(1) System Informacyjny Schengen (SIS) stanowi zasadnicze narzędzie stosowania postanowień dorobku Schengen, który został włączony w ramy Unii Europejskiej. SIS jest jednym z głównych środków kompensacyjnych, które przyczyniają się do utrzymania wysokiego poziomu bezpieczeństwa w przestrzeni wolności, bezpieczeństwa i sprawiedliwości Unii poprzez wspomaganie współpracy operacyjnej między właściwymi organami krajowymi, w szczególności strażą graniczną, policją, organami celnymi, organami imigracyjnymi oraz organami odpowiadającymi za zapobieganie przestępstwom, ich wykrywanie, prowadzenie w ich sprawie postępowań przygotowawczych lub ich ściganie lub za wykonywanie kar.

(2) SIS został pierwotnie ustanowiony na mocy postanowień tytułu IV Konwencji wykonawczej z dnia 19 czerwca 1990 r. do układu z Schengen z dnia 14 czerwca 1985 r. między Rządami Państw Unii Gospodarczej Beneluksu, Republiki Federalnej Niemiec oraz Republiki Francuskiej w sprawie stopniowego znoszenia kontroli na wspólnych granicach 2  ("konwencja wykonawcza do układu z Schengen"). Opracowanie systemu SIS drugiej generacji (SIS II) powierzono Komisji na mocy rozporządzenia Rady (WE) nr 2424/2001 3  i decyzji Rady 2001/886/WSiSW 4 . Został on następnie ustanowiony rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 1987/2006 5  i decyzją Rady 2007/533/WSiSW 6 . SIS II zastąpił SIS utworzony na mocy konwencji wykonawczej do układu z Schengen.

(3) Trzy lata po uruchomieniu SIS II Komisja przeprowadziła ocenę systemu zgodnie z rozporządzeniem (WE) nr 1987/2006 oraz decyzją 2007/533/WSiSW. W dniu 21 grudnia 2016 r. Komisja przekazała Parlamentowi Europejskiemu i Radzie sprawozdanie w sprawie oceny Systemu Informacyjnego Schengen drugiej generacji (SIS II) zgodnie z art. 24 ust. 5, art. 43 ust. 3 i art. 50 ust. 5 rozporządzenia (WE) nr 1987/2006 i art. 59 ust. 3 i art. 66 ust. 5 decyzji 2007/533/WSiSW oraz towarzyszący mu dokument roboczy służb Komisji. Zalecenia zawarte w tych dokumentach powinny znaleźć odzwierciedlenie, w stosownych przypadkach, w niniejszym rozporządzeniu.

(4) Niniejsze rozporządzenie stanowi podstawę prawną systemu SIS w kwestiach objętych zakresem stosowania rozdziału 2 tytułu V części trzeciej Traktatu o funkcjonowaniu Unii Europejskiej (TFUE). Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1862 7  stanowi podstawę prawną systemu SIS w kwestiach objętych zakresem stosowania rozdziałów 4 i 5 tytułu V części trzeciej TFUE.

(5) Fakt, że podstawa prawna systemu SIS składa się z odrębnych aktów, nie narusza zasady, że SIS stanowi -i powinien funkcjonować jako - jednolity system informacyjny. Jego elementem powinna być jednolita sieć biur krajowych zwanych biurami SIRENE, które zapewnią wymianę informacji uzupełniających. Niektóre przepisy tych aktów powinny być zatem identyczne.

(6) Należy dokładnie określić przeznaczenie SIS, niektóre elementy jego architektury technicznej i jego finansowanie, ustanowić zasady jego funkcjonowania i użytkowania w całym cyklu oraz określić zakresy odpowiedzialności. Ponadto należy ustalić kategorie danych, które będą wprowadzane do systemu, cele, do jakich dane te mają być wprowadzane i przetwarzane oraz kryteria ich wprowadzania. Konieczne są również zasady dotyczące usuwania wpisów, organów uprawnionych do dostępu do danych, korzystania z danych biometrycznych oraz dalsze zasady w zakresie ochrony i przetwarzania danych.

(7) Wpisy w SIS zawierają wyłącznie informacje niezbędne do zidentyfikowania osób i do podjęcia działań. Państwa członkowskie powinny zatem w razie potrzeby przeprowadzać wymianę informacji uzupełniających związanych z wpisami.

