Decyzja wykonawcza 2021/627 ustanawiająca przepisy dotyczące prowadzenia rejestrów w europejskim systemie informacji o podróży oraz zezwoleń na podróż (ETIAS) i dostępu do tych rejestrów zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1240

Dzienniki UE

Dz.U.UE.L.2021.131.187

Akt obowiązujący
Wersja od: 16 kwietnia 2021 r.

DECYZJA WYKONAWCZA KOMISJI (UE) 2021/627
z dnia 15 kwietnia 2021 r.
ustanawiająca przepisy dotyczące prowadzenia rejestrów w europejskim systemie informacji o podróży oraz zezwoleń na podróż (ETIAS) i dostępu do tych rejestrów zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1240

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1240 z dnia 12 września 2018 r. ustanawiające europejski system informacji o podróży oraz zezwoleń na podróż (ETIAS) i zmieniające rozporządzenia (UE) nr 1077/2011, (UE) nr 515/2014, (UE) 2016/399, (UE) 2016/1624 i (UE) 2017/2226 1 , w szczególności jego art. 73 ust. 3 akapit trzeci lit. b) ppkt (iii),

a także mając na uwadze, co następuje:

(1) Rozporządzeniem (UE) 2018/1240 ustanowiono europejski system informacji o podróży oraz zezwoleń na podróż ("ETIAS") dla obywateli państw trzecich zwolnionych z obowiązku posiadania wizy do celów wjazdu na terytorium państw członkowskich i pobytu w nim.

(2) Funkcjonowanie europejskiego systemu informacji o podróży oraz zezwoleń na podróż wymaga opracowania i technicznego wdrożenia systemu informacyjnego ETIAS. System ten ma obejmować rejestry, w których zapisuje się wszystkie przeprowadzone operacje przetwarzania danych.

(3) Konieczne jest określenie przepisów dotyczących prowadzenia rejestrów i dostępu do nich. Rejestry powinny być wykorzystywane wyłącznie do weryfikacji zgodności z obowiązkami w zakresie przetwarzania danych oraz do zapewnienia integralności i bezpieczeństwa operacyjnych danych osobowych.

(4) Jeśli chodzi o prowadzenie rejestrów, konieczne jest określenie miejsca ich przechowywania, sposobu ich technicznego zapisywania, również w przypadku, gdy pochodzą one z różnych części składowych europejskiego systemu informacji o podróży oraz zezwoleń na podróż, a także należy określić przepisy mające zastosowanie do usuwania rejestrów po upływie okresu ich przechowywania.

(5) Co się tyczy dostępu do rejestrów, konieczne jest określenie właściwych organów, w tym, w stosownych przypadkach, osób w tych organach, którym należy przyznać dostęp do rejestrów i na potrzeby których można udostępnić rejestry. Aby zapewnić właściwym organom możliwość wykonywania ich obowiązków związanych z monitorowaniem dopuszczalności przetwarzania danych oraz zagwarantowaniem bezpieczeństwa i integralności danych, należy ułatwić identyfikację rejestrów poprzez skuteczną funkcję wyszukiwania.

(6) Rejestry, w których zapisywane są dane o dostępie przez należycie upoważniony personel organów krajowych w każdym państwie członkowskim i należycie upoważniony personel agencji unijnych do celów, o których mowa w art. 13 ust. 4a rozporządzenia (UE) 2018/1240, należy prowadzić zgodnie z wymogami określonymi w art. 24 ust. 2 i 3 rozporządzenia (UE) 2019/817.

(7) Za etap projektowania i rozwoju systemu informacyjnego ETIAS odpowiada Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości ("eu-LISA"). Środki określone w niniejszej decyzji powinny umożliwić Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości zaprojektowanie architektury fizycznej europejskiego systemu informacji o podróży oraz zezwoleń na podróż, w tym jego infrastruktury łączności i specyfikacji technicznych, a następnie powinny umożliwić rozwój tego systemu. Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości powinna uzupełnić wspomniane środki o specyfikacje techniczne i dokument kontroli interfejsu europejskiego systemu informacji o podróży oraz zezwoleń na podróż.

