Rådet for Den Europæiske Union Bruxelles, den 27. januar 2017 (OR. en) Interinstitutionel sag: 2016/0352 (NLE) 5726/17 SCH-EVAL 32 COMIX 67 RESULTAT AF DRØFTELSERNE fra: Generalsekretariatet for Rådet dato: 27. januar 2017 til: delegationerne Tidl. dok. nr.: 5225/1/17 REV 1 Vedr.: Rådets gennemførelsesafgørelse om fastlæggelse af en henstillingom afhjælpning af de mangler, der blev konstateret ved evalueringen i 2016 af Luxembourgs anvendelse af Schengenreglerne for så vidt angår databeskyttelse Vedlagt følger til delegationerne Rådets gennemførelsesafgørelse om fastlæggelse af en henstilling om afhjælpning af de mangler, der blev konstateret ved evalueringen i 2016 af Luxembourgs anvendelse af Schengenreglerne for så vidt angår databeskyttelse, som Rådet vedtog på 3515. samling den 27. januar 2017. I overensstemmelse med artikel 15, stk. 3, i Rådets forordning (EU) nr. 1053/2013 af 7. oktober 2013 fremsendes denne henstilling til Europa-Parlamentet og de nationale parlamenter. 5726/17 js/js/sl 1 DG D 1 A DA
BILAG Rådets gennemførelsesafgørelse om fastlæggelse af en HENSTILLING om afhjælpning af de mangler, der blev konstateret ved evalueringen i 2016 af Luxembourgs anvendelse af Schengenreglerne for så vidt angår databeskyttelse RÅDET FOR DEN EUROPÆISKE UNION HAR under henvisning til Rådets forordning (EU) nr. 1053/2013 af 7. oktober 2013 om indførelse af en evaluerings- og overvågningsmekanisme til kontrol af anvendelsen af Schengenreglerne og om ophævelse af Eksekutivkomitéens afgørelse af 16. september 1998 om nedsættelse af et stående udvalg for evaluering og anvendelse af Schengenreglerne 1, særlig artikel 15, under henvisning til forslag fra Europa-Kommissionen, og ud fra følgende betragtninger: (1) Formålet med denne afgørelse om fastlæggelse af en henstilling er at fremsætte en række henstillinger om foranstaltninger til Luxembourg for at afhjælpe de mangler, der blev konstateret under Schengenevalueringen i 2016 på området databeskyttelse. Efter evalueringen vedtog Kommissionen ved gennemførelsesafgørelse [C(2016)7200] en rapport om resultaterne og vurderingen heraf, som indeholder en liste over bedste praksis og mangler, der blev konstateret under evalueringen. (2) De aktiviteter, der gennemføres af Luxembourgs databeskyttelsesmyndigheder ("Commission Nationale pour la Protection des Données" og "tilsynsmyndigheden efter artikel 17") og udenrigs- og Europaministeriet for så vidt angår oplysninger om databeskyttelsesaspekter, navnlig registreredes rettigheder i forhold til Schengeninformationssystemet II og Visuminformationssystemet, betragtes som god praksis. 1 EUT L 295 af 6.11.2013, s. 27. 5726/17 js/js/sl 2
(3) I lyset af betydningen af at overholde Schengenreglerne og navnlig af at sikre, at personoplysninger i det nationale VIS behandles lovligt, bør det prioriteres at gennemføre henstilling nr. 7. (4) Denne afgørelse om fastlæggelse af en henstilling bør sendes til Europa-Parlamentet og medlemsstaternes parlamenter. Inden tre måneder efter vedtagelsen skal den evaluerede medlemsstat i medfør af artikel 16, stk. 1, i forordning (EU) nr. 1053/2013 fastsætte en handlingsplan for at afhjælpe de mangler, der blev konstateret i evalueringsrapporten, og fremlægge handlingsplanen for Kommissionen og Rådet VEDTAGET DENNE HENSTILLING: Luxembourg bør Lovgivning 1. hvis de luxembourgske myndigheders drøftelser om fremtiden for tilsynsmyndigheden efter artikel 17 ikke medfører, at myndigheden lægges sammen med den nationale databeskyttelsesmyndighed "Commission Nationale pour la Protection des Données" (CNPD), vedtage en forordning om tilsynsmyndighedens organisationsstruktur og drift, jf. artikel 17, stk. 2, i databeskyttelsesloven 2, for at sikre, at tilsynsmyndigheden udfører sine Schengenrelaterede opgaver korrekt Tilsynsmyndigheder for databeskyttelse 2. for at sikre fuldstændig uafhængighed for CNPD ændre de nationale bestemmelser vedrørende afskedigelse af CNPD's medlemmer og stedfortrædere på en sådan måde, at retsgrundlaget for afskedigelse er klart defineret og ikke kun baseret på en fortolkning af den eksisterende lovgivning. Det bør udtrykkeligt fastslås, at CNPD's medlemmer og stedfortrædere kun kan afskediges i særlige situationer, navnlig på grund af alvorligt embedsmisbrug 2 Lov af 2. august 2002 (som ændret) om beskyttelse af personer for så vidt angår behandling af personoplysninger. 5726/17 js/js/sl 3