(8) SIS obejmuje system centralny (system centralny SIS) oraz systemy krajowe. Systemy krajowe mogą zawierać pełną lub częściową kopię bazy danych SIS, z której mogą wspólnie korzystać dwa państwa członkowskie lub większa ich liczba. Z uwagi na to, że SIS jest najważniejszym narzędziem wymiany informacji w Europie na potrzeby zapewnienia bezpieczeństwa i skutecznego zarządzania granicami, konieczne jest zapewnienie jego nieprzerwanego funkcjonowania na szczeblu centralnym i krajowym. Dostępność SIS należy ściśle monitorować na szczeblu centralnym i szczeblu państw członkowskich, a wszelkie przypadki jego niedostępności dla użytkowników końcowych należy rejestrować i zgłaszać zainteresowanym stronom na szczeblu krajowym i unijnym. Każde państwo członkowskie powinno utworzyć wersję zapasową swojego systemu krajowego. Państwa członkowskie powinny także zapewnić nieprzerwaną łączność z systemem centralnym SIS dzięki zdublowanym, fizycznie i geograficznie oddzielonym punktom dostępowym. System centralny SIS i infrastruktura łączności powinny funkcjonować w taki sposób, by zapewnić możliwość ich użytkowania przez 24 godziny na dobę, 7 dni w tygodniu. Z tego względu Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (zwana dalej "eu-LISA"), ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1726 8  powinna wdrożyć - z uwzględnieniem niezależnej oceny skutków oraz analizy kosztów i korzyści - rozwiązania techniczne, które zwiększą niezakłóconą dostępność SIS.

(9) Należy utrzymać podręcznik określający szczegółowe zasady wymiany informacji uzupełniających dotyczących działania, które należy podjąć w następstwie wpisów (zwany dalej "podręcznikiem SIRENE"). Biura SIRENE w każdym państwie członkowskim powinny zapewnić szybką i skuteczną wymianę takich informacji.

(10) Aby zapewnić skuteczną wymianę informacji uzupełniających, w tym informacji na temat podjęcia działania określonego we wpisach, należy wzmocnić funkcjonowanie biur SIRENE poprzez określenie wymogów dotyczących dostępnych zasobów oraz szkoleń użytkowników i czasu na udzielenie odpowiedzi na pytania nadesłane z innych biur SIRENE.

(11) Państwa członkowskie powinny zapewnić, by pracownicy ich biura SIRENE posiadali umiejętności językowe i wiedzę na temat odpowiednich przepisów i zasad proceduralnych niezbędne do wykonywania ich zadań.

(12) W celu umożliwienia pełnego korzystania z funkcji SIS państwa członkowskie powinny zapewnić, by użytkownicy końcowi i pracownicy biur SIRENE przechodzili regularne szkolenia, w tym w zakresie bezpieczeństwa, ochrony danych i jakości danych. Biura SIRENE powinny być włączane w opracowywanie programów szkoleniowych. W miarę możliwości biura SIRENE powinny również przewidzieć organizowanie przynajmniej raz w roku wymiany pracowników z innymi biurami SIRENE. Zachęca się państwa członkowskie do podejmowania odpowiednich działań, które pozwolą uniknąć utraty umiejętności i doświadczenia wynikającej z rotacji pracowników.

(13) Za zarządzanie operacyjne centralnymi komponentami SIS odpowiada eu-LISA. Aby umożliwić eu-LISA przeznaczenie niezbędnych zasobów finansowych i kadrowych pokrywających wszystkie aspekty zarządzania operacyjnego systemem centralnym SIS i infrastrukturą łączności, w niniejszym rozporządzeniu należy szczegółowo określić jej zadania, w szczególności w odniesieniu do technicznych aspektów prowadzenia wymiany informacji uzupełniających.

(14) Bez uszczerbku dla spoczywającego na państwach członkowskich obowiązku zapewnienia, by dane wprowadzane do SIS były prawidłowe, oraz dla roli biur SIRENE jako koordynatorów jakości, eu-LISA powinna być odpowiedzialna za podnoszenie jakości danych poprzez wprowadzenie centralnego narzędzia monitorowania jakości danych oraz powinna przekazywać Komisji i państwom członkowskim sprawozdania w regularnych odstępach czasu. Komisja powinna informować Parlament Europejski i Radę o napotkanych problemach związanych z jakością danych. Aby w większym stopniu poprawić jakość danych w SIS, eu-LISA powinna także oferować krajowym podmiotom prowadzącym szkolenia oraz, w miarę możliwości, biurom SIRENE i użytkownikom końcowym szkolenia na temat użytkowania SIS.

(15) Aby umożliwić lepsze monitorowanie użytkowania SIS oraz analizowanie tendencji związanych z presją migracyjną i zarządzaniem granicami, eu-LISA powinna mieć możliwość rozwijania nowoczesnych zdolności w zakresie prowadzenia sprawozdawczości statystycznej z przeznaczeniem dla państw członkowskich, Parlamentu Europejskiego, Rady, Komisji, Europolu i Europejskiej Agencji Straży Granicznej i Przybrzeżnej, bez naruszania integralności danych. Należy zatem utworzyć centralne repozytorium. Statystyki przechowywane w tym repozytorium lub uzyskiwane z niego nie powinny zawierać danych osobowych. Państwa członkowskie powinny przekazywać statystyki dotyczące korzystania z prawa do dostępu, sprostowania nieprawidłowych danych i usuwania danych przechowywanych niezgodnie z prawem w ramach współpracy między organami nadzorczymi a Europejskim Inspektorem Ochrony Danych na podstawie niniejszego rozporządzenia.

