Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 14 Μαΐου 2018 (OR. en)

Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 14 Μαΐου 2018 (OR. en) Διοργανικός φάκελος: 2018/0051 (NLE) 8792/18 SCH-EVAL 102 COMIX 244 ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΡΓΑΣΙΩΝ Αποστολέας: Με ημερομηνία: 14 Μαΐου 2018 Αποδέκτης: Γενική Γραμματεία του Συμβουλίου Αντιπροσωπίες αριθ. προηγ. εγγρ.: 8285/18 Θέμα: Εκτελεστική απόφαση του Συμβουλίου με σύσταση για την αντιμετώπιση των ελλείψεων που εντοπίστηκαν στην αξιολόγηση του 2017 όσον αφορά την εφαρμογή του κεκτημένου του Σένγκεν από την Πορτογαλία στον τομέα της προστασίας των δεδομένων Επισυνάπτεται για τις αντιπροσωπίες η εκτελεστική απόφαση του Συμβουλίου με σύσταση για την κάλυψη των ελλείψεων που εντοπίστηκαν κατά τη διενεργηθείσα το 2017 αξιολόγηση της Πορτογαλίας όσον αφορά την εφαρμογή του κεκτημένου του Σένγκεν στον τομέα της προστασίας των δεδομένων, η οποία εκδόθηκε από το Συμβούλιο κατά τη σύνοδό του στις 14 Μαΐου 2018. Σύμφωνα με το άρθρο 15 παράγραφος 3 του κανονισμού (ΕΕ) αριθ. 1053/2013 του Συμβουλίου της 7ης Οκτωβρίου 2013, η σύσταση θα διαβιβασθεί στο Ευρωπαϊκό Κοινοβούλιο και στα εθνικά κοινοβούλια. 8792/18 1 DG D EL

ΠΑΡΑΡΤΗΜΑ Εκτελεστική απόφαση του Συμβουλίου με ΣΥΣΤΑΣΗ για την αντιμετώπιση των ελλείψεων που εντοπίστηκαν στην αξιολόγηση του 2017 όσον αφορά την εφαρμογή του κεκτημένου του Σένγκεν από την Πορτογαλία στον τομέα της προστασίας των δεδομένων ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 1053/2013 του Συμβουλίου, της 7ης Οκτωβρίου 2013, σχετικά με τη θέσπιση ενός μηχανισμού αξιολόγησης και παρακολούθησης για την επαλήθευση της εφαρμογής του κεκτημένου του Σένγκεν και την κατάργηση της απόφασης της εκτελεστικής επιτροπής της 16ης Σεπτεμβρίου 1998 σχετικά με τη σύσταση της μόνιμης επιτροπής για την αξιολόγηση και την εφαρμογή της σύμβασης Σένγκεν 1, και ιδίως το άρθρο 15, Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής, Εκτιμώντας τα ακόλουθα: 1) Σκοπός της παρούσας απόφασης είναι να συστήσει στην Πορτογαλία μέτρα αποκατάστασης για την αντιμετώπιση των ελλείψεων που εντοπίστηκαν κατά την αξιολόγηση Σένγκεν που διενεργήθηκε το 2017 στον τομέα της προστασίας των δεδομένων. Μετά την αξιολόγηση, με την εκτελεστική απόφαση [C(2018) 1190] της Επιτροπής, εγκρίθηκε έκθεση η οποία καλύπτει τις διαπιστώσεις και τις εκτιμήσεις και καταγράφει τις βέλτιστες πρακτικές και τις ελλείψεις που διαπιστώθηκαν κατά την αξιολόγηση. 2) Η επιτόπια ομάδα εξέφρασε την ικανοποίησή της για τη συνεχή επένδυση της Αρχής Προστασίας Δεδομένων στην κατάρτιση του τεχνικού προσωπικού, ως καλή πρακτική. 1 ΕΕ L 295 της 6.11.2013, σ. 27. 8792/18 2

3) Λαμβανομένης υπόψη της σημασίας που έχει η συμμόρφωση με το κεκτημένο του Σένγκεν, και ιδίως με την υποχρέωση να διασφαλίζεται και να διενεργείται αποτελεσματική εποπτεία και να εξασφαλίζεται η λήψη των αναγκαίων μέτρων ασφαλείας, θα πρέπει να δοθεί προτεραιότητα στην εφαρμογή των συστάσεων 1, 4, 14, 17 και 22 κατωτέρω. 4) Η παρούσα απόφαση θα πρέπει να διαβιβαστεί στο Ευρωπαϊκό Κοινοβούλιο και στα κοινοβούλια των κρατών μελών. Εντός τριών μηνών από την έκδοση της παρούσας απόφασης, η Πορτογαλία, σύμφωνα με το άρθρο 16 παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 1053/2013, θα πρέπει να θεσπίσει σχέδιο δράσης προς αποκατάσταση των ελλείψεων που επισημάνθηκαν στην έκθεση αξιολόγησης και να το υποβάλει στην Επιτροπή και το Συμβούλιο, ΣΥΝΙΣΤΑ: η Πορτογαλία θα πρέπει να μεριμνήσει για τα εξής: Εποπτική αρχή προστασίας των δεδομένων 1. διάθεση επαρκών χρηματοδοτικών και ανθρώπινων πόρων στην Αρχή Προστασίας Δεδομένων (στο εξής: «ΑΠΔ»), προκειμένου να είναι σε θέση να εκπληρώνει όλα τα καθήκοντα που της έχουν ανατεθεί στο πλαίσιο του κεκτημένου του Συστήματος Πληροφοριών Σένγκεν II (στο εξής: «SIS II») και του Συστήματος Πληροφοριών για τις Θεωρήσεις (στο εξής: «VIS»), λαμβανομένων επίσης υπόψη των αυξημένων αρμοδιοτήτων της στο μέλλον 2. για να διασφαλιστεί αποτελεσματικότερα η πλήρης ανεξαρτησία της ΑΠΔ, χορήγηση οικονομικής αυτονομίας στην ΑΠΔ για την εκτέλεση του ετήσιου προϋπολογισμού της και αυτονομίας όσον αφορά την πρόσληψη του προσωπικού της, τουλάχιστον μέσω της εναρμόνισης των αντίστοιχων κανόνων με τους κανόνες που ισχύουν για άλλες ανεξάρτητες αρχές στην Πορτογαλία 3. διασφάλιση ότι η ΑΠΔ ολοκληρώνει χωρίς καθυστέρηση τη διαδικασία έγκρισης των εκθέσεων μετά την επιθεώρηση που αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του SIS II 4. διασφάλιση ότι η ΑΠΔ ολοκληρώνει τον έλεγχο του VIS χωρίς καθυστέρηση 8792/18 3

Δικαιώματα των υποκειμένων των δεδομένων 5. διασφάλιση ότι τα υποκείμενα των δεδομένων ενημερώνονται για τα δικαιώματά τους όσον αφορά το SIS II στον ιστότοπο της υπηρεσίας Serviço de Estrangeiros e Fronteiras (Υπηρεσία Συνόρων και Μετανάστευσης, στο εξής: «SEF») 6. διασφάλιση ότι τα υποκείμενα των δεδομένων, κατόπιν αιτήματός τους για πρόσβαση στα προσωπικά τους δεδομένα, ενημερώνονται σχετικά με τις κατηγορίες των δεδομένων που υποβάλλονται σε επεξεργασία στο SIS II 7. διασφάλιση ότι παρέχονται στα υποκείμενα των δεδομένων σαφείς πληροφορίες όσον αφορά την ταυτότητα του υπεύθυνου για την επεξεργασία των προσωπικών τους δεδομένων στο πλαίσιο της έκδοσης θεωρήσεων Σένγκεν Σύστημα Πληροφοριών για τις Θεωρήσεις 8. διευκρίνιση της κατάστασης σχετικά με την ευθύνη της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του Ν.VIS [συμπεριλαμβανομένων των εφαρμογών που χρησιμοποιούνται τόσο από Υπουργείο Εξωτερικών («ΥΠΕΞ») όσο και από τη SEF και τα σχετικά κέντρα δεδομένων], ιδίως με την αποσαφήνιση του ρόλου του ΥΠΕΞ και της κατανομής των αρμοδιοτήτων που σχετίζονται με εργασίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα μεταξύ της SEF και του ΥΠΕΞ 9. διασφάλιση ότι το ΥΠΕΞ διεξάγει συστηματικά εποπτικές δραστηριότητες που επιτρέπουν την ουσιαστική αξιολόγηση των πτυχών που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τον εξωτερικό πάροχο υπηρεσιών (εφεξής «ΕΠΥ»). Στο πλαίσιο αυτό, η Πορτογαλία ενθαρρύνεται να διευρύνει το ερωτηματολόγιο που αποστέλλει το ΥΠΕΞ στους εξωτερικούς παρόχους υπηρεσιών, προκειμένου να καλυφθούν λεπτομερέστερα οι πτυχές προστασίας των δεδομένων και να ενισχυθούν οι εποπτικές δραστηριότητες του ΥΠΕΞ που αφορούν τις ενέργειες προστασίας δεδομένων που πραγματοποιούνται από τον ΕΠΥ και τον υπεργολάβο, ανάλογα με την περίπτωση 10. πρόβλεψη διαδικασίας που επιτρέπει την επαλήθευση των αποτελεσμάτων αναζήτησης στο SIS II κατά τη διάρκεια της διαδικασίας χορήγησης θεωρήσεων 11. διασφάλιση ότι οι κωδικοί πρόσβασης όλων των χρηστών του Ν.VIS είναι κρυπτογραφημένοι 12. διασφάλιση ότι η SEF και το ΥΠΕΞ αναλύουν τα αρχεία καταγραφής σε τακτική βάση, για να εξασφαλίσουν την παρακολούθηση της προστασίας των δεδομένων 8792/18 4

13. διασφάλιση ότι το ΥΠΕΞ διενεργεί σε τακτική βάση την αυτοπαρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο RPV και στο σχετικό κέντρο δεδομένων 14. διασφάλιση ότι το ΥΠΕΞ εγκρίνει χωρίς καθυστέρηση σχέδιο ασφαλείας για το RPV και το σχετικό κέντρο δεδομένων 15. πλήρης εφαρμογή της απόφασης 2008/633/ΔΕΥ του Συμβουλίου, της 23ης Ιουνίου 2008, σχετικά με την πρόσβαση στο Σύστημα Πληροφοριών για τις Θεωρήσεις (VIS) των εντεταλμένων αρχών των κρατών μελών καθώς και της Ευρωπόλ, προς αναζήτηση δεδομένων για την πρόληψη, εξακρίβωση και διερεύνηση τρομοκρατικών πράξεων και άλλων σοβαρών αξιόποινων πράξεων, και εξασφάλιση ότι η πρόσβαση στα δεδομένα Ν.VIS τηρεί τις απαιτήσεις και τη διαδικασία που καθορίζονται στην απόφαση αυτή 16. διασφάλιση ότι ο ΕΠΥ διαγράφει τα προσωπικά δεδομένα των αιτούντων τα οποία αποθηκεύει στα συστήματά του μέσα στις προθεσμίες του παραρτήματος Χ μέρος Α στοιχείο δ) του κώδικα θεωρήσεων, που απαιτεί τη διαγραφή των εν λόγω δεδομένων αμέσως μετά τη διαβίβασή τους στο προξενείο Σύστημα πληροφοριών Σένγκεν II 17. πρόβλεψη πλήρους εφεδρικού ιστοτόπου για το N.SIS II, ο οποίος θα παρέχει πλήρεις λειτουργίες, συμπεριλαμβανομένης της σύνδεσης με την επικοινωνιακή υποδομή s-testa 18. αποσαφήνιση των αρμοδιοτήτων των μερών που εμπλέκονται στην επεξεργασία δεδομένων N.SIS II, δηλαδή του υπεύθυνου επεξεργασίας δεδομένων και των αρχών που έχουν πρόσβαση στο SIS.II (αρχές-χρήστες) σε ό,τι αφορά την ασφάλεια ΤΠ, τον έλεγχο και την αυτοπαρακολούθηση, π.χ. με τη σύναψη συμφωνιών μεταξύ του υπεύθυνου επεξεργασίας δεδομένων και των αρχών που έχουν πρόσβαση στο SIS II 19. εφαρμογή συστήματος διαχείρισης χρηστών που επιτρέπει αποτελεσματική αυτοπαρακολούθηση με βάση κεντρικά αρχεία καταγραφής από τον υπεύθυνο επεξεργασίας δεδομένων N.SIS II, χωρίς να χρειάζεται η εξέταση αρχείων καταγραφής στις αρχές- χρήστες 20. διασφάλιση ότι η SEF αναλύει τα αρχεία καταγραφής σε τακτική βάση, προκειμένου να εξασφαλίσει την παρακολούθηση της προστασίας των δεδομένων 8792/18 5

21. διασφάλιση ότι τα περιβάλλοντα πληροφορικής που χρησιμοποιούνται από χρήστες οι οποίοι έχουν εκτεταμένη πρόσβαση ή δικαιώματα επεξεργασίας στο N.SIS II (όπως τα μέλη του τμήματος SIRENE) είναι λογικά ή φυσικά διαχωρισμένα από την πρόσβαση στο διαδίκτυο 22. διασφάλιση ότι ο υπεύθυνος επεξεργασίας δεδομένων κρυπτογραφεί τις εφεδρικές μαγνητοταινίες και σκληρούς δίσκους του N.SIS 23. διασφάλιση ότι τα προφίλ των χρηστών οι οποίοι έχουν εκτεταμένη πρόσβαση ή δικαιώματα επεξεργασίας στο N.SIS II (όπως τα μέλη του τμήματος SIRENE) ασφαλίζονται με υποχρεωτική μέθοδο ελέγχου ταυτότητας δύο παραγόντων 24. διασφάλιση ότι η SEF ενισχύει τις δραστηριότητές της στον τομέα της αυτοπαρακολούθησης της επεξεργασίας προσωπικών δεδομένων εντός του N.SIS και ότι εκτελεί την εν λόγω αυτοπαρακολούθηση σε τακτική βάση η Πορτογαλία ενθαρρύνεται να διαθέσει επαρκείς οικονομικούς και ανθρώπινους πόρους στη SEF για να διασφαλίσει τον αποτελεσματικό και συνεχή αυτοέλεγχο και την ασφάλεια στον τομέα των ΤΠ, ιδίως εξασφαλίζοντας την πλήρωση της θέσης του αρμόδιου για την ασφάλεια ΤΠ εργαζομένου στο τμήμα τεχνολογίας πληροφοριών της SEF Ευαισθητοποίηση του κοινού 25. διασφάλιση ότι στον ιστότοπο της SEF υπάρχουν οι κατάλληλοι σύνδεσμοι προς τον ιστότοπο της ΑΠΔ. Βρυξέλλες, Για το Συμβούλιο Ο Πρόεδρος 8792/18 6