2 Regulation (EU) No 603/2013 of the European Parliament and of the Council of 26 June 2013 on the establishment of 'Eurodac' for the comparison of fingerprints for the effective application of Regulation (EU) No 604/2013 establishing the criteria and mechanisms for determining the Member State responsible for examining an application for international protection lodged in one of the Member States by a third-country national or a stateless person and on requests for the comparison with Eurodac data by Member States' law enforcement authorities and Europol for law enforcement purposes, and amending Regulation (EU) No 1077/2011 establishing a European Agency for the operational management of large-scale IT systems in the area of freedom, security and justice

Official Journal L 180 , 29/06/2013 P. 0001 - 0030

THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,

Having regard to the Treaty on the Functioning of the European Union, and in particular Articles 78 (2)(e), 87(2)(a) and 88(2)(a) thereof,

Having regard to the proposal from the European Commission

Having regard to the opinion of the European Data Protection Supervisor1,

Acting in accordance with the ordinary legislative procedure2,

Whereas:

• (1) A number of substantive changes are to be made to Council Regulation (EC) No 2725/2000 of 11 December 2000 concerning the establishment of “Eurodac” for the comparison of fingerprints for the effective application of the Dublin Convention3 and to Council Regulation (EC) No 407/2002 of 28 February 2002 laying down certain rules to implement Regulation (EC) No 2725/2000 concerning the establishment of “Eurodac” for the comparison of fingerprints for the effective application of the Dublin Convention4. In the interest of clarity, those Regulations should be recast.

• (2) A common policy on asylum, including a Common European Asylum System, is a constituent part of the European Union's objective of progressively establishing an area of freedom, security and justice open to those who, forced by circumstances, seek international protection in the Union.

• (3) The European Council of 4 November 2004 adopted The Hague Programme which set the objectives to be implemented in the area of freedom, security and justice in the period 2005–2010. The European Pact on Immigration and Asylum endorsed by the European Council of 15- 16 October 2008 called for the completion of the establishment of a Common European Asylum System by creating a single procedure comprising common guarantees and a uniform status for refugees and for persons eligible for subsidiary protection.

• (4) For the purposes of applying Regulation (EU) No 604/2013 of the European Parliament and of the Council of 26 June 2013 establishing the criteria and mechanisms for determining the Member State responsible for examining an application for international protection lodged in one of the Member States by a third-country national or a stateless person5, it is necessary to establish the identity of applicants for international protection and of persons apprehended in connection with the unlawful crossing of the external borders of the Union. It is also desirable, in order effectively to apply Regulation (EU) No 604/2013, and in particular Article 18(1)(b) and (d) thereof, to allow each Member State to check whether a third-country national or stateless person found illegally staying on its territory has applied for international protection in another Member State.

• (5) Fingerprints constitute an important element in establishing the exact identity of such persons. It is necessary to set up a system for the comparison of their fingerprint data.

• (6) To that end, it is necessary to set up a system known as “Eurodac”, consisting of a Central System, which will operate a computerised central database of fingerprint data, as well as of the electronic means of transmission between the Member States and the Central System, hereinafter the “Communication Infrastructure”.

• (7) The Hague Programme called for the improvement of access to existing data filing systems in the Union. In addition, The Stockholm Programme called for well targeted data collection and a development of information exchange and its tools that is driven by law enforcement needs.

• (8) It is essential in the fight against terrorist offences and other serious criminal offences for the law enforcement authorities to have the fullest and most up-to-date information if they are to perform their tasks. The information contained in Eurodac is necessary for the purposes of the prevention, detection or investigation of terrorist offences as referred to in Council Framework Decision 2002/475/JHA of 13 June 2002 on combating terrorism6 or of other serious criminal offences as referred to in Council Framework Decision 2002/584/JHA of 13 June 2002 on the European arrest warrant and the surrender procedures between Member States7. Therefore, the data in Eurodac should be available, subject to the conditions set out in this Regulation, for comparison by the designated authorities of Member States and the European Police Office (Europol).

• (9) The powers granted to law enforcement authorities to access Eurodac should be without prejudice to the right of an applicant for international protection to have his or her application processed in due course in accordance with the relevant law. Furthermore, any subsequent follow-up after obtaining a “hit” from Eurodac should also be without prejudice to that right.

• (10) The Commission outlines in its Communication to the Council and the European Parliament of 24 November 2005 on improved effectiveness, enhanced interoperability and synergies among European databases in the area of Justice and Home Affairs that authorities responsible for internal security could have access to Eurodac in well defined cases, when there is a substantiated suspicion that the perpetrator of a terrorist or other serious criminal offence has applied for international protection. In that Communication the Commission also found that the proportionality principle requires that Eurodac be queried for such purposes only if there is an overriding public security concern, that is, if the act committed by the criminal or terrorist to be identified is so reprehensible that it justifies querying a database that registers persons with a clean criminal record, and it concluded that the threshold for authorities responsible for internal security to query Eurodac must therefore always be significantly higher than the threshold for querying criminal databases.

• (11) Moreover, Europol plays a key role with respect to cooperation between Member States' authorities in the field of cross-border crime investigation in supporting Union-wide crime prevention, analyses and investigation. Consequently, Europol should also have access to Eurodac within the framework of its tasks and in accordance with Council Decision 2009/371/JHA of 6 April 2009 establishing the European Police Office (Europol)8.

• (12) Requests for comparison of Eurodac data by Europol should be allowed only in specific cases, under specific circumstances and under strict conditions.

• (13) Since Eurodac was originally established to facilitate the application of the Dublin Convention, access to Eurodac for the purposes of preventing, detecting or investigating terrorist offences or other serious criminal offences constitutes a change of the original purpose of Eurodac, which interferes with the fundamental right to respect for the private life of individuals whose personal data are processed in Eurodac. Any such interference must be in accordance with the law, which must be formulated with sufficient precision to allow individuals to adjust their conduct and it must protect individuals against arbitrariness and indicate with sufficient clarity the scope of discretion conferred on the competent authorities and the manner of its exercise. Any interference must be necessary in a democratic society to protect a legitimate and proportionate interest and proportionate to the legitimate objective it aims to achieve.

• (14) Even though the original purpose of the establishment of Eurodac did not require the facility of requesting comparisons of data with the database on the basis of a latent fingerprint, which is the dactyloscopic trace which may be found at a crime scene, such a facility is fundamental in the field of police cooperation. The possibility to compare a latent fingerprint with the fingerprint data which is stored in Eurodac in cases where there are reasonable grounds for believing that the perpetrator or victim may fall under one of the categories covered by this Regulation will provide the designated authorities of the Member States with a very valuable tool in preventing, detecting or investigating terrorist offences or other serious criminal offences, when for example the only evidence available at a crime scene are latent fingerprints.

• (15) This Regulation also lays down the conditions under which requests for comparison of fingerprint data with Eurodac data for the purposes of preventing, detecting or investigating terrorist offences or other serious criminal offences should be allowed and the necessary safeguards to ensure the protection of the fundamental right to respect for the private life of individuals whose personal data are processed in Eurodac. The strictness of those conditions reflects the fact that the Eurodac database registers fingerprint data of persons who are not presumed to have committed a terrorist offence or other serious criminal offence.

• (16) With a view to ensuring equal treatment for all applicants and beneficiaries of international protection, as well as in order to ensure consistency with the current Union asylum acquis, in particular with Directive 2011/95/EU of the European Parliament and of the Council of 13 December 2011 on standards for the qualification of third-country nationals or stateless persons as beneficiaries of international protection, for a uniform status for refugees or for persons eligible for subsidiary protection, and for the content of the protection granted9 and Regulation (EU) No 604/2013, it is appropriate to extend the scope of this Regulation in order to include applicants for subsidiary protection and persons eligible for subsidiary protection.

• (17) It is also necessary to require the Member States promptly to take and transmit the fingerprint data of every applicant for international protection and of every third-country national or stateless person who is apprehended in connection with the irregular crossing of an external border of a Member State, if they are at least 14 years of age.

• (18) It is necessary to lay down precise rules for the transmission of such fingerprint data to the Central System, the recording of such fingerprint data and of other relevant data in the Central System, their storage, their comparison with other fingerprint data, the transmission of the results of such comparison and the marking and erasure of the recorded data. Such rules may be different for, and should be specifically adapted to, the situation of different categories of third-country nationals or stateless persons.

• (19) Member States should ensure the transmission of fingerprint data of an appropriate quality for the purpose of comparison by means of the computerised fingerprint recognition system. All authorities with a right of access to Eurodac should invest in adequate training and in the necessary technological equipment. The authorities with a right of access to Eurodac should inform the European Agency for the operational management of large-scale IT systems in the area of freedom, security and justice established by Regulation (EU) No 1077/2011 of the European Parliament and of the Council10 (the “Agency”) of specific difficulties encountered with regard to the quality of data, in order to resolve them.

• (20) The fact that it is temporarily or permanently impossible to take and/or to transmit fingerprint data, due to reasons such as insufficient quality of the data for appropriate comparison, technical problems, reasons linked to the protection of health or due to the data subject being unfit or unable to have his or her fingerprints taken owing to circumstances beyond his or her control, should not adversely affect the examination of or the decision on the application for international protection lodged by that person.

• (21) Hits obtained from Eurodac should be verified by a trained fingerprint expert in order to ensure the accurate determination of responsibility under Regulation (EU) No 604/2013 and the exact identification of the criminal suspect or victim of crime whose data might be stored in Eurodac.

• (22) Third-country nationals or stateless persons who have requested international protection in one Member State may have the option of requesting international protection in another Member State for many years to come. Therefore, the maximum period during which fingerprint data should be kept by the Central System should be of considerable length. Given that most third-country nationals or stateless persons who have stayed in the Union for several years will have obtained a settled status or even citizenship of a Member State after that period, a period of ten years should be considered a reasonable period for the storage of fingerprint data.

• (23) The storage period should be shorter in certain special situations where there is no need to keep fingerprint data for that length of time. Fingerprint data should be erased immediately once third-country nationals or stateless persons obtain citizenship of a Member State.

• (24) It is appropriate to store data relating to those data subjects whose fingerprints were initially recorded in Eurodac upon lodging their applications for international protection and who have been granted international protection in a Member State in order to allow data recorded upon lodging an application for international protection to be compared against them.

• (25) The Agency has been entrusted with the Commission's tasks relating to the operational management of Eurodac in accordance with this Regulation and with certain tasks relating to the Communication Infrastructure as from the date on which the Agency took up its responsibilities on 1 December 2012. The Agency should take up the tasks entrusted to it under this Regulation, and the relevant provisions of Regulation (EU) No 1077/2011 should be amended accordingly. In addition, Europol should have observer status at the meetings of the Management Board of the Agency when a question in relation to the application of this Regulation concerning access for consultation of Eurodac by designated authorities of Member States and by Europol for the purposes of the prevention, detection or investigation of terrorist offences or of other serious criminal offences is on the agenda. Europol should be able to appoint a representative to the Eurodac Advisory Group of the Agency.

• (26) The Staff Regulations of Officials of the European Union (Staff Regulations of Officials) and the Conditions of Employment of Other Servants of the European Union (“Conditions of Employment”), laid down in Regulation (EEC, Euratom, ECSC) No 259/68 of the Council11 (together referred to as the “Staff Regulations”) should apply to all staff working in the Agency on matters pertaining to this Regulation.

• (27) It is necessary to lay down clearly the respective responsibilities of the Commission and the Agency, in respect of the Central System and the Communication Infrastructure, and of the Member States, as regards data processing, data security, access to, and correction of, recorded data.

• (28) It is necessary to designate the competent authorities of the Member States as well as the National Access Point through which the requests for comparison with Eurodac data are made and to keep a list of the operating units within the designated authorities that are authorised to request such comparison for the specific purposes of the prevention, detection or investigation of terrorist offences or of other serious criminal offences.

• (29) Requests for comparison with data stored in the Central System should be made by the operating units within the designated authorities to the National Access Point, through the verifying authority and should be reasoned. The operating units within the designated authorities that are authorised to request comparisons with Eurodac data should not act as a verifying authority. The verifying authorities should act independently of the designated authorities and should be responsible for ensuring, in an independent manner, strict compliance with the conditions for access as established in this Regulation. The verifying authorities should then forward the request, without forwarding the reasons for it, for comparison through the National Access Point to the Central System following verification that all conditions for access are fulfilled. In exceptional cases of urgency where early access is necessary to respond to a specific and actual threat related to terrorist offences or other serious criminal offences, the verifying authority should process the request immediately and only carry out the verification afterwards.