(16) Do SIS należy wprowadzić nowe kategorie danych, aby umożliwić użytkownikom końcowym bezzwłoczne podejmowanie uzasadnionych decyzji na podstawie wpisu. W związku z tym wpisy do celu odmowy wjazdu i pobytu powinny zawierać informacje dotyczące decyzji będącej podstawą wpisu. Ponadto w celu ułatwienia identyfikacji i wykrywania przypadków posługiwania się wieloma tożsamościami wpis powinien, w przypadku, gdy takie informacje są dostępne, zawierać odniesienie do dokumentu identyfikacyjnego danej osoby lub jego numer i kopię takiego dokumentu, w miarę możliwości w kolorze.

(17) Właściwe organy powinny mieć możliwość, jeżeli jest to ściśle niezbędne, wprowadzania do SIS konkretnych informacji odnoszących się do wszelkich szczególnych obiektywnych cech fizycznych danej osoby niepodlegających zmianie, takich jak tatuaże, znamiona lub blizny.

(18) Aby zminimalizować ryzyko fałszywych trafień i ograniczyć niepotrzebne działania operacyjne, przy tworzeniu wpisu należy wprowadzić wszelkie stosowne dane, o ile są one dostępne, w szczególności imię danej osoby.

(19) W SIS nie należy przechowywać żadnych danych wykorzystywanych do wyszukiwań, z wyjątkiem rejestrów służących do sprawdzenia, czy dane wyszukiwanie jest zgodne z prawem, do monitorowania zgodności przetwarzania danych z prawem, do monitorowania własnej działalności oraz do zapewniania należytego działania systemów krajowych, a także integralności i bezpieczeństwa danych.

(20) SIS powinien umożliwiać przetwarzanie danych biometrycznych, aby ułatwić niezawodną identyfikację odnośnych osób. Wprowadzanie fotografii, wizerunków twarzy lub danych daktyloskopijnych do SIS oraz wykorzystywanie takich danych powinno być ograniczone do tego, co jest niezbędne do osiągnięcia wyznaczonych celów, powinno być dopuszczalne na mocy prawa Unii, powinno być prowadzone z poszanowaniem praw podstawowych, w tym najlepszego interesu dziecka, oraz powinno być zgodne z prawem Unii dotyczącym ochrony danych, w tym z odpowiednimi przepisami niniejszego rozporządzenia dotyczącymi ochrony danych. Równocześnie w celu zapobieżenia niedogodnościom, jakie może spowodować błędna identyfikacja tych osób, SIS powinien też pozwalać na przetwarzanie danych dotyczących osób, których tożsamość została przywłaszczona, pod warunkiem zastosowania odpowiednich zabezpieczeń i uzyskania w odniesieniu do każdej kategorii danych, w szczególności odbitek linii papilarnych dłoni, zgody danej osoby i przy ścisłym ograniczeniu celów, do których takie dane osobowe mogą być zgodnie z prawem przetwarzane.

(21) Państwa członkowskie powinny wprowadzić niezbędne rozwiązania techniczne, tak aby za każdym razem, gdy użytkownicy końcowi będą uprawnieni do przeprowadzenia wyszukiwania w krajowej bazie danych policji lub bazie imigracyjnej, mogli oni równolegle przeprowadzić wyszukiwanie w SIS z zastrzeżeniem zasad określonych w art. 4 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 9  i art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 10 . Dzięki temu SIS będzie mógł działać jako główny środek kompensacyjny na obszarze bez kontroli na granicach wewnętrznych i lepiej uwzględniać transgraniczny wymiar przestępczości i mobilność przestępców.

(22) W niniejszym rozporządzeniu należy określić warunki korzystania z danych daktyloskopijnych, fotografii i wizerunków twarzy w celach identyfikacyjnych i weryfikacyjnych. Wizerunki twarzy i fotografie do celów identyfikacyjnych powinny początkowo być wykorzystywane wyłączne na stałych przejściach granicznych. Takie wykorzystywanie powinno być przedmiotem sprawozdania Komisji potwierdzającego dostępność, niezawodność i gotowość rozwiązań technologicznych.

