ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2021/2103
z dnia 19 sierpnia 2021 r.
ustanawiające szczegółowe zasady działania portalu internetowego na podstawie art. 49 ust. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/818
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/818 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze współpracy policyjnej i sądowej, azylu i migracji oraz zmieniające rozporządzenia (UE) 2018/1726, (UE) 2018/1862 i (UE) 2019/816 (1), w szczególności jego art. 49 ust. 6,
a także mając na uwadze, co następuje:
(1) | Rozporządzenie (UE) 2019/818 wraz z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/817 (2) ustanawia ramy zapewniające interoperacyjność systemów informacyjnych UE w dziedzinie granic, wiz, współpracy policyjnej i sądowej, azylu i migracji. |
(2) | Ramy te dotyczą m.in. szeregu elementów interoperacyjności, które obejmują przetwarzanie znacznych ilości wrażliwych danych osobowych. Ważne jest, aby osoby, których dane są przetwarzane za pośrednictwem tych elementów, mogły skutecznie korzystać z praw przysługujących im jako osobom, których dane dotyczą, zgodnie z wymogami rozporządzenia (UE) 2016/679 (3), dyrektywy (UE) 2016/680 (4) oraz rozporządzenia (UE) 2018/1725 (5) Parlamentu Europejskiego i Rady. |
(3) | Rozporządzeniem (UE) 2019/818 ustanowiono portal internetowy w celu ułatwienia korzystania z prawa do informacji, dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania. |
(4) | Portal ten powinien umożliwiać osobom, których dane są przetwarzane w detektorze wielokrotnych tożsamości i które zostały poinformowane o wykazaniu powiązania czerwonego lub białego, uzyskanie danych kontaktowych właściwego organu państwa członkowskiego odpowiedzialnego za ręczną weryfikację różniących się tożsamości. |
(5) | W celu ułatwienia komunikacji między użytkownikiem portalu a właściwym organem państwa członkowskiego odpowiedzialnego za ręczną weryfikację różniących się tożsamości portal internetowy powinien zawierać wzór wiadomości elektronicznej dostępny w językach określonych w niniejszym rozporządzeniu. Powinien również zapewniać opcję wyboru języka lub języków używanych w odpowiedzi. |
(6) | W celu sprecyzowania odpowiednich obowiązków dotyczących portalu internetowego, w niniejszym rozporządzeniu należy określić obowiązki Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości ("eu-LISA"), a także obowiązki Komisji i państw członkowskich dotyczące portalu internetowego. |
(7) | Aby zapewnić bezpieczne i sprawne funkcjonowanie portalu internetowego, w niniejszym rozporządzeniu należy ustanowić przepisy dotyczące bezpieczeństwa informacji w portalu internetowym. Ponadto należy rejestrować dostęp do portalu internetowego, aby zapobiec wszelkim nadużyciom. |
(8) | Zważywszy na fakt, że rozporządzenie (UE) 2019/818 powstało w oparciu o dorobek Schengen, zgodnie z art. 4 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do Traktatu o Unii Europejskiej oraz do Traktatu o funkcjonowaniu Unii Europejskiej, Dania powiadomiła o wdrożeniu rozporządzenia (UE) 2019/818 do swojego prawa krajowego. Jest ona zatem związana niniejszym rozporządzeniem. |
(9) | Niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, które nie mają zastosowania do Irlandii (6). Irlandia nie uczestniczy w związku z tym w jego przyjęciu i nie jest nim związana ani go nie stosuje. |
(10) | W odniesieniu do Islandii i Norwegii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (7), które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE (8). |
(11) | W odniesieniu do Szwajcarii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (9), które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/146/WE (10). |
(12) | W odniesieniu do Liechtensteinu niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (11), które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2011/350/UE (12). |
(13) | W odniesieniu do Cypru, Bułgarii i Rumunii oraz Chorwacji niniejsze rozporządzenie stanowi akt oparty na dorobku Schengen lub w inny sposób z nim związany odpowiednio w rozumieniu art. 3 ust. 1 Aktu przystąpienia z 2003 r., art. 4 ust. 1 Aktu przystąpienia z 2005 r. oraz art. 4 ust. 1 Aktu przystąpienia z 2011 r. |
(14) | Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych; swoją opinię wydał on w dniu 31 marca 2021 r., |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Domena i dostęp
1. Ogólnodostępny portal internetowy używa nazwy domeny Unii Europejskiej ".europa.eu".
2. Opis portalu internetowego udostępnia się do indeksowania przez główne wyszukiwarki publiczne.
3. Portal jest dostępny publicznie w językach urzędowych państw członkowskich oraz dodatkowo co najmniej w następujących językach: rosyjskim, arabskim, japońskim, chińskim, albańskim, bośniackim, macedońskim, hindi oraz tureckim.
4. Portal internetowy zawiera informacje, o których mowa w art. 47 i 48 rozporządzenia (UE) 2019/818, oraz narzędzie wyszukiwania służące do wyszukiwania danych kontaktowych właściwego organu państwa członkowskiego odpowiedzialnego za utworzenie powiązania czerwonego lub białego w następstwie ręcznej weryfikacji różniących się tożsamości. Portal internetowy może również zawierać inne niezbędne informacje ułatwiające wykonywanie praw, o których mowa w art. 47 i 48 rozporządzenia (UE) 2019/818.
5. Portal internetowy podlega przepisom, wytycznym i informacjom zawartym w przewodniku internetowym "Europa Web Guide" Komisji Europejskiej, w tym wytycznym dotyczącym dostępności.
6. Portal internetowy zapobiega udostępnieniu danych kontaktowych organów w wyszukiwarkach i innych automatycznych narzędziach służących do gromadzenia danych kontaktowych.
Artykuł 2
Zaangażowane strony i obowiązki
1. eu-LISA rozwija portal internetowy i zarządza nim od strony technicznej, jak określono w art. 49 ust. 5 rozporządzenia (UE) 2019/818, w tym w zakresie hostingu, obsługi i utrzymania portalu.
2. Komisja zapewnia eu-LISA zawartość portalu internetowego, o której mowa w art. 1 ust. 4, a także wszelkie niezbędne korekty lub aktualizacje.
3. Państwa członkowskie przekazują eu-LISA w odpowiednim czasie dane kontaktowe organów, które są właściwe do rozpatrywania wniosków, o których mowa w art. 47 i 48 rozporządzenia (UE) 2019/818, i odpowiadania na nie, w celu umożliwienia regularnego przesyłania i aktualizowania zawartości portalu internetowego, jak określono w art. 49 ust. 4 rozporządzenia (UE) 2019/818.
4. Państwa członkowskie zapewniają eu-LISA pojedynczy punkt kontaktowy odpowiedzialny za przeglądy i obsługę techniczną.
5. eu-LISA dokonuje przeglądu przekazanych danych kontaktowych, zwracając się do wszystkich państw członkowskich o przegląd dostępnych informacji w celu aktualizacji ewentualnych zmian lub uzupełnień. Przegląd przeprowadza się przynajmniej raz w roku.
6. W stosunku do przetwarzania danych w portalu internetowym organy państw członkowskich są administratorami w rozumieniu art. 4 pkt 7 rozporządzenia (UE) 2016/679 lub art. 3 pkt 8 dyrektywy (UE) 2016/680.
7. W przypadku przetwarzania danych osobowych na portalu internetowym, eu-LISA jest podmiotem przetwarzającym w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725.
Artykuł 3
Interfejs użytkownika
1. Portal internetowy zawiera narzędzie wyszukiwania umożliwiające użytkownikom wprowadzenie numeru referencyjnego organu odpowiedzialnego za ręczną weryfikację różniących się tożsamości, o którym mowa w art. 34 lit. d) rozporządzenia (UE) 2019/818, w celu uzyskania danych kontaktowych tego organu.
2. Po sprawdzeniu aktualności i kompletności wprowadzonych danych portal internetowy wyszukuje dane kontaktowe tego organu zgodnie z art. 49 ust. 3 rozporządzenia (UE) 2019/818.
3. Portal internetowy umożliwia użytkownikowi złożenie wniosku o informacje przy użyciu wzoru wiadomości elektronicznej za pośrednictwem formularza internetowego, aby ułatwić komunikację z organem odpowiedzialnym za ręczną weryfikację różniących się tożsamości. Wzór wiadomości zawiera pole na pojedynczy numer identyfikacyjny, o którym mowa w art. 34 lit. c) rozporządzenia (UE) 2019/818, aby umożliwić temu organowi wyszukanie odpowiednich szczegółowych informacji na temat powiązania i odpowiednich zapisów.
4. Wzór wiadomości elektronicznej zawiera standardowy wniosek o dalsze informacje, który jest dostępny w językach, o których mowa w art. 1 ust. 3. Wzór wiadomości elektronicznej znajduje się w załączniku. Wzór wiadomości zawiera również opcję dotyczącą wyboru języka lub języków, w których zostanie udzielona odpowiedź; opcja ta zawiera co najmniej dwa języki wybrane przez każde państwo członkowskie. Użytkownik może wybrać język wzoru wiadomości elektronicznej.
5. Po przedłożeniu wypełnionego wzoru wiadomości elektronicznej za pośrednictwem formularza internetowego użytkownik otrzymuje automatyczną wiadomość elektroniczną z potwierdzeniem odbioru formularza, zawierającą dane kontaktowe organu odpowiedzialnego za rozpatrzenie tego wniosku i umożliwiającą danej osobie skorzystanie z praw przysługujących jej na mocy art. 48 ust. 1 rozporządzenia (UE) 2019/818.
Artykuł 4
Zarządzanie treścią
1. Portal internetowy zapewnia oddzielenie stron internetowych zawierających informacje dla ogółu społeczeństwa od wyszukiwarki i stron internetowych umożliwiających użytkownikowi uzyskanie danych kontaktowych organu odpowiedzialnego za ręczną weryfikację różniących się tożsamości.
2. Aby umożliwić eu-LISA zarządzanie treścią, portal internetowy zawiera zabezpieczony interfejs administracyjny. Wszelki dostęp do tego interfejsu oraz wszelkie dokonywane zmiany rejestruje się zgodnie z art. 7.
3. Interfejs administracyjny zapewnia eu-LISA prawa do dodawania, zmieniania lub usuwania treści portalu internetowego. Interfejs ten w żadnym wypadku nie umożliwia eu-LISA dostępu do danych dotyczących obywateli państw trzecich przechowywanych w systemach informacyjnych UE.
4. Rozwiązanie w zakresie zarządzania treścią zapewnia system konfiguracyjny, w którym wszystkie zmiany mogą być przygotowywane, przeglądane i kierowane do systemu internetowego w celu publikacji w określonym czasie. Formatowanie musi również zawierać narzędzia ułatwiające zarządzanie treścią i podgląd wyników zmian.
Artykuł 5
Względy bezpieczeństwa
1. Portal internetowy projektuje się i wdraża w taki sposób, aby zapewnić poufność, integralność i dostępność usług oraz aby zapewnić niezaprzeczalność transakcji, przy zapewnieniu zgodności z co najmniej następującymi zasadami bezpieczeństwa aplikacji:
a) | zasada "ochrony w głąb" (ang. "defense in depth") (wielowarstwowe mechanizmy bezpieczeństwa); |
b) | pozytywny model bezpieczeństwa (określa to, co jest dozwolone, i odrzuca wszelkie inne środki); |
c) | zasada "bezpiecznej obsługi błędów" (ang. "fail securely") (obsługuje błędy w bezpieczny sposób); |
d) | zasada "najniższych uprawnień" (ang. "run with least privilege"); |
e) | zasada "nie komplikuj bezpieczeństwa" (ang. "keep security simple") (unikanie skomplikowanych struktur w przypadkach, gdy prostsze podejście byłoby szybsze); |
f) | zasada "wykrywaj intruzów i zapobiegaj włamaniom" (ang. "detect and prevent intrusions") (rejestrowanie wszystkich informacji istotnych z punktu widzenia bezpieczeństwa i zarządzanie nimi) polegająca na stosowaniu proaktywnych kontroli w zakresie ochrony informacji na portalu internetowym i danych kontaktowych państw członkowskich przed cyberatakami i wyciekiem informacji; |
g) | zasada "nie ufaj infrastrukturze" (ang. "do not trust infrastructure") (aplikacja musi uwierzytelnić i zezwolić na wszelkie działania ze strony sąsiadujących systemów); |
h) | zasada "nie ufaj usługom" (ang. "do not trust services") zakładająca brak zaufania do wszystkich systemów zewnętrznych, |
i) | zasada "ustal bezpieczne ustawienia domyślne" (ang. "establish secure defaults") (należy zapewnić większe bezpieczeństwo środowiska oprogramowania i systemów operacyjnych zgodnie z najlepszymi praktykami i normami branżowymi). |
2. Portal internetowy projektuje się i wdraża w taki sposób, aby zapewnić dostępność i integralność rejestrów.
3. Do celów bezpieczeństwa i ochrony danych portal internetowy zawiera informację skierowaną do użytkowników, dotyczącą zasad korzystania z portalu internetowego oraz konsekwencji podania nieprawdziwych informacji. Informacja ta zawiera formularz akceptacji zasad korzystania z portalu internetowego, który użytkownik musi przedłożyć przed uzyskaniem pozwolenia na korzystanie z portalu internetowego.
Portal internetowy wdraża się pod względem technicznym i organizacyjnym w sposób zgodny z planem bezpieczeństwa, planem ciągłości działania i planem przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, o których mowa w art. 42 ust. 3 rozporządzenia (UE) 2019/818.
Artykuł 6
Ochrona danych oraz prawa osób, których dane dotyczą
1. Portal internetowy jest zgodny z przepisami dotyczącymi ochrony danych określonymi w rozporządzeniu (UE) 2016/679, rozporządzeniu (UE) 2018/1725 i dyrektywie (UE) 2016/680.
2. Portal internetowy zawiera oświadczenie o polityce ochrony prywatności. Powinien on być dostępny za pośrednictwem specjalnego linku. Oświadczenie o polityce ochrony prywatności jest dostępne z poziomu każdego strony portalu internetowego. Formułuje się je w sposób jasny i wyczerpujący.
Artykuł 7
Rejestry
1. Bez uszczerbku dla pisemnych rejestrów, o których mowa w art. 48 ust. 10 rozporządzenia (UE) 2019/818, wszelki dostęp do portalu internetowego rejestruje się w rejestrze zawierającym następujące informacje:
a) | adres IP systemu używanego przez wnioskodawcę; |
b) | data i godzina złożenia wniosku, |
c) | informacje techniczne dotyczące środowiska używanego przez wnioskodawcę, takie jak rodzaj urządzenia, wersja systemu operacyjnego, model i wersja wyszukiwarki. |
2. Zarejestrowane informacje wykorzystuje się wyłącznie do celów statystycznych, a także do monitorowania korzystania z portalu internetowego w celu zapobiegania ewentualnemu niewłaściwemu użyciu.
3. W przypadku dostępu do części administracyjnej portalu internetowego oprócz danych, o których mowa w ust. 1, rejestruje się następujące dane:
a) | dane identyfikacyjne użytkownika korzystającego z dostępu do interfejsu; |
b) | czynności wykonywane na portalu internetowym (dodawanie, modyfikowanie lub usuwanie treści). |
4. Podczas korzystania z portalu internetowego można rejestrować dodatkowe anonimowe informacje techniczne, aby zoptymalizować jego wykorzystanie i wydajność, o ile nie zawierają one danych osobowych.
5. Informacje zarejestrowane zgodnie z ust. 1 i 3 przechowuje się przez maksymalny okres dwóch lat.
6. eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych w portalu internetowym.
7. eu-LISA, organy państw członkowskich i agencje Unii określają wykaz pracowników należycie upoważnionych do dostępu do rejestrów operacji przetwarzania danych na portalu internetowym.
Artykuł 8
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich zgodnie z Traktatami.
Sporządzono w Brukseli dnia 19 sierpnia 2021 r.
W imieniu Komisji
Ursula VON DER LEYEN
Przewodnicząca
(1) Dz.U. L 135 z 22.5.2019, s. 85.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/817 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze granic i polityki wizowej oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726, (UE) 2018/1861 oraz decyzje Rady 2004/512/WE i 2008/633/WSiSW (Dz.U. L 135 z 22.5.2019, s. 27).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(4) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(6) Niniejsze rozporządzenie nie wchodzi w zakres środków ustanowionych w decyzji Rady 2002/192/WE z dnia 28 lutego 2002 r. dotyczącej wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen (Dz.U. L 64 z 7.3.2002, s. 20).
(7) Dz.U. L 176 z 10.7.1999, s. 36.
(8) Decyzja Rady 1999/437/WE z dnia 17 maja 1999 r. w sprawie niektórych warunków stosowania Układu zawartego przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącego włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 176 z 10.7.1999, s. 31).
(9) Dz.U. L 53 z 27.2.2008, s. 52.
(10) Decyzja Rady 2008/146/WE z dnia 28 stycznia 2008 r. w sprawie zawarcia w imieniu Wspólnoty Europejskiej Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia tego państwa we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 53 z 27.2.2008, s. 1).
(11) Dz.U. L 160 z 18.6.2011, s. 21.
(12) Decyzja Rady 2011/350/UE z dnia 7 marca 2011 r. w sprawie zawarcia w imieniu Unii Europejskiej Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen, odnoszącego się do zniesienia kontroli na granicach wewnętrznych i do przemieszczania się osób (Dz.U. L 160 z 18.6.2011, s. 19).
ZAŁĄCZNIK
Prośba o informacje - wzór wiadomości elektronicznej
Wzór wiadomości elektronicznej:
| DO: <organ odpowiedzialny za ręczną weryfikację różniących się tożsamości, wyszukany przez portal> |
| OD: <adres e-mail użytkownika> |
| PRZEDMIOT: Prośba o informację dotycząca detektora wielokrotnych tożsamości [powiązanie czerwone/powiązanie białe]: <pojedynczy numer identyfikacyjny> |
Treść wiadomości:
Szanowni Państwo!
Zostałam/-em poinformowana/-y pisemnie za pomocą otrzymanego formularza o istnieniu ewentualnych rozbieżności dotyczących moich danych osobowych.
Te ewentualne rozbieżności dotyczące mojej tożsamości doprowadziły do utworzenia akt sprawy o numerze referencyjnym <pojedynczy numer identyfikacyjny>.
Zwracam się z prośbą o udzielenie wszelkich informacji dotyczących tej sprawy do dnia <data wyliczona przez portal> w języku <język (1)> na adres e-mail: adres e-mail.
(1) Rozwijane menu z opcją wyboru języka do ustalenia przez każde państwo członkowskie.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00