Wyszukaj po identyfikatorze keyboard_arrow_down
Wyszukiwanie po identyfikatorze Zamknij close
ZAMKNIJ close
account_circle Jesteś zalogowany jako:
ZAMKNIJ close
Powiadomienia
keyboard_arrow_up keyboard_arrow_down znajdź
idź
removeA addA insert_drive_fileWEksportuj printDrukuj assignment add Do schowka
description

Akt prawny

Akt prawny
obowiązujący
Dziennik Urzędowy Unii Europejskiej, L rok 2022 nr 169 str. 1
Wersja aktualna od 2022-06-28
Dziennik Urzędowy Unii Europejskiej, L rok 2022 nr 169 str. 1
Wersja aktualna od 2022-06-28
Akt prawny
obowiązujący
ZAMKNIJ close

Alerty

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/991

z dnia 8 czerwca 2022 r.

zmieniające rozporządzenie (UE) 2016/794 w odniesieniu do współpracy Europolu z podmiotami prywatnymi, przetwarzania danych osobowych przez Europol w celu wspierania postępowań przygotowawczych oraz roli Europolu w zakresie badań naukowych i innowacji

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 88,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą (1),

a także mając na uwadze, co następuje:

(1)

Agencję Unii Europejskiej ds. Współpracy Organów Ścigania (Europol) ustanowiono rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/794 (2), aby wspierać i wzmacniać działania i wzajemną współpracę właściwych organów państw członkowskich w zakresie zapobiegania poważnej przestępczości dotykającej co najmniej dwa państwa członkowskie, terroryzmowi i formom przestępczości mającym wpływ na wspólny interes objęty polityką Unii, a także w zakresie zwalczania tych zjawisk.

(2)

Sytuacja w zakresie bezpieczeństwa w Europie ciągle się zmienia, a zagrożenia dla bezpieczeństwa ewoluują i stają się coraz bardziej złożone. Terroryści oraz inni przestępcy wykorzystują transformację cyfrową i nowe technologie, w szczególności zarówno wzajemne powiązania między światem fizycznym i cyfrowym jak i zacierające się granice pomiędzy nimi, jak na przykład poprzez ukrywanie popełnionych przez siebie przestępstw lub swojej tożsamości dzięki użyciu coraz bardziej zaawansowanych technik. Terroryści i inni przestępcy udowodnili, że w czasach kryzysu są w stanie dostosowywać sposób w jaki działają oraz rozwijać nowe rodzaje działalności przestępczej, w tym przez umiejętne wykorzystanie narzędzi technologicznych w celu zwiększania różnorodności i poszerzania zasięgu swojej działalności przestępczej. Terroryzm nadal stanowi istotne zagrożenie dla wolności oraz sposobu życia obywateli Unii.

(3)

Zmieniające się i skomplikowane zagrożenia rozprzestrzeniają się ponad granicami i ułatwiają popełnianie różnych rodzajów przestępstw, i przejawiają się w działalności zorganizowanych grup przestępczych zajmujących się przestępczością wielorodzajową, które angażują się w różnorodne działania przestępcze. Działania na szczeblu krajowym i współpraca transgraniczna nie wystarczą, aby sprostać tym transgranicznym zagrożeniom bezpieczeństwa, właściwe organy ścigania państw członkowskich w coraz większym stopniu wykorzystują wsparcie i wiedzę fachową oferowane przez Europol, aby zapobiegać poważnej przestępczości i terroryzmowi oraz je zwalczać. Od czasu obowiązywania rozporządzenia (UE) 2016/794 znacznie wzrosło operacyjne znaczenie zadań realizowanych przez Europol. Ponadto nowa sytuacja pod względem zagrożeń zmienia zakres i rodzaj wsparcia, jakiego państwa członkowskie potrzebują i oczekują od Europolu, by zapewnić bezpieczeństwo obywatelom.

(4)

Należy zatem powierzyć Europolowi dodatkowe zadania na mocy niniejszego rozporządzenia, aby umożliwić Europolowi lepsze wspieranie właściwych organów państw członkowskich przy jednoczesnym pełnym zachowaniu odpowiedzialności państw członkowskich w dziedzinie bezpieczeństwa narodowego określonej w art. 4 ust. 2 Traktatu o Unii Europejskiej (TUE). Wzmocniony zakres działania Europolu należy zrównoważyć większymi zabezpieczeniami w odniesieniu do praw podstawowych oraz większą rozliczalnością, odpowiedzialnością i nadzorem, w tym nadzorem parlamentarnym i sprawowanym za pośrednictwem zarządu Europolu (zwanego dalej "zarządem"). Aby Europol mógł realizować swój wzmocniony zakres działania, zadaniom powinny towarzyszyć odpowiednie zasoby ludzkie i finansowe w celu wsparcia jego dodatkowych zadań.

(5)

Ponieważ Unia stoi w obliczu rosnących zagrożeń ze strony zorganizowanych grup przestępczych i ataków terrorystycznych, skuteczna reakcja organów ścigania musi obejmować dostępność dobrze wyszkolonych, interoperacyjnych specjalnych jednostek interwencyjnych, które specjalizują się w kontroli sytuacji kryzysowych spowodowanych przez człowieka. Te specjalne jednostki interwencyjne działające w państwach członkowskich współpracują w Unii na podstawie decyzji Rady 2008/617/WSiSW (3). Europol powinien być w stanie wspierać te specjalne jednostki interwencyjne poprzez udzielanie wsparcia technicznego i finansowego, jako uzupełnienie wysiłków podejmowanych przez państwa członkowskie.

(6)

W ostatnich latach zarówno podmioty publiczne, jak i prywatne w wielu jurysdykcjach w Unii i poza nią padały ofiarą cyberataków na dużą skalę, w tym ataków z państw trzecich, które to cyberataki wywarły wpływ na różne sektory, w tym transport, służbę zdrowia i usługi finansowe. Zapobieganie takim cyberatakom, wykrywanie ich, prowadzenie postępowań przygotowawczych w sprawie tych cyberataków oraz ściganie ich to czynności wspierane dzięki koordynacji i współpracy odpowiednich podmiotów, m.in. Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) ustanowionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 (4), właściwych organów ds. bezpieczeństwa sieci i systemów informatycznych, w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 (5), właściwych organów państw członkowskich oraz podmiotów prywatnych. Aby zapewnić skuteczną współpracę między wszystkimi właściwymi podmiotami na szczeblu unijnym i krajowym w zakresie cyberataków i zagrożeń cyberbezpieczeństwa, Europol powinien współpracować z ENISA w szczególności-poprzez wymianę informacji i zapewnianie ENISA wsparcia analitycznego w obszarach wchodzących w zakres ich odpowiednich kompetencji.

(7)

Przestępcy wysokiego ryzyka odgrywają wiodącą rolę w siatkach przestępczych i ich działalność przestępcza stwarza duże zagrożenie dla bezpieczeństwa wewnętrznego Unii. W celu zwalczania działalności zorganizowanych grup przestępczych wysokiego ryzyka i ich przywódców Europol powinien mieć możliwość wspierania państw członkowskich w ukierunkowywaniu ich działań prowadzonych w ramach postępowań przygotowawczych na identyfikację członków i przywódców tych siatek przestępczych, ich działalności przestępczej i ich aktywów finansowych.

(8)

Zagrożenia, jakie pociąga za sobą poważna przestępczość, wymagają skoordynowanej, spójnej reakcji obejmującej wiele dziedzin i agencji. Europol powinien mieć możliwość ułatwiania i wspierania inicjatyw państw członkowskich w zakresie bezpieczeństwa opartych na danych wywiadowczych w celu identyfikacji zagrożeń wynikających z poważnej przestępczości, ustalania priorytetów i reagowania na te zagrożenia, np. inicjatywę, jaką jest europejska multidyscyplinarna platforma przeciwko zagrożeniom przestępstwami (EMPACT). Europol powinien mieć możliwość wspierania takich inicjatyw pod kątem administracyjnym, logistycznym, finansowym i operacyjnym.

(9)

System Informacyjny Schengen (SIS) utworzony w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1862 (6) jest podstawowym narzędziem utrzymania wysokiego poziomu bezpieczeństwa w przestrzeni wolności, bezpieczeństwa i sprawiedliwości. Europol, jako centrum wymiany informacji w Unii, otrzymuje i przechowuje wartościowe informacje od państw trzecich i organizacji międzynarodowych dotyczące osób podejrzanych o udział w przestępstwach, które objęte są zakresem celów Europolu. W ramach swoich celów i swojego zadania polegającego na wspieraniu państw członkowskich w zapobieganiu poważnej przestępczości i terroryzmowi oraz ich zwalczaniu Europol powinien wspierać państwa członkowskie w przetwarzaniu danych przekazywanych mu przez państwa trzecie lub organizacje międzynarodowe, proponując ewentualne wprowadzanie przez państwa członkowskie do SIS nowej kategorii wpisów informacyjnych w interesie Unii (zwanych dalej "wpisami informacyjnymi"), tak aby udostępniać te wpisy informacyjne użytkownikom końcowym SIS. W tym celu należy ustanowić mechanizm okresowej sprawozdawczości, by zapewnić informowanie państw członkowskich i Europolu o wyniku weryfikacji i analizy tych danych oraz o tym, czy informacja została wprowadzona do SIS. Warunki współpracy państw członkowskich w zakresie przetwarzania takich danych i wprowadzania wpisów do SIS, w szczególności w odniesieniu do zwalczania terroryzmu, powinny podlegać stałej koordynacji między państwami członkowskimi. Zarząd powinien doprecyzować kryteria, na podstawie których Europol powinien mieć możliwość przedstawienia wniosków dotyczących wprowadzania takich wpisów informacyjnych do SIS.

(10)

Europol odgrywa ważną rolę we wspieraniu mechanizmu oceny i monitorowania w celu weryfikacji stosowania dorobku Schengen ustanowionego na mocy rozporządzenia Rady (UE) nr 1053/2013 (7). Europol powinien zatem, na wniosek państw członkowskich, udostępniać swoją wiedzę fachową, analizy, sprawozdania i inne istotne informacje na potrzeby mechanizmu oceny i monitorowania celem weryfikacji stosowania dorobku Schengen.

(11)

Oceny ryzyka pomagają w przewidywaniu nowych tendencji oraz stawianiu czoła nowym zagrożeniom wynikającym z poważnej przestępczości i terroryzmu. Aby wesprzeć Komisję i państwa członkowskie w przeprowadzaniu skutecznych ocen ryzyka, Europol powinien oferować Komisji i państwom członkowskim analizę oceny zagrożeń w oparciu o posiadane informacje dotyczące zjawisk i tendencji przestępczych, bez uszczerbku dla prawa Unii dotyczącego zarządzania ryzykiem celnym.

(12)

Aby pomóc w pełnym wykorzystaniu potencjału finansowania unijnego przeznaczonego na badania nad bezpieczeństwem i w ukierunkowaniu go na spełnianie potrzeb w dziedzinie ścigania przestępstw, Europol powinien wspierać Komisję w identyfikowaniu kluczowych zagadnień badawczych oraz opracowywaniu i realizacji unijnych programów ramowych w dziedzinie badań naukowych i innowacji, które są istotne z punktu widzenia celów Europolu. W stosownych przypadkach Europol powinien mieć możliwość rozpowszechniania wyników swoich działań w zakresie badań naukowych i innowacji w ramach wnoszenia wkładu w tworzenie synergii między działaniami w dziedzinie badań naukowych i innowacji podejmowanymi przez odpowiednie organy Unii. Przy opracowywaniu i konceptualizacji działań w dziedzinie badań naukowych i innowacji, istotnych dla celów Europolu, Europol powinien mieć możliwość, w stosownych przypadkach, konsultowania się ze Wspólnym Centrum Badawczym (JRC) Komisji. Europol powinien podejmować wszelkie niezbędne środki, aby unikać konfliktu interesów. Europol nie powinien otrzymywać finansowania w ramach danego ramowego programu unijnego, w przypadku, gdy wspomaga on Komisję w identyfikowaniu kluczowych tematów badań naukowych lub sporządza i realizuje ten program. Istotne jest, aby Europol miał zapewnione otrzymywanie odpowiedniego finansowania, tak by mógł wspomagać państwa członkowskie i Komisję w obszarze badań naukowych i innowacji.

(13)

W odniesieniu do bezpośrednich inwestycji zagranicznych Unia i państwa członkowskie mają możliwość przyjmowania środków ograniczających uzasadnionych względami bezpieczeństwa lub porządku publicznego. W tym celu rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/452 (8) ustanawia ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii. Bezpośrednie inwestycje zagraniczne w powstające technologie wymagają szczególnej uwagi, gdyż mogą mieć istotne skutki dla bezpieczeństwa i porządku publicznego, w szczególności gdy takie technologie są wykorzystywane przez właściwe organy państw członkowskich. Ze względu na zaangażowanie Europolu w monitorowanie pojawiających się technologii oraz na swoje zaangażowanie w opracowywanie nowych sposobów wykorzystywania takich technologii do celów ścigania przestępstw, w szczególności za pośrednictwem swojego laboratorium innowacji i za pośrednictwem centrum innowacji strategii bezpieczeństwa wewnętrznego UE, Europol dysponuje szeroką wiedzą na temat możliwości, jakie oferują takie technologie, a także na temat ryzyka związanego z ich stosowaniem. Europol powinien zatem mieć możliwość wspierania państw członkowskich w monitorowaniu bezpośrednich inwestycji zagranicznych w Unii oraz powiązanych zagrożeń dla bezpieczeństwa, które dotyczą przedsiębiorstw dostarczających technologie, w tym oprogramowanie, wykorzystywane przez Europol w celu zapobiegania przestępstwom objętym zakresem celów Europolu i prowadzenia w ich sprawie postępowań przygotowawczych, lub technologie krytyczne, które mogą być wykorzystywane do ułatwiania działalności terrorystycznej. W tym kontekście wiedza fachowa Europolu powinna służyć wspieraniu monitorowania bezpośrednich inwestycji zagranicznych i powiązanych zagrożeń dla bezpieczeństwa. W szczególności należy wziąć pod uwagę to, czy dany inwestor zagraniczny był już zaangażowany w działalność mającą wpływ na bezpieczeństwo, czy istnieje poważne ryzyko, że dany inwestor zagraniczny angażuje się w nielegalną działalność lub działalność przestępczą, oraz czy dany inwestor zagraniczny znajduje się pod bezpośrednią lub pośrednią kontrolą rządu państwa trzeciego, w tym za sprawą subsydiów.

(14)

Europol oferuje specjalistyczną wiedzę fachową w dziedzinie zwalczania poważnej przestępczości oraz terroryzmu. Na wniosek państwa członkowskiego personel Europolu powinien mieć możliwość zapewnienia właściwym organom tego państwa członkowskiego wsparcia operacyjnego na miejscu w zakresie działań operacyjnych i postępowań przygotowawczych, w szczególności poprzez ułatwianie transgranicznej wymiany informacji oraz zapewnianie wsparcia kryminalistycznego i technicznego w działaniach operacyjnych i postępowaniach przygotowawczych, m.in. w kontekście wspólnych zespołów dochodzeniowo-śledczych. Personel Europolu, na wniosek państwa członkowskiego, powinien być uprawniony do obecności podczas wykonywania czynności w ramach postępowania przygotowawczego w tym państwie członkowskim. Personel Europolu nie powinien być uprawniony do wykonywania czynności w ramach postępowania przygotowawczego.

(15)

Jednym z celów Europolu jest wspieranie i wzmacnianie działania i wzajemnej współpracy właściwych organów państw członkowskich w zakresie zapobiegania formom przestępczości mającym wpływ na wspólny interes objęty polityką Unii i zwalczania tych form przestępczości. Aby wzmocnić to wsparcie, dyrektor wykonawczy Europolu (zwany dalej "dyrektorem wykonawczym") powinien mieć możliwość zwrócenia się do właściwych organów państwa członkowskiego by wszczęły, przeprowadziły lub skoordynowały one postępowanie przygotowawcze w sprawie przestępstwa, które dotyczy tylko tego państwa członkowskiego, lecz ma wpływ na wspólny interes objęty polityką Unii. Europol powinien informować Eurojust i w stosownych przypadkach Prokuraturę Europejską (EPPO) ustanowioną rozporządzeniem Rady (UE) 2017/1939 (9) o każdym takim wniosku.

(16)

Podawanie do wiadomości publicznej tożsamości i niektórych danych osobowych osób podejrzanych lub skazanych, które są poszukiwane na podstawie krajowego orzeczenia sądowego, zwiększa szanse państw członkowskich na zlokalizowanie i zatrzymanie takich osób. W celu wsparcia państw członkowskich w zlokalizowaniu i zatrzymaniu takich osób Europol powinien mieć możliwość publikowania na swojej stronie internetowej informacji o najbardziej poszukiwanych w Europie osobach ściganych, które popełniły przestępstwa objęte zakresem celów Europolu. W tym samym celu, Europol powinien ułatwiać obywatelom przekazywanie państwom członkowskim i Europolowi informacji o tych osobach.

(17)

Europol, po tym jak ustali, że dane osobowe, które otrzymuje wchodzą w zakres jego celów, powinien móc przetwarzać te dane w następujących czterech sytuacjach. W pierwszej sytuacji, otrzymane dane osobowe odnoszą się do jednej z kategorii osób, których dane dotyczą, wymienionych w załączniku II do rozporządzenia (UE) 2016/794 ("załącznik II"). W drugiej sytuacji, otrzymane dane osobowe składają się z danych związanych z postępowaniem przygotowawczym, które zawierają dane nieodnoszące się do żadnej z kategorii osób, których dane dotyczą, wymienionych w załączniku II, ale zostały przekazane, na wniosek o wsparcie Europolu w ramach konkretnego postępowania przygotowawczego, przez państwo członkowskie, EPPO, Eurojust lub państwo trzecie, pod warunkiem że państwo członkowskie, EPPO, Eurojust lub państwo trzecie ma prawo przetwarzać takie dane, związane z postępowaniem przygotowawczym, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy prawa Unii i prawa krajowego. W tej sytuacji Europol powinien mieć możliwość przetwarzania tych danych związanych z postępowaniem przygotowawczym tak długo, jak wspiera on to konkretne postępowanie przygotowawcze. W trzeciej sytuacji, otrzymane dane osobowe mogą nie mieć związku z kategoriami osób, których dane dotyczą, wymienionych w załączniku II i nie zostały dostarczone na podstawie wniosku o wsparcie Europolu na rzecz konkretnego postępowania przygotowawczego. W tej sytuacji Europol powinien mieć możliwość zweryfikowania, czy te dane osobowe odnoszą się do jednej z tych kategorii osób, których dane dotyczą. W czwartej sytuacji, otrzymane dane osobowe zostały przedłożone do celów projektów w dziedzinie badań naukowych i innowacji i nie odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II.

(18)

Zgodnie z art. 73 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (10) Europol ma, w stosownych przypadkach i w miarę możliwości, dokonać wyraźnego rozróżnienia między danymi osobowymi, które odnoszą się do poszczególnych kategorii osób, których dane dotyczą, wymienionych w załączniku II.

(19)

W przypadku gdy państwa członkowskie korzystają z infrastruktury Europolu na potrzeby wymiany danych osobowych dotyczących przestępstw, które nie są objęte zakresem celów Europolu, Europol nie powinien mieć dostępu do tych danych i powinien być uznawany za "podmiot przetwarzający" w zgodnie z art. 87 rozporządzenia (UE) 2018/1725. W tych przypadkach, Europol powinien mieć możliwość przetwarzania tych danych, chociaż nie odnoszą się one do kategorii osób, których dane dotyczą, wymienionych w załączniku II. W przypadku gdy państwa członkowskie korzystają z infrastruktury Europolu na potrzeby wymiany danych osobowych dotyczących przestępstw, które są objęte zakresem celów Europolu, i gdy przyznają Europolowi dostęp do tych danych, wymogi związane z kategoriami osób, których dane dotyczą, wymienionymi w załączniku II powinny mieć zastosowanie do każdej innej operacji przetwarzania tych danych przez Europol.

(20)

Z poszanowaniem zasady minimalizacji danych Europol powinien mieć możliwość weryfikowania, czy dane osobowe otrzymane w kontekście zapobiegania przestępstwom wchodzącym w zakres jego celów i zwalczania tych przestępstw odnoszą się do jednej z kategorii osób, których dane dotyczą, wymienionych w załączniku II. W tym celu Europol powinien mieć możliwość przeprowadzenia wstępnej analizy otrzymanych danych osobowych, wyłącznie w celu ustalenia, czy dane te odnoszą się do jednej ze wspomnianych kategorii osób, których dane dotyczą, poprzez porównywanie tych otrzymanych danych osobowych z danymi, które już posiada, bez dalszej analizy tych danych osobowych. Taka wstępna analiza powinna mieć miejsce, zanim Europol rozpocznie przetwarzanie danych na potrzeby kontroli krzyżowej, analizy strategicznej, analizy operacyjnej lub wymiany informacji, i należy ją przeprowadzić odrębnie od tego przetwarzania oraz po ustaleniu przez Europol, że określone dane są istotne i niezbędne do realizacji jego zadań. Po tym, jak Europol ustali, że te dane osobowe odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II, Europol powinien mieć możliwość przetwarzania tych danych osobowych na potrzeby kontroli krzyżowej, analizy strategicznej, analizy operacyjnej lub wymiany informacji. Jeśli Europol stwierdzi, że te dane osobowe nie odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II, powinien on usunąć te dane.

(21)

Kategoryzacja danych osobowych w danym zbiorze danych może z czasem ulec zmianie w wyniku nowych informacji, które stały się dostępne w kontekście postępowań przygotowawczych, na przykład informacji na temat dodatkowych podejrzanych. Z tego względu Europol powinien mieć możliwość przetwarzania danych osobowych, gdy jest to absolutnie niezbędne i proporcjonalne do celów ustalenia kategorii osób, do których odnoszą się określone dane, przez okres nie dłuższy niż 18 miesięcy od momentu, gdy Europol ustali, że te dane są objęte zakresem jego celów. Europol powinien móc przedłużyć ten okres do trzech lat w należycie uzasadnionych przypadkach i pod warunkiem że przedłużenie tego okresu jest niezbędne i proporcjonalne. O przedłużeniu tego okresu należy poinformować Europejskiego Inspektora Ochrony Danych (EIOD). W przypadku gdy przetwarzanie danych osobowych do celów ustalenia kategorii osób, których dane dotyczą, nie jest już niezbędne i uzasadnione, a także każdorazowo po upływie maksymalnego okresu przetwarzania, Europol powinien usunąć dane osobowe.