• (30) The designated authority and the verifying authority may be part of the same organisation, if permitted under national law, but the verifying authority should act independently when performing its tasks under this Regulation.

• (31) For the purposes of protection of personal data, and to exclude systematic comparisons which should be forbidden, the processing of Eurodac data should only take place in specific cases and when it is necessary for the purposes of preventing, detecting or investigating terrorist offences or other serious criminal offences. A specific case exists in particular when the request for comparison is connected to a specific and concrete situation or to a specific and concrete danger associated with a terrorist offence or other serious criminal offence, or to specific persons in respect of whom there are serious grounds for believing that they will commit or have committed any such offence. A specific case also exists when the request for comparison is connected to a person who is the victim of a terrorist offence or other serious criminal offence. The designated authorities and Europol should thus only request a comparison with Eurodac when they have reasonable grounds to believe that such a comparison will provide information that will substantially assist them in preventing, detecting or investigating a terrorist offence or other serious criminal offence.

• (32) In addition, access should be allowed only on condition that comparisons with the national fingerprint databases of the Member State and with the automated fingerprinting identification systems of all other Member States under Council Decision 2008/615/JHA of 23 June 2008 on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime12 did not lead to the establishment of the identity of the data subject. That condition requires the requesting Member State to conduct comparisons with the automated fingerprinting identification systems of all other Member States under Decision 2008/615/JHA which are technically available, unless that Member State can justify that there are reasonable grounds to believe that it would not lead to the establishment of the identity of the data subject. Such reasonable grounds exist in particular where the specific case does not present any operational or investigative link to a given Member State. That condition requires prior legal and technical implementation of Decision 2008/615/JHA by the requesting Member State in the area of fingerprint data, as it should not be permitted to conduct a Eurodac check for law enforcement purposes where those above steps have not been first taken.

• (33) Prior to searching Eurodac, designated authorities should also, provided that the conditions for a comparison are met, consult the Visa Information System under Council Decision 2008/633/JHA of 23 June 2008 concerning access for consultation of the Visa Information System (VIS) by designated authorities of Member States and by Europol for the purposes of the prevention, detection and investigation of terrorist offences and of other serious criminal offences13.

• (34) For the purpose of efficient comparison and exchange of personal data, Member States should fully implement and make use of the existing international agreements as well as of Union law concerning the exchange of personal data already in force, in particular of Decision 2008/615/JHA.

• (35) The best interests of the child should be a primary consideration for Member States when applying this Regulation. Where the requesting Member State establishes that Eurodac data pertain to a minor, these data may only be used for law enforcement purposes by the requesting Member State in accordance with that State's laws applicable to minors and in accordance with the obligation to give primary consideration to the best interests of the child.

• (36) While the non-contractual liability of the Union in connection with the operation of the Eurodac system will be governed by the relevant provisions of the Treaty on the Functioning of the European Union (TFEU), it is necessary to lay down specific rules for the non-contractual liability of the Member States in connection with the operation of the system.

• (37) Since the objective of this Regulation, namely the creation of a system for the comparison of fingerprint data to assist the implementation of Union asylum policy, cannot, by its very nature, be sufficiently achieved by the Member States and can therefore be better achieved at Union level, the Union may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union (TEU). In accordance with the principle of proportionality, as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective.

• (38) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data14 applies to the processing of personal data by the Member States carried out in application of this Regulation unless such processing is carried out by the designated or verifying authorities of the Member States for the purposes of the prevention, detection or investigation of terrorist offences or of other serious criminal offences.

• (39) The processing of personal data by the authorities of the Member States for the purposes of the prevention, detection or investigation of terrorist offences or of other serious criminal offences pursuant to this Regulation should be subject to a standard of protection of personal data under their national law which complies with Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial co-operation in criminal matters15.

• (40) The principles set out in Directive 95/46/EC regarding the protection of the rights and freedoms of individuals, notably their right to privacy, with regard to the processing of personal data should be supplemented or clarified, in particular as far as certain sectors are concerned.

• (41) Transfers of personal data obtained by a Member State or Europol pursuant to this Regulation from the Central System to any third country or international organisation or private entity established in or outside the Union should be prohibited, in order to ensure the right to asylum and to safeguard applicants for international protection from having their data disclosed to a third country. This implies that Member States should not transfer information obtained from the Central System concerning: the Member State(s) of origin; the place and date of application for international protection; the reference number used by the Member State of origin; the date on which the fingerprints were taken as well as the date on which the Member State(s) transmitted the data to Eurodac; the operator user ID; and any information relating to any transfer of the data subject under Regulation (EU) No 604/2013. That prohibition should be without prejudice to the right of Member States to transfer such data to third countries to which Regulation (EU) No 604/2013 applies, in order to ensure that Member States have the possibility of cooperating with such third countries for the purposes of this Regulation.

• (42) National supervisory authorities should monitor the lawfulness of the processing of personal data by the Member States, and the supervisory authority set up by Decision 2009/371/JHA should monitor the lawfulness of data processing activities performed by Europol.

• (43) Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data16, and in particular Articles 21 and 22 thereof concerning confidentiality and security of processing, applies to the processing of personal data by Union institutions, bodies, offices and agencies carried out in application of this Regulation. However, certain points should be clarified in respect of the responsibility for the processing of data and of the supervision of data protection, bearing in mind that data protection is a key factor in the successful operation of Eurodac and that data security, high technical quality and lawfulness of consultations are essential to ensure the smooth and proper functioning of Eurodac as well as to facilitate the application of Regulation (EU) No 604/2013.

• (44) The data subject should be informed of the purpose for which his or her data will be processed within Eurodac, including a description of the aims of Regulation (EU) No 604/2013, and of the use to which law enforcement authorities may put his or her data.

• (45) It is appropriate that national supervisory authorities monitor the lawfulness of the processing of personal data by the Member States, whilst the European Data Protection Supervisor, as referred to in Regulation (EC) No 45/2001, should monitor the activities of the Union institutions, bodies, offices and agencies in relation to the processing of personal data carried out in application of this Regulation.

• (46) Member States, the European Parliament, the Council and the Commission should ensure that the national and European supervisory authorities are able to supervise the use of and access to Eurodac data adequately.

• (47) It is appropriate to monitor and evaluate the performance of Eurodac at regular intervals, including in terms of whether law enforcement access has led to indirect discrimination against applicants for international protection, as raised in the Commission's evaluation of the compliance of this Regulation with the Charter of Fundamental Rights of the European Union (“the Charter”). The Agency should submit an annual report on the activities of the Central System to the European Parliament and to the Council.

• (48) Member States should provide for a system of effective, proportionate and dissuasive penalties to sanction the processing of data entered in the Central System contrary to the purpose of Eurodac.

• (49) It is necessary that Member States be informed of the status of particular asylum procedures, with a view to facilitating the adequate application of Regulation (EU) No 604/2013.

• (50) This Regulation respects the fundamental rights and observes the principles recognised in particular by the Charter. In particular, this Regulation seeks to ensure full respect for the protection of personal data and for the right to seek international protection, and to promote the application of Articles 8 and 18 of the Charter. This Regulation should therefore be applied accordingly.

• (51) In accordance with Articles 1 and 2 of Protocol No 22 on the position of Denmark, annexed to the TEU and to the TFEU, Denmark is not taking part in the adoption of this Regulation and is not bound by it or subject to its application.

• (52) In accordance with Article 3 of Protocol No 21 on the position of the United Kingdom and Ireland in respect of the Area of Freedom, Security and Justice, annexed to the TEU and to the TFEU, the United Kingdom has notified its wish to take part in the adoption and application of this Regulation.

• (53) In accordance with Article 1 and 2 of Protocol No 21 on the position of the United Kingdom and Ireland in respect of the Area of Freedom, Security and Justice, annexed to the TEU and to the TFEU, and without prejudice to Article 4 of that Protocol, Ireland is not taking part in the adoption of this Regulation and is not bound by it or subject to its application.

• (54) It is appropriate to restrict the territorial scope of this Regulation so as to align it on the territorial scope of Regulation (EU) No 604/2013,

HAVE ADOPTED THIS REGULATION:

Chapter I

General provisions

Article 1

Purpose of “Eurodac”

1. A system known as “Eurodac” is hereby established, the purpose of which shall be to assist in determining which Member State is to be responsible pursuant to Regulation (EU) No 604/2013 for examining an application for international protection lodged in a Member State by a third-country national or a stateless person, and otherwise to facilitate the application of Regulation (EU) No 604/2013 under the conditions set out in this Regulation.

2. This Regulation also lays down the conditions under which Member States' designated authorities and the European Police Office (Europol) may request the comparison of fingerprint data with those stored in the Central System for law enforcement purposes.

3. Without prejudice to the processing of data intended for Eurodac by the Member State of origin in databases set up under the latter's national law, fingerprint data and other personal data may be processed in Eurodac only for the purposes set out in this Regulation and Article 34(1) of Regulation (EU) No 604/2013.

Article 2

Definitions

1. For the purposes of this Regulation:

   • (a) “applicant for international protection” means a third-country national or a stateless person who has made an application for international protection as defined in Article 2(h) of Directive 2011/95/EU in respect of which a final decision has not yet been taken;

   • (b) “Member State of origin” means:

     • (i) in relation to a person covered by Article 9(1), the Member State which transmits the personal data to the Central System and receives the results of the comparison;

     • (ii) in relation to a person covered by Article 14(1), the Member State which transmits the personal data to the Central System;

     • (iii) in relation to a person covered by Article 17(1), the Member State which transmits the personal data to the Central System and receives the results of the comparison;

   • (c) “beneficiary of international protection” means a third-country national or a stateless person who has been granted international protection as defined in Article 2(a) of Directive 2011/95/EU;

   • (d) “hit” means the existence of a match or matches established by the Central System by comparison between fingerprint data recorded in the computerised central database and those transmitted by a Member State with regard to a person, without prejudice to the requirement that Member States shall immediately check the results of the comparison pursuant to Article 25(4);

   • (e) “National Access Point” means the designated national system which communicates with the Central System;

   • (f) “Agency” means the Agency established by Regulation (EU) No 1077/2011;

   • (g) “Europol” means the European Police Office established by Decision 2009/371/JHA;

   • (h) “Eurodac data” means all data stored in the Central System in accordance with Article 11 and Article 14(2);

   • (i) “law enforcement” means the prevention, detection or investigation of terrorist offences or of other serious criminal offences;

   • (j) “terrorist offences” means the offences under national law which correspond or are equivalent to those referred to in Articles 1 to 4 of Framework Decision 2002/475/JHA;

   • (k) “serious criminal offences” means the forms of crime which correspond or are equivalent to those referred to in Article 2(2) of Framework Decision 2002/584/JHA, if they are punishable under national law by a custodial sentence or a detention order for a maximum period of at least three years;

   • (l) “fingerprint data” means the data relating to fingerprints of all or at least the index fingers, and if those are missing, the prints of all other fingers of a person, or a latent fingerprint.

2. The terms defined in Article 2 of Directive 95/46/EC shall have the same meaning in this Regulation in so far as personal data are processed by the authorities of the Member States for the purposes laid down in Article 1(1) of this Regulation.

3. Unless stated otherwise, the terms defined in Article 2 of Regulation (EU) No 604/2013 shall have the same meaning in this Regulation.

4. The terms defined in Article 2 of Framework Decision 2008/977/JHA shall have the same meaning in this Regulation in so far as personal data are processed by the authorities of the Member States for the purposes laid down in Article 1(2) of this Regulation.

Article 3

System architecture and basic principles

1. Eurodac shall consist of:

   • (a) a computerised central fingerprint database (“Central System”) composed of:

     • (i) a Central Unit,

     • (ii) a Business Continuity Plan and System;

   • (b) a communication infrastructure between the Central System and Member States that provides an encrypted virtual network dedicated to Eurodac data (“Communication Infrastructure”).

2. Each Member State shall have a single National Access Point.

3. Data on persons covered by Articles 9(1), 14(1) and 17(1) which are processed in the Central System shall be processed on behalf of the Member State of origin under the conditions set out in this Regulation and separated by appropriate technical means.

4. The rules governing Eurodac shall also apply to operations carried out by the Member States as from the transmission of data to the Central System until use is made of the results of the comparison.

5. The procedure for taking fingerprints shall be determined and applied in accordance with the national practice of the Member State concerned and in accordance with the safeguards laid down in the Charter of Fundamental Rights of the European Union, in the Convention for the Protection of Human Rights and Fundamental Freedoms and in the United Nations Convention on the Rights of the Child.

