(1) W swoim komunikacie z dnia 13 lutego 2008 r. zatytułowanym "Przygotowanie kolejnych etapów rozwoju zarządzania granicami w Unii Europejskiej" Komisja zarysowała potrzebę utworzenia - w ramach unijnej strategii zintegrowanego zarządzania granicami - systemu wjazdu/wyjazdu (EES) rejestrującego drogą elektroniczną czas i miejsce wjazdu i wyjazdu obywateli państw trzecich dopuszczonych do pobytu krótkoterminowego na terytorium państw członkowskich oraz obliczającego okres dozwolonego pobytu tych obywateli.

(2) Na posiedzeniu w dniach 19 i 20 czerwca 2008 r. Rada Europejska podkreśliła znaczenie prowadzenia dalszych prac nad unijną strategią zintegrowanego zarządzania granicami, w tym na rzecz lepszego wykorzystania nowoczesnych technologii do usprawnienia zarządzania granicami zewnętrznymi.

(3) W swoim komunikacie z dnia 10 czerwca 2009 r. zatytułowanym "Przestrzeń wolności, bezpieczeństwa i sprawiedliwości w służbie obywateli" Komisja opowiedziała się za utworzeniem elektronicznego systemu rejestrowania na granicach zewnętrznych wjazdu na terytorium państw członkowskich i wyjazdu z tego terytorium, co zapewniłoby skuteczniejsze zarządzanie dostępem do tego terytorium.

(4) Na posiedzeniu w dniach 23 i 24 czerwca 2011 r. Rada Europejska wezwała do przyspieszenia prac nad "inteligentnymi granicami". W dniu 25 października 2011 r. Komisja opublikowała komunikat zatytułowany "Inteligentne granice - możliwe warianty i kierunki".

(5) W swoich wytycznych strategicznych przyjętych w czerwcu 2014 r., Rada Europejska podkreśliła, że strefa Schengen, umożliwiająca ludziom podróżowanie bez kontroli na granicach wewnętrznych, oraz coraz większa liczba osób przybywających do Unii wymagają efektywnego zarządzania wspólnymi granicami zewnętrznymi Unii w celu zapewnienia skutecznej ochrony. Ponadto podkreśliła, że Unia musi uruchomić wszystkie narzędzia, którymi dysponuje, by wesprzeć państwa członkowskie w realizacji ich zadania i że w tym celu należy zmodernizować zintegrowane zarządzanie granicami zewnętrznymi w sposób racjonalny pod względem kosztów, tak aby zapewnić inteligentne zarządzanie granicami z wykorzystaniem m.in. systemu wjazdu/wyjazdu i przy wsparciu nowej agencji ds. wielkoskalowych systemów informatycznych (eu-LISA).

(6) W swoim komunikacie z dnia 13 maja 2015 r. zatytułowanym "Europejski program w zakresie migracji" Komisja stwierdziła, że nowy etap byłby związany z inicjatywą "inteligentnych granic", której celem jest zwiększenie skuteczności przejść granicznych, co ułatwiłoby przekraczanie granic większości osób z państw trzecich podróżujących w dobrej wierze, a jednocześnie wzmocnienie walki z migracją nieuregulowaną poprzez utworzenie rejestru wszystkich przypadków przekroczenia granicy przez obywateli państw trzecich, z pełnym poszanowaniem proporcjonalności.

(7) Z myślą o skuteczniejszym zarządzaniu granicami zewnętrznymi oraz, w szczególności, w celu weryfikacji przestrzegania przepisów dotyczących dozwolonego okresu pobytu na terytorium państw członkowskich, należy ustanowić system EES, rejestrujący elektronicznie czas i miejsce wjazdu i wyjazdu obywateli państw trzecich dopuszczonych do pobytu krótkoterminowego na terytorium państw członkowskich oraz obliczający okres ich dozwolonego pobytu. Powinien on zastąpić system obowiązkowego stemplowania paszportów obywateli państw trzecich, który stosują wszystkie państwa członkowskie.

(8) Niezbędne jest dokładne określenie celów EES, kategorii danych, które będą wprowadzane do EES, celów, do jakich dane będą wykorzystywane, kryteriów ich wprowadzania, organów uprawnionych do dostępu do danych, dalszych zasad przetwarzania danych i ochrony danych osobowych, a także architektury technicznej EES, zasad dotyczących jego funkcjonowania i użytkowania oraz interoperacyjności z innymi systemami informacyjnymi. Niezbędne jest również określenie zakresów odpowiedzialności za EES.

(9) EES powinien mieć zastosowanie do obywateli państw trzecich dopuszczonych do pobytu krótkoterminowego na terytorium państw członkowskich. System ten powinien również mieć zastosowanie do obywateli państw trzecich, którym odmówiono wjazdu na pobyt krótkoterminowy.

(10) Systemem EES należy posługiwać się na granicach zewnętrznych państw członkowskich, które w pełni stosują dorobek Schengen. Wskazane jest, aby państwa członkowskie niestosujące jeszcze w pełni dorobku Schengen rozpoczęły jego pełne stosowanie, zanim uruchomiony zostanie EES. Jednak w przypadku gdy zniesienie kontroli na granicach wewnętrznych nie będzie możliwe przed uruchomieniem EES, niezbędne jest dokładne określenie zarówno warunków posługiwania się EES przez te państwa członkowskie, które nie stosują w pełni dorobku Schengen i ustanowienie przepisów regulujących funkcjonowanie i użytkowanie EES na granicach wewnętrznych, na których kontrole nie zostały jeszcze zniesione. Jeśli chodzi o warunki funkcjonowania, EES powinien działać na granicach zewnętrznych państw członkowskich, które nie stosują jeszcze w pełni dorobku Schengen, ale w przypadku których z pozytywnym wynikiem zakończono już weryfikację przeprowadzaną zgodnie z mającą zastosowanie procedurą oceny Schengen, a którym udzielono biernego dostępu do Wizowego Systemu Informacyjnego (VIS), ustanowionego decyzją Rady 2004/512/WE 3  do celów posługiwania się EES i w odniesieniu do których wprowadzono w życie, zgodnie z odpowiednim aktem przystąpienia, przepisy dorobku Schengen dotyczące Systemu Informacyjnego Schengen (SIS), ustanowionego rozporządzeniem (WE) nr 1987/2006 Parlamentu Europejskiego i Rady 4 . Jeśli chodzi o przepisy regulujące funkcjonowanie i użytkowanie EES przez państwa członkowskie spełniające takie warunki, systemem EES należy się posługiwać na wszystkich granicach wewnętrznych tych państw członkowskich, na których kontrole nie zostały jeszcze zniesione. Niemniej jednak, w celu zminimalizowania wpływu procedur odpraw na takich granicach, w odniesieniu do funkcjonowania i użytkowania EES na takich granicach zastosowanie powinny mieć przepisy szczególne, które nie będą wpływać na poziom bezpieczeństwa ani na prawidłowe funkcjonowanie EES i pozostaną bez uszczerbku dla pozostałych obowiązków w zakresie kontroli granicznej wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/399 5 .

(11) Do celów niniejszego rozporządzenia okres dozwolonego pobytu obywateli państw trzecich na terytorium państw członkowskich wynika z mającego zastosowanie dorobku Schengen.

(12) W skład EES powinien wejść automatyczny kalkulator. Ten automatyczny kalkulator powinien uwzględniać pobyty na terytorium państw członkowskich, które posługują się EES do celów obliczania całkowitego limitu wynoszącego 90 dni w każdym okresie 180-dniowym. Każde przedłużenie dozwolonego pobytu powinno być uwzględniane do celów obliczania tego całkowitego limitu przy kolejnym wjeździe obywatela państwa trzeciego na terytorium państw członkowskich. Pobyty na terytorium państw członkowskich, które nie posługują się jeszcze EES, powinny być obliczane odrębnie na podstawie stempli zamieszczonych w dokumentach podróży obywateli państw trzecich.

(13) Automatyczny kalkulator powinien uwzględniać pobyty na terytorium państw członkowskich, które nie stosują jeszcze w pełni dorobku Schengen, ale posługują się EES, wyłącznie do celów weryfikacji zgodności z całkowitym limitem wynoszącym 90 dni w każdym okresie 180-dniowym i do celów weryfikacji okresu ważności wizy krótkoterminowej Schengen. Automatyczny kalkulator nie powinien obliczać okresu pobytu, do jakiego uprawnia krajowa wiza krótkoterminowa wydana przez państwo członkowskie, które nie stosuje jeszcze w pełni dorobku Schengen, ale które posługuje się EES. Przy obliczaniu okresu pobytu, do jakiego uprawnia wiza krótkoterminowa Schengen, automatyczny kalkulator nie powinien uwzględniać pobytów na terytorium państw członkowskich, które nie stosują jeszcze w pełni dorobku Schengen, ale które posługują się EES.

(14) Należy określić precyzyjne zasady dotyczące zakresu odpowiedzialności za rozwój i funkcjonowanie EES oraz zakresu odpowiedzialności państw członkowskich za ich podłączenie do EES. Za rozwój scentralizowanego EES i zarządzanie operacyjne tym systemem zgodnie z niniejszym rozporządzeniem powinna odpowiadać Europejska Agencja ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości, ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1077/2011 6 . Należy zatem odpowiednio zmienić rozporządzenie (UE) nr 1077/2011.

(15) Celami EES powinny być poprawa zarządzania granicami zewnętrznymi, przeciwdziałanie imigracji nieuregulowanej oraz usprawnienie zarządzania przepływami migracyjnymi. EES powinien w szczególności i w stosownych przypadkach ułatwiać identyfikację wszystkich osób, które nie spełniają warunków związanych z okresem dozwolonego pobytu na terytorium państw członkowskich lub które przestały spełniać te warunki. Ponadto EES powinien pomagać zapobiegać przestępstwom terrorystycznym i innym poważnym przestępstwom oraz pomagać wykrywać takie przestępstwa i prowadzić w ich sprawie postępowania przygotowawcze.

(16) EES powinien składać się z systemu centralnego (zwanego dalej "systemem centralnym EES"), który obsługuje skomputeryzowaną centralną bazę danych biometrycznych i alfanumerycznych, z jednolitego interfejsu krajowego w każdym z państw członkowskich, bezpiecznego kanału komunikacyjnego między systemem centralnym EES i centralnym Wizowym Systemem Informacyjnym (zwanym dalej "systemem centralnym VIS"), oraz z bezpiecznej i zaszyfrowanej infrastruktury łączności między systemem centralnym EES i jednolitymi interfejsami krajowymi. Każde państwo członkowskie powinno podłączyć w bezpieczny sposób elementy swojej krajowej infrastruktury granicznej do jednolitego interfejsu krajowego. Na potrzeby sporządzania statystyk i sprawozdań należy utworzyć na szczeblu centralnym repozytorium danych. Aby obywatele państw trzecich mogli w dowolnym momencie zweryfikować długość pozostałego dozwolonego pobytu, należy opracować usługę sieciową. Usługa sieciowa powinna także umożliwić przewoźnikom weryfikację, czy obywatele państw trzecich posiadający krótkoterminową wizę Schengen wydaną na potrzeby jednokrotnego lub dwukrotnego wjazdu wykorzystali już liczbę wjazdów dozwoloną na podstawie ich wizy. Na etapie opracowywania usługi sieciowej należy przeprowadzić konsultacje z odpowiednimi zainteresowanymi stronami. Określając specyfikacje techniczne dotyczące dostępu przewoźników do usługi sieciowej, należy jak najbardziej ograniczyć wpływ, jaki może to wywrzeć na podróże pasażerów i na przewoźników. W tym celu należy rozważyć odpowiednią integrację ze stosownymi systemami.

(17) Należy zapewnić interoperacyjność EES i VIS poprzez utworzenie bezpośredniego kanału komunikacyjnego pomiędzy systemem centralnym VIS i systemem centralnym EES, tak aby służby graniczne, które korzystają z EES, mogły przeglądać VIS w celu pobierania danych wizowych na potrzeby tworzenia lub aktualizowania wpisów dotyczących wjazdu/wyjazdu lub wpisów dotyczących odmowy wjazdu, aby służby graniczne mogły weryfikować na granicach, na których działa EES, ważność wizy i tożsamość posiadacza wizy poprzez bezpośrednie porównane jego odcisków palców z danymi przechowywanymi w VIS oraz aby służby graniczne mogły weryfikować tożsamość obywateli państw trzecich zwolnionych z obowiązku wizowego poprzez porównanie ich odcisków palców z danymi przechowywanymi w VIS. Interoperacyjność powinna również umożliwić służbom granicznym i organom wizowym, które korzystają z VIS, bezpośrednie przeglądanie EES z poziomu VIS do celów rozpatrywania wniosków wizowych i podejmowania decyzji dotyczących tych wniosków oraz umożliwienia organom wizowym aktualizowania w EES danych wizowych w przypadku unieważnienia, cofnięcia lub przedłużenia wizy. Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 767/2008 7  powinno zatem zostać odpowiednio zmienione. Pobieranie danych wizowych z VIS, ich importowanie do EES i aktualizowanie danych z VIS w EES powinno być procesem zautomatyzowanym po rozpoczęciu danej operacji przez zainteresowany organ. Zapewniając interoperacyjność między EES i VIS, należy przestrzegać zasady celowości.

(18) W niniejszym rozporządzeniu należy wskazać organy państw członkowskich, które mogą zostać upoważnione do dostępu do EES, po to aby móc wprowadzać, zmieniać, usuwać lub przeglądać dane w konkretnych celach związanych z EES i w zakresie koniecznym do wykonywania powierzonych im zadań.

(19) Wszelkie przetwarzanie danych EES powinno być proporcjonalne do wyznaczonych celów i niezbędne do wykonywania przez właściwe organy powierzonych im zadań. Korzystając z EES, właściwe organy powinny zapewnić poszanowanie godności ludzkiej i integralności osoby, od której pozyskiwane są dane, i nie powinny dyskryminować osób ze względu na płeć, rasę, kolor skóry, pochodzenie etniczne lub społeczne, cechy genetyczne, język, religię lub przekonania, poglądy polityczne lub wszelkie inne poglądy, przynależność do mniejszości narodowej, majątek, urodzenie, niepełnosprawność, wiek lub orientację seksualną.

(20) W ramach EES należy rejestrować i przetwarzać dane alfanumeryczne i dane biometryczne przede wszystkim do celów lepszego zarządzania granicami zewnętrznymi, przeciwdziałania imigracji nieuregulowanej oraz usprawnienia zarządzania przepływami migracyjnymi. Ponadto dostęp do danych osobowych z EES powinien być możliwy także w celu przyczynienia się do zapobiegania przestępstwom terrorystycznym i innym poważnym przestępstwom, wykrywania takich przestępstw lub prowadzenia w ich sprawie postępowań przygotowawczych, wyłącznie na warunkach określonych w niniejszym rozporządzeniu. Korzystanie z danych biometrycznych - pomimo jego wpływu na prywatność podróżnych - należy uznać za uzasadnione z dwóch powodów. Po pierwsze, dane biometryczne zapewniają wiarygodną metodę identyfikacji obywateli państw trzecich przebywających na terytorium państw członkowskich, którzy nie posiadają dokumentów podróży ani innych dokumentów tożsamości, co stanowi typową sytuację w przypadku migrantów o nieuregulowanym statusie. Po drugie, dane biometryczne pozwalają skuteczniej skojarzyć dane dotyczące wjazdu i wyjazdu osób podróżujących w dobrej wierze. Jednoczesne wykorzystywanie wizerunków twarzy i danych daktyloskopijnych umożliwia ograniczenie liczby rejestrowanych odcisków palców, zapewniając przy tym takie same rezultaty, jeżeli chodzi o dokładność identyfikacji.

(21) Jeżeli jest to fizycznie wykonalne, w EES należy zarejestrować odciski czterech palców obywatela państwa trzeciego zwolnionego z obowiązku wizowego, aby umożliwić precyzyjną weryfikację i identyfikację, zapewniając tym samym, że dany obywatel państwa trzeciego nie został już zarejestrowany pod inną tożsamością lub na podstawie innego dokumentu podróży oraz aby w każdych okolicznościach zagwarantować dostępność wystarczającej ilości danych pozwalającej osiągać cele systemu EES. Odciski palców obywateli państw trzecich, którzy posiadają wizę, powinny być sprawdzane w VIS. W EES należy zarejestrować wizerunek twarzy zarówno obywateli państw trzecich, którzy są zwolnieni z obowiązku wizowego, jak i obywateli państw trzecich, którzy posiadają wizę. Odciski palców lub wizerunek twarzy powinny być wykorzystywane jako identyfikator biometryczny przy weryfikacji tożsamości obywateli państw trzecich, którzy zostali wcześniej zarejestrowani w EES, dopóki rejestry indywidualne dotyczące tych obywateli nie zostaną usunięte. Aby uwzględnić uwarunkowania każdego przejścia granicznego oraz różne rodzaje granic, organy krajowe powinny określić dla każdego przejścia granicznego, czy odciski palców, czy też wizerunek twarzy mają być wykorzystywane jako główny identyfikator biometryczny do przeprowadzania wymaganej weryfikacji.

(22) Przy zwalczaniu przestępstw terrorystycznych i innych poważnych przestępstw niezbędne jest zadbanie o to, by wyznaczone organy miały dostęp do najbardziej aktualnych informacji, tak by mogły wykonywać powierzone im zadania. Użyteczność dostępu do danych przechowywanych w VIS na potrzeby ochrony porządku publicznego została już dowiedziona w zakresie identyfikowania osób, które zmarły gwałtowną śmiercią, lub umożliwiania śledczym poczynienia istotnych postępów w sprawach dotyczących handlu ludźmi, terroryzmu lub nielegalnego obrotu środkami odurzającymi. Dostęp do danych EES jest konieczny do zapobiegania przestępstwom terrorystycznym, ich wykrywania i prowadzenia w ich sprawie postępowań przygotowawczych, zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2017/541 8  lub do zapobiegania innym poważnym przestępstwom, ich wykrywania i prowadzenia w ich sprawie postępowań przygotowawczych, zgodnie z decyzją ramową Rady 2002/584/WSiSW 9 . Powinna istnieć możliwość wykorzystywania danych EES jako narzędzia weryfikacji tożsamości zarówno w przypadku zniszczenia przez obywatela państwa trzeciego jego dokumentów, jak i w przypadku, gdy w ramach postępowania przygotowawczego w sprawie przestępstwa wyznaczone organy chcą ustalić tożsamość danej osoby na podstawie odcisków palców lub wizerunku twarzy. Powinna również istnieć możliwość posługiwania się tymi danymi jako narzędziem wykorzystywanym do gromadzenia dowodów poprzez śledzenie tras podróży osoby podejrzanej o popełnienie przestępstwa lub osoby będącej ofiarą przestępstwa. W związku z tym dane EES powinny być dostępne dla wyznaczonych organów państw członkowskich i Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europolu) ustanowionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/794 10 , z zastrzeżeniem warunków i ograniczeń określonych w niniejszym rozporządzeniu. Należy zapewnić takie warunki dostępu do EES do celów zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywania lub prowadzenia w ich sprawie postępowań przygotowawczych, aby wyznaczone organy państw członkowskich miały możliwość reagowania na przypadki posługiwania się przez podejrzanych wieloma tożsamościami. Do tego celu nie powinno się uniemożliwiać dostępu do EES, kiedy system potwierdzi istnienie wpisu podczas przeglądania odpowiedniej bazy danych przed przeszukaniem EES. Do celów związanych z ochroną porządku publicznego i z myślą o zapobieganiu przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywaniu lub prowadzeniu w ich sprawie postępowań przygotowawczych, przeszukiwanie bazy danych EES należy uznać za proporcjonalne, gdy występują nadrzędne względy bezpieczeństwa publicznego. Wszelkie przypadki przeszukiwania muszą być należycie uzasadnione i proporcjonalne w świetle przywołanego interesu.

(23) Do przeglądania danych EES powinny być uprawnione jedynie wyznaczone organy, które są odpowiedzialne za zapobieganie przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywanie lub prowadzenie w ich sprawie postępowań przygotowawczych, w odniesieniu do których to organów państwa członkowskie mogą zagwarantować stosowanie wszystkich przepisów niniejszego rozporządzenia i dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 11  oraz w przypadku których prawidłowe stosowanie tych przepisów może zostać zweryfikowane przez właściwe organy, w tym przez organ nadzorczy ustanowiony zgodnie z dyrektywą (UE) 2016/680.

(24) Europol, wspierając ogólnounijne działania na rzecz zapobiegania przestępstwom, ich analizowania i prowadzenia w ich sprawie postępowań przygotowawczych, odgrywa kluczową rolę we współpracy między organami państw członkowskich w postępowaniach przygotowawczych dotyczących przestępczości transgranicznej. W związku z tym również Europol powinien mieć dostęp do EES w ramach wykonywania powierzonych mu zadań i zgodnie z rozporządzeniem (UE) 2016/794. Europejski Inspektor Ochrony Danych powinien monitorować przetwarzanie danych przez Europol oraz zapewniać pełną zgodność tego przetwarzania z mającymi zastosowanie przepisami o ochronie danych.

(25) Dostęp do EES do celów zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywania lub prowadzenia w ich sprawie postępowań przygotowawczych stanowi ingerencję w prawa podstawowe, które przewidują poszanowanie życia prywatnego oraz ochronę danych osobowych osób, których dane są przetwarzane w EES. Wszelka ingerencja tego rodzaju musi być zgodna z prawem, które musi zostać sformułowane na tyle precyzyjnie, aby zainteresowane osoby miały możliwość dostosowania swojego zachowania, oraz musi zapewnić tym osobom ochronę przed arbitralnością, a także dostatecznie jasno określić zakres przysługującej właściwym organom swobody uznania i sposób, w jaki mają one korzystać z tej swobody. Ponadto, w społeczeństwie demokratycznym wszelka ingerencja w te podstawowe prawa musi być ograniczona do tego co jest konieczne, aby chronić uzasadnione i proporcjonalne interesy i musi być proporcjonalna do zgodnego z prawem celu, do którego osiągnięcia ma się przyczynić.

(26) Porównywanie danych na podstawie śladów daktyloskopijnych, które można znaleźć na miejscu przestępstwa (zwanych dalej "niewidocznymi śladami linii papilarnych"), ma zasadnicze znaczenie w kontekście współpracy policyjnej. Zapewnienie możliwości porównania niewidocznych śladów linii papilarnych z danymi daktyloskopijnymi przechowywanymi w EES w przypadkach, gdy istnieją uzasadnione podstawy, by przypuszczać, że sprawca lub ofiara mogą być zarejestrowani w EES, jest niezbędne do tego, aby wyznaczone organy państw członkowskich mogły zapobiegać przestępstwom terrorystycznym lub innym poważnym przestępstwom, wykrywać takie przestępstwa lub prowadzić w ich sprawie postępowania przygotowawcze, na przykład w sytuacji, gdy niewidoczne ślady linii papilarnych stanowią jedyny dowód znaleziony na miejscu przestępstwa.

(27) Niezbędne jest wyznaczenie właściwych organów państw członkowskich oraz centralnego punktu dostępu, za pośrednictwem którego można będzie składać wnioski o uzyskanie dostępu do danych EES, a także prowadzenie wykazu jednostek operacyjnych, które działają w strukturach wyznaczonych organów i które są uprawnione do występowania z wnioskami o uzyskanie takiego dostępu do konkretnych celów zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywania lub prowadzenia w ich sprawie postępowań przygotowawczych.

(28) Wnioski o uzyskanie dostępu do danych EES powinny być przekazywane przez jednostki operacyjne, działające w strukturach wyznaczonych organów, do centralnego punktu dostępu, oraz powinny być należycie uzasadnione. Jednostki operacyjne, które działają w strukturach wyznaczonych organów i które są uprawnione do występowania z wnioskami o uzyskanie dostępu do danych EES, nie powinny pełnić funkcji organu weryfikującego. Centralnym punktem dostępu powinien być organ lub pomiot, któremu prawo krajowe powierza sprawowanie władzy publicznej i który powinien być w stanie, z uwagi na kwalifikacje i liczbę pracowników, skutecznie weryfikować, czy w każdym konkretnym przypadku spełniane są warunki dotyczące uzyskania dostępu do EES. Centralne punkty dostępu powinny działać niezależnie od wyznaczonych organów i powinny odpowiadać za zapewnienie, w sposób niezależny, ścisłego przestrzegania warunków dostępu określonych w niniejszym rozporządzeniu. W pilnym przypadku, gdy zapewnienie szybkiego dostępu jest niezbędne w celu zareagowania na konkretne i realne zagrożenie związane z przestępstwami terrorystycznymi lub innymi poważnymi przestępstwami, centralny punkt dostępu powinien mieć możliwość natychmiastowej realizacji wniosku i dokonania weryfikacji tego wniosku po jego przetworzeniu.

(29) Aby zapewnić ochronę danych osobowych i wykluczyć możliwość systematycznego przeszukiwania systemu, przetwarzanie danych EES powinno odbywać się wyłącznie w określonych przypadkach i jeżeli jest to niezbędne do celów zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywania lub prowadzenia w ich sprawie postępowań przygotowawczych. Wyznaczone organy i Europol powinny zwracać się z wnioskiem o uzyskanie dostępu do EES tylko wówczas, gdy istnieją uzasadnione podstawy, aby przypuszczać, że dzięki takiemu dostępowi zdobędą informacje, które w istotny sposób ułatwią im zapobieganie przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywanie lub prowadzenie w ich sprawie postępowań przygotowawczych.

(30) Ponadto uzyskanie dostępu do EES do celów identyfikacji nieznanych osób podejrzanych o popełnienie przestępstw terrorystycznych lub innych poważnych przestępstw, ich sprawców lub ofiar powinno być możliwe wyłącznie pod warunkiem że wcześniej przeprowadzono wyszukiwanie w krajowych bazach danych danego państwa członkowskiego i przeprowadzono pełne wyszukiwanie przy użyciu zautomatyzowanych systemów identyfikacji daktyloskopijnej wszystkich pozostałych państw członkowskich zgodnie z decyzją Rady 2008/615/WSiSW 12  lub nie przeprowadzono pełnego wyszukiwania w terminie dwóch dni od jego rozpoczęcia.

(31) W celu skutecznego porównywania i wymiany danych osobowych państwa członkowskie powinny w pełni wdrożyć i wykorzystywać istniejące umowy międzynarodowe, a także obowiązujące już prawo Unii dotyczące wymiany danych osobowych, w szczególności decyzję 2008/615/WSiSW.

(32) Dane osobowe należy przechowywać w EES nie dłużej niż jest to bezwzględnie niezbędne do celów, w jakich są one przetwarzane. Do celów zarządzania granicami dane dotyczące obywateli państw trzecich, którzy nie przekroczyli okresu dozwolonego pobytu, wystarczy przechowywać w EES przez okres trzech lat - dzięki temu uniknie się konieczności ponownego rejestrowania obywateli państw trzecich w EES przed upływem tego okresu. Ustanowienie tego trzyletniego okresu zatrzymywania danych spowoduje ograniczenie potrzeby częstych ponownych rejestracji i będzie z korzyścią dla wszystkich podróżnych, ponieważ przyczyni się do skrócenia zarówno średniego czasu przekraczania granicy, jak i czasu oczekiwania na przejściach granicznych. Nawet w przypadku jednorazowego wjazdu danego podróżnego na terytorium państw członkowskich, fakt, że pozostali podróżni już zarejestrowani w EES nie będą musieli przed upływem tego trzyletniego okresu zatrzymywania danych zostać ponownie zarejestrowani, pozwoli skrócić czas oczekiwania na przejściu granicznym. Ustanowienie takiego trzyletniego okresu zatrzymywania danych jest również niezbędne, aby ułatwić i przyspieszyć proces przekraczania granic, w tym dzięki wykorzystaniu systemów zautomatyzowanych i systemów samoobsługi. Należy również ustanowić trzyletni okres zatrzymywania danych w odniesieniu do obywateli państw trzecich, którym odmówiono wjazdu na pobyt krótkoterminowy. W przypadku obywateli państw trzecich będących członkami rodziny obywatela Unii, do których ma zastosowanie dyrektywa 2004/38/WE Parlamentu Europejskiego i Rady 13 , lub członkami rodziny obywatela państwa trzeciego korzystającego z prawa do swobodnego przemieszczania się na mocy prawa Unii, i którzy nie posiadają karty pobytowej przewidzianej w dyrektywie 2004/38/WE ani dokumentu pobytowego przewidzianego w rozporządzeniu Rady (WE) nr 1030/2002 14 , każdy powiązany wpis dotyczący wjazdu/wyjazdu należy przechowywać maksymalnie przez okres jednego roku po wyjeździe z terytorium państw członkowskich związanym z tym wpisem. Po upływie odnośnego okresu zatrzymywania danych, takie dane należy automatycznie usunąć. 15

(33) W celu ułatwienia procesu identyfikacji i powrotu niezbędne jest przechowywanie danych dotyczących obywateli państw trzecich, którzy nie opuścili terytorium państw członkowskich przed upływem dozwolonego okresu pobytu przez okres pięciu lat. Dane te należy automatycznie usuwać po upływie pięciu lat, chyba że istnieją podstawy do ich wcześniejszego usunięcia.

(34) Przechowywanie przez okres trzech lat danych osobowych obywateli państw trzecich, którzy nie przekroczyli okresu dozwolonego pobytu, i obywateli państw trzecich, którym odmówiono wjazdu na pobyt krótkoterminowy, oraz przechowywanie przez okres pięciu lat danych osobowych obywateli państw trzecich, którzy nie opuścili terytorium państw członkowskich przed upływem dozwolonego okresu pobytu, jest niezbędne, aby funkcjonariusze straży granicznej mogli przeprowadzać, zgodnie z wymogami ustanowionymi w rozporządzeniu (UE) 2016/399 niezbędną analizę ryzyka przed zezwoleniem danemu podróżnemu na wjazd na terytorium państw członkowskich. Przetwarzanie wniosków wizowych w urzędach konsularnych wiąże się również z koniecznością prześledzenia historii podróży wnioskodawcy, aby ocenić, w jaki sposób korzystał on z wcześniej wydanych wiz oraz czy przestrzegał warunków pobytu. Zniesienie procedury stemplowania paszportów ma zostać zrekompensowane poprzez przeglądanie danych zawartych w EES. W związku z tym historia podróży przechowywana w EES powinna obejmować okres, który będzie dostatecznie długi do celów wydawania wiz. Przeprowadzając na granicy analizę ryzyka oraz przetwarzając wniosek wizowy należy sprawdzić historię podróży obywateli państw trzecich, aby ustalić, czy w przeszłości przekroczyli oni maksymalny okres dozwolonego pobytu. Niezbędne jest zatem przechowywanie danych osobowych obywateli państw trzecich, którzy nie opuścili terytorium państw członkowskich przed upływem dozwolonego okresu pobytu, przez okres pięciu lat czyli okres dłuższy w porównaniu z okresem zatrzymywania danych osobowych obywateli państw trzecich, którzy nie przekroczyli okresu dozwolonego pobytu, i obywateli państw trzecich, którym odmówiono wjazdu na pobyt krótkoterminowy.

(35) Należy określić zasady odpowiedzialności państw członkowskich z tytułu szkód wynikających z wszelkich przypadków naruszenia niniejszego rozporządzenia.

(36) Bez uszczerbku dla bardziej szczegółowych przepisów ustanowionych w niniejszym rozporządzeniu, które regulują przetwarzanie danych osobowych, do przetwarzania danych osobowych przez państwa członkowskie w ramach stosowania niniejszego rozporządzenia zastosowanie powinno mieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 16  z wyjątkiem sytuacji, gdy takiego przetwarzania dokonują wyznaczone organy lub centralne punkty dostępu państw członkowskich w celu zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, prowadzenia w ich sprawie postępowań przygotowawczych lub ich wykrywania.

(37) Bez uszczerbku dla bardziej szczegółowych przepisów ustanowionych w niniejszym rozporządzeniu, które regulują przetwarzanie danych osobowych, do przetwarzania zgodnie z niniejszym rozporządzeniem danych osobowych przez właściwe organy państw członkowskich do celów zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, prowadzenia w ich sprawie postępowań przygotowawczych lub ich wykrywania zastosowanie powinny mieć krajowe przepisy ustawowe, wykonawcze i administracyjne przyjęte na mocy dyrektywy (UE) 2016/680.

(38) Do działań instytucji lub organów Unii wykonujących swoje zadania z zakresu zarządzania operacyjnego systemem EES zastosowanie powinno mieć rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady 17 .

(39) Dane osobowe uzyskane przez państwo członkowskie na podstawie niniejszego rozporządzenia nie powinny być przekazywane ani udostępniane żadnemu państwu trzeciemu, organizacji międzynarodowej ani podmiotowi prywatnemu mającemu siedzibę w Unii lub poza nią. Na zasadzie wyjątku od tej zasady, powinno być możliwe jednak przekazanie takich danych osobowych państwu trzeciemu lub organizacji międzynarodowej, jeżeli takie przekazanie podlega rygorystycznym warunkom i jest niezbędne w poszczególnych przypadkach w celu ułatwienia identyfikacji obywatela państwa trzeciego w związku z jego powrotem. W przypadku braku decyzji podjętej w drodze aktu wykonawczego zgodnie z rozporządzeniem (UE) 2016/679, stwierdzającej odpowiedni stopień ochrony, lub braku odpowiednich zabezpieczeń, którym podlega przekazanie danych, zgodnie z tym rozporządzeniem, wyjątkowo powinno być możliwe przekazanie danych EES państwu trzeciemu lub organizacji międzynarodowej do celów związanych z powrotem, wyłącznie jeżeli jest to konieczne z uwagi na ważne względy interesu publicznego, jak określono w tym rozporządzeniu.

(40) Państwa członkowskie, które uzyskały dane osobowe na podstawie niniejszego rozporządzenia powinny mieć również możliwość przekazania tych danych państwu trzeciemu -w wyjątkowo pilnym przypadku, jeżeli występuje bezpośrednie zagrożenie związane z przestępstwem terrorystycznym lub jeżeli występuje bezpośrednie zagrożenie dla życia ludzkiego związane z poważnym przestępstwem. Bezpośrednie zagrożenie dla życia ludzkiego należy rozumieć jako zagrożenie związane z poważnym przestępstwem wymierzonym w daną osobę, takim jak poważne uszkodzenie ciała, nielegalny handel organami i tkankami ludzkimi, uprowadzenie, bezprawne pozbawienie wolności i wzięcie zakładnika, wykorzystywanie seksualne dzieci i pornografia dziecięca, oraz zgwałcenie. Dane takie powinny być przekazywane państwu trzeciemu wyłącznie wówczas, gdy zagwarantowano, że na zasadzie wzajemności państwo trzecie występujące z wnioskiem przekazuje państwom członkowskim, które posługują się EES, wszelkie posiadane przez siebie informacje na temat wpisów dotyczących wjazdu/wyjazdu. Właściwe organy państw członkowskich, których wyznaczone organy zgodnie z niniejszym rozporządzeniem mają dostęp do EES, powinny mieć możliwość przekazywania danych EES państwom członkowskim, które nie posługują się EES, i państwom członkowskim, do których niniejsze rozporządzenie nie ma zastosowania. Takie przekazywanie informacji powinno być uzależnione od otrzymania należycie uzasadnionego wniosku i powinno ograniczać się do sytuacji, w których jest niezbędne do zapobieżenia przestępstwu terrorystycznemu lub innemu poważnemu przestępstwu, do jego wykrycia lub do prowadzenia w jego sprawie postępowania przygotowawczego. Państwo członkowskie, które posługuje się EES, powinno mieć możliwość przekazania takich informacji wyłącznie wówczas, gdy zagwarantowano, że na zasadzie wzajemności państwo członkowskie występujące z wnioskiem przekazuje państwom członkowskim, które posługują się EES, wszelkie posiadane przez siebie informacje na temat wpisów dotyczących wjazdu/wyjazdu. Do wszelkich kolejnych przypadków postępowania z danymi uzyskanymi z EES stosuje się dyrektywę (UE) 2016/80.

(41) W każdym państwie członkowskim organ nadzorczy ustanowiony zgodnie z rozporządzeniem (UE) 2016/679 powinien monitorować zgodność z prawem przetwarzania danych osobowych przez państwa członkowskie, natomiast Europejski Inspektor Ochrony Danych powinien monitorować działalność instytucji i organów Unii w odniesieniu do przetwarzania danych osobowych. Europejski Inspektor Ochrony Danych i organy nadzorcze powinny współpracować ze sobą w zakresie monitorowania EES.

(42) W każdym państwie członkowskim organ nadzorczy ustanowiony zgodnie z dyrektywą (UE) 2016/680 powinien monitorować zgodność z prawem przetwarzania danych osobowych przez państwa członkowskie na potrzeby ochrony porządku publicznego.

(43) W uzupełnieniu przepisów dotyczących informacji, których należy udzielać zgodnie z rozporządzeniem (UE) 2016/679, obywatelom państw trzecich, których dane mają zostać zarejestrowane w EES, należy udzielić odpowiednich informacji w związku z zarejestrowaniem tych danych. Informacji takich powinny udzielać - w formie pisemnej i przy użyciu odpowiednich środków, takich jak na przykład ulotka, plakat lub wszelkie inne odpowiednie środki elektroniczne - państwa członkowskie.

(44) W celu skutecznego monitorowania stosowania niniejszego rozporządzenia, niniejsze rozporządzenie powinno podlegać regularnym ocenom.

(45) Państwa członkowskie powinny ustanowić przepisy dotyczące sankcji mających zastosowanie w przypadku naruszenia przepisów niniejszego rozporządzenia oraz zapewnić ich wykonanie.

(46) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 18 .

(47) Ponieważ cele niniejszego rozporządzenia, mianowicie stworzenie EES i wprowadzenie wspólnych obowiązków, warunków i procedur dotyczących wykorzystywania danych nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na skalę i skutki działań możliwe jest ich lepsze osiągniecie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej (TEU). Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(48) W związku z uruchomieniem EES należy zmienić Konwencję wykonawczą do układu z Schengen z dnia 14 czerwca 1985 r. między Rządami Państw Unii Gospodarczej Beneluksu, Republiki Federalnej Niemiec oraz Republiki Francuskiej w sprawie stopniowego znoszenia kontroli na wspólnych granicach 19  (zwaną dalej "konwencją wykonawczą do układu z Schengen") w odniesieniu do umów dwustronnych zawartych przez państwa członkowskie oraz długości dozwolonego pobytu obywateli państw trzecich, którzy są zwolnieni z wymogu posiadania wizy, przekraczającego 90 dni w każdym okresie180-dniowym. W swojej ogólnej ocenie dotyczącej EES Komisja powinna uwzględnić również sposób wykorzystywania umów dwustronnych zawartych przez państwa członkowskie. Komisja powinna mieć możliwość włączenia do pierwszego sprawozdania z oceny rozwiązań przewidujących stopniowe wycofywanie takich umów dwustronnych i zastąpienie ich instrumentem unijnym.

(49) Przewidywane koszty EES są niższe niż budżet przeznaczony w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 515/2014 20  na inteligentne granice. W związku z powyższym po przyjęciu niniejszego rozporządzenia, Komisja powinna, w drodze aktu delegowanego, zgodnie z rozporządzeniem (UE) nr 515/2014, ponownie przydzielić kwotę przypisaną obecnie na rozwijanie systemów informatycznych wspomagających zarządzanie przepływami migracyjnymi przez granice zewnętrzne.

(50) Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2004/38/WE.

(51) Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do TUE i do Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje. Ponieważ niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, zgodnie z art. 4 tego protokołu Dania - w terminie sześciu miesięcy po przyjęciu przez Radę niniejszego rozporządzenia - podejmie decyzję, czy dokona jego transpozycji do prawa krajowego.

(52) Niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, które nie mają zastosowania do Zjednoczonego Królestwa zgodnie z decyzją Rady 2000/365/WE 21 ; Zjednoczone Królestwo nie uczestniczy w związku z tym w jego przyjęciu i nie jest nim związane, ani go nie stosuje.

(53) Niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, które nie mają zastosowania do Irlandii zgodnie z decyzją Rady 2002/192/WE 22 ; Irlandia nie uczestniczy w związku z tym w jego przyjęciu i nie jest nim związana, ani go nie stosuje.

(54) W odniesieniu do Islandii i Norwegii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 23 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE 24 .

(55) W odniesieniu do Szwajcarii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 25 , które wchodzą w zakres obszaru, o którym mowa w art. 1 pkt A decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/146/WE 26  i art. 3 decyzji Rady 2008/149/WSiSW 27 .

(56) W odniesieniu do Liechtensteinu niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 28 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2011/350/UE 29  i art. 3 decyzji Rady 2011/349/UE 30 .

(57) W odniesieniu do Cypru, Bułgarii, Rumunii i Chorwacji przepisy niniejszego rozporządzenia dotyczące SIS i VIS stanowią przepisy oparte na dorobku Schengen lub w inny sposób z nim związane w rozumieniu - odpowiednio - art. 3 ust. 2 Aktu przystąpienia z 2003 r., art. 4 ust. 2 Aktu przystąpienia z 2005 r. i art. 4 ust. 2 Aktu przystąpienia z 2011 r. w związku z decyzjami Rady 2010/365/UE 31 , (UE) 2017/733 32  i (UE) 2017/1908 33 . Ponadto, aby zapewnić działanie EES, konieczne jest udzielenie biernego dostępu do VIS i wprowadzenie w życie zgodnie z odpowiednimi decyzjami Rady wszystkich przepisów dorobku Schengen dotyczących SIS. Warunki te mogą zostać spełnione wyłącznie po zakończeniu z pozytywnym wynikiem weryfikacji przeprowadzanej zgodnie z mającą zastosowanie procedurą oceny Schengen. Oznacza to, że EES powinny posługiwać się tylko te państwa członkowskie, które spełnią te warunki przed uruchomieniem EES. Państwa członkowskie, które nie posługują się EES od chwili jego uruchomienia, powinny zostać podłączone do EES zgodnie z procedurą określoną w niniejszym rozporządzeniu, jak tylko spełnione zostaną wszystkie te warunki.

(58) Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 przeprowadzono konsultacje z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 21 września 2016.

(59) W niniejszym rozporządzeniu ustanowiono rygorystyczne zasady dostępu do EES jak również niezbędne zabezpieczenia takiego dostępu. Określono w nim również prawa osób fizycznych do dostępu, sprostowania, uzupełniania i usunięcia oraz środki prawne, w szczególności prawo do skorzystania ze środka ochrony prawnej przed sądem i nadzorowanie operacji przetwarzania przez niezależne organy publiczne. Niniejsze rozporządzenie nie narusza zatem praw podstawowych i przestrzega zasad uznanych w Karcie praw podstawowych Unii Europejskiej, w szczególności prawa do godności człowieka, zakazu niewolnictwa i pracy przymusowej, prawa do wolności i bezpieczeństwa osobistego, poszanowania życia prywatnego i rodzinnego, ochrony danych osobowych, prawa do niedyskryminacji, praw dziecka, praw osób w podeszłym wieku, integracji osób niepełnosprawnych oraz prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu.

(60) Niniejsze rozporządzenie pozostaje bez uszczerbku dla obowiązków wynikających z Konwencji genewskiej z dnia 28 lipca 1951 r. dotyczącej statusu uchodźców, uzupełnionej Protokołem nowojorskim z dnia 31 stycznia 1967 r.,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: