Det europeiske system for innreiseinformasjon og -tillatelse: gjennomføringsbestemmelser om tilgang til og endring og sletting av data i det sentrale ETIAS-systemet
Kommisjonens gjennomføringsbeslutning (EU) 2021/1028 av 21. juni om tiltak for anvendelse av europaparlaments- og rådsforordning (EU) 2018/1240 med hensyn til tilgang til og endring, sletting og forhåndssletting av data i det sentrale ETIAS-systemet
Commission Implementing Decision (EU) 2021/1028 of 21 June 2021 adopting measures for the application of Regulation (EU) 2018/1240 of the European Parliament and of the Council as regards accessing, amending, erasing and advance erasing of data in the ETIAS Central System
Avtalegrunnlag
Schengen-avtalen
Kommisjonsbeslutning publisert i EU-tidende 24.6.2021
Bakgrunn
BAKGRUNN (fra kommisjonsforordningen, dansk utgave)
(1) Ved forordning (EU) 2018/1240 oprettes der et europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS), der finder anvendelse på tredjelandsstatsborgere, der er fritaget for visumpligten, og som søger at komme ind på medlemsstaternes område.
(2) Forud for udviklingen af ETIAS-informationssystemet er det nødvendigt at vedtage foranstaltninger med henblik på den tekniske iværksættelse af systemet.
(3) Foranstaltningerne i denne afgørelse bør suppleres af de tekniske specifikationer for ETIAS-informationssystemet. Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) bør på grundlag af foranstaltningerne i denne afgørelse kunne fastlægge udformningen af ETIAS-informationssystemets fysiske arkitektur og systemets tekniske specifikationer samt udvikle ETIAS-informationssystemet.
(4) Den tekniske udvikling og gennemførelse af ETIAS-informationssystemet bør omfatte den måde, hvorpå myndighederne vil tilgå, ændre og slette oplysninger i det centrale ETIAS-system.
(5) For så vidt angår grænsemyndighedernes adgang med henblik på indhentning af oplysninger om status for en rejsetilladelse ved grænsen, indvandringsmyndighedernes adgang med henblik på at kontrollere, at betingelserne for indrejse og ophold på medlemsstaternes område er opfyldt, de centrale adgangspunkters adgang med henblik på retshåndhævelsesformål samt de nationale ETIAS-enheders adgang med henblik på at hente mapper til støtte for risikovurderingen, bør denne adgang gives via en teknisk grænseflade, som muliggør tilslutning af det centrale ETIAS-system til de nationale grænseinfrastrukturer, de centrale adgangspunkter, grænsemyndighedernes nationale systemer samt andre EU-informationssystemer eller nationale systemer. De tekniske specifikationer, som udarbejdes af eu-LISA, bør omfatte et grænsefladekontroldokument, der beskriver den tekniske grænseflade mellem det centrale ETIAS-system og andre EU-informationssystemer og nationale systemer.
(6) Fra idriftsættelsen af den europæiske søgeportal, der blev oprettet i henhold til artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 2019/817, bør søgninger foretaget af grænsemyndigheder, indvandringsmyndigheder eller centrale adgangspunkter foretages via den europæiske søgeportal.
(7) For så vidt angår adgang med henblik på manuel behandling af ansøgninger, herunder for Europol i forbindelse med afgivelse af udtalelser til de nationale ETIAS-enheder, samt den centrale ETIAS-enheds og de nationale ETIAS- enheders adgang med henblik på at ændre eller slette oplysninger, bør denne adgang gives via software, som er udviklet af eu-LISA til dette formål. Europol bør også anvende denne software til at anmode om adgang til oplysninger i det centrale ETIAS-system til retshåndhævelsesformål. Det bør præciseres, hvordan den centrale ETIAS-enhed og de nationale ETIAS-enheder skal autentificere sig og tilgå denne software.