Article 4

Operational management

1. The Agency shall be responsible for the operational management of Eurodac.

   The operational management of Eurodac shall consist of all the tasks necessary to keep Eurodac functioning 24 hours a day, 7 days a week in accordance with this Regulation, in particular the maintenance work and technical developments necessary to ensure that the system functions at a satisfactory level of operational quality, in particular as regards the time required for interrogation of the Central System. A Business Continuity Plan and System shall be developed taking into account maintenance needs and unforeseen downtime of the system, including the impact of business continuity measures on data protection and security.

   The Agency shall ensure, in cooperation with the Member States, that at all times the best available and most secure technology and techniques, subject to a cost-benefit analysis, are used for the Central System.

2. The Agency shall be responsible for the following tasks relating to the Communication Infrastructure:

   • (a) supervision;

   • (b) security;

   • (c) the coordination of relations between the Member States and the provider.

3. The Commission shall be responsible for all tasks relating to the Communication Infrastructure other than those referred to in paragraph 2, in particular:

   • (a) the implementation of the budget;

   • (b) acquisition and renewal;

   • (c) contractual matters.

4. Without prejudice to Article 17 of the Staff Regulations, the Agency shall apply appropriate rules of professional secrecy or other equivalent duties of confidentiality to all its staff required to work with Eurodac data. This obligation shall also apply after such staff leave office or employment or after the termination of their duties.

Article 5

Member States' designated authorities for law enforcement purposes

1. For the purposes laid down in Article 1(2), Member States shall designate the authorities that are authorised to request comparisons with Eurodac data pursuant to this Regulation. Designated authorities shall be authorities of the Member States which are responsible for the prevention, detection or investigation of terrorist offences or of other serious criminal offences. Designated authorities shall not include agencies or units exclusively responsible for intelligence relating to national security.

2. Each Member State shall keep a list of the designated authorities.

3. Each Member State shall keep a list of the operating units within the designated authorities that are authorised to request comparisons with Eurodac data through the National Access Point.

Article 6

Member States' verifying authorities for law enforcement purposes

1. For the purposes laid down in Article 1(2), each Member State shall designate a single national authority or a unit of such an authority to act as its verifying authority. The verifying authority shall be an authority of the Member State which is responsible for the prevention, detection or investigation of terrorist offences or of other serious criminal offences.

   The designated authority and the verifying authority may be part of the same organisation, if permitted under national law, but the verifying authority shall act independently when performing its tasks under this Regulation. The verifying authority shall be separate from the operating units referred to in Article 5(3) and shall not receive instructions from them as regards the outcome of the verification.

   Member States may designate more than one verifying authority to reflect their organisational and administrative structures, in accordance with their constitutional or legal requirements.

2. The verifying authority shall ensure that the conditions for requesting comparisons of fingerprints with Eurodac data are fulfilled.

   Only duly empowered staff of the verifying authority shall be authorised to receive and transmit a request for access to Eurodac in accordance with Article 19.

   Only the verifying authority shall be authorised to forward requests for comparison of fingerprints to the National Access Point.

Article 7

Europol

1. For the purposes laid down in Article 1(2), Europol shall designate a specialised unit with duly empowered Europol officials to act as its verifying authority, which shall act independently of the designated authority referred to in paragraph 2 of this Article when performing its tasks under this Regulation and shall not receive instructions from the designated authority as regards the outcome of the verification. The unit shall ensure that the conditions for requesting comparisons of fingerprints with Eurodac data are fulfilled. Europol shall designate in agreement with any Member State the National Access Point of that Member State which shall communicate its requests for comparison of fingerprint data to the Central System.

2. For the purposes laid down in Article 1(2), Europol shall designate an operating unit that is authorised to request comparisons with Eurodac data through its designated National Access Point. The designated authority shall be an operating unit of Europol which is competent to collect, store, process, analyse and exchange information to support and strengthen action by Member States in preventing, detecting or investigating terrorist offences or other serious criminal offences falling within Europol's mandate.

Article 8

Statistics

1. The Agency shall draw up statistics on the work of the Central System every quarter, indicating in particular:

   • (a) the number of data sets transmitted on persons referred to in Articles 9(1), 14(1) and 17(1);

   • (b) the number of hits for applicants for international protection who have lodged an application for international protection in another Member State;

   • (c) the number of hits for persons referred to in Article 14(1) who have subsequently lodged an application for international protection;

   • (d) the number of hits for persons referred to in Article 17(1) who had previously lodged an application for international protection in another Member State;

   • (e) the number of fingerprint data which the Central System had to request more than once from the Member States of origin because the fingerprint data originally transmitted did not lend themselves to comparison using the computerised fingerprint recognition system;

   • (f) the number of data sets marked, unmarked, blocked and unblocked in accordance with Article 18(1) and (3);

   • (g) the number of hits for persons referred to in Article 18(1) for whom hits have been recorded under points (b) and (d) of this Article;

   • (h) the number of requests and hits referred to in Article 20(1);

   • (i) the number of requests and hits referred to in Article 21(1).

2. At the end of each year, statistical data shall be established in the form of a compilation of the quarterly statistics for that year, including an indication of the number of persons for whom hits have been recorded under paragraph 1(b), (c) and (d). The statistics shall contain a breakdown of data for each Member State. The results shall be made public.

Chapter II

Applicants for international protection

Article 9

Collection, transmission and comparison of fingerprints

1. Each Member State shall promptly take the fingerprints of all fingers of every applicant for international protection of at least 14 years of age and shall, as soon as possible and no later than 72 hours after the lodging of his or her application for international protection, as defined by Article 20(2) of Regulation (EU) No 604/2013, transmit them together with the data referred to in Article 11(b) to (g) of this Regulation to the Central System.

   Non-compliance with the 72-hour time-limit shall not relieve Member States of the obligation to take and transmit the fingerprints to the Central System. Where the condition of the fingertips does not allow the taking of the fingerprints of a quality ensuring appropriate comparison under Article 25, the Member State of origin shall retake the fingerprints of the applicant and resend them as soon as possible and no later than 48 hours after they have been successfully retaken.

2. By way of derogation from paragraph 1, where it is not possible to take the fingerprints of an applicant for international protection on account of measures taken to ensure his or her health or the protection of public health, Member States shall take and send such fingerprints as soon as possible and no later than 48 hours after those health grounds no longer prevail.

   In the event of serious technical problems, Member States may extend the 72-hour time-limit in paragraph 1 by a maximum of a further 48 hours in order to carry out their national continuity plans.

3. Fingerprint data within the meaning of Article 11(a) transmitted by any Member State, with the exception of those transmitted in accordance with Article 10(b), shall be compared automatically with the fingerprint data transmitted by other Member States and already stored in the Central System.

4. The Central System shall ensure, at the request of a Member State, that the comparison referred to in paragraph 3 covers the fingerprint data previously transmitted by that Member State, in addition to the data from other Member States.

5. The Central System shall automatically transmit the hit or the negative result of the comparison to the Member State of origin. Where there is a hit, it shall transmit for all data sets corresponding to the hit the data referred to in Article 11(a) to (k) along with, where appropriate, the mark referred to in Article 18(1).

Article 10

Information on the status of the data subject

The following information shall be sent to the Central System in order to be stored in accordance with Article 12 for the purpose of transmission under Article 9(5):

• (a) when an applicant for international protection or another person as referred to in Article 18(1)(d) of Regulation (EU) No 604/2013 arrives in the Member State responsible following a transfer pursuant to a decision acceding to a take back request as referred to in Article 25 thereof, the Member State responsible shall update its data set recorded in conformity with Article 11 of this Regulation relating to the person concerned by adding his or her date of arrival;

• (b) when an applicant for international protection arrives in the Member State responsible following a transfer pursuant to a decision acceding to a take charge request according to Article 22 of Regulation (EU) No 604/2013, the Member State responsible shall send a data set recorded in conformity with Article 11 of this Regulation relating to the person concerned and shall include his or her date of arrival;

• (c) as soon as the Member State of origin establishes that the person concerned whose data was recorded in Eurodac in accordance with Article 11 of this Regulation has left the territory of the Member States, it shall update its data set recorded in conformity with Article 11 of this Regulation relating to the person concerned by adding the date when that person left the territory, in order to facilitate the application of Articles 19(2) and 20(5) of Regulation (EU) No 604/2013;

• (d) as soon as the Member State of origin ensures that the person concerned whose data was recorded in Eurodac in accordance with Article 11 of this Regulation has left the territory of the Member States in compliance with a return decision or removal order issued following the withdrawal or rejection of the application for international protection as provided for in Article 19(3) of Regulation (EU) No 604/2013, it shall update its data set recorded in conformity with Article 11 of this Regulation relating to the person concerned by adding the date of his or her removal or when he or she left the territory;

• (e) the Member State which becomes responsible in accordance with Article 17(1) of Regulation (EU) No 604/2013 shall update its data set recorded in conformity with Article 11 of this Regulation relating to the applicant for international protection by adding the date when the decision to examine the application was taken.

Article 11

Recording of data

Only the following data shall be recorded in the Central System:

• (a) fingerprint data;

• (b) Member State of origin, place and date of the application for international protection; in the cases referred to in Article 10(b), the date of application shall be the one entered by the Member State who transferred the applicant;

• (c) sex;

• (d) reference number used by the Member State of origin;

• (e) date on which the fingerprints were taken;

• (f) date on which the data were transmitted to the Central System;

• (g) operator user ID;

• (h) where applicable in accordance with Article 10(a) or (b), the date of the arrival of the person concerned after a successful transfer;

• (i) where applicable in accordance with Article 10(c), the date when the person concerned left the territory of the Member States;

• (j) where applicable in accordance with Article 10(d), the date when the person concerned left or was removed from the territory of the Member States;

• (k) where applicable in accordance with Article 10(e), the date when the decision to examine the application was taken.

Article 12

Data storage

• 1. Each set of data, as referred to in Article 11, shall be stored in the Central System for ten years from the date on which the fingerprints were taken.

• 2. Upon expiry of the period referred to in paragraph 1, the Central System shall automatically erase the data from the Central System.

Article 13

Advance data erasure

1. Data relating to a person who has acquired citizenship of any Member State before expiry of the period referred to in Article 12(1) shall be erased from the Central System in accordance with Article 27(4) as soon as the Member State of origin becomes aware that the person concerned has acquired such citizenship.

2. The Central System shall, as soon as possible and no later than after 72 hours, inform all Member States of origin of the erasure of data in accordance with paragraph 1 by another Member State of origin having produced a hit with data which they transmitted relating to persons referred to in Article 9(1) or 14(1).

Chapter III

Third-country nationals or stateless persons apprehended in connection with the irregular crossing of an external border

Article 14

Collection and transmission of fingerprint data

1. Each Member State shall promptly take the fingerprints of all fingers of every third-country national or stateless person of at least 14 years of age who is apprehended by the competent control authorities in connection with the irregular crossing by land, sea or air of the border of that Member State having come from a third country and who is not turned back or who remains physically on the territory of the Member States and who is not kept in custody, confinement or detention during the entirety of the period between apprehension and removal on the basis of the decision to turn him or her back.

2. The Member State concerned shall, as soon as possible and no later than 72 hours after the date of apprehension, transmit to the Central System the following data in relation to any third-country national or stateless person, as referred to in paragraph 1, who is not turned back:

   • (a) fingerprint data;

   • (b) Member State of origin, place and date of the apprehension;

   • (c) sex;

   • (d) reference number used by the Member State of origin;

   • (e) date on which the fingerprints were taken;

   • (f) date on which the data were transmitted to the Central System;

   • (g) operator user ID.

3. By way of derogation from paragraph 2, the data specified in paragraph 2 relating to persons apprehended as described in paragraph 1 who remain physically on the territory of the Member States but are kept in custody, confinement or detention upon their apprehension for a period exceeding 72 hours shall be transmitted before their release from custody, confinement or detention.

4. Non-compliance with the 72-hour time-limit referred to in paragraph 2 of this Article shall not relieve Member States of the obligation to take and transmit the fingerprints to the Central System. Where the condition of the fingertips does not allow the taking of fingerprints of a quality ensuring appropriate comparison under Article 25, the Member State of origin shall retake the fingerprints of persons apprehended as described in paragraph 1 of this Article, and resend them as soon as possible and no later than 48 hours after they have been successfully retaken.

5. By way of derogation from paragraph 1, where it is not possible to take the fingerprints of the apprehended person on account of measures taken to ensure his or her health or the protection of public health, the Member State concerned shall take and send such fingerprints as soon as possible and no later than 48 hours after those health grounds no longer prevail.