3. afklare og styrke situationen for tilsynsmyndigheden. Det er de luxembourgske myndigheders ansvar at beslutte, hvordan situationen for tilsynsmyndigheden bør afklares og styrkes. Det kan f.eks. ske ved den allerede drøftede sammenlægning af CNPD og tilsynsmyndigheden eller ved opretholdelse af tilsynsmyndigheden som en selvstændig myndighed med tildeling af et budget og det nødvendige personale med juridisk og teknisk kendskab samt udstedelse af den forordning, der er omhandlet i artikel 17 i databeskyttelsesloven 4. hvis tilsynsmyndigheden bibeholdes som en selvstændig myndighed, tillægge den styrkede beføjelser, navnlig for at sikre håndhævelse af dens foranstaltninger og afgørelser, f.eks. for så vidt angår politiet. Disse beføjelser bør være sammenlignelige med CNPD's beføjelser 5. sikre, at tilsynsmyndigheden overvåger de retshåndhævende myndigheders behandling af personoplysninger i Schengeninformationssystemet II (SIS II) og oplysninger i Visuminformationssystemet (VIS) med hensyn til lovlighed, herunder kontrol af logfiler på mere regelmæssig vis 6. sikre, at CNPD overvåger, at behandlingen af personoplysninger i VIS foregår på lovlig vis, herunder kontrol af logfiler på mere regelmæssig vis 7. garantere, at CNPD og tilsynsmyndigheden sikrer, at der mindst hvert fjerde år vil blive gennemført kontroller af behandlingen af oplysninger i det nationale VIS-system. Eftersom fristen for den første kontrol (oktober 2015) ikke er blevet overholdt, bør der træffes foranstaltninger til at opfylde denne forpligtelse snarest muligt De registreredes rettigheder 8. overveje at foreskrive, at tilsynsmyndigheden skal give mere gennemsigtige svar på de registreredes anmodninger om aktindsigt i de personoplysninger om dem, der er lagret i SIS II 9. sikre, at tilsynsmyndighedens svar på de registreredes anmodninger om aktindsigt indeholder oplysninger om retten til domstolsprøvelse 10. sikre, at oplysningerne om registreredes rettigheder for så vidt angår SIS II på webstedet for det luxembourgske politi er lettere at finde; disse oplysninger bør også findes på engelsk 5726/17 js/js/sl 4
11. sikre, at udenrigs- og Europaministeriet udpeger en person/enhed til at behandle de registreredes anmodninger om aktindsigt, berigtigelse eller sletning for så vidt angår de personoplysninger om dem, der er lagret i VIS Visuminformationssystemet 12. sikre, at udenrigs- og Europaministeriet udarbejder en omfattende og klar metode og praksis for egenkontrol af sikkerhedsforanstaltningernes effektivitet for så vidt angår datasikkerhed og databeskyttelse, jf. artikel 32, stk. 2, litra k), i forordning (EF) nr. 767/2008 og artikel 9, stk. 2, litra k), i Rådets afgørelse 2008/633/RIA om VIS, herunder regelmæssig kontrol af lovligheden af behandlingen af oplysningerne i VIS baseret på logfiler 13. sikre, at logfiler i det nationale VIS lagres og slettes i henhold til artikel 34 i forordning (EF) nr. 767/2008 og artikel 16 i Rådets afgørelse om VIS 14. gennemføre tekniske og organisatoriske foranstaltninger for at sikre sletning af filer i AE.VIS (national visumdatabase) ved udløbet af den fastsatte datalagringsperiode Schengeninformationssystem II 15. sikre, at politiet udarbejder en omfattende og klar metode og praksis for egenkontrol af dets sikkerhedsforanstaltningers effektivitet for så vidt angår datasikkerhed og databeskyttelse, jf. artikel 10, stk. 1, litra k), i forordning (EF) nr. 1987/2006 og artikel 10, stk. 1, litra k), i Rådets afgørelse om SIS II (2007/533/RIA af 12. juni 2007) 16. sikre, at SIS II-logfiler anvendes regelmæssigt til at kontrollere lovligheden af behandlingen af oplysningerne i SIS II. Politiet bør foretage stikprøver af logfiler for at afsløre ethvert eventuelt misbrug af oplysninger i den nationale del af SIS (N-SIS) 5726/17 js/js/sl 5
Oplysninger til offentligheden 17. fremlægge generelle oplysninger om behandlingen af personoplysninger og databeskyttelse i relation til SIS II på webstedet for det luxembourgske politi. Udfærdiget i Bruxelles, den [...]. På Rådets vegne Formand 5726/17 js/js/sl 6