(8) Behørigt autoriserede brugere fra den centrale ETIAS-enhed, de nationale ETIAS-enheder og Europol bør logge på softwaren ved hjælp af deres brugerjobprofiler. Den centrale ETIAS-enhed, de nationale ETIAS-enheder og Europol bør kunne tildele standardtilladelser, -roller og -jobprofiler til brugere eller tilpasse jobprofiler individuelt ved brug af forud fastlagte roller og tilladelser i softwaren med det formål at afspejle den måde, hvorpå Det Europæiske Agentur for Grænse- og Kystbevogtning og medlemsstaterne vil oprette og drive den centrale ETIAS-enhed og de nationale ETIAS-enheder, og for Europols vedkommende med det formål at afspejle Europols arbejdsmetoder.
(9) I softwaren bør det på forhånd bestemmes, hvilke forud fastlagte roller og tilladelser der er inkompatible, for at forhindre brugerne i at oprette jobprofiler, hvor roller og tilladelser ikke stemmer overens. For at adskille arbejdsopgaverne og undgå modstridende ansvarsområder bør tilladelser forbundet med behandling af ansøgninger hverken kombineres med tilladelser forbundet med ændring og sletning af oplysninger eller med tilladelser forbundet med klageprocedurer.
(10) I overensstemmelse med databeskyttelsesprincipperne, navnlig databeskyttelse gennem design og standardindstillinger, bør brugerne af softwaren kun have tilladelse til at se de oplysninger, der svarer til de tilladelser, der knytter sig til deres jobprofiler. Dette kan føre til forskellige brugervisninger afhængigt af den anvendte jobprofil.
(11) Softwaren bør udvikles med generelle softwarefunktioner, der kan understøtte den centrale ETIAS-enhed og de nationale ETIAS-enheder med at udføre de af deres opgaver, der er forbundet med at få adgang til samt ændre og slette oplysninger.
(12) Den bør ligeledes indeholde en række særlige funktioner, der kan understøtte brugerne med at udføre de af deres opgaver, der er forbundet med at få adgang til og ændre oplysninger, og med den manuelle behandling af ansøgninger, som afstedkom et hit under den automatiserede behandling.
(13) En af disse særlige funktioner bør være, at det til hver en tid tydeligt vises, hvor lang tid der resterer af de respektive gældende frister for de forskellige faser af behandlingen af ansøgningen som fastsat i forordning (EU) 2018/1240.
(14) Andre særlige funktionaliteter bør understøtte de nationale ETIAS-enheder under den manuelle behandling af en ansøgning ved vurdering af risiciene. Softwaren bør gøre det muligt at udtrække begrænsede oplysninger, der er lagret i det centrale ETIAS-system, for at gøre det lettere for de nationale ETIAS-enheder at søge i andre EU-informationssystemer eller -databaser (Schengeninformationssystemet (SIS), visuminformationssystemet (VIS), ind- eller udrejsesystemet (EES) eller Eurodac) eller i oplysninger i de underliggende nationale systemer, der er knyttet til de hit, som fremkom under den automatiserede behandling af ansøgninger. ETIAS-informationssystemet bør udvikles således, at de nationale ETIAS-enheder automatisk kan oprette og udtrække mapper, når de foretager en manuel vurdering af ansøgninger, jf. artikel 26 eller artikel 28 i forordning (EU) 2018/1240. Det er nødvendigt at indkredse de funktioner og dataelementer, der bør behandles automatisk som en del af mapperne afhængigt af det hit, der fremkom under den automatiserede behandling af ansøgninger. Softwaren skal desuden indeholde særlige funktioner, der gør det muligt at udtrække oplysninger i forbindelse med nationale klageprocedurer samt uploade resultaterne af risikovurderinger og registrere oplysninger knyttet til nationale klageprocedurer. Softwarens særlige funktioner til upload af resultaterne af risikovurderinger bør ikke gøre det muligt at uploade begrundelsen for afgørelsen om at udstede eller give afslag på en rejsetilladelse.
(15) eu-LISA bør tildele medlemsstaterne adgangsoplysninger, der gør det muligt for dem at tildele en eller flere roller eller jobprofiler til det behørigt autoriserede personale i de centrale adgangspunkter samt til grænse- og indvandringsmyndighederne.
(16) I betragtning af den eksisterende forpligtelse i henhold til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 bør Det Europæiske Agentur for Grænse- og Kystbevogtning, der fungerer som dataansvarlig, jf. nævnte forordnings artikel 3, stk. 8, og eu-LISA, der fungerer som dataansvarlig med hensyn til informationssikkerhedsstyring af det centrale ETIAS-system, foretage en vurdering af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelsen af personoplysninger i henhold til artikel 39 i forordning (EU) 2018/1725.
(17) I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, deltog Danmark ikke i vedtagelsen af forordning (EU) 2018/1240, som ikke er bindende for og ikke finder anvendelse i Danmark. Da forordning (EU) 2018/1240 imidlertid bygger på Schengenreglerne, meddelte Danmark i henhold til artikel 4 i nævnte protokol den 21. december 2018 sin beslutning om at implementere forordning (EU) 2018/1240.
(18) Denne afgørelse udgør en udvikling af bestemmelser i Schengenreglerne, som Irland ikke deltager i, og er ikke omfattet af anvendelsesområdet for Rådets afgørelse 2002/192/EF; Irland deltager ikke i vedtagelsen af denne afgørelse, som ikke er bindende for og ikke finder anvendelse i Irland.
(19) For så vidt angår Island og Norge udgør denne afgørelse en udvikling af bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, henhørende under det område, der er nævnt i artikel 1, litra A, i Rådets afgørelse 1999/437/EF.
(20) For så vidt angår Schweiz udgør denne afgørelse en udvikling af bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, henhørende under det område, der er nævnt i artikel 1, litra A, i afgørelse 1999/437/EF sammenholdt med artikel 3 i Rådets afgørelse 2008/146/EF.
(21) For så vidt angår Liechtenstein udgør denne afgørelse en udvikling af bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om dette lands associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, henhørende under det område, der er nævnt i artikel 1, litra A, i afgørelse 1999/437/EF sammenholdt med artikel 3 i afgørelse 2011/350/EU.
(22) For så vidt angår Cypern, Bulgarien, Rumænien og Kroatien udgør denne afgørelse en retsakt, der bygger på Schengenreglerne eller på anden måde har tilknytning dertil, jf. henholdsvis artikel 3, stk. 1, i tiltrædelsesakten af 2003, artikel 4, stk. 1, i tiltrædelsesakten af 2005 og artikel 4, stk. 1, i tiltrædelsesakten af 2011.
(23) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav udtalelse den 22. januar 2021.
(24) Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelse fra Udvalget for Intelligente Grænser (ETIAS) —
(1) Ved forordning (EU) 2018/1240 oprettes der et europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS), der finder anvendelse på tredjelandsstatsborgere, der er fritaget for visumpligten, og som søger at komme ind på medlemsstaternes område.
(2) Forud for udviklingen af ETIAS-informationssystemet er det nødvendigt at vedtage foranstaltninger med henblik på den tekniske iværksættelse af systemet.
(3) Foranstaltningerne i denne afgørelse bør suppleres af de tekniske specifikationer for ETIAS-informationssystemet. Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) bør på grundlag af foranstaltningerne i denne afgørelse kunne fastlægge udformningen af ETIAS-informationssystemets fysiske arkitektur og systemets tekniske specifikationer samt udvikle ETIAS-informationssystemet.
(4) Den tekniske udvikling og gennemførelse af ETIAS-informationssystemet bør omfatte den måde, hvorpå myndighederne vil tilgå, ændre og slette oplysninger i det centrale ETIAS-system.
(5) For så vidt angår grænsemyndighedernes adgang med henblik på indhentning af oplysninger om status for en rejsetilladelse ved grænsen, indvandringsmyndighedernes adgang med henblik på at kontrollere, at betingelserne for indrejse og ophold på medlemsstaternes område er opfyldt, de centrale adgangspunkters adgang med henblik på retshåndhævelsesformål samt de nationale ETIAS-enheders adgang med henblik på at hente mapper til støtte for risikovurderingen, bør denne adgang gives via en teknisk grænseflade, som muliggør tilslutning af det centrale ETIAS-system til de nationale grænseinfrastrukturer, de centrale adgangspunkter, grænsemyndighedernes nationale systemer samt andre EU-informationssystemer eller nationale systemer. De tekniske specifikationer, som udarbejdes af eu-LISA, bør omfatte et grænsefladekontroldokument, der beskriver den tekniske grænseflade mellem det centrale ETIAS-system og andre EU-informationssystemer og nationale systemer.