   In the event of serious technical problems, Member States may extend the 72-hour time-limit in paragraph 2 by a maximum of a further 48 hours in order to carry out their national continuity plans.

Article 15

Recording of data

1. The data referred to in Article 14(2) shall be recorded in the Central System.

   Without prejudice to Article 8, data transmitted to the Central System pursuant to Article 14(2) shall be recorded solely for the purposes of comparison with data on applicants for international protection subsequently transmitted to the Central System and for the purposes laid down in Article 1(2).

   The Central System shall not compare data transmitted to it pursuant to Article 14(2) with any data previously recorded in the Central System, or with data subsequently transmitted to the Central System pursuant to Article 14(2).

2. As regards the comparison of data on applicants for international protection subsequently transmitted to the Central System with the data referred to in paragraph 1, the procedures provided for in Article 9(3) and (5) and in Article 25(4) shall apply.

Article 16

Storage of data

1. Each set of data relating to a third-country national or stateless person as referred to in Article 14(1) shall be stored in the Central System for 18 months from the date on which his or her fingerprints were taken. Upon expiry of that period, the Central System shall automatically erase such data.

2. The data relating to a third-country national or stateless person as referred to in Article 14(1) shall be erased from the Central System in accordance with Article 28(3) as soon as the Member State of origin becomes aware of one of the following circumstances before the 18 month period referred to in paragraph 1 of this Article has expired:

   • (a) the third-country national or stateless person has been issued with a residence document;

   • (b) the third-country national or stateless person has left the territory of the Member States;

   • (c) the third-country national or stateless person has acquired the citizenship of any Member State.

3. The Central System shall, as soon as possible and no later than after 72 hours, inform all Member States of origin of the erasure of data for the reason specified in paragraph 2(a) or (b) of this Article by another Member State of origin having produced a hit with data which they transmitted relating to persons referred to in Article 14(1).

4. The Central System shall, as soon as possible and no later than after 72 hours, inform all Member States of origin of the erasure of data for the reason specified in paragraph 2(c) of this Article by another Member State of origin having produced a hit with data which they transmitted relating to persons referred to in Article 9(1) or 14(1).

Chapter IV

Third-country nationals or stateless persons found illegally staying in a Member State

Article 17

Comparison of fingerprint data

1. With a view to checking whether a third-country national or a stateless person found illegally staying within its territory has previously lodged an application for international protection in another Member State, a Member State may transmit to the Central System any fingerprint data relating to fingerprints which it may have taken of any such third-country national or stateless person of at least 14 years of age together with the reference number used by that Member State.

   As a general rule there are grounds for checking whether the third-country national or stateless person has previously lodged an application for international protection in another Member State where:

   • (a) the third-country national or stateless person declares that he or she has lodged an application for international protection but without indicating the Member State in which he or she lodged the application;

   • (b) the third-country national or stateless person does not request international protection but objects to being returned to his or her country of origin by claiming that he or she would be in danger, or

   • (c) the third-country national or stateless person otherwise seeks to prevent his or her removal by refusing to cooperate in establishing his or her identity, in particular by showing no, or false, identity papers.

2. Where Member States take part in the procedure referred to in paragraph 1, they shall transmit to the Central System the fingerprint data relating to all or at least the index fingers and, if those are missing, the prints of all the other fingers, of third-country nationals or stateless persons referred to in paragraph 1.

3. The fingerprint data of a third-country national or a stateless person as referred to in paragraph 1 shall be transmitted to the Central System solely for the purpose of comparison with the fingerprint data of applicants for international protection transmitted by other Member States and already recorded in the Central System.

   The fingerprint data of such a third-country national or a stateless person shall not be recorded in the Central System, nor shall they be compared with the data transmitted to the Central System pursuant to Article 14(2).

4. Once the results of the comparison of fingerprint data have been transmitted to the Member State of origin, the record of the search shall be kept by the Central System only for the purposes of Article 28. Other than for those purposes, no other record of the search may be stored either by Member States or by the Central System.

5. As regards the comparison of fingerprint data transmitted under this Article with the fingerprint data of applicants for international protection transmitted by other Member States which have already been stored in the Central System, the procedures provided for in Article 9(3) and (5) and in Article 25(4) shall apply.

Chapter V

Beneficiaries of international protection

Article 18

Marking of data

1. For the purposes laid down in Article 1(1), the Member State of origin which granted international protection to an applicant for international protection whose data were previously recorded in the Central System pursuant to Article 11 shall mark the relevant data in conformity with the requirements for electronic communication with the Central System established by the Agency. That mark shall be stored in the Central System in accordance with Article 12 for the purpose of transmission under Article 9(5). The Central System shall inform all Member States of origin of the marking of data by another Member State of origin having produced a hit with data which they transmitted relating to persons referred to in Article 9(1) or 14(1). Those Member States of origin shall also mark the corresponding data sets.

2. The data of beneficiaries of international protection stored in the Central System and marked pursuant to paragraph 1 of this Article shall be made available for comparison for the purposes laid down in Article 1(2) for a period of three years after the date on which the data subject was granted international protection.

   Where there is a hit, the Central System shall transmit the data referred to in Article 11(a) to (k) for all the data sets corresponding to the hit. The Central System shall not transmit the mark referred to in paragraph 1 of this Article. Upon the expiry of the period of three years, the Central System shall automatically block such data from being transmitted in the event of a request for comparison for the purposes laid down in Article 1(2), whilst leaving those data available for comparison for the purposes laid down in Article 1(1) until the point of their erasure. Blocked data shall not be transmitted, and the Central System shall return a negative result to the requesting Member State in the event of a hit.

3. The Member State of origin shall unmark or unblock data concerning a third-country national or stateless person whose data were previously marked or blocked in accordance with paragraphs 1 or 2 of this Article if his or her status is revoked or ended or the renewal of his or her status is refused under Articles 14 or 19 of Directive 2011/95/EU.

Chapter VI

Procedure for comparison and data transmission for law enforcement purposes

Article 19

Procedure for comparison of fingerprint data with Eurodac data

1. For the purposes laid down in Article 1(2), the designated authorities referred to in Articles 5(1) and 7(2) may submit a reasoned electronic request as provided for in Article 20(1) together with the reference number used by them, to the verifying authority for the transmission for comparison of fingerprint data to the Central System via the National Access Point. Upon receipt of such a request, the verifying authority shall verify whether all the conditions for requesting a comparison referred to in Articles 20 or 21, as appropriate, are fulfilled.

2. Where all the conditions for requesting a comparison referred to in Articles 20 or 21 are fulfilled, the verifying authority shall transmit the request for comparison to the National Access Point which will process it to the Central System in accordance with Article 9(3) and (5) for the purpose of comparison with the data transmitted to the Central System pursuant to Articles 9(1) and 14(2).

3. In exceptional cases of urgency where there is a need to prevent an imminent danger associated with a terrorist offence or other serious criminal offence, the verifying authority may transmit the fingerprint data to the National Access Point for comparison immediately upon receipt of a request by a designated authority and only verify ex-post whether all the conditions for requesting a comparison referred to in Article 20 or Article 21 are fulfilled, including whether an exceptional case of urgency actually existed. The ex-post verification shall take place without undue delay after the processing of the request.

4. Where an ex-post verification determines that the access to Eurodac data was not justified, all the authorities that have accessed such data shall erase the information communicated from Eurodac and shall inform the verifying authority of such erasure.

Article 20

Conditions for access to Eurodac by designated authorities

1. For the purposes laid down in Article 1(2), designated authorities may submit a reasoned electronic request for the comparison of fingerprint data with the data stored in the Central System within the scope of their powers only if comparisons with the following databases did not lead to the establishment of the identity of the data subject:

   • national fingerprint databases;

   • the automated fingerprinting identification systems of all other Member States under Decision 2008/615/JHA where comparisons are technically available, unless there are reasonable grounds to believe that a comparison with such systems would not lead to the establishment of the identity of the data subject. Such reasonable grounds shall be included in the reasoned electronic request for comparison with Eurodac data sent by the designated authority to the verifying authority; and

   • the Visa Information System provided that the conditions for such a comparison laid down in Decision 2008/633/JHA are met;

     and where the following cumulative conditions are met:

     • (a) the comparison is necessary for the purpose of the prevention, detection or investigation of terrorist offences or of other serious criminal offences, which means that there is an overriding public security concern which makes the searching of the database proportionate;

     • (b) the comparison is necessary in a specific case (i.e. systematic comparisons shall not be carried out); and

     • (c) there are reasonable grounds to consider that the comparison will substantially contribute to the prevention, detection or investigation of any of the criminal offences in question. Such reasonable grounds exist in particular where there is a substantiated suspicion that the suspect, perpetrator or victim of a terrorist offence or other serious criminal offence falls in a category covered by this Regulation.

2. Requests for comparison with Eurodac data shall be limited to searching with fingerprint data.

Article 21

Conditions for access to Eurodac by Europol

1. For the purposes laid down in Article 1(2), Europol's designated authority may submit a reasoned electronic request for the comparison of fingerprint data with the data stored in the Central System within the limits of Europol's mandate and where necessary for the performance of Europol's tasks only if comparisons with fingerprint data stored in any information processing systems that are technically and legally accessible by Europol did not lead to the establishment of the identity of the data subject and where the following cumulative conditions are met:

   • (a) the comparison is necessary to support and strengthen action by Member States in preventing, detecting or investigating terrorist offences or other serious criminal offences falling under Europol's mandate, which means that there is an overriding public security concern which makes the searching of the database proportionate;

   • (b) the comparison is necessary in a specific case (i.e. systematic comparisons shall not be carried out); and

   • (c) there are reasonable grounds to consider that the comparison will substantially contribute to the prevention, detection or investigation of any of the criminal offences in question. Such reasonable grounds exist in particular where there is a substantiated suspicion that the suspect, perpetrator or victim of a terrorist offence or other serious criminal offence falls in a category covered by this Regulation.

2. Requests for comparison with Eurodac data shall be limited to comparisons of fingerprint data.

3. Processing of information obtained by Europol from comparison with Eurodac data shall be subject to the authorisation of the Member State of origin. Such authorisation shall be obtained via the Europol national unit of that Member State.

Article 22

Communication between the designated authorities, the verifying authorities and the National Access Points

1. Without prejudice to Article 26, all communication between the designated authorities, the verifying authorities and the National Access Points shall be secure and take place electronically.

2. For the purposes laid down in Article 1(2), fingerprints shall be digitally processed by the Member States and transmitted in the data format referred to in Annex I, in order to ensure that the comparison can be carried out by means of the computerised fingerprint recognition system.

Chapter VII

Data processing, data protection and liability

Article 23

Responsibility for data processing

1. The Member State of origin shall be responsible for ensuring that:

   • (a) fingerprints are taken lawfully;

   • (b) fingerprint data and the other data referred to in Article 11, Article 14(2) and Article 17(2) are lawfully transmitted to the Central System;

   • (c) data are accurate and up-to-date when they are transmitted to the Central System;

   • (d) without prejudice to the responsibilities of the Agency, data in the Central System are lawfully recorded, stored, corrected and erased;

   • (e) the results of fingerprint data comparisons transmitted by the Central System are lawfully processed.

2. In accordance with Article 34, the Member State of origin shall ensure the security of the data referred to in paragraph 1 before and during transmission to the Central System as well as the security of the data it receives from the Central System.

3. The Member State of origin shall be responsible for the final identification of the data pursuant to Article 25(4).

4. The Agency shall ensure that the Central System is operated in accordance with the provisions of this Regulation. In particular, the Agency shall:

   • (a) adopt measures ensuring that persons working with the Central System process the data recorded therein only in accordance with the purposes of Eurodac as laid down in Article 1;

   • (b) take the necessary measures to ensure the security of the Central System in accordance with Article 34;

   • (c) ensure that only persons authorised to work with the Central System have access thereto, without prejudice to the competences of the European Data Protection Supervisor.

     The Agency shall inform the European Parliament and the Council as well as the European Data Protection Supervisor of the measures it takes pursuant to the first subparagraph.

Article 24

Transmission

1. Fingerprints shall be digitally processed and transmitted in the data format referred to in Annex I. As far as necessary for the efficient operation of the Central System, the Agency shall establish the technical requirements for transmission of the data format by Member States to the Central System and vice versa. The Agency shall ensure that the fingerprint data transmitted by the Member States can be compared by the computerised fingerprint recognition system.

2. Member States shall transmit the data referred to in Article 11, Article 14(2) and Article 17(2) electronically. The data referred to in Article 11 and Article 14(2) shall be automatically recorded in the Central System. As far as necessary for the efficient operation of the Central System, the Agency shall establish the technical requirements to ensure that data can be properly electronically transmitted from the Member States to the Central System and vice versa.

3. The reference number referred to in Articles 11(d), 14(2)(d), 17(1) and 19(1) shall make it possible to relate data unambiguously to one particular person and to the Member State which is transmitting the data. In addition, it shall make it possible to tell whether such data relate to a person referred to in Article 9(1), 14(1) or 17(1).

4. The reference number shall begin with the identification letter or letters by which, in accordance with the norm referred to in Annex I, the Member State transmitting the data is identified. The identification letter or letters shall be followed by the identification of the category of person or request. “1” refers to data relating to persons referred to in Article 9(1), “2” to persons referred to in Article 14(1), “3” to persons referred to in Article 17(1), “4” to requests referred to in Article 20, “5” to requests referred to in Article 21 and “9” to requests referred to in Article 29.

5. The Agency shall establish the technical procedures necessary for Member States to ensure receipt of unambiguous data by the Central System.

6. The Central System shall confirm receipt of the transmitted data as soon as possible. To that end, the Agency shall establish the necessary technical requirements to ensure that Member States receive the confirmation receipt if requested.

Article 25

Carrying out comparisons and transmitting results

1. Member States shall ensure the transmission of fingerprint data of an appropriate quality for the purpose of comparison by means of the computerised fingerprint recognition system. As far as necessary to ensure that the results of the comparison by the Central System reach a very high level of accuracy, the Agency shall define the appropriate quality of transmitted fingerprint data. The Central System shall, as soon as possible, check the quality of the fingerprint data transmitted. If fingerprint data do not lend themselves to comparison using the computerised fingerprint recognition system, the Central System shall inform the Member State concerned. That Member State shall then transmit fingerprint data of the appropriate quality using the same reference number as the previous set of fingerprint data.

2. The Central System shall carry out comparisons in the order of arrival of requests. Each request shall be dealt with within 24 hours. A Member State may for reasons connected with national law require particularly urgent comparisons to be carried out within one hour. Where such time-limits cannot be respected owing to circumstances which are outside the Agency's responsibility, the Central System shall process the request as a matter of priority as soon as those circumstances no longer prevail. In such cases, as far as is necessary for the efficient operation of the Central System, the Agency shall establish criteria to ensure the priority handling of requests.

3. As far as necessary for the efficient operation of the Central System, the Agency shall establish the operational procedures for the processing of the data received and for transmitting the result of the comparison.

4. The result of the comparison shall be immediately checked in the receiving Member State by a fingerprint expert as defined in accordance with its national rules, specifically trained in the types of fingerprint comparisons provided for in this Regulation. For the purposes laid down in Article 1(1) of this Regulation, final identification shall be made by the Member State of origin in cooperation with the other Member States concerned, pursuant to Article 34 of Regulation (EU) No 604/2013.

   Information received from the Central System relating to other data found to be unreliable shall be erased as soon as the unreliability of the data is established.

5. Where final identification in accordance with paragraph 4 reveals that the result of the comparison received from the Central System does not correspond to the fingerprint data sent for comparison, Member States shall immediately erase the result of the comparison and communicate this fact as soon as possible and no later than after three working days to the Commission and to the Agency.

Article 26

Communication between Member States and the Central System

Data transmitted from the Member States to the Central System and vice versa shall use the Communication Infrastructure. As far as is necessary for the efficient operation of the Central System, the Agency shall establish the technical procedures necessary for the use of the Communication Infrastructure.

Article 27

Access to, and correction or erasure of, data recorded in Eurodac

1. The Member State of origin shall have access to data which it has transmitted and which are recorded in the Central System in accordance with this Regulation.

   No Member State may conduct searches of the data transmitted by another Member State, nor may it receive such data apart from data resulting from the comparison referred to in Article 9(5).

2. The authorities of Member States which, pursuant to paragraph 1 of this Article, have access to data recorded in the Central System shall be those designated by each Member State for the purposes laid down in Article 1(1). That designation shall specify the exact unit responsible for carrying out tasks related to the application of this Regulation. Each Member State shall without delay communicate to the Commission and the Agency a list of those units and any amendments thereto. The Agency shall publish the consolidated list in the Official Journal of the European Union. Where there are amendments thereto, the Agency shall publish once a year an updated consolidated list online.

3. Only the Member State of origin shall have the right to amend the data which it has transmitted to the Central System by correcting or supplementing such data, or to erase them, without prejudice to erasure carried out in pursuance of Article 12(2) or 16(1).

4. If a Member State or the Agency has evidence to suggest that data recorded in the Central System are factually inaccurate, it shall advise the Member State of origin as soon as possible.

   If a Member State has evidence to suggest that data were recorded in the Central System in breach of this Regulation, it shall advise the Agency, the Commission and the Member State of origin as soon as possible. The Member State of origin shall check the data concerned and, if necessary, amend or erase them without delay.

5. The Agency shall not transfer or make available to the authorities of any third country data recorded in the Central System. This prohibition shall not apply to transfers of such data to third countries to which Regulation (EU) No 604/2013 applies.

Article 28

Keeping of records

1. The Agency shall keep records of all data processing operations within the Central System. These records shall show the purpose, date and time of access, the data transmitted, the data used for interrogation and the name of both the unit entering or retrieving the data and the persons responsible.

2. The records referred to in paragraph 1 of this Article may be used only for the data protection monitoring of the admissibility of data processing as well as to ensure data security pursuant to Article 34. The records must be protected by appropriate measures against unauthorised access and erased after a period of one year after the storage period referred to in Article 12(1) and in Article 16(1) has expired, unless they are required for monitoring procedures which have already begun.

3. For the purposes laid down in Article 1(1), each Member State shall take the necessary measures in order to achieve the objectives set out in paragraphs 1 and 2 of this Article in relation to its national system. In addition, each Member State shall keep records of the staff duly authorised to enter or retrieve the data.

Article 29

Rights of the data subject

1. A person covered by Article 9(1), Article 14(1) or Article 17(1) shall be informed by the Member State of origin in writing, and where necessary, orally, in a language that he or she understands or is reasonably supposed to understand, of the following:

   • (a) the identity of the controller within the meaning of Article 2(d) of Directive 95/46/EC and of his or her representative, if any;

   • (b) the purpose for which his or her data will be processed in Eurodac, including a description of the aims of Regulation (EU) No 604/2013, in accordance with Article 4 thereof and an explanation in intelligible form, using clear and plain language, of the fact that Eurodac may be accessed by the Member States and Europol for law enforcement purposes;

   • (c) the recipients of the data;

   • (d) in relation to a person covered by Article 9(1) or 14(1), the obligation to have his or her fingerprints taken;

   • (e) the right of access to data relating to him or her, and the right to request that inaccurate data relating to him or her be corrected or that unlawfully processed data relating to him or her be erased, as well as the right to receive information on the procedures for exercising those rights including the contact details of the controller and the national supervisory authorities referred to in Article 30(1).

2. In relation to a person covered by Article 9(1) or 14(1), the information referred to in paragraph 1 of this Article shall be provided at the time when his or her fingerprints are taken.

   In relation to a person covered by Article 17(1), the information referred to in paragraph 1 of this Article shall be provided no later than at the time when the data relating to that person are transmitted to the Central System. That obligation shall not apply where the provision of such information proves impossible or would involve a disproportionate effort.

   Where a person covered by Article 9(1), Article 14(1) and Article 17(1) is a minor, Member States shall provide the information in an age-appropriate manner.

3. A common leaflet, containing at least the information referred to in paragraph 1 of this Article and the information referred to in Article 4(1) of Regulation (EU) No 604/2013 shall be drawn up in accordance with the procedure referred to in Article 44(2) of that Regulation.

   The leaflet shall be clear and simple, drafted in a language that the person concerned understands or is reasonably supposed to understand.

   The leaflet shall be established in such a manner as to enable Member States to complete it with additional Member State-specific information. This Member State-specific information shall include at least the rights of the data subject, the possibility of assistance by the national supervisory authorities, as well as the contact details of the office of the controller and the national supervisory authorities.

4. For the purposes laid down in Article 1(1) of this Regulation, in each Member State any data subject may, in accordance with the laws, regulations and procedures of that State, exercise the rights provided for in Article 12 of Directive 95/46/EC.

   Without prejudice to the obligation to provide other information in accordance with Article 12(a) of Directive 95/46/EC, the data subject shall have the right to obtain communication of the data relating to him or her recorded in the Central System and of the Member State which transmitted them to the Central System. Such access to data may be granted only by a Member State.

5. For the purposes laid down in Article 1(1), in each Member State, any person may request that data which are factually inaccurate be corrected or that data recorded unlawfully be erased. The correction and erasure shall be carried out without excessive delay by the Member State which transmitted the data, in accordance with its laws, regulations and procedures.

6. For the purposes laid down in Article 1(1), if the rights of correction and erasure are exercised in a Member State other than that, or those, which transmitted the data, the authorities of that Member State shall contact the authorities of the Member State or States which transmitted the data so that the latter may check the accuracy of the data and the lawfulness of their transmission and recording in the Central System.

7. For the purposes laid down in Article 1(1), if it emerges that data recorded in the Central System are factually inaccurate or have been recorded unlawfully, the Member State which transmitted them shall correct or erase the data in accordance with Article 27(3). That Member State shall confirm in writing to the data subject without excessive delay that it has taken action to correct or erase data relating to him or her.

8. For the purposes laid down in Article 1(1), if the Member State which transmitted the data does not agree that data recorded in the Central System are factually inaccurate or have been recorded unlawfully, it shall explain in writing to the data subject without excessive delay why it is not prepared to correct or erase the data.

   That Member State shall also provide the data subject with information explaining the steps which he or she can take if he or she does not accept the explanation provided. This shall include information on how to bring an action or, if appropriate, a complaint before the competent authorities or courts of that Member State and any financial or other assistance that is available in accordance with the laws, regulations and procedures of that Member State.

9. Any request under paragraphs 4 and 5 shall contain all the necessary particulars to identify the data subject, including fingerprints. Such data shall be used exclusively to permit the exercise of the rights referred to in paragraphs 4 and 5 and shall be erased immediately afterwards.

10. The competent authorities of the Member States shall cooperate actively to enforce promptly the rights laid down in paragraphs 5, 6 and 7.

11. Whenever a person requests data relating to him or her in accordance with paragraph 4, the competent authority shall keep a record in the form of a written document that such a request was made and how it was addressed, and shall make that document available to the national supervisory authorities without delay.

12. For the purposes laid down in Article 1(1) of this Regulation, in each Member State, the national supervisory authority shall, on the basis of his or her request, assist the data subject in accordance with Article 28(4) of Directive 95/46/EC in exercising his or her rights.

13. For the purposes laid down in Article 1(1) of this Regulation, the national supervisory authority of the Member State which transmitted the data and the national supervisory authority of the Member State in which the data subject is present shall assist and, where requested, advise him or her in exercising his or her right to correct or erase data. Both national supervisory authorities shall cooperate to this end. Requests for such assistance may be made to the national supervisory authority of the Member State in which the data subject is present, which shall transmit the requests to the authority of the Member State which transmitted the data.

14. In each Member State any person may, in accordance with the laws, regulations and procedures of that State, bring an action or, if appropriate, a complaint before the competent authorities or courts of the State if he or she is refused the right of access provided for in paragraph 4.

15. Any person may, in accordance with the laws, regulations and procedures of the Member State which transmitted the data, bring an action or, if appropriate, a complaint before the competent authorities or courts of that State concerning the data relating to him or her recorded in the Central System, in order to exercise his or her rights under paragraph 5. The obligation of the national supervisory authorities to assist and, where requested, advise the data subject in accordance with paragraph 13 shall subsist throughout the proceedings.

Article 30

Supervision by the national supervisory authorities

1. For the purposes laid down in Article 1(1) of this Regulation, each Member State shall provide that the national supervisory authority or authorities designated pursuant to Article 28(1) of Directive 95/46/EC shall monitor independently, in accordance with its respective national law, the lawfulness of the processing, in accordance with this Regulation, of personal data by the Member State in question, including their transmission to the Central System.

2. Each Member State shall ensure that its national supervisory authority has access to advice from persons with sufficient knowledge of fingerprint data.

Article 31

Supervision by the European Data Protection Supervisor

1. The European Data Protection Supervisor shall ensure that all the personal data processing activities concerning Eurodac, in particular by the Agency, are carried out in accordance with Regulation (EC) No 45/2001 and with this Regulation.