(22)

Ilość danych zbieranych w ramach postępowań przygotowawczych staje się coraz większa, a zbiory danych stają się coraz bardziej złożone. Państwa członkowskie przedkładają Europolowi duże i złożone zbiory danych, zwracając się do Europolu o przeprowadzenie analizy operacyjnej w celu zidentyfikowania powiązań z przestępstwami innymi niż przestępstwa objęte dochodzeniem w kontekście którego, zostały zebrane, oraz przestępcami w innych państwach członkowskich oraz poza granicami Unii. W związku z faktem, że Europol może wykryć takie powiązania transgraniczne bardziej skutecznie niż państwa członkowskie w drodze własnej analizy danych, Europol powinien mieć możliwość wspierania prowadzonych przez państwa członkowskie postępowań przygotowawczych poprzez przetwarzanie dużych i złożonych zbiorów danych w celu identyfikowania takich powiązań transgranicznych, pod warunkiem że odbywa się to zgodnie z rygorystycznymi wymogami i zabezpieczeniami określonymi w niniejszym rozporządzeniu. Jeśli jest to konieczne do wsparcia toczącego się konkretnego postępowania przygotowawczego w państwie członkowskim w sposób skuteczny, Europol powinien mieć możliwość przetwarzania danych związanych z postępowaniem przygotowawczym, które właściwe organy państw członkowskich mają prawo przetwarzać w ramach tego konkretnego postępowania przygotowawczego zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy ich prawa krajowego, a które następnie przedłożyły Europolowi. Powinno to obejmować dane osobowe, w przypadku których państwa członkowskie nie były w stanie ustalić, czy dane te odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II. Jeżeli państwo członkowskie, EPPO lub Eurojust dostarczają Europolowi dane związane z postępowaniem przygotowawczym, występując o wsparcie Europolu w toczącym się konkretnym postępowaniu przygotowawczym, Europol powinien mieć możliwość przetwarzania tych danych, tak długo, jak wspiera on to konkretne postępowanie przygotowawcze, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na podstawie prawa Unii lub prawa krajowego.

(23)

W celu zapewnienia, aby dane były przetwarzane w kontekście postępowania przygotowawczego w zakresie, w jakim jest to niezbędne i proporcjonalne, państwa członkowskie powinny zagwarantować przestrzeganie prawa Unii i prawa krajowego przy przedkładaniu Europolowi danych związanych z postępowaniem przygotowawczym. Przy przedkładaniu Europolowi danych związanych z postępowaniem przygotowawczym, w celu wystąpienia do niego o wsparcie w konkretnym postępowaniu przygotowawczym, państwa członkowskie powinny wziąć pod uwagę skalę i złożoność przetwarzania danych oraz rodzaj i znaczenie tego postępowania przygotowawczego. Państwa członkowskie powinny poinformować Europol, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy swojego prawa krajowego, gdy nie mają już prawa do przetwarzania danych w ramach danego toczącego się konkretnego postępowania przygotowawczego. Europol powinien wyłącznie przetwarzać dane osobowe, które nie odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II, jeżeli ocenia on, że nie jest możliwe wsparcie toczącego się konkretnego postępowania przygotowawczego bez przetwarzania tych danych osobowych. Europol powinien udokumentować tę ocenę. Europol powinien przechowywać takie dane, funkcjonalnie oddzielnie od innych danych, i przetwarzać je tylko wtedy, gdy jest to niezbędne do wsparcia danego toczącego się konkretnego postępowania przygotowawczego, np. w przypadku nowego tropu.

(24)

Europol powinien również mieć możliwość przetwarzania danych osobowych, które są niezbędne do wspierania przez niego konkretnego postępowania przygotowawczego prowadzonego w co najmniej jednym państwie członkowskim, jeżeli dane te dostarczane są przez państwo trzecie, pod warunkiem że: to państwo trzecie podlega decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 (11) (zwanej dalej "decyzją stwierdzającą odpowiedni stopień ochrony"); została zawarta umowa międzynarodową między tym państwem trzecim a Unią na podstawie art. 218 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), obejmująca przekazywanie danych osobowych do celów egzekwowania prawa (zwana dalej "umową międzynarodową") została zawarta umowa o współpracy umożliwiająca wymianę danych osobowych między Europolem a tym państwem trzecim przed wejściem w życie rozporządzenia (UE) 2016/794 (zwana dalej "umową o współpracy"); lub odpowiednie zabezpieczenia w zakresie ochrony danych osobowych są przewidziane w prawnie wiążącym instrumencie lub Europol stwierdza, na podstawie oceny wszystkich okoliczności towarzyszących przekazaniu danych osobowych, że te zabezpieczenia istnieją w tym państwie trzecim, oraz pod warunkiem że to państwo trzecie uzyskało te dane w ramach postępowania przygotowawczego zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy jego krajowego prawa karnego. Jeżeli państwo trzecie dostarcza dane związane z postępowaniem przygotowawczym Europolowi, Europol powinien zweryfikować, czy ilość danych osobowych nie jest w wyraźny sposób nieproporcjonalna w odniesieniu do wspieranego przez Europol, konkretnego postępowania przygotowawczego w danym państwie członkowskim oraz, w miarę możliwości, czy nie istnieją obiektywne przesłanki wskazujące, że dane związane z postępowaniem przygotowawczym zostały zebrane w państwie trzecim w sposób, który stanowi oczywiste naruszenie praw podstawowych. Jeżeli Europol stwierdzi, że warunki te nie zostały spełnione, nie powinien on przetwarzać takich danych i powinien je usunąć. W przypadku gdy państwo trzecie dostarcza Europolowi dane związane z postępowaniem przygotowawczym, w stosownych przypadkach inspektor ochrony danych Europolu powinien mieć możliwość powiadomienia o tym EIOD.

(25)

W celu zapewnienia, aby państwo członkowskie mogło wykorzystywać sprawozdania analityczne Europolu w kontekście postępowania sądowego w następstwie postępowania przygotowawczego, Europol powinien mieć możliwość - na wniosek tego państwa członkowskiego, EPPO lub Eurojustu - przechowywania danych związanych z odnośnym postępowaniem przygotowawczym na potrzeby zapewnienia prawdziwości, wiarygodności i identyfikowalności procesu wywiadu kryminalnego. Europol powinien przechowywać takie dane w sposób funkcjonalnie oddzielny od innych danych i tylko przez okres trwania postępowania sądowego związanego z tym postępowaniem przygotowawczym w danym państwie członkowskim. Ponadto, istnieje potrzeba zapewnienia dostępu właściwym organom sądowym, a także praw do obrony, w szczególności prawa dostępu do materiałów sprawy dla osób podejrzanych, oskarżonych lub ich adwokatów. W tym celu Europol powinien rejestrować wszystkie dowody i metody ich sporządzenia lub uzyskania przez Europol, aby umożliwić skuteczną kontrolę dowodów przez obronę.

(26)

Europol powinien mieć możliwość przetwarzania otrzymanych danych osobowych przed wejściem w życie niniejszego rozporządzenia, które nie odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II zgodnie z niniejszym rozporządzeniem w dwóch sytuacjach. W pierwszej sytuacji, Europol powinien mieć możliwość przetwarzania takich danych osobowych, by wesprzeć postępowanie przygotowawcze lub by zapewnić prawdziwość, wiarygodność i identyfikowalność procesu wywiadu kryminalnego, pod warunkiem że wymogi określone w tymczasowych ustaleniach dotyczących przetwarzania otrzymanych danych osobowych w ramach wspierania postępowania przygotowawczego będą przestrzegane. W drugiej sytuacji Europol powinien mieć również możliwość zweryfikowania, czy takie dane osobowe odnoszą się do jednej z kategorii osób, których dane dotyczą, wymienionych w załączniku II, poprzez prowadzenie wstępnej analizy tych danych osobowych przez okres nie dłuższy niż 18 miesięcy, licząc od dnia otrzymania danych po raz pierwszy, lub - w uzasadnionych przypadkach oraz po uzyskaniu uprzedniej zgody EIOD - przez dłuższy okres. Maksymalny okres przetwarzania danych osobowych do celów takiej wstępnej analizy nie powinien przekroczyć trzech lat, licząc od dnia otrzymania danych przez Europol po raz pierwszy.

(27)

Przypadki poważnej przestępczości lub terroryzmu o charakterze transgranicznym wymagają ścisłej współpracy między właściwymi organami zainteresowanych państw członkowskich. Europol oferuje narzędzia wspierające taką współpracę w ramach postępowań przygotowawczych, w szczególności poprzez wymianę informacji. Aby jeszcze bardziej wzmocnić taką współpracę w ramach konkretnych postępowań przygotowawczych w drodze wspólnej analizy operacyjnej, państwa członkowskie powinny mieć możliwość zezwalania innym państwom członkowskim na bezpośredni dostęp do informacji, które przekazały Europolowi, niezależnie od wszelkich ogólnych lub szczegółowych ograniczeń, które wskazały w przypadku dostępu do tych informacji. Przetwarzanie danych osobowych przez państwa członkowskie w ramach wspólnej analizy operacyjnej powinno się odbywać zgodnie z niniejszym rozporządzeniem oraz dyrektywą (UE) 2016/680.

(28)

Europol i EPPO powinny dokonać uzgodnień roboczych określających sposoby ich współpracy, z należytym uwzględnieniem ich właściwych kompetencji Europol powinien ściśle współpracować z EPPO oraz -aktywnie wspierać postępowania przygotowawcze na jej wniosek, w tym udzielając wsparcia analitycznego i przekazując istotne informacje. Europol powinien również współpracować z EPPO od momentu, w którym EPPO zostanie poinformowana o podejrzeniu popełnienia przestępstwa, aż do momentu podjęcia przez EPPO decyzji o wniesieniu oskarżenia lub zakończenia sprawy w inny sposób. Europol powinien bez zbędnej zwłoki informować EPPO o każdym czynie zabronionym, w sprawie którego mogłaby ona wykonywać swoje kompetencje. Aby poprawić współpracę operacyjną między Europolem i EPPO, Europol powinien umożliwić EPPO dostęp do danych będących w jego posiadaniu, w oparciu o system trafieniowy (figuruje/nie figuruje), który powiadamia Europol jedynie w przypadku trafienia, zgodnie z niniejszym rozporządzeniem, w tym ograniczeniami wskazanymi przez podmiot, który przekazał Europolowi dane. Jeśli informacje są objęte ograniczeniem wskazanym przez państwo członkowskie, Europol powinien przekazać sprawę temu państwu członkowskiego, aby mogło ono wywiązać się ze swoich obowiązków ciążących na nim na mocy rozporządzenia (UE) 2017/1939. Dane państwo członkowskie powinno następnie poinformować EPPO zgodnie ze swoją procedurą krajową. Do współpracy Europolu z EPPO powinny mieć zastosowanie zasady przesyłania danych osobowych organom Unii określone w niniejszym rozporządzeniu. Europol powinien być również w stanie wspierać postępowania przygotowawcze prowadzone przez EPPO poprzez analizę dużych i złożonych zbiorów danych osobowych zgodnie z zabezpieczeniami i gwarancjami ochrony danych przewidzianymi w niniejszym rozporządzeniu.

(29)

Europol powinien ściśle współpracować z Europejskim Urzędem ds. Zwalczania Nadużyć Finansowych (OLAF) w celu wykrywania oszustw, korupcji i innej nielegalnej działalności naruszającej interesy finansowe Unii. W związku z tym Europol powinien bez zbędnej zwłoki przesyłać OLAF wszelkie informacje, w odniesieniu do których OLAF mógłby wykonywać swoje kompetencje. Do współpracy Europolu z OLAF powinny mieć zastosowanie zasady przesyłania danych osobowych organom Unii określone w niniejszym rozporządzeniu.

(30)

Powiązania poważnej przestępczości i terroryzmu często sięgają poza terytorium Unii. Europol może prowadzić wymianę danych osobowych z państwami trzecimi, jednocześnie chroniąc prywatność oraz podstawowe prawa i wolności osób, których dane dotyczą. W sytuacji gdy jest to niezbędne do prowadzenia postępowania przygotowawczego w sprawie konkretnych przestępstw objętych zakresem celów Europolu, dyrektor wykonawczy powinien mieć możliwość, w indywidualnych przypadkach, wyrażania zgody, na określoną kategorię przekazań danych osobowych do państw trzecich, gdy taka kategoria przekazań odnosi się do tej samej konkretnej sytuacji, obejmuje te same kategorie danych osobowych i te same kategorie osób, których dane dotyczą, jest niezbędna i proporcjonalna do celu prowadzenia postępowania przygotowawczego w sprawie konkretnego przestępstwa oraz spełnia wszystkie wymogi określone w niniejszym rozporządzeniu. Powinno być możliwe, by poszczególne operacje przekazania objęte kategorią przekazań obejmowały tylko niektóre z kategorii danych osobowych i kategorii osób, których dane dotyczą, na których przekazanie zgadza się dyrektor wykonawczy. Powinno być również możliwe dopuszczanie kategorii przekazań danych osobowych w następujących konkretnych sytuacjach: gdy przekazanie danych osobowych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby; gdy przekazanie danych osobowych ma zasadnicze znaczenie dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; gdy celem przekazania danych osobowych jest zabezpieczenie uzasadnionych interesów osoby, której dane dotyczą; lub w indywidualnych przypadkach jest niezbędne do zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar; lub dla ustalenia, dochodzenia lub obrony roszczeń w związku z zapobieganiem określonemu przestępstwu, prowadzeniem postępowania przygotowawczego w jego sprawie, wykryciem go lub ściganiem albo wykonaniem konkretnej kary.

(31)

Przekazania, które nie odbywają się na podstawie zgody dyrektora wykonawczego, decyzji stwierdzającej odpowiedni stopień ochrony, umowy międzynarodowej lub umowy o współpracy, powinny być dopuszczalne jedynie w przypadku, gdy odpowiednie zabezpieczenia w zakresie ochrony danych osobowych są przewidziane w prawnie wiążącym instrumencie lub gdy Europol stwierdza, na podstawie oceny wszystkich okoliczności towarzyszących przekazaniu danych osobowych, że istnieją takie zabezpieczenia. Na potrzeby tej oceny, Europol powinien być w stanie uwzględnić dwustronne umowy o współpracy zawarte przez państwa członkowskie z państwami trzecimi, pozwalające na wymianę danych osobowych oraz jeżeli przekazanie danych osobowych ma podlegać obowiązkom zachowania poufności i zasadzie ograniczonego celu, co pozwoli zapewnić, aby dane nie były przetwarzane do celów innych niż przekazanie. Ponadto ważne jest, by Europol wziął pod uwagę to, czy dane osobowe mogłyby służyć do zażądania, orzeczenia lub wykonania kary śmierci ani do jakiejkolwiek formy okrutnego lub nieludzkiego traktowania. Europol powinien mieć możliwość zażądania dodatkowych zabezpieczeń.

(32)

Aby wspierać państwa członkowskie w ich współpracy z podmiotami prywatnymi, w przypadku gdy podmioty te posiadają informacje istotne z punktu widzenia zapobiegania poważnej przestępczości i terroryzmowi oraz ich zwalczania, Europol powinien mieć możliwość otrzymywania danych osobowych od podmiotów prywatnych - a w określonych przypadkach, gdy jest to niezbędne i proporcjonalne - wymiany danych osobowych z takimi podmiotami.

(33)

Przestępcy coraz częściej korzystają z usług oferowanych przez podmioty prywatne na potrzeby komunikowania się i prowadzenia nielegalnej działalności. Przestępcy seksualni wykorzystują dzieci, a następnie udostępniają na całym świecie na platformach internetowych lub w kontaktach z innymi przestępcami za pośrednictwem usług łączności interpersonalnej niewykorzystujących numerów zdjęcia i filmy stanowiące materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych. Terroryści wykorzystują usługi oferowane przez dostawców usług online do rekrutowania ochotników, planowania i koordynowania ataków oraz rozpowszechniania materiałów propagandowych. Cyberprzestępcy odnoszą korzyści z transformacji cyfrowej naszych społeczeństw oraz braku umiejętności cyfrowych, w tym alfabetyzacji cyfrowej w społeczeństwie, wykorzystując phishing i inżynierię społeczną do popełniania innych rodzajów cyberprzestępstw, takich jak oszustwa internetowe, ataki z wykorzystaniem oprogramowania szantażującego lub wyłudzenia przelewu. Ponieważ przestępcy coraz częściej korzystają z usług online, podmioty prywatne są w posiadaniu coraz większych ilości danych osobowych, w tym danych abonenta, danych o ruchu i danych dotyczących treści, które mogą być istotne w kontekście postępowań przygotowawczych.

(34)

Ze względu na ponadgraniczny charakter internetu możliwe jest, że dostawca usług online i infrastruktura cyfrowa, w której przechowywane są dane osobowe, podlegają różnym jurysdykcjom krajowym w Unii albo poza nią. Podmioty prywatne mogą zatem posiadać zbiory danych, które są istotne w kontekście ścigania przestępstw oraz które obejmują dane osobowe, które wchodzą w zakres wielu jurysdykcji, jak również dane osobowe, których nie można łatwo przypisać do żadnej konkretnej jurysdykcji. Właściwe organy państw członkowskich mogą mieć trudności ze skuteczną analizą zbiorów danych, które dotyczą wielu jurysdykcji lub których nie można przypisać do żadnej z nich przy wykorzystaniu rozwiązań krajowych. Ponadto, nie istnieje obecnie pojedynczy punkt kontaktowy dla podmiotów prywatnych, które decydują się na zgodne z prawem i dobrowolne udostępnienie zbiorów danych właściwym organom państw członkowskich. Odpowiednio, Europol powinien dysponować środkami ułatwiającymi współpracę z podmiotami prywatnymi, w tym w odniesieniu do wymiany informacji.

(35)

Aby zapewnić podmiotom prywatnym punkt kontaktowy na poziomie Unii na potrzeby zgodnego z prawem i dobrowolnego dostarczania zbiorów danych dotyczących wielu jurysdykcji lub zbiorów danych, których nie można łatwo przypisać do jednej lub kilku konkretnych jurysdykcji, Europol powinien mieć możliwość otrzymywania danych osobowych bezpośrednio od podmiotów prywatnych w celu zapewnienia państwom członkowskim informacji niezbędnych do ustalenia jurysdykcji oraz do prowadzenia postępowań przygotowawczych w sprawie przestępstw w ramach odnośnych jurysdykcji tych państw, zgodnie z niniejszym rozporządzeniem. Informacje te mogłyby zawierać sprawozdania dotyczące moderowanych treści, co do których można racjonalnie przypuszczać, że są powiązane z działalnością przestępczą, która wchodzi w zakres celów Europolu.

(36)

Aby zapewnić otrzymywanie przez państwa członkowskie informacji niezbędnych do wszczynania postępowań przygotowawczych w celu zapobiegania poważnej przestępczości i terroryzmowi oraz ich zwalczania bez zbędnej zwłoki, Europol powinien mieć możliwość przetwarzania i analizowania danych osobowych na potrzeby identyfikacji zainteresowanych jednostek krajowych oraz przekazywania tym jednostkom krajowym dane osobowe i wyniki analizy i weryfikacji takich danych, które są istotne dla ustalenia jurysdykcji i do prowadzenia postępowań przygotowawczych w sprawie tych przestępstw w ramach odnośnych jurysdykcji tych jednostek. Europol powinien mieć również możliwość przekazywania danych osobowych i wyników analizy i weryfikacji takich danych, które są istotne w celu ustalenia jurysdykcji zainteresowanym punktom kontaktowym lub organom państw trzecich, które podlegają decyzji stwierdzającej odpowiedni stopień ochrony lub z którymi zawarta została umowa międzynarodowa lub umowa o współpracy, lub w przypadku gdy w prawnie wiążącym instrumencie przewidziane zostały odpowiednie zabezpieczenia w zakresie ochrony danych osobowych lub gdy Europol stwierdza, na podstawie oceny wszystkich okoliczności towarzyszących przekazaniu danych osobowych, że istnieją takie zabezpieczenia w tych państwach trzecich. W przypadku gdy zainteresowane państwo trzecie nie podlega decyzji stwierdzającej odpowiedni stopień ochrony lub nie jest stroną umowy międzynarodowej lub umowy o współpracy lub gdy nie istnieją prawnie wiążące instrumenty lub gdy Europol nie stwierdził istnienia odpowiednich zabezpieczeń, Europol powinien mieć możliwość przekazania wyników swojej analizy i weryfikacji takich danych temu zainteresowanemu państwu trzeciemu zgodnie z niniejszym rozporządzeniem.

(37)

Zgodnie z rozporządzeniem (UE) 2016/794, w niektórych przypadkach i z zastrzeżeniem warunków, może być niezbędne i proporcjonalne do celów przekazania przez Europol danych osobowych podmiotom prywatnym, które nie mają siedziby w Unii ani w państwie trzecim, które podlega decyzji stwierdzającej odpowiedni stopień ochrony lub z którym zawarta została umowa międzynarodowa lub umowa o współpracy lub w przypadku gdy w prawnie wiążącym instrumencie nieprzewidziane zostały odpowiednie zabezpieczenia w zakresie ochrony danych osobowych lub Europol nie stwierdził, że istnieją odpowiednie zabezpieczenia. W takich przypadkach przekazanie danych powinno podlegać uprzedniej zgodzie dyrektora wykonawczego.

(38)

W celu zapewnienia, aby Europol mógł zidentyfikować wszystkie odpowiednie zainteresowane jednostki krajowe, powinien mieć możliwość informowania podmiotów prywatnych, w przypadku gdy informacje, które one dostarczają, są niewystarczające, by był w stanie zidentyfikować zainteresowane jednostki krajowe. Dzięki temu te podmioty prywatne mogłyby podjąć decyzję, czy udostępnienie Europolowi dodatkowych informacji leży w ich interesie i czy mogą to zrobić zgodnie z prawem. W tym celu Europol powinien mieć możliwość poinformowania podmiotów prywatnych o brakujących informacjach, o ile jest to absolutnie niezbędne wyłącznie w celu zidentyfikowania zainteresowanych jednostek krajowych. Przekazywanie podmiotom prywatnym informacji z Europolu powinno być objęte specjalnymi zabezpieczeniami, w przypadku gdy zainteresowany podmiot prywatny nie ma siedziby na terytorium Unii ani w państwie trzecim, które podlega decyzji stwierdzającej odpowiedni stopień ochrony lub z którym zawarta została umowa międzynarodowa lub umowa o współpracy, lub w przypadku gdy w prawnie wiążącym instrumencie nie zostały przewidziane odpowiednie zabezpieczenia w zakresie ochrony danych osobowych lub Europol nie stwierdził, że istnieją odpowiednie zabezpieczenia.

(39)

W przypadku gdy państwa członkowskie, państwa trzecie, organizacje międzynarodowe lub podmioty prywatne udostępniają Europolowi zbiory danych dotyczących wielu jurysdykcji lub zbiory danych, których nie można przypisać do jednej lub kilku konkretnych jurysdykcji, możliwe jest, że te zbiory danych są połączone z danymi osobowymi będącymi w posiadaniu podmiotów prywatnych. W takich przypadkach Europol powinien mieć możliwość wysłania do państw członkowskich - za pośrednictwem ich jednostek krajowych - wniosku o uzyskanie niezbędnych danych osobowych w posiadaniu podmiotów prywatnych, które mają siedzibę lub przedstawiciela prawnego na terytorium tych państw członkowskich. Taki wniosek powinno składać się wyłącznie, jeżeli uzyskanie dodatkowych informacji od podmiotów prywatnych jest konieczne celem zidentyfikowania zainteresowanych jednostek krajowych. Wniosek powinien zawierać uzasadnienie i być w jak największym stopniu precyzyjny. Odpowiednie dane osobowe, które powinny być możliwie jak najmniej wrażliwe i ściśle ograniczone do tego, co jest niezbędne i proporcjonalne w celu zidentyfikowania zainteresowanych jednostek krajowych, należy dostarczyć Europolowi zgodnie z obowiązującymi przepisami zainteresowanych państw członkowskich. Właściwe organy zainteresowanych państw członkowskich powinny ocenić wniosek Europolu i podjąć decyzję, zgodnie z ich przepisami krajowymi, o tym, czy go zaakceptować. Wszelkie przetwarzanie danych przez podmioty prywatne, przeprowadzane podczas analizowania wniosku złożonego przez właściwe organy państw członkowskich, powinno nadal być prowadzone zgodnie z obowiązującymi przepisami, w szczególności w odniesieniu do ochrony danych. Podmioty prywatne powinny dostarczać właściwym organom państw członkowskich dane, o które wystąpiły one celem dalszego przesłania ich Europolowi. W wielu przypadkach może okazać się, że zainteresowane państwa członkowskie nie mogą ustalić związku z własną jurysdykcją innego niż fakt, że podmiot prywatny dysponujący określonymi danymi ma siedzibę lub przedstawiciela prawnego na terytorium objętym ich jurysdykcją. Niezależnie od tego, czy mają one jurysdykcję w odniesieniu do konkretnego przestępstwa, państwa członkowskie powinny w każdym wypadku zapewnić swoim właściwym organom możliwość uzyskania danych osobowych od podmiotów prywatnych na potrzeby przekazywania Europolowi informacji niezbędnych do realizacji jego celów, przy pełnym poszanowaniu gwarancji proceduralnych przewidzianych w ich przepisach krajowych.

(40)

Aby Europol nie przetrzymywał dłużej, niż jest to konieczne, danych osobowych otrzymanych bezpośrednio od podmiotów prywatnych do celów zidentyfikowania zainteresowanych jednostek krajowych, powinny go obowiązywać ograniczenia czasowe dotyczące przechowywania danych osobowych. Gdy Europol wyczerpie wszystkie dostępne mu środki pozwalające na identyfikację wszystkich zainteresowanych jednostek krajowych i nie może w uzasadniony sposób spodziewać się, że uda mu się zidentyfikować kolejne zainteresowane jednostki krajowe, przechowywanie tych danych osobowych nie jest już niezbędne ani proporcjonalne w celu identyfikacji zainteresowanych jednostek krajowych. Europol powinien usunąć dane osobowe w terminie czterech miesięcy od ostatniego ich przesłania, przekazać je jednostce krajowej albo przekazać je punktowi kontaktowemu państwa trzeciego lub organowi państwa trzeciego, chyba że zgodnie z prawem Unii i prawem krajowym zainteresowana jednostka krajowa, zainteresowany punkt kontaktowy lub zainteresowany organ ponownie przedłożą te dane osobowe Europolowi jako swoje dane w tym okresie. Jeżeli ponownie przedłożone dane osobowe stanowiły część większego zbioru danych osobowych, Europol powinien nadal przechowywać tylko te dane osobowe, które zostały ponownie przedłożone przez zainteresowaną jednostkę krajową, zainteresowany punkt kontaktowy lub zainteresowany organ.

(41)

Współpraca Europolu z podmiotami prywatnymi nie powinna powielać ani zakłócać działań jednostek analityki finansowej (FIU), ustanowionych zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/849 (12) i powinna dotyczyć wyłącznie informacji, które nie zostały jeszcze przekazane tym jednostkom zgodnie z tą dyrektywą. Europol powinien nadal współpracować z jednostkami analityki finansowej, szczególnie za pośrednictwem jednostek krajowych.

(42)

Europol powinien mieć możliwość zapewnienia właściwym organom państw członkowskich niezbędnego wsparcia w zakresie kontaktów z podmiotami prywatnymi, w szczególności poprzez udostępnianie niezbędnej infrastruktury służącej do takich kontaktów, na przykład gdy właściwe organy państw członkowskich kierują informacje o treściach o charakterze terrorystycznym zamieszczonych w internecie do dostawców usług online, wysyłają do nich nakazy usunięcia takich treści zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/784 (13) lub prowadzą z podmiotami prywatnymi wymianę informacji w kontekście cyberataków. W przypadku gdy państwa członkowskie korzystają z infrastruktury Europolu na potrzeby wymiany danych osobowych dotyczących przestępstw, które wykraczają poza zakres celów Europolu, Europol nie powinien mieć dostępu do tych danych. Europol powinien zadbać za pomocą środków technicznych o to, by rola jego infrastruktury ograniczała się ściśle do zapewniania kanału do takich kontaktów między właściwymi organami państw członkowskich a podmiotem prywatnym i by Europol zapewniał wszelkie niezbędne zabezpieczenia przed dostępem podmiotu prywatnego do jakichkolwiek innych informacji w systemach Europolu, które to informacje nie są związane z wymianą z tym podmiotem prywatnym.

(43)

Ataki terrorystyczne uruchamiają rozpowszechnianie na szeroką skalę za pośrednictwem platform internetowych treści o charakterze terrorystycznym przedstawiających szkodę stanowiącą zagrożenie życia lub integralności cielesnej lub nawołujących do spowodowania takiej bezpośredniej szkody, co umożliwia gloryfikację terroryzmu i szkolenie na potrzeby terroryzmu, a ostatecznie radykalizację i rekrutację innych osób. Ponadto wzmożone wykorzystywanie internetu do nagrywania lub udostępniania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych utrwala krzywdę ofiar, ponieważ materiały te można łatwo powielać i rozpowszechniać. W celu zapobiegania przestępstwom wchodzącym w zakres celów Europolu i zwalczania tych przestępstw Europol powinien mieć możliwość wspierania działań podejmowanych przez państwa członkowskich w celu skutecznego przeciwdziałania rozpowszechnianiu - w kontekście sytuacji kryzysowych wywołanych publikacją w internecie - treści o charakterze terrorystycznym odwołujących się do aktualnych lub niedawnych wydarzeń w świecie rzeczywistym, rozpowszechnianiu materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, a także powinien mieć możliwość wspierania działań podejmowanych przez dostawców usług online zgodnie z ich obowiązkami na mocy prawa Unii i działania podejmowane przez nich dobrowolnie. W tym celu Europol powinien mieć możliwość prowadzenia wymiany odpowiednich danych osobowych, w tym niepowtarzalnego, nieprzekształcalnego podpisu cyfrowego (zwanego dalej "skrótem"), adresów IP lub adresów URL związanych z takimi treściami, z podmiotami prywatnymi mającymi siedzibę w Unii lub w państwie trzecim, które podlega decyzji stwierdzającej odpowiedni stopień ochrony, lub - w przypadku braku takiej decyzji - z którym została zawarta umowa międzynarodowa lub umowa o współpracy lub gdy w prawnie wiążącym instrumencie przewidziane zostały odpowiednie zabezpieczenia w zakresie ochrony danych osobowych lub Europol stwierdza, na podstawie oceny wszystkich okoliczności towarzyszących przekazaniu danych osobowych, że istnieją takie zabezpieczenia w tym państwie trzecim. Takie wymiany danych osobowych powinny mieć miejsce wyłącznie w celu usuwania treści terrorystycznych i materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, w szczególności jeżeli istnieje przewidywane potencjalne ryzyko narastającego zwielokrotnienia i rozprzestrzeniania się tych treści i materiałów za pośrednictwem różnorodnych dostawców usług online. Żaden z przepisów niniejszego rozporządzenia nie powinien być rozumiany jako uniemożliwiający państwom członkowskim stosowanie nakazów usunięcia, o których mowa w rozporządzeniu (UE) 2021/784 jako instrumentu przeciwdziałania treściom o charakterze terrorystycznym w internecie.

(44)

Aby zapobiec powielaniu wysiłków i ewentualnemu zakłócaniu postępowań przygotowawczych oraz aby ograniczyć do minimum obciążenia spoczywające na objętych przepisami dostawcach usług hostingowych, Europol powinien pomagać właściwym organom państw członkowskich, wymieniać z nimi informacje i współpracować z nimi w zakresie przesyłania i przekazywania danych osobowych podmiotom prywatnym w celu reagowania na sytuacje kryzysowe wywołane publikacją w internecie lub zwalczania rozpowszechniania materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych.

(45)

W rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 określono zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii. Mimo iż rozporządzenie (UE) 2018/1725 ma zastosowanie do przetwarzania przez Europol administracyjnych danych osobowych niezwiązanych z postępowaniami przygotowawczymi, takich jak dane personelu, art. 3 pkt 2 i rozdział IX tego rozporządzenia, które regulują przetwarzanie danych osobowych, nie mają obecnie zastosowania do Europolu. Aby zapewnić jednolitą i spójną ochronę osób fizycznych w kontekście przetwarzania danych osobowych, należy stosować rozdział IX rozporządzenia (UE) 2018/1725 do Europolu, zgodnie z art. 2 ust. 2 tego rozporządzenia, i uzupełnić go o przepisy szczegółowe dotyczące konkretnych operacji przetwarzania danych, które Europol powinien wykonywać w celu realizacji swoich zadań. Dlatego też należy wzmocnić uprawnienia nadzorcze EIOD w odniesieniu do operacji przetwarzania Europolu, zgodnie z odpowiednimi uprawnieniami mającymi zastosowanie do przetwarzania administracyjnych danych osobowych, które to uprawnienia dotyczą wszystkich instytucji, organów i jednostek organizacyjnych Unii na mocy rozdziału VI rozporządzenia (UE) 2018/1725. W tym celu, w przypadku przetwarzania danych osobowych do celów operacyjnych przez Europol, EIOD powinien mieć możliwość żądania od Europolu, by zapewnił zgodność operacji przetwarzania z przepisami niniejszego rozporządzenia oraz nakazania zawieszenia przepływów danych do odbiorcy w państwie członkowskim, państwie trzecim lub organizacji międzynarodowej oraz powinien mieć możliwość nałożenia kary administracyjnej w przypadku niezastosowania się do tego żądania przez Europol.

(46)

Przetwarzanie danych do celów niniejszego rozporządzenia może wiązać się z przetwarzaniem szczególnych kategorii danych osobowych określonych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 (14). Przetwarzania fotografii nie należy rutynowo uznawać za przetwarzanie szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" na mocy art. 3 pkt 18 rozporządzenia (UE) 2018/1725 tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

(47)

Ważnym zabezpieczeniem w odniesieniu do nowych rodzajów operacji przetwarzania jest mechanizm uprzednich konsultacji angażujący EIOD, określony w rozporządzeniu (UE) 2018/1725. Jednakże mechanizm ten nie powinien mieć zastosowania do prowadzenia konkretnych indywidualnych działań operacyjnych, takich jak projekty analizy operacyjnej, lecz do wykorzystywania nowych technologii informatycznych (IT) do przetwarzania danych osobowych oraz do wszelkich istotnych zmian tych technologii, które wiązałyby się z wysokim ryzykiem dla praw i wolności podmiotów danych. Termin, w jakim powinno wymagać się od EIOD na przedstawienie pisemnej porady w sprawie takich konsultacji, nie powinien ulegać zawieszaniu. W przypadku czynności przetwarzania mających istotne znaczenie dla wykonywania przez Europol zadań, które są szczególnie pilne, Europol powinien mieć możliwość w drodze wyjątku rozpoczęcia przetwarzania po rozpoczęciu uprzedniej konsultacji, nawet jeśli termin na przedstawienie pisemnej porady przez EIOD jeszcze nie upłynął. Może się okazać, że dane działanie przetwarzania ma istotne znaczenie dla wykonywania przez Europol jego zadań, gdy przetwarzanie jest niezbędne do zapobieżenia bezpośredniemu zagrożeniu przestępstwem podlegającym kompetencjom Europolu oraz do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby. Inspektor ochrony danych Europolu powinien być zaangażowany w ocenę pilnego charakteru i konieczności takiego przetwarzania przed upływem terminu, jaki przysługuje EIOD na odpowiedź w ramach uprzednich konsultacji. Inspektor ochrony danych Europolu powinien nadzorować takie przetwarzanie. EIOD powinien mieć możliwość korzystania ze swoich uprawnień w odniesieniu do takiego przetwarzania.

(48)

Z uwagi na wyzwania dla bezpieczeństwa Unii wynikające z szybkiego rozwoju technologicznego i wykorzystywania nowych technologii przez terrorystów i innych przestępców, właściwe organy państw członkowskich muszą wzmocnić swoje zdolności technologiczne w zakresie identyfikacji, zabezpieczania i analizy danych potrzebnych do prowadzenia postępowań przygotowawczych w sprawie przestępstw. Europol powinien mieć możliwość wspierania państw członkowskich w wykorzystywaniu powstających technologii oraz w badaniu nowych podejść i rozwijaniu wspólnych rozwiązań technologicznych dla państw członkowskich, aby skuteczniej zapobiegać przestępstwom wchodzącym w zakres celów Europolu oraz je zwalczać. Jednocześnie, Europol powinien zapewniać, by rozwijanie, wykorzystywanie i wdrażanie nowych technologii opierało się na zasadach przejrzystości, wyjaśnialności, sprawiedliwości i rozliczalności, nie podważało podstawowych praw i wolności oraz było zgodne z prawem Unii. W tym celu Europol powinien mieć możliwość prowadzenia projektów w dziedzinie badań naukowych i innowacji w odniesieniu do kwestii objętych niniejszym rozporządzeniem w ramach ogólnego zakresu projektów w dziedzinie badań naukowych i innowacji ustanowionego przez zarząd w wiążącym dokumencie. Taki dokument powinien być w stosownych przypadkach aktualizowany i udostępniany EIOD. Projekty te powinny móc obejmować przetwarzanie danych osobowych wyłącznie w przypadkach, gdy spełnione są pewne warunki, mianowicie w sytuacji, gdy przetwarzanie danych osobowych jest ściśle wymagane, cel danego projektu nie może zostać osiągnięty poprzez wykorzystanie danych nieosobowych, w tym syntetycznych lub anonimowych, i zapewnione jest pełne poszanowanie praw podstawowych, w szczególności niedyskryminacji.

Przetwarzanie szczególnych kategorii danych osobowych do celów badań naukowych i innowacji powinno być dozwolone tylko wtedy, gdy jest to absolutnie niezbędne. Ze względu na wrażliwy charakter takiego przetwarzania należy zastosować odpowiednie dodatkowe zabezpieczenia, w tym pseudonimizację. Aby zapobiegać stronniczości w algorytmicznym podejmowaniu decyzji, Europol powinien być uprawniony do przetwarzania danych osobowych nienależących do kategorii osób, których dane dotyczą, wymienionych w załączniku II. Europol powinien prowadzić rejestry wszystkich operacji przetwarzania danych osobowych przeprowadzanych w kontekście swoich projektów w dziedzinie badań naukowych i innowacji w celu zweryfikowania dokładności wyniku przetwarzania danych i wyłącznie tak długo, jak długo jest to niezbędne do tej weryfikacji. Przepisy dotyczące opracowania nowych narzędzi przez Europol nie powinny stanowić podstawy prawnej do ich wdrożenia na szczeblu unijnym lub krajowym. Aby pobudzać innowacje i wzmacniać synergie w projektach w dziedzinie badań naukowych i innowacji, ważne jest, aby Europol zintensyfikował współpracę z odpowiednimi sieciami organów wymiaru sprawiedliwości państw członkowskich i innymi agencjami unijnymi zgodnie z ich kompetencjami w tym obszarze oraz wspierał inne, powiązane formy współpracy, np. obsługę sekretariatu europejskiego centrum innowacji na rzecz bezpieczeństwa wewnętrznego jako opartej na współpracy sieci laboratoriów innowacji.

(49)

Europol powinien odgrywać kluczową rolę we wspieraniu państw członkowskich w opracowywaniu nowych rozwiązań technologicznych opartych na sztucznej inteligencji, które są istotne dla realizacji celów Europolu i które przynoszą korzyści właściwym organom państw członkowskich w całej Unii. Pomocy tej należy udzielić przy pełnym poszanowaniu podstawowych praw i wolności, w tym niedyskryminacji. Europol powinien odgrywać ważną rolę w promowaniu opracowywania i stosowania etycznej, wiarygodnej i ukierunkowanej na człowieka sztucznej inteligencji, podlegającej solidnym zabezpieczeniom pod względem bezpieczeństwa, ochrony, przejrzystości, wyjaśnialności i praw podstawowych.

(50)

Przed uruchomieniem swoich projektów w dziedzinie badań naukowych i innowacji, które wiążą się z przetwarzaniem danych osobowych, Europol powinien poinformować o tym fakcie EIOD. Europol powinien poinformować swój zarząd albo skonsultować się z nim, zgodnie z niektórymi kryteriami, które należy określić w odnośnych wytycznych. Europol nie powinien przetwarzać danych do celów projektów w dziedzinie badań naukowych i innowacji bez zgody państwa członkowskiego, organu Unii, państwa trzeciego lub instytucji międzynarodowej, które przedłożyły Europolowi te dane, chyba że to państwo członkowskie, ten organ Unii, to państwo trzecie lub ta organizacja międzynarodowa wyraziły uprzednio zgodę na takie przetwarzanie do tego celu. W odniesieniu do każdego projektu przed rozpoczęciem przetwarzania Europol powinien przeprowadzić ocenę skutków dla ochrony danych, aby zapewnić pełne poszanowanie prawa do ochrony danych oraz wszystkich innych podstawowych praw i wolności osób, których dane dotyczą. Ocena skutków dla ochrony danych powinna obejmować ocenę adekwatności, konieczności i proporcjonalności danych osobowych, które mają być przetwarzane na potrzeby realizacji konkretnego celu projektu, w tym ocenę wymogu minimalizacji danych, oraz ocenę tego, czy wynik i dane osobowe, które mają być przetwarzane na potrzeby realizacji konkretnego celu projektu, mogą być stronnicze, a także ocenę środków przewidzianych, by zapobiec tym zagrożeniom. Opracowanie nowych narzędzi przez Europol powinno odbywać się bez uszczerbku dla podstawy prawnej, w tym podstaw przetwarzania odnośnych danych osobowych, która będzie następnie wymagana do wdrożenia tych narzędzi na szczeblu unijnym lub krajowym.

(51)

Zapewnienie Europolowi dodatkowych narzędzi i zdolności wymaga wzmocnienia demokratycznego nadzoru nad Europolem i jego rozliczalności. Wspólna kontrola parlamentarna stanowi ważny element politycznej kontroli działalności Europolu. Aby umożliwić skuteczną polityczną kontrolę sposobu wykorzystywania przez Europol dodatkowych narzędzi i zdolności powierzonych mu na mocy niniejszego rozporządzenia, Europol powinien co roku przekazywać grupie ds. wspólnej kontroli parlamentarnej (GWKP) oraz państwom członkowskim szczegółowe informacje na temat opracowywania, wykorzystywania i skuteczności tych narzędzi i zdolności oraz wyniku ich wykorzystywania, w szczególności na temat projektów w dziedzinie badań naukowych i innowacji, a także nowych działań lub utworzenia nowych wyspecjalizowanych ośrodków w ramach Europolu. Ponadto, co roku do udziału w co najmniej dwóch posiedzeniach zwyczajnych zarządu powinni zostać zaproszeni dwaj przedstawiciele GWKP - jeden z ramienia Parlamentu Europejskiego i jeden z ramienia parlamentów narodowych, by odzwierciedlić dwoisty charakter składu GWKP - po to by porozmawiać z zarządem w imieniu grupy i by omówić roczne skonsolidowane sprawozdanie z działalności, jednolity dokument programowy oraz roczny budżet, pisemne pytania i odpowiedzi GWKP, a także stosunki zewnętrzne i partnerstwa, przy jednoczesnym poszanowaniu różnych ról i obowiązków zarządu i GWKP zgodnie z niniejszym rozporządzeniem. Zarząd, wraz z przedstawicielami GWKP, powinien mieć możliwość określania innych kwestii o znaczeniu politycznym, które należy omówić. Zgodnie z nadzorczą rolą GWKP ci dwaj przedstawiciele grupy nie powinni mieć prawa głosu w zarządzie. Planowane działania w dziedzinie badań naukowych i innowacji należy określić w jednolitym dokumencie programowym zawierającym program wieloletni i roczny program prac Europolu i przekazać GWKP.

(52)

Na podstawie propozycji dyrektora wykonawczego zarząd powinien powołać inspektora ds. praw podstawowych, który powinien odpowiadać za wspieranie Europolu w zapewnianiu poszanowania praw podstawowych we wszystkich jego działaniach i zadaniach, w szczególności w projektach w dziedzinie badań naukowych i innowacji oraz wymianie danych osobowych z podmiotami prywatnymi. Powinno być możliwe powołanie członka obecnego personelu Europolu, który przeszedł specjalne szkolenie w obszarze prawa i praktyki w zakresie praw podstawowych, jako inspektora ds. praw podstawowych. Inspektor ds. praw podstawowych powinien ściśle współpracować z inspektorem ochrony danych w zakresie ich odpowiednich kompetencji. W zakresie, w jakim dotyczy to kwestii ochrony danych, pełną odpowiedzialność powinien ponosić inspektor ochrony danych.

(53)

Ponieważ cel niniejszego rozporządzenia, jakim jest wspieranie i wzmacnianie działań właściwych organów państw członkowskich, jak również ich wzajemnej współpracy w zapobieganiu poważnej przestępczości, dotykającej co najmniej dwóch państw członkowskich, terroryzmowi i formom przestępczości mającym wpływ na wspólny interes objęty polityką Unii, a także w ich zwalczaniu, nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast ze względu na transgraniczny charakter poważnej przestępczości i terroryzmu oraz potrzebę skoordynowanej reakcji na powiązane zagrożenia dla bezpieczeństwa możliwe jest jego skuteczniejsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z określoną w tym artykule zasadą proporcjonalności niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu.

(54)

Zgodnie z art. 3 Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, załączonego do TUE i TFUE, Irlandia powiadomiła o chęci uczestniczenia w przyjęciu i stosowaniu niniejszego rozporządzenia.

(55)

Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do TUE i TFUE, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia, nie jest nim związana ani go nie stosuje.

(56)

Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 8 marca 2021 r. (15).

(57)

W niniejszym rozporządzeniu w pełni respektuje się prawa podstawowe i zabezpieczenia i przestrzega zasad uznanych w szczególności w Karcie praw podstawowych Unii Europejskiej (zwanej dalej "Kartą"), w szczególności prawo do poszanowania życia prywatnego i rodzinnego oraz prawo do ochrony danych osobowych, określonych w art. 7 i 8 Karty oraz art. 16 TFUE. Z uwagi na znaczenie przetwarzania danych osobowych dla prac organów ścigania ogólnie, a dla wsparcia udzielanego przez Europol w szczególności, niniejsze rozporządzenie powinno obejmować bardziej rygorystyczne zabezpieczenia, mechanizmy nadzoru demokratycznego i rozliczalności, służące zapewnieniu, by działania i zadania Europolu były realizowane w pełnej zgodności z prawami podstawowymi zapisanymi w Karcie, w szczególności prawem do równości wobec prawa, do niedyskryminacji oraz do skutecznego środka prawnego przed właściwym sądem krajowym przeciwko środkom przedsięwziętym na mocy niniejszego rozporządzenia. Przetwarzanie danych osobowych na podstawie niniejszego rozporządzenia powinno ograniczać się do tego, co jest absolutnie niezbędne i proporcjonalne, oraz podlega jasnym warunkom, rygorystycznym wymogom i skutecznemu nadzorowi ze strony EIOD.

(58)

Należy zatem odpowiednio zmienić rozporządzenie (UE) 2016/794.

(59)

Aby umożliwić szybkie zastosowanie środków określonych w niniejszym rozporządzeniu, powinno ono wejść w życie następnego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

W rozporządzeniu (UE) 2016/794 wprowadza się następujące zmiany:

1)

w art. 2 wprowadza się następujące zmiany:

a)

uchyla się lit. h)-k) oraz lit. m), n) i o);

b)

lit. p) otrzymuje brzmienie:

"p)

»administracyjne dane osobowe« oznaczają dane osobowe przetwarzane przez Europol, z wyjątkiem operacyjnych danych osobowych;";

c)

dodaje się litery w brzmieniu:

"q)

»dane związane z postępowaniem przygotowawczym« oznaczają dane, do których przetwarzania upoważnione jest państwo członkowskie, Prokuratura Europejska (EPPO) ustanowiona rozporządzeniem Rady (UE) 2017/1939 (*1), Eurojust lub państwo trzecie w ramach toczącego się postępowania przygotowawczego związanego z co najmniej jednym państwem członkowskim, zgodnie z wymogami i zabezpieczeniami proceduralnymi, mającego zastosowanie na mocy prawa Unii lub prawa krajowego, które państwo członkowskie, EPPO, Eurojust lub państwo trzecie przedłożyły Europolowi w celu wsparcia takiego toczącego się postępowania przygotowawczego i które obejmują dane osobowe nienależące do kategorii osób, których dane dotyczą, wymienionych w załączniku II;

r)

»treści o charakterze terrorystycznym« oznaczają treści o charakterze terrorystycznym w rozumieniu art. 2 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/784 (*2);

s)

»materiały internetowe przedstawiające niegodziwe traktowanie dzieci w celach seksualnych« oznaczają materiały internetowe stanowiące pornografię dziecięcą w rozumieniu art. 2 lit. c) dyrektywy Parlamentu Europejskiego i Rady 2011/93/UE (*3) lub przedstawienie pornograficzne w rozumieniu art. 2 lit. e) tej dyrektywy;

t)

»sytuacja kryzysowa wywołana publikacją w internecie« oznacza rozpowszechnianie treści internetowych, które odwołują się do aktualnego lub niedawnego wydarzenia w świecie rzeczywistym i przedstawiają szkodę stanowiącą zagrożenie życia lub integralności cielesnej lub nawołują do spowodowania takiej bezpośredniej szkody i które mają na celu poważne zastraszenie społeczeństwa lub skutkują takim zastraszeniem, pod warunkiem że istnieje związek lub uzasadnione podejrzenie związku z terroryzmem lub brutalnym ekstremizmem oraz że istnieje przewidywane potencjalne ryzyko narastającego zwielokrotnienia i rozprzestrzeniania się tych treści za pośrednictwem różnorodnych serwisów internetowych;

u)

»kategoria przekazań danych osobowych« oznacza grupę przekazań danych osobowych, jeżeli dane odnoszą się do tej samej konkretnej sytuacji i jeżeli przekazania obejmują te same kategorie danych osobowych i te same kategorie osób, których dane dotyczą.

v)

»projekty w dziedzinie badań naukowych i innowacji« oznaczają projekty związane z kwestiami objętymi niniejszym rozporządzeniem i dotyczącymi rozwoju, trenowania, testowania i walidacji algorytmów na potrzeby opracowywania konkretnych narzędzi, a także innych konkretnych projektów w dziedzinie badań naukowych i innowacji, które są istotne dla realizacji celów Europolu;

(*1) Rozporządzenie Rady (UE) 2017/1939 z dnia 12 października 2017 r. wdrażające wzmocnioną współpracę w zakresie ustanowienia Prokuratury Europejskiej (Dz.U. L 283 z 31.10.2017, s. 1)."

(*2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/784 z dnia 29 kwietnia 2021 r. w sprawie przeciwdziałania rozpowszechnianiu w internecie treści o charakterze terrorystycznym (Dz.U. L 172 z 17.5.2021, s. 79)."

(*3) Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1).";"

2)

w art. 4 wprowadza się następujące zmiany:

a)

w ust. 1 wprowadza się następujące zmiany:

(i)

dodaje się literę w brzmieniu:

"ha)

zapewnia wsparcie administracyjne i finansowe specjalnych jednostek interwencyjnych państw członkowskich, o których mowa w decyzji Rady 2008/617/WSiSW (*4);

(*4) Decyzja Rady 2008/617/WSiSW z dnia 23 czerwca 2008 r. w sprawie usprawnienia współpracy pomiędzy specjalnymi jednostkami interwencyjnymi państw członkowskich Unii Europejskiej w sytuacjach kryzysowych (Dz.U. L 210 z 6.8.2008, s. 73).""

(ii)

lit. j) otrzymuje brzmienie:

"j)

współpracuje z organami Unii ustanowionymi na podstawie tytułu V TFUE, z OLAF, Agencją Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) ustanowionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 (*5), w szczególności przez wymianę informacji i zapewnianie im wsparcia analitycznego w obszarach wchodzących w zakres ich odpowiednich kompetencji;

(*5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).";"

(iii)

lit. m) otrzymuje brzmienie:

"m)

wspiera działania państw członkowskich służące zapobieganiu formom przestępczości wymienionym w załączniku I, ułatwianym, propagowanym lub popełnianym z wykorzystaniem internetu, oraz zwalczaniu tych form przestępczości, w tym poprzez:

(i)

zapewnianie właściwym organom państw członkowskich, na ich wniosek, pomocy w podejmowaniu działań w odpowiedzi na podejrzenie popełnienia przestępstwa cyberataku;

(ii)

współpracę z właściwymi organami państw członkowskich w odniesieniu do nakazów usunięcia, zgodnie z art. 14 rozporządzenia (UE) 2021/784; oraz

(iii)

zgłaszanie odnośnym dostawcom usług internetowych treści internetowych po to, by na zasadzie dobrowolności rozpatrzyli, czy treści te są zgodne z ich warunkami umownymi;";

(iv)

dodaje się litery w brzmieniu:

"r)

wspiera państwa członkowskie w identyfikowaniu osób, których działania przestępcze należą do form przestępczości, wymienionych w załączniku I, i którzy stanowią duże zagrożenie dla bezpieczeństwa;

s)

ułatwia prowadzenie wspólnych, skoordynowanych i ukierunkowanych postępowań przygotowawczych dotyczących tych osób, o których mowa w lit. r);

t)

wspiera państwa członkowskie w przetwarzaniu danych, które są dostarczane Europolowi przez państwa trzecie lub organizacje międzynarodowe i które dotyczą osób zaangażowanych w działalność terrorystyczną lub poważną przestępczość oraz proponuje ewentualne wprowadzenie do Systemu Informacyjnego Schengen (SIS) przez państwa członkowskie, według ich uznania i z zastrzeżeniem przeprowadzenia przez nie weryfikacji i analizy tych danych, wpisów informacyjnych dotyczących obywateli państw trzecich, wprowadzanych w interesie Unii (zwanych dalej "wpisami informacyjnymi"), zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1862 (*6);

u)

wspiera wdrażanie mechanizmu oceny i monitorowania, w celu weryfikacji stosowania dorobku Schengen zgodnie z rozporządzeniem (UE) nr 1053/2013 w zakresie celów Europolu, udostępniając w stosownych przypadkach wiedzę fachową i analizy;

v)

aktywnie monitoruje działania w dziedzinie badań naukowych i innowacji istotne dla realizacji celów Europolu oraz wnosi wkład w takie działania poprzez wspieranie powiązanych działań państw członkowskich oraz realizowanie swoich działań w dziedzinie badań naukowych i innowacji, w tym projektów dotyczących rozwoju, trenowania, testowania i walidacji algorytmów na potrzeby opracowywania konkretnych narzędzi, które mogą być wykorzystywane przez organy ścigania, i udostępnianie wyników tych działań państwom członkowskim zgodnie z art. 67;

w)

przyczynia się do tworzenia synergii między działaniami w dziedzinie badań naukowych i innowacji prowadzonymi przez organy Unii, które są istotne dla realizacji celów Europolu, w tym za pośrednictwem unijnego centrum innowacji na rzecz bezpieczeństwa wewnętrznego, i w ścisłej współpracy z państwami członkowskimi;

x)

wspiera, na wniosek państw członkowskich, ich działania w zakresie reagowania na sytuacje kryzysowe wywołane publikacją w internecie, w szczególności poprzez dostarczanie podmiotom prywatnym informacji niezbędnych do zidentyfikowania odpowiednich treści internetowych;

y)

wspiera działania państw członkowskich na rzecz zwalczania rozpowszechniania materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych;

z)

współpracuje, zgodnie z art. 12 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1153 (*7), z jednostkami analityki finansowej (FIU) ustanowionymi na podstawie dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 (*8), za pośrednictwem odpowiedniej jednostki krajowej Europolu lub, jeśli dane państwo członkowskie dopuszcza taką możliwość, w drodze bezpośrednich kontaktów między jednostkami analityki finansowej a Europolem, w szczególności poprzez wymianę informacji i przekazywanie państwom członkowskim analiz w celu wsparcia transgranicznych postępowań przygotowawczych dotyczących prania pieniędzy przez międzynarodowe organizacje przestępcze i finansowania terroryzmu;

(*6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1986/2006 i decyzji Komisji 2010/261/UE (Dz.U. L 312 z 7.12.2018, s. 56)."

(*7) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1153 z dnia 20 czerwca 2019 r. ustanawiająca zasady ułatwiające korzystanie z informacji finansowych i innych informacji w celu zapobiegania niektórym przestępstwom, ich wykrywania, prowadzenia dochodzeń w ich sprawie lub ich ścigania oraz uchylająca decyzję Rady 2000/642/WSiSW (Dz.U. L 186 z 11.7.2019, s. 122)."

(*8) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz.U. L 141 z 5.6.2015, s. 73).";"

(v)

dodaje się akapity w brzmieniu:

"Aby państwo członkowskie informowało w terminie 12 miesięcy od zaproponowania przez Europol możliwości dokonania wpisu informacyjnego, o którym mowa w akapicie pierwszym lit. t), inne państwa członkowskie i Europol o wynikach weryfikacji i analizy danych oraz ustalenia czy wpis został dokonany w SIS, należy wprowadzić mechanizm okresowych sprawozdań.

Państwa członkowskie informują Europol o dokonanych wpisach informacyjnych w SIS i o trafieniach dotyczących takich wpisów informacyjnych oraz mogą, za pośrednictwem Europolu, informować państwo trzecie lub organizację międzynarodową, które dostarczyły dane będące podstawą danego wpisu informacyjnego, o trafieniach dotyczących takiego wpisu informacyjnego, zgodnie z procedurą określoną w rozporządzeniu (UE) 2018/1862";

b)

w ust. 2 zdanie drugie otrzymuje brzmienie:

"Europol pomaga również we wdrażaniu tych priorytetów pod kątem operacyjnym, w szczególności za pośrednictwem europejskiej multidyscyplinarnej platformy przeciwko zagrożeniom przestępstwami (EMPACT), m.in. ułatwiając realizację operacyjnych i strategicznych działań oraz zapewniając wsparcie administracyjne, logistyczne, finansowe i operacyjne tych działań prowadzonych przez państwa członkowskie.";

c)

w ust. 3 dodaje się zdanie w brzmieniu:

"Europol opracowuje również analizę ocen zagrożenia, na podstawie posiadanych przez siebie informacji dotyczących zjawisk i tendencji w zakresie przestępczości, wspierając w ten sposób Komisję i państwa członkowskie w przeprowadzaniu ich ocen ryzyka.";

d)

dodaje się ustępy w brzmieniu:

"4a. Europol wspiera państwa członkowskie i Komisję w identyfikowaniu kluczowych zagadnień badawczych.

Europol wspiera Komisję w opracowywaniu i realizacji unijnych programów ramowych w zakresie badań naukowych i innowacji, które są istotne dla realizacji celów Europolu.

W stosownych przypadkach Europol może rozpowszechniać wyniki swoich działań w dziedzinie badań naukowych i innowacji w ramach wnoszenia wkładu w tworzenie synergii między działaniami w dziedzinie badań naukowych i innowacji podejmowanymi przez odpowiednie organy Unii zgodnie z ust. 1 akapit pierwszy lit. w).

Europol podejmuje wszelkie niezbędne środki, aby uniknąć konfliktu interesów. Europol nie może otrzymywać finansowania w ramach tego programu, w przypadku gdy wspiera Komisję w identyfikowaniu kluczowych zagadnień badawczych oraz przy opracowywaniu i realizacji tego programu.

Przy opracowywaniu i konceptualizacji działań w dziedzinie badań naukowych i innowacji w odniesieniu do kwestii objętych niniejszym rozporządzeniem, Europol może, w stosownych przypadkach konsultować się ze Wspólnym Centrum Badawczym Komisji.

4b. Europol wspiera państwa członkowskie w monitorowaniu pod kątem spodziewanych skutków dla bezpieczeństwa - na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/452 (*9) - szczególnych przypadków bezpośrednich inwestycji zagranicznych w Unii, które dotyczą przedsiębiorstw, które dostarczają technologie, w tym oprogramowanie, wykorzystywane przez Europol w celu zapobiegania przestępstwom, które nie są objęte zakresem celów Europolu i prowadzenia w ich sprawie postępowań przygotowawczych.

(*9) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/452 z dnia 19 marca 2019 r. ustanawiające ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii (Dz.U. L 79 I z 21.3.2019, s. 1).";"

e)

ust. 5 otrzymuje brzmienie:

"5. Realizując swoje zadania, Europol nie stosuje środków przymusu.

Personel Europolu może zapewniać właściwym organom państw członkowskich wsparcie operacyjne podczas wykonywania czynności w ramach postępowania przygotowawczego - na ich wniosek i zgodnie z ich prawem krajowym - w szczególności poprzez ułatwianie transgranicznej wymiany informacji, zapewnianie wsparcia kryminalistycznego i technicznego oraz zapewnianie swojej obecności podczas wykonywania czynności w ramach postępowania przygotowawczego."; Personel Europolu nie jest uprawniony do wykonywania czynności w ramach postępowania przygotowawczego.";

f)

dodaje się ustęp w brzmieniu:

"5a. Wykonując swoje zadania, Europol przestrzega podstawowych praw i wolności zapisanych w Karcie Praw Podstawowych Unii Europejskiej (zwanej dalej "Kartą").";

3)

w art. 6 wprowadza się następujące zmiany:

a)

dodaje się ustęp w brzmieniu:

"1a. Bez uszczerbku dla ust. 1, jeżeli dyrektor wykonawczy uzna, że należy wszcząć postępowanie przygotowawcze dotyczące konkretnego przestępstwa, które dotyczy tylko jednego państwa członkowskiego, ale ma wpływ na wspólny interes objęty polityką Unii, może zaproponować właściwym organom zainteresowanego państwa członkowskiego za pośrednictwem jego jednostki krajowej wszczęcie, przeprowadzenie lub koordynowanie takiego postępowania przygotowawczego.";

b)

ust. 2 otrzymuje brzmienie:

"2. Jednostki krajowe niezwłocznie informują Europol, w odniesieniu do wniosku złożonego zgodnie z ust. 1, lub dyrektora wykonawczego, w odniesieniu do propozycji złożonej zgodnie z ust. 1a, o decyzji właściwych organów państw członkowskich.";

c)

ust. 4 otrzymuje brzmienie:

"4. Europol informuje niezwłocznie Eurojust i w stosownych przypadkach Prokuraturę Europejską o wnioskach złożonych zgodnie z ust. 1 lub propozycjach złożonych zgodnie z ust. 1a oraz o decyzjach właściwego organu państwa członkowskiego, o których mowa w ust. 2.";

4)

art. 7 ust. 8 otrzymuje brzmienie:

"8. Każde państwo członkowskie zapewnia, by jego jednostka analityki finansowej w granicach swojego zakresu działania i kompetencji oraz z zastrzeżeniem krajowych zabezpieczeń proceduralnych, była uprawniona do udzielania odpowiedzi na należycie uzasadnione wnioski składane przez Europol zgodnie z art. 12 dyrektywy (UE) 2019/1153 w zakresie informacji finansowych i analiz, albo za pośrednictwem swojej jednostki krajowej, albo, o ile państwo członkowskie dopuszcza taką możliwość, w drodze bezpośrednich kontaktów między jednostką analityki finansowej a Europolem.";

5)

w art. 11 ust. 1 wprowadza się następujące zmiany:

a)

lit. a) otrzymuje brzmienie:

"a)

corocznie przyjmuje, większością dwóch trzecich głosów swoich członków oraz zgodnie z art. 12 niniejszego rozporządzenia, jednolity dokument programowy, o którym mowa w art. 32 rozporządzenia delegowanego Komisji (UE) 2019/715 (*10);

(*10) Rozporządzenie delegowane Komisji (UE) 2019/715 z dnia 18 grudnia 2018 r. w sprawie ramowego rozporządzenia finansowego dotyczącego organów utworzonych na mocy TFUE oraz Traktatu Euratom, o których mowa w art. 70 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (Dz.U. L 122 z 10.5.2019, s. 1).";"

b)

dodaje się litery w brzmieniu:

"v)

wyznacza inspektora ds. praw podstawowych, o którym mowa w art. 41c;

w)

określa kryteria, na podstawie których Europol może sporządzać wnioski dotyczące ewentualnego wprowadzania wpisów informacyjnych do SIS.";

6)

w art. 12 wprowadza się następujące zmiany:

a)

ust. 1 otrzymuje brzmienie:

"1. Do dnia 30 listopada każdego roku zarząd przyjmuje jednolity dokument programowy zawierający program wieloletni i roczny program prac Europolu w oparciu o projekt przedstawiony przez dyrektora wykonawczego z uwzględnieniem opinii Komisji, a w przypadku programu wieloletniego - po zasięgnięciu opinii grupy ds. wspólnej kontroli parlamentarnej (GWKP).

Jeżeli zarząd podejmie decyzję o nieuwzględnianiu opinii Komisji, o której mowa w akapicie pierwszym, w całości lub części, Europol podaje szczegółowe uzasadnienie tej decyzji.

Jeżeli zarząd podejmie decyzję o nieuwzględnianiu żadnej ze spraw podniesionych przez GWKP zgodnie z art. 51 ust. 2 lit. c), Europol podaje szczegółowe uzasadnienie tej decyzji.

Po przyjęciu jednolitego dokumentu programowego zarząd przekazuje go Radzie, Komisji i GWKP.";

b)

ust. 2 akapit pierwszy otrzymuje brzmienie:

"W programie wieloletnim określa się ogólny program strategiczny, w tym cele, oczekiwane wyniki i wskaźniki skuteczności. Określa się w nim również planowanie zasobów, w tym wieloletni budżet i plan zatrudnienia. Obejmuje on strategię dotyczącą stosunków z państwami trzecimi i organizacjami międzynarodowymi oraz planowane działania Europolu w dziedzinie badań naukowych i innowacji.";

7)

art. 14 ust. 4 otrzymuje brzmienie:

"4. Zarząd może zapraszać na posiedzenie w charakterze obserwatora bez prawa głosu każdą osobę, której opinia może być istotna dla dyskusji.

Na dwa posiedzenia zwyczajne zarządu w ciągu roku zaprasza się dwóch przedstawicieli GWKP w charakterze obserwatorów bez prawa głosu w celu omówienia następujących kwestii, o znaczeniu politycznym:

a)

rocznego skonsolidowanego sprawozdania dotyczącego działalności, o którym mowa art. 11 ust. 1 lit. c) za poprzedni rok;

b)

jednolitego dokumentu programowego, o którym mowa w art. 12, na kolejny rok i budżetu rocznego;

c)

pisemnych pytań i odpowiedzi GWKP;

d)

stosunków zewnętrznych i kwestii związanych z partnerstwem.

Zarząd, wraz z przedstawicielami GWKP, może określić inne kwestie o znaczeniu politycznym, które mają zostać omówione na spotkaniach, o których mowa w akapicie pierwszym.";

8)

w art. 16 wprowadza się następujące zmiany:

a)

ust. 3 otrzymuje brzmienie:

"3. Rada lub GWKP mogą zwrócić się do dyrektora wykonawczego o informowanie ich o wykonywaniu powierzonych mu obowiązków.";

b)

w ust. 5 wprowadza się następujące zmiany:

(i)

lit. d) otrzymuje brzmienie:

"d)

opracowywanie projektu jednolitego dokumentu programowego, o którym mowa art. 12, oraz przedkładanie go zarządowi po zasięgnięciu opinii Komisji i GWKP;";

(ii)

dodaje się literę w brzmieniu:

"oa)

informowanie zarządu o protokołach ustaleń podpisanych z podmiotami prywatnymi;";

9)

w art. 18 wprowadza się następujące zmiany:

a)

w ust. 2 wprowadza się następujące zmiany:

(i)

lit. d) otrzymuje brzmienie:

"d)

ułatwiania wymiany informacji między państwami członkowskimi, Europolem, innymi organami Unii, państwami trzecimi, organizacjami międzynarodowymi i podmiotami prywatnymi;";

(ii)

dodaje się literę w brzmieniu:

"e)

projekty w dziedzinie badań naukowych i innowacji;

f)

wspierania państw członkowskich, na ich wniosek, w zapewnianiu ogółowi społeczeństwa informacji na temat osób podejrzanych lub skazanych, które są poszukiwane na podstawie orzeczenia sądu krajowego dotyczącego przestępstwa nieobjętego celami Europolu, a także ułatwiania dostarczania państwom członkowskim i Europolowi informacji na temat tych osób przez ogół społeczeństwa.";

b)

dodaje się ustęp w brzmieniu:

"3a. Jeżeli jest to niezbędne do realizacji celów projektów Europolu w dziedzinie badań naukowych i innowacji, przetwarzanie danych osobowych na te potrzeby, prowadzi się wyłącznie w kontekście projektów Europolu w dziedzinie badań naukowych i innowacji o jasno określonych założeniach i celach oraz jest ono zgodne z art. 33a.";

c)

ust. 5 otrzymuje brzmienie:

"5. Bez uszczerbku dla art. 8 ust. 4, art. 18 ust. 2 lit. e), art. 18a oraz dla przetwarzania danych zgodnie z art. 26 ust. 6c, jeżeli infrastruktura Europolu jest wykorzystywana do dwustronnej wymiany danych osobowych i Europol nie ma dostępu do treści danych, w załączniku II wymieniono kategorie danych osobowych i kategorie osób, których dane dotyczą, których dane można zbierać i przetwarzać na potrzeby każdego z celów ust. 2 niniejszego artykułu.";

d)

dodaje się ustęp w brzmieniu:

"5a. Zgodnie z art. 73 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (*11) w stosownych przypadkach i w miarę możliwości Europol dokonuje wyraźnego rozróżnienia między danymi osobowymi, które odnoszą się do poszczególnych kategorii osób, których dane dotyczą, wymienionych w załączniku II.

(*11) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).";"

e)

ust. 6 otrzymuje brzmienie:

"6. Europol może tymczasowo przetwarzać dane na potrzeby stwierdzenia, czy dane takie są istotne dla realizacji jego zadań, a jeśli są istotne, to dla którego z celów wymienionych w ust. 2. Termin przetwarzania takich danych na potrzeby niniejszego ustępu nie przekracza sześć miesięcy od dnia otrzymania tych danych.";

f)

dodaje się ustępy w brzmieniu:

"6a. Przed przetwarzaniem danych zgodnie z ust. 2 niniejszego artykułu, jeżeli jest to absolutnie niezbędne w wyłącznym celu stwierdzenia, czy dane osobowe są zgodne z ust. 5 niniejszego artykułu, Europol może tymczasowo przetwarzać dane osobowe otrzymane na podstawie art. 17 ust. 1 i 2, w tym poprzez porównanie tych danych ze wszystkimi danymi, które Europol już przetwarza zgodnie z ust. 5 niniejszego artykułu.

Europol przetwarza dane osobowe na podstawie pierwszego akapitu przez okres do 18 miesięcy od momentu, gdy Europol zapewnia, że te dane objęte są zakresem jego celów lub - w uzasadnionych przypadkach - przez dłuższy okres, jeżeli jest to niezbędne do celów niniejszego artykułu. Europol informuje EIOD o każdym przedłużeniu okresu przetwarzania. Maksymalny okres przetwarzania danych zgodnie z akapitem pierwszym wynosi trzy lata. Takie dane osobowe są przechowywane w sposób funkcjonalnie oddzielny od innych danych.

Jeżeli Europol stwierdzi, że dane osobowe, o których mowa w akapicie pierwszym niniejszego ustępu, nie są zgodne z ust. 5, usuwa te dane i w stosownych przypadkach informuje o tym odpowiednio podmiot dostarczający te usunięte dane.

6b. Zarząd, działając na wniosek dyrektora wykonawczego i po zasięgnięciu opinii EIOD i z należytym uwzględnieniem zasad, o których mowa w art. 71 rozporządzenia (UE) 2018/1725, doprecyzowuje warunki przetwarzania takich danych, o których mowa w ust. 6 i 6a niniejszego artykułu, w szczególności w odniesieniu do dostarczania danych, dostępu do danych i wykorzystania tych danych, a także do terminów przechowywania i usuwania takich danych, które nie mogą przekraczać odpowiednich terminów określonych w ust. 6 i 6a niniejszego artykułu.";

10)

dodaje się artykuł w brzmieniu:

"Artykuł 18a

Przetwarzanie danych osobowych w celu wsparcia postępowania przygotowawczego

1. Jeżeli jest to niezbędne w celu wsparcia toczącego się konkretnego postępowania przygotowawczego, objętego zakresem celów Europolu, Europol może przetwarzać dane osobowe nienależące do kategorii osób, których dane dotyczą, wymienionych w załączniku II, jeżeli:

a)

państwo członkowskie, Prokuratura Europejska lub Eurojust dostarczą Europolowi dane związane z postępowaniem przygotowawczym zgodnie z art. 17 ust. 1 lit. a) lub b) oraz zwracając się do Europolu o wsparcie tego postępowania przygotowawczego:

(i)

w formie analizy operacyjnej zgodnie z art. 18 ust. 2 lit. c); lub

(ii)

w wyjątkowych i należycie uzasadnionych przypadkach - w formie sprawdzania krzyżowego zgodnie z art. 18 ust. 2 lit. a);

b)

Europol ocenia, że nie jest możliwe przeprowadzenie analizy operacyjnej zgodnie z art. 18 ust. 2 lit. c), ani sprawdzania krzyżowego zgodnie z art. 18 ust. 2 lit. a) w celu wsparcia tego postępowania przygotowawczego, bez przetwarzania danych osobowych, które nie są zgodne z art. 18 ust. 5.

Wyniki oceny, o której mowa w akapicie pierwszym lit. b) są rejestrowane i przesyłane EIOD tytułem informacji, po tym jak Europol zakończy wspieranie postępowania przygotowawczego, o którym mowa w akapicie pierwszym.

2. Jeżeli państwo członkowskie, o którym mowa w ust. 1 akapit pierwszy lit. a) nie jest już upoważnione do przetwarzania danych w ramach toczącego się konkretnego postępowania przygotowawczego, o którym mowa w ust. 1, zgodnie z wymogami i zabezpieczeniami proceduralnymi na mocy mającego zastosowanie prawa krajowego, informuje o tym Europol.

Jeżeli Prokuratura Europejska lub Eurojust dostarczają Europolowi dane związane z postępowaniem przygotowawczym, a nie są już oni upoważnieni do przetwarzania tych danych w ramach toczącego się konkretnego postępowania przygotowawczego, o którym mowa w ust., 1, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy mającego zastosowanie prawa Unii i prawa krajowego, informują o tym Europol.

3. Europol może przetwarzać dane związane z postępowaniem przygotowawczym zgodnie z art. 18 ust. 2 przez cały okres wspierania toczącego się konkretnego postępowania przygotowawczego, na potrzeby którego zostały dostarczone dane, zgodnie z ust. 1 akapit pierwszy lit. a) niniejszego artykułu, oraz wyłącznie w celu wsparcia tego postępowania przygotowawczego.

4. Europol może przechowywać dostarczone dane związane z konkretnym postępowaniem przygotowawczym, zgodnie z ust. 1 akapit pierwszy lit. a) oraz wyniki przetwarzania tych danych przez okres dłuższy niż okres przetwarzania określony w ust. 3, na wniosek podmiotu dostarczającego takie dane związane z konkretnym postępowaniem przygotowawczym, w celu zapewnienia prawdziwości, wiarygodności i identyfikowalności procesu wywiadu kryminalnego oraz tylko przez okres trwania postępowania sądowego związanego z konkretnym postępowaniem przygotowawczym, w odniesieniu do którego dostarczono takie dane.

Podmioty dostarczające dane związane z postępowaniem przygotowawczym, o których mowa w ust. 1 akapit pierwszy lit. a) lub, za ich zgodą, państwo członkowskie, w którym toczy się postępowanie sądowe dotyczące odnośnego postępowania przygotowawczego, mogą zwrócić się do Europolu o przechowywanie danych związanych z postępowaniem przygotowawczym i wyników analizy operacyjnej tych danych przez okres dłuższy niż okres przetwarzania określony w ust. 3 w celu zapewnienia prawdziwości, wiarygodności i identyfikowalności procesu wywiadu kryminalnego oraz tylko przez okres trwania w tym innym państwie członkowskim postępowania sądowego związanego z odnośnym postępowaniem przygotowawczym.

5. Bez uszczerbku dla przetwarzania danych osobowych na mocy art. 18 ust. 6a dane osobowe nienależące do kategorii osób, których dane dotyczą, wymienionych w załączniku II są przechowywane w sposób funkcjonalnie oddzielny od innych danych i są przetwarzane wyłącznie wtedy, gdy jest to niezbędne i proporcjonalne do celów ust. 3, 4 i 6 niniejszego artykułu.

Zarząd, działając na wniosek dyrektora wykonawczego i po zasięgnięciu opinii EIOD, doprecyzowuje warunki dostarczania i przetwarzania danych osobowych zgodnie z ust. 3 i 4.

6. Ust. 1-4 niniejszego artykułu mają zastosowanie także w przypadku, gdy dane osobowe są dostarczane Europolowi przez państwo trzecie, o którym mowa w art. 25 ust. 1 lit. a), b) lub c) lub w art. 25 ust. 4a, i to państwo trzecie dostarczy Europolowi dane związane z postępowaniem przygotowawczym na potrzeby przeprowadzenia analizy operacyjnej, która przyczynia się do wsparcia konkretnego postępowania przygotowawczego w co najmniej jednym państwie członkowskim wspieranym przez Europol, pod warunkiem że to państwo trzecie otrzymało te dane w ramach postępowania przygotowawczego, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy jego krajowego prawa karnego.

W przypadku gdy państwo trzecie dostarcza Europolowi dane związane z postępowaniem przygotowawczym, o których mowa w akapicie pierwszym, inspektor ochrony danych może w stosownych przypadkach powiadomić o tym EIOD.

Europol weryfikuje, czy ilość danych osobowych, o których mowa w akapicie pierwszym nie jest wyraźnie nieproporcjonalna w odniesieniu do konkretnego postępowania przygotowawczego prowadzonego w danym państwie członkowskim. Jeżeli Europol uzna, że istnieje przesłanka wskazująca, że takie dane są wyraźnie nieproporcjonalne lub że zostały zebrane w sposób, który stanowi oczywiste naruszenie praw podstawowych, Europol nie może przetwarzać tych danych i je usuwa.

Dostęp do danych osobowych przetwarzanych na podstawie niniejszego ustępu może uzyskać Europol, wyłącznie w przypadku gdy jest to niezbędne do wsparcia konkretnego postępowania przygotowawczego na potrzeby którego je dostarczono. Takie dane osobowe udostępnia się wyłącznie w ramach Unii.";

11)

art. 19 ust. 1 i 2 otrzymują brzmienie:

"1. Państwo członkowskie, organ Unii, państwo trzecie lub organizacja międzynarodowa dostarczające informacje Europolowi określają cel lub cele, dla których informacje te mogą być przetwarzane, zgodnie z art. 18.

W przypadku gdy dostawca informacji, o których mowa w akapicie pierwszym, nie zastosował się do tego akapitu, Europol w porozumieniu z danym podmiotem dostarczającym informacje przetwarza przedmiotowe informacje, aby określić znaczenie takich informacji oraz cel lub cele ich dalszego przetwarzania.

Europol przetwarza informacje w innym celu niż cel, w jakim zostały dostarczone, wyłącznie za zgodą podmiotu dostarczającego przedmiotowe informacje.

Informacje dostarczane w celach, o których mowa w art. 18 ust. 2 lit. a)-d), mogą być również przetwarzane przez Europol do celów art. 18 ust. 2 lit. e), zgodnie z art. 33a.

2. Państwa członkowskie, organy Unii, państwa trzecie i organizacje międzynarodowe, mogą wskazać, w momencie dostarczania Europolowi informacji, ograniczenia dotyczące dostępu lub wykorzystywania, ogólne lub szczegółowe, w tym ograniczenia dotyczące przekazywania, przesyłania, usuwania lub niszczenia informacji. Jeżeli konieczność nałożenia takich ograniczeń zaistnieje po dostarczeniu informacji, powiadamiają o tym Europol. Europol przestrzega tych ograniczeń.";

12)

w art. 20 wprowadza się następujące zmiany:

a)

dodaje się ustęp w brzmieniu:

"2a. W ramach projektów analizy operacyjnej, o których mowa w art. 18 ust. 3, oraz z zastrzeżeniem zasad i zabezpieczeń dotyczących przetwarzania danych osobowych określonych w niniejszym rozporządzeniu, państwa członkowskie mogą wskazywać informacje, które mają być bezpośrednio udostępniane przez Europol wybranym innym państwom członkowskim na potrzeby wspólnej analizy operacyjnej w konkretnych postępowaniach przygotowawczych, bez uszczerbku dla ograniczeń określonych na podstawie art. 19 ust. 2 i zgodnie z procedurami, określonymi w wytycznych, o których mowa w art. 18 ust. 7.";

b)

w ust. 3 formuła wprowadzająca otrzymuje brzmienie:

"3. Zgodnie z prawem krajowym państwa członkowskie uzyskują dostęp do informacji, o których mowa w ust. 1, 2 i 2a, i następnie je przetwarzają wyłącznie w celu zapobiegania, wykrywania, prowadzenia postępowań przygotowawczych i ścigania odnoszącego się do:"

13)

dodaje się artykuł w brzmieniu:

"Artykuł 20a

Stosunki z Prokuraturą Europejską

1. Europol ustanawia i utrzymuje bliskie stosunki z EPPO. W ramach tych stosunków Europol i EPPO działają w granicach swych odpowiednich kompetencji. W tym celu zawierają uzgodnienia robocze określające warunki ich współpracy.

2. Na wniosek EPPO zgodnie z art. 102 rozporządzenia (UE) 2017/1939 Europol wspiera postępowania przygotowawcze prowadzone przez EPPO i współpracuje z nią, dostarczając informacje oraz zapewniając wsparcie analityczne, aż do momentu, w którym EPPO zdecyduje, czy wnieść akt oskarżenia lub w inny sposób zakończyć daną sprawę.

3. Aby dostarczać informacje EPPO na mocy ust. 2 niniejszego artykułu, Europol podejmuje wszelkie stosowne środki w celu umożliwienia EPPO pośredniego dostępu, w oparciu o system trafieniowy (figuruje/nie figuruje), do danych dotyczących przestępstw objętych kompetencjami EPPO, dostarczonych do celów art. 18 ust. 2 lit. a), b) i c). Ten system trafieniowy (figuruje/nie figuruje) powiadamia Europol wyłącznie w przypadku trafienia i bez uszczerbku dla ograniczeń wskazanych na podstawie art. 19 ust. 2 przez podmioty dostarczające informacje, o których mowa w art. 19 ust. 1.

W przypadku trafienia Europol wszczyna procedurę, dzięki której można wymieniać informacje będące przedmiotem trafienia, zgodnie z decyzją podmiotu, który dostarczył odnośne informacje, o których mowa w art. 19 ust. 1, i wyłącznie w zakresie, w jakim dane, na podstawie których trafienie zostało wygenerowane, są istotne dla wniosku złożonego zgodnie z ust. 2 niniejszego artykułu.

4. Europol, bez zbędnej zwłoki, informuje EPPO o każdym czynie zabronionym, w odniesieniu do którego mogłaby ona wykonywać swoje kompetencje, zgodnie z art. 22 i art. 25 ust. 2 i 3 rozporządzenia (UE) 2017/1939 oraz bez uszczerbku dla ograniczeń wskazanych na podstawie art. 19 ust. 2 niniejszego rozporządzenia przez podmiot dostarczający informacje.

Jeżeli Europol informuje EPPO zgodnie z pierwszym akapitem, powiadamia on zainteresowane państwa członkowskie niezwłocznie.

Jeżeli informacje o czynie zabronionym, w odniesieniu do którego EPPO mogłaby wykonywać swoje kompetencje, zostały dostarczone Europolowi przez państwo członkowskie, które zgodnie z art. 19 ust. 2 niniejszego rozporządzenia wskazało, że istnieją ograniczenia dotyczące wykorzystywania tych informacji, Europol powiadamia EPPO o istnieniu takich ograniczeń i przekazuje sprawę zainteresowanemu państwu członkowskiemu. Dane państwo członkowskie kontaktuje się bezpośrednio z EPPO po to, aby spełnić wymagania art. 24 ust. 1 i 4 rozporządzenia (UE) 2017/1939.";

14)

w art. 21 dodaje się ustęp w brzmieniu:

"8. Jeżeli podczas czynności przetwarzania informacji w zakresie konkretnego postępowania przygotowawczego lub konkretnego projektu Europol zidentyfikuje informacje istotne z punktu widzenia ewentualnej nielegalnej działalności naruszającej interesy finansowe Unii, Europol niezwłocznie dostarcza te informacje OLAF, bez uszczerbku dla wszelkich ograniczeń wskazanych, na podstawie art. 19 ust. 2 przez państwo członkowskie, które dostarczyło dane informacje.

Jeżeli Europol dostarcza OLAF informacje na podstawie akapitu pierwszego, powiadamia on zainteresowane państwa członkowskie niezwłocznie.";

15)

art. 23 ust. 7 otrzymuje brzmienie:

"7. Wtórne przekazania przez państwa członkowskie, organy Unii, państwa trzecie, organizacje międzynarodowe lub podmioty prywatne danych osobowych będących w posiadaniu Europolu są zakazane, o ile Europol nie udzielił uprzednio wyraźnej zgody.";

16)

tytuł sekcji 2 otrzymuje następujące brzmienie:

"Przesyłanie, przekazywanie i wymiana danych osobowych";

17)

art. 24 otrzymuje brzmienie:

"Artykuł 24

Przesyłanie danych osobowych organom Unii

1. Europol przesyła dane osobowe wyłącznie organom Unii, zgodnie z art. 71 ust. 2 rozporządzenia (UE) 2018/1725, z zastrzeżeniem wszelkich ograniczeń na podstawie niniejszego rozporządzenia oraz bez uszczerbku dla art. 67 niniejszego rozporządzenia, jeżeli te dane osobowe są niezbędne i proporcjonalne do zgodnego z prawem wykonywania zadań organu Unii będącego odbiorcą danych.

2. Po otrzymaniu od innego organu Unii wniosku o przesłanie danych osobowych Europol weryfikuje kompetencje tego organu Unii. Jeżeli Europol nie jest w stanie potwierdzić konieczności przesłania danych osobowych zgodnie z ust. 1, Europol występuje do organu Unii, który złożył wniosek, o udzielenie dalszych informacji.

Organ Unii, który złożył wniosek, zapewnia, by konieczność przesłania danych osobowych mogła być zweryfikowana.

3. Organ Unii będący odbiorcą danych przetwarza dane osobowe, o których mowa w ust. 1 i 2 wyłącznie do celów, do których zostały one przesłane.";

18)

w art. 25 wprowadza się następujące zmiany:

a)

w ust. 1 wprowadza się następujące zmiany:

(i)

w formule wprowadzającej wprowadza się następujące zmiany:

"1. Z zastrzeżeniem wszelkich ograniczeń wskazanych na podstawie art. 19 ust. 2 lub 3 i bez uszczerbku dla art. 67 Europol może przekazywać dane osobowe właściwym organom państwa trzeciego lub organizacji międzynarodowej, pod warunkiem że takie przekazanie jest niezbędne do wykonywania zadań Europolu, w oparciu o jedną z następujących podstaw:";

(ii)

lit. a) otrzymuje brzmienie:

"a)

decyzję Komisji przyjętą na podstawie art. 36 dyrektywy (UE) 2016/680 uznającą, że dane państwo trzecie, terytorium lub jeden lub więcej określonych sektorów w tym państwie trzecim, lub dana organizacja międzynarodowa zapewniają odpowiedni poziom ochrony (zwaną dalej »decyzją stwierdzającą odpowiedni stopień ochrony«);";

b)

uchyla się ust. 3;

c)

dodaje się ustęp w brzmieniu:

"4a. Przy braku decyzji stwierdzającej odpowiedni stopień ochrony zarząd może upoważnić Europol do przekazania danych osobowych właściwemu organowi państwa trzeciego lub organizacji międzynarodowej, w przypadku gdy:

a)

przewidziano odpowiednie zabezpieczenia w zakresie ochrony danych osobowych w prawnie wiążącym instrumencie; lub

b)

Europol ocenił wszystkie okoliczności towarzyszące przekazaniu danych osobowych i stwierdził, że istnieją odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.";

d)

w ust. 5 wprowadza się następujące zmiany:

(i)

formuła wprowadzająca otrzymuje brzmienie:

"Na zasadzie odstępstwa od ust. 1 dyrektor wykonawczy, w należycie uzasadnionych przypadkach, rozpatrując przypadki indywidualnie, wyraża zgodę na przekazanie lub kategorię przekazań danych osobowych właściwemu organowi państwa trzeciego lub organizacji międzynarodowej, jeżeli przekazanie lub kategoria przekazań:";

(ii)

lit. b) otrzymuje brzmienie:

"b)

jest niezbędna do zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą;";

e)

ust. 8 otrzymuje brzmienie:

"8. Europol informuje EIOD o kategoriach przekazań, o których mowa w ust. 4a lit. b). Jeżeli przekazanie odbywa się zgodnie z ust. 4a lub 5, jest ono udokumentowane, a dokumentacja zostaje udostępniona EIOD na jego wniosek. Dokumentacja obejmuje zapis daty i godziny przekazania oraz informacje o właściwym organie, o którym mowa w niniejszym artykule, o uzasadnieniu przekazania oraz o przekazanych danych osobowych.";

19)

w art. 26 wprowadza się następujące zmiany:

a)

ust. 1 lit. c) otrzymuje brzmienie:

"c)

organu państwa trzeciego lub organizacji międzynarodowej, o której mowa w art. 25 ust. 1 lit. a), b) lub c) lub w art. 25 ust. 4a.";

b)

ust. 2 otrzymuje brzmienie:

"2. W przypadku gdy Europol otrzymuje dane osobowe bezpośrednio od podmiotów prywatnych, może przetwarzać te dane osobowe zgodnie z art. 18 w celu zidentyfikowania zainteresowanych jednostek krajowych, o których mowa w ust. 1 lit. a) niniejszego artykułu. Europol niezwłocznie przekazuje dalej dane osobowe oraz wszelkie istotne wyniki niezbędnego przetwarzania tych danych zainteresowanej jednostce krajowej do celów natychmiastowego ustalenia jurysdykcji. Europol może przekazać dalej - zgodnie z art. 25 - dane osobowe oraz istotne wyniki niezbędnego przetwarzania tych danych punktom kontaktowym i zainteresowanym organom, o których mowa w ust. 1 lit. b) i c) niniejszego artykułu, do celów ustalenia jurysdykcji. Jeśli Europol nie może zidentyfikować żadnych zainteresowanych jednostek krajowych lub przekazał już dalej odpowiednie dane osobowe wszystkim zidentyfikowanym odpowiednim zainteresowanym jednostkom krajowym i nie jest możliwa identyfikacja kolejnych zainteresowanych jednostek krajowych, Europol usuwa takie dane, chyba że zainteresowana jednostka krajowa, zainteresowany punkt kontaktowy lub zainteresowany organ ponownie przedłożą Europolowi te dane osobowe zgodnie z art. 19 ust. 1 w terminie czterech miesięcy od dokonania przesłania lub przekazania.

Kryteria dotyczące tego, czy jednostka krajowa państwa członkowskiego, w którym dany podmiot prywatny ma siedzibę stanowi zainteresowaną jednostkę krajową, określa się w wytycznych, o których mowa w art. 18 ust. 7.";

c)

dodaje się ustęp w brzmieniu:

"2a. Współpraca Europolu z podmiotami prywatnymi nie może powielać ani zakłócać działań jednostek analityki finansowej państw członkowskich i nie dotyczy informacji, które mają być dostarczane jednostkom analityki finansowej do celów dyrektywy (UE) 2015/849.";

d)

ust. 4 otrzymuje brzmienie:

"4. Jeżeli Europol otrzyma dane osobowe od podmiotu prywatnego ustanowionego w państwie trzecim, Europol przekazuje te dane oraz wyniki swojej analizy i weryfikacji tych danych jedynie państwu członkowskiemu lub danemu państwu trzeciemu, o których mowa w art. 25 ust. 1 lit. a), b) lub c) lub w art. 25 ust. 4a.

Bez uszczerbku dla akapitu pierwszego niniejszego ustępu, Europol może przesłać wyniki, o których mowa w akapicie pierwszym niniejszego ustępu danemu państwu trzeciemu zgodnie z art. 25 ust. 5 lub 6.";

e)

ust. 5 i 6 otrzymują brzmienie:

"5. Europol nie przesyła ani nie przekazuje danych osobowych podmiotom prywatnym, z wyjątkiem następujących sytuacji i pod warunkiem że takie przesłanie lub przekazanie jest absolutnie niezbędne i proporcjonalne, do określenia na podstawie indywidulanego przypadku:

a)

przesłanie lub przekazanie leży bez wątpienia w interesie osoby, której dane dotyczą;

b)

przesłanie lub przekazanie jest absolutnie niezbędne do zapobieżenia przestępstwu, które zostałoby popełnione w najbliższej przyszłości, w tym przestępstwu terrorystycznemu, objętemu zakresem celów Europolu;

c)

przesłanie lub przekazanie danych osobowych, które są publicznie dostępne, jest absolutnie niezbędne do wykonania zadania, o którym mowa w art. 4 ust. 1 lit. m), i spełnione są następujące warunki:

(i)

przesłanie lub przekazanie dotyczy konkretnego i indywidualnego przypadku;

(ii)

prawa podstawowe i wolności osób, których dane dotyczą, nie są nadrzędne wobec interesu publicznego, który wymaga przesłania lub przekazania tych danych osobowych w danym przypadku; lub

d)

przesłanie lub przekazanie jest absolutnie niezbędne, aby Europol mógł powiadomić ten podmiot prywatny, że otrzymane informacje nie są wystarczające, by umożliwić Europolowi identyfikację zainteresowanych jednostek krajowych, i spełnione są następujące warunki:

(i)

przesłanie lub przekazanie następuje po otrzymaniu danych osobowych bezpośrednio od podmiotu prywatnego zgodnie z ust. 2;

(ii)

brakujące informacje, do których Europol może się odnieść w swoim zgłoszeniu, są wyraźnie powiązane z informacjami przekazanymi wcześniej przez podmiot prywatny;

(iii)

brakujące informacje, do których Europol może się odnieść w swoim zgłoszeniu, ściśle ograniczają się do tego, co jest niezbędne, aby Europol mógł zidentyfikować zainteresowane jednostki krajowe.

Przesłanie lub przekazanie, o którym mowa w akapicie pierwszym niniejszego ustępu, podlega wszelkim ograniczeniom wskazanym na podstawie art. 19 ust. 2 lub 3 i pozostaje bez uszczerbku dla art. 67.

6. W odniesieniu do ust. 5 lit. a), b) i d) niniejszego artykułu, w przypadku gdy dany podmiot prywatny nie ma siedziby na terytorium Unii ani w państwie trzecim, o którym mowa w art. 25 ust. 1 lit a), b) lub c) lub w art. 25 ust. 4a, dyrektor wykonawczy zatwierdza przekazanie wyłącznie wówczas, gdy przekazanie:

a)

jest niezbędne do ochrony żywotnych interesów danej osoby, której dane dotyczą, lub innej osoby;

b)

jest niezbędne do zabezpieczenia uzasadnionych interesów danej osoby, której dane dotyczą;

c)

ma zasadnicze znaczenie dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego;

d)

jest niezbędne w indywidualnych przypadkach do zapobiegnięcia konkretnemu przestępstwu kryminalnemu objętemu zakresem celów Europolu, prowadzenia postępowania przygotowawczego w jego sprawie, wykrycia go lub jego ścigania; lub

e)

jest niezbędne w indywidualnych przypadkach do ustalenia, dochodzenia lub obrony roszczeń prawnych w związku z zapobiegnięciem określonemu przestępstwu objętemu zakresem celów Europolu, prowadzeniem postępowania przygotowawczego w jego sprawie, wykryciem go lub jego ściganiem.

Danych osobowych nie przekazuje się, jeżeli dyrektor wykonawczy stwierdzi, że podstawowe prawa i wolności danej osoby, której dane dotyczą, są nadrzędne wobec interesu publicznego, który wymaga przekazania, o którym mowa w akapicie pierwszym lit. d) i e) niniejszego ustępu.";

f)

dodaje się ustępy w brzmieniu:

"6a. Bez uszczerbku dla ust. 5 lit. a), c) i d) niniejszego artykułu i innych aktów prawnych Unii, przekazania ani przesyłanie danych osobowych na podstawie ust. 5 i 6 nie mogą mieć charakteru systematycznego, masowego ani strukturalnego.

6b. Europol może występować do państw członkowskich - za pośrednictwem ich jednostek krajowych, zgodnie z ich prawem krajowym, z wnioskiem o uzyskanie danych osobowych od podmiotów prywatnych, które mają siedzibę lub przedstawiciela prawnego na terytorium tych państw, w celu przekazania takich danych Europolowi. Takie wnioski muszą zawierać uzasadnienie i być w jak największym stopniu precyzyjne. Takie dane osobowe muszą być możliwie jak najmniej wrażliwe i ograniczać się ściśle do tego, co jest niezbędne i proporcjonalne w celu umożliwienia identyfikacji przez Europol zainteresowanych jednostek krajowych.

Niezależnie od jurysdykcji państw członkowskich w odniesieniu do konkretnego przestępstwa, państwa członkowskie zapewniają swoim właściwym organom możliwość przetwarzania wniosków, o których mowa w akapicie pierwszym na podstawie ich prawa krajowego na potrzeby przekazania Europolowi informacji niezbędnych mu do identyfikacji zainteresowanych jednostek krajowych.

6c. Infrastrukturę Europolu można wykorzystywać do celów wymiany informacji między właściwymi organami państw członkowskich i podmiotami prywatnymi zgodnie z odpowiednim prawem krajowym. Wymiany te mogą również obejmować przestępstwa nieobjęte zakresem celów Europolu.

W przypadku gdy państwa członkowskie korzystają z infrastruktury Europolu na potrzeby wymiany danych osobowych dotyczących przestępstw objętych zakresem celów Europolu, mogą one udzielić Europolowi dostępu do tych danych.

W przypadku gdy państwa członkowskie korzystają z infrastruktury Europolu na potrzeby wymiany danych osobowych dotyczących przestępstw nieobjętych zakresem celów Europolu, Europol nie ma dostępu do tych danych i jest uznawany za "podmiot przetwarzający" zgodnie z art. 87 rozporządzenia (UE) 2018/1725.

Europol ocenia istnienie zagrożeń dla bezpieczeństwa wynikających z udostępnienia jego infrastruktury podmiotom prywatnym i, w razie konieczności, wdraża odpowiednie środki zapobiegawcze i środki zmniejszające zagrożenia.";

g)

uchyla się ust. 9 i 10;

h)

dodaje się ustęp w brzmieniu:

"11. Europol przygotowuje roczne sprawozdanie dla zarządu dotyczące danych osobowych wymienionych z podmiotami prywatnymi na mocy art. 26, 26a i 26b, na podstawie ilościowych i jakościowych kryteriów oceny ustanowionych przez zarząd.

Roczne sprawozdanie obejmuje konkretne przykłady spraw wskazujących dlaczego wnioski Europolu zgodnie z ust. 6b niniejszego artykułu były niezbędne do realizacji jego celów i wykonywania jego zadań.

Roczne sprawozdanie uwzględnia obowiązki zachowania dyskrecji i poufności, a przykłady są zanonimizowane w odniesieniu do danych osobowych.

Sprawozdanie roczne przesyła się Parlamentowi Europejskiemu, Radzie, Komisji i parlamentom narodowym.";

20)

dodaje się artykuły w brzmieniu:

"Artykuł 26a

Wymiana danych osobowych z podmiotami prywatnymi w sytuacjach kryzysowych wywołanych publikacją w internecie

1. W sytuacjach kryzysowych wywołanych publikacją w internecie, Europol może otrzymywać dane osobowe bezpośrednio od podmiotów prywatnych i przetwarzać te dane osobowe zgodnie z art. 18.

2. Jeżeli Europol otrzyma dane osobowe od podmiotu prywatnego mającego siedzibę w państwie trzecim, Europol przekazuje te dane oraz wyniki swojej analizy i weryfikacji tych danych jedynie państwu członkowskiemu lub danemu państwu trzeciemu, o których mowa w art. 25 ust. 1 lit. a), b) lub c) lub w art. 25 ust. 4a.

Europol może przekazać wyniki swojej analizy i weryfikacji danych, o których mowa w ust. 1 niniejszego artykułu danemu państwu trzeciemu zgodnie z art. 25 ust. 5 lub 6.

3. Europol może przesyłać lub przekazywać dane osobowe podmiotom prywatnym w indywidualnych przypadkach i z zastrzeżeniem ograniczeń wskazanych na podstawie art. 19 ust. 2 lub 3 oraz bez uszczerbku dla art. 67, jeżeli przesyłanie lub przekazywanie takich danych jest absolutnie niezbędne do reagowania na sytuacje kryzysowe wywołane publikacją w internecie oraz jeżeli żadne podstawowe prawa i wolności osób, których dane dotyczą, nie są nadrzędne wobec interesu publicznego, który wymaga przesyłania lub przekazywania tych danych osobowych.

4. W przypadku gdy dany podmiot prywatny nie ma siedziby na terytorium Unii ani w państwie trzecim, o którym mowa w art. 25 ust. 1 lit. a), b) lub c) lub w z art. 25 ust. 4a, przekazanie wymaga zatwierdzenia dyrektora wykonawczego.

5. Europol pomaga właściwym organom państw członkowskich, wymienia z nimi informacje i współpracuje w zakresie przesyłania lub przekazywania danych osobowych podmiotom prywatnym na mocy ust. 3 lub 4, w szczególności z myślą o unikaniu powielania wysiłków, wzmacnianiu koordynacji i unikaniu zakłócania postępowań przygotowawczych w różnych państwach członkowskich.

6. Europol może występować do państw członkowskich - za pośrednictwem ich jednostek krajowych, na podstawie ich prawa krajowego, z wnioskiem o uzyskanie danych osobowych od podmiotów prywatnych, które mają siedzibę lub przedstawiciela prawnego na terytorium tych państw, w celu przekazania takich danych Europolowi. Takie wnioski muszą zawierać uzasadnienie i być w jak największym stopniu precyzyjne. Te dane osobowe są możliwie jak najmniej wrażliwe i ograniczają się ściśle do tego, co jest niezbędne i proporcjonalne w celu umożliwienia Europolowi wspierania państw członkowskich w reagowaniu na sytuacje kryzysowe wywołane publikacją w internecie.

Niezależnie od jurysdykcji państw członkowskich w odniesieniu do rozpowszechniania takich treści, w związku z którymi Europol występuje z wnioskiem o przekazanie danych osobowych, państwa członkowskie zapewniają, że ich właściwe organy mogą przetwarzać wnioski, o których mowa w akapicie pierwszym, na podstawie ich prawa krajowego w celu przekazania Europolowi informacji niezbędnych do realizacji jego celów.

7. Europol zapewnia, by szczegółowa ewidencja wszystkich przekazań danych osobowych wraz z podstawami przekazania prowadzona była zgodnie z niniejszym rozporządzeniem. Na wniosek EIOD, Europol udostępnia tą ewidencję zgodnie z art. 39a.

8. Jeżeli otrzymane dane osobowe lub dane osobowe, które mają zostać przekazane, mają wpływ na interesy państwa członkowskiego, Europol informuje niezwłocznie jednostkę krajową tego państwa członkowskiego.

Artykuł 26b

Wymiana danych osobowych z podmiotami prywatnymi w celu zaradzenia rozpowszechnianiu materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych

1. Europol może otrzymywać dane osobowe bezpośrednio od podmiotów prywatnych i przetwarzać te dane osobowe zgodnie z art. 18 w celu zaradzenia rozpowszechnianiu materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, o którym to zwalczaniu mowa w art. 4 ust. 1 lit. y).

2. Jeżeli Europol otrzyma dane osobowe od podmiotu prywatnego mającego siedzibę w państwie trzecim, Europol przekazuje te dane oraz wyniki analizy i weryfikacji tych danych jedynie państwu członkowskiemu lub danemu państwu trzeciemu, o których mowa w art. 25 ust. 1 lit. a), b) lub c) lub w art. 25 ust. 4a.

Europol może przekazać wyniki analizy i weryfikacji danych, o których mowa w akapicie pierwszym niniejszego ustępu danemu państwu trzeciemu, na podstawie art. 25 ust. 5 i 6.

3. Europol może przesyłać lub przekazywać dane osobowe podmiotom prywatnym w indywidualnych przypadkach, z zastrzeżeniem ograniczeń wskazanych na podstawie art. 19 ust. 2 lub 3 oraz bez uszczerbku dla art. 67, jeżeli przesyłanie lub przekazywanie takich danych jest absolutnie niezbędne w celu zaradzenia rozpowszechnianiu w internecie materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, o czym mowa w art. 4 ust. 1 lit. y) oraz jeżeli podstawowe prawa i wolności osób, których dane dotyczą, nie są nadrzędne wobec interesu publicznego, który wymaga przekazania lub przesłania danych w danym przypadku.

4. W przypadku gdy dany podmiot prywatny nie ma siedziby na terytorium Unii ani w państwie trzecim, o których mowa w art. 25 ust. 1 lit. a), b) lub c) lub w art. 25 ust. 4a, przekazanie wymaga zatwierdzenia dyrektora wykonawczego.

5. Europol pomaga właściwym organom państw członkowskich, wymienia z nimi informacje i współpracuje w zakresie przesyłania lub przekazywania danych osobowych podmiotom prywatnym na mocy ust. 3 lub 4, w szczególności z myślą o unikaniu powielania wysiłków, wzmacnianiu koordynacji i unikaniu zakłócania postępowań przygotowawczych w różnych państwach członkowskich.

6. Europol może występować do państw członkowskich - za pośrednictwem ich jednostek krajowych - z wnioskiem o uzyskanie na podstawie ich prawa krajowego danych osobowych od podmiotów prywatnych, które mają siedzibę lub przedstawiciela prawnego na terytorium tych państw, w celu udostępnienia takich danych Europolowi. Takie wnioski muszą zawierać uzasadnienie i być w jak największym stopniu precyzyjne. Takie dane osobowe muszą być możliwie jak najmniej wrażliwe i ograniczać się ściśle do tego, co jest niezbędne i proporcjonalne w celu umożliwienia Europolowi zaradzenia rozpowszechnianiu materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, o którym to zwalczaniu mowa w art. 4 ust. 1 lit. y).

Niezależnie od jurysdykcji państw członkowskich w odniesieniu do rozpowszechniania takich treści, w związku z którymi Europol występuje z wnioskiem o przekazanie danych osobowych, państwa członkowskie zapewniają właściwym organom państw członkowskich możliwość przetwarzania wniosków, o których mowa w akapicie pierwszym, na podstawie ich prawa krajowego na potrzeby przekazania Europolowi informacji niezbędnych do realizacji jego celów.

7. Europol zapewnia, by szczegółowa ewidencja wszystkich przekazań danych osobowych wraz z podstawami przekazania prowadzona była zgodnie z niniejszym rozporządzeniem. Na wniosek EIOD, Europol udostępnia tą ewidencję zgodnie z art. 39a.

8. Jeżeli otrzymane dane osobowe lub dane osobowe, które mają zostać przekazane, mają wpływ na interesy państwa członkowskiego, Europol informuje niezwłocznie jednostkę krajową tego państwa członkowskiego.";

21)

art. 27 ust. 1 i 2 otrzymują brzmienie:

"1. W zakresie, w jakim jest to niezbędne dla Europolu, by wykonywał swoje zadania, może on otrzymywać i przetwarzać informacje pochodzące od osób prywatnych.

Dane osobowe pochodzące od osób prywatnych są przetwarzane przez Europol jedynie pod warunkiem że otrzymano je za pośrednictwem:

a)

jednostki krajowej zgodnie z prawem krajowym;

b)

punktu kontaktowego w państwie trzecim lub organizacji międzynarodowej na podstawie art. 25 ust. 1 lit. c); lub

c)

organu państwa trzeciego lub organizacji międzynarodowej, o których mowa w art. 25 ust. 1 lit. a) lub b) lub w art. 25 ust. 4a.

2. Jeżeli Europol otrzyma informacje, w tym dane osobowe, od osoby prywatnej, mającej miejsce zamieszkania w państwie trzecim innym niż te, o których mowa w art. 25 ust. 1 lit. a) lub b) lub w art. 25 ust. 4a, Europol przekazuje te informacje wyłącznie państwu członkowskiemu lub takiemu państwu trzeciemu.";

22)

tytuł rozdziału VI otrzymuje brzmienie:

"OCHRONA DANYCH";

23)

dodaje się artykuł w brzmieniu:

"Artykuł 27a

Przetwarzanie danych osobowych przez Europol

1. Bez uszczerbku dla niniejszego rozporządzenia do przetwarzania danych osobowych przez Europol zastosowanie mają przepisy niniejszego rozporządzenia, art. 3 i rozdział IX rozporządzenia (UE) 2018/1725.

Do przetwarzania administracyjnych danych osobowych przez Europol zastosowanie ma rozporządzenie (UE) 2018/1725, z wyjątkiem rozdziału IX.

2. Odniesienia do »danych osobowych« w niniejszym rozporządzeniu należy rozumieć jako odniesienia do »operacyjnych danych osobowych« zdefiniowanych w art. 3 pkt 2 rozporządzenia (UE) 2018/1725, o ile w niniejszym rozporządzeniu nie przewidziano inaczej.

3. Zarząd przyjmuje przepisy w celu określenia terminów przechowywania administracyjnych danych osobowych.";

24)

uchyla się art. 28;

25)

w art. 30 wprowadza się następujące zmiany:

a)

w ust. 2 zdanie pierwsze otrzymuje brzmienie:

"2. Na przetwarzanie - zautomatyzowane lub innego rodzaju - danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących stanu zdrowia lub dotyczących życia seksualnego lub orientacji seksualnej osób fizycznych zezwala się wyłącznie w przypadku, gdy jest to absolutnie niezbędne i proporcjonalne do celów projektów w dziedzinie badań naukowych i innowacji zgodnie z art. 33a oraz do potrzeb operacyjnych, w ramach celów Europolu, i wyłącznie do celów zapobiegania przestępczości objętej celami Europolu, lub do jej zwalczania. Takie przetwarzanie podlega również odpowiednim zabezpieczeniom określonym w niniejszym rozporządzeniu w odniesieniu do praw i wolności osoby, której dane dotyczą, i - z wyjątkiem danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej - zezwala się na nie wyłącznie w przypadku, gdy dane takie uzupełniają inne dane osobowe przetwarzane przez Europol.";

b)

dodaje się ustęp w brzmieniu:

"2a. Inspektor ochrony danych jest informowany bez zbędnej zwłoki w przypadku przetwarzania danych osobowych zgodnie z niniejszym artykułem.";

c)

ust. 3 otrzymuje brzmienie:

"3. Bezpośredni dostęp do danych osobowych, o których mowa w ust. 1 i 2, ma wyłącznie Europol. Dyrektor wykonawczy należycie upoważnia ograniczoną liczbę pracowników Europolu, a w odpowiednich przypadkach pracowników państwa członkowskiego, do takiego dostępu, jeżeli jest to konieczne do wykonywania ich zadań.

Niezależnie od akapitu pierwszego, w razie konieczności przyznania pracownikom właściwych organów państw członkowskich lub agencji Unii ustanowionych na podstawie tytułu V TFUE bezpośredniego dostępu do danych osobowych w celu wykonywania ich zadań w przypadkach określonych w art. 20 ust. 1 i 2a niniejszego rozporządzenia, lub do celów projektów w dziedzinie badań naukowych i innowacji, zgodnie z art. 33a ust. 2 lit. d) niniejszego rozporządzenia, dyrektor wykonawczy należycie upoważnia ograniczoną liczbę takich pracowników do takiego dostępu.";

d)

uchyla się ust. 4;

e)

ust. 5 otrzymuje brzmienie:

"5. Danych osobowych, o których mowa w ust. 1 i 2, nie przesyła się państwom członkowskim ani organom Unii ani nie przekazuje się państwom trzecim ani organizacjom międzynarodowym, chyba że takie przesłanie lub przekazanie jest wymagane na mocy prawa Unii lub jest absolutnie niezbędne i proporcjonalne w indywidualnych przypadkach dotyczących przestępstw objętych celami Europolu oraz zgodnie z rozdziałem V.";

26)

art. 32 otrzymuje brzmienie:

"Artykuł 32

Bezpieczeństwo przetwarzania

Mechanizmy mające na celu zapewnienie uwzględniania środków bezpieczeństwa ponad granicami systemów informacyjnych są ustanawiane przez Europol zgodnie z art. 91 rozporządzenia (UE) 2018/1725 i przez państwa członkowskie zgodnie z art. 29 dyrektywy (UE) 2016/680.";

27)

uchyla się art. 33;

28)

dodaje się artykuł w brzmieniu:

"Artykuł 33a

Przetwarzanie danych osobowych na potrzeby badań naukowych i innowacji

1. Europol może przetwarzać dane osobowe do celów swoich projektów w dziedzinie badań naukowych i innowacji, pod warunkiem że przetwarzanie tych danych osobowych:

a)

jest ściśle wymagane i należycie uzasadnione, aby osiągnąć cele danego projektu;

b)

w odniesieniu do szczególnych kategorii danych osobowych - jest to absolutnie niezbędne i towarzyszą mu odpowiednie zabezpieczenia, w tym pseudonimizacja.

Przetwarzanie danych osobowych przez Europol w kontekście projektów w dziedzinie badań naukowych i innowacji opiera się na zasadach przejrzystości, wyjaśnialności, sprawiedliwości i rozliczalności.

2. Bez uszczerbku dla ust. 1, do celów przetwarzania danych osobowych w ramach projektów Europolu w dziedzinie badań naukowych i innowacji, zastosowanie mają następujące zabezpieczenia:

a)

każdy projekt w dziedzinie badań naukowych i innowacji wymaga uprzedniego zatwierdzenia przez dyrektora wykonawczego, po konsultacjach z inspektorem danych osobowych i inspektorem ds. praw podstawowych, w oparciu o:

(i)

opis celów projektu i wyjaśnienia, w jaki sposób pomaga on Europolowi lub właściwym organom państw członkowskich w wykonywaniu ich zadań;

(ii)

opis planowanych operacji przetwarzania, określający cele, zakres i czas przetwarzania oraz konieczność i proporcjonalność przetwarzania danych osobowych, np. do celów badania i testowania innowacyjnych rozwiązań technologicznych oraz zapewnienia dokładności wyników projektu,

(iii)

opis kategorii danych osobowych, które będą przetwarzane,

(iv)

ocenę zgodności z zasadami dotyczącymi ochrony danych zawartymi w art. 71 rozporządzenia (UE) 2018/1725, ograniczenia czasowe dotyczące przechowywania i warunków dostępu do danych osobowych; oraz

(v)

ocenę skutków dla ochrony danych, w tym pod kątem ryzyka dla praw i wolności osób, których dane dotyczą, ryzyka wystąpienia stronniczości w danych osobowych, które mają być wykorzystane do trenowania algorytmów i stronniczości wyników przetwarzania, a także przewidziane środki służące przeciwdziałaniu tym ryzykom oraz unikaniu naruszeń praw podstawowych;

b)

przed rozpoczęciem projektu informuje się o tym fakcie EIOD;

c)

zarząd jest konsultowany przed rozpoczęciem projektu lub informowany, zgodnie z wytycznymi, o których mowa w art. 18 ust. 7;

d)

dane osobowe, które mają być przetwarzane w kontekście danego projektu:

(i)

są tymczasowo kopiowane do osobnego, wyizolowanego i chronionego środowiska przetwarzania danych w ramach Europolu wyłącznie w celu realizacji tego projektu;

(ii)

są dostępne wyłącznie dla specjalnie upoważnionego personelu Europolu zgodnie z art. 30 ust. 3 niniejszego rozporządzenia, i z zastrzeżeniem technicznych środków bezpieczeństwa, dla specjalnie upoważnionego personelu właściwych organów państw członkowskich i agencji Unii ustanowionych na podstawie tytułu V TFUE;

(iii)

nie mogą być przesyłane ani przekazywane;

(iv)

nie mogą prowadzić do wprowadzenia środków lub podjęcia decyzji mających wpływ na osoby, których dane dotyczą, w wyniku przetwarzania tych danych;

(v)

usuwa się po zakończeniu projektu lub po upływie okresu przechowywania danych osobowych zgodnie z art. 31;

e)

rejestry przetwarzania danych osobowych w kontekście danego projektu przetrzymuje się do dwóch lat po zakończeniu projektu wyłącznie w celu zweryfikowania dokładności wyniku przetwarzania danych i wyłącznie tak długo, jak długo jest to niezbędne do tego celu.

3. Zarząd określa w wiążącym dokumencie ogólny zakres projektów w dziedzinie badań naukowych i innowacji. Dokument ten jest w stosownych przypadkach aktualizowany i udostępniany EIOD do celów monitorowania.

4. Europol posiada dokument zawierający szczegółowy opis procesu i uzasadnienia trenowania, testowania i walidacji algorytmów w celu zapewnienia przejrzystości procesu i algorytmów, w tym ich zgodności z zabezpieczeniami przewidzianymi w niniejszym artykule, oraz w celu umożliwienia zweryfikowania dokładności wyników opartych na takich algorytmach. Na wniosek, Europol udostępnia ten dokument zainteresowanym stronom, w tym państwom członkowskim i GWKP.

5. Jeśli dane, które mają być przetwarzane do celów projektu w dziedzinie badań naukowych i innowacji, zostały dostarczone przez państwo członkowskie, organ Unii, państwo trzecie lub organizację międzynarodową, Europol występuje o zgodę tego dostawcy danych zgodnie z art. 19 ust. 2, chyba że dostawca danych wyraził wcześniejszą zgodę na takie przetwarzanie do celów projektów w dziedzinie badań naukowych i innowacji, na warunkach ogólnych albo z zastrzeżeniem warunków szczególnych.

Europol nie przetwarza danych do celów projektów w dziedzinie badań naukowych i innowacji bez zgody dostawcy danych. Zgodę taką można cofnąć w każdej chwili.";

29)

w art. 34 wprowadza się następujące zmiany:

a)

ust. 1 otrzymuje brzmienie:

"1. Bez uszczerbku dla art. 92 rozporządzenia (UE) 2018/1725, jeżeli dojdzie do naruszenia ochrony danych osobowych, Europol zgłasza to naruszenie właściwym organom odnośnych państw członkowskich, bez zbędnej zwłoki zgodnie z art. 7 ust. 5 niniejszego rozporządzenia, a także odnośnemu podmiotowi dostarczającemu dane, chyba że prawdopodobieństwo, że takie naruszenie ochrony danych osobowych spowoduje ryzyko dla praw i wolności osób fizycznych, jest niewielkie.";

b)

uchyla się ust. 3;

30)

w art. 35 wprowadza się następujące zmiany:

a)

uchyla się ust. 1 i 2;

b)

ust. 3 otrzymuje brzmienie:

"Bez uszczerbku dla art. 93 rozporządzenia (UE) 2018/1725 w przypadku gdy Europol nie posiada danych kontaktowych osoby, której dane dotyczą, zwraca się do podmiotu dostarczającego dane o zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz o poinformowanie Europolu o podjętej decyzji. Państwa członkowskie dostarczające dane zawiadamiają o naruszeniu ochrony danych osobowych osobę, której dane dotyczą, zgodnie z prawem krajowym.";

c)

uchyla się ust. 4 i 5;

31)

w art. 36 wprowadza się następujące zmiany:

a)

uchyla się ust. 1 i 2;

b)

ust. 3 otrzymuje brzmienie:

"3. Osoba, której dane dotyczą, pragnąca skorzystać z przysługującego jej prawa dostępu do danych osobowych jej dotyczących, o którym mowa w art. 80 rozporządzenia (UE) 2018/1725, może złożyć w tej sprawie stosowny wniosek do wyznaczonego do tego celu organu w wybranym przez siebie państwie członkowskim lub do Europolu. W przypadku złożenia wniosku do tego organu organ ten bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania wniosku, przekazuje go Europolowi.";

c)

uchyla się ust. 6 i 7;

32)

w art. 37 wprowadza się następujące zmiany:

a)

ust. 1 otrzymuje brzmienie:

"1. Każda osoba, której dane dotyczą, pragnąca skorzystać z prawa do sprostowania lub usunięcia danych osobowych jej dotyczących lub do ograniczenia ich przetwarzania, o którym mowa w art. 82 rozporządzenia (UE) 2018/1725, może złożyć w tej sprawie stosowny wniosek za pośrednictwem wyznaczonego do tego celu organu w wybranym przez siebie państwie członkowskim lub do Europolu. W przypadku złożenia wniosku do tego organu przekazuje on go Europolowi bez zbędnej zwłoki, ale nie później niż w terminie miesiąca od otrzymania wniosku.";

b)

uchyla się ust. 2;

c)

ust. 3, 4 i 5 otrzymują brzmienie:

"3. Bez uszczerbku dla art. 82 ust. 3 rozporządzenia (UE) 2018/1725, Europol ogranicza przetwarzanie danych osobowych zamiast ich usuwania, jeżeli istnieją uzasadnione podstawy, by sądzić, że usunięcie danych mogłoby godzić w uzasadnione interesy osoby, której dane dotyczą.

Dane, do których dostęp jest ograniczony, są przetwarzane wyłącznie do celów ochrony praw osoby, której dotyczą, jeżeli jest to niezbędne do ochrony żywotnych interesów osoby, której dotyczą, lub innej osoby lub do celów określonych w art. 82 ust. 3 rozporządzenia (UE) 2018/1725.

4. Jeżeli dane osobowe, o których mowa w ust. 1 i 3, będące w posiadaniu Europolu, zostały mu dostarczone przez państwa trzecie, organizacje międzynarodowe lub organy Unii, zostały dostarczone bezpośrednio przez podmioty prywatne, zostały przez Europol pobrane z publicznie dostępnych źródeł lub pochodzą z własnych analiz Europolu, Europol prostuje lub usuwa takie dane lub ogranicza ich przetwarzanie oraz w stosownych przypadkach informuje dostawców tych danych.

5. Jeżeli dane osobowe, o których mowa w ust. 1 i 3, będące w posiadaniu Europolu zostały mu dostarczone przez państwa członkowskie, odpowiednie państwa członkowskie prostują lub usuwają takie dane lub ograniczają ich przetwarzanie we współpracy z Europolem w ramach swoich odpowiednich kompetencji.";

d)

uchyla się ust. 8 i 9;

33)

w art. 38 wprowadza się następujące zmiany:

a)

ust. 1 otrzymuje brzmienie:

"1. Europol przetwarza dane osobowe w sposób zapewniający możliwość ustalenia ich źródła, zgodnie z art. 17.";

b)

w ust. 2 zdanie wprowadzające otrzymuje brzmienie:

"2. Odpowiedzialność za dokładność danych osobowych, o której mowa w art. 71 ust. 1 lit. d) rozporządzenia (UE) 2018/1725, spoczywa na:";

c)

ust. 4 otrzymuje brzmienie:

"4. Europol odpowiada za zgodność z rozporządzeniem (UE) 2018/1725 w odniesieniu do administracyjnych danych osobowych oraz za zgodność z niniejszym rozporządzeniem, z art. 3 i z rozdziałem IX rozporządzenia (UE) 2018/1725 w odniesieniu do danych osobowych.";

d)

ust. 7 zdanie trzecie otrzymuje brzmienie:

"Bezpieczeństwo takich wymian zapewnia się zgodnie z art. 91 rozporządzenia (UE) 2018/1725.";

34)

art. 39 otrzymuje brzmienie:

"Artykuł 39

Wcześniejsze konsultacje

1. Bez uszczerbku dla art. 90 rozporządzenia (UE) 2018/1725 uprzednie konsultacje EIOD nie mają zastosowania do konkretnych indywidualnych działań operacyjnych, które nie obejmują żadnego nowego rodzaju przetwarzania, które wiązałoby się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą.

2. Europol może inicjować operacje przetwarzania, które podlegają uprzednim konsultacjom EIOD, zgodnie z art. 90 ust. 1 rozporządzenia (UE) 2018/1725, chyba że EIOD przedstawił pisemną poradę zgodnie z art. 90 ust. 4 tego rozporządzenia w terminach określonych w tych przepisach, których bieg zaczyna się w dniu otrzymania pierwotnego wniosku dotyczącego konsultacji i które nie ulegają zawieszeniu.

3. Jeśli operacje przetwarzania, o których mowa w ust. 2 niniejszego artykułu mają istotne znaczenie dla wykonywania przez Europol jego zadań i są szczególnie pilne i niezbędne do zapobieżenia bezpośredniemu zagrożeniu przestępstwem objętym zakresem celów Europolu lub do zwalczania takiego przestępstwa i do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, Europol może wyjątkowo zainicjować przetwarzanie po rozpoczęciu uprzednich konsultacji z EIOD, przewidzianych w art. 90 ust. 1 rozporządzenia (UE) 2018/1725, oraz przed upływem terminu przewidzianego w art. 90 ust. 4 tego rozporządzenia. W tym przypadku Europol informuje EIOD przed rozpoczęciem operacji przetwarzania.

Pisemna porada EIOD zgodnie z art. 90 ust. 4 rozporządzenia (UE) 2018/1725 jest brana pod uwagę z mocą wsteczną, a sposób przetwarzania jest odpowiednio dostosowywany.

Inspektor ochrony danych jest zaangażowany w ocenę pilnego charakteru takich operacji przetwarzania przed upływem terminu przewidzianego w art. 90 ust. 4 rozporządzenia (UE) 2018/1725 oraz nadzoruje przedmiotowe przetwarzanie.

4. EIOD prowadzi rejestr wszystkich operacji przetwarzania, o których powiadomiono go zgodnie z ust. 1. Rejestr nie jest udostępniany publicznie";

35)

dodaje się artykuł w brzmieniu:

"Artykuł 39a

Rejestry kategorii czynności przetwarzania

1. Europol prowadzi rejestr wszystkich kategorii czynności przetwarzania, za które odpowiada. Rejestr ten zawiera następujące informacje:

a)

dane kontaktowe Europolu oraz imię i nazwisko i dane kontaktowe inspektora ochrony danych w Europolu;

b)

cele przetwarzania;

c)

opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d)

kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e)

w stosownych przypadkach przekazania danych osobowych do państwa trzeciego, organizacji międzynarodowej lub podmiotu prywatnego, w tym nazwę tego odbiorcy;

f)

jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g)

jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 91 rozporządzenia (UE) 2018/1725;

h)

w stosownym przypadku informacje o stosowaniu profilowania.

2. Rejestr, o którym mowa w ust. 1, ma formę pisemną, w tym formę elektroniczną.

3. Na wniosek EIOD Europol udostępnia mu rejestr, o którym mowa w ust. 1.";

36)

art. 40 otrzymuje brzmienie:

"Artykuł 40

Rejestr

1. Zgodnie z art. 88 rozporządzenia (UE) 2018/1725 Europol prowadzi rejestry swoich operacji przetwarzania. Nie ma możliwości wprowadzania zmian w rejestrach.;

2. Bez uszczerbku dla art. 88 rozporządzenia (UE) 2018/1725, jeżeli jednostka krajowa wymaga tego konkretnego dochodzenia związanego z przestrzeganiem przepisów o ochronie danych, rejestry, o których mowa w ust. 1 są przekazywane tej jednostce krajowej.";

37)

art. 41 otrzymuje brzmienie:

"Artykuł 41

Wyznaczenie inspektora ochrony danych

1. Zarząd powołuje członka personelu Europolu jako inspektora ochrony danych, który jest powołanym do pełnienia wyłącznie tej funkcji.

2. Inspektor ochrony danych jest wybierany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz zdolności do wykonywania zadań, o których mowa w art. 41b niniejszego rozporządzenia i w rozporządzeniu (UE) 2018/1725.

3. Wybór inspektora ochrony danych nie może powodować konfliktu interesów między jego obowiązkami jako inspektora ochrony danych a innymi jego obowiązkami służbowymi, w szczególności w odniesieniu do stosowania niniejszego rozporządzenia.

4. Inspektor ochrony danych nie może zostać odwołany ani ukarany przez zarząd za wypełnianie swoich zadań.

5. Europol publikuje dane kontaktowe inspektora ochrony danych i przekazuje je EIOD.";

38)

dodaje się artykuły w brzmieniu:

"Artykuł 41a

Stanowisko inspektora ochrony danych

1. Europol zapewnia, by inspektor ochrony danych był właściwie i w odpowiednim czasie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

2. Europol wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 41b, zapewniając mu zasoby i personel niezbędne do wykonywania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także z myślą o utrzymaniu jego wiedzy fachowej.

W celu wsparcia inspektora ochrony danych w wykonywaniu jego zadań, można wyznaczyć pracownika Europolu na asystenta inspektora ochrony danych.

3. Europol zapewnia, by inspektor ochrony danych działał niezależnie i nie otrzymywał instrukcji dotyczących wykonywania swoich zadań.

Inspektor ochrony danych podlega bezpośrednio zarządowi.

4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na podstawie niniejszego rozporządzenia oraz na podstawie rozporządzenia (UE) 2018/1725.

Nikt nie może doznać uszczerbku z powodu tego, że zwrócił uwagę inspektora ochrony danych na domniemane naruszenie niniejszego rozporządzenia lub rozporządzenia (UE) 2018/1725.

5. Zarząd przyjmuje przepisy wykonawcze dotyczące inspektora ochrony danych. Przepisy wykonawcze dotyczą w szczególności procedury wyboru na stanowisko inspektora ochrony danych, odwołania z tego stanowiska, a także zadań, obowiązków i uprawnień oraz ochrony jego niezależności.

6. Inspektor ochrony danych i jego personel podlegają obowiązkowi zachowania poufności zgodnie z art. 67 ust. 1.

7. Inspektor ochrony danych jest powoływany na okres czterech lat i może zostać powołany ponownie.

8. Inspektor ochrony danych zostaje odwołany ze swojego stanowiska przez zarząd, jeśli przestanie spełniać warunki konieczne do wykonywania swoich obowiązków i wyłącznie za zgodą EIOD.

9. Inspektor ochrony danych i asystent inspektora ochrony danych są rejestrowani u EIOD przez zarząd.

10. Przepisy mające zastosowanie do inspektora ochrony danych stosuje się odpowiednio do asystenta inspektora ochrony danych.

Artykuł 41b

Zadania inspektora ochrony danych

1. W odniesieniu do przetwarzania danych osobowych inspektor ochrony danych ma w szczególności następujące zadania:

a)

zapewnianie w sposób niezależny przestrzegania przez Europol przepisów dotyczących ochrony danych zawartych w niniejszym rozporządzeniu i rozporządzeniu (UE) 2018/1725 oraz odpowiednich przepisów dotyczących ochrony danych zawartych w przepisach wewnętrznych Europolu, w tym monitorowanie przestrzegania niniejszego rozporządzenia, rozporządzenia (UE) 2018/1725, innych unijnych lub krajowych przepisów o ochronie danych oraz polityki Europolu w dziedzinie ochrony danych osobowych, w tym podziału obowiązków, działań informacyjnych, szkoleń personelu uczestniczącego w operacjach przetwarzania, oraz powiązanych z tym audytów;

b)

informowanie Europolu oraz personelu, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na podstawie niniejszego rozporządzenia, rozporządzenia (UE) 2018/1725 oraz innych unijnych lub krajowych przepisów o ochronie danych i doradzanie im w tej sprawie;

c)

udzielanie, na wniosek, porad co do oceny skutków dla ochrony danych na podstawie art. 89 rozporządzenia (UE) 2018/1725 oraz monitorowanie przeprowadzania oceny dla skutków ochrony danych;

d)

prowadzenie rejestru naruszeń ochrony danych osobowych oraz udzielanie, na wniosek, porad co do konieczności zgłoszenia lub zawiadomienia o naruszeniu ochrony danych osobowych na podstawie przepisów art. 92 i 93 rozporządzenia (UE) 2018/1725;

e)

zapewnianie, by przesyłanie, przekazywanie i otrzymywanie danych osobowych było rejestrowane zgodnie z niniejszym rozporządzeniem;

f)

zapewnianie, na ich wniosek, aby osoby, których dane dotyczą, były informowane o prawach przysługujących im na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2018/1725;

g)

współpraca z personelem Europolu odpowiedzialnym za procedury, szkolenia i doradztwo w zakresie przetwarzania danych;

h)

odpowiadanie na wnioski EIOD, w zakresie jego kompetencji - współpraca i prowadzenie konsultacji z EIOD, na wniosek tego ostatniego lub z własnej inicjatywy;

i)

współpraca z właściwymi organami państw członkowskich, w szczególności z inspektorami ochrony danych właściwych organów państw członkowskich oraz z krajowymi organami nadzorczymi, w kwestiach dotyczących ochrony danych w obszarze ścigania przestępstw;

j)

pełnienie funkcji punktu kontaktowego dla EIOD w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami zgodnie z art. 40 i 90 rozporządzenia (UE) 2018/1725 oraz, w stosownych przypadkach, prowadzenie konsultacji we wszelkich innych sprawach wchodzących w zakres jego kompetencji;

k)

przygotowywanie rocznego sprawozdania i przekazywanie go zarządowi oraz EIOD;

l)

zapewnianie, by operacje przetwarzania nie wpływały negatywnie na prawa i wolności osób, których dane dotyczą.

2. Inspektor ochrony danych może wydawać zarządowi zalecenia dotyczące praktycznej poprawy ochrony danych i doradzać w kwestiach dotyczących stosowania przepisów o ochronie danych.

Inspektor ochrony danych może, z własnej inicjatywy lub na wniosek zarządu bądź dowolnej osoby fizycznej, badać zgłaszane mu sprawy i zdarzenia bezpośrednio związane z jego zadaniami, a także składać sprawozdania z wyników dochodzenia wnioskodawcy tego dochodzenia lub zarządowi.

3. Inspektor ochrony danych pełni funkcje przewidziane w rozporządzeniu (UE) 2018/1725 w odniesieniu do administracyjnych danych osobowych.

4. W ramach wykonywania swoich zadań inspektor ochrony danych oraz członkowie personelu Europolu wspomagający inspektora ochrony danych w wykonywaniu jego obowiązków mają dostęp do wszystkich danych przetwarzanych przez Europol i do wszystkich pomieszczeń Europolu.

5. Jeżeli inspektor ochrony danych uzna, że przepisy niniejszego rozporządzenia lub rozporządzenia (UE) 2018/1725 dotyczące przetwarzania administracyjnych danych osobowych lub przepisy niniejszego rozporządzenia lub art. 3 i rozdziału IX rozporządzenia (UE) 2018/1725 dotyczące przetwarzania danych osobowych nie są przestrzegane, informuje o tym dyrektora wykonawczego i zobowiązuje go do doprowadzenia w określonym terminie do tego, by przepisy związane z przetwarzaniem danych były przestrzegane.

Jeżeli dyrektor wykonawczy nie doprowadzi w określonym terminie do tego, by przepisy związane z przetwarzaniem danych były przestrzegane, inspektor ochrony danych informuje zarząd. Zarząd udziela odpowiedzi w określonym terminie uzgodnionym z inspektorem ochrony danych. Jeżeli zarząd nie doprowadzi w określonym terminie do tego, by przepisy były przestrzegane, inspektor ochrony danych przekazuje sprawę EIOD.

Artykuł 41c

Inspektor ds. praw podstawowych

1. Na wniosek dyrektora wykonawczego zarząd wyznacza inspektora ds. praw podstawowych. Inspektor ds. praw podstawowych może być członkiem obecnego personelu Europolu, który został odpowiednio przeszkolony w obszarze prawa i praktyki w zakresie praw podstawowych.

2. Inspektor ds. praw podstawowych wykonuje następujące zadania:

a)

doradza Europolowi - jeżeli uzna to za konieczne lub na odnośny wniosek - w sprawie wszelkich działań Europolu, nie utrudniając ich ani ich nie opóźniając;

b)

monitoruje przestrzeganie przez Europol praw podstawowych;

c)

wydaje niewiążące opinie na temat uzgodnień roboczych;

d)

informuje dyrektora wykonawczego o ewentualnych naruszeniach praw podstawowych w trakcie działań Europolu;

e)

wspiera zapewnianie przez Europol poszanowania praw podstawowych podczas wykonywania zadań i prowadzenia działań;

f)

inne zadania przewidziane w niniejszym rozporządzeniu.

3. Europol zapewnia, by inspektor ds. praw podstawowych nie otrzymywał instrukcji dotyczących wykonywania tych zadań.

4. Inspektor ds. praw podstawowych podlega bezpośrednio dyrektorowi wykonawczemu i przygotowuje roczne sprawozdania ze swojej działalności, zawierające informację na temat tego, w jakim zakresie w działaniach Europolu przestrzega się praw podstawowych. Sprawozdania takie są udostępniane zarządowi.

Artykuł 41d

Szkolenia z zakresu praw podstawowych

Cały personel Europolu, który wykonuje zadania operacyjne obejmujące przetwarzanie danych osobowych, odbywa obowiązkowe szkolenie w zakresie ochrony podstawowych praw i wolności, w tym w odniesieniu do przetwarzania danych osobowych. Szkolenie to jest przygotowywane we współpracy z Agencją Praw Podstawowych Unii Europejskiej (FRA), ustanowioną rozporządzeniem Rady (WE) nr 168/2007 (*12), i Agencją Unii Europejskiej ds. Szkolenia w Dziedzinie Ścigania (CEPOL), ustanowioną rozporządzeniem (UE) 2015/2219 (*13).

(*12) Rozporządzenie Rady (WE) nr 168/2007 z dnia 15 lutego 2007 r. ustanawiające Agencję Praw Podstawowych Unii Europejskiej (Dz.U. L 53 z 22.2.2007, s. 1)."

(*13) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/2219 z dnia 25 listopada 2015 r. w sprawie Agencji Unii Europejskiej ds. Szkolenia w Dziedzinie Ścigania (CEPOL) oraz zastępujące i uchylające decyzję Rady 2005/681/WSiSW (Dz.U. L 319 z 4.12.2015, s. 1).";"

39)

art. 42 ust. 1 i 2 otrzymują brzmienie:

"1. Na potrzeby pełnienia funkcji nadzorczej krajowe organy nadzorcze, o których mowa w art. 41 dyrektywy (UE) 2016/680, mają dostęp, w pomieszczeniach jednostki krajowej lub oficerów łącznikowych, do danych przedkładanych Europolowi przez ich państwo członkowskie zgodnie z odpowiednimi procedurami krajowymi oraz do rejestrów, o których mowa w art. 40 niniejszego rozporządzenia.

2. Krajowe organy nadzorcze mają dostęp do biur i dokumentów swoich oficerów łącznikowych w Europolu.";

40)

w art. 43 wprowadza się następujące zmiany:

a)

w ust. 1 zdanie pierwsze otrzymuje brzmienie:

"1. EIOD jest odpowiedzialny za monitorowanie i zapewnianie stosowania przepisów niniejszego rozporządzenia oraz rozporządzenia (UE) 2018/1725 odnoszących się do ochrony podstawowych praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych przez Europol oraz za doradzanie Europolowi i osobom, których dane dotyczą, we wszelkich sprawach związanych z przetwarzaniem danych osobowych.";

b)

w ust. 3 dodaje się litery w brzmieniu:

"j)

nakazać administratorowi lub podmiotowi przetwarzającemu dostosowanie operacji przetwarzania do niniejszego rozporządzenia, a w stosownych przypadkach wskazać konkretny sposób i konkretny termin;

k)

nakazać zawieszenie przepływu danych do odbiorcy w państwie członkowskim, państwie trzecim lub organizacji międzynarodowej;

l)

nałożyć administracyjną karę pieniężną w przypadku nieprzestrzegania przez Europol jednego ze środków, o których mowa w lit. c), e), f), j) i k) niniejszego ustępu, w zależności od okoliczności każdej indywidualnej sprawy.";

c)

ust. 5 otrzymuje brzmienie:

"5. EIOD przygotowuje roczne sprawozdanie ze swojej działalności nadzorczej w odniesieniu do Europolu. Sprawozdanie to stanowi część sprawozdania rocznego EIOD, o którym mowa w art. 60 rozporządzenia (UE) 2018/1725.

EIOD zaprasza krajowe organy nadzoru do przedstawienia uwag na temat tej części rocznego sprawozdania, zanim zostanie on przyjęty. EIOD w największym możliwym stopniu uwzględnia te uwagi i odnosi się do nich w sprawozdaniu rocznym.

Część rocznego sprawozdania, o którym mowa w akapicie drugim, zawiera informacje statystyczne dotyczące skarg, postępowań wyjaśniających i postępowań przygotowawczych, a także dotyczące przekazań danych osobowych państwom trzecim i organizacjom międzynarodowym, przypadków uprzednich konsultacji z EIOD oraz wykorzystania uprawnień określonych w ust. 3 niniejszego artykułu.";

41)

w art. 44 wprowadza się następujące zmiany:

a)

ust. 2 otrzymuje brzmienie:

"2. W przypadkach, o których mowa w ust. 1, zapewnia się skoordynowany nadzór zgodnie z art. 62 rozporządzenia (UE) 2018/1725. Przy wykonywaniu obowiązków określonych w art. 43 ust. 2 niniejszego rozporządzenia EIOD korzysta z wiedzy fachowej i doświadczenia krajowych organów nadzorczych.

Przy prowadzeniu wspólnych inspekcji wraz z EIOD członkowie i personel krajowych organów nadzorczych mają - przy należytym uwzględnieniu zasad pomocniczości i proporcjonalności - uprawnienia równoważne z uprawnieniami przewidzianymi w art. 43 ust. 4 niniejszego rozporządzenia i podlegają obowiązkowi równoważnemu z obowiązkiem przewidzianym w art. 43 ust. 6 niniejszego rozporządzenia.";

b)

ust. 4 otrzymuje brzmienie:

"4. W przypadkach dotyczących danych pochodzących z jednego lub więcej państw członkowskich, w tym w przypadkach, o których mowa w art. 47 ust. 2, EIOD konsultuje się z odpowiednimi krajowymi organami nadzorczymi. EIOD nie podejmuje decyzji o dalszych działaniach, jakie należy podjąć, zanim te krajowe organy nadzorcze nie poinformują EIOD o swojej opinii w terminie określonym przez EIOD, który nie jest krótszy niż miesiąc ani dłuższy niż trzy miesiące od daty rozpoczęcia konsultacji EIOD z odpowiednimi krajowymi organami nadzorczymi. EIOD uwzględnia w największym możliwym stopniu odpowiednie stanowiska odnośnych krajowych organów nadzorczych. W przypadkach, w których EIOD nie zamierza zastosować się do stanowiska krajowego organu nadzorczego, informuje o tym ten organ, przedstawia uzasadnienie i przedkłada sprawę Europejskiej Radzie Ochrony Danych.";

42)

uchyla się art. 45 i 46;

43)

w art. 47 wprowadza się następujące zmiany:

a)

ust. 1 otrzymuje brzmienie:

"1. Każda osoba, której dane dotyczą, ma prawo do złożenia skargi do EIOD, jeżeli uważa, że przetwarzanie przez Europol dotyczących jej danych osobowych nie jest zgodne z niniejszym rozporządzeniem lub rozporządzeniem (UE) 2018/1725.";

b)

w ust. 2 zdanie pierwsze otrzymuje brzmienie:

"2. Jeżeli skarga dotyczy decyzji, o której mowa w art. 36 lub 37 niniejszego rozporządzenia lub art. 81 lub 82 rozporządzenia (UE) 2018/1725, EIOD zasięga opinii krajowych organów nadzorczych państwa członkowskiego, które dostarczyło dane, lub, bezpośrednio, krajowych organów nadzorczych zainteresowanego państwa członkowskiego.";

c)

dodaje się ustęp w brzmieniu:

"5. EIOD informuje osobę, której dane dotyczą, o przebiegu i wyniku rozpatrzenia skargi, jak również o możliwości wniesienia środka odwoławczego na podstawie art. 48.";

44)

art. 50 otrzymuje brzmienie:

"Artykuł 50

Prawo do odszkodowania

1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać odszkodowanie zgodnie z art. 65 rozporządzenia (UE) 2018/1725 i art. 56 dyrektywy (UE) 2016/680.

2. Wszelkie spory między Europolem a państwami członkowskimi dotyczące ostatecznej odpowiedzialności za odszkodowanie przyznane osobie, która poniosła szkodę majątkową lub niemajątkową zgodnie z ust. 1 niniejszego artykułu, są kierowane do zarządu. Zarząd podejmuje decyzję o tej odpowiedzialności większością dwóch trzecich głosów swoich członków, z zastrzeżeniem prawa do zakwestionowania tej decyzji zgodnie z art. 263 TFUE.";

45)

w art. 51 wprowadza się następujące zmiany:

a)

w ust. 3 wprowadza się następujące zmiany:

(i)

lit. d) otrzymuje brzmienie:

"d)

roczne skonsolidowane sprawozdanie z działalności Europolu, o którym mowa w art. 11 ust. 1 lit. c), w tym istotne informacje na temat działalności Europolu w zakresie przetwarzania dużych zbiorów danych oraz uzyskanych w tym zakresie wyników, bez ujawniania jakichkolwiek szczegółów operacyjnych i bez uszczerbku dla wszelkich toczących się postępowań przygotowawczych;";

(ii)

dodaje się litery w brzmieniu:

"f)

coroczne informacje zgodnie z art. 26 ust. 11 na temat danych osobowych wymienianych z podmiotami prywatnymi zgodnie z art. 26, 26a i 26b, w tym ocena skuteczności współpracy, konkretne przykłady spraw wskazujące, dlaczego te wnioski były niezbędne i proporcjonalne w celu umożliwienia Europolowi realizacji swoich celów i wykonywania swoich zadań, oraz, w odniesieniu do wymian danych osobowych zgodnie z art. 26b, liczbę dzieci zidentyfikowanych w wyniku tych wymian w takim zakresie, w jakim informacje te są dostępne Europolowi;

g)

coroczne informacje na temat liczby spraw, w odniesieniu do których Europol musiał przetwarzać dane osobowe nienależące do kategorii osób, których dane dotyczą, określonych w załączniku II, aby wesprzeć państwa członkowskie w toczącym się konkretnym postępowaniu przygotowawczym w zgodnie z art. 18a, a także informacje na temat czasu trwania i wyników takiego przetwarzania, w tym przykłady takich spraw wskazujące, dlaczego to przetwarzanie danych było niezbędne i proporcjonalne;

h)

coroczne informacje na temat przekazań danych osobowych państwom trzecim i organizacjom międzynarodowym zgodnie z art. 25 ust. 1 lub art. 25 ust. 4a w podziale na podstawę prawną, a także informacje o liczbie spraw, w których dyrektor wykonawczy zatwierdził, zgodnie z art. 25 ust. 5, przekazanie lub kategorie przekazań danych osobowych państwom trzecim lub organizacjom międzynarodowym w związku z toczącym się konkretnym postępowaniem przygotowawczym, w tym informacje na temat zainteresowanych państw i okresu obowiązywania zatwierdzenia;

i)

coroczne informacje na temat liczby spraw, w których Europol zaproponował ewentualne wprowadzenie wpisów informacyjnych zgodnie z art. 4 ust. 1 lit. t), w tym konkretne przykłady spraw wskazujące, dlaczego wprowadzenie tych wpisów zostało zaproponowane;

j)

coroczne informacje na temat liczby projektów w dziedzinie prowadzonych badań i innowacji, w tym informacje na temat celów tych projektów, kategorii przetwarzanych danych osobowych, dodatkowych zastosowanych zabezpieczeń, w tym minimalizacji danych, potrzeb w dziedzinie ścigania przestępstw, które to potrzeby projekty mają zaspokoić, oraz wyników tych projektów;

k)

coroczne informacje na temat liczby spraw, w których Europol skorzystał z tymczasowego przetwarzania zgodnie z art. 18 ust. 6a, oraz, w stosownych przypadkach, liczby spraw, w których przedłużono okres przetwarzania danych;

l)

coroczne informacje na temat liczby i rodzajów spraw, w których przetwarzane były szczególne kategorie danych osobowych, zgodnie z art. 30 ust. 2.;

Przykłady, o których mowa w lit. f) i i), są zanonimizowane w odniesieniu do danych osobowych;

Przykłady, o których mowa w lit. g), są zanonimizowane w odniesieniu do danych osobowych, bez ujawniania jakichkolwiek szczegółów operacyjnych i bez uszczerbku dla wszelkich toczących się postępowań przygotowawczych;"

b)

ust. 5 otrzymuje brzmienie:

"5. GWKP może sporządzić podsumowanie wniosków z politycznej kontroli działań Europolu, zawierające konkretne niewiążące zalecenia dla Europolu, i przedłożyć te wnioski Parlamentowi Europejskiemu i parlamentom narodowym. Parlament Europejski przekazuje te podsumowania w celach informacyjnych Radzie, Komisji i Europolowi.";

46)

dodaje się artykuł w brzmieniu:

"Artykuł 52a

Forum konsultacyjne

1. GWKP ustanawia forum konsultacyjne, które, na wniosek, będzie ją wspierać w drodze niezależnego doradztwa w kwestiach związanych z prawami podstawowymi.

GWKP i dyrektor wykonawczy mogą konsultować się z forum konsultacyjnym we wszelkich kwestiach związanych z prawami podstawowymi.

2. GWKP decyduje o składzie forum konsultacyjnego, jego metodach pracy oraz sposobu przesyłania informacji forum konsultacyjnemu.";

47)

art. 58 ust. 9 otrzymuje brzmienie:

"9. W przypadku projektów budowlanych, które mogą mieć znaczący wpływ na budżet Europolu, zastosowanie ma rozporządzenie delegowane (UE) 2019/715.";

48)

w art. 60 wprowadza się następujące zmiany:

a)

ust. 4 otrzymuje brzmienie:

"4. Po otrzymaniu uwag Trybunału Obrachunkowego na temat wstępnego sprawozdania finansowego Europolu za rok N, zgodnie z art. 246 rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 (*14), księgowy Europolu sporządza końcowe sprawozdanie finansowe Europolu za ten rok. Dyrektor wykonawczy przedkłada to końcowe sprawozdanie finansowe zarządowi do zaopiniowania.

(*14) Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014, (UE) nr 283/2014 i decyzję nr 541/2014/UE oraz uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).";"

b)

ust. 9 otrzymuje brzmienie:

"9. Na wniosek Parlamentu Europejskiego, dyrektor wykonawczy przedkłada Parlamentowi Europejskiemu wszelkie informacje niezbędne do sprawnego zastosowania procedury udzielania absolutorium za rok N, zgodnie z art. 106 ust. 3 rozporządzenia delegowanego (UE) 2019/715.";

49)

art. 61 otrzymuje brzmienie:

"Artykuł 61

Przepisy finansowe

1. Po konsultacji z Komisją zarząd przyjmuje przepisy finansowe mające zastosowanie do Europolu. Przepisy te nie odbiegają od rozporządzenia delegowanego (UE) 2019/715, chyba że jest to wyraźnie konieczne do działania Europolu, a Komisja wyraziła na to wcześniej zgodę.

2. Europol może przyznawać dotacje związane z realizacją jego celów i zadań,.

3. Europol może przyznawać dotacje państwom członkowskim, bez zaproszenia do składania wniosków, na prowadzenie działań objętych zakresem jego celów i zadań.

4. Jeżeli jest to należycie uzasadnione celami operacyjnymi, wsparcie finansowe może pokrywać pełne koszty inwestycji w sprzęt i infrastrukturę, o ile zgodzi się na to zarząd.

Przepisy finansowe, o których mowa w ust. 1, mogą określić kryteria, zgodnie z którymi wsparcie finansowe może pokrywać pełne koszty, o których mowa w akapicie pierwszym niniejszego ustępu.

5. W odniesieniu do wsparcia finansowego na działania wspólnych zespołów dochodzeniowo-śledczych Europol i Eurojust wspólnie określają zasady i warunki rozpatrywania wniosków o takie wsparcie.";

50)

w art. 68 wprowadza się następujące zmiany:

a)

ust. 1 otrzymuje brzmienie:

"1. Do dnia 29 czerwca 2027 r., a następnie co pięć lat Komisja przeprowadza ocenę dotyczącą w szczególności wpływu, skuteczności i efektywności Europolu i jego metod pracy. W ocenie tej może być poruszona w szczególności kwestia ewentualnej potrzeby dokonania zmian w strukturze, funkcjonowaniu, obszarze działania i zadaniach Europolu oraz skutków finansowych wszelkich takich zmian.";

b)

dodaje się ustęp w brzmieniu:

"3. Do dnia 29 czerwca 2025 r. Komisja przedkłada Parlamentowi Europejskiemu i Radzie sprawozdanie oceniające wpływ operacyjny wdrożenia zadań przewidzianych w niniejszym rozporządzeniu, w szczególności w art. 4 ust. 1 lit. t), art. 18 ust. 2 lit. e), art. 18 ust. 6a, a także art. 18a, art. 26, art. 26a i art. 26b w odniesieniu do celów Europolu. Sprawozdanie to zawiera ocenę wpływu tych zadań na prawa podstawowe i wolności określone w Karcie. Zawiera również ocenę kosztów i korzyści wynikających z rozszerzenia zakresu zadań Europolu.";

51)

dodaje się artykuły w brzmieniu:

"Artykuł 74a

Tymczasowe ustalenia dotyczące przetwarzania danych osobowych w celu wsparcia toczącego się konkretnego postępowania przygotowawczego

1. Jeżeli państwo członkowskie, EPPO lub Eurojust dostarczyły Europolowi dane osobowe nienależące do kategorii osób, których dane dotyczą, wymienionych w załączniku II, przed dniem 28 czerwca 2022 r., Europol może przetwarzać te dane zgodnie z art. 18a, w przypadku gdy:

a)

dane państwo członkowskie, EPPO lub Eurojust poinformują Europol, do dnia 29 września 2022 r., że jest on upoważniony do przetwarzania tych danych osobowych, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy prawa Unii lub prawa krajowego, w toczącym się postępowaniu przygotowawczym, w odniesieniu do którego zwróciły się do Europolu o wsparcie, gdy pierwotnie dostarczyły dane;

b)

dane państwo członkowskie, EPPO lub Eurojust zwrócą się do Europolu, do dnia 29 września 2022 r., o wsparcie tego toczącego się postępowania przygotowawczego, o którym mowa w lit. a); oraz

c)

Europol ocenia, zgodnie z art. 18a ust. 1 lit. b), że nie jest możliwe wsparcie toczącego się postępowania przygotowawczego, o którym mowa w lit. a) niniejszego ustępu, bez przetwarzania danych osobowych, które nie są zgodne z art. 18 ust. 5.

Ocena, o której mowa w lit. c) niniejszego ustępu, jest rejestrowana i przesyłana EIOD tytułem informacji, po tym jak Europol zakończy wspieranie odnośnego postępowania przygotowawczego.

2. Jeżeli państwo członkowskie, EPPO lub Eurojust nie spełnią co najmniej jednego z wymogów określonych w ust. 1 lit. a) i b) niniejszego artykułu w odniesieniu do danych osobowych nienależących do kategorii osób, których dane dotyczą, wymienionych w załączniku II, które to dane dostarczyły Europolowi do dnia 28 czerwca 2022 r., lub jeżeli państwo członkowskie, EPPO lub Eurojust nie spełniają wymogów określonych w ust. 1 lit. c) niniejszego artykułu, Europol nie przetwarza tych danych osobowych zgodnie z art. 18a, ale bez uszczerbku dla art. 18 ust. 5 i art. 74b usuwa te dane osobowe do dnia 29 października 2022 r.

3. Jeżeli państwo trzecie, o którym mowa w art. 18a ust. 6 dostarczyło Europolowi dane osobowe nienależące do kategorii osób, których dane dotyczą, wymienionych w załączniku II, do dnia 28 czerwca 2022 r., Europol może przetwarzać te dane osobowe zgodnie z art. 18a ust. 6 w przypadku gdy:

a)

państwo trzecie dostarczyło dane osobowe w ramach wsparcia konkretnego postępowania przygotowawczego prowadzonego w co najmniej jednym państwie członkowskim i wspieranego przez Europol;

b)

państwo trzecie otrzymało dane w kontekście postępowania przygotowawczego zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy jego krajowego prawa karnego;

c)

państwo trzecie poinformuje Europol, do dnia 29 września 2022 r., że jest on upoważniony do przetwarzania tych danych osobowych w postępowaniu przygotowawczym, w ramach którego państwo to otrzymało dane;

d)

Europol ocenia, zgodnie z art. 18a ust. 1 lit. b), że nie jest możliwe wsparcie konkretnego postępowania przygotowawczego, o którym mowa w lit. a) niniejszego ustępu, bez przetwarzania danych osobowych, które nie są zgodne z art. 18 ust. 5. Ocena ta jest rejestrowana i przesyłana EIOD tytułem informacji, po tym jak Europol zakończy wspieranie odnośnego konkretnego postępowania przygotowawczego; oraz

e)

Europol weryfikuje, zgodnie z art. 18a ust. 6, że ilość danych osobowych nie jest wyraźnie nieproporcjonalna w odniesieniu do konkretnego postępowania przygotowawczego, o którym mowa w lit. a) niniejszego ustępu prowadzonego w co najmniej jednym państwie członkowskim i wspieranego przez Europol.

4. Jeżeli państwo trzecie nie spełnia wymogu określonego w ust. 3 lit. c) niniejszego artykułu w odniesieniu do danych osobowych nienależących do kategorii osób, których dane dotyczą, wymienionych w załączniku II, które to dane osobowe państwo trzecie dostarczyło Europolowi do dnia 28 czerwca 2022 r., lub jeżeli nie jest spełniony dowolny z pozostałych wymogów określonych w ust. 3 niniejszego artykułu, Europol nie przetwarza tych danych osobowych zgodnie z art. 18a ust. 6, ale bez uszczerbku dla art. 18 ust. 5 i art. 74b usuwa te dane do dnia 29 października 2022 r.

5. Jeżeli państwo członkowskie, EPPO lub Eurojust dostarczyły Europolowi dane osobowe nienależące do kategorii osób, których dane dotyczą, wymienionych w załączniku II, do dnia 28 czerwca 2022 r., mogą zwrócić się do Europolu, do dnia 29 września 2022 r., o przechowywanie tych danych i wyników przetwarzania tych danych przez Europol, gdy jest to niezbędne do zapewnienia prawdziwości, wiarygodności i identyfikowalności procesu wywiadu kryminalnego. Europol przechowuje dane osobowe nienależące do kategorii osób, których dane dotyczą, wymienionych w załączniku II, w sposób funkcjonalnie oddzielony od innych danych i przetwarza takie dane wyłącznie w celu zapewnienia prawdziwości, wiarygodności i identyfikowalności procesu wywiadu kryminalnego oraz tylko przez okres trwania postępowania sądowego związanego z postępowaniem przygotowawczym, w odniesieniu do którego dostarczono takie dane.

6. W przypadku gdy Europol otrzymał dane osobowe nienależące do kategorii osób, których dane dotyczą, wymienionych w załączniku II do dnia 28 czerwca 2022 r., Europol nie przechowuje tych danych do celów zapewnienia prawdziwości, wiarygodności i identyfikowalności procesu wywiadu kryminalnego, chyba że zwrócono się o to z wnioskiem zgodnie z ust. 5. W przypadku braku takiego wniosku Europol usuwa te dane osobowe do dnia 29 października 2022 r.

Artykuł 74b

Tymczasowe ustalenia dotyczące przetwarzania danych osobowych będących w posiadaniu Europolu

Bez uszczerbku dla art. 74a w przypadku danych osobowych, które Europol otrzymał do dnia 28 czerwca 2022 r., Europol ma możliwość zweryfikowania, czy te dane osobowe odnoszą się do jednej z kategorii osób, których dane dotyczą, określonych w załączniku II. W tym celu Europol ma możliwość przeprowadzenia wstępnej analizy tych danych osobowych przez okres do 18 miesięcy, od dnia otrzymania danych, lub w uzasadnionych przypadkach i po uzyskaniu uprzedniej zgody EIOD, przez dłuższy okres.

Całkowity okres przetwarzania danych, o których mowa w akapicie pierwszym, wynosi trzy lata od dnia otrzymania danych przez Europol.".

Artykuł 2

Niniejsze rozporządzenie wchodzi w życie następnego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich zgodnie z Traktatami.

Sporządzono w Strasburgu dnia 8 czerwca 2022 r.

W imieniu Parlamentu Europejskiego

Przewodnicząca

R. METSOLA

W imieniu Rady

Przewodniczący

C. BEAUNE


(1) Stanowisko Parlamentu Europejskiego z dnia 4 maja 2022 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 24 maja 2022 r.

(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz.U. L 135 z 24.5.2016, s. 53).

(3) Decyzja Rady 2008/617/WSiSW z dnia 23 czerwca 2008 r. w sprawie usprawnienia współpracy pomiędzy specjalnymi jednostkami interwencyjnymi państw członkowskich Unii Europejskiej w sytuacjach kryzysowych (Dz.U. L 210 z 6.8.2008, s. 73).

(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).

(5) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1).

(6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1986/2006 i decyzji Komisji 2010/261/UE (Dz.U. L 312 z 7.12.2018, s. 56).

(7) Rozporządzenie Rady (UE) nr 1053/2013 z dnia 7 października 2013 r. w sprawie ustanowienia mechanizmu oceny i monitorowania w celu weryfikacji stosowania dorobku Schengen oraz uchylenia decyzji komitetu wykonawczego z dnia 16 września 1998 r. dotyczącej utworzenia Stałego Komitetu ds. Oceny i Wprowadzania w Życie Dorobku Schengen (Dz.U. L 295 z 6.11.2013, s. 27).

(8) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/452 z dnia 19 marca 2019 r. ustanawiające ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii (Dz.U. L 79I z 21.3.2019, s. 1).

(9) Rozporządzenie Rady (UE) 2017/1939 z dnia 12 października 2017 r. wdrażające wzmocnioną współpracę w zakresie ustanowienia Prokuratury Europejskiej ("EPPO") (Dz.U. L 283 z 31.10.2017, s. 1).

(10) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

(11) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).

(12) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz.U. L 141 z 5.6.2015, s. 73).

(13) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/784 z dnia 29 kwietnia 2021 r. w sprawie przeciwdziałania rozpowszechnianiu w internecie treści o charakterze terrorystycznym (Dz.U. L 172 z 17.5.2021, s. 79).

(14) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

(15) Dz.U. C 143 z 23.4.2021, s. 6.

* Autentyczne są wyłącznie dokumenty UE opublikowane w formacie PDF w Dzienniku Urzędowym Unii Europejskiej.
Treść przypisu ZAMKNIJ close
Treść przypisu ZAMKNIJ close
close POTRZEBUJESZ POMOCY?
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00