(8) Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie uczestniczyła w przyjęciu rozporządzenia (UE) 2018/1240 i nie jest nim związana ani go nie stosuje. Ze względu jednak na to, że rozporządzenie (UE) 2018/1240 opiera się na dorobku Schengen, zgodnie z art. 4 tego protokołu Dania powiadomiła w dniu 21 grudnia 2018 r. o swojej decyzji w sprawie wdrożenia rozporządzenia (UE) 2018/1240 do swojego prawa krajowego.

(9) Niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen, które nie mają zastosowania do Irlandii zgodnie z decyzją Rady 2002/192/WE 2 ; Irlandia nie uczestniczy w związku z tym w jej przyjęciu i nie jest nią związana ani jej nie stosuje.

(10) W odniesieniu do Islandii i Norwegii niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Układu zawartego przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącego włączenia tych dwóch państw we wprowadzanie w życie, w stosowanie i rozwój dorobku Schengen 3 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE 4 .

(11) W odniesieniu do Szwajcarii niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 5 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE w związku z art. 3 decyzji Rady 2008/146/WE 6 .

(12) W odniesieniu do Liechtensteinu niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 7 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE w związku z art. 3 decyzji Rady 2011/350/UE 8 .

(13) W odniesieniu do Cypru, Bułgarii, Rumunii i Chorwacji niniejsza decyzja stanowi akt oparty na dorobku Schengen lub w inny sposób z nim związany odpowiednio w rozumieniu art. 3 ust. 1 Aktu przystąpienia z 2003 r., art. 4 ust. 1 Aktu przystąpienia z 2005 r. oraz art. 4 ust. 1 Aktu przystąpienia z 2011 r.

(14) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 9  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 4 września 2020 r.

(15) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ds. Inteligentnych Granic (ETIAS),

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Prowadzenie rejestrów operacji przetwarzania danych

1. 
Rejestry wszystkich operacji przetwarzania danych w systemie informacyjnym ETIAS, które mają być prowadzone zgodnie z art. 69 ust. 1 rozporządzenia (UE) 2018/1240, w tym rejestry dotyczące dostępu przewoźników, jak przewidziano w art. 45 ust. 7, służby graniczne i organy imigracyjne, jak przewidziano w art. 69 ust. 3 rozporządzenia (UE) 2018/1240, oraz centralne punkty dostępu, jak przewidziano w art. 70 ust. 1 rozporządzenia (UE) 2018/1240, są zapisywane i przechowywane przez Agencję Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości w systemie centralnym ETIAS.
2. 
Każda operacja przetwarzania danych w systemie informacyjnym ETIAS zapisywana jest jako osobny wpis w rejestrze.

Wpis w rejestrze zawiera specjalne pole umożliwiające identyfikację szczegółowych informacji dotyczących wykonanej operacji.

3. 
Wpis w rejestrze zapisywany jest wraz z godziną i datą każdej operacji przetwarzania danych ("znacznik czasu").
4. 
W każdym wpisie w rejestrze przechowuje się niepowtarzalny identyfikator organu, jak również urzędnika lub członka personelu uzyskującego dostęp do danych przechowywanych w systemie centralnym ETIAS, zmieniającego lub usuwającego te dane.
5. 
Wpisy w rejestrze są codziennie usuwane przez system centralny ETIAS zgodnie z okresami przechowywania, o których mowa w art. 45 ust. 7, art. 69 ust. 4 i art. 70 ust. 4 rozporządzenia (UE) 2018/1240.

Znacznik czasu stosuje się do identyfikacji wpisów w rejestrze, które mają zostać usunięte na koniec odpowiedniego okresu przechowywania ustalonego dla każdego rodzaju rejestru.

Artykuł  2

Dostęp do rejestrów operacji przetwarzania danych

1. 
Dostęp do rejestrów prowadzonych przez Agencję Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalo- wymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości zgodnie z rozporządzeniem (UE) 2018/1240 przysługuje wyłącznie:
a)
należycie upoważnionym administratorom ETIAS z Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielko- skalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości oraz inspektorowi ochrony danych do celów, o których mowa w art. 58 ust. 2 rozporządzenia (UE) 2018/1240, a w szczególności w celu zapewnienia zgodności z art. 69 ust. 4 tego rozporządzenia;
b)
należycie upoważnionemu personelowi i inspektorowi ochrony danych w Europejskiej Agencji Straży Granicznej i Przybrzeżnej do celów określonych w art. 7 ust. 2 lit. e) i art. 61 rozporządzenia (UE) 2018/1240 i do celów zapewnienia legalności przetwarzania danych, integralności i bezpieczeństwa danych;
c)
należycie upoważnionemu personelowi i inspektorom ochrony danych jednostek krajowych ETIAS, do celów, o których mowa w art. 57 ust. 2.
2. 
Europejski Inspektor Ochrony Danych i właściwe krajowe organy nadzorcze pełniące funkcje nadzorcze, o których mowa w art. 66 i 67 rozporządzenia (UE) 2018/1240, mają dostęp do rejestrów na wniosek złożony w eu-LISA lub w jednostce krajowej (jednostkach krajowych) ETIAS.
3. 
Wpisy w rejestrze i konkretne pola zapisane w systemie centralnym ETIAS zgodnie z art. 1 można przeszukiwać co najmniej według nazwiska autora, daty dostępu lub rodzaju operacji przetwarzania.
4. 
Do celów art. 45 ust. 5 i 7 rozporządzenia (UE) 2018/1240 Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości może przekazywać jednostkom krajowym ETIAS rejestry niezbędne do rozstrzygnięcia sporu wynikającego ze stosowania tego artykułu, o ile spełnione są następujące warunki:
a)
dana jednostka krajowa ETIAS przedłożyła wyraźny umotywowany wniosek o takie rejestry Europejskiej Agencji Straży Granicznej i Przybrzeżnej jako administratorowi danych w rozumieniu art. 57 ust. 1 zdanie pierwsze tego rozporządzenia;
b)
Europejska Agencja Straży Granicznej i Przybrzeżnej zweryfikowała i zatwierdziła ten wniosek.
5. 
Istnieje możliwość identyfikacji rejestrów, w których zapisywane są dane o dostępie do rejestrów zgodnie z ust. 1, co najmniej według nazwiska autora lub daty dostępu.
6. 
Istnieje możliwość przeszukiwania rejestrów, w których zapisywane są dane o dostępie do rejestrów zgodnie z ust. 1, co najmniej według nazwiska autora, daty dostępu lub rodzaju operacji przetwarzania.
Artykuł  3

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 15 kwietnia 2021 r.
W imieniu Komisji
Ursula VON DER LEYEN
Przewodnicząca
1 Dz.U. L 236 z 19.9.2018, s. 1.
2 Decyzja Rady 2002/192/WE z dnia 28 lutego 2002 r. dotycząca wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen (Dz.U. L 64 z 7.3.2002, s. 20).
3 Dz.U. L 176 z 10.7.1999, s. 36.
4 Decyzja Rady 1999/437/WE z dnia 17 maja 1999 r. w sprawie niektórych warunków stosowania Układu zawartego przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącego włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 176 z 10.7.1999, s. 31).
5 Dz.U. L 53 z 27.2.2008, s. 52.
6 Decyzja Rady 2008/146/WE z dnia 28 stycznia 2008 r. w sprawie zawarcia w imieniu Wspólnoty Europejskiej Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia tego państwa we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 53 z 27.2.2008, s. 1).
7 Dz.U. L 160 z 18.6.2011, s. 21.
8 Decyzja Rady 2011/350/UE z dnia 7 marca 2011 r. w sprawie zawarcia w imieniu Unii Europejskiej Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen, odnoszącego się do zniesienia kontroli na granicach wewnętrznych i do przemieszczania się osób (Dz.U. L 160 z 18.6.2011, s. 19).
9 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .