Indeks 
 Poprzedni 
 Następny 
 Pełny tekst 
Procedura : 2017/0144(COD)
Przebieg prac nad dokumentem podczas sesji
Dokument w ramach procedury : A8-0018/2018

Teksty złożone :

A8-0018/2018

Debaty :

PV 11/03/2019 - 17
CRE 11/03/2019 - 17

Głosowanie :

PV 12/03/2019 - 9.15
CRE 12/03/2019 - 9.15

Teksty przyjęte :

P8_TA(2019)0149

Teksty przyjęte
PDF 395kWORD 102k
Wtorek, 12 marca 2019 r. - Strasburg Wersja tymczasowa
Scentralizowany system identyfikacji państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (ECRIS-TCN) ***I
P8_TA-PROV(2019)0149A8-0018/2018
Rezolucja
 Tekst skonsolidowany

Rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2019 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego scentralizowany system identyfikacji państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców na potrzeby uzupełnienia i wsparcia europejskiego systemu przekazywania informacji z rejestrów karnych (systemu ECRIS-TCN) i zmieniającego rozporządzenie (UE) nr 1077/2011 (COM(2017)0344 – C8-0217/2017 – 2017/0144(COD))

(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

–  uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2017)0344),

–  uwzględniając art. 294 ust. 2 oraz art. 82 ust. 1 akapit drugi lit. d) Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C8-0217/2017),

–  uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

–  uwzględniając wstępne porozumienie zatwierdzone przez komisję przedmiotowo właściwą na podstawie art. 69f ust. 4 Regulaminu oraz przekazane pismem z dnia 19 grudnia 2018 r. zobowiązanie przedstawiciela Rady do zatwierdzenia stanowiska Parlamentu, zgodnie z art. 294 ust. 4 Traktatu o funkcjonowaniu Unii Europejskiej,

–  uwzględniając art. 59 Regulaminu,

–  uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinię przedstawioną przez Komisję Budżetową (A8–0018/2018),

1.  przyjmuje poniższe stanowisko w pierwszym czytaniu;

2.  zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli zastąpi ona pierwotny wniosek, wprowadzi w nim istotne zmiany lub planuje ich wprowadzenie;

3.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji oraz parlamentom narodowym.


Stanowisko Parlamentu Europejskiego przyjęte w pierwszym czytaniu w dniu 12 marca 2019 r. w celu przyjęcia rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/... ustanawiającego scentralizowany system służący do ustalania państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (ECRIS-TCN) na potrzeby uzupełnienia europejskiego systemu przekazywania informacji z rejestrów karnych oraz zmieniającego rozporządzenie (UE) 2018/1726
P8_TC1-COD(2017)0144

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 82 ust. 1 akapit drugi lit. d),

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą(1),

a także mając na uwadze, co następuje:

(1)  Unia wyznaczyła sobie cel polegający na zapewnieniu swoim obywatelom przestrzeni wolności, bezpieczeństwa i sprawiedliwości bez granic wewnętrznych, w której zapewniony jest swobodny przepływ osób. Cel ten należy osiągnąć, między innymi, za pomocą odpowiednich środków służących zapobieganiu przestępczości – w tym przestępczości zorganizowanej i terroryzmowi – i jej zwalczaniu.

(2)  Osiągnięcie tego celu wymaga, aby informacje dotyczące wyroków skazujących zapadłych w państwach członkowskich były uwzględniane poza skazującym państwem członkowskim w toku nowego postępowania karnego, jak określono w decyzji ramowej Rady 2008/675/WSiSW(2), jak i w celu zapobieganiu kolejnym przestępstwom.

(3)  Realizacja tego celu wymaga prowadzenia między właściwymi organami państw członkowskich wymiany informacji pochodzących z rejestrów karnych. Tego rodzaju wymianę informacji organizują i ułatwiają zasady określone w decyzji ramowej Rady 2009/315/WSiSW(3) oraz europejski system przekazywania informacji z rejestrów karnych (ECRIS), ustanowiony decyzją Rady 2009/316/WSiSW(4).

(4)  Obowiązujące ramy prawne ECRIS nie uwzględniają jednak w sposób wystarczający specyfiki wniosków dotyczących obywateli państw trzecich. Pomimo że wymiana informacji dotyczących obywateli państw trzecich za pośrednictwem ECRIS jest już możliwa, nie istnieje żadna wspólna unijna procedura ani mechanizm, które pozwalałyby na efektywną, szybką i prawidłową wymianę takich informacji.

(5)  W Unii informacje dotyczące obywateli państw trzecich nie są gromadzone tak jak ma to miejsce w przypadku obywateli państw członkowskich – w państwach członkowskich ich obywatelstwa, lecz są jedynie przechowywane w państwach członkowskich, w których wydano wyroki skazujące. Pełną informację na temat wcześniejszej karalności danego obywatela państwa trzeciego można zatem uzyskać jedynie wtedy, gdy wniosek o udzielenie takich informacji zostanie skierowany do wszystkich państw członkowskich.

(6)  Tego rodzaju „wnioski ogólne” stanowią nieproporcjonalne obciążenie administracyjne dla wszystkich państw członkowskich, w tym dla państw członkowskich nieposiadających informacji dotyczących danego obywatela państwa trzeciego. W praktyce obciążenie to zniechęca państwa członkowskie do występowania do innych państw członkowskich z wnioskami o udzielenie informacji dotyczących obywateli państw trzecich, co poważnie utrudnia wymianę tych informacji między państwami członkowskimi, ograniczając ich dostęp do informacji z rejestrów karnych do informacji przechowywanych w ich rejestrach krajowych. W konsekwencji wzrasta ryzyko, że wymiana informacji między państwami członkowskimi będzie nieskuteczna i niepełna, co z kolei niekorzystnie wpływa na poziom bezpieczeństwa i ochrony zapewnianych obywatelom i osobom zamieszkałym na terytorium Unii.

(7)  Aby poprawić tę sytuację, należy utworzyć system, za pomocą którego organ centralny państwa członkowskiego może szybko i skutecznie ▌ ustalić, jakie inne państwa członkowskie posiadają informacje z rejestrów karnych dotyczące obywatela państwa trzeciego ▌( zwany dalej „ECRIS- TCN”). Istniejące ramy ECRIS mogłyby wówczas być wykorzystywane do zwracania się do tych państw członkowskich z wnioskiem o udzielenie informacji z rejestrów karnych zgodnie z decyzją ramową 2009/315/WSiSW.

(8)  W Niniejszym rozporządzeniu powinny zatem zostać określone przepisy ustanawiające na poziomie Unii scentralizowany system zawierający dane osobowe oraz przepisy dotyczące podziału obowiązków między państwem członkowskim a organizacją odpowiadającą za rozwój i utrzymanie tego scentralizowanego systemu, a także wszelkie szczegółowe przepisy dotyczące ochrony danych niezbędne do uzupełnienia dotychczasowych ustaleń w zakresie ochrony danych oraz do zapewnienia odpowiedniego ogólnego poziomu ochrony danych▌ , bezpieczeństwa danych i ochrony praw podstawowych odnośnych osób ▌.

(9)  Cel polegający na zapewnieniu obywatelom Unii przestrzeni wolności, bezpieczeństwa i sprawiedliwości bez granic wewnętrznych, w której zapewniony jest swobodny przepływ osób, wymaga również posiadania pełnych informacji dotyczących wyroków skazujących obywateli Unii, którzy posiadają także obywatelstwo państwa trzeciego. Z uwagi na to, że osoby te mogą posługiwać się jednym obywatelstwem lub kilkoma obywatelstwami, a poszczególne wyroki skazujące mogą być przechowywane w skazującym państwie członkowskim lub w państwie członkowskim, którego obywatelem jest dana osoba, konieczne jest, aby zakresem stosowania niniejszego rozporządzenia objęci zostali obywateli Unii, który posiadają także obywatelstwo państwa trzeciego. Wykluczenie tych osób spowodowałoby, że informacje przechowywane w ECRIS-TCN byłyby niepełne. To zagroziłoby wiarygodności systemu. Niemniej jednak, ponieważ osoby takie posiadają obywatelstwo Unii, warunki, na jakich dane daktyloskopijne mogą zostać zamieszczane w ECRIS-TCN w przypadku tych osób, powinny być porównywalne do warunków, na jakich przebiega wymiana danych daktyloskopijnych obywateli Unii między państwami członkowskimi za pośrednictwem ECRIS, który został ustanowiony decyzją ramową 2009/315/WSiSW i decyzją 2009/316/WSiSW. Dlatego też, w przypadku obywateli Unii, który posiadają także obywatelstwo państwa trzeciego, dane daktyloskopijne powinny być zamieszczane w ECRIS-TCN wyłącznie wtedy, jeżeli zostały pobrane zgodnie z prawem krajowym w ramach postępowania karnego, przy czym uznaje się, że państwa członkowskie mogą na potrzeby takiego zamieszczenia wykorzystywać dane daktyloskopijne pobrane do celów innych niż postępowanie karne, jeżeli takie wykorzystanie jest dozwolone na mocy prawa krajowego.

(10)  ECRIS-TCN powinien umożliwiać przetwarzanie danych daktyloskopijnych w celu ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego. System ten powinien również umożliwiać przetwarzanie wizerunków twarzy w celu potwierdzenia tożsamości tego obywatela państwa trzeciego. Ważne jest, aby wprowadzanie i wykorzystywanie danych daktyloskopijnych i wizerunków twarzy nie wykraczało poza to, co jest bezwzględnie konieczne do osiągnięcia celu, odbywało się z poszanowaniem praw podstawowych, jak również dobra dziecka, oraz było zgodne z mającymi zastosowanie przepisami Unii w zakresie ochrony danych.

(11)  Zadanie rozwoju i obsługi ECRIS-TCN należy powierzyć Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA), ustanowionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1726(5), z uwagi na doświadczenie tej agencji w zarządzaniu innymi wielkoskalowymi systemami w obszarze wymiaru sprawiedliwości i spraw wewnętrznych. Aby uwzględnić te nowe zadania, należy zmienić mandat tej agencji.

(12)  eu-LISA powinna zostać wyposażona w odpowiednie zasoby finansowe i ludzkie, aby mogła wykonywać swoje obowiązki wynikające z niniejszego rozporządzenia.

(13)  Ze względu na potrzebę stworzenia ścisłych powiązań technicznych między ECRIS-TCN a ECRIS, eu-LIS-ie należy również powierzyć zadanie dalszego rozwijania i utrzymania oprogramowania wzorcowego ECRIS oraz należy zmienić mandat tej agencji, aby to uwzględnić.

(14)  Cztery państwa członkowskie opracowały własne krajowe oprogramowanie ECRIS zgodnie z decyzją Rady 2009/316/WSiSW i korzystają z niego zamiast oprogramowania wzorcowego ECRIS do wymiany informacji z rejestrów karnych. Ze względu na szczególne rozwiązania, które te państwa członkowskie wprowadziły w swoich systemach krajowych, oraz na inwestycje, których dokonały, państwa te powinny mieć możliwość korzystania ze swojego krajowego oprogramowania ECRIS również do celów ECRIS-TCN, pod warunkiem że spełnione są warunki określone w niniejszym rozporządzeniu.

(15)  ECRIS-TCN powinien zawierać wyłącznie informacje dotyczące tożsamości obywateli państw trzecich skazanych przez sąd karny na terytorium Unii. Takie informacje dotyczące tożsamości powinny obejmować dane alfanumeryczne i dane daktyloskopijne ▌. Powinna również istnieć możliwość zamieszczania wizerunków twarzy, jeżeli prawo państwa członkowskiego, w którym wydano wyrok skazujący, zezwala na gromadzenie i przechowywanie wizerunków twarzy osoby skazanej.

(16)  Dane alfanumeryczne wprowadzane przez państwa członkowskie do systemu centralnego powinny zawierać nazwisko (nazwisko rodowe) i imiona (imiona nadane) osoby skazanej, jak również – o ile organ centralny dysponuje takimi informacjami – pseudonimy lub przydomki danej osoby. Jeżeli dane państwo członkowskie wie o danych osobowych różniących się od już wprowadzonych, takich jak odmienna pisownia imienia lub nazwiska w innym alfabecie, powinna istnieć możliwość wprowadzenia takich danych do systemu centralnego jako informacji dodatkowych.

(17)  Dane alfanumeryczne powinny również obejmować, jako informacje dodatkowe, numer identyfikacyjny lub rodzaj i numer dokumentów tożsamości danej osoby, a także nazwę organu wydającego te dokumenty – o ile organ centralny dysponuje takimi informacjami. Przed wprowadzeniem stosownych informacji do systemu centralnego państwo członkowskie powinno postarać się zweryfikować autentyczność dokumentów tożsamości. W każdym razie z uwagi na fakt, że takie informacje mogą być niewiarygodne, należy wykorzystywać je ostrożnie.

(18)  Organy centralne powinny korzystać z ECRIS-TCN w celu ustalenia państw członkowskich posiadających informacje z rejestrów karnych dotyczące obywatela państwa trzeciego, w przypadku gdy o informacje z rejestrów karnych dotyczące tej osoby wystąpiono w danym państwie członkowskim do celów postępowania karnego przeciwko tej osobie lub do celów, o których mowa w niniejszym rozporządzeniu. Mimo że z ECRIS-TCN należy co do zasady korzystać we wszystkich takich przypadkach, organ odpowiedzialny za prowadzenie postępowania karnego powinien mieć możliwość zdecydowania, że nie należy korzystać z ECRIS-TCN, w przypadku gdy nie byłoby to właściwe w okolicznościach danej sprawy, na przykład w niektórych rodzajach pilnych postępowań karnych, w przypadkach tranzytu, jeżeli informacje z rejestrów karnych uzyskano niedawno za pośrednictwem ECRIS lub w odniesieniu do czynów zabronionych mniejszej wagi, w szczególności wykroczeń drogowych, wykroczeń związanych z naruszeniem ogólnych przepisów prawa miejscowego oraz wykroczeń polegających na naruszeniu porządku publicznego.

(19)  Państwa członkowskie powinny również mieć możliwość korzystania z  ECRIS-TCN do celów innych niż określone w niniejszym rozporządzeniu, jeżeli przewiduje to prawo krajowe i jest to zgodne z prawem krajowym. Jednakże aby zwiększyć przejrzystość korzystania z  ECRIS-TCN, państwa członkowskie powinny powiadamiać o takich innych celach Komisję, która powinna zapewnić opublikowanie wszystkich takich powiadomień w Dzienniku Urzędowym Unii Europejskiej.

(20)  Powinna również istnieć możliwość zdecydowania przez inne organy zwracające się z wnioskiem o udzielenie informacji z rejestrów karnych o tym, że nie należy korzystać z ECRIS-TCN, w przypadku gdy nie byłoby to właściwe ze względu na okoliczności danej sprawy, na przykład jeżeli muszą zostać przeprowadzone pewne standardowe sprawdzenia administracyjne w odniesieniu do kwalifikacji zawodowych danej osoby, zwłaszcza jeżeli wiadomo, że niezależnie od wyniku wyszukiwania w ECRIS-TCN do innych państw członkowskich nie zostanie skierowany wniosek o udzielenie informacji z rejestrów karnych. Jednak należy zawsze korzystać z ECRIS-TCN w przypadku, gdy z wnioskiem o udzielenie informacji z rejestrów karnych zwraca się osoba, która występuje o informacje zawarte w rejestrze karnym na swój temat zgodnie z decyzją ramową 2009/315/WSiSW lub gdy wniosek ma służyć uzyskaniu informacji z rejestrów karnych zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2011/93/UE(6).

(21)  Obywatele państw trzecich powinni mieć prawo do otrzymania na piśmie informacji zawartych w rejestrze karny na swój temat, zgodnie z prawem państwa członkowskiego, w którym zwracają się z wnioskiem o udzielenie takich informacji, a także zgodnie z decyzją ramową 2009/315/WSiSW. Zanim takie informacje zostaną udzielone obywatelowi państwa trzeciego, dane państwo członkowskie powinno wysłać zapytanie do ECRIS-TCN.

(22)  Obywatele Unii, którzy posiadają także obywatelstwo państwa trzeciego, zostaną włączeni do ECRIS-TCN jedynie wtedy, jeżeli właściwe organy wiedzą, że takie osoby posiadają obywatelstwo państwa trzeciego. Jeżeli właściwe organy nie wiedzą, że obywatele Unii posiadają obywatelstwo państwa trzeciego, istnieje niemniej możliwość, że wobec takich osób, jako obywateli państwa trzeciego, wydane zostały uprzednie wyroki skazujące. Aby zapewnić właściwym organom pełną informację z rejestrów karnych, powinna istnieć możliwość wysłania zapytania do ECRIS‑TCN w celu sprawdzenia, czy odnośnie do danego obywatela Unii jakiekolwiek z państw członkowskich posiada informacje z rejestrów karnych dotyczące tej osoby jako obywatela państwa trzeciego.

(23)  W przypadku dopasowania danych zapisanych w systemie centralnym do danych użytych przez państwo członkowskie do wyszukiwania (czyli w przypadku trafienia) informacje dotyczące tożsamości, dla których zapisano dane trafienie, powinny być przekazywane wraz ze stosownym trafieniem. Wynik wyszukiwania powinien być wykorzystywany przez organy centralne wyłącznie do celu występowania z wnioskami za pośrednictwem ECRIS, lub w przypadku Agencji Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych (Eurojustu) ustanowionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1727(7), Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europolu) ustanowionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/794(8) oraz Prokuratury Europejskiej (EPPO) ustanowionej rozporządzeniem Rady (UE) 2017/1939(9)– wyłącznie do celu występowania z wnioskami o udzielenie informacji dotyczących wyroków skazujących, o których to wnioskach mowa w niniejszym rozporządzeniu.

(24)  Początkowo wizerunki twarzy zamieszczone w ECRIS-TCN powinny być wykorzystywane wyłącznie do potwierdzenia tożsamości obywatela państwa trzeciego w celu ustalenia państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących wydanych wobec tego obywatela państwa trzeciego. W przyszłości powinno być możliwe wykorzystywane wizerunków twarzy do zautomatyzowanego dopasowywania danych biometrycznych pod warunkiem spełnienia stosownych wymagań technicznych i wymagań w zakresie polityki. Komisja powinna – biorąc pod uwagę konieczność i proporcjonalność, a także techniczny rozwój oprogramowania do rozpoznawania twarzy – ocenić dostępność i gotowość wymaganej technologii przed przyjęciem aktu delegowanego dotyczącego wykorzystywania wizerunków twarzy do celów identyfikacji obywateli państw trzecich w celu ustalenia państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących dotyczących tych osób.

(25)  Wykorzystywanie danych biometrycznych jest konieczne, ponieważ stanowi najbardziej wiarygodny sposób identyfikacji obywateli państw trzecich na terytorium państw członkowskich, którzy często nie posiadają dokumentów ani innych środków identyfikacji, a także aby dopasowywać dane dotyczące obywateli państw trzecich w bardziej wiarygodny sposób.

(26)  Państwa członkowskie powinny wprowadzać do systemu centralnego dane daktyloskopijne skazanych obywateli państw trzecich, które zostały pobrane zgodnie z prawem krajowym w ramach postępowania karnego. Aby w systemie centralnym dostępne były możliwie pełne informacje dotyczące tożsamości, państwa członkowskie powinny również mieć możliwość wprowadzania do systemu centralnego danych daktyloskopijnych, które zostały pobrane do celów innych niż postępowanie karne, o ile te dane daktyloskopijne są dostępne do wykorzystania w postępowaniu karnym zgodnie z prawem krajowym.

(27)  Niniejsze rozporządzenie powinno określać minimalne kryteria w odniesieniu do danych daktyloskopijnych, które państwa członkowskie powinny zamieszczać w systemie centralnym. Państwom członkowskim należy dać wybór: wprowadzanie danych daktyloskopijnych obywateli państw trzecich, w przypadku których wydano wyrok skazujący na karę pozbawienia wolności w wymiarze co najmniej 6 miesięcy albo wprowadzanie danych daktyloskopijnych obywateli państw trzecich, którzy zostali skazani za popełnienie przestępstwa, które na mocy prawa danego państwa członkowskiego jest zagrożone karą pozbawienia wolności o maksymalnym wymiarze co najmniej 12 miesięcy.

(28)  Państwa członkowskie powinny tworzyć wpisy w ECRIS-TCN dotyczące skazanych obywateli państw trzecich. Należy to robić, o ile to możliwe, automatycznie, a także bez zbędnej zwłoki po wprowadzeniu stosownego wyroku skazującego do krajowego rejestru karnego. Państwa członkowskie powinny, zgodnie z niniejszym rozporządzeniem, wprowadzać do systemu centralnego dane alfanumeryczne i  daktyloskopijne w odniesieniu do wyroków skazujących wydanych po dniu rozpoczęcia wprowadzania danych do ECRIS-TCN. Począwszy od tego samego dnia, i w każdym późniejszym terminie, państwa członkowskie powinny mieć możliwość wprowadzania do systemu centralnego wizerunków twarzy.

(29)  Aby zapewnić maksymalną skuteczność systemu, państwa członkowskie powinny również, zgodnie z niniejszym rozporządzeniem, tworzyć wpisy w ECRIS-TCN dotyczące obywateli państw trzecich skazanych przed dniem rozpoczęcia wprowadzania danych. Niemniej jednak państwa członkowskie nie powinny być zobowiązane do gromadzenia w tym celu informacji, które przed dniem rozpoczęcia wprowadzania danych nie znajdowały się już w ich rejestrach karnych. Dane daktyloskopijne obywateli państw trzecich pobrane w związku z takimi uprzednimi wyrokami skazującymi powinny być zamieszczane jedynie w przypadku, gdy zostały one pobrane w ramach postępowania karnego oraz w przypadku, gdy dane państwo członkowskie uzna, że mogą zostać jednoznacznie dopasowane do innych informacji dotyczących tożsamości znajdujących się w rejestrze karnym.

(30)  Usprawnienie wymiany informacji dotyczących wyroków skazujących powinno pomóc państwom członkowskim w wykonywaniu decyzji ramowej 2008/675/WSiSW, która zobowiązuje państwa członkowskie do uwzględnienia uprzednich wyroków skazujących wydanych w innych państwach członkowskich w toku nowego postępowania karnego w takim zakresie, w jakim zgodnie z prawem krajowym uwzględniane są uprzednie krajowe wyroki skazujące.

(31)  Trafienie wskazane przez ECRIS-TCN nie powinno samo w sobie być rozumiane w taki sposób, że dany obywatel państwa trzeciego został skazany w państwach członkowskich, które zostały wskazane ▌. Istnienie uprzednich wyroków skazujących powinno zostać potwierdzone wyłącznie na podstawie informacji uzyskanych z rejestrów karnych odnośnych państw członkowskich.

(32)  Niezależnie od możliwości korzystania, zgodnie z mającymi zastosowanie przepisami, z unijnych programów finansowych każde państwo członkowskie powinno ponosić własne koszty wynikające z wdrożenia, użytkowania i utrzymywania swojej bazy danych rejestru karnego i krajowych baz danych daktyloskopijnych oraz zarządzania tymi bazami danych, a także z wdrożenia, użytkowania i utrzymywania dostosowań technicznych niezbędnych do umożliwienia korzystania z ECRIS-TCN, w tym połączeń tych baz danych z krajowym centralnym punktem dostępu, oraz zarządzania tymi dostosowaniami.

(33)  Eurojust, Europol i EPPO powinny mieć dostęp do ECRIS-TCN do celów ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego w celu lepszego wykonywania swoich zadań przewidzianych przepisami prawa. Eurojust powinien również mieć bezpośredni dostęp do ECRIS-TCN do celów wykonywania zadania wynikającego z niniejszego rozporządzenia, polegającego na pełnieniu roli punktu kontaktowego dla państw trzecich i organizacji międzynarodowych, bez uszczerbku dla stosowania zasad współpracy wymiarów sprawiedliwości w sprawach karnych, w tym w zakresie przepisów dotyczących wzajemnej pomocy prawnej. Pomimo tego że należy brać pod uwagę stanowisko państw członkowskich, które nie uczestniczą we  wzmocnionej współpracy ustanawiającej EPPO, EPPO nie należy odmawiać dostępu do informacji dotyczących wyroków skazujących wyłącznie na tej podstawie, że dane państwo członkowskie nie uczestniczy w tej wzmocnionej współpracy.

(34)  Niniejsze rozporządzenie określa ścisłe zasady dostępu do ECRIS-TCN oraz niezbędne zabezpieczenia, w tym odpowiedzialność państw członkowskich w zakresie gromadzenia i wykorzystywania danych. Wskazuje ono także, w jaki sposób osoby fizyczne mogą wykonywać swoje prawa do odszkodowania, dostępu do danych, ich sprostowania, usunięcia oraz do środka zaskarżenia, w szczególności prawo do skutecznego środka prawnego oraz nadzorowania operacji przetwarzania przez niezależne organy publiczne. Niniejsze rozporządzenie respektuje zatem podstawowe prawa i wolności zapisane, w szczególności, w Karcie praw podstawowych Unii Europejskiej, w tym prawo do ochrony danych osobowych, zasadę równości wobec prawa oraz ogólny zakaz dyskryminacji. W tym kontekście uwzględnia także Konwencję o ochronie praw człowieka i podstawowych wolności, Międzynarodowy pakt praw obywatelskich i politycznych oraz inne zobowiązania w zakresie praw człowieka wynikające z prawa międzynarodowego.

(35)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680(10) ▌ powinna być stosowana do przetwarzania danych osobowych przez właściwe organy krajowe do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679(11) ▌ powinno być stosowane do przetwarzania danych osobowych przez organy krajowe, gdy przetwarzanie takie nie jest objęte zakresem stosowania dyrektywy (UE) 2016/680. Należy zapewnić skoordynowany nadzór zgodnie z  rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725(12), które powinno być również stosowane do przetwarzania danych osobowych przez eu-LIS-ę.

(36)  W odniesieniu do uprzednich wyroków skazujących organy centralne powinny wprowadzić dane alfanumeryczne do końca okresu wprowadzania danych określonego w niniejszym rozporządzeniu, a dane daktyloskopijne –w terminie dwóch lat od dnia uruchomienia ECRIS-TCN. Państwa członkowskie powinny mieć możliwość wprowadzenia wszystkich danych w tym samym czasie, pod warunkiem że dochowane będą powyższe terminy.

(37)  Należy określić zasady odpowiedzialności państw członkowskich, Eurojustu, Europolu, EPPO i eu-LIS-y za szkody wynikające z wszelkich przypadków naruszenia niniejszego rozporządzenia.

(38)  W celu usprawnienia ustalania państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących wydanych wobec obywateli państw trzecich należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) w odniesieniu do uzupełnienia niniejszego rozporządzenia poprzez wprowadzenie możliwości wykorzystywania wizerunków twarzy do identyfikacji obywateli państw trzecich w celu ustalania państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.(13) W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(39)  W celu zapewnienia jednolitych warunków ustanowienia ECRIS-TCN i zarządzania operacyjnego tym systemem należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011(14).