2. The European Data Protection Supervisor shall ensure that an audit of the Agency's personal data processing activities is carried out in accordance with international auditing standards at least every three years. A report of such audit shall be sent to the European Parliament, the Council, the Commission, the Agency, and the national supervisory authorities. The Agency shall be given an opportunity to make comments before the report is adopted.

Article 32

Cooperation between national supervisory authorities and the European Data Protection Supervisor

1. The national supervisory authorities and the European Data Protection Supervisor shall, each acting within the scope of their respective competences, cooperate actively in the framework of their responsibilities and shall ensure coordinated supervision of Eurodac.

2. Member States shall ensure that every year an audit of the processing of personal data for the purposes laid down in Article 1(2) is carried out by an independent body, in accordance with Article 33(2), including an analysis of a sample of reasoned electronic requests.

   The audit shall be attached to the annual report of the Member States referred to in Article 40(7).

3. The national supervisory authorities and the European Data Protection Supervisor shall, each acting within the scope of their respective competences, exchange relevant information, assist each other in carrying out audits and inspections, examine difficulties of interpretation or application of this Regulation, study problems with the exercise of independent supervision or in the exercise of the rights of data subjects, draw up harmonised proposals for joint solutions to any problems and promote awareness of data protection rights, as necessary.

4. For the purpose laid down in paragraph 3, the national supervisory authorities and the European Data Protection Supervisor shall meet at least twice a year. The costs and servicing of these meetings shall be for the account of the European Data Protection Supervisor. Rules of procedure shall be adopted at the first meeting. Further working methods shall be developed jointly as necessary. A joint report of activities shall be sent to the European Parliament, the Council, the Commission and the Agency every two years.

Article 33

Protection of personal data for law enforcement purposes

1. Each Member State shall provide that the provisions adopted under national law implementing Framework Decision 2008/977/JHA are also applicable to the processing of personal data by its national authorities for the purposes laid down in Article 1(2) of this Regulation.

2. The monitoring of the lawfulness of the processing of personal data under this Regulation by the Member States for the purposes laid down in Article 1(2) of this Regulation, including their transmission to and from Eurodac, shall be carried out by the national supervisory authorities designated pursuant to Framework Decision 2008/977/JHA.

3. The processing of personal data by Europol pursuant to this Regulation shall be in accordance with Decision 2009/371/JHA and shall be supervised by an independent external data protection supervisor. Articles 30, 31 and 32 of that Decision shall be applicable to the processing of personal data by Europol pursuant to this Regulation. The independent external data protection supervisor shall ensure that the rights of the individual are not violated.

4. Personal data obtained pursuant to this Regulation from Eurodac for the purposes laid down in Article 1(2) shall only be processed for the purposes of the prevention, detection or investigation of the specific case for which the data have been requested by a Member State or by Europol.

5. The Central System, the designated and verifying authorities and Europol shall keep records of the searches for the purpose of permitting the national data protection authorities and the European Data Protection Supervisor to monitor the compliance of data processing with Union data protection rules, including for the purpose of maintaining records in order to prepare the annual reports referred to in Article 40(7). Other than for such purposes, personal data, as well as the records of the searches, shall be erased in all national and Europol files after a period of one month, unless the data are required for the purposes of the specific ongoing criminal investigation for which they were requested by a Member State or by Europol.

Article 34

Data security

1. The Member State of origin shall ensure the security of the data before and during transmission to the Central System.

2. Each Member State shall, in relation to all data processed by its competent authorities pursuant to this Regulation, adopt the necessary measures, including a security plan, in order to:

   • (a) physically protect the data, including by making contingency plans for the protection of critical infrastructure;

   • (b) deny unauthorised persons access to national installations in which the Member State carries out operations in accordance with the purposes of Eurodac (checks at entrance to the installation);

   • (c) prevent the unauthorised reading, copying, modification or removal of data media (data media control);

   • (d) prevent the unauthorised input of data and the unauthorised inspection, modification or erasure of stored personal data (storage control);

   • (e) prevent the unauthorised processing of data in Eurodac and any unauthorised modification or erasure of data processed in Eurodac (control of data entry);

   • (f) ensure that persons authorised to access Eurodac have access only to the data covered by their access authorisation, by means of individual and unique user IDs and confidential access modes only (data access control);

   • (g) ensure that all authorities with a right of access to Eurodac create profiles describing the functions and responsibilities of persons who are authorised to access, enter, update, erase and search the data, and make those profiles and any other relevant information which those authorities may require for supervisory purposes available to the national supervisory authorities referred to in Article 28 of Directive 95/46/EC and in Article 25 of Framework Decision 2008/977/JHA without delay at their request (personnel profiles);

   • (h) ensure that it is possible to verify and establish to which bodies personal data may be transmitted using data communication equipment (communication control);

   • (i) ensure that it is possible to verify and establish what data have been processed in Eurodac, when, by whom and for what purpose (control of data recording);

   • (j) prevent the unauthorised reading, copying, modification or erasure of personal data during the transmission of personal data to or from Eurodac or during the transport of data media, in particular by means of appropriate encryption techniques (transport control);

   • (k) monitor the effectiveness of the security measures referred to in this paragraph and take the necessary organisational measures related to internal monitoring in order to ensure compliance with this Regulation (self-auditing) and to automatically detect within 24 hours any relevant events arising from the application of measures listed in points (b) to (j) that might indicate the occurrence of a security incident.

3. Member States shall inform the Agency of security incidents detected on their systems. The Agency shall inform the Member States, Europol and the European Data Protection Supervisor in case of security incidents. The Member States concerned, the Agency and Europol shall collaborate during a security incident.

4. The Agency shall take the necessary measures in order to achieve the objectives set out in paragraph 2 as regards the operation of Eurodac, including the adoption of a security plan.

Article 35

Prohibition of transfers of data to third countries, international organisations or private entities

1. Personal data obtained by a Member State or Europol pursuant to this Regulation from the Central System shall not be transferred or made available to any third country, international organisation or private entity established in or outside the Union. This prohibition shall also apply if those data are further processed at national level or between Member States within the meaning of Article 2(b) of Framework Decision 2008/977/JHA.

2. Personal data which originated in a Member State and are exchanged between Member States following a hit obtained for the purposes laid down in Article 1(2) shall not be transferred to third countries if there is a serious risk that as a result of such transfer the data subject may be subjected to torture, inhuman and degrading treatment or punishment or any other violation of his or her fundamental rights.

3. The prohibitions referred to in paragraphs 1 and 2 shall be without prejudice to the right of Member States to transfer such data to third countries to which Regulation (EU) No 604/2013 applies.

Article 36

Logging and documentation

1. Each Member State and Europol shall ensure that all data processing operations resulting from requests for comparison with Eurodac data for the purposes laid down in Article 1(2) are logged or documented for the purposes of checking the admissibility of the request, monitoring the lawfulness of the data processing and data integrity and security, and self-monitoring.

2. The log or documentation shall show in all cases:

   • (a) the exact purpose of the request for comparison, including the concerned form of a terrorist offence or other serious criminal offence and, for Europol, the exact purpose of the request for comparison;

   • (b) the reasonable grounds given not to conduct comparisons with other Member States under Decision 2008/615/JHA, in accordance with Article 20(1) of this Regulation;

   • (c) the national file reference;

   • (d) the date and exact time of the request for comparison by the National Access Point to the Central System;

   • (e) the name of the authority having requested access for comparison, and the person responsible who made the request and processed the data;

   • (f) where applicable, the use of the urgent procedure referred to in Article 19(3) and the decision taken with regard to the ex-post verification;

   • (g) the data used for comparison;

   • (h) in accordance with national rules or with Decision 2009/371/JHA, the identifying mark of the official who carried out the search and of the official who ordered the search or supply.

3. Logs and documentation shall be used only for monitoring the lawfulness of data processing and for ensuring data integrity and security. Only logs containing non-personal data may be used for the monitoring and evaluation referred to in Article 40. The competent national supervisory authorities responsible for checking the admissibility of the request and monitoring the lawfulness of the data processing and data integrity and security shall have access to these logs at their request for the purpose of fulfilling their duties.

Article 37

Liability

1. Any person who, or Member State which, has suffered damage as a result of an unlawful processing operation or any act incompatible with this Regulation shall be entitled to receive compensation from the Member State responsible for the damage suffered. That State shall be exempted from its liability, in whole or in part, if it proves that it is not responsible for the event giving rise to the damage.

2. If the failure of a Member State to comply with its obligations under this Regulation causes damage to the Central System, that Member State shall be liable for such damage, unless and insofar as the Agency or another Member State failed to take reasonable steps to prevent the damage from occurring or to minimise its impact.

3. Claims for compensation against a Member State for the damage referred to in paragraphs 1 and 2 shall be governed by the provisions of national law of the defendant Member State.

Chapter VIII

Amendments to Regulation (EU) No 1077/2011

Article 38

Amendments to Regulation (EU) No 1077/2011

Regulation (EU) No 1077/2011 is amended as follows:

• (1) Article 5 is replaced by the following:

  “Article 5

  Tasks relating to Eurodac

  In relation to Eurodac, the Agency shall perform:

  • (a) the tasks conferred on it by Regulation (EU) No 603/2013 of the European Parliament and of the Council of 26 June 2013 on the establishment of “Eurodac” for the comparison of fingerprints for the effective application of Regulation (EU) No 604/2013 establishing the criteria and mechanisms for determining the Member State responsible for examining an application for international protection lodged in one of the Member States by a third-country national or a stateless person), and on requests for the comparison with Eurodac data by Member States' law enforcement authorities and Europol for law enforcement purposes17; and

  • (b) tasks relating to training on the technical use of Eurodac.

• (2) Article 12(1) is amended as follows:

  • (a) points (u) and (v) are replaced by the following:

    • “(u) adopt the annual report on the activities of the Central System of Eurodac pursuant to Article 40(1) of Regulation (EU) No 603/2013;

    • (v) make comments on the European Data Protection Supervisor's reports on the audits pursuant to Article 45(2) of Regulation (EC) No 1987/2006, Article 42(2) of Regulation (EC) No 767/2008 and Article 31(2) of Regulation (EU) No 603/2013 and ensure appropriate follow-up of those audits;”;

  • (b) point (x) is replaced by the following:

    • “(x) compile statistics on the work of the Central System of Eurodac pursuant to Article 8(2) of Regulation (EU) No 603/2013;”;

  • (c) point (z) is replaced by the following:

    • “(z) ensure annual publication of the list of units pursuant to Article 27(2) of Regulation (EU) No 603/2013;”;

• (3) Article 15(4) is replaced by the following:

  • “4. Europol and Eurojust may attend the meetings of the Management Board as observers when a question concerning SIS II, in relation to the application of Decision 2007/533/JHA, is on the agenda. Europol may also attend the meetings of the Management Board as observer when a question concerning VIS, in relation to the application of Decision 2008/633/JHA, or a question concerning Eurodac, in relation to the application of Regulation (EU) No 603/2013, is on the agenda.”;

• (4) Article 17 is amended as follows:

  • (a) in paragraph 5, point (g) is replaced by the following:

    • “(g) without prejudice to Article 17 of the Staff Regulations, establish confidentiality requirements in order to comply with Article 17 of Regulation (EC) No 1987/2006, Article 17 of Decision 2007/533/JHA, Article 26(9) of Regulation (EC) No 767/2008 and Article 4(4) of Regulation (EU) No 603/2013;”;

  • (b) in paragraph 6, point (i) is replaced by the following:

    • “(i) reports on the technical functioning of each large-scale IT system referred to in Article 12(1)(t) and the annual report on the activities of the Central System of Eurodac referred to in Article 12(1)(u), on the basis of the results of monitoring and evaluation.”;

• (5) Article 19(3) is replaced by the following:

  • “3. Europol and Eurojust may each appoint a representative to the SIS II Advisory Group. Europol may also appoint a representative to the VIS and Eurodac Advisory Groups.”

Chapter IX

Final provisions

Article 39

Costs

1. The costs incurred in connection with the establishment and operation of the Central System and the Communication Infrastructure shall be borne by the general budget of the European Union.

2. The costs incurred by national access points and the costs for connection to the Central System shall be borne by each Member State.

3. Each Member State and Europol shall set up and maintain at their expense the technical infrastructure necessary to implement this Regulation, and shall be responsible for bearing its costs resulting from requests for comparison with Eurodac data for the purposes laid down in Article 1(2)

Article 40

Annual report: monitoring and evaluation

1. The Agency shall submit to the European Parliament, the Council, the Commission and the European Data Protection Supervisor an annual report on the activities of the Central System, including on its technical functioning and security. The annual report shall include information on the management and performance of Eurodac against pre-defined quantitative indicators for the objectives referred to in paragraph 2.

2. The Agency shall ensure that procedures are in place to monitor the functioning of the Central System against objectives relating to output, cost-effectiveness and quality of service.

3. For the purposes of technical maintenance, reporting and statistics, the Agency shall have access to the necessary information relating to the processing operations performed in the Central System.

4. By 20 July 2018 and every four years thereafter, the Commission shall produce an overall evaluation of Eurodac, examining the results achieved against objectives and the impact on fundamental rights, including whether law enforcement access has led to indirect discrimination against persons covered by this Regulation, and assessing the continuing validity of the underlying rationale and any implications for future operations, and shall make any necessary recommendations. The Commission shall transmit the evaluation to the European Parliament and the Council.

5. Member States shall provide the Agency and the Commission with the information necessary to draft the annual report referred to in paragraph 1.

6. The Agency, Member States and Europol shall provide the Commission with the information necessary to draft the overall evaluation provided for in paragraph 4. This information shall not jeopardise working methods or include information that reveals sources, staff members or investigations of the designated authorities.

7. While respecting the provisions of national law on the publication of sensitive information, each Member State and Europol shall prepare annual reports on the effectiveness of the comparison of fingerprint data with Eurodac data for law enforcement purposes, containing information and statistics on:

   • the exact purpose of the comparison, including the type of terrorist offence or serious criminal offence,

   • grounds given for reasonable suspicion,

   • the reasonable grounds given not to conduct comparison with other Member States under Decision 2008/615/JHA, in accordance with Article 20(1) of this Regulation,

   • number of requests for comparison,

   • the number and type of cases which have ended in successful identifications, and

   • the need and use made of the exceptional case of urgency, including those cases where that urgency was not accepted by the ex post verification carried out by the verifying authority.

     Member States' and Europol annual reports shall be transmitted to the Commission by 30 June of the subsequent year.

8. On the basis of Member States and Europol annual reports provided for in paragraph 7 and in addition to the overall evaluation provided for in paragraph 4, the Commission shall compile an annual report on law enforcement access to Eurodac and shall transmit it to the European Parliament, the Council and the European Data Protection Supervisor.

Article 41

Penalties

Member States shall take the necessary measures to ensure that any processing of data entered in the Central System contrary to the purposes of Eurodac as laid down in Article 1 is punishable by penalties, including administrative and/or criminal penalties in accordance with national law, that are effective, proportionate and dissuasive.

Article 42

Territorial scope

The provisions of this Regulation shall not be applicable to any territory to which Regulation (EU) No 604/2013 does not apply.

Article 43

Notification of designated authorities and verifying authorities

1. By 20 October 2013, each Member State shall notify the Commission of its designated authorities, of the operating units referred to in Article 5(3) and of its verifying authority, and shall notify without delay any amendment thereto.

2. By 20 October 2013, Europol shall notify the Commission of its designated authority, of its verifying authority and of the National Access Point which it has designated, and shall notify without delay any amendment thereto.

3. The Commission shall publish the information referred to in paragraphs 1 and 2 in the Official Journal of the European Union on an annual basis and via an electronic publication that shall be available online and updated without delay.

Article 44

Transitional provision

Data blocked in the Central System in accordance with Article 12 of Regulation (EC) No 2725/2000 shall be unblocked and marked in accordance with Article 18(1) of this Regulation on 20 July 2015.

Article 45

Repeal

Regulation (EC) No 2725/2000 and Regulation (EC) No 407/2002 are repealed with effect from 20 July 2015.

References to the repealed Regulations shall be construed as references to this Regulation and shall be read in accordance with the correlation table in Annex III.

Article 46

Entry into force and applicability

This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.

This Regulation shall apply from 20 July 2015.

Member States shall notify the Commission and the Agency as soon as they have made the technical arrangements to transmit data to the Central System, and in any event no later than 20 July 2015.

This Regulation shall be binding in its entirety and directly applicable in the Member States in accordance with the Treaties.

Done at Brussels, 26 June 2013.

Europaparlaments- og rådsforordning (EU) nr. 603/2013 av 26. juni 2013 om opprettelse av «Eurodac» for sammenligning av fingeravtrykk med henblikk på effektiv anvendelse av forordning (EU) nr. 604/2013 om fastsettelse av kriterier og ordninger for å avgjøre hvilken medlemsstat som er ansvarlig for behandlingen av en søknad om internasjonal beskyttelse inngitt i en medlemsstat av en tredjelandsborger eller en statsløs, og om medlemsstatenes rettshåndhevende myndigheters og Europols adgang til å anmode om sammenligning med Eurodac-opplysninger med henblikk på rettshåndhevelse, og om endring av forordning (EU) nr. 1077/2011 om opprettelse av et europeisk byrå for operativ ledelse av store informasjonssystemer på området frihet, sikkerhet og rettferdighet

Den europeiske unions tidende L 180 av 29.06.2013 s. 0001 - 0030

EUROPAPARLAMENTET OG RÅDET FOR DEN EUROPEISKE UNION HAR —

under henvisning til traktaten om Den europeiske unions virkemåte, særlig artikkel 78 nr. 2 bokstav e), artikkel 87 nr. 2 bokstav a) og artikkel 88 nr. 2 bokstav a),

under henvisning til forslag fra Europakommisjonen,

under henvisning til uttalelse fra EUs datatilsynsmann18,

etter den ordinære regelverksprosessen19 og

ut fra følgende betraktninger:

• 1) Det skal gjøres en rekke vesentlige endringer i rådsforordning (EF) nr. 2725/2000 av 11. desember 2000 om opprettelse av «Eurodac» for sammenligning av fingeravtrykk med henblikk på effektiv anvendelse av Dublin-konvensjonen20 og av rådsforordning (EF) nr. 407/2002 av 28. februar 2002 om fastsettelse av visse regler for å gjennomføre forordning (EF) nr. 2725/2000 av 11. desember 2000 om opprettelse av «Eurodac» for sammenligning av fingeravtrykk med henblikk på effektiv anvendelse av Dublin-konvensjonen21. Av klarhetshensyn bør nevnte forordninger omarbeides.

• 2) En felles asylpolitikk, herunder en felles europeisk asylordning, er en av komponentene i Den europeiske unions mål om gradvis å opprette et område med frihet, sikkerhet og rettferdighet som er åpent for dem som, tvunget av omstendighetene, søker internasjonal beskyttelse i Unionen.

• 3) På sitt møte 4. november 2004 vedtok Det europeiske råd Haag-programmet, som fastsatte målene som skal oppnås på området frihet, sikkerhet og rettferdighet i perioden 2005–2010. Den europeiske pakt om innvandring og asyl vedtatt av Det europeiske råd 15.-16. oktober 2008, oppfordret til å fullføre gjennomføringen av den felles europeiske asylordning ved å innføre en felles prosedyre med felles garantier og en ensartet status for flyktninger og for personer som har rett til subsidiær beskyttelse.

• 4) Ved anvendelse av europaparlaments- og rådsforordning (EU) nr. 604/2013 av 26. juni 2013 om fastsettelse av kriterier og ordninger for å avgjøre hvilken medlemsstat som er ansvarlig for behandlingen av en søknad om internasjonal beskyttelse inngitt i en medlemsstat av en tredjelandsborger eller en statsløs22, er det nødvendig å fastsette identiteten til personer som har søkt om internasjonal beskyttelse og personer som er pågrepet i forbindelse med ulovlig passering av Unionens ytre grenser. For å sikre effektiv anvendelse av forordning (EU) nr. 604/2013, særlig artikkel 18 nr. 1 bokstav b) og d), er det også ønskelig at hver medlemsstat tillates å kontrollere om en tredjelandsborger eller statsløs som oppholder seg ulovlig på dens territorium, har søkt om internasjonal beskyttelse i en annen medlemsstat.

• 5) Fingeravtrykk er viktige for å fastsette slike personers nøyaktige identitet. Det er nødvendig å etablere et system for sammenligning av deres fingeravtrykksopplysninger.

• 6) For dette formål er det nødvendig å opprette et system kalt «Eurodac», som består av et sentralsystem som skal drive en sentral elektronisk database med fingeravtrykksopplysninger, og de elektroniske midler for overføring mellom medlemsstatene og sentralsystemet, heretter kalt «kommunikasjonsinfrastrukturen».

• 7) Haag-programmet etterlyste bedre tilgang til eksisterende datalagringssystemer i Unionen. I tillegg etterlyste Stockholm-programmet en målrettet datainnsamling og en utvikling av informasjonsutvekslingen samt verktøyene for en slik utveksling på grunnlag av rettshåndhevelsesbehovene.

• 8) I kampen mot terrorhandlinger og andre alvorlige straffbare handlinger er det vesentlig at myndighetene med ansvar for rettshåndhevelse har så fullstendige og oppdaterte opplysninger som mulig for å kunne utføre sine oppgaver. Opplysningene i Eurodac er nødvendige for å forebygge, avdekke eller etterforske terrorhandlinger som nevnt i rådsrammebeslutning 2002/475/JIS av 13. juni 2002 om bekjempelse av terrorisme23 eller av andre alvorlige straffbare handlinger som nevnt i rådsrammebeslutning 2002/584/JIS av 13. juni 2002 om den europeiske arrestordre og prosedyrene for overlevering mellom medlemsstatene24. Med forbehold for vilkårene fastsatt i denne forordning bør opplysningene i Eurodac derfor være tilgjengelige for sammenligning for medlemsstatenes utpekte myndigheter og Det europeiske politibyrå (Europol).

• 9) De fullmakter som myndighetene med ansvar for rettshåndhevelse er gitt med hensyn til tilgang til Eurodac, bør ikke berøre den rett en person som har søkt om internasjonal beskyttelse, har til å få sin søknad behandlet i rett tid i samsvar med den relevante lovgivning. Videre bør denne rett heller ikke berøres av en eventuell oppfølging etter et «treff» i Eurodac.

• 10) I sin melding til Rådet og Europaparlamentet av 24. november 2005 om større effektivitet, bedre samvirkingsevne og synergieffekter mellom europeiske databaser på området justis- og innenrikssaker, anførte Kommisjonen at myndigheter som har ansvar for indre sikkerhet kunne få tilgang til Eurodac i klart definerte tilfeller, når det foreligger begrunnet mistanke om at en gjerningmann av en terrorhandling eller annen alvorlig straffbar handling har søkt om internasjonal beskyttelse. I nevnte melding anførte Kommisjonen også at hensynet til forholdsmessighetsprinsippet innebærer at søk i Eurodac bare kan gjøres når det foreligger et tungtveiende hensyn til den offentlige sikkerhet, det vil si dersom handlingen vedkommende gjerningsmann har utført, er så alvorlig at den berettiger søk i en database der personer med rent rulleblad registreres, og den konkluderte med at terskelen for når myndigheter med ansvar for indre sikkerhet kan foreta søk i Eurodac, derfor alltid må være vesentlig høyere enn terskelen for søk i strafferegistre.

• 11) Videre spiller Europol en sentral rolle i samarbeidet mellom medlemsstatenes myndigheter når det gjelder etterforskning av grenseoverskridende kriminalitet ved å støtte forebygging, analyse og etterforskning av kriminalitet på unionsplan. Følgelig bør også Europol få tilgang til Eurodac innen rammen av sine oppgaver og i samsvar med rådsbeslutning 2009/371/JIS av 6. april 2009 om opprettelse av et europeisk politibyrå (Europol)25.

• 12) Europol bør kunne framsette anmodninger om sammenligning med Eurodac-opplysninger bare i særlige tilfeller, under særlige omstendigheter og på strenge vilkår.

• 13) Ettersom Eurodac opprinnelig ble opprettet for å lette anvendelsen av Dublin-konvensjonen, utgjør tilgang til Eurodac med henblikk på å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger en endring av Eurodacs opprinnelige formål som griper inn i den grunnleggende rett til privatlivets fred når det gjelder de personer hvis personopplysninger behandles i Eurodac. Et slikt inngrep må være i samsvar med lovgivningen, og lovgivningen må være formulert tilstrekkelig presist til at borgerne kan tilpasse sin atferd deretter, og den må beskytte den enkelte mot vilkårlighet og med tilstrekkelig klarhet angi omfanget av det skjønn de kompetente myndigheter er tildelt, og bestemme hvordan skjønnet skal utøves. Ethvert inngrep i et demokratisk samfunn må være nødvendig for å beskytte en berettiget og forholdsmessig interesse og stå i forhold til det lovlige formål som skal oppnås ved det.

• 14) Selv om det opprinnelige formålet med opprettelsen av Eurodac ikke omfattet muligheten for å anmode om sammenligninger av opplysninger med databasen på grunnlag av et latent fingeravtrykk, som er det fingeravtrykksspor som kan finnes på et gjerningssted, er muligheten for dette likevel av avgjørende betydning for politisamarbeidet. Muligheten for å sammenligne et latent fingeravtrykk med de fingeravtrykksopplysninger som er lagret i Eurodac, vil i tilfeller der det er rimelig grunn til å tro at gjerningsmannen eller offeret kan høre til en av de kategorier denne forordning omfatter, gi de myndigheter som medlemsstatene har utpekt, et svært verdifullt verktøy for å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger, for eksempel når det eneste bevismaterialet som finnes på et gjerningssted, er latente fingeravtrykk.

• 15) Denne forordning fastsetter også på hvilke vilkår anmodninger om sammenligning av fingeravtrykksopplysninger med Eurodac-opplysninger med henblikk på å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger bør tillates, og de nødvendige garantier som skal sikre beskyttelsen av den grunnleggende rett til privatlivets fred for personer hvis personopplysninger behandles i Eurodac. Grunnen til at disse vilkår er så strenge, er at det i Eurodacs database registreres fingeravtrykksopplysninger om personer som ikke antas å ha begått en terrorhandling eller en annen alvorlig straffbar handling.

• 16) For å sikre at alle som har søkt om eller fått rett til internasjonal beskyttelse, behandles likt, og sikre samsvar med gjeldende EU-rett på asylområdet, særlig europaparlaments- og rådsdirektiv 2011/95/EU av 13. desember 2011 om fastsettelse av standarder for vilkår som tredjelandsborgere og statsløse må oppfylle for å ha rett til internasjonal beskyttelse, for en ensartet status for flyktninger og for personer som har rett til subsidiær beskyttelse, og for innholdet i den beskyttelse som innvilges26 og forordning (EU) nr. 604/2013, bør denne forordnings virkeområde utvides til å omfatte personer som har søkt om subsidiær beskyttelse og personer som har rett til subsidiær beskyttelse.

• 17) Det er også nødvendig å kreve at medlemsstatene umiddelbart tar og oversender fingeravtrykksopplysninger for alle som har søkt om internasjonal beskyttelse og for alle tredjelandsborgere og statsløse som er pågrepet i forbindelse med ulovlig passering av en medlemsstats ytre grense, dersom de er fylt 14 år.

• 18) Det er nødvendig å fastsette nærmere regler for overføring av slike fingeravtrykksopplysninger til sentralsystemet, registrering av slike fingeravtrykksopplysninger og andre relevante opplysninger i sentralsystemet, oppbevaring av opplysningene, sammenligning av opplysningene med andre fingeravtrykksopplysninger, overføring av resultatene av sammenligningen og merking og sletting av de registrerte opplysninger. Slike regler kan være forskjellige for og bør være spesielt tilpasset situasjonen for de ulike kategoriene tredjelandsborgere og statsløse.

• 19) Medlemsstatene bør sikre at fingeravtrykksopplysninger oversendes i en kvalitet som er egnet til sammenligning i det elektroniske systemet for gjenkjenning av fingeravtrykk. Alle myndigheter med tilgangsrett til Eurodac bør investere i hensiktsmessig opplæring og i nødvendig teknologisk utstyr. Myndigheter med tilgangsrett til Eurodac bør underrette Det europeiske byrå for operativ ledelse av store informasjonssystemer på området frihet, sikkerhet og rettferdighet, opprettet ved europaparlaments- og rådsforordning (EU) nr. 1077/201127 («Byrået») om særlige vanskeligheter som de støter på med hensyn til opplysningenes kvalitet, slik at disse vanskeligheter kan bli løst.

• 20) Det faktum at det midlertidig eller permanent er umulig å ta og/eller oversende fingeravtrykksopplysninger på grunn av at kvaliteten på opplysningene er utilstrekkelig for hensiktsmessige sammenligninger, tekniske problemer, årsaker knyttet til vern av helsen eller at den registrerte ikke bør eller kan avgi sine fingeravtrykk som følge av omstendigheter som er utenfor vedkommendes kontroll, bør ikke få negative følger for behandlingen av eller beslutningen vedrørende vedkommendes søknad om internasjonal beskyttelse.

• 21) Treff i Eurodac bør kontrolleres av en kompetent fingeravtrykksekspert for å sikre korrekt ansvarsfastsettelse i samsvar med forordning (EU) nr. 604/2013 og nøyaktig identifikasjon av den mistenkte eller offeret for en forbrytelse hvis opplysninger kan finnes lagret i Eurodac.

• 22) Tredjelandsborgere eller statsløse som har søkt om internasjonal beskyttelse i én medlemsstat, kan i mange år framover ha mulighet for å søke om internasjonal beskyttelse i en annen medlemsstat. Sentralsystemet bør derfor kunne oppbevare fingeravtrykksopplysninger i et tidsrom av betydelig lengde. Ettersom situasjonen for de fleste tredjelandsborgere og statsløse som har oppholdt seg i Unionen i flere år, vil være avklart etter denne tiden, eller de til og med kan ha oppnådd statsborgerskap i en medlemsstat, bør en periode på ti år være rimelig når det gjelder lagring av fingeravtrykksopplysninger.

• 23) Lagringsperioden bør være kortere i visse særlige situasjoner der det ikke er behov for å lagre fingeravtrykksopplysninger så lenge. Fingeravtrykksopplysninger bør slettes umiddelbart for tredjelandsborgere og statsløse som får statsborgerskap i en medlemsstat.

• 24) Det er hensiktsmessig å lagre opplysninger om registrerte hvis fingeravtrykk opprinnelig ble registrert i Eurodac da de innga sine søknader om internasjonal beskyttelse, og som har fått innvilget internasjonal beskyttelse i en medlemsstat, slik at opplysninger som registreres ved inngivelse av en søknad om internasjonal beskyttelse, kan sammenlignes med dem.

• 25) Byrået er blitt pålagt Kommisjonens oppgaver vedrørende den operative ledelse av Eurodac i samsvar med denne forordning samt visse oppgaver knyttet til kommunikasjonsinfrastrukturen, fra det tidspunkt da Byrået startet sin virksomhet 1. desember 2012. Byrået bør påta seg de oppgaver det blir pålagt i henhold til denne forordning, og de relevante bestemmelser i forordning (EU) nr. 1077/2011 bør endres i samsvar med dette. I tillegg bør Europol kunne delta som observatør på møtene i Byråets styre dersom det på dagsordenen er spørsmål knyttet til anvendelsen av denne forordning som gjelder tilgang til søk i Eurodac for de utpekte myndigheter i medlemsstatene og for Europol med henblikk på å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger. Europol bør kunne utpeke en representant til Byråets rådgivende gruppe for Eurodac.

• 26) Vedtektene for Den europeiske unions tjenestemenn (vedtektene for tjenestemenn) og ansettelsesvilkårene som gjelder for øvrige ansatte i Den europeiske union («ansettelsesvilkårene»), fastsatt i rådsforordning (EF, Euratom, EKSF) nr. 259/6828 (samlet kalt «tjenestemannsvedtektene»), bør gjelde for alt personale som arbeider i Byrået med saker som vedrører denne forordning.

• 27) Det er nødvendig å fastsette tydelig det ansvar som påhviler Kommisjonen og Byrået når det gjelder sentralsystemet og kommunikasjonsinfrastrukturen, og medlemsstatene når det gjelder databehandling, datasikkerhet samt tilgang til og korrigering av registrerte data.

• 28) Det er nødvendig å utpeke de kompetente myndigheter i medlemsstatene og det nasjonale tilgangspunkt der anmodninger om sammenligning med Eurodac-opplysninger inngis, og å føre en liste over de operative enheter hos de utpekte myndigheter som har fullmakt til å anmode om slik sammenligning særlig med henblikk på å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger.

• 29) Anmodninger om sammenligning med opplysninger som er lagret i sentralsystemet, bør inngis av operative enheter hos de utpekte myndigheter til det nasjonale tilgangspunkt gjennom kontrollmyndigheten og bør være begrunnet. De operative enheter hos de utpekte myndigheter som har fullmakt til å anmode om sammenligninger med Eurodac-opplysninger, bør ikke fungere som kontrollmyndighet. Kontrollmyndighetene bør opptre uavhengig av de utpekte myndigheter og bør ha ansvar for å sikre streng overholdelse, på en uavhengig måte, av vilkårene for tilgang fastsatt i denne forordning. Kontrollmyndighetene bør deretter videresende anmodningen om sammenligning, uten å videresende begrunnelsen, gjennom det nasjonale tilgangspunkt til sentralsystemet etter å ha kontrollert at alle vilkår for tilgang er oppfylt. I ekstraordinære hastesaker der tidlig tilgang er nødvendig for å reagere på en bestemt og faktisk trussel knyttet til terrorhandlinger eller andre alvorlige straffbare handlinger, bør kontrollmyndigheten behandle anmodningen umiddelbart og først utføre kontrollen i etterhånd.

• 30) Den utpekte myndighet og kontrollmyndigheten kan være del av samme organisasjon dersom dette er tillatt i henhold til nasjonal lovgivning, men kontrollmyndigheten bør opptre uavhengig når den utfører sine oppgaver i henhold til denne forordning.

• 31) Når det gjelder vern av personopplysninger og for å utelukke systematiske sammenligninger, som bør være forbudt, bør behandling av Eurodac-opplysninger bare finne sted i særskilte tilfeller og når det er nødvendig for å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger. Et særskilt tilfelle foreligger særlig dersom anmodningen om sammenligning er knyttet til en særskilt og konkret situasjon eller til en særskilt og konkret fare i forbindelse med en terrorhandling eller annen alvorlig straffbar handling, eller til særskilte personer som det er vesentlig grunn til å anta vil begå eller har begått et slikt lovbrudd. Et særskilt tilfelle foreligger også dersom anmodningen om sammenligning er knyttet til en person som er offer for en terrorhandling eller annen alvorlig straffbar handling. De utpekte myndigheter og Europol bør dermed bare anmode om en sammenligning med Eurodac dersom de har rimelig grunn til å tro at en slik sammenligning vil gi opplysninger som vil bidra vesentlig til å forebygge, avdekke eller etterforske en terrorhandling eller annen alvorlig straffbar handling.

• 32) Videre bør tilgang bare gis under forutsetning av at sammenligninger med medlemsstatens nasjonale fingeravtrykksdatabaser og alle andre medlemsstaters systemer for automatisk identifikasjon av fingeravtrykk i henhold til rådsbeslutning 2008/615/JIS av 23. juni 2008 om intensivering av det grenseoverskridende samarbeidet, særlig med henblikk på bekjempelse av terrorisme og grenseoverskridende kriminalitet29, ikke har ført til fastsettelse av den registrertes identitet. Nevnte vilkår krever at den anmodende medlemsstat utfører sammenligninger med alle andre medlemsstaters systemer for automatisk identifisering av fingeravtrykk i henhold til beslutning 2008/615/JIS som er teknisk tilgjengelige, med mindre nevnte medlemsstat kan godtgjøre at det finnes rimelige grunner til å anta at det ikke vil føre til fastsettelse av den registrertes identitet. Slike rimelige grunner foreligger dersom det i det særskilte tilfelle ikke finnes noen operativ eller etterforskningsmessig forbindelse til en gitt medlemsstat. Nevnte vilkår forutsetter at den medlemsstat som framsetter anmodningen, allerede har gjennomført beslutning 2008/615/JIS rettslig og teknisk når det gjelder opplysninger om fingeravtrykk, ettersom det ikke bør være tillatt å utføre en Eurodac-kontroll med henblikk på rettshåndhevelse dersom de ovennevnte tiltak ikke først er truffet.

• 33) De utpekte myndigheter bør også, forutsatt at vilkårene for sammenligning er oppfylt, før de søker i Eurodac, søke i visuminformasjonssystemet i henhold til rådsbeslutning 2008/633/JIS av 23. juni om tilgang til søk i visuminformasjonssystemet (VIS) for de myndigheter medlemsstatene har utpekt, og for Europol med henblikk på å forebygge, avdekke og etterforske terrorhandlinger og andre alvorlige straffbare handlinger30.

• 34) For å oppnå en effektiv sammenligning og utveksling av personopplysninger bør medlemsstatