivaretas av Det europeiske grense- og kystvaktbyrå når det gjelder å undersøke lenker i EES.
Kapittel IX omhandler endringer i rettsaktene som regulerer de underliggende systemene for å tilpasse disse etableringen av CIR, sBMS og MID. For denne forordningen gjelder dette eu-LISA-forordningen ((EU) 2018/1726) SIS-forordningen innen politisamarbeid ((EU) 2018/1862) og ECRIS-TCN-forordningen ((EU) 2019/816).
Begge rettsaktene anses som Schengen-relevante, slik at begge vil gjelde for Norge dersom Stortinget samtykker til forslagene som fremmes i denne proposisjonen. For Norge er forskjellene mellom rettsaktene dermed av liten betydning.
4.4.3 Europaparlaments- og rådsforordning (EU) 2021/1133
Rettsakten gjelder endring av Europaparlaments- og rådsforordning (EU) nr. 603/2013, (EU) 2016/794, (EU) 2018/1862, (EU) 2019/816 og (EU) 2019/818 om fastsettelse av vilkårene for tilgang til andre EU-informasjonssystemer for visuminformasjonssystemets formål.
I følge fortalens punkt 15 anses forordningens bestemmelse angående SIS som en videreutvikling av Schengen-samarbeidet. Ettersom Norge har bilaterale tilknytningsavtaler til Eurodac og Europol, vil også bestemmelsene om disse systemene få betydning for Norge.
Artikkel 1 gjør endringer i Eurodac-forordningen (EU) nr.603/2013. Rettsakten tilføyer ny artikkel 22a om tilgang til Eurodac for visummyndighetene, ny artikkel 22b om interoperabilitet med VIS, samt ny artikkel 28a om registreringer eller føring av logger i forbindelse med interoperabilitet med VIS.
Artikkel 2 gjør endringer i Europol-forordningen (EU) 2016/794. Europol skal avgi uttalelser etter anmodninger om samråd ved interoperabilitetstreff i deres system. Europol skal tilstrebe å etablere et system der VIS-myndigheter skal kunne få tilbakemelding (OK/NOT OK) ved søk om enkeltpersoner som mistenkes for å ha begått eller vil begå straffbare handlinger. Ved treff skal Europol innlede fremgangsmåten for deling av opplysningene som genererte treffet.
Artikkel 3 gjør endringer i forordningen om SIS innen politisamarbeid (EU) 2018/1862. Det sentrale SIS skal kobles til den europeiske søkeportalen (ESP) for å muliggjøre automatisk behandling etter VIS-forordningen artikkel 9a og 22b, og det pålegges en plikt til loggføring for slik behandling. Den nasjonale SIS-myndigheten gis tilgangsrett til opplysninger i SIS for å manuelt verifisere treff i SIS utløst av et automatisk søk fra VIS, og for å vurdere om søkeren kan utgjøre en trussel mot offentlig orden eller offentlig sikkerhet.
Artikkel 4 gjør endringer i forordningen om ECRIS-TCN (EU) 2019/816. Denne forordningen ligger utenfor Schengen-samarbeidet og Norge har ikke tilknytningsavtale til forordningen.
Artikkel 5 gjør endringer i interoperabilitetsforordningen for politisamarbeid og strafferettslig samarbeid, asyl og migrasjon (EU) 2019/818. Den aktuelle endringen gjelder lagring av opplysninger fra VIS i det felles identitetsregisteret (CIR), og behandling i ESP av opplysninger fra VIS kun fra datoen VIS ble tatt i bruk i interoperabilitetsløsningen.
4.4.4 Europaparlaments- og rådsforordning (EU) 2021/1134
Rettsakten gjelder endring av Europaparlaments- og rådsforordningene (EF) nr. 767/2008, (EF) nr. 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 og (EU) 2019/1896 og om oppheving av rådsvedtak 2004/512/EF og rådsbeslutning 2008/633/JIS om endring av visuminformasjonssystemet.
Av forordningens fortalepunkt 61 fremgår det at forordningen for Norges del er å anse som en videreutvikling av Schengen-regelverket.
Artikkel 1 gjør endringer i VIS-forordningen (EF) nr. 767/2008.
Formålsbestemmelsen i VIS-forordningens artikkel 2 utvides til også å omfatte visum for langvarig opphold og oppholdstillatelser, samt identifisering, herunder identifisering av savnede, bortførte eller ofre for menneskehandel.