(40)  Aby zapewnić właściwe funkcjonowanie ECRIS-TCN, państwa członkowskie powinny jak najszybciej przyjąć środki niezbędne do wykonania niniejszego rozporządzenia, przy czym uwzględnić należy czas, jakiego eu-LISA potrzebuje na rozwój i wdrożenie tego systemu. Niemniej jednak na podjęcie środków w celu wykonania niniejszego rozporządzenia państwa członkowskie powinny mieć co najmniej 36 miesięcy od jego wejścia w życie.

(41)  Ponieważ cel niniejszego rozporządzenia, a mianowicie umożliwienie szybkiej i skutecznej wymiany prawidłowych informacji z rejestrów karnych dotyczących obywateli państw trzecich, nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast możliwe jest – poprzez wprowadzenie wspólnych zasad– jego lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej (TUE). Zgodnie z zasadą proporcjonalności określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu.

(42)  Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do TUE i do TFUE, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje.

(43)  Zgodnie z art. 1 i 2 oraz art. 4a ust. 1 Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, załączonego do TUE i do TFUE, bez uszczerbku dla art. 4 tego protokołu, Irlandia nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje.

(44)  Zgodnie z art. 3 i art. 4a ust. 1 Protokołu nr 21 Zjednoczone Królestwo powiadomiło o chęci uczestniczenia w przyjęciu i stosowaniu niniejszego rozporządzenia.

(45)  Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady(15) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 12 grudnia 2017 r.(16),

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot

W niniejszym rozporządzeniu ustanawia się:

a)  ▌ system służący do ustalania państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących wydanych wobec obywateli państw trzecich (zwany dalej „ECRIS-TCN”);

b)  ▌warunki, zgodnie z którymi organy centralne korzystają z ECRIS-TCN do uzyskiwania informacji o takich uprzednich wyrokach skazujących za pośrednictwem europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS), ustanowionego decyzją 2009/316/WSiSW, jak również warunki, zgodnie z którymi Eurojust, Europol i EPPO korzystają z ECRIS-TCN.

Artykuł 2

Zakres stosowania

Niniejsze rozporządzenie stosuje się do przetwarzania informacji dotyczących tożsamości obywateli państw trzecich, wobec których wydano wyroki skazujące w państwach członkowskich, do celów ustalania państw członkowskich, w których takie wyroki skazujące zostały wydane. Z wyjątkiem art. 5 ust. 1 lit. b) ppkt (ii) przepisy niniejszego rozporządzenia, które stosuje się do obywateli państw trzecich, stosuje się również do obywateli Unii, którzy posiadają także obywatelstwo państwa trzeciego i wobec których wydano wyroki skazujące w państwach członkowskich.

Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące ▌definicje:

1)  „wyrok skazujący” oznacza każde prawomocne orzeczenie wydane przez sąd karny wobec osoby fizycznej w związku z popełnieniem przestępstwa, o ile orzeczenie to zostało wpisane do rejestru karnego skazującego państwa członkowskiego;

2)  „postępowanie karne” oznacza postępowanie przygotowawcze, rozprawę sądową oraz wykonanie wyroku skazującego;

3)  „rejestr karny” oznacza krajowy rejestr lub rejestry, do których zgodnie z prawem krajowym wpisuje się wyroki skazujące;

4)  „skazujące państwo członkowskie” oznacza państwo członkowskie, w którym wydano wyrok skazujący;

5)  „organ centralny” oznacza organ wyznaczony zgodnie z art. 3 ust. 1 decyzji ramowej 2009/315/WSiSW;

6)  „właściwe organy” oznaczają organy centralne oraz  Eurojust, Europol i EPPO, które są uprawnione zgodnie z niniejszym rozporządzeniem do uzyskania dostępu do ECRIS-TCN lub do wysyłania zapytań do tego systemu;

7)  „obywatel państwa trzeciego” oznacza osobę niebędącą obywatelem Unii w rozumieniu art. 20 ust. 1 TFUE, osobę, która jest bezpaństwowcem lub osobę, której obywatelstwo jest nieznane ▌;

8)  „system centralny” oznacza bazę lub bazy danych rozwijane i utrzymywane przez eu-LIS-ę, w których przechowywane są informacje dotyczące tożsamości obywateli państw trzecich, wobec których wydano wyroki skazujące w państwach członkowskich ▌;

9)  „oprogramowanie interfejsowe” oznacza oprogramowanie obsługiwane przez właściwe organy, które umożliwia im uzyskanie dostępu do systemu centralnego za pomocą infrastruktury komunikacyjnej, o której mowa w art. 4 ust. 1 lit. d);

10)  „informacje dotyczące tożsamości” oznaczają dane alfanumeryczne, dane daktyloskopijne i wizerunki twarzy, które są wykorzystywane do ustalenia powiązania między tymi danymi a osobą fizyczną;

11)  „dane alfanumeryczne” oznaczają dane wyrażone literami, cyframi, znakami specjalnymi, odstępami i znakami przestankowymi;

12)  „dane daktyloskopijne” oznaczają dane odnoszące się do odcisków wszystkich palców danej osoby w formie odbitek płaskich i przetoczonych;

13)  „wizerunek twarzy” oznacza cyfrowy wizerunek twarzy danej osoby;

14)  „trafienie” oznacza dopasowanie lub dopasowania uzyskane w wyniku porównania informacji dotyczących tożsamości zapisanych w systemie centralnym z informacjami dotyczącymi tożsamości użytymi do wyszukiwania ▌;

15)  „krajowy centralny punkt dostępu” oznacza krajowy punkt połączenia z infrastrukturą komunikacyjną, o której mowa w art. 4 ust. 1 lit. d);

16)  „oprogramowanie wzorcowe ECRIS” oznacza oprogramowanie opracowane przez Komisję i udostępnione państwom członkowskim do celów wymiany informacji z rejestrów karnych za pośrednictwem ECRIS:

17)  „krajowy organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych;

18)  „organy nadzorcze” oznaczają Europejskiego Inspektora Ochrony Danych i krajowe organy nadzorcze.

Artykuł 4

Architektura techniczna ECRIS-TCN

1.  ECRIS-TCN składa się z:

a)  systemu centralnego, w którym przechowywane są informacje dotyczące tożsamości skazanych obywateli państw trzecich;

b)  krajowego centralnego punktu dostępu w każdym państwie członkowskim;

c)  oprogramowania interfejsowego umożliwiającego połączenie właściwych organów z systemem centralnym za pośrednictwem krajowych centralnych punktów dostępu i infrastruktury komunikacyjnej, o której mowa w lit. d);

d)  infrastruktury komunikacyjnej między systemem centralnym a krajowymi centralnymi punktami dostępu.

2.  System centralny jest obsługiwany przez eu-LIS-ę ▌w jej centrach technicznych.

3.  Oprogramowanie interfejsowe jest zintegrowane z oprogramowaniem wzorcowym ECRIS. Państwa członkowskie korzystają z oprogramowania wzorcowego ECRIS lub – w sytuacji i na warunkach określonych w ust. 4–8 – krajowego oprogramowania ECRIS w celu wysyłania zapytań do ECRIS-TCN oraz przesyłania wniosków o udzielenie informacji z rejestrów karnych.

4.  Państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, odpowiadają za zapewnienie, aby ich krajowe oprogramowanie ECRIS pozwalało ich krajowym organom odpowiedzialnym za rejestry karne korzystać z ECRIS-TCN, z wyjątkiem oprogramowania interfejsowego, zgodnie z niniejszym rozporządzeniem. W tym celu, przed dniem uruchomienia ECRIS-TCN zgodnie z art. 35 ust. 4, te państwa członkowskie zapewniają, aby ich krajowe oprogramowanie ECRIS działało zgodnie z protokołami i specyfikacjami technicznymi ustanowionymi w aktach wykonawczych, o których mowa w art. 10, oraz z  dodatkowymi wymogami technicznymi ustanowionymi przez eu-LIS-ę na podstawie niniejszego rozporządzenia w oparciu o te akty wykonawcze.

5.  Dopóki państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, nie korzystają z oprogramowania wzorcowego ECRIS, zapewniają one również wdrażanie bez zbędnej zwłoki w ich krajowym oprogramowaniu ECRIS wszelkich późniejszych dostosowań technicznych niezbędnych ze względu na jakiekolwiek zmiany w specyfikacjach technicznych ustanowionych w aktach wykonawczych, o których mowa w art. 10, lub zmiany w dodatkowych wymogach technicznych ustanowionych przez eu-LIS-ę na podstawie niniejszego rozporządzenia w oparciu o te akty wykonawcze.

6.  Państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, ponoszą wszelkie koszty związane z wdrażaniem, utrzymaniem i dalszym rozwojem swojego krajowego oprogramowania ECRIS oraz jego wzajemnym połączeniem z ECRIS-TCN, z wyjątkiem kosztów związanych z oprogramowaniem interfejsowym.

7.  Jeżeli państwo członkowskie, które korzysta ze swojego krajowego oprogramowania ECRIS, nie jest w stanie wywiązać się ze swoich obowiązków przewidzianych w niniejszym artykule, ma ono obowiązek korzystania z oprogramowania wzorcowego ECRIS, w tym ze zintegrowanego oprogramowania interfejsowego, w celu korzystania z ECRIS-TCN.

8.  Do celów oceny, którą zgodnie z art. 36 ust. 10 lit. b) ma przeprowadzić Komisja, dane państwa członkowskie przekazują Komisji wszelkie niezbędne informacje.

ROZDZIAŁ II

WPROWADZANIE I WYKORZYSTYWANIE DANYCH PRZEZ ORGANY CENTRALNE

Artykuł 5

Wprowadzanie danych do ECRIS-TCN

1.  W odniesieniu do każdego skazanego obywatela państwa trzeciego organ centralny skazującego państwa członkowskiego tworzy wpis w systemie centralnym. Wpis zawiera:

a)  w zakresie danych alfanumerycznych:

(i)  informacje, które mają zostać zamieszczone, chyba że, w indywidualnych przypadkach, informacje takie nie są znane organowi centralnemu (informacje obowiązkowe):

nazwisko (nazwisko rodowe),

imiona (imiona nadane),

–  data urodzenia,

–  miejsce urodzenia (miejscowość i państwo),

obywatelstwo lub obywatelstwa,

–  płeć,

–  poprzednie imiona i nazwiska, jeżeli dotyczy,

–  kod skazującego państwa członkowskiego,

(ii)  informacje, które mają zostać zamieszczone, jeżeli zostały wprowadzone do rejestru karnego (informacje nieobowiązkowe):

− imiona i nazwiska rodziców,

(iii)  informacje, które mają zostać zamieszczone, jeżeli są one dostępne dla organu centralnego (informacje dodatkowe):

− numer identyfikacyjny lub rodzaj i numer dokumentów tożsamości danej osoby oraz nazwa organu wydającego,

− pseudonimy lub przydomki;

b)  w zakresie danych daktyloskopijnych:

(i)  dane daktyloskopijne, które zostały pobrane zgodnie z prawem krajowym w ramach postępowania karnego;

(i)  co najmniej dane daktyloskopijne pobrane na podstawie jednego z następujących kryteriów:

–  w przypadku obywatela państwa trzeciego, wobec którego wydano wyrok skazujący na karę pozbawienia wolności w wymiarze co najmniej 6 miesięcy,;

albo

–  w przypadku obywatela państwa trzeciego skazanego za popełnienie przestępstwa, które na mocy prawa państwa członkowskiego jest zagrożone karą pozbawienia wolności o maksymalnym wymiarze co najmniej 12 miesięcy.

2.  Dane daktyloskopijne, o których mowa w ust. 1 lit. b) niniejszego artykułu, muszą być zgodne ze specyfikacjami technicznymi dotyczącymi jakości, rozdzielczości i przetwarzania danych daktyloskopijnych, ustanowionymi w akcie wykonawczym, o którym mowa w art. 10 ust. 1 lit. b).Numer referencyjny danych daktyloskopijnych osoby skazanej musi zawierać kod skazującego państwa członkowskiego.

3.  Wpis może również zawierać wizerunki twarzy skazanego obywatela państwa trzeciego, jeżeli prawo skazującego państwa członkowskiego zezwala na gromadzenie i przechowywanie wizerunków twarzy osób skazanych.

4.   Skazujące państwo członkowskie tworzy wpis, o ile to możliwe automatycznie, a także bez zbędnej zwłoki po wprowadzeniu danego ▌wyroku skazującego ▌do rejestru karnego.

5.  Skazujące państwa członkowskie tworzą również wpisy w przypadku wyroków skazujących wydanych przed dniem rozpoczęcia wprowadzania danych zgodnie z art. 35 ust. 1, w zakresie, w jakim dane odnoszące się do osób skazanych są przechowywane w ▌ich krajowych bazach danych. W takich przypadkach dane daktyloskopijne zamieszcza się jedynie w przypadku, gdy zostały one pobrane w ramach postępowania karnego zgodnie z prawem krajowym, oraz w przypadku, gdy mogą zostać jednoznacznie dopasowane do innych informacji dotyczących tożsamości znajdujących się w rejestrze karnym.

6.  W celu spełnienia obowiązków określonych w ust. 1 lit. b) ppkt (i) i (ii) oraz w ust. 5 państwa członkowskie mogą wykorzystywać dane daktyloskopijne pobrane do celów innych niż postępowanie karne, jeżeli takie wykorzystanie jest dozwolone na mocy prawa krajowego.

Artykuł 6

▌Wizerunki twarzy

1.  Do czasu wejścia w życie aktu delegowanego przewidzianego w ust. 2 wizerunki twarzy mogą być wykorzystywane wyłącznie do potwierdzenia tożsamości obywatela państwa trzeciego, który został zidentyfikowany w wyniku wyszukiwania alfanumerycznego lub wyszukiwania przy pomocy danych daktyloskopijnych.

2.  Komisja jest uprawniona do przyjmowania aktów delegowanych, zgodnie z art. 37, uzupełniających niniejsze rozporządzenie odnośnie do wykorzystywania, gdy będzie to technicznie wykonalne, wizerunków twarzy do identyfikacji obywateli państw trzecich w celu ustalenia państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących dotyczących takich osób. Przed skorzystaniem z tego uprawnienia Komisja oceni dostępność i gotowość wymaganej technologii, biorąc pod uwagę konieczność i proporcjonalność, a także techniczny rozwój oprogramowania do rozpoznawania twarzy.

Artykuł 7

Korzystanie z  ECRIS-TCN do celów ustalania państw członkowskich posiadających informacje z rejestrów karnych

1.  Organy centralne korzystają z  ECRIS-TCN do ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, aby za pośrednictwem ECRIS uzyskać informacje o uprzednich wyrokach skazujących, w przypadku gdy o informacje z rejestrów karnych dotyczące danej osoby wystąpiono w danym państwie członkowskim do celów postępowania karnego przeciwko tej osobie lub do jednego z następujących celów, jeżeli przewiduje to prawo krajowe i jest to zgodne z prawem krajowym:

–  sprawdzenie informacji zawartych w rejestrze karnym na wniosek osoby, której informacje te dotyczą,

–  poświadczenie bezpieczeństwa,

–  uzyskanie licencji lub zezwolenia,

–  weryfikacja na potrzeby zatrudnienia,

–  weryfikacja na potrzeby działalności wolontariackiej związanej z bezpośrednimi i regularnymi kontaktami z dziećmi lub osobami wymagającymi szczególnego traktowania,

–  procedury związane z wizami, nabyciem obywatelstwa i migracją, w tym procedury azylowe, oraz

–  sprawdzenia związane z zamówieniami publicznymi i egzaminami publicznymi.

Jednak w szczególnych przypadkach, innych niż te, w których do organu centralnego z wnioskiem o udzielenie informacji zawartych w rejestrze karnym na swój temat zwraca się obywatel państwa trzeciego lub w których wniosek ma służyć uzyskaniu informacji z rejestrów karnych zgodnie z art. 10 ust. 2 dyrektywy 2011/93/UE, organ występujący o informacje z rejestrów karnych może zdecydować, że takie skorzystanie z ECRIS-TCN nie jest właściwe.

2.  Każde państwo członkowskie, które zdecyduje – jeżeli przewiduje to prawo krajowe i jest to zgodne z prawem krajowym – korzystać z  ECRIS-TCN do celów innych niż określone w ust. 1, aby uzyskiwać informacje o uprzednich wyrokach skazujących za pośrednictwem ECRIS, powiadamia Komisję, do dnia uruchomienia systemu, o którym mowa w art. 35 ust. 4, lub w późniejszym terminie, o takich innych celach i wszelkich zmianach dotyczących takich celów. Komisja publikuje takie powiadomienia w Dzienniku Urzędowym Unii Europejskiej w terminie 30 dni od otrzymania powiadomień.

3.  Eurojust, Europol ▌ i EPPO są uprawnione do wysyłania zapytań do ECRIS-TCN w celu ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego zgodnie z art. 14–18. Jednakże nie mogą one wprowadzać żadnych danych do ECRIS-TCN, dokonywać w tym systemie ich sprostowania ani usuwać ich z tego systemu.

4.  Do celów, o których mowa w ust. 1, 2 i 3, właściwe organy mogą również wysyłać zapytania do ECRIS-TCN w celu sprawdzenia, czy odnośnie do obywatela Unii którekolwiek z państw członkowskich posiada informacje z rejestrów karnych dotyczące tej osoby jako obywatela państwa trzeciego.

5.  W przypadku wysyłania zapytań do ECRIS-TCN właściwe organy mogą wykorzystywać wszystkie lub wyłącznie niektóre dane, o których mowa w art. 5 ust. 1. Minimalny zestaw danych wymaganych do wysłania zapytania do systemu określa akt wykonawczy przyjęty zgodnie z art. 10 ust. 1 lit. g).

6.  Właściwe organy mogą również wysyłać zapytania do ECRIS-TCN z wykorzystaniem ▌ wizerunków twarzy ▌, pod warunkiem że funkcja taka została wdrożona zgodnie z art. 6 ust. 2.

7.  W przypadku trafienia system centralny automatycznie przekazuje właściwemu organowi informacje o  państwach członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, wraz z powiązanymi numerami referencyjnymi oraz odpowiednimi informacjami dotyczącymi tożsamości. Takie informacje dotyczące tożsamości są wykorzystywane wyłącznie do celów weryfikacji tożsamości danego obywatela państwa trzeciego. Wynik wyszukiwania w systemie centralnym może być wykorzystany wyłącznie do celu wystąpienia z wnioskiem zgodnie z art. 6 decyzji ramowej 2009/315/WSiSW lub wnioskiem, o którym mowa w art. 17 ust. 3 niniejszego rozporządzenia.

8.  W przypadku braku trafienia system centralny automatycznie informuje właściwy organ.

ROZDZIAŁ III

ZATRZYMYWANIE I ZMIANA DANYCH

Artykuł 8

Okres zatrzymywania przechowywanych danych

1.  Każdy ▌ wpis jest przechowywany w systemie centralnym tak długo, jak długo w ▌ rejestrach karnych ▌ przechowywane są dane dotyczące wyroków skazujących danej osoby.

2.  Po upływie okresu zatrzymywania danych, o którym mowa w ust. 1, organ centralny skazującego państwa członkowskiego ▌usuwa z systemu centralnego wpis, w tym wszelkie dane daktyloskopijne lub wizerunki twarzy. Usunięcie odbywa się, o ile to możliwe, automatycznie, a w każdym razie nie później niż miesiąc od upływu okresu zatrzymywania danych.

Artykuł 9

Zmiana i usuwanie danych

1.  Państwa członkowskie mogą zmienić lub usuwać dane, które wprowadziły do ECRIS-TCN.

2.  W przypadku każdej zmiany informacji w rejestrze karnym, ▌które doprowadziły do utworzenia wpisu zgodnie z art. 5, skazujące państwo członkowskie dokonuje, bez zbędnej zwłoki, identycznej zmiany informacji przechowywanych w tym wpisie w systemie centralnym.

3.  W przypadku gdy skazujące państwo członkowskie ma powody, by sądzić, że dane, które zapisało w systemie centralnym, są nieprawidłowe lub że dane były przetwarzane w systemie centralnym niezgodnie z niniejszym rozporządzeniem:

a)  natychmiast rozpoczyna procedurę, odpowiednio, sprawdzenia prawidłowości przedmiotowych danych lub zgodności ich przetwarzania z prawem;

b)  w razie potrzeby bez zbędnej zwłoki dokonuje sprostowania danych lub usuwa je z systemu centralnego.

4.  W przypadku gdy państwo członkowskie inne niż skazujące państwo członkowskie, które wprowadziło dane, ma powody, by sądzić, że dane zapisane w systemie centralnym są nieprawidłowe lub że dane były przetwarzane w systemie centralnym niezgodnie z niniejszym rozporządzeniem, kontaktuje się, bez zbędnej zwłoki, z organem centralnym skazującego państwa członkowskiego.

Skazujące państwo członkowskie:

a)  natychmiast rozpoczyna procedurę, odpowiednio, sprawdzenia prawidłowości przedmiotowych danych lub zgodności ich przetwarzania z prawem;

b)  w razie potrzeby bez zbędnej zwłoki dokonuje sprostowania danych lub usuwa je z systemu centralnego;

c)  informuje, bez zbędnej zwłoki, to drugie państwo członkowskie, że dane zostały sprostowane lub usunięte, lub podaje powody, dla których dane nie zostały sprostowane lub usunięte.

ROZDZIAŁ IV

ROZWÓJ SYSTEMU, JEGO FUNKCJONOWANIE I ZAKRES ODPOWIEDZIALNOŚCI

Artykuł 10

Przyjęcie aktów wykonawczych przez Komisję

1.  Komisja przyjmuje jak najszybciej akty wykonawcze niezbędne do technicznego rozwijania i ▌wdrożenia ECRIS-TCN, a w szczególności akty dotyczące:

a)  specyfikacji technicznych do celów przetwarzania danych alfanumerycznych;

b)  specyfikacji technicznych dotyczących jakości, rozdzielczości oraz przetwarzania danych daktyloskopijnych▌;

c)  specyfikacji technicznych oprogramowania interfejsowego;

d)  specyfikacji technicznych dotyczących jakości, rozdzielczości oraz przetwarzania wizerunków twarzy do celów art. 6 i na warunkach tam określonych;

e)  jakości danych, w tym mechanizmu i procedur przeprowadzania kontroli jakości danych;

f)  wprowadzania danych zgodnie z art. 5;

g)  dostępu do ECRIS-TCN i wysyłania zapytań do tego systemu zgodnie z art. 7;

h)  zmieniania i usuwania danych zgodnie z art. 8 i 9;

i)  prowadzenia rejestrów i dostępu do nich zgodnie z art. 31;

j)  funkcjonowania centralnego repozytorium oraz przepisów w zakresie bezpieczeństwa i ochrony danych mających zastosowanie do repozytorium, zgodnie z art. 32;

k)  przekazywania statystyk zgodnie z art. 32;

l)  wymagań w zakresie wydajności i dostępności ECRIS-TCN, w tym minimalnych specyfikacji i wymogów dotyczących wydajności biometrycznej ECRIS-TCN, w szczególności pod kątem wymaganego współczynnika fałszywego dopasowania i współczynnika fałszywego niedopasowania.

2.  Akty wykonawcze, o których mowa w ust. 1, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 38 ust. 2.

Artykuł 11

Rozwijanie ECRIS-TCN i  zarządzanie operacyjne tym systemem

1.  eu-LISA odpowiada za rozwój ECRIS-TCN zgodnie z zasadami uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Ponadto eu-LISA odpowiada za zarządzanie operacyjne ECRIS-TCN. Rozwój systemu obejmuje opracowanie i wdrożenie specyfikacji technicznych, testowanie oraz ogólne koordynowanie projektu.

2.  eu-LISA odpowiada także za dalsze rozwijanie i utrzymanie oprogramowania wzorcowego ECRIS.

3.  eu-LISA określa projekt architektury fizycznej ECRIS-TCN, w tym jego specyfikacje techniczne oraz ewolucję odnośnie do systemu centralnego, krajowego centralnego punktu dostępu oraz oprogramowania interfejsowego. Projekt przyjmuje zarząd eu-LIS-y, pod warunkiem uzyskania pozytywnej opinii Komisji.

4.  eu-LISA rozwija i wdraża ECRIS-TCN jak najszybciej po dniu wejścia w życie niniejszego rozporządzenia ▌i po przyjęciu przez Komisję aktów wykonawczych przewidzianych w art. 10.

5.  Przed rozpoczęciem etapu projektowania i rozwijania ECRIS-TCN zarząd eu-LIS-y ustanawia radę ds. zarządzania programem, w skład której wchodzi dziesięciu członków.

W skład rady ds. zarządzania programem wchodzi ośmiu członków powołanych przez zarząd, przewodniczący grupy doradczej, o której mowa w art. 39, oraz jeden członek powołany przez Komisję. Członkowie powoływani przez zarząd są wybierani wyłącznie spośród tych państw członkowskich, które zgodnie z prawem Unii w pełni podlegają instrumentom ustawodawczym regulującym ECRIS i które będą uczestniczyły w  ECRIS-TCN. Zarząd zapewnia, by powoływani przez niego do rady ds. zarządzania programem członkowie posiadali niezbędne doświadczenie i wiedzę fachową w zakresie rozwijania systemów informatycznych wspierających działalność organów wymiaru sprawiedliwości i organów odpowiedzialnych za rejestry karne oraz w zakresie zarządzania tymi systemami.

eu-LISA uczestniczy w pracach rady ds. zarządzania programem. W tym celu przedstawiciele eu-LIS-y uczestniczą w posiedzeniach rady ds. zarządzania programem, tak aby składać sprawozdania z prac dotyczących projektowania i rozwijania ECRIS-TCN i innych związanych z tym prac i działań.

Posiedzenia rady ds. zarządzania programem odbywają się przynajmniej raz na trzy miesiące lub częściej, jeżeli jest to niezbędne. Rada ds. zarządzania programem zapewnia odpowiednie zarządzanie etapem projektowania i rozwijania ECRIS-TCN oraz spójność między projektem centralnym a krajowymi projektami w zakresie ECRIS-TCN oraz krajowym oprogramowaniem ECRIS. Rada ds. zarządzania programem regularnie i, w miarę możliwości, co miesiąc, przedkłada zarządowi eu-LIS-y pisemne sprawozdania z postępów w realizacji projektu. Rada ds. zarządzania programem nie ma uprawnień do podejmowania decyzji ani do reprezentowania członków zarządu.

6.  Rada ds. zarządzania programem ustanawia swój regulamin, który zawiera w szczególności zasady dotyczące:

a)  przewodniczenia;

b)  miejsca posiedzeń;

c)  przygotowywania posiedzeń;

d)  dopuszczania ekspertów na posiedzenia;

e)  planów w zakresie komunikacji, które zapewniają pełne informacje członkom zarządu, którzy nie uczestniczą w posiedzeniach.

7.  Przewodnictwo rady ds. zarządzania programem sprawuje państwo członkowskie, które zgodnie z prawem Unii w pełni podlega instrumentom ustawodawczym regulującym ECRIS oraz instrumentom ustawodawczym regulującym rozwijanie, ustanawianie, funkcjonowanie i użytkowanie wszystkich wielkoskalowych systemów informatycznych zarządzanych przez eu-LIS-ę.

8.  eu-LISA ponosi wszystkie koszty podróży i utrzymania poniesione przez członków rady ds. zarządzania programem. Art. 10 regulaminu wewnętrznego eu-LIS-y stosuje się odpowiednio. eu-LISA zapewnia prowadzenie sekretariatu rady ds. zarządzania programem.

9.  Na etapie projektowania i rozwijania w skład grupy doradczej, o której mowa w art. 39, wchodzą kierownicy projektów krajowych w zakresie ECRIS-TCN, a przewodniczy jej eu-LISA. Na etapie projektowania i rozwijania posiedzenia grupy doradczej odbywają się regularnie, w miarę możliwości co najmniej raz w miesiącu, do momentu uruchomienia ECRIS-TCN. Po każdym posiedzeniu grupa doradcza przedkłada sprawozdanie radzie ds. zarządzania programem▌. Grupa doradcza zapewnia wiedzę techniczną wspierającą radę ds. zarządzania programem w realizacji zadań oraz śledzi stan przygotowań państw członkowskich.

10.  W celu zapewnienia, w sposób ciągły, poufności i integralności danych przechowywanych w ECRIS-TCN, eu-LISA, we współpracy z państwami członkowskimi, dostarcza odpowiednie środki techniczne i organizacyjne, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrożenia i ryzyka wiążącego się z przetwarzaniem.

11.  eu-LISA odpowiada za następujące zadania związane z infrastrukturą komunikacyjną, o której mowa w art. 4 ust. 1 lit. d):

a)  nadzór;

b)  bezpieczeństwo;

c)  koordynacja stosunków między państwami członkowskimi a dostawcą infrastruktury komunikacyjnej.

12.  Komisja odpowiada za wszelkie pozostałe zadania związane z infrastrukturą komunikacyjną, o której mowa a art. 4 ust. 1 lit. d), w szczególności za:

a)  zadania związane z wykonywaniem budżetu;

b)  zakupy i odnawianie;

c)  kwestie dotyczące umów.

13.  eu-LISA rozwija i utrzymuje mechanizm i procedury przeprowadzania kontroli jakości danych przechowywanych w ECRIS-TCN i przekazuje regularne sprawozdania państwom członkowskim. eu-LISA przekazuje Komisji regularne sprawozdania wskazujące napotkane problemy i państwa członkowskie, których problemy te dotyczą.

14.  Zarządzanie operacyjne ECRIS-TCN obejmuje wszelkie zadania niezbędne do utrzymania operacyjności ECRIS-TCN zgodnie z niniejszym rozporządzeniem, w szczególności prace konserwacyjne i usprawnienia techniczne niezbędne do zapewnienia funkcjonowania ECRIS-TCN na satysfakcjonującym poziomie zgodnie ze specyfikacjami technicznymi.

15.  eu-LISA wykonuje zadania związane z zapewnieniem szkoleń w zakresie technicznego użytkowania ECRIS-TCN oraz oprogramowania wzorcowego ECRIS.

16.  Bez uszczerbku dla art. 17 regulaminu pracowniczego urzędników Unii Europejskiej, ustanowionego rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68(17), eu-LISA stosuje właściwe przepisy dotyczące tajemnicy służbowej lub inne równoważne wymogi poufności do wszystkich członków swojego personelu, od których wymaga się pracy z danymi zapisanymi w systemie centralnym. Wymóg ten ma zastosowanie również po zakończeniu pełnienia urzędu przez te osoby lub po ustaniu ich zatrudnienia, lub po zakończeniu ich działalności.

Artykuł 12

Zakres odpowiedzialności państw członkowskich

1.  Każde państwo członkowskie odpowiada za:

a)  zapewnienie bezpiecznego połączenia między swoimi krajowymi bazami danych rejestrów karnych ▌i krajowymi bazami danych daktyloskopijnych a krajowym centralnym punktem dostępu;

b)  rozwój, funkcjonowanie i utrzymywanie połączenia, o którym mowa w lit. a);

c)  zapewnienie połączenia między swoimi systemami krajowymi a oprogramowaniem wzorcowym ECRIS;

d)  zarządzanie dostępem należycie upoważnionych członków personelu organów centralnych do ECRIS-TCN zgodnie z niniejszym rozporządzeniem i za ustalenia dotyczące tego dostępu oraz za sporządzenie i regularne aktualizowanie wykazu takich członków personelu oraz profili, o których mowa w art. 19 ust.3 lit. g).

2.  Każde państwo członkowskie zapewnia członkom personelu swojego organu centralnego, którzy posiadają prawo dostępu do ECRIS-TCN, odpowiednie szkolenie dotyczące, w szczególności, przepisów w zakresie bezpieczeństwa i ochrony danych oraz mających zastosowanie praw podstawowych, zanim zostaną oni upoważnieni do przetwarzania danych przechowywanych w systemie centralnym.

Artykuł 13

Odpowiedzialność za wykorzystywanie danych

1.  Zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych każde państwo członkowskie zapewnia, aby dane zapisane w ECRIS-TCN były przetwarzane w sposób zgodny z prawem, w szczególności aby:

a)  dostęp do danych mieli wyłącznie należycie upoważnieni członkowie personelu – do celów wykonywania przez nich ich zadań;

b)  dane były gromadzone zgodnie z prawem i z pełnym poszanowaniem godności ludzkiej i praw podstawowych obywateli państw trzecich;

c)  dane były wprowadzane do ECRIS-TCN zgodnie z prawem;

d)  dane były prawidłowe i aktualne w chwili ich wprowadzania do ECRIS-TCN.

2.  eu-LISA zapewnia, aby ECRIS-TCN był obsługiwany zgodnie z niniejszym rozporządzeniem, z aktem delegowanym, o którym mowa w art. 6 ust. 2, i z aktami wykonawczymi, o których mowa w art. 10, a także zgodnie z rozporządzeniem (UE) 2018/1725. W szczególności eu-LISA podejmuje środki niezbędne do zapewnienia bezpieczeństwa systemu centralnego oraz infrastruktury komunikacyjnej, o której mowa w art. 4 ust. 1 lit. d), bez uszczerbku dla zakresu odpowiedzialności każdego z państw członkowskich.

3.  eu-LISA informuje jak najszybciej Parlament Europejski, Radę i Komisję oraz Europejskiego Inspektora Ochrony Danych o środkach, które podejmuje zgodnie z ust. 2 do celów uruchomienia ECRIS-TCN.

4.  Komisja udostępnia informacje, o których mowa w ust. 3, państwom członkowskim i ogółowi społeczeństwa za pośrednictwem regularnie aktualizowanej strony internetowej.

Artykuł 14

Dostęp dla Eurojustu, Europolu i EPPO

1.  Eurojust ma bezpośredni dostęp do ECRIS-TCN do celów wdrożenia art. 17 oraz do celów wykonywania swoich zadań zgodnie z art. 2 rozporządzenia (UE) 2018/1727, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.

2.  Europol ma bezpośredni dostęp do ECRIS-TCN do celów wykonywania swoich zadań zgodnie z art. 4 ust. 1 lit. a)–e) i h) rozporządzenia (UE) 2016/794, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.

3.  EPPO ma bezpośredni dostęp do ECRIS-TCN do celów wykonywania swoich zadań zgodnie z art. 4 rozporządzenia (UE) 2017/1939, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.

4.  Po uzyskaniu trafienia wskazującego państwa członkowskie posiadające informacje z rejestrów karnych dotyczące obywatela państwa trzeciego Eurojust, Europol i EPPO mogą wykorzystać swoje odnośne kontakty z krajowymi organami tych państw członkowskich w celu wystąpienia z wnioskiem o udzielenie informacji z rejestrów karnych w sposób określony w odpowiednich aktach ustanawiających te agencje i ten organ.

Artykuł 15

Dostęp upoważnionych członków personelu Eurojustu, Europolu i EPPO

Eurojust, Europol i EPPO odpowiadają za zarządzanie dostępem należycie upoważnionych członków personelu do ECRIS-TCN zgodnie z niniejszym rozporządzeniem i za ustalenia dotyczące tego dostępu oraz ▌za sporządzenie i regularne aktualizowanie wykazu takich członków personelu wraz z ich profilami.

Artykuł 16

Zakres odpowiedzialności Eurojustu, Europolu▌ i EPPO ▌

▌Eurojust, Europol ▌i EPPO:

a)  ustanawiają środki techniczne umożliwiające połączenie z  ECRIS-TCN i odpowiadają za utrzymanie tego połączenia ▌;

b)  zapewniają odpowiednie szkolenie dotyczące, w szczególności, przepisów w zakresie bezpieczeństwa i ochrony danych oraz mających zastosowanie praw podstawowych tym spośród członków swojego personelu, którzy posiadają prawo dostępu do ECRIS-TCN, zanim zostaną oni upoważnieni do przetwarzania danych przechowywanych w systemie centralnym;

c)  zapewniają, aby dane osobowe przetwarzane przez nie na mocy niniejszego rozporządzenia były chronione zgodnie z mającymi zastosowanie przepisami z zakresu ochrony danych.

Artykuł 17

Punkt kontaktowy dla państw trzecich i organizacji międzynarodowych

1.  Państwa trzecie i organizacje międzynarodowe mogą, do celów postępowania karnego, kierować do Eurojustu wnioski o udzielenie informacji na temat tego, czy i które państwa członkowskie posiadają informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego. W tym celu korzystają one ze standardowego formularza zamieszczonego w załączniku do niniejszego rozporządzenia.

2.  Eurojust po otrzymaniu wniosku na podstawie ust. 1 korzysta z  ECRIS-TCN do ustalenia, czy i które państwa członkowskie posiadają ewentualnie informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego.

3.  W przypadku trafienia Eurojust zwraca się do państwa członkowskiego, które posiada informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, z pytaniem, czy wyraża ono zgodę na to, by Eurojust poinformował dane państwo trzecie lub daną organizację międzynarodową o nazwie tego państwa członkowskiego. Jeżeli to państwo członkowskie wyrazi zgodę, Eurojust informuje dane państwo trzecie lub daną organizację międzynarodową o nazwie tego państwa członkowskiego i  o tym, w jaki sposób można zgodnie z obowiązującymi procedurami złożyć do tego państwa członkowskiego wniosek o  wyciąg z rejestru karnego.

4.  W przypadku nieuzyskania trafienia lub w przypadku gdy Eurojust nie może udzielić odpowiedzi zgodnie z ust. 3 na wnioski złożone na podstawie niniejszego artykułu, Eurojust informuje dane państwo trzecie lub daną organizację międzynarodową, że zakończył procedurę, nie wskazując przy tym, czy któreś z państw członkowskich posiada informacje z rejestrów karnych dotyczące danej osoby.

Artykuł 18

Udzielanie informacji państwu trzeciemu, organizacji międzynarodowej lub podmiotowi prywatnemu

Eurojust, Europol, EPPO ani żaden inny organ centralny nie mogą przekazywać ani udostępniać państwu trzeciemu, organizacji międzynarodowej lub podmiotowi prywatnemu informacji uzyskanych z ECRIS-TCN dotyczących obywatela państwa trzeciego. Niniejszy artykuł stosuje się z zastrzeżeniem art. 17 ust. 3.

Artykuł 19

Bezpieczeństwo danych

1.  eu-LISA podejmuje środki niezbędne do zapewnienia bezpieczeństwa ECRIS-TCN, bez uszczerbku dla zakresu odpowiedzialności poszczególnych państw członkowskich, uwzględniając środki bezpieczeństwa określone w ust. 3.

2.  W odniesieniu do funkcjonowania ECRIS-TCN eu-LISA podejmuje środki niezbędne do osiągnięcia celów określonych w ust. 3, obejmujące przyjęcie planu bezpieczeństwa oraz planu ciągłości działania i przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, a także do zapewnienia, aby zainstalowane systemy, w przypadku przerwy w działaniu, mogły zostać przywrócone.

3.  Państwa członkowskie zapewniają bezpieczeństwo danych przed przesyłaniem i w czasie przesyłania danych do krajowego centralnego punktu dostępu oraz w czasie odbioru danych z krajowego centralnego punktu dostępu. W szczególności każde państwo członkowskie:

a)  zapewnia fizyczną ochronę danych, w tym poprzez sporządzenie planów awaryjnych służących ochronie ▌infrastruktury;

b)  uniemożliwia osobom nieupoważnionym dostęp do krajowych obiektów, w których państwo członkowskie wykonuje operacje związane z  ECRIS-TCN;

c)  zapobiega nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych;

d)  zapobiega nieuprawnionemu wprowadzaniu danych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych;

e)  zapobiega nieuprawnionemu przetwarzaniu danych w  ECRIS-TCN oraz nieuprawnionemu zmienianiu lub usuwaniu danych przetwarzanych w  ECRIS-TCN;

f)  zapewnia, by osoby upoważnione do dostępu do ECRIS-TCN miały dostęp wyłącznie do danych będących przedmiotem udzielonego im upoważnienia dostępu, wyłącznie za pomocą indywidualnego identyfikatora użytkownika oraz poufnego trybu dostępu;

g)  zapewnia, by wszystkie organy mające prawo dostępu do ECRIS-TCN opracowywały profile opisujące funkcje pełnione przez osoby upoważnione do wprowadzania danych, dokonywania ich sprostowania, usuwania, przeglądania lub wyszukiwania oraz zakres obowiązków tych osób, a także aby bez zbędnej zwłoki udostępniały te profile krajowym organom ▌nadzorczym na ich żądanie;

h)  zapewnia możliwość weryfikacji i ustalania, którym organom i jednostkom organizacyjnym Unii można przesyłać dane osobowe za pośrednictwem urządzeń do przesyłu danych;

i)  zapewnia możliwość weryfikacji i ustalenia, które dane zostały przetworzone w ECRIS-TCN, kiedy, przez kogo i do jakiego celu;

j)  zapobiega nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przesyłania do lub z ECRIS-TCN lub w trakcie transportu nośników danych, w szczególności przez zastosowanie odpowiednich technik szyfrowania;

k)  monitoruje skuteczność środków bezpieczeństwa, o których mowa w niniejszym ustępie, oraz podejmuje niezbędne środki organizacyjne w obszarze monitorowania własnej działalności i nadzoru, aby zapewnić przestrzeganie niniejszego rozporządzenia.

4.  eu-LISA i państwa członkowskie współpracują w celu zapewnienia spójnego podejścia do bezpieczeństwa danych w oparciu o proces zarządzania ryzykiem związanym z bezpieczeństwem obejmujący cały ECRIS-TCN.

Artykuł 20

Odpowiedzialność

1.  Każda osoba lub każde państwo członkowskie, które poniosły szkodę majątkową lub niemajątkową w wyniku operacji przetwarzania danych niezgodnej z prawem lub w wyniku czynności naruszającej niniejsze rozporządzenie, ma prawo do otrzymania odszkodowania od:

(a)  państwa członkowskiego, które odpowiada za poniesioną szkodę; lub

(b)  eu-LIS-y, w przypadku gdy eu-LISA nie spełniła obowiązków określonych w niniejszym rozporządzeniu lub w rozporządzeniu (UE) 2018/1725.

Państwo członkowskie, które odpowiada za poniesioną szkodę, lub, odpowiednio, eu-LISA są zwolnione z odpowiedzialności, w całości lub w części, jeżeli udowodnią, że nie ponoszą odpowiedzialności za zdarzenie, które spowodowało szkodę.

2.  Jeżeli niespełnienie przez dane państwo członkowskie, Eurojust, Europol lub EPPO ich obowiązków wynikających z niniejszego rozporządzenia spowoduje szkodę w ECRIS-TCN, odpowiedzialność za tę szkodę ponoszą, odpowiednio, to państwo członkowskie, Eurojust, Europol lub EPPO, chyba że – i w zakresie w jakim – eu-LISA lub inne państwo członkowskie uczestniczące w ECRIS-TCN nie podjęły rozsądnych środków, by zapobiec wystąpieniu szkody lub zminimalizować jej skutki.

3.  Roszczenia odszkodowawcze wobec państwa członkowskiego z tytułu szkody, o której mowa w ust. 1 i 2, reguluje prawo państwa członkowskiego, wobec którego kierowane są roszczenia. Roszczenia odszkodowawcze wobec eu-LIS-y, Eurojustu, Europolu i EPPO z tytułu szkody, o której mowa w ust. 1 i 2, regulują odpowiednie akty ustanawiające te agencje i ten organ.

Artykuł 21

Monitorowanie własnej działalności

Państwa członkowskie zapewniają, by każdy organ centralny podejmował środki niezbędne do wykonania niniejszego rozporządzenia oraz w razie potrzeby współpracował z organami nadzorczymi.

Artykuł 22

Sankcje

Każdy przypadek niezgodnego z prawem wykorzystania danych wprowadzonych do ECRIS-TCN podlega sankcjom lub środkom dyscyplinarnym zgodnie z prawem krajowym lub prawem Unii; sankcje te lub środki dyscyplinarne muszą być skuteczne, proporcjonalne i odstraszające.

ROZDZIAŁ V

PRAWA I NADZÓR W ZAKRESIE OCHRONY DANYCH

Artykuł 23

Administrator danych i podmiot przetwarzający dane

1.  Każdy organ centralny uznaje się za administratora danych zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych do celów przetwarzania danych osobowych przez państwo członkowskie tego organu centralnego na podstawie niniejszego rozporządzenia.

2.  eu-LIS-ę uznaje się za podmiot przetwarzający dane zgodnie z rozporządzeniem (UE) 2018/1725 w odniesieniu do danych osobowych wprowadzonych do systemu centralnego przez państwa członkowskie.

Artykuł 24

Cel przetwarzania danych osobowych

1.  Dane wprowadzone do systemu centralnego są przetwarzane wyłącznie do celu ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące obywateli państw trzecich.

2.  Z wyjątkiem należycie upoważnionych członków personelu Eurojustu, Europolu i EPPO, mających dostęp do ECRIS-TCN do celów niniejszego rozporządzenia, dostęp do ECRIS-TCN jest zarezerwowany wyłącznie dla należycie upoważnionych członków personelu organów centralnych▌. Dostęp ten jest ograniczony do zakresu niezbędnego do wykonywania zadań zgodnie z celem, o którym mowa w ust. 1, oraz do tego, co jest niezbędne i proporcjonalne do realizowanych celów.

Artykuł 25

Prawo dostępu, do sprostowania, do usunięcia oraz do ograniczenia przetwarzania danych osobowych

1.  Wnioski obywateli państw trzecich dotyczące praw dostępu do danych osobowych, do sprostowania, usunięcia oraz do ograniczenia przetwarzania danych osobowych, określonych w mających zastosowanie przepisach Unii w zakresie ochrony danych, mogą być kierowane do organu centralnego dowolnego państwa członkowskiego.

2.  W przypadku gdy dany wniosek skierowano do państwa członkowskiego innego niż skazujące państwo członkowskie, ▌państwo członkowskie, do którego skierowano wniosek, przekazuje go do skazującego państwa członkowskiego bez zbędnej zwłoki, a w każdym razie w terminie 10 dni roboczych od otrzymania wniosku. Po otrzymaniu wniosku skazujące państwo członkowskie:

a)  natychmiast rozpoczyna procedurę sprawdzenia prawidłowości przedmiotowych danych lub zgodności z prawem ich przetwarzania w ECRIS-TCN; oraz

b)  bez zbędnej zwłoki udziela odpowiedzi państwu członkowskiemu, które przekazało wniosek.

3.  W przypadku gdy dane zapisane w ECRIS-TCN są ▌nieprawidłowe lub były przetwarzane niezgodnie z prawem, skazujące państwo członkowskie dokonuje sprostowania tych danych lub je usuwa zgodnie z art. 9. Skazujące państwo członkowskie lub, w stosownym przypadku, państwo członkowskie, do którego skierowano wniosek, bez zbędnej zwłoki potwierdza zainteresowanej osobie na piśmie, że podjęto działania w celu sprostowania lub usunięcia danych dotyczących tej osoby. Skazujące państwo członkowskie informuje również bez zbędnej zwłoki każde inne państwo członkowskie, będące odbiorcą informacji dotyczących wyroków skazujących uzyskanych w wyniku wysłania zapytania do ECRIS-TCN, o działaniach, które zostały podjęte.

4.  Jeżeli skazujące państwo członkowskie ▌nie zgadza się z tym, że dane zapisane w ECRIS-TCN są nieprawidłowe lub były przetwarzane niezgodnie z prawem, państwo to wydaje decyzję administracyjną lub orzeczenie sądowe wyjaśniające zainteresowanej osobie na piśmie▌, dlaczego nie jest w stanie sprostować lub usunąć dotyczących jej danych. Takie przypadki mogą w stosownych sytuacjach zostać zgłoszone krajowemu organowi nadzorczemu.

5.  Państwo członkowskie, które wydało ▌decyzję lub orzeczenie na podstawie ust. 4, przekazuje również zainteresowanej osobie informacje wyjaśniające kroki, jakie osoba ta może podjąć, jeżeli ▌nie zgadza się z wyjaśnieniem udzielonym zgodnie z ust. 4. Obejmuje to informacje o tym, jak wnieść skargę lub powództwo do właściwych organów lub sądów tego państwa członkowskiego oraz informacje o wszelkiej pomocy, w tym ze strony krajowych organów nadzorczych, dostępnej zgodnie z prawem krajowym tego państwa członkowskiego.

6.  Wnioski składane na podstawie ust. 1 muszą zawierać ▌informacje niezbędne do zidentyfikowania zainteresowanej osoby. Informacje takie wykorzystuje się wyłącznie w celu zapewnienia możliwości wykonywania praw, o których mowa w ust. 1, po czym natychmiast się je usuwa.

7.  W przypadku gdy stosuje się ust. 2, organ centralny, do którego skierowany został wniosek, dokonuje pisemnej adnotacji dotyczącej złożenia takiego wniosku, sposobu jego rozpatrzenia oraz organu, do którego został on przekazany. Na wniosek krajowego organu nadzorczego dany organ centralny udostępnia temu krajowemu organowi nadzorczemu taką adnotację bez zbędnej zwłoki. Organ centralny i krajowy organ nadzorczy usuwają takie adnotacje trzy lata po ich dokonaniu.

Artykuł 26

Współpraca w celu zapewnienia poszanowania praw z zakresu ochrony danych

1.  Organy centralne współpracują ze sobą w celu zapewnienia poszanowania praw określonych w art. 25.

2.  W każdym państwie członkowskim krajowy organ nadzorczy udziela zainteresowanej osobie, na jej wniosek, informacji na temat sposobu wykonywania przysługującego jej prawa do tego, by dane, które jej dotyczą, zostały sprostowane lub usunięte zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych.

3.  Do celów niniejszego artykułu, krajowy organ nadzorczy państwa członkowskiego, które przesłało dane, oraz krajowy organ nadzorczy państwa członkowskiego, do którego skierowano wniosek, współpracują ze sobą w tym zakresie.

Artykuł 27

Środki ochrony prawnej

▌Każda osoba ma prawo do wniesienia skargi i prawo do środka ochrony prawnejskazującym państwie członkowskim, które odmówiło prawa dostępu do danych dotyczących tej osoby lub prawa do sprostowania lub usunięcia takich danych, o których mowa w art. 25 zgodnie z prawem krajowym lub prawem Unii.

Artykuł 28

Nadzór ze strony krajowych organów nadzorczych

1.  Każde państwo członkowskie zapewnia, aby krajowe organy nadzorcze wyznaczone zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych monitorowały zgodność z prawem przetwarzania przez dane państwo członkowskie danych osobowych, o których mowa w art. 5 i 6, w tym ich przesyłania do i z ECRIS-TCN.

2.  Krajowy organ nadzorczy zapewnia, by co najmniej co trzy lata od dnia uruchomienia ECRIS-TCN przeprowadzany był audyt operacji przetwarzania danych w krajowych bazach danych rejestrów karnych i krajowych bazach danych daktyloskopijnych w odniesieniu do wymiany danych między tymi systemami a ECRIS-TCN, zgodnie z odpowiednimi międzynarodowymi standardami przeprowadzania audytów.

3.  Państwa członkowskie zapewniają, by ich krajowe organy nadzorcze dysponowały zasobami wystarczającymi do wykonywania zadań powierzonych im na mocy niniejszego rozporządzenia.

4.  Każde państwo członkowskie przekazuje wszelkie informacje, o które zwracają się jego krajowe organy nadzorcze i, w szczególności, przekazuje im informacje dotyczące działań realizowanych zgodnie z art. 12, 13 i 19. Każde państwo członkowskie udziela swoim krajowym organom nadzorczym dostępu do swoich adnotacji na podstawie art. 25 ust. 7 i do swoich rejestrów na podstawie art. 31 ust. 6 oraz umożliwia im w każdej chwili dostęp do wszystkich swoich pomieszczeń powiązanych z ECRIS-TCN.

Artykuł 29

Nadzór ze strony Europejskiego Inspektora Ochrony Danych

1.  Europejski Inspektor Ochrony Danych monitoruje, czy czynności eu-LIS-y z zakresu przetwarzania danych osobowych związane z ECRIS-TCN są wykonywane zgodnie z niniejszym rozporządzeniem.

2.  Europejski Inspektor Ochrony Danych zapewnia, by co najmniej co trzy lata przeprowadzany był audyt podejmowanych przez eu-LIS-ę czynności z zakresu przetwarzania danych osobowych, zgodnie z odpowiednimi międzynarodowymi standardami przeprowadzania audytów. Sprawozdanie z takiego audytu przekazuje się Parlamentowi Europejskiemu, Radzie, Komisji, eu-LIS-ie oraz organom nadzorczym. eu-LISA ma możliwość przedstawienia uwag, zanim sprawozdanie zostanie przyjęte.

3.  eu-LISA dostarcza informacje, o które zwraca się Europejski Inspektor Ochrony Danych, zapewnia mu dostęp do wszystkich dokumentów oraz do swoich rejestrów, o których mowa w art. 31, jak również zapewnia mu w każdej chwili dostęp do wszystkich swoich pomieszczeń.

Artykuł 30

Współpraca krajowych organów nadzorczych z Europejskim Inspektorem Ochrony Danych

Zapewnia się skoordynowany nadzór nad ECRIS-TCN zgodnie z art. 62 rozporządzenia (UE) 2018/1725.

Artykuł 31

Prowadzenie rejestrów

1.  eu-LISA oraz właściwe organy zapewniają, zgodnie ze swoimi odpowiednimi zakresami odpowiedzialności, by wszystkie operacje przetwarzania danych w ECRIS-TCN były rejestrowane zgodnie z ust. 2 do celów sprawdzenia dopuszczalności wniosków, monitorowania integralności i bezpieczeństwa danych oraz zgodności przetwarzania danych z prawem, a także do celów monitorowania własnej działalności.

2.  W rejestrze ▌wskazuje się:

a)  cel wniosku o udzielenie dostępu do danych z ECRIS-TCN;

b)  przesłane dane, o których mowa w art. 5;

c)  krajową sygnaturę sprawy;

d)  datę i dokładną godzinę operacji;

e)  dane użyte do wysłania zapytania;

f)  znak identyfikacyjny urzędnika, który przeprowadził wyszukiwanie▌.

3.  Rejestr przeglądanych i ujawnionych informacji musi umożliwiać ustalenie, czy operacje te były uzasadnione.

4.  Rejestry należy wykorzystywać wyłącznie do monitorowania zgodności przetwarzania danych z prawem oraz do zapewnienia integralności i bezpieczeństwa danych. Do monitorowania i oceny, o których mowa w art. 36, wykorzystywać można wyłącznie rejestry zawierające dane nieosobowe. Rejestry te są zabezpieczane przed nieuprawnionym dostępem za pomocą właściwych środków i są usuwane po trzech latach, jeżeli nie są już niezbędne na potrzeby procedur monitorowania, które zostały już rozpoczęte.

5.  eu-LISA udostępnia, na żądanie, organom centralnym, bez zbędnej zwłoki, rejestry dotyczące swoich operacji przetwarzania.

6.  Właściwe krajowe organy nadzorcze odpowiedzialne za sprawdzanie dopuszczalności wniosku oraz monitorowanie zgodności przetwarzania danych z prawem, jak również integralności i bezpieczeństwa danych, uzyskują, na żądanie, dostęp do rejestrów w celu wypełniania swoich zadań. Organy centralne udostępniają, na żądanie, właściwym krajowym organom nadzorczym, bez zbędnej zwłoki, rejestry dotyczące swoich operacji przetwarzania.

ROZDZIAŁ VI

PRZEPISY KOŃCOWE

Artykuł 32

Wykorzystywanie danych do celów sprawozdawczych i statystycznych

1.  Należycie upoważnieni członkowie personelu eu-LIS-y, właściwych organów ▌ i Komisji mają dostęp do danych przetwarzanych w ECRIS-TCN wyłącznie do celów sporządzania sprawozdań i przekazywania statystyk, bez możliwości identyfikacji osób.

2.  Do celów ust. 1 eu-LISA ustanawia, wdraża i obsługuje w swoich centrach technicznych centralne repozytorium zawierające dane, o których mowa w ust. 1, które, bez możliwości identyfikacji osób, umożliwia uzyskanie konfigurowalnych sprawozdań i statystyk. Dostępu do centralnego repozytorium udziela się w drodze bezpiecznego dostępu z kontrolą dostępu i specjalnymi profilami użytkownika, wyłącznie do celów sprawozdawczych i statystycznych.

3.  Procedury wprowadzone przez eu-LIS-ę w celu monitorowania funkcjonowania ECRIS-TCN, o których mowa w art. 36, oraz oprogramowania wzorcowego ECRIS muszą przewidywać możliwość regularnego opracowywania statystyk do ▌ celów monitorowania.

Co miesiąc eu-LISA przekazuje Komisji statystyki ▌dotyczące zapisywania, przechowywania i wymiany informacji pobranych z rejestrów karnych za pośrednictwem ECRIS-TCN i oprogramowania wzorcowego ECRIS. eu-LISA zapewnia, aby nie była możliwa identyfikacja osób na podstawie tych statystyk. Na żądanie Komisji eu-LISA przekazuje jej statystyki dotyczące określonych aspektów wykonywania niniejszego rozporządzenia.

4.  Państwa członkowskie przekazują eu-LIS-ie statystyki niezbędne do wykonywania przez nią jej obowiązków, o których mowa w niniejszym artykule. Przekazują one Komisji statystyki dotyczące liczby skazanych obywateli państw trzecich oraz liczby wyroków skazujących wydanych wobec obywateli państw trzecich na swoim terytorium▌.

Artykuł 33

Koszty

1.  Koszty poniesione w związku z ustanowieniem i funkcjonowaniem systemu centralnego, infrastruktury komunikacyjnej, o której mowa w art. 4 ust. 1 lit. d), oprogramowania interfejsowego oraz oprogramowania wzorcowego ECRIS są pokrywane z budżetu ogólnego Unii.

2.  Koszty połączenia Eurojustu, Europolu oraz ▌EPPO ▌ z ECRIS-TCN są pokrywane z ich odpowiednich budżetów.

3.  Pozostałe koszty są pokrywane przez państwa członkowskie, w szczególności koszty poniesione w związku z połączeniem istniejących krajowych rejestrów karnych, baz danych daktyloskopijnych i organów centralnych z s ECRIS-TCN, a także koszty obsługi oprogramowania wzorcowego ECRIS.

Artykuł 34

Powiadomienia

1.  Każde państwo członkowskie powiadamia eu-LIS-ę o swoim organie centralnym lub swoich organach centralnych, które mają dostęp do wprowadzania danych, ich prostowania, usuwania, przeglądania lub wyszukiwania, a także o wszelkich zmianach w tym zakresie.

2.  eu-LISA zapewnia opublikowanie wykazu organów centralnych, o których powiadomiły państwa członkowskie, w Dzienniku Urzędowym Unii Europejskiej oraz na swojej stronie internetowej. W przypadku otrzymania przez eu-LIS-ę powiadomienia o zmianie w zakresie organu centralnego danego państwa członkowskiego, eu-LISA aktualizuje ten wykaz bez zbędnej zwłoki.

Artykuł 35

Wprowadzanie danych i uruchomienie systemu

1.  Komisja określi dzień, od którego państwa członkowskie rozpoczynają wprowadzanie do ECRIS-TCN danych, o których mowa w art. 5, gdy tylko uzna, że spełnione są następujące warunki▌:

a)  przyjęto odpowiednie akty wykonawcze, o których mowa w art. 10;

b)  państwa członkowskie zatwierdziły uzgodnienia techniczne i prawne dotyczące gromadzenia i przesyłania danych, o których mowa w art. 5, do ECRIS-TCN i powiadomiły o nich Komisję;

c)  eu-LISA przeprowadziła, we współpracy z państwami członkowskimi, kompleksowy test ECRIS-TCN przy użyciu anonimowych danych testowych.

2.  Po określeniu przez Komisję dnia rozpoczęcia wprowadzania danych zgodnie z ust. 1, informuje ona państwa członkowskie o tym dniu. W terminie dwóch miesięcy od tego dnia państwa członkowskie wprowadzają do ECRIS-TCN dane, o których mowa w art. 5, uwzględniając art. 41 ust. 2.

3.  Po upływie terminu, o którym mowa w ust. 2, eu-LISA przeprowadza, we współpracy z państwami członkowskimi, końcowy test ECRIS-TCN.

4.  Jeżeli test, o którym mowa w ust. 3, zakończy się pomyślnie, a  eu-LISA uzna, że ECRIS-TCN jest gotowy do tego, by go uruchomić, powiadamia Komisję. Komisja informuje Parlament Europejski i Radę o wynikach testu i podejmuje decyzję w sprawie dnia, w którym ma nastąpić uruchomienie ECRIS-TCN.

5.  Decyzja Komisji w sprawie dnia uruchomienia ECRIS-TCN, o której mowa w ust. 4, jest publikowana w Dzienniku Urzędowym Unii Europejskiej.

6.  Państwa członkowskie rozpoczynają korzystanie z ECRIS-TCN od dnia określonego przez Komisję zgodnie z ust. 4.

7.  Podejmując decyzje, o których mowa w niniejszym artykule, Komisja może określić różne dni wprowadzania do ECRIS-TCN danych alfanumerycznych i danych daktyloskopijnych, o których mowa w art. 5, a także różne dni uruchomienia systemu w odniesieniu do tych różnych kategorii danych.

Artykuł 36

Monitorowanie i ocena

1.  eu-LISA zapewnia wdrożenie procedur, które będą służyć monitorowaniu rozwijania ECRIS-TCN pod kątem celów dotyczących planowania i kosztów oraz monitorowaniu funkcjonowania ECRIS-TCN i oprogramowania wzorcowego ECRIS pod kątem celów dotyczących rezultatów technicznych, opłacalności, bezpieczeństwa i jakości usług.

2.  W celu monitorowania funkcjonowania ECRIS-TCN i zachowania jego dobrego stanu technicznego eu-LISA ma dostęp do niezbędnych informacji o operacjach przetwarzania danych wykonywanych w ECRIS-TCN oraz w oprogramowaniu wzorcowym ECRIS.

3.  W terminie do dnia … [sześć miesięcy od wejścia niniejszego rozporządzenia w życie], a następnie co sześć miesięcy na etapie projektowania i rozwijania, eu-LISA przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie dotyczące aktualnej sytuacji w zakresie rozwoju ECRIS-TCN i oprogramowania wzorcowego ECRIS.

4.  Sprawozdanie, o którym mowa w ust. 3, zawiera informacje na temat bieżących kosztów i postępów w realizacji projektu, ocenę skutków finansowych, a także informacje na temat wszelkich problemów technicznych i czynników ryzyka, które mogą mieć wpływ na ogólne koszty ECRIS-TCN pokrywane zgodnie z art. 33 z budżetu ogólnego Unii.

5.  W przypadku znacznych opóźnień w procesie rozwijania, eu-LISA jak najszybciej informuje Parlament Europejski i Radę o powodach tych opóźnień oraz o ich skutkach czasowych i finansowych.

6.  Po zakończeniu rozwijania ECRIS-TCN i oprogramowania wzorcowego ECRIS eu-LISA przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie, które zawiera wyjaśnienia dotyczące sposobu osiągnięcia celów, w szczególności w zakresie planowania i kosztów, oraz uzasadnienie wszelkich rozbieżności.

7.  W przypadku technicznej modernizacji ECRIS-TCN, która mogłaby wiązać się ze znacznymi kosztami, eu-LISA informuje Parlament Europejski i Radę.

8.  Po dwóch latach od uruchomienia ECRIS-TCN, a następnie co roku eu-LISA przekazuje Komisji sprawozdanie na temat technicznego funkcjonowania ECRIS-TCN i oprogramowania wzorcowego ECRIS, w tym ich bezpieczeństwa, oparte w szczególności na statystykach dotyczących funkcjonowania i korzystania z  ECRIS-TCN oraz wymiany – za pośrednictwem oprogramowania wzorcowego ECRIS – informacji pochodzących z rejestrów karnych.

9.  Po czterech latach od uruchomienia ECRIS-TCN, a następnie co cztery lata Komisja przeprowadza ogólną ocenę ECRIS-TCN oraz oprogramowania wzorcowego ECRIS. Sporządzone na tej podstawie sprawozdanie z ogólnej oceny zawiera ocenę stosowania niniejszego rozporządzenia oraz analizę osiągniętych wyników w stosunku do ustalonych celów i wpływu na prawa podstawowe. Sprawozdanie zawiera również ocenę dalszej zasadności przesłanek leżących u podstaw funkcjonowania ECRIS-TCN, ocenę stosowności wykorzystywania danych biometrycznych na potrzeby ECRIS‑TCN, ocenę bezpieczeństwa ECRIS-TCN i ocenę wszelkich skutków w zakresie bezpieczeństwa dla przyszłych operacji. Ocena ta obejmuje także wszelkie niezbędne zalecenia. Komisja przekazuje ▌sprawozdanie Parlamentowi Europejskiemu, Radzie, Europejskiemu Inspektorowi Ochrony Danych i Agencji Praw Podstawowych Unii Europejskiej.

10.  Ponadto pierwsza ogólna ocena, o której mowa w ust. 9, obejmuje ocenę:

a)  zakresu, w jakim – na podstawie odpowiednich danych statystycznych oraz bardziej szczegółowych informacji od państw członkowskich – zamieszczenie w ECRIS-TCN informacji dotyczących tożsamości obywateli Unii, którzy posiadają także obywatelstwo państwa trzeciego, przyczyniło się do osiągnięcia celów niniejszego rozporządzenia;

b)  możliwości, w przypadku niektórych państw członkowskich, dalszego korzystania z krajowego oprogramowania ECRIS, o którym mowa w art. 4;

c)  wprowadzania do ECRIS-TCN danych daktyloskopijnych, w szczególności stosowania minimalnych kryteriów, o których mowa w art. 5 ust. 1 lit. b) ppkt (ii);

d)  wpływu ECRIS i  ERCIS-TCN na ochronę danych osobowych.

W razie potrzeby do oceny można dołączyć wnioski ustawodawcze. Kolejne ogólne oceny mogą obejmować ocenę dowolnego lub wszystkich spośród wymienionych aspektów.

11.  Państwa członkowskie, Eurojust, Europol ▌i EPPO▌ przekazują eu-LIS-ie i Komisji informacje niezbędne do sporządzenia sprawozdań, o których mowa w ust. 3, 8 i 9, zgodnie ze wskaźnikami ilościowymi ustalonymi wcześniej przez Komisję lub eu-LIS-ę. Informacje takie nie mogą stanowić zagrożenia dla metod pracy ani ujawniać informacji o źródłach, członkach personelu lub postępowaniach przygotowawczych.

12.  W stosownych przypadkach organy nadzorcze przekazują eu-LIS-ie i Komisji informacje niezbędne do sporządzenia sprawozdań, o których mowa w ust. 9, zgodnie ze wskaźnikami ilościowymi ustalonymi wcześniej przez Komisję lub eu-LIS-ę. Informacje takie nie mogą stanowić zagrożenia dla metod pracy ani ujawniać informacji o źródłach, członkach personelu lub postępowaniach przygotowawczych.

13.  eu-LISA przekazuje Komisji informacje niezbędne do sporządzenia ogólnych ocen, o których mowa w ust. 9.

Artykuł 37

Wykonywanie przekazanych uprawnień

1.  Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2.  Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 6 ust. 2, powierza się Komisji na czas nieokreślony od dnia … [data wejścia w życie niniejszego rozporządzenia].

3.  Przekazanie uprawnień, o którym mowa w art. 6 ust. 2, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.

4.  Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.

5.  Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

6.  Akt delegowany przyjęty na podstawie art. 6 ust. 2 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

Artykuł 38

Procedura komitetowa

1.  Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011▌.

2.  W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.

W przypadku gdy komitet nie wyda żadnej opinii, Komisja nie przyjmuje projektu aktu wykonawczego i stosuje się art. 5 ust. 4 akapit trzeci rozporządzenia (UE) nr 182/2011.

Artykuł 39

Grupa doradcza

eu-LISA ustanawia grupę doradczą, która ma jej służyć wiedzą fachową w zakresie ECRIS-TCN i oprogramowania wzorcowego ECRIS, w szczególności w kontekście przygotowywania jej rocznego programu prac oraz jej rocznego sprawozdania z  działalności. Na etapie projektowania i rozwijania stosuje się art. 11 ust. 9.

Artykuł 40

Zmiana rozporządzenia (UE) 2018/1726

W rozporządzeniu (UE) 2018/1726 wprowadza się następujące zmiany:

1)  art. 1 ust. 4 otrzymuje brzmienie:"

„4. Agencja odpowiada za przygotowywanie i rozwijanie systemu wjazdu/wyjazdu (EES), DubliNet, europejskiego systemu informacji o podróży oraz zezwoleń na podróż (ETIAS), ECRIS-TCN oraz oprogramowania wzorcowego ECRIS lub za zarządzanie operacyjne tymi systemami i oprogramowaniem.;

"

2)  dodaje się artykuł w brzmieniu:"

„Artykuł 8a

Zadania związane z  ECRIS-TCN i oprogramowaniem wzorcowym ECRIS

W odniesieniu do ECRIS-TCN oraz oprogramowania wzorcowego ECRIS Agencja wykonuje:

   a) zadania powierzone jej na mocy rozporządzenia Parlamentu Europejskiego i Rady ▌(UE) …/*(18);
   b) zadania związane ze szkoleniem w zakresie technicznego użytkowania ECRIS-TCN oraz oprogramowania wzorcowego ECRIS.

__________________

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) … z dnia … ustanawiające scentralizowany system służący do ustalania państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (ECRIS-TCN) na potrzeby uzupełnienia europejskiego systemu przekazywania informacji z rejestrów karnych oraz zmieniające rozporządzenie (UE) 2018/1726 (Dz.U. L ...).(19);

"

3)  art. 14 ust. 1 otrzymuje brzmienie:"

1. Agencja monitoruje ▌rozwój prac badawczych istotnych dla zarządzania operacyjnego systemami SIS II, VIS, Eurodac, EES, ETIAS, DubliNet, ECRIS-TCN oraz innymi wielkoskalowymi systemami informatycznymi, o których mowa w art. 1 ust. 5.”;

"

4)  w art. 19 ust. 1 wprowadza się następujące zmiany:

a)  lit. ee) otrzymuje brzmienie:"

„ee) przyjmuje sprawozdania dotyczące rozwoju systemu EES zgodnie z art. 72 ust. 2 rozporządzenia (UE) 2017/2226, sprawozdania dotyczące rozwoju systemu ETIAS zgodnie z art. 92 ust. 2 rozporządzenia (UE) 2018/1240 oraz sprawozdania dotyczące rozwoju ECRIS-TCN i oprogramowania wzorcowego ECRIS zgodnie z art. 36 ust. 3 rozporządzenia (UE) …/…(20);”;

"

b)  lit. ff) otrzymuje brzmienie:"

„ff) przyjmuje sprawozdania na temat technicznych aspektów funkcjonowania systemu SIS II zgodnie z, odpowiednio, art. 50 ust. 4 rozporządzenia (WE) nr 1987/2006 oraz art. 66 ust. 4 decyzji 2007/533/WSiSW, systemu VIS zgodnie z art. 50 ust. 3 rozporządzenia (WE) 767/2008 i art. 17 ust. 3 decyzji 2008/633/WSiSW, systemu EES zgodnie z art. 72 ust. 4 rozporządzenia (UE) 2017/2226, systemu ETIAS zgodnie z art. 92 ust. 4 rozporządzenia (UE) 2018/1240 oraz ECRIS-TCN i oprogramowania wzorcowego ECRIS zgodnie z art. 36 ust. 8 rozporządzenia (UE) …/…+:”;

"

c)  lit. hh) otrzymuje brzmienie:"

hh) przyjmuje oficjalne uwagi do sprawozdań Europejskiego Inspektora Ochrony Danych z przeprowadzanych audytów, na podstawie art. 45 ust. 2 rozporządzenia (WE) nr 1987/2006, art. 42 ust. 2 rozporządzenia (WE) nr 767/2008 i art. 31 ust. 2 rozporządzenia (UE) nr 603/2013, art. 56 ust. 2 rozporządzenia (UE) 2017/2226, art. 67 rozporządzenia (UE) 2018/1240 i art. 29 ust. 2 rozporządzenia (UE) …/…(21), a także zapewnia odpowiednie działania następcze w sprawie tych audytów;;

"

d)  dodaje się literę w brzmieniu:"

„lla) przekazuje Komisji statystyki dotyczące ECRIS-TCN i oprogramowania wzorcowego ECRIS zgodnie z art. 32 ust. 3 akapit drugi rozporządzenia …/…+;”;

"

e)  lit. mm) otrzymuje brzmienie:"

mm) zapewnia coroczną publikację wykazu właściwych organów upoważnionych do bezpośredniego wyszukiwania danych znajdujących się w systemie SIS II, zgodnie z art. 31 ust. 8 rozporządzenia (WE) nr 1987/2006 i art. 46 ust. 8 decyzji 2007/533/WSiSW, wraz z wykazem urzędów krajowych systemów SIS II (urzędy N.SIS II) oraz biur SIRENE, zgodnie z, odpowiednio,▌ art. 7 ust. 3 rozporządzenia (WE) nr 1987/2006 i art. 7 ust. 3 decyzji 2007/533/WSiSW, oraz wykazu właściwych organów zgodnie z art. 65 ust. 2 rozporządzenia (UE) 2017/2226, wykazu właściwych organów zgodnie z art. 87 ust. 2 rozporządzenia (UE) 2018/1240▌ i wykazu organów centralnych zgodnie z art. 34 ust. 2 rozporządzenia …/…(22);”;

"

5)  w art. 22 ust. 4 po akapicie trzecim dodaje się akapit w brzmieniu:"

„Eurojust, Europol i EPPO mogą uczestniczyć w posiedzeniach zarządu jako obserwatorzy, gdy porządek obrad obejmuje kwestię dotyczącą ECRIS-TCN w związku ze stosowaniem rozporządzenia …/…(23).”;

"

6)  art. 24 ust. 3 lit. p) otrzymuje brzmienie:"

„p) określenie, bez uszczerbku dla art. 17 regulaminu pracowniczego urzędników, ▌wymogów poufności w celu wykonania art. 17 rozporządzenia (WE) nr 1987/2006, art. 17 decyzji 2007/533/WSiSW, art. 26 ust. 9 rozporządzenia (WE) nr 767/2008, art. 4 ust. 4 rozporządzenia (UE) nr 603/2013▌, art. 37 ust. 4 rozporządzenia (UE) 2017/2226, art. 74 ust. 2 rozporządzenia (UE) 2018/1240 oraz art. 11 ust. 16 rozporządzenia (UE) …/…(24) ;

"

7)  w art. 27 ust. 1 dodaje się literę w brzmieniu:"

(da) grupa doradcza ds. ECRIS–TCN;”.

"

Artykuł 41

Wykonanie i przepisy przejściowe

1.  Aby zapewnić właściwe funkcjonowanie ECRIS-TCN, państwa członkowskie jak najszybciej podejmują środki niezbędne do wykonania ▌niniejszego rozporządzenia.

2.  W przypadku wyroków skazujących wydanych przed dniem rozpoczęcia wprowadzania danych zgodnie z art. 35 ust. 1 organy centralne tworzą poszczególne wpisy w systemie centralnym, przestrzegając poniższych terminów:

a)  dane alfanumeryczne do wprowadzenia do systemu centralnego: do końca okresu, o którym mowa w art. 35 ust. 2;

b)  dane daktyloskopijne do wprowadzenia do systemu centralnego: w terminie dwóch lat od uruchomienia systemu zgodnie z art. 35 ust. 4.

Artykuł 42

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich zgodnie z Traktatami.

Sporządzono w ...

W imieniu Parlamentu Europejskiego W imieniu Rady

Przewodniczący Przewodniczący

ZAŁĄCZNIK

Standardowy formularz wniosku o informacje,

o którym mowa w art. 17 ust. 1 rozporządzenia (UE) …/…(25),

na potrzeby uzyskania informacji na temat tego, czy i które państwo członkowskie posiada

informacje z rejestrów karnych dotyczące obywatela państwa trzeciego

Niniejszy formularz, dostępny na stronie www.eurojust.europa.eu we wszystkich 24 językach urzędowych instytucji Unii, powinien być skierowany w jednym z tych języków na adres: ECRIS-TCN@eurojust.europa.eu

Państwo lub organizacja międzynarodowa występujące z wnioskiem:

Nazwa państwa lub organizacji międzynarodowej:

Organ składający wniosek:

Reprezentowany przez (imię i nazwisko osoby):

Tytuł:

Adres:

Numer telefonu:

Adres e-mail:

Postępowanie karne, na potrzeby którego poszukiwane są informacje:

Krajowy numer referencyjny:

Właściwy organ:

Rodzaj przestępstw objętych postępowaniem przygotowawczym (proszę podać odpowiedni artykuł/artykuły kodeksu karnego):

Inne istotne informacje (np. czy wniosek jest pilny):

Informacje dotyczące tożsamości osoby posiadającej obywatelstwo państwa trzeciego, w odniesieniu do której poszukiwane są informacje dotyczące skazującego państwa członkowskiego:

Uwaga: proszę podać jak najwięcej dostępnych informacji.

Nazwisko (nazwisko rodowe):

Imię (imiona) (imiona nadane):

Data urodzenia:

Miejsce urodzenia (miejscowość i państwo):

Obywatelstwo lub obywatelstwa:

Płeć:

Poprzednie imiona i nazwiska (jeżeli dotyczy):

Imiona i nazwiska rodziców:

Numer identyfikacyjny:

Rodzaj i numer dokumentu (dokumentów) tożsamości:

Organ, który wydał dokument (dokumenty):

Pseudonimy lub przydomki:

Jeśli dostępne są dane daktyloskopijne, proszę je przekazać.

W przypadku kilku osób ich dane należy wprowadzić odrębnie

Rozwijana lista umożliwiająca wprowadzanie dodatkowych podmiotów

Miejscowość

 

 

Data

 

 

Podpis i pieczęć (elektroniczne):

(1)Stanowisko Parlamentu Europejskiego z dnia 12 marca 2019 r.
(2)Decyzja ramowa Rady 2008/675/WSiSW z dnia 24 lipca 2008 r. w sprawie uwzględniania w nowym postępowaniu karnym wyroków skazujących zapadłych w państwach członkowskich Unii Europejskiej (Dz.U. L 220 z 15.8.2008, s. 32).
(3)Decyzja ramowa Rady 2009/315/WSiSW z dnia 26 lutego 2009 r. w sprawie organizacji wymiany informacji pochodzących z rejestru karnego pomiędzy państwami członkowskimi oraz treści tych informacji (Dz.U. L 93 z 7.4.2009, s. 23).
(4)Decyzja Rady 2009/316/WSiSW z dnia 6 kwietnia 2009 r. w sprawie ustanowienia europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS), zgodnie z art. 11 decyzji ramowej 2009/315/WSiSW (Dz.U. L 93 z 7.4.2009, s. 33).
(5)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1726 z dnia 14 listopada 2018 r. w sprawie Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA), zmiany rozporządzenia (WE) nr 1987/2006 i decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia (UE) nr 1077/2011 (Dz.U. L 295 z 21.11.2018, s. 99).
(6)Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1).
(7)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1727 z dnia 14 listopada 2018 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych (Eurojust) oraz zastąpienia i uchylenia decyzji Rady 2002/187/WSiSW (Dz.U. L 295 z 21.11.2018, str. 138).
(8)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz.U. L 135 z 24.5.2016, s. 53).
(9)Rozporządzenie Rady (UE) 2017/1939 z dnia 12 października 2017 r. wdrażające wzmocnioną współpracę w zakresie ustanowienia Prokuratury Europejskiej (Dz.U. L 283 z 31.10.2017, s. 1).
(10)Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
(11)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(12)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(13)Dz.U. L 123 z 12.5.2016, s. 1.
(14)Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).
(15)Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
(16)Dz.U. C 55 z 14.2.2018, s. 4.
(17)Dz.U. L 56 z 4.3.1968, s. 1.
(18)+Dz.U.: proszę wstawić w tekście numer niniejszego rozporządzenia.
(19)++ Dz.U.: proszę wstawić numer, datę i adres publikacyjny w Dz.U. niniejszego rozporządzenia.
(20) +Dz.U.: Proszę wstawić numer niniejszego rozporządzenia.
(21)+Dz.U.: Proszę wstawić numer niniejszego rozporządzenia.
(22)+Dz.U.: Proszę wstawić numer niniejszego rozporządzenia.
(23)+Dz.U.: Proszę wstawić numer niniejszego rozporządzenia.
(24)+Dz.U.: Proszę wstawić numer niniejszego rozporządzenia.
(25)+ Dz. U.: proszę wstawić numer niniejszego rozporządzenia.

Ostatnia aktualizacja: 13 marca 2019Informacja prawna