(6) Fra idriftsættelsen af den europæiske søgeportal, der blev oprettet i henhold til artikel 6 i Europa-Parlamentets og Rådets forordning (EU) 2019/817, bør søgninger foretaget af grænsemyndigheder, indvandringsmyndigheder eller centrale adgangspunkter foretages via den europæiske søgeportal.
(7) For så vidt angår adgang med henblik på manuel behandling af ansøgninger, herunder for Europol i forbindelse med afgivelse af udtalelser til de nationale ETIAS-enheder, samt den centrale ETIAS-enheds og de nationale ETIAS- enheders adgang med henblik på at ændre eller slette oplysninger, bør denne adgang gives via software, som er udviklet af eu-LISA til dette formål. Europol bør også anvende denne software til at anmode om adgang til oplysninger i det centrale ETIAS-system til retshåndhævelsesformål. Det bør præciseres, hvordan den centrale ETIAS-enhed og de nationale ETIAS-enheder skal autentificere sig og tilgå denne software.
(8) Behørigt autoriserede brugere fra den centrale ETIAS-enhed, de nationale ETIAS-enheder og Europol bør logge på softwaren ved hjælp af deres brugerjobprofiler. Den centrale ETIAS-enhed, de nationale ETIAS-enheder og Europol bør kunne tildele standardtilladelser, -roller og -jobprofiler til brugere eller tilpasse jobprofiler individuelt ved brug af forud fastlagte roller og tilladelser i softwaren med det formål at afspejle den måde, hvorpå Det Europæiske Agentur for Grænse- og Kystbevogtning og medlemsstaterne vil oprette og drive den centrale ETIAS-enhed og de nationale ETIAS-enheder, og for Europols vedkommende med det formål at afspejle Europols arbejdsmetoder.
(9) I softwaren bør det på forhånd bestemmes, hvilke forud fastlagte roller og tilladelser der er inkompatible, for at forhindre brugerne i at oprette jobprofiler, hvor roller og tilladelser ikke stemmer overens. For at adskille arbejdsopgaverne og undgå modstridende ansvarsområder bør tilladelser forbundet med behandling af ansøgninger hverken kombineres med tilladelser forbundet med ændring og sletning af oplysninger eller med tilladelser forbundet med klageprocedurer.
(10) I overensstemmelse med databeskyttelsesprincipperne, navnlig databeskyttelse gennem design og standardindstillinger, bør brugerne af softwaren kun have tilladelse til at se de oplysninger, der svarer til de tilladelser, der knytter sig til deres jobprofiler. Dette kan føre til forskellige brugervisninger afhængigt af den anvendte jobprofil.
(11) Softwaren bør udvikles med generelle softwarefunktioner, der kan understøtte den centrale ETIAS-enhed og de nationale ETIAS-enheder med at udføre de af deres opgaver, der er forbundet med at få adgang til samt ændre og slette oplysninger.
(12) Den bør ligeledes indeholde en række særlige funktioner, der kan understøtte brugerne med at udføre de af deres opgaver, der er forbundet med at få adgang til og ændre oplysninger, og med den manuelle behandling af ansøgninger, som afstedkom et hit under den automatiserede behandling.
(13) En af disse særlige funktioner bør være, at det til hver en tid tydeligt vises, hvor lang tid der resterer af de respektive gældende frister for de forskellige faser af behandlingen af ansøgningen som fastsat i forordning (EU) 2018/1240.
(14) Andre særlige funktionaliteter bør understøtte de nationale ETIAS-enheder under den manuelle behandling af en ansøgning ved vurdering af risiciene. Softwaren bør gøre det muligt at udtrække begrænsede oplysninger, der er lagret i det centrale ETIAS-system, for at gøre det lettere for de nationale ETIAS-enheder at søge i andre EU-informationssystemer eller -databaser (Schengeninformationssystemet (SIS), visuminformationssystemet (VIS), ind- eller udrejsesystemet (EES) eller Eurodac) eller i oplysninger i de underliggende nationale systemer, der er knyttet til de hit, som fremkom under den automatiserede behandling af ansøgninger. ETIAS-informationssystemet bør udvikles således, at de nationale ETIAS-enheder automatisk kan oprette og udtrække mapper, når de foretager en manuel vurdering af ansøgninger, jf. artikel 26 eller artikel 28 i forordning (EU) 2018/1240. Det er nødvendigt at indkredse de funktioner og dataelementer, der bør behandles automatisk som en del af mapperne afhængigt af det hit, der fremkom under den automatiserede behandling af ansøgninger. Softwaren skal desuden indeholde særlige funktioner, der gør det muligt at udtrække oplysninger i forbindelse med nationale klageprocedurer samt uploade resultaterne af risikovurderinger og registrere oplysninger knyttet til nationale klageprocedurer. Softwarens særlige funktioner til upload af resultaterne af risikovurderinger bør ikke gøre det muligt at uploade begrundelsen for afgørelsen om at udstede eller give afslag på en rejsetilladelse.
(15) eu-LISA bør tildele medlemsstaterne adgangsoplysninger, der gør det muligt for dem at tildele en eller flere roller eller jobprofiler til det behørigt autoriserede personale i de centrale adgangspunkter samt til grænse- og indvandringsmyndighederne.
(16) I betragtning af den eksisterende forpligtelse i henhold til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 bør Det Europæiske Agentur for Grænse- og Kystbevogtning, der fungerer som dataansvarlig, jf. nævnte forordnings artikel 3, stk. 8, og eu-LISA, der fungerer som dataansvarlig med hensyn til informationssikkerhedsstyring af det centrale ETIAS-system, foretage en vurdering af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelsen af personoplysninger i henhold til artikel 39 i forordning (EU) 2018/1725.
(17) I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, deltog Danmark ikke i vedtagelsen af forordning (EU) 2018/1240, som ikke er bindende for og ikke finder anvendelse i Danmark. Da forordning (EU) 2018/1240 imidlertid bygger på Schengenreglerne, meddelte Danmark i henhold til artikel 4 i nævnte protokol den 21. december 2018 sin beslutning om at implementere forordning (EU) 2018/1240.
(18) Denne afgørelse udgør en udvikling af bestemmelser i Schengenreglerne, som Irland ikke deltager i, og er ikke omfattet af anvendelsesområdet for Rådets afgørelse 2002/192/EF; Irland deltager ikke i vedtagelsen af denne afgørelse, som ikke er bindende for og ikke finder anvendelse i Irland.
(19) For så vidt angår Island og Norge udgør denne afgørelse en udvikling af bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, henhørende under det område, der er nævnt i artikel 1, litra A, i Rådets afgørelse 1999/437/EF.
(20) For så vidt angår Schweiz udgør denne afgørelse en udvikling af bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, henhørende under det område, der er nævnt i artikel 1, litra A, i afgørelse 1999/437/EF sammenholdt med artikel 3 i Rådets afgørelse 2008/146/EF.
(21) For så vidt angår Liechtenstein udgør denne afgørelse en udvikling af bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om dette lands associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, henhørende under det område, der er nævnt i artikel 1, litra A, i afgørelse 1999/437/EF sammenholdt med artikel 3 i afgørelse 2011/350/EU.
(22) For så vidt angår Cypern, Bulgarien, Rumænien og Kroatien udgør denne afgørelse en retsakt, der bygger på Schengenreglerne eller på anden måde har tilknytning dertil, jf. henholdsvis artikel 3, stk. 1, i tiltrædelsesakten af 2003, artikel 4, stk. 1, i tiltrædelsesakten af 2005 og artikel 4, stk. 1, i tiltrædelsesakten af 2011.
(23) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav udtalelse den 22. januar 2021.
(24) Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelse fra Udvalget for Intelligente Grænser (ETIAS) —
Avtalegrunnlag
Schengen-avtalen