Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 25 Απριλίου 2017 (OR. en) Διοργανικός φάκελος: 2017/0052 (NLE) 8465/17 SCH-EVAL 124 COMIX 295 ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΡΓΑΣΙΩΝ Αποστολέας: Γενική Γραμματεία του Συμβουλίου Με ημερομηνία: 25 Απριλίου 2017 Αποδέκτης: Αντιπροσωπίες αριθ. προηγ. εγγρ.: 8047/17 Θέμα: Εκτελεστική απόφαση με σύσταση για την αντιμετώπιση των ελλείψεων που εντοπίστηκαν κατά την αξιολόγηση του 2015 σχετικά με την εφαρμογή από τη Γερμανία του κεκτημένου του Σένγκεν στον τομέα της προστασίας των δεδομένων Διαβιβάζεται συνημμένως στις αντιπροσωπίες η εκτελεστική απόφαση του Συμβουλίου με σύσταση για την κάλυψη των ελλείψεων που εντοπίστηκαν κατά τη διενεργηθείσα το 2015 αξιολόγηση της Γερμανίας όσον αφορά την εφαρμογή του κεκτημένου του Σένγκεν στον τομέα της προστασίας των δεδομένων, η οποίο εκδόθηκε από το Συμβούλιο κατά την 3531η σύνοδό του, στις 25 Απριλίου 2017. Σύμφωνα με το άρθρο 15 παράγραφος 3 του κανονισμού (ΕΕ) αριθ. 1053/2013 του Συμβουλίου της 7ης Οκτωβρίου 2013, η παρούσα σύσταση θα διαβιβαστεί στο Ευρωπαϊκό Κοινοβούλιο και στα εθνικά κοινοβούλια. 8465/17 KK/μκ 1 DG D 1 A EL
ΠΑΡΑΡΤΗΜΑ Εκτελεστική απόφαση του Συμβουλίου με ΣΥΣΤΑΣΗ για την κάλυψη των ελλείψεων που εντοπίστηκαν κατά τη διενεργηθείσα το 2015 αξιολόγηση της Γερμανίας όσον αφορά την εφαρμογή του κεκτημένου του Σένγκεν στον τομέα της προστασίας των δεδομένων ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 1053/2013 του Συμβουλίου, της 7ης Οκτωβρίου 2013, σχετικά με τη θέσπιση ενός μηχανισμού αξιολόγησης και παρακολούθησης για την επαλήθευση της εφαρμογής του κεκτημένου του Σένγκεν και την κατάργηση της απόφασης της εκτελεστικής επιτροπής της 16ης Σεπτεμβρίου 1998 σχετικά με τη σύσταση της μόνιμης επιτροπής για την αξιολόγηση και την εφαρμογή της σύμβασης Σένγκεν 1, και ιδίως το άρθρο 15, Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής, Εκτιμώντας τα ακόλουθα: (1) Σκοπός της παρούσας απόφασης με σύσταση είναι να συστήσει στην Ομοσπονδιακή Δημοκρατία της Γερμανίας μέτρα αποκατάστασης για την κάλυψη των ελλείψεων που εντοπίστηκαν κατά την αξιολόγηση Σένγκεν που διενεργήθηκε το 2015 στον τομέα της προστασίας των δεδομένων. Σε συνέχεια της αξιολόγησης, με την εκτελεστική απόφαση C(2017)1081 της Επιτροπής εγκρίθηκε έκθεση η οποία καλύπτει τις διαπιστώσεις και τις εκτιμήσεις και στην οποία απαριθμούνται οι βέλτιστες πρακτικές και οι ελλείψεις που εντοπίστηκαν κατά την αξιολόγηση. 1 ΕΕ L 295 της 6.11.2013, σ. 27. 8465/17 KK/μκ 2
(2) Τα ακόλουθα θεωρούνται ως βέλτιστη πρακτική: η ύπαρξη νομοθεσίας βάσει της οποίας απαιτείται «εντολή δημιουργίας αρχείου» (Errichtungsanordnung) για κάθε αυτοματοποιημένο αρχείο προσωπικών δεδομένων, σύμφωνα με το άρθρο 34 του νόμου για την Ομοσπονδιακή Αστυνομία Δίωξης του Εγκλήματος και τη συνεργασία μεταξύ της ομοσπονδιακής κυβέρνησης και των ομόσπονδων κρατών στον τομέα της αστυνομίας δίωξης του εγκλήματος (BKAG) και σύμφωνα με τους νόμους ορισμένων ομόσπονδων κρατών (στο εξής «Länder») για την προστασία των δεδομένων της αστυνομίας, με απαιτήσεις για έγκριση και υποχρεωτική γνωμοδότηση από τον Ομοσπονδιακό Επίτροπο για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης, όπως προβλέπεται στην εφαρμοστέα νομοθεσία ο υποχρεωτικός διορισμός υπευθύνου προστασίας δεδομένων στην Ομοσπονδιακή Αστυνομία Δίωξης του Εγκλήματος, στην ομοσπονδιακή αστυνομία και στις αστυνομικές δυνάμεις των Länder η δυνατότητα των υποκειμένων των δεδομένων να υποβάλλουν δωρεάν πολλαπλές αιτήσεις για πρόσβαση στα δεδομένα οι πρακτικές αυτοελέγχου και η επανεξέταση της επεξεργασίας των δεδομένων και των μέτρων ασφάλειας που λαμβάνονται από το Ομοσπονδιακό Γραφείο Διοίκησης και το Ομοσπονδιακό Υπουργείο Εξωτερικών σύμφωνα με το νομικό πλαίσιο του Συστήματος Πληροφοριών για τις Θεωρήσεις (VIS) και οι εσωτερικές διαδικασίες που εφαρμόζει η Ομοσπονδιακή Αστυνομία Δίωξης του Εγκλήματος (Bundeskriminalamt) για να εξασφαλίζεται η συμμόρφωση των συστημάτων πληροφοριών για την ασφάλεια με τις σχετικές τεχνικές προδιαγραφές. (3) Λαμβανομένης υπόψη της σημασίας που έχει η συμμόρφωση με το κεκτημένο του Σένγκεν, ιδίως όσον αφορά τις δραστηριότητες εποπτείας των αρμόδιων εποπτικών αρχών προστασίας των δεδομένων και των αρχών επεξεργασίας των δεδομένων, θα πρέπει να δοθεί προτεραιότητα στην υλοποίηση των συστάσεων 1 4 και 8-13. (4) Η παρούσα απόφαση με σύσταση θα πρέπει να διαβιβαστεί στο Ευρωπαϊκό Κοινοβούλιο και στα κοινοβούλια των κρατών μελών. Εντός τριών μηνών από την έκδοσή της, το αξιολογούμενο κράτος μέλος καταρτίζει, δυνάμει του άρθρου 16 παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 1053/2013, σχέδιο δράσης για την αποκατάσταση των ελλείψεων που εντοπίστηκαν στην έκθεση αξιολόγησης και το υποβάλλει στην Επιτροπή και το Συμβούλιο. 8465/17 KK/μκ 3
ΣΥΝΙΣΤΑ: στη Γερμανία Δραστηριότητες εποπτείας του Ομοσπονδιακού Επιτρόπου για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης και των εποπτικών αρχών προστασίας δεδομένων των Länder 1. να εφαρμόζει σύστημα εποπτείας και παρακολούθησης των δραστηριοτήτων του συστήματος πληροφοριών Σένγκεν δεύτερης γενιάς (εφεξής SIS II) που θα ασκούνται από τον Ομοσπονδιακό Επίτροπο για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης και να παρέχει αποδεικτικά στοιχεία σχετικά με τις εν λόγω δραστηριότητες 2. να εφαρμόζει σύστημα εποπτείας παρακολούθησης των δραστηριοτήτων του SIS II που θα ασκούνται από τις εποπτικές αρχές προστασίας δεδομένων των Länder και να παρέχει αποδεικτικά στοιχεία σχετικά με τις εν λόγω δραστηριότητες 3. να εφαρμόζει σύστημα εποπτείας και παρακολούθησης των δραστηριοτήτων του VIS που θα ασκούνται από τον Ομοσπονδιακό Επίτροπο για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης και να παρέχει αποδεικτικά στοιχεία σχετικά με τις εν λόγω δραστηριότητες 4. να διασφαλίζει ότι διενεργούνται, τουλάχιστον ανά τετραετία, έλεγχοι των δραστηριοτήτων επεξεργασίας δεδομένων στο εθνικό της VIS, σύμφωνα με τα διεθνή ελεγκτικά πρότυπα που έχουν θεσπιστεί στα πλαίσια του εφαρμοστέου νομικού πλαισίου για το VIS και να παρέχει αποδεικτικά στοιχεία σχετικά με τους εν λόγω ελέγχους Δικαιώματα πρόσβασης 5. να θεσπίσει τις απαιτούμενες νομικές διατάξεις για τη διασφάλιση διαφάνειας για τους ιδιώτες, ιδίως όσον αφορά το δικαίωμά τους να ενημερώνονται για τις αιτήσεις που υποβάλουν για πρόσβαση, το αργότερο 60 ημέρες από την ημερομηνία κατά την οποία υποβλήθηκε η αίτηση πρόσβασης, και σχετικά με τη δυνατότητα άσκησης δικαστικής προσφυγής σε όλες τις περιπτώσεις στις οποίες οι σχετικές πληροφορίες δεν έχουν δοθεί μετά από 60 ημέρες 8465/17 KK/μκ 4
Σύστημα πληροφοριών για τις θεωρήσεις και σύστημα πληροφοριών Σένγκεν 6. να εξασφαλίζει και να παρέχει στοιχεία που να αποδεικνύουν ότι οι αιτούντες θεώρηση ενημερώνονται σχετικά με την επεξεργασία και την προστασία των προσωπικών δεδομένων τους πριν από την καταχώριση των προσωπικών τους δεδομένων στην αίτηση θεώρησης, όταν χρησιμοποιούν τα διαθέσιμα ηλεκτρονικά έντυπα 7. να προσδιορίσει και να επισημοποιήσει τη σχέση μεταξύ του Ομοσπονδιακού Υπουργείου Εξωτερικών και του Ομοσπονδιακού Γραφείου Διοίκησης όσον αφορά τους ρόλους του «υπεύθυνου επεξεργασίας δεδομένων», του «εκτελούντος την επεξεργασία» και των «από κοινού υπευθύνων επεξεργασίας» σε σχέση με το εθνικό σκέλος του συστήματος VIS 8. να παρέχει στοιχεία που να αποδεικνύουν ότι το Ομοσπονδιακό Υπουργείο Εξωτερικών διενεργεί τακτικούς ελέγχους σχετικά με το περιεχόμενο των αρχείων στα οποία καταγράφεται η χρήση του SIS II για την διεκπεραίωση αιτήσεων θεώρησης 9. να απαιτεί από όλες τις δημόσιες αρχές που έχουν πρόσβαση στο εθνικό σύστημα πληροφοριών Σένγκεν (Ν.SIS II) να θέσουν σε εφαρμογή σχέδια για μελλοντικούς ελέγχους της νομιμότητας της επεξεργασίας των δεδομένων 10. να θέσει σε εφαρμογή σύστημα για τη διασφάλιση της ακρίβειας και της πληρότητας των αρχείων καταγραφής του Ν.SIS σύμφωνα με το εφαρμοστέο νομικό πλαίσιο (ακεραιότητα των δεδομένων) 11. να εφαρμόσει τις συστάσεις του 2009 και να ενισχύσει τον μηχανισμό ελέγχου της ταυτότητας στο πλαίσιο του SIS II, κατά προτίμηση με την εφαρμογή ενός συστήματος ελέγχου ταυτότητας δύο παραγόντων 12. να επανεξετάσει τα δικαιώματα πρόσβασης στο SIS II που χορηγούνται σε όλους τους χρήστες του εθνικού συστήματος αστυνομικών πληροφοριών (INPOL) και να εξασφαλίσει ότι τα προφίλ των χρηστών καθορίζονται αυστηρά ανάλογα με την ανάγκη τους για πρόσβαση 13. να θέσει σε εφαρμογή ένα σύστημα σύμφωνα με το οποίο ο Ομοσπονδιακός Επίτροπος για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης ενημερώνεται για οποιαδήποτε παραβίαση προσωπικών δεδομένων του N.SIS II 14. να επανεξετάσει την ενσωμάτωση εξωτερικών στοιχείων στην επεξεργασία μηνυμάτων, ώστε να εξασφαλίσει την πλήρη συμμόρφωση με τους κανόνες διατήρησης δεδομένων σε όλα τα στάδια της διαδικασίας ανταλλαγής πληροφοριών στο πλαίσιο του SIRENE 15. να υποβάλει χρονοδιάγραμμα για την Ομοσπονδιακή Αστυνομία Δίωξης του Εγκλήματος, ως υπεύθυνο επεξεργασίας δεδομένων του SIS II, προκειμένου να εξασφαλίζει ότι τα αρχεία καταγραφής στα οποία καταχωρίζονται οι προσβάσεις όλων των αρχών με δικαίωμα πρόσβασης στο SIS II πληρούν τις απαιτήσεις του άρθρου 12 παράγραφος 3 του κανονισμού και της απόφασης για το SIS II 8465/17 KK/μκ 5
Ευαισθητοποίηση 16. να επικαιροποιεί τα στοιχεία των φυσικών προσώπων που ασκούν το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επεξεργασίας των δεδομένων στο SIS II στους δικτυακούς τόπους του Ομοσπονδιακού Επιτρόπου για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης, της Ομοσπονδιακής Αστυνομίας Δίωξης του Εγκλήματος, του Ομοσπονδιακού Υπουργείου Εσωτερικών, του Ομοσπονδιακού Γραφείου Διοίκησης και του Ομοσπονδιακού Υπουργείου Εξωτερικών. Βρυξέλλες, Για το Συμβούλιο Ο Πρόεδρος 8465/17 KK/μκ 6