(23) Należy zezwolić na przeszukiwanie danych daktyloskopijnych przechowywanych w SIS przy zastosowaniu kompletnych lub niekompletnych zestawów odbitek linii papilarnych palców lub odbitek linii papilarnych dłoni, które znaleziono na miejscu przestępstwa, jeżeli z dużym prawdopodobieństwem można stwierdzić, że należą one do sprawcy poważnego przestępstwa lub przestępstwa terrorystycznego, pod warunkiem że wyszukiwanie przeprowadzane jest równolegle w odpowiednich krajowych bazach danych zawierających dane daktyloskopijne. Szczególną uwagę należy poświęcić ustaleniu norm jakości mających zastosowanie do przechowywania danych biometrycznych.

(24) W przypadku gdy tożsamości danej osoby nie można ustalić w żaden inny sposób, do próby identyfikacji należy wykorzystać dane daktyloskopijne. Identyfikacja danej osoby przy wykorzystaniu danych daktyloskopijnych powinna być dopuszczalna we wszystkich przypadkach.

(25) Państwa członkowskie powinny mieć możliwość tworzenia w SIS odsyłaczy pomiędzy różnymi wpisami. Utworzenie odsyłaczy pomiędzy dwoma wpisami lub większą liczbą wpisów nie powinno mieć wpływu na działanie, które należy podjąć, na termin weryfikacji tych wpisów, ani na prawa do dostępu do nich.

(26) Większy stopień skuteczności, harmonizacji i spójności można osiągnąć poprzez ustanowienie obowiązku wprowadzania do SIS wszystkich zakazów wjazdu wydanych przez właściwe organy krajowe zgodnie z procedurami spełniającymi wymogi dyrektywy Parlamentu Europejskiego i Rady 2008/115/WE 11  oraz ustanowienie wspólnych zasad dotyczących wprowadzania wpisów dotyczących odmowy wjazdu i pobytu po powrocie nielegalnie przebywającego obywatela państwa trzeciego. Państwa członkowskie powinny podjąć wszelkie niezbędne działania w celu zapewnienia, by nie wystąpiła luka czasowa między momentem, w którym dany obywatel państwa trzeciego opuścił strefę Schengen, a aktywowaniem wpisu w SIS. Powinno to pozwolić na egzekwowanie zakazów wjazdu na przejściach granicznych na granicach zewnętrznych, i w związku z tym faktycznie uniemożliwić ponowny wjazd do strefy Schengen.

(27) Osoby, w odniesieniu do których podjęto decyzję o odmowie wjazdu i pobytu, powinny mieć prawo do wniesienia odwołania od tych decyzji. Prawo do wniesienia odwołania powinno być zgodne z dyrektywą 2008/115/WE, jeżeli dana decyzja dotyczy powrotu.

(28) Niniejsze rozporządzenie powinno ustanawiać obowiązkowe zasady konsultowania się z organami krajowymi i ich powiadamiania w przypadku, gdy obywatel państwa trzeciego posiada ważny dokument pobytowy lub ważną wizę długoterminową przyznane w jednym państwie członkowskim lub może je tam uzyskać, a inne państwo członkowskie zamierza dokonać lub już dokonało wpisu dotyczącego odmowy wjazdu i pobytu odnoszącego się do danego obywatela państwa trzeciego. W takich sytuacjach straż graniczna, policja i organy imigracyjne mogą mieć poważne wątpliwości. Należy zatem ustanowić obowiązkowe ramy czasowe dotyczące szybkich konsultacji, które powinny dać jednoznaczne wyniki, w celu zapewnienia, by obywatele państw trzecich, którzy są uprawnieni do legalnego pobytu na terytorium państw członkowskich, byli uprawnieni do wjazdu na to terytorium i mogli to zrobić bez trudności, oraz by tym, którzy nie są uprawnieni do wjazdu, ten wjazd uniemożliwić.

(29) W przypadku usunięcia wpisu w SIS w następstwie konsultacji między państwami członkowskimi państwo członkowskie dokonujące wpisu powinno mieć możliwość utrzymania danego obywatela państwa trzeciego w swoim krajowym wykazie wpisów.

(30) Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2004/38/WE Parlamentu Europejskiego i Rady 12 .

(31) Wpisów nie należy utrzymywać w SIS dłużej, niż jest to konieczne do osiągnięcia konkretnych celów, do których zostały wprowadzone. W terminie trzech lat od wprowadzenia wpisu do SIS państwo członkowskie dokonujące wpisu powinno zweryfikować, czy istnieje potrzeba jego dalszego utrzymywania. Jednakże jeżeli decyzja krajowa, która jest podstawą wpisu, przewiduje okres ważności dłuższy niż trzy lata, wpis należy zweryfikować w terminie pięciu lat. Decyzje o utrzymaniu wpisów dotyczących osób powinny być podejmowane na podstawie wszechstronnej indywidualnej oceny. Państwa członkowskie powinny w przed upływem wyznaczonego terminu weryfikacji przeprowadzać weryfikację wpisów dotyczących osób, a ponadto prowadzić statystyki na temat liczby wpisów dotyczących osób, w przypadku których okres przechowywania został przedłużony.

