Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 17 Φεβρουαρίου 2017 (OR. en) Διοργανικός φάκελος: 2016/0390 (NLE) 6355/17 SCH-EVAL 64 COMIX 127 ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΡΓΑΣΙΩΝ Αποστολέας: Γενική Γραμματεία του Συμβουλίου Με ημερομηνία: 17 Φεβρουαρίου 2017 Αποδέκτης: Αντιπροσωπίες αριθ. προηγ. εγγρ.: 5778/17 Θέμα: Εκτελεστική απόφαση του Συμβουλίου με σύσταση για την αντιμετώπιση των ελλείψεων που εντοπίστηκαν στην αξιολόγηση του 2016 σχετικά με την εφαρμογή από την Ιταλία του κεκτημένου του Σένγκεν στον τομέα της προστασίας των δεδομένων Στο Παράρτημα επισυνάπτεται για τις αντιπροσωπίες η εκτελεστική απόφαση του Συμβουλίου με σύσταση για την αντιμετώπιση των ελλείψεων που εντοπίστηκαν στην αξιολόγηση του 2016 σχετικά με την εφαρμογή από την Ιταλία του κεκτημένου του Σένγκεν στον τομέα της προστασίας των δεδομένων, όπως εγκρίθηκε από το Συμβούλιο κατά την 3518η σύνοδό του στις 17 Φεβρουαρίου 2017. Σύμφωνα με το άρθρο 15 παράγραφος 3 του κανονισμού (ΕΕ) αριθ. 1053/2013 του Συμβουλίου, της 7ης Οκτωβρίου 2013, η εν λόγω σύσταση θα διαβιβασθεί στο Ευρωπαϊκό Κοινοβούλιο και στα εθνικά κοινοβούλια. 6355/17 ΜΑΚ/ριτ 1 DG D 1 A EL
ΠΑΡΑΡΤΗΜΑ Εκτελεστική απόφαση του Συμβουλίου με ΣΥΣΤΑΣΗ για την αντιμετώπιση των ελλείψεων που εντοπίστηκαν στην αξιολόγηση του 2016 σχετικά με την εφαρμογή από την Ιταλία του κεκτημένου του Σένγκεν στον τομέα της προστασίας των δεδομένων ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 1053/2013 του Συμβουλίου, της 7ης Οκτωβρίου 2013, σχετικά με τη θέσπιση ενός μηχανισμού αξιολόγησης και παρακολούθησης για την επαλήθευση της εφαρμογής του κεκτημένου του Σένγκεν και την κατάργηση της απόφασης της εκτελεστικής επιτροπής της 16ης Σεπτεμβρίου 1998 σχετικά με τη σύσταση της μόνιμης επιτροπής για την αξιολόγηση και την εφαρμογή της σύμβασης Σένγκεν 1, και ιδίως το άρθρο 15, Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής, Εκτιμώντας τα ακόλουθα: 1) Σκοπός της παρούσας απόφασης με σύσταση είναι να συστήσει στην Ιταλία μέτρα αποκατάστασης για την κάλυψη των ελλείψεων που εντοπίστηκαν κατά την αξιολόγηση Σένγκεν στον τομέα της προστασίας των δεδομένων που διενεργήθηκε το 2016. Σε συνέχεια της αξιολόγησης, με την εκτελεστική απόφαση της Επιτροπής [C(2016)7202], εγκρίθηκε έκθεση η οποία καλύπτει τις διαπιστώσεις και τις εκτιμήσεις και στην οποία απαριθμούνται οι βέλτιστες πρακτικές και οι ελλείψεις που διαπιστώθηκαν κατά την αξιολόγηση. 1 ΕΕ L 295 της 6.11.2013, σ. 27. 6355/17 ΜΑΚ/ριτ 2
2) Ως ορθή πρακτική θεωρούνται, μεταξύ άλλων, η σειρά επίσημων οδηγιών (εγχειρίδιο) που εξέδωσε το Υπουργείο Εξωτερικών Υποθέσεων και Διεθνούς Συνεργασίας (στο εξής «ΥΠΕΞΔΣ») προς όλες τις προξενικές αρχές σχετικά με τις διαδικασίες για την επιλογή και τη διαχείριση της σχέσης με εξωτερικούς παρόχους υπηρεσιών και οι αυστηροί κανόνες που εφαρμόζει το Υπουργείο Εσωτερικών (στο εξής «ΥΠΕΣ») σχετικά με τη χορήγηση αδειών για την πρόσβαση στο Σύστημα Πληροφοριών Σένγκεν ΙΙ (στο εξής «SIS II»), απαιτώντας την ανανέωσή τους κάθε 60 ημέρες και την τακτική παρακολούθηση των εργασιών των τελικών χρηστών στο SIS ΙΙ ως προϋπόθεση για την ανανέωση των αδειών. 3) Ενόψει της σημασίας που έχει η συμμόρφωση με το κεκτημένο του Σένγκεν, ιδίως για τη διασφάλιση της νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του εθνικού VIS, θα πρέπει να δοθεί προτεραιότητα στην εφαρμογή της σύστασης με αριθμό 6. 4) Η παρούσα απόφαση με σύσταση θα πρέπει να διαβιβαστεί στο Ευρωπαϊκό Κοινοβούλιο και στα κοινοβούλια των κρατών μελών. Εντός τριών μηνών από την έκδοσή της, το αξιολογούμενο κράτος μέλος καταρτίζει, σύμφωνα με το άρθρο 16 παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 1053/2013, σχέδιο δράσης για την αποκατάσταση των ελλείψεων που εντοπίστηκαν στην έκθεση αξιολόγησης και το υποβάλλει στην Επιτροπή και το Συμβούλιο, ΣΥΝΙΣΤΑ: ότι η Ιταλία θα πρέπει Εποπτική αρχή προστασίας των δεδομένων 1. προκειμένου να διασφαλιστεί η πλήρης ανεξαρτησία της Ιταλικής Αρχής Προστασίας των Δεδομένων (στο εξής «ΑΠΔ»), να μεταρρυθμίσει τις εθνικές διατάξεις σχετικά με τη διαδικασία του προϋπολογισμού, έτσι ώστε να συμμετέχει και πάλι η ΑΠΔ στην κατάρτιση της πρότασης για τον προϋπολογισμό της, προτού διαβιβαστεί η πρόταση γενικού προϋπολογισμού του κράτους στο Κοινοβούλιο προς συζήτηση και έγκριση θα πρέπει ιδίως να προβλεφθεί ότι η ΑΠΔ δύναται να συμβάλλει απευθείας στη διαμόρφωση της πρότασης για το κονδύλιο που προβλέπεται στον νόμο περί σταθερότητας, η οποία υπάγεται επί του παρόντος στην αποκλειστική αρμοδιότητα της κυβέρνησης 6355/17 ΜΑΚ/ριτ 3
2. να χορηγεί επαρκείς χρηματοδοτικούς και ανθρώπινους πόρους στην ΑΠΔ, προκειμένου να είναι σε θέση να εκπληρώνει τα καθήκοντα που της ανατίθενται στο πλαίσιο του κεκτημένου για το Σύστημα Πληροφοριών Σένγκεν II («SIS II») και το Σύστημα Πληροφοριών για τις Θεωρήσεις («VIS») 3. να διασφαλίζει ότι η ΑΠΔ εποπτεύει μέσω επιθεωρήσεων τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του SIS II, περιλαμβανομένου του ελέγχου των αρχείων καταγραφής, σε πιο τακτική βάση 4. να διασφαλίζει ότι, τουλάχιστον ανά τετραετία, θα διενεργούνται έλεγχοι των πράξεων επεξεργασίας δεδομένων που επιτελούνται στο πλαίσιο του εθνικού τμήματος του Συστήματος Πληροφοριών Σένγκεν («N.SIS»), είτε από την ίδια την ΑΠΔ είτε από ανεξάρτητο ελεγκτή για την προστασία των δεδομένων στον οποίο η ΑΠΔ θα έχει απευθείας αναθέσει τη διενέργεια ελέγχου ο ελεγκτής πρέπει να παραμένει υπό τον έλεγχο και την αρμοδιότητα της ΑΠΔ, η οποία, ως εκ τούτου, πρέπει να παρέχει σαφώς καθορισμένο σκοπό, το πεδίο διεξαγωγής και τη μεθοδολογία του ελέγχου, καθώς και καθοδήγηση και εποπτεία για τον έλεγχο και τα τελικά του αποτελέσματα 5. να διασφαλίζει ότι η ΑΠΔ εποπτεύει τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του VIS, περιλαμβανομένου του ελέγχου των αρχείων καταγραφής, σε πιο τακτική βάση 6. να διασφαλίζει ότι, τουλάχιστον ανά τετραετία, θα διενεργούνται έλεγχοι των πράξεων επεξεργασίας δεδομένων που επιτελούνται στο πλαίσιο του εθνικού συστήματος του VIS, είτε από την ΑΠΔ είτε από ανεξάρτητο ελεγκτή για την προστασία των δεδομένων στον οποίο η ΑΠΔ θα έχει απευθείας αναθέσει τη διενέργεια ελέγχου ο ελεγκτής πρέπει να παραμένει υπό τον έλεγχο και την αρμοδιότητα της ΑΠΔ, η οποία, ως εκ τούτου, πρέπει να παρέχει σαφώς καθορισμένο σκοπό, το πεδίο διεξαγωγής και τη μεθοδολογία του ελέγχου, καθώς και καθοδήγηση και εποπτεία για τον έλεγχο και τα τελικά του αποτελέσματα δεδομένου ότι η προθεσμία για τη διενέργεια του πρώτου ελέγχου (Οκτώβριος 2015) παρήλθε άπρακτη, θα πρέπει να ληφθούν μέτρα για την εκπλήρωση της εν λόγω υποχρέωσης της ΑΠΔ το ταχύτερο δυνατό Δικαιώματα των υποκειμένων των δεδομένων 7. να παρέχει πληροφορίες σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά το SIS II στον δικτυακό τόπο του Υπουργείου Εσωτερικών (στο εξής «ΥΠΕΣ») και της Εθνικής Αστυνομίας (Polizia di Stato) και σε άλλες γλώσσες, ιδίως στην αγγλική γλώσσα 8. να παρέχει ειδικά υποδείγματα επιστολών για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων όσον αφορά το SIS II 6355/17 ΜΑΚ/ριτ 4
9. να παρέχει σαφείς πληροφορίες στον δικτυακό τόπο της ΑΠΔ ότι οι καταγγελίες σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά το SIS II είναι δωρεάν 10. να διασφαλίζει ότι οι απαντήσεις στα αιτήματα των υποκειμένων των δεδομένων μπορούν να παρέχονται και σε άλλες γλώσσες, ιδίως στην αγγλική 11. να διασφαλίζει ότι οι επιστολές απάντησης του ΥΠΕΣ όσον αφορά τις καταχωρίσεις που πραγματοποιούν οι ιταλικές αρχές περιέχουν πληροφορίες για τη δυνατότητα άσκησης προσφυγής και το δικαίωμα υποβολής καταγγελίας στην ΑΠΔ 12. να παρέχουν ειδικά υποδείγματα επιστολών για την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που σχετίζονται με το VIS 13. να διασφαλίζει ότι το τυποποιημένο έντυπο αίτησης θεώρησης που χρησιμοποιείται στα εξωτερικά σύνορα ορίζει το ΥΠΕΣ ως υπεύθυνο επεξεργασίας των δεδομένων της αίτησης Ι- VIS (Αίτηση Εσωτερικών Υποθέσεων VIS) 14. να παρέχει πληροφορίες σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων όσον αφορά το VIS στον δικτυακό τόπο του ΥΠΕΣ και της Εθνικής Αστυνομίας 15. να εξετάσει το ενδεχόμενο καθιέρωσης της δωρεάν υποβολής καταγγελιών στην ΑΠΔ όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων αναφορικά με το VIS, ώστε να μην αποθαρρύνονται οι αιτούντες να ασκούν το δικαίωμα καταγγελίας τους στην ΑΠΔ σε κάθε περίπτωση, να διευκολύνει περισσότερο την πρόσβαση στις πληροφορίες σχετικά με την απαλλαγή από τα τέλη στον δικτυακό τόπο της ΑΠΔ Σύστημα Πληροφοριών για τις Θεωρήσεις (VIS) 16. να εξασφαλίζει επαρκές επίπεδο προστασίας των πληροφοριών, περιορίζοντας ή εξαλείφοντας τον αριθμό των σταθμών εργασίας με εξ αποστάσεως πρόσβαση στους εξυπηρετητές που βρίσκονται στο ΥΠΕΞΔΣ εάν οι εν λόγω σταθμοί εργασίας συνεχίσουν να χρησιμοποιούνται, θα πρέπει να εξοπλιστούν με τα ίδια συστήματα προστασίας με τις εγκαταστάσεις των εξυπηρετητών 17. να εξασφαλίζει ότι το αντίγραφο ασφαλείας του VIS δεν βρίσκεται στην ίδια αίθουσα με το λειτουργικό σύστημα, αλλά εκτός των εγκαταστάσεων 18. να θεσπίσει διαδικασία για την τακτική και συστηματική ανάλυση των αρχείων καταγραφής, για την ανίχνευση τυχόν καταχρήσεων στο σύστημα VIS 6355/17 ΜΑΚ/ριτ 5
19. να μεριμνήσει ώστε το ΥΠΕΞΔΣ να θεσπίσει διαδικασία για την εξασφάλιση τακτικής επανεξέτασης των αδειών πρόσβασης που παρέχονται στους χρήστες του N-VIS (αιτήσεις του κεντρικού εθνικού VIS), του L-VIS (τοπικές αιτήσεις θεώρησης) και της πλατφόρμας εξωτερικής ανάθεσης, συμπεριλαμβανομένης της απενεργοποίησής τους, εάν αυτό κρίνεται απαραίτητο 20. να εξασφαλίζει ότι η χρήση των τοπικών προειδοποιητικών καταλόγων (για άτομα που κινδυνεύουν να μη λάβουν θεώρηση) που διατηρούν τα προξενεία συμμορφώνεται πλήρως με τη νομοθεσία της ΕΕ για την προστασία των δεδομένων, όπως εφαρμόζεται από την ιταλική νομοθεσία για την προστασία των δεδομένων το ΥΠΕΞΔΣ θα πρέπει να συμβουλεύεται την ΑΠΔ σχετικά με το θέμα αυτό 21. να μεριμνήσει ώστε το ΥΠΕΞΔΣ να εγκρίνει το συντομότερο δυνατόν ένα σχέδιο ασφάλειας που θα καλύπτει επίσης την ασφάλεια των δεδομένων στο εθνικό σύστημα πληροφοριών για τις θεωρήσεις Σύστημα Πληροφοριών Σένγκεν II 22. να μεριμνήσει ώστε να ξεκινήσει το συντομότερο δυνατόν η λειτουργία του χωριστού τόπου αποκατάστασης σε περίπτωση καταστροφής στο Μπάρι 23. να εξασφαλίσει ότι το αντίγραφο ασφαλείας των αρχείων καταγραφής του N.SIS θα παραμένει εκτός του χώρου των εγκαταστάσεων, σε διαφορετική γεωγραφική τοποθεσία 24. να εγκαταστήσει ενότητες λογισμικού για την πραγματική ανάλυση των αρχείων καταγραφής του SIS II προς ανίχνευση τυχόν καταχρήσεων Ευαισθητοποίηση του κοινού 25. να μεριμνήσει ώστε να γίνει ευκολότερη η εξεύρεση των πληροφοριών στην ιταλική γλώσσα στον δικτυακό τόπο της ΑΠΔ όσον αφορά το VIS και το SIS II και τα συναφή δικαιώματα των υποκειμένων των δεδομένων στον δικτυακό τόπο της ΑΠΔ θα πρέπει να παρέχονται γενικές πληροφορίες σχετικά με το SIS II και, επιπλέον, θα πρέπει να γίνει πιο ευδιάκριτος ο ιστοσύνδεσμος στο ιταλικό κείμενο της περίληψης του οδηγού πρόσβασης στο SIS II (ο οποίος δημιουργήθηκε από τη συντονιστική ομάδα για την εποπτεία του SIS II) 26. να εξασφαλίσει ότι στην ΑΠΔ, στα αστυνομικά τμήματα και σε λιμένες και αερολιμένες διατίθεται έντυπο ενημερωτικό υλικό (π.χ. φυλλάδια) για το SIS II και το VIS και για τα δικαιώματα των υποκειμένων των δεδομένων 6355/17 ΜΑΚ/ριτ 6
27. να εξασφαλίσει ότι οι πληροφορίες σχετικά με το SIS II και τη διαδικασία έκδοσης θεώρησης στον δικτυακό τόπο του Υπουργείου Εσωτερικών παρέχονται όχι μόνον στην ιταλική γλώσσα, αλλά και σε άλλες γλώσσες, ιδίως στην αγγλική. Βρυξέλλες, Για το Συμβούλιο Ο Πρόεδρος 6355/17 ΜΑΚ/ριτ 7