Akt prawny
obowiązujący
Wersja aktualna od 2022-01-04
Wersja aktualna od 2022-01-04
obowiązujący
Alerty
ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2021/2223
z dnia 30 września 2021 r.
uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/817 o szczegółowe zasady funkcjonowania centralnego repozytorium sprawozdawczo-statystycznego
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/817 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze granic i polityki wizowej oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726, (UE) 2018/1861 oraz decyzje Rady 2004/512/WE i 2008/633/WSiSW (1), w szczególności jego art. 39 ust. 5,
a także mając na uwadze, co następuje:
| (1) | Rozporządzenie (UE) 2019/817 wraz z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/818 (2) ustanawia ramy mające zapewnić interoperacyjność systemów informacyjnych UE w obszarze granic, polityki wizowej, współpracy policyjnej i sądowej oraz azylu i migracji. |
| (2) | Ramy te obejmują szereg elementów i narzędzi wspierających interoperacyjność, w tym centralne repozytorium sprawozdawczo-statystyczne ("centralne repozytorium"). W centralnym repozytorium przechowywane są dane zanonimizowane pozyskane z odpowiednich systemów informacyjnych UE, wspólnego systemu porównywania danych biometrycznych, wspólnego repozytorium danych umożliwiających identyfikację oraz detektora wielokrotnych tożsamości, aby zapewniać międzysystemową sprawozdawczość statystyczną służącą strategiom politycznym oraz celom operacyjnym i związanym z jakością danych. |
| (3) | Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA) jest odpowiedzialna za ustanowienie, wdrożenie i hosting centralnego repozytorium sprawozdawczo-statystycznego oraz zarządzanie operacyjne tym repozytorium. |
| (4) | Aby umożliwić, by centralne repozytorium zapewniało międzysystemowe dane statystyczne, konieczne jest określenie szczegółowych zasad jego funkcjonowania, w tym szczegółowych standardów dotyczących przetwarzania danych osobowych, oraz zasad bezpieczeństwa. |
| (5) | W celu uniemożliwienia identyfikacji osób fizycznych na podstawie danych statystycznych w centralnym repozytorium eu-LISA powinna opracować w ramach swojej struktury narzędzie anonimizacji danych. Proces anonimizacji powinien być zautomatyzowany. |
| (6) | Kontrolowany i zabezpieczony dostęp należy przyznać tylko upoważnionym pracownikom właściwych organów oraz instytucji i agencji Unii, tak aby mogli przeglądać dane i statystyki w centralnym repozytorium. W tym celu eu-LISA powinna opracować narzędzie sprawozdawcze w ramach swojej struktury. Personel eu-LISA nie powinien mieć bezpośredniego dostępu do żadnych danych osobowych przechowywanych w systemach informacyjnych UE ani w elementach interoperacyjności. |
| (7) | Aby śledzić analizę krzyżową plików tożsamości wewnątrz odpowiednich systemów informacyjnych UE lub między nimi do właściwych celów statystycznych, centralne repozytorium powinno przechowywać niepowtarzalny numer referencyjny. Nie powinno być możliwe użycie tego numeru do pozyskania informacji z plików tożsamości. |
| (8) | Rozwiązanie techniczne w zakresie hostingu centralnego repozytorium powinno zostać wdrożone w głównej lokalizacji technicznej eu-LISA oraz w lokalizacji zapasowej, aby zapewnić stałą dostępność. |
| (9) | Zważywszy, że rozporządzenie (UE) 2019/817 powstało w oparciu o dorobek Schengen, zgodnie z art. 4 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do Traktatu o Unii Europejskiej oraz do Traktatu o funkcjonowaniu Unii Europejskiej, Dania powiadomiła o wdrożeniu rozporządzenia (UE) 2019/817 do swojego prawa krajowego. Jest ona zatem związana niniejszym rozporządzeniem. |
| (10) | Niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, które nie mają zastosowania do Irlandii (3). Irlandia nie uczestniczy w związku z tym w jego przyjęciu i nie jest nim związana ani go nie stosuje. |
| (11) | W odniesieniu do Islandii i Norwegii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (4), które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE (5). |
| (12) | W odniesieniu do Szwajcarii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (6), które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE w związku z art. 3 decyzji Rady 2008/146/WE (7). |
| (13) | W odniesieniu do Liechtensteinu niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (8), które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE w związku z art. 3 decyzji Rady 2011/350/UE (9). |
| (14) | W odniesieniu do Cypru, Bułgarii, Rumunii i Chorwacji niniejsze rozporządzenie stanowi akt oparty na dorobku Schengen lub w inny sposób z nim związany odpowiednio w rozumieniu art. 3 ust. 1 Aktu przystąpienia z 2003 r., art. 4 ust. 1 Aktu przystąpienia z 2005 r. oraz art. 4 ust. 1 Aktu przystąpienia z 2011 r. |
| (15) | Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (10) skonsultowano się z Europejskim Inspektorem Ochrony Danych; swoją opinię wydał on w dniu 17 czerwca 2021 r., |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
| 1) | "dane statystyczne" oznaczają dane, które są zanonimizowane i wykorzystywane wyłącznie do celów sporządzania sprawozdań statystycznych na podstawie rozporządzenia (UE) 2017/2226 (11), rozporządzenia (UE) 2018/1240 (12), rozporządzenia (UE) 2018/1860 (13), rozporządzenia (UE) 2018/1861 (14), rozporządzenia (UE) 2018/1862 (15) oraz rozporządzenia (UE) 2019/816 (16) Parlamentu Europejskiego i Rady; |
| 2) | "sprawozdanie (statystyczne)" oznacza zorganizowany zbiór danych statystycznych stworzony przez centralne repozytorium w sposób zautomatyzowany zgodnie z zestawem wcześniej określonych zasad i przechowywany w centralnym repozytorium; |
| 3) | "sprawozdanie sprofilowane" oznacza sprawozdanie statystyczne stanowiące wyciąg z danych statystycznych zawartych w centralnym repozytorium zgodnie ze szczegółowymi zasadami określonymi ad hoc przez użytkownika i przechowywane w centralnym repozytorium; |
| 4) | "krytyczne dane dotyczące tożsamości" oznaczają dowolne z następujących danych lub połączenie tych danych, na podstawie których możliwa jest identyfikacja osób fizycznych:
|
Artykuł 2
Informacje, jakie mają być zawarte w centralnym repozytorium
1. Dane, o których mowa w art. 39 ust. 2 rozporządzenia (UE) 2019/817, są udostępniane i przechowywane w centralnym repozytorium zgodnie z niniejszym rozporządzeniem.
2. Centralne repozytorium zawiera dane statystyczne, w tym sprawozdania dotyczące wykorzystania systemu do celów monitorowania funkcjonowania elementów interoperacyjności, o których mowa w art. 66 rozporządzenia (UE) 2019/817.
3. Centralne repozytorium zawiera sprawozdania techniczne, aby zapewnić monitorowanie przez eu-LISA rozwoju i funkcjonowania elementów interoperacyjności zgodnie z art. 78 ust. 1 rozporządzenia (UE) 2019/817.
4. W centralnym repozytorium przechowuje się niepowtarzalny numer referencyjny umożliwiający śledzenie analizy krzyżowej plików tożsamości w obrębie odpowiednich systemów informacyjnych UE lub między nimi do celów statystycznych. Nie może być możliwe użycie tego numeru referencyjnego do pozyskania odnośnych plików tożsamości.
5. Centralne repozytorium umożliwia należycie upoważnionym pracownikom właściwych organów, o których mowa w art. 39 ust. 2 rozporządzenia (UE) 2019/817, uzyskanie następujących informacji:
| a) | sprawozdań na podstawie art. 63 rozporządzenia (UE) 2017/2226 zawierających następujące statystyki dotyczące zapisów w systemie wjazdu/wyjazdu:
|
| b) | sprawozdań na podstawie art. 84 rozporządzenia (UE) 2018/1240 zawierających następujące statystyki dotyczące zapisów w europejskim systemie informacji o podróży oraz zezwoleń na podróż (ETIAS):
|
| c) | sprawozdań na podstawie art. 33 ust. 2 rozporządzenia (UE) 2018/1240 zawierających następujące statystyki:
|
| d) | sprawozdań na podstawie art. 16 rozporządzenia (UE) 2018/1860 zawierających dzienne, miesięczne i roczne statystyki pokazujące liczbę rekordów przypadających na daną kategorię wpisów, zarówno w odniesieniu do poszczególnych państw członkowskich, jak i w ujęciu zagregowanym; |
| e) | sprawozdań na podstawie rozporządzenia (UE) 2018/1861 zawierających następujące statystyki dotyczące rekordów w Systemie Informacyjnym Schengen:
|
6. Sprawozdania techniczne, o których mowa w ust. 2, zawierają statystyki dotyczące wykorzystania systemu, dostępności, incydentów, wydajności, prawidłowości biometrycznej, jakości danych oraz w stosownych przypadkach operacji w toku.
7. Użytkownik ma możliwość sprofilowania sprawozdań z działania generowanych przez centralne repozytorium, aby można było filtrować lub grupować dane za pomocą narzędzia sprawozdawczego udostępnionego wraz z centralnym repozytorium.
8. Udostępnia się katalog sprawozdań. Do wniosków o nowe sprawozdania lub zmiany w istniejących sprawozdaniach stosuje się politykę zarządzania zmianami eu-LISA.
Artykuł 3
Repozytorium danych i narzędzie sprawozdawcze
1. Centralne repozytorium wykorzystuje rozwiązanie techniczne w zakresie hostingu danych pozyskanych z odpowiednich systemów informacyjnych UE i elementów interoperacyjności.
2. Wspomniane rozwiązanie techniczne obejmuje narzędzie sprawozdawcze skonfigurowane do celów tworzenia, przechowywania i obsługi sprawozdań i sprofilowanych sprawozdań, o których mowa w art. 2.
3. Narzędzie sprawozdawcze umożliwia tworzenie sprawozdań z działania i sprawozdań technicznych oraz ich pobranie przez użytkownika.
4. Narzędzie sprawozdawcze umożliwia zapewnienie międzysystemowych danych statystycznych i sprawozdań analitycznych służących strategiom politycznym oraz celom operacyjnym i związanym z jakością danych w przypadkach przewidzianych prawem Unii.
5. Zarządzanie wszystkimi sprawozdaniami odbywa się w ramach wspomnianego rozwiązania technicznego. W rozwiązaniu technicznym wprowadza się odpowiednie środki bezpieczeństwa i integralności, aby spełnić wymogi planu bezpieczeństwa przewidzianego w art. 42 ust. 3 rozporządzenia (UE) 2019/817.
6. Rozwiązanie techniczne implementuje się w głównej lokalizacji technicznej eu-LISA oraz w lokalizacji zapasowej.
Artykuł 4
Pobieranie danych
Centralne repozytorium pozyskuje z systemów informacyjnych UE przeznaczone tylko do odczytu kopie danych, o których mowa w art. 39 ust. 2 oraz art. 66 ust. 1, 2 i 3 rozporządzenia (UE) 2019/817, do celów sporządzania statystyk i sprawozdań, o których mowa w art. 39 i 66 tego rozporządzenia. Dane pozyskiwane są regularnie, co najmniej raz dziennie, przez jednokierunkowe pobieranie danych.
Artykuł 5
Narzędzie anonimizacji danych
1. Dane pobrane z odpowiednich systemów informacyjnych UE i elementów interoperacyjności są anonimizowane przy użyciu narzędzia anonimizacji danych. W centralnym repozytorium przechowuje się tylko dane zanonimizowane.
2. Narzędzie anonimizacji danych identyfikuje krytyczne dane dotyczące tożsamości w systemach informacyjnych UE i anonimizuje je w drodze zautomatyzowanego procesu, zanim dane statystyczne będą przechowywane w centralnym repozytorium. Proces anonimizacji jest nieodwracalny.
Artykuł 6
Dostęp
1. Udzielanie dostępu do centralnego repozytorium należycie upoważnionym pracownikom oraz zarządzanie tym dostępem odbywa się zgodnie z art. 63 rozporządzenia (UE) 2017/2226, art. 84 rozporządzenia (UE) 2018/1240, art. 60 rozporządzenia (UE) 2018/1861 oraz art. 16 rozporządzenia (UE) 2018/1860.
2. Dostęp do centralnego repozytorium mają państwa członkowskie, Komisja i agencje Unii zgodnie z przysługującymi im prawami dostępu przewidzianymi prawem Unii, za pośrednictwem bezpiecznego połączenia sieciowego (TESTA).
3. Tylko należycie upoważnionym pracownikom właściwych organów zgodnie z art. 39 ust. 2 i art. 66 ust. 1-5 rozporządzenia (UE) 2019/817 udziela się dostępu do narzędzia, o którym mowa w art. 3 ust. 2 tego rozporządzenia.
4. Właściwe organy korzystają z dostępu do centralnego repozytorium za pomocą profili użytkowników. Wykaz tych profili użytkowników przechowuje eu-LISA. Jeden organ może mieć kilka profili w zależności od posiadanych praw dostępu.
5. Dostęp do centralnego repozytorium jest rejestrowany. Zarejestrowane informacje zawierają co najmniej:
| a) | znacznik czasu; |
| b) | określenie organu; |
| c) | rodzaj danego sprawozdania. |
6. Rejestry umożliwiające identyfikację użytkowników korzystających z dostępu do centralnego repozytorium są przechowywane na poziomie krajowym oraz przez Komisję, Europejską Agencję Straży Granicznej i Przybrzeżnej i Europol. eu-LISA przechowuje rejestry wszystkich operacji dostępu. Rejestry te są przechowywane w centralnym repozytorium przez jeden rok, po czym są automatycznie usuwane.
7. Wszelkie sprzeczne role wewnątrz centralnego repozytorium są identyfikowane i dostęp udzielany jest zgodnie z następującymi zasadami:
| a) | zasada wiedzy koniecznej; |
| b) | zasada "najniższych uprawnień"; |
| c) | zasada rozdzielenia obowiązków. |
8. Sprawozdania dotyczące jakości danych sporządzane na podstawie art. 15 ust. 4 rozporządzenia (UE) 2018/1861 zawierają narzędzie umożliwiające państwom członkowskim przekazywanie eu-LISA informacji zwrotnych na temat korekty napotkanych problemów.
Artykuł 7
Podmiot przetwarzający dane
Do celów anonimizacji danych na podstawie art. 5 eu-LISA jest podmiotem przetwarzającym dane w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725.
Artykuł 8
Pozostałe aspekty bezpieczeństwa i ochrony danych
1. Dane przechowywane w centralnym repozytorium są sprawdzane wyłącznie w celu sporządzania sprawozdań i statystyk.
2. eu-LISA wprowadza niezbędne środki ochrony, aby zapewnić integralność danych w centralnym repozytorium. Wszelkie zmiany danych muszą być możliwe do prześledzenia do celów kontroli.
Artykuł 9
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich zgodnie z Traktatami.
Sporządzono w Brukseli dnia 30 września 2021 r.
W imieniu Komisji
Ursula VON DER LEYEN
Przewodnicząca
(1) Dz.U. L 135 z 22.5.2019, s. 27.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/818 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze współpracy policyjnej i sądowej, azylu i migracji oraz zmieniające rozporządzenia (UE) 2018/1726, (UE) 2018/1862 i (UE) 2019/816 (Dz.U. L 135 z 22.5.2019, s. 85).
(3) Niniejsze rozporządzenie nie wchodzi w zakres środków ustanowionych w decyzji Rady 2002/192/WE z dnia 28 lutego 2002 r. dotyczącej wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen (Dz.U. L 64 z 7.3.2002, s. 20).
(4) Dz.U. L 176 z 10.7.1999, s. 36.
(5) Decyzja Rady 1999/437/WE z dnia 17 maja 1999 r. w sprawie niektórych warunków stosowania Układu zawartego przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącego włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 176 z 10.7.1999, s. 31).
(6) Dz.U. L 53 z 27.2.2008, s. 52.
(7) Decyzja Rady 2008/146/WE z dnia 28 stycznia 2008 r. w sprawie zawarcia w imieniu Wspólnoty Europejskiej Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia tego państwa we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 53 z 27.2.2008, s. 1).
(8) Dz.U. L 160 z 18.6.2011, s. 21.
(9) Decyzja Rady 2011/350/UE z dnia 7 marca 2011 r. w sprawie zawarcia w imieniu Unii Europejskiej Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen, odnoszącego się do zniesienia kontroli na granicach wewnętrznych i do przemieszczania się osób (Dz.U. L 160 z 18.6.2011, s. 19).
(10) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(11) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/2226 z dnia 30 listopada 2017 r. ustanawiające system wjazdu/wyjazdu (EES) w celu rejestrowania danych dotyczących wjazdu i wyjazdu obywateli państw trzecich przekraczających granice zewnętrzne państw członkowskich i danych dotyczących odmowy wjazdu w odniesieniu do takich obywateli oraz określające warunki dostępu do EES na potrzeby ochrony porządku publicznego i zmieniające konwencję wykonawczą do układu z Schengen i rozporządzenia (WE) nr 767/2008 i (UE) nr 1077/2011 (Dz.U. L 327 z 9.12.2017, s. 20).
(12) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1240 z dnia 12 września 2018 r. ustanawiające europejski system informacji o podróży oraz zezwoleń na podróż (ETIAS) i zmieniające rozporządzenia (UE) nr 1077/2011, (UE) nr 515/2014, (UE) 2016/399, (UE) 2016/1624 i (UE) 2017/2226 (Dz.U. L 236 z 19.9.2018, s. 1).
(13) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1860 z dnia 28 listopada 2018 r. w sprawie użytkowania Systemu Informacyjnego Schengen do celów powrotu nielegalnie przebywających obywateli państw trzecich (Dz.U. L 312 z 7.12.2018, s. 1).
(14) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1861 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie odpraw granicznych, zmieniające konwencję wykonawczą do układu z Schengen oraz zmieniające i uchylające rozporządzenie (WE) nr 1987/2006 (Dz.U. L 312 z 7.12.2018, s. 14).
(15) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmieniające i uchylające decyzję Rady 2007/533/WSiSW oraz uchylające rozporządzenie (WE) nr 1986/2006 Parlamentu Europejskiego i Rady i decyzję Komisji 2010/261/UE (Dz.U. L 312 z 7.12.2018, s. 56).
(16) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/816 z dnia 17 kwietnia 2019 r. ustanawiające scentralizowany system służący do ustalania państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (ECRIS-TCN) na potrzeby uzupełnienia europejskiego systemu przekazywania informacji z rejestrów karnych oraz zmieniające rozporządzenie (UE) 2018/1726 (Dz.U. L 135 z 22.5.2019, s. 1).