(32) Wprowadzenie wpisu w SIS, a także przedłużenie jego terminu ważności, powinno podlegać wymogowi zachowania proporcjonalności, poprzez zbadanie, czy konkretny przypadek jest wystarczająco adekwatny, odpowiedni i ważny, by uzasadnione było wprowadzenie wpisu do SIS. W przypadku przestępstw terrorystycznych każdy przypadek należy uznać za wystarczająco adekwatny, odpowiedni i ważny dla uzasadnienia wpisu w SIS. Ze względu na bezpieczeństwo publiczne lub narodowe państwa członkowskie powinny wyjątkowo mieć możliwość niewprowadzania wpisu do SIS, jeśli istnieje prawdopodobieństwo, że utrudniłby on prowadzenie urzędowych lub sądowych dochodzeń, postępowań przygotowawczych lub procedur.

(33) Kluczowe znaczenie ma integralność danych SIS. Należy zatem przewidzieć odpowiednie zabezpieczenia przy przetwarzaniu danych SIS na szczeblu centralnym i krajowym w celu zapewnienia bezpieczeństwa danych w całym cyklu. Organy uczestniczące w przetwarzaniu danych powinny być objęte wymogami bezpieczeństwa określonymi w niniejszym rozporządzeniu oraz podlegać jednolitej procedurze zgłaszania incydentów. Ich personel powinien zostać odpowiednio przeszkolony oraz zostać poinformowany o przestępstwach i sankcjach w tym zakresie.

(34) Danych przetwarzanych w SIS oraz powiązanych z nimi informacji uzupełniających podlegających wymianie zgodnie z niniejszym rozporządzeniem nie należy przekazywać ani udostępniać państwom trzecim ani organizacjom międzynarodowym.

(35) Aby zwiększyć skuteczność prac organów imigracyjnych w odniesieniu do podejmowania decyzji w sprawie prawa obywateli państw trzecich do wjazdu i pobytu na terytorium państw członkowskich oraz powrotu nielegalnie przebywających obywateli państw trzecich, należy przyznać tym organom dostęp do SIS na mocy niniejszego rozporządzenia.

(36) Bez uszczerbku dla bardziej szczegółowych przepisów ustanowionych w niniejszym rozporządzeniu, które regulują przetwarzanie danych osobowych, do przetwarzania danych osobowych przez państwa członkowskie na podstawie niniejszego rozporządzenia zastosowanie powinno mieć rozporządzenie (UE) 2016/679, z wyjątkiem sytuacji, gdy takiego przetwarzania dokonują właściwe organy krajowe do celów zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, prowadzenia w ich sprawie postępowań przygotowawczych, ich wykrywania lub ich ścigania.

(37) Bez uszczerbku dla bardziej szczegółowych przepisów ustanowionych w niniejszym rozporządzeniu, do przetwarzania zgodnie z niniejszym rozporządzeniem danych osobowych przez właściwe organy krajowe do celów zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywania, prowadzenia w ich sprawie postępowań przygotowawczych lub ich ścigania lub wykonywania kar zastosowanie powinny mieć krajowe przepisy ustawowe, wykonawcze i administracyjne przyjęte na mocy dyrektywy (UE) 2016/680. Dostęp do danych wprowadzonych do SIS i prawo do wyszukiwania takich danych przez właściwe organy krajowe, które odpowiadają za zapobieganie przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywanie, prowadzenie w ich sprawie postępowań przygotowawczych lub ich ściganie lub wykonywanie kar, podlegają wszystkim odpowiednim przepisom niniejszego rozporządzenia oraz przepisom dyrektywy (UE) 2016/680 transponowanym do prawa krajowego, w szczególności monitorowaniu przez krajowe organy nadzorcze, o których mowa w dyrektywie (UE) 2016/680.

(38) Do przetwarzania danych osobowych przez instytucje i organy Unii podczas wykonywania przez nie swoich obowiązków na mocy niniejszego rozporządzenia zastosowanie powinno mieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 13 .

(39) Do przetwarzania danych osobowych przez Europol na mocy niniejszego rozporządzenia zastosowanie powinno mieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 14 .

(40) Korzystając z SIS, właściwe organy powinny zapewnić poszanowanie godności i integralności osoby, której dane są przetwarzane. Przetwarzanie danych osobowych do celów niniejszego rozporządzenia nie może prowadzić do dyskryminacji w szczególności ze względu na płeć, pochodzenie rasowe lub etniczne, religię lub przekonania, niepełnosprawność, wiek lub orientację seksualną.

(41) W odniesieniu do zachowania poufności, do urzędników lub innych pracowników, którzy są zatrudnieni i pracują przy SIS, powinny mieć zastosowanie odpowiednie przepisy regulaminu pracowniczego urzędników Unii Europejskiej i warunków zatrudnienia innych pracowników Unii, określone w rozporządzeniu Rady (EWG, Euratom, EWWiS) nr 259/68 15  (zwanym dalej "regulaminem pracowniczym").

(42) Zarówno państwa członkowskie, jak i eu-LISA powinny utrzymywać plany bezpieczeństwa, które ułatwią realizację wymogów bezpieczeństwa, a także powinny ze sobą współpracować, tak aby rozpatrywać kwestie bezpieczeństwa ze wspólnego punktu widzenia.

(43) Niezależne krajowe organy nadzorcze, o których mowa w rozporządzeniu (UE) 2016/679 oraz dyrektywie (UE) 2016/680, (zwane dalej "organami nadzorczymi"), powinny monitorować zgodność z prawem przetwarzania danych osobowych przez państwa członkowskie na podstawie niniejszego rozporządzenia, w tym wymiany informacji uzupełniających. Organom nadzorczym należy zapewnić wystarczające zasoby umożliwiające wykonywanie tego zadania. Należy ustanowić prawa do dostępu do danych osobowych przechowywanych w SIS, do ich sprostowania i do ich usuwania przysługujące osobom, których dane dotyczą, a także należy ustanowić późniejsze środki ochrony prawnej przed sądami krajowymi oraz wzajemne uznawanie orzeczeń sądowych. Właściwe jest również wymaganie od państw członkowskich przedstawiania statystyk rocznych.

(44) Organy nadzorcze powinny zapewnić, aby co najmniej co cztery lata przeprowadzany był audyt operacji przetwarzania danych w ramach systemów krajowych ich państw członkowskich zgodnie z międzynarodowymi standardami audytu. Audyt powinien być prowadzony przez organy nadzorcze lub organy nadzorcze powinny bezpośrednio zlecić przeprowadzenie audytu niezależnemu audytorowi ds. ochrony danych. Niezależny audytor powinien pozostawać pod kontrolą odpowiednich organów nadzorczych i działać na odpowiedzialność tych organów, które w związku z tym powinny same zatrudniać audytora i określić jasno cel, zakres i metodykę audytu oraz wytyczne i nadzór dotyczące audytu i jego wyników końcowych.

(45) Europejski Inspektor Ochrony Danych powinien monitorować działalność instytucji i organów Unii w odniesieniu do przetwarzania danych osobowych na mocy niniejszego rozporządzenia. Europejski Inspektor Ochrony Danych oraz organy nadzorcze powinny współpracować ze sobą w zakresie monitorowania SIS.

(46) Europejskiemu Inspektorowi Ochrony Danych należy przyznać zasoby wystarczające do wykonywania zadań powierzonych mu na mocy niniejszego rozporządzenia, obejmujące pomoc ze strony osób mających specjalistyczną wiedzę w zakresie danych biometrycznych.

(47) Rozporządzenie (UE) 2016/794 stanowi, że Europol ma wspierać i wzmacniać działania prowadzone przez właściwe organy krajowe oraz współpracę między tymi organami w zakresie zwalczania terroryzmu i poważnej przestępczości oraz zapewniać analizę i oceny zagrożeń. Aby ułatwić Europolowi wykonywanie jego zadań, w szczególności w ramach Europejskiego Centrum Zwalczania Przemytu Migrantów, należy przyznać Europolowi dostęp do kategorii wpisów określonych w niniejszym rozporządzeniu.

(48) Aby zniwelować luki w udostępnianiu informacji na temat terroryzmu, w szczególności na temat zagranicznych bojowników terrorystycznych - w przypadku których monitorowanie przemieszczania się ma kluczowe znaczenie - zachęca się państwa członkowskie do udostępniania Europolowi informacji na temat działań związanych z terroryzmem. Udostępnianie informacji powinno następować w drodze wymiany z Europolem informacji uzupełniających dotyczących odpowiednich wpisów. W tym celu Europol powinien ustanowić połączenie z infrastrukturą łączności.

(49) Konieczne jest również określenie w odniesieniu do Europolu jasnych zasad dotyczących przetwarzania i pobierania danych SIS w celu umożliwienia kompleksowego użytkowania SIS, pod warunkiem przestrzegania norm ochrony danych zgodnie z niniejszym rozporządzeniem i rozporządzeniem (UE) 2016/794. Jeżeli w wyniku przeprowadzonych przez siebie wyszukiwań w SIS Europol stwierdzi istnienie wpisu wprowadzonego przez państwo członkowskie, nie będzie mógł podjąć wymaganego działania. Dlatego Europol powinien poinformować o tym dane państwo członkowskie w drodze wymiany informacji uzupełniających z odpowiednim biurem SIRENE, umożliwiając temu państwu członkowskiemu podjęcie dalszych działań w tej sprawie.

(50) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/1624 16  stanowi - na potrzeby tego rozporządzenia - że przyjmujące państwo członkowskie ma upoważnić członków zespołów, o których mowa w art. 2 pkt 8 tego rozporządzenia, rozmieszczonych przez Europejską Agencję Straży Granicznej i Przybrzeżnej, do korzystania z unijnych baz danych, w przypadku gdy jest to niezbędne do realizacji celów operacyjnych określonych w planie operacyjnym w odniesieniu do odpraw granicznych, ochrony granic i powrotów. Inne właściwe agencje Unii, w szczególności Europejski Urząd Wsparcia w dziedzinie Azylu i Europol, również mogą rozmieszczać -w ramach zespołów wspierających zarządzanie migracjami - ekspertów, którzy nie są pracownikami tych agencji Unii. Celem rozmieszczenia zespołów, o których mowa w art. 2 pkt 8 i 9 tego rozporządzenia, jest zapewnienie wsparcia technicznego i operacyjnego wnioskującym państwom członkowskim, zwłaszcza tym zmagającym się z wyjątkowo trudnymi wyzwaniami migracyjnymi. Aby zespoły, o których mowa w art. 2 pkt 8 i 9 rozporządzenia (UE) 2016/1624, mogły realizować swoje zadania, potrzebują one dostępu do SIS za pośrednictwem interfejsu technicznego Europejskiej Agencji Straży Granicznej i Przybrzeżnej łączącego ją z systemem centralnym SIS. Jeżeli w wyniku przeprowadzonych wyszukiwań w SIS zespoły, o których mowa w art. 2 pkt 8 i 9 tego rozporządzenia, lub zespoły pracowników stwierdzą istnienie wpisu wprowadzonego przez państwo członkowskie, członek zespołu lub pracownik nie będzie mógł podjąć wymaganego działania, chyba że został do tego upoważniony przez przyjmujące państwo członkowskie. Dlatego przyjmujące państwo członkowskie powinno zostać o tym poinformowane, co umożliwi mu podjęcie dalszych działań w tej sprawie. Przyjmujące państwo członkowskie powinno, w drodze wymiany informacji uzupełniających, powiadomić o trafieniu państwo członkowskie dokonujące wpisu.

(51) Niektóre aspekty SIS nie mogą zostać wyczerpująco ujęte w niniejszym rozporządzeniu ze względu na ich techniczny charakter, wysoki poziom szczegółowości i potrzebę regularnej aktualizacji. Dotyczy to na przykład technicznych zasad wprowadzania danych, aktualizacji, usuwania i wyszukiwania danych, jakości danych i zasad dotyczących danych biometrycznych, zasad dotyczących zgodności i hierarchii poszczególnych wpisów, odsyłaczy pomiędzy wpisami oraz prowadzenia wymiany informacji uzupełniających. W związku z tym należy powierzyć Komisji uprawnienia wykonawcze w zakresie tych aspektów. Techniczne zasady dotyczące wyszukiwania wpisów powinny uwzględniać sprawne funkcjonowanie aplikacji krajowych.

(52) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 17 . Procedury przyjmowania aktów wykonawczych na mocy niniejszego rozporządzenia i rozporządzenia (UE) 2018/1862 powinny być takie same.

(53) W celu zapewnienia przejrzystości, po upływie dwóch lat od rozpoczęcia eksploatacji SIS na podstawie niniejszego rozporządzenia, eu-Lisa powinna sporządzić sprawozdanie na temat technicznych aspektów funkcjonowania systemu centralnego SIS i infrastruktury łączności, w tym kwestii ich bezpieczeństwa, oraz na temat dwustronnej i wielostronnej wymiany informacji uzupełniających. Komisja powinna dokonywać ogólnej oceny co cztery lata.

(54) Aby zapewnić sprawne funkcjonowanie SIS, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE w odniesieniu do określenia warunków, w jakich - poza stałymi przejściami granicznymi -powinno być dozwolone wykorzystywanie fotografii i wizerunków twarzy do identyfikacji osób. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 18 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowywaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowywaniem aktów delegowanych.

(55) Ponieważ cele niniejszego rozporządzenia, czyli ustanowienie unijnego systemu informacyjnego i wymiany powiązanych informacji uzupełniających oraz dotyczących ich uregulowań, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na swój charakter możliwe jest ich lepsze ich osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej (TUE). Zgodnie z zasadą proporcjonalności, określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(56) Niniejsze rozporządzenie respektuje prawa podstawowe i jest zgodne z zasadami uznanymi w szczególności w Karcie praw podstawowych Unii Europejskiej. W szczególności niniejsze rozporządzenie zapewnia pełną ochronę danych osobowych zgodnie z art. 8 Karty praw podstawowych Unii Europejskiej, a jednocześnie dążyć do zapewnienia bezpiecznego otoczenia wszystkim osobom przebywającym na terytorium Unii oraz ochrony migrantów o nieuregulowanym statusie przed wykorzystywaniem i byciem przedmiotem handlu ludźmi. W przypadkach odnoszących się do dzieci należy przede wszystkim brać pod uwagę najlepszy interes dziecka.

(57) Szacowane koszty modernizacji systemów krajowych oraz wprowadzenia nowych funkcji przewidzianych w niniejszym rozporządzeniu są niższe niż kwota pozostała w linii budżetowej przeznaczonej na inicjatywę na rzecz inteligentnych granic w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 515/2014 19 . W związku z powyższym kwotę przypisaną zgodnie z rozporządzeniem (UE) nr 515/2014 na opracowywanie systemów informatycznych wspierających zarządzanie przepływami migracyjnymi przez granice zewnętrzne należy przydzielić państwom członkowskim i eu-LISA. Należy monitorować finansowe koszty modernizacji SIS oraz wdrożenia niniejszego rozporządzenia. W przypadku wyższych szacowanych kosztów w celu wsparcia państw członkowskich należy udostępnić unijne środki finansowe zgodnie z mającymi zastosowanie wieloletnimi ramami finansowymi.

(58) Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do TUE i do TFUE, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje. Ponieważ niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, zgodnie z art. 4 tego protokołu Dania podejmuje w terminie sześciu miesięcy po przyjęciu przez Radę niniejszego rozporządzenia decyzję, czy dokona jego transpozycji do swojego prawa krajowego.

(59) Niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, które nie mają zastosowania do Zjednoczonego Królestwa zgodnie z decyzją Rady 2000/365/WE 20 ; Zjednoczone Królestwo nie uczestniczy w związku z tym w przyjęciu niniejszego rozporządzenia i nie jest nim związane ani go nie stosuje.

(60) Niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, które nie mają zastosowania do Irlandii zgodnie z decyzją Rady 2002/192/WE 21 ; Irlandia nie uczestniczy w związku z tym w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje.

(61) W odniesieniu do Islandii i Norwegii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 22 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. G decyzji Rady 1999/437/WE 23 .

(62) W odniesieniu do Szwajcarii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 24 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. G decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/146/WE 25 .

(63) W odniesieniu do Liechtensteinu niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu o przystąpieniu Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 26 , które wchodzą w zakres obszaru, o którym mowa w art. 1 pkt G decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2011/350/UE 27 .

(64) W odniesieniu do Bułgarii i Rumunii niniejsze rozporządzenie jest aktem opartym na dorobku Schengen lub w inny sposób z nim związanym w rozumieniu, art. 4 ust. 2 Aktu przystąpienia z 2005 r. i należy je odczytywać w związku z decyzjami Rady 2010/365/UE 28  i (UE) 2018/934 29 .

(65) W odniesieniu do Chorwacji, niniejsze rozporządzenie jest aktem opartym na dorobku Schengen lub w inny sposób z nim związanym w rozumieniu art. 4 ust. 2 Aktu przystąpienia z 2011 r. i należy je odczytywać w związku z decyzją Rady (UE) 2017/733 30 .

(66) W odniesieniu do Cypru niniejsze rozporządzenie jest aktem opartym na dorobku Schengen lub w inny sposób z nim związanym w rozumieniu art. 3 ust. 2 Aktu przystąpienia z 2003 r.

(67) Niniejsze rozporządzenie wprowadza szereg usprawnień w SIS, które poprawią jego skuteczność, zwiększą ochronę danych i poszerzą prawa do dostępu. Niektóre z tych uprawnień nie wiążą się ze złożonymi zmianami technicznymi, inne zaś wymagają zmian technicznych o różnym zakresie. W celu zapewnienia, by usprawnienia zostały udostępnione użytkownikom końcowym jak najszybciej, niniejsze rozporządzenie wprowadza zmiany do rozporządzenia (WE) nr 1987/2006 obejmujące kilka etapów. Część usprawnień systemu powinna mieć zastosowanie natychmiast po wejściu w życie niniejszego rozporządzenia, natomiast pozostałe usprawnienia należy zacząć stosować jeden rok lub dwa lata po jego wejściu w życie. Niniejsze rozporządzenie należy stosować w całości w terminie trzech lat po jego wejściu w życie. Stopniowe wdrażanie niniejszego rozporządzenia powinno być ściśle monitorowane, tak aby zapobiec opóźnieniom w jego stosowaniu.

(68) Rozporządzenie (WE) nr 1987/2006 należy uchylić ze skutkiem od dnia rozpoczęcia pełnego stosowania niniejszego rozporządzenia.

(69) Zgodnie z art. 28 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 45/2001 31  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 3 maja 2017 r.,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: