(EU) 2021/2222Nařízení Komise v přenesené pravomoci (EU) 2021/2222 ze dne 30. září 2021, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2019/818 o podrobná pravidla pro fungování centrálního úložiště pro podávání zpráv a statistiky
Publikováno: | Úř. věst. L 448, 15.12.2021, s. 1-6 | Druh předpisu: | Nařízení v přenesené pravomoci |
Přijato: | 30. září 2021 | Autor předpisu: | Evropská komise |
Platnost od: | 4. ledna 2022 | Nabývá účinnosti: | 4. ledna 2022 |
Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
15.12.2021 |
CS |
Úřední věstník Evropské unie |
L 448/1 |
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2021/2222
ze dne 30. září 2021,
kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2019/818 o podrobná pravidla pro fungování centrálního úložiště pro podávání zpráv a statistiky
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2019/818 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti policejní a justiční spolupráce, azylu a migrace a kterým se mění nařízení (EU) 2018/1726, (EU) 2018/1862 a (EU) 2019/816 (1), a zejména na čl. 39 odst. 5 uvedeného nařízení,
vzhledem k těmto důvodům:
(1) |
Nařízení (EU) 2019/818 spolu s nařízením Evropského parlamentu a Rady (EU) 2019/817 (2) stanoví rámec pro zajištění interoperability mezi informačními systémy EU v oblasti hranic, víz, policejní a justiční spolupráce, azylu a migrace. |
(2) |
Tento rámec zahrnuje řadu složek a nástrojů na podporu interoperability, včetně centrálního úložiště pro podávání zpráv a statistiky (dále jen „centrální úložiště“). Centrální úložiště uchovává anonymizované údaje získané ze základních informačních systémů EU, sdílené služby pro porovnávání biometrických údajů, společného úložiště údajů o totožnosti a z detektoru vícenásobné totožnosti, aby bylo možné poskytovat mezisystémové statistické zprávy pro politické a provozní účely a pro účely kvality údajů. |
(3) |
Evropská agentura pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (dále jen „eu-LISA“) je odpovědná za zřízení, provedení a provozování centrálního úložiště a za jeho provozní řízení. |
(4) |
Aby mohlo centrální úložiště poskytovat mezisystémové statistické údaje, je nutné stanovit podrobná pravidla pro jeho provoz, včetně zvláštních norem pro zpracování osobních údajů a bezpečnostních pravidel. |
(5) |
Aby nebylo možné na základě statistických údajů v centrálním úložišti identifikovat jednotlivce, měla by agentura eu-LISA v rámci své architektury vyvinout nástroj pro anonymizaci údajů. Proces anonymizace by měl být automatizovaný. |
(6) |
Kontrolovaný a zabezpečený přístup k nahlížení do údajů a statistik v centrálním úložišti by měl být umožněn pouze zmocněným pracovníkům příslušných orgánů, institucí a agentur Unie. Za tímto účelem by agentura eu-LISA měla jako součást své architektury vyvinout nástroj pro podávání zpráv. Zaměstnanci agentury eu-LISA by neměli mít přímý přístup k žádným osobním údajům uloženým v informačních systémech EU nebo složkám interoperability. |
(7) |
Aby bylo možné sledovat vzájemné porovnávání souborů s údaji o totožnosti v rámci odpovídajících informačních systémů EU nebo mezi nimi pro příslušné statistické účely, mělo by centrální úložiště uchovávat jedinečné identifikační číslo. Toto číslo by nemělo být možné použít k získání informací ze souborů s údaji o totožnosti. |
(8) |
Technické řešení provozující centrální úložiště by mělo být zavedeno v technických prostorách agentury eu-LISA a na záložním místě, aby byla zajištěna jeho nepřetržitá dostupnost. |
(9) |
Jelikož nařízení (EU) 2019/818 navazuje na schengenské acquis, oznámilo Dánsko, že v souladu s článkem 4 Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie, provedlo nařízení (EU) 2019/818 ve svém vnitrostátním právu. Toto nařízení je pro něj tudíž závazné. |
(10) |
Toto nařízení rozvíjí ta ustanovení schengenského acquis, kterých se neúčastní Irsko (3). Irsko se tedy nepodílí na jeho přijímání a toto nařízení pro něj není závazné ani použitelné. |
(11) |
Pokud jde o Island a Norsko, rozvíjí toto nařízení ta ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis (4), která spadají do oblasti uvedené v čl. 1 bodě A rozhodnutí Rady 1999/437/ES (5). |
(12) |
Pokud jde o Švýcarsko, rozvíjí toto nařízení ta ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (6), která spadají do oblasti uvedené v čl. 1 bodě A rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2008/146/ES (7). |
(13) |
Pokud jde o Lichtenštejnsko, rozvíjí toto nařízení ta ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k Dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (8), která spadají do oblasti uvedené v čl. 1 bodě A rozhodnutí Rady 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2011/350/EU (9). |
(14) |
Pokud jde o Kypr, Bulharsko, Rumunsko a Chorvatsko, představuje toto nařízení akt navazující na schengenské acquis nebo s ním jinak související ve smyslu čl. 3 odst. 1 aktu o přistoupení z roku 2003, čl. 4 odst. 1 aktu o přistoupení z roku 2005 a čl. 4 odst. 1 aktu o přistoupení z roku 2011. |
(15) |
V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (10) byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 17. června 2021, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Definice
Pro účely tohoto nařízení se rozumí:
1) |
„statistickými údaji“ údaje, které jsou anonymizovány a použity výhradně pro účely vypracování statistických zpráv podle nařízení Evropského parlamentu a Rady (EU) 2017/2226 (11), (EU) 2018/1240 (12), (EU) 2018/1860 (13), (EU) 2018/1861 (14), (EU) 2018/1862 (15) a (EU) 2019/816 (16); |
2) |
„(statistickými) zprávami“ organizovaná sada statistických údajů, kterou centrální úložiště vytváří automatizovaným způsobem podle souboru předem stanovených pravidel a která je uložena v centrálním úložišti; |
3) |
„přizpůsobitelnými zprávami“ statistické zprávy, které jsou získávány na základě statistických údajů obsažených v centrálním úložišti v souladu se zvláštními pravidly stanovenými účelově uživatelem a jsou uložené v centrálním úložišti; |
4) |
„kritickými údaji o totožnosti“ kterékoli z následujících údajů nebo jejich kombinace, na jejichž základě lze jednotlivce identifikovat:
|
Článek 2
Informace, které mají být obsaženy v centrálním úložišti
1. Údaje uvedené v čl. 39 odst. 2 nařízení (EU) 2019/818 se zpřístupní a uloží do centrálního úložiště v souladu s tímto nařízením.
2. Centrální úložiště obsahuje statistické údaje včetně zpráv o používání systému pro účely sledování fungování složek interoperability uvedených v článku 62 nařízení (EU) 2019/818.
3. Centrální úložiště obsahuje technické zprávy, aby agentura eu-LISA zajistila sledování vývoje a fungování složek interoperability v souladu s čl. 74 odst. 1 nařízení (EU) 2019/818.
4. Centrální úložiště uchovává jedinečné identifikační číslo, které umožňuje sledovat vzájemné porovnávání souborů s údaji o totožnosti v rámci příslušných informačních systémů EU nebo mezi nimi pro statistické účely. Toto identifikační číslo nelze použít k vyhledávání základních souborů s údaji o totožnosti.
5. Řádně zmocnění pracovníci příslušných orgánů uvedených v čl. 39 odst. 2 nařízení (EU) 2019/818 mohou prostřednictvím centrálního úložiště získat:
a) |
zprávy podle článku 74 nařízení (EU) 2018/1862, které obsahují následující statistické údaje o záznamech uchovaných v Schengenském informačním systému:
|
b) |
zprávy v souladu s článkem 32 nařízení (EU) 2019/816 obsahující následující statistické údaje o záznamech uchovávaných v Evropském informačním systému rejstříků trestů pro státní příslušníky třetích zemí (ECRIS-TCN) a referenčního provedení ECRIS:
|
6. Technické zprávy uvedené v odstavci 2 obsahují statistické údaje o používání systému, dostupnosti, incidentech, výkonnosti, biometrické přesnosti, kvalitě údajů a v příslušných případech o nedokončených transakcích.
7. Zprávy o provozu, které centrální úložiště zpracovává, musí být přizpůsobitelné uživatelem s cílem umožnit filtrování nebo seskupování údajů pomocí nástroje pro podávání zpráv, který se zpřístupní společně s centrálním úložištěm.
8. Zpřístupní se katalog zpráv. Žádosti o nové zprávy nebo změny stávajících zpráv se řídí zásadami řízení změn agentury eu-LISA.
Článek 3
Úložiště údajů a nástroj pro podávání zpráv
1. Centrální úložiště využívá technické řešení, které uchovává údaje získané ze základních informačních systémů EU a složek interoperability.
2. Technické řešení obsahuje nástroj pro podávání zpráv, který je nastaven pro vytváření, uchovávání a provádění zpráv a přizpůsobitelných zpráv uvedených v článku 2.
3. Nástroj pro podávání zpráv musí umožňovat vytváření zpráv o provozu a technických zpráv a jejich získání uživatelem.
4. Stanoví-li tak právo Unie, musí nástroj pro podávání zpráv umožňovat poskytování mezisystémových statistických údajů a analytických zpráv pro politické a provozní účely a pro účely kvality údajů.
5. Všechny zprávy musí být spravovány v rámci technického řešení. V technickém řešení musí být zavedena vhodná bezpečnostní opatření a opatření pro zajištění integrity, aby byly splněny požadavky bezpečnostního plánu v souladu s čl. 42 odst. 3 nařízení (EU) 2019/818.
6. Technické řešení musí být zavedeno v technických prostorách agentury eu-LISA a na záložním místě.
Článek 4
Získávání údajů
Centrální úložiště získává z informačních systémů EU kopie údajů uvedených v čl. 39 odst. 2 a čl. 62 odst. 1, 2 a 3 nařízení (EU) 2019/818 pouze pro čtení, aby mohlo vytvářet statistiky a zprávy uvedené v článcích 39 a 62 uvedeného nařízení. Údaje se získávají pravidelně, alespoň jednou denně, prostřednictvím jednosměrné extrakce.
Článek 5
Nástroj pro anonymizaci údajů
1. Údaje získané ze základních informačních systémů EU a složek interoperability se anonymizují pomocí nástroje pro anonymizaci údajů. V centrálním úložišti se ukládají pouze anonymizované údaje.
2. Nástroj pro anonymizaci údajů rozpoznává kritické údaje o totožnosti v informačních systémech EU a před uložením statistických údajů do centrálního úložiště je pomocí automatizovaného procesu anonymizuje. Proces anonymizace je nevratný.
Článek 6
Přístup
1. Přístup řádně zmocněných pracovníků do centrálního úložiště se uděluje a řídí v souladu s článkem 74 nařízení (EU) 2018/1862 a článkem 32 nařízení (EU) 2019/816.
2. Centrální úložiště je přístupné členským státům, Komisi a agenturám Unie v souladu s jejich přístupovými právy podle práva Unie prostřednictvím zabezpečeného síťového připojení (TESTA).
3. Přístup k nástroji podle čl. 3 odst. 2 tohoto nařízení smí být udělen pouze řádně zmocněným pracovníkům v souladu s čl. 39 odst. 2 a čl. 62 odst. 1 až 5 nařízení (EU) 2019/818.
4. Příslušné orgány mají přístup do centrálního úložiště prostřednictvím uživatelských profilů. Seznam uživatelských profilů spravuje agentura eu-LISA. Jeden orgán může mít v závislosti na svých přístupových právech několik profilů.
5. Přístup do centrálního úložiště musí být zaprotokolován. Zaprotokolované informace musí obsahovat alespoň:
a) |
časové razítko; |
b) |
orgán; |
c) |
druh dotčené zprávy. |
6. Na vnitrostátní úrovni a na úrovni Komise, Evropské agentury pro pohraniční a pobřežní stráž a Europolu se uchovávají protokoly umožňující identifikaci uživatelů přistupujících k centrálnímu úložišti. Protokoly o všech přístupových operacích spravuje agentura eu-LISA. Protokoly jsou ukládány v centrálním úložišti po dobu jednoho roku, poté jsou automaticky smazány.
7. Veškeré konfliktní role v rámci centrálního úložiště musí být odhaleny a přístup musí být udělen v souladu s následujícími zásadami:
a) |
„vědět jen to nejnutnější“; |
b) |
minimální přístupová práva; |
c) |
oddělení funkcí. |
8. Zprávy o kvalitě údajů vydávané podle čl. 15 odst. 4 nařízení (EU) 2018/1862 obsahují nástroj, pomocí něhož mohou členské státy poskytnout agentuře eu-LISA zpětnou vazbu ohledně nápravy zjištěných problémů.
Článek 7
Zpracovatel údajů
Pro účely anonymizace osobních údajů podle článku 5 je zpracovatelem údajů ve smyslu čl. 3 bodu 12 nařízení (EU) 2018/1725 agentura eu-LISA.
Článek 8
Další aspekty ochrany a zabezpečení údajů
1. Údaje uložené v centrálním úložišti se smí využívat výhradně pro účely podávání zpráv a statistik.
2. Agentura eu-LISA zavede nezbytná bezpečnostní opatření k zajištění integrity údajů v centrálním úložišti. Veškeré změny údajů musí být sledovatelné pro účely auditů.
Článek 9
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné v členských státech v souladu se Smlouvami.
V Bruselu dne 30. září 2021.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 135, 22.5.2019, s. 85.
(2) Nařízení Evropského parlamentu a Rady (EU) 2019/817 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV (Úř. věst. L 135, 22.5.2019, s. 27).
(3) Toto nařízení nespadá do oblasti působnosti opatření stanovených v rozhodnutí Rady 2002/192/ES ze dne 28. února 2002 o žádosti Irska, aby se na ně vztahovala některá ustanovení schengenského acquis (Úř. věst. L 64, 7.3.2002, s. 20).
(4) Úř. věst. L 176, 10.7.1999, s. 36.
(5) Rozhodnutí Rady 1999/437/ES ze dne 17. května 1999 o některých opatřeních pro uplatňování dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis (Úř. věst. L 176, 10.7.1999, s. 31).
(6) Úř. věst. L 53, 27.2.2008, s. 52.
(7) Rozhodnutí Rady 2008/146/ES ze dne 28. ledna 2008 o uzavření Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis jménem Evropského společenství (Úř. věst. L 53, 27.2.2008, s. 1).
(8) Úř. věst. L 160, 18.6.2011, s. 21.
(9) Rozhodnutí Rady 2011/350/EU ze dne 7. března 2011 o uzavření Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis jménem Evropské unie, pokud jde o zrušení kontrol na vnitřních hranicích a pohyb osob (Úř. věst. L 160, 18.6.2011, s. 19).
(10) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
(11) Nařízení Evropského parlamentu a Rady (EU) 2017/2226 ze dne 30. listopadu 2017, kterým se zřizuje Systém vstupu/výstupu (EES) pro registraci údajů o vstupu a výstupu a údajů o odepření vstupu, pokud jde o státní příslušníky třetích zemí překračující vnější hranice členských států, kterým se stanoví podmínky přístupu do systému EES pro účely vymáhání práva a kterým se mění Úmluva k provedení Schengenské dohody a nařízení (ES) č. 767/2008 a (EU) č. 1077/2011 (Úř. věst. L 327, 9.12.2017, s. 20).
(12) Nařízení Evropského parlamentu a Rady (EU) 2018/1240 ze dne 12. září 2018, kterým se zřizuje Evropský systém pro cestovní informace a povolení (ETIAS) a kterým se mění nařízení (EU) č. 1077/2011, (EU) č. 515/2014, (EU) 2016/399, (EU) 2016/1624 a (EU) 2017/2226 (Úř. věst. L 236, 19.9.2018, s. 1).
(13) Nařízení Evropského parlamentu a Rady (EU) 2018/1860 ze dne 28. listopadu 2018 o využívání Schengenského informačního systému při navracení neoprávněně pobývajících státních příslušníků třetích zemí (Úř. věst. L 312, 7.12.2018, s. 1).
(14) Nařízení Evropského parlamentu a Rady (EU) 2018/1861 ze dne 28. listopadu 2018 o zřízení, provozu a využívání Schengenského informačního systému (SIS) v oblasti hraničních kontrol, o změně Úmluvy k provedení Schengenské dohody a o změně a zrušení nařízení (ES) č. 1987/2006 (Úř. věst. L 312, 7.12.2018, s. 14).
(15) Nařízení Evropského parlamentu a Rady (EU) 2018/1862 ze dne 28. listopadu 2018 o zřízení, provozu a využívání Schengenského informačního systému (SIS) v oblasti policejní spolupráce a justiční spolupráce v trestních věcech, o změně a o zrušení rozhodnutí Rady 2007/533/SVV a o zrušení nařízení Evropského parlamentu a Rady (ES) č. 1986/2006 a rozhodnutí Komise 2010/261/EU (Úř. věst. L 312, 7.12.2018, s. 56).
(16) Nařízení Evropského parlamentu a Rady (EU) 2019/816 ze dne 17. dubna 2019, kterým se zřizuje centralizovaný systém pro identifikaci členských států, jež mají informace o odsouzeních státních příslušníků třetích zemí a osob bez státní příslušnosti (ECRIS-TCN), na doplnění Evropského informačního systému rejstříků trestů, a kterým se mění nařízení (EU) 2018/1726 (Úř. věst. L 135, 22.5.2019, s. 1).