I artikkel 2a beskrives VIS-arkitektur. Denne regulerer blant annet oppkoblingen til de andre informasjonssystemene, transportørtilgang, oppgavene hos utpekt VIS myndighet og det sentrale tilgangspunktet for opplysninger til rettshåndheving. eu-LISA gis ansvaret for å sikre uavbrutt tilgjengelighet for VIS. I artikkel 5 opplistes hvilke kategorier av opplysninger som registreres i VIS, og i artikkel 5a omtales integrering av listen over anerkjente reisedokumenter i VIS. Artikkel 6 er en oppdatering av reguleringen av tilgangen til å legge inn, endre, slette og søke etter opplysninger, mens forpliktelsene om ikke-diskriminering omtales i ny artikkel 7 nr. 2.
I VIS-forordningens kapittel II gjøres endringer i visummyndighetenes innlegging og bruk av opplysninger om visum, herunder ved ny artikkel 9a om søk i de interoperable systemene. I artiklene 9c-9i omhandles oppfølging ved treff hos visummyndigheter, VIS-utpekt myndighet, nasjonal ETIAS-enhet og SIRENE-kontoret, i samhandling med hverandre og Europol. Artiklene 9j-9l omhandler risikoindikatorer, VIS-screeningråd og VIS-veiledningsrådet for grunnleggende rettigheter. I artikkel 16 gjøres endringer angående bruken av VIS for konsultasjon og anmodning om dokumenter mv.
Overskriften til kapittel III endres til «andre myndigheters tilgang til visumopplysninger». Bestemmelsene om myndigheter med ansvar for grensekontroll og asylsøknaders tilganger til opplysninger i VIS utvides, med referanser til EES og interoperabilitetsfunksjoner.
Nytt kapittel IIIa tilføyes, hvor innlegging og bruk av opplysninger om visum for langvarig opphold og oppholdstillatelse reguleres. Søk og oppfølging av eventuelle treff, samt ulike andre typer myndigheters tilgang for de ulike formål (grensekontroll, utlendingskontroll, asylsaksbehandling, identifisering og rettshåndheving) reguleres som for visum, beskrevet for kapittel II. I artikkel 22q reguleres videre bruken av VIS-opplysninger for å legge inn meldinger i SIS om savnede eller sårbare personer som må hindres i å reise, og tilgang til disse opplysningene. Også Europols tilgang omtales.
I artikkel 23 beskrives nærmere anvendelse av regelen om at søknadsmapper skal lagres i VIS i høyst fem år. Artikkel 24 omhandler endring av opplysninger. I nye artikler 26 og 27a omhandles VIS-systemets operative drift og interoperabilitet med andre EU-informasjonssystemer og Europol-opplysninger. I artiklene 29-31 omhandles ansvar for bruk og kvaliteten på opplysninger, regler for innlegging og overføring av opplysninger til tredjeland eller internasjonale organisasjoner. Endringer i artiklene 32a-37 omhandler sikkerhetshendelser, erstatningsansvar, loggføring, sanksjoner og vern av personopplysninger. Artikkel 38 regulerer retten til innsyn i, retting, utfylling og sletting av personopplysninger og begrensning av behandlingen. Artiklene 39-43 omhandler samarbeid om å sikre personvern mellom nasjonale og europeiske databeskyttelsesmyndigheter, samt aktuelle rettsmidler. I henhold til artikkel 45b skal medlemsstatene underrette Kommisjonen om hvem som er databehandler og hvilke myndigheter som har behandlingskompetanse i VIS.
I artikkel 45 omtales Kommisjonens gjennomføring av endringene, herunder i sekundærlovgivning og tekniske aspekter. Artikkel 45a omhandler bruk av VIS-opplysninger for rapportering og statistikk, mens transportørers tilgang til VIS samt tilgangen for Frontex-personell, reguleres i artikkel 45c-45f. Forordningen og systemet skal evalueres hvert tredje år.
Artikkel 2 gjør endringer i visumforordningen (EF) nr. 810/2009. Dette gjelder endringer om søknadsinnlevering, herunder personlig oppmøte ved opptak av fingeravtrykk og ansiktsbilde. Det stilles særlige krav i forbindelse med søknadsregistrering av barn, for eksempel om opplæring av relevant personell og ledsagelse av voksent familiemedlem. Ved vurdering av søknad skal eventuelle røde lenker, som indikerer at en person er registrert i de interoperable systemene med flere identiteter, jf. interoperabilitetsforordningene artikkel 32, hensyntas. Det skal ikke automatisk treffes beslutning i visumsaker ved treff på risikoindikatorer; i hvert tilfelle skal det foretas en individuell risikovurdering. Opplysninger fra EES skal hensyntas i vurderingen av hvorvidt søkeren vil overstige oppholdstiden i Schengen-området.
Artikkel 3 gjør endringer i grenseforordningen (EU) 2016/399. I artikkel 8 nr. 3 om gjennomføringen av personkontroll ved grensepassering, legges det til at søk skal gjennomføres i VIS for tredjelandsborgere med visum for langvarig opphold eller oppholdstillatelse for å kontrollere identitet og ektheten og gyldigheten av oppholdsgrunnlaget etter VIS-forordningen artikkel 22g. I vedlegg VII nr. 6 angående grensekontroll av mindreårige oppdateres bestemmelser knyttet til opptak av biometriske opplysninger.
Artikkel 4 gjør endringer i forordningen om EES (EU) 2017/2226. I artikkel 8 mv. gjøres det endringer angående verifikasjon i EES på grunnlag av ansiktsbilde opptatt for visumsøknaden. Videre skal interoperabiliteten gjøre det mulig for EES å automatisk underrette VIS dersom en mindreårig reiser ut. I artikkel 13 gjøres endringer knyttet til transportørportalen. I henhold til artikkel 24 nytt nr. 5 skal myndigheter med ansvar for å avgjøre søknader om visum, visum for langvarig opphold eller oppholdstillatelse ha tilgang til EES for manuell verifisering av eventuelle treff. Artikkel 35 nr. 4 omhandler retting av visumrelaterte opplysninger i EES.
Artikkel 5 gjør endringer i forordningen om ETIAS (EU) 2018/1240. Artikkel 8 nr. 2 innfører manuell verifisering og oppfølging av treff fra VIS i ETIAS-overvåkningslisten. Nytt kapittel IXa dekker tilgangen til ETIAS for myndigheter med ansvar for å avgjøre søknader om visum for langvarig opphold og oppholdstillatelser.
Artikkel 6 til 9 gjør endringer i to av forordningene om SIS (returforordningen (EU) 2018/1860 og grensekontrollforordningen (EU) 2018/1861), samt i forordningen om interoperabilitet mellom EU-informasjonssystemer for grenser og visum ((EU) 2019/817) og forordningen om Den europeiske grense- og kystvakten ((EU) 2019/1896).
Det sentrale SIS skal kobles til den europeiske søkeportalen (ESP) for å muliggjøre automatisk behandling etter VIS-forordningen artikkel 9a og 22b, og det pålegges en plikt til loggføring for slik behandling. Endringene i interoperabilitetsforordningen justerer bl.a. hvilke opplysninger fra VIS som skal lagres i sBMS og CIR.
Artikkel 11 og 12 gjør endringer i reglene om driftsetting, ikrafttredelse og anvendelse av systemet og forordningen.
4.4.5 Europaparlaments- og rådsforordning (EU) 2021/1150
Artikkel 1 gjør endringer i SIS-forordningen innen politisamarbeid ((EU) 2018/1862) for å oppnå interoperabilitet mot ETIAS. Det sentrale SIS skal kobles til ESP for å muliggjøre automatisert behandling etter ETIAS-forordningen, og det pålegges plikt til loggføring for slik behandling. Den sentrale ETIAS-enheten gis tilgang til opplysninger i SIS i henhold til ETIAS-forordningen artikkel 11 nr. 8. Endringene reflekterer endringene i ETIAS-forordningen som gjøres ved forordning (EU) 2021/1152.
Artikkel 2 gjør endringer i forordning (EU) 2019/818 om interoperabilitet mellom EU-systemer for politisamarbeid mv., og viser til at ESP skal settes i drift når betingelsene i ETIAS-forordningen for idriftsetting er oppfylt.
Artikkel 3 gir regler om ikrafttredelse.
4.4.6 Europaparlaments- og rådsforordning (EU) 2021/1152
Forordningen endrer ETIAS-forordningen ((EU) 2018/1240), EES-forordningen ((EU) 2017/2226), VIS-forordningen ((EF) 767/2008), SIS-forordningene innen retur og grensekontroll ((EU) 2018/1860 og (EU) 2018/1861) og forordningen om interoperabilitet mellom EU-systemer for grense og visum ((EU) 2019/817). Endringene kan oppsummeres slik:
Det gis utfyllende regler om gjennomføringen av automatiserte søk mellom det sentrale ETIAS-systemet og øvrige informasjonssystemer via ESP etter ETIAS-forordningen artikkel 20, 23, 24 nr. 6 bokstav c (iii), 41 og 54 nr. 1 bokstav b. Videre angis hvilke opplysningskategorier som skal benyttes for slike søk. EES-forordningen og VIS-forordningen tilføyes tabeller som samkjører opplysningskategorier som beskrives ulikt i de tre forordningene. Krav til konstatering av treff etter automatiserte søk skal fastsettes i delegert rettsakt, og den sentrale ETIAS-enheten pålegges å rapportere om falske treff. Når de automatiserte søkene gir treff, etableres det tilgang til opplysningene om treff for den sentrale ETIAS-enheten og den nasjonale ETIAS-enheten for manuell behandling av søknaden om fremreisetillatelse. Det vil gjelde loggføringsplikt. Det tilføyes en hjemmel for gjennomføringsrettsakt om tekniske løsninger for automatiserte søk for å overholde sletteforpliktelser etter ETIAS-forordningen.
Forordningen innfører også en ny automatisert informasjonsutvekslingsprosess gjennom en ny sikker kommunikasjonskanal mellom ETIAS og EES i forbindelse med grensekontroll og registrering av grensepasseringer i EES. For å etablere dette, tilføyes det i formålsbestemmelsene til EES-forordningen og ETIAS-forordningen at begge rettsakter også har til formål å oppfylle hverandres respektive formål. Opplysninger som kan innhentes av grensekontrollmyndighetene skal nå flyttes automatisk inn i EES. Informasjonsmengden som overføres utvides noe, ved at også saksnummer, tillatelsens utløpsdato og opplysninger om hvorvidt søkeren har en særlig status gjennom familiære bånd, også overføres til EES. Det åpnes også for at det kan gjennomføres automatisert behandling for å kontrollere om en person som anmoder om sletting av fremreisetillatelse allerede er registrert som utreist i EES, som er et vilkår for slik sletting.
Endringsforordningen tilføyer to nye meldingskategorier i SIS som vil kunne gi treff ved søknad om fremreisetillatelse: Meldinger om retur og meldinger om undersøkelseskontroll. Det etableres saksbehandlingsregler for oppfølging av treff mot meldinger om retur for å vurdere sletting i SIS, samt om vurderingen av treffets betydning for søknaden om fremreisetillatelse. Ved å inkludere meldinger om retur, sikres det at forpliktelsen til å slette meldinger om retur når vedkommende har forlatt Schengen-området, lettere kan overholdes av myndighetene. Meldinger om undersøkelseskontroll er en mellomkategori av diskret kontroll og målrettet kontroll, som det allerede skal gis meldinger om fra SIS til ETIAS. Det er mulig å inndra fremreisetillatelser i ETIAS etter at det er registrert nye meldinger i SIS om nektet innreise og opphold, eller nye meldinger om et reisedokument som er rapportert tapt, stjålet, urettmessig tilegnet eller ugyldiggjort. For at SIS automatisk skal informere det sentrale ETIAS-systemet om slike nye meldinger, opprettes en automatisk prosess mellom SIS og ETIAS. Det gis regler som begrenser synbarheten og tilgangen til treff mot meldinger i SIS.
For øvrig gjøres det noen spredte endringer. I søknader om fremreisetillatelse skal søkerens opplysninger om tidligere straffedommer dekke en noe lengre periode tilbake i tid, ved at tidsangivelsen utvides fra ti til 15 år for straffbare handlinger, og fra 20 til 25 år for terrorhandlinger. I EES-forordningen og ETIAS-forordningen suppleres og fastsettes det nærmere regler om tilbakefallsprosedyrer om fritak fra undersøkelsesplikt, varsling og operativ støtte, dersom det er teknisk umulig for transportører å få tilgang til EES og ETIAS gjennom deres nettjeneste. Reglene for oppfølging av treff etter automatiserte søk mot ETIAS-overvåkingslisten endres, slik at treff ikke sendes til den sentrale ETIAS-enheten for vurdering, men direkte fra det sentrale ETIAS-systemet til vedkommende nasjonale ETIAS-enhet. Ved konsultasjoner mellom nasjonale ETIAS-enheter, skal forhåndsuttalelser kun være synlige og tilgjengelige for de involverte enhetene. Endringsforordningen presiserer at under klagebehandling etter ETIAS-forordningen, skal klageren gis tilgang til opplysninger i søknadsdokumentene i henhold til personvernbestemmelsen i ETIAS-forordningen artikkel 56. Fullmaktsbestemmelsene som gis til å fastsette delegerte rettsakter og gjennomføringsrettsakter gjelder avgrensede tema av teknisk karakter.
Endringene i interoperabilitetsforordningen for grense og visum ((EU) 2019/817) tilsvarer endringene i forordning (EU) 2019/818, som er omtalt i forrige punkt.
4.5 Vurdering og tilrådning
Gjennom tilknytningsavtalen til Schengen-samarbeidet er Norge del av et område med felles yttergrense og indre reisefrihet. Schengen-regelverket om politisamarbeid, rettslig samarbeid i straffesaker, visum og personkontroll ved de ytre grensene, skal samlet sett kompensere for utfordringer som følger av at kontrollen er opphevet ved de indre grensene.
Interoperabilitetsforordningene og de øvrige forordningene omtalt over, er del av videreutviklingen av nevnte Schengen-regelverk. Norge har på vanlig måte deltatt i forhandlingene om regelverket på alle nivåer i rådsstrukturen. I henhold til Norges avtale med EU om tilknytning til Schengen-samarbeidet har Norge rett og plikt til å anvende forordningene, likevel slik at Norge på selvstendig grunnlag avgjør om innholdet i rettsakter som er en videreutvikling av Schengen-regelverket skal godtas og innarbeides i norsk rett.
Etablering av interoperabilitetsløsningen letter nasjonale grense-, migrasjons- og rettshåndhevende myndigheters innhenting av informasjon fra ulike EU-informasjonssystemer de allerede har tilgang til, optimaliserer norske myndigheters bruk av systemene, og effektiviserer deres oppgaveutførelse knyttet til migrasjon, grensekontroll og kriminalitetsbekjempelse.
Det er i Norges interesse at yttergrensekontrollen i Schengen-området er effektiv. De nye rettsaktene effektiviserer samarbeidet på områder som dreier seg om grensekontroll, politi og migrasjon. Bruk av falske identiteter og misbruk av andres identitet er en alvorlig sikkerhets- og kriminalitetsutfordring innenfor Schengen-området. Interoperabilitetsløsningen er et verktøy for å avdekke identitetsbedragerier, og den forventes å ville bidra betydelig til økt samfunnssikkerhet i Schengen-området. Den understøtter også den enkeltes rett til vern mot å få sin identitet misbrukt.
De to endringsforordningene, (EU) 2021/1150 og (EU) 2021/1152, etablerer nødvendige regler for interoperabilitet mellom ETIAS og de øvrige informasjonssystemene. Automatiserte søk mot opplysninger i andre systemer er en forutsetning for behandlingen av søknader om fremreisetillatelser etter ETIAS-forordningen.
VIS er en sentral del av Schengen-samarbeidet for visum og grenser. Utvidelsen av systemet til også å omfatte visum for langvarig opphold og oppholdstillatelser, og sammenkoblingen med andre EU-informasjonssystemer, vil bidra til bedre beslutningsstøtte og mer effektiv saksbehandling, og styrke sikkerheten i Schengen-området, herunder i Norge. Utvidelsen kan også bidra til identifisering av sårbare personer, herunder barn, samt å motvirke irregulær migrasjon. Misbruk av lovlige migrasjonsveier til Schengen-området kan forhindres ved hjelp av endringene i VIS, for eksempel kan man unngå at tredjelandsborgere får etablert seg med flere ulike identiteter i Schengen-området.
Samlet sett innebærer de nye rettsaktene at Schengens yttergrenser og områdets indre sikkerhet blir styrket ved at det legges til rette for en mer effektiv kontroll av registeropplysninger og en mer effektiv innsats mot identitetsbedragerier, både nasjonalt og på tvers av indre Schengen-grenser.
De registrertes rett til innsyn og retting av opplysninger, samt lengste lagringstid, er regulert i de underliggende rettsaktene, supplert av interoperabilitetsforordningene. Forordningene regulerer hvordan behandlingsansvar skal ivaretas i medlemsstatene, og begrenser tilgangen til informasjon til autorisert myndighetspersonell. Retten til vern av personopplysninger og personvern vurderes som balansert mot Schengen-statenes behov for informasjon om personer som ønsker å reise inn i og oppholde seg i Schengen-området.
Selv om Norge i prinsippet skal vurdere selvstendig om rettsakter om endring av Schengen-regelverket skal godtas, er rettsaktene grunnleggende for Norges Schengen-medlemskap.
Justis- og beredskapsdepartementet tilrår godtakelse av forordningene (EU) 2019/817, (EU) 2019/818, (EU) 2021/1133, (EU) 2021/1134, (EU) 2021/1150 og (EU) 2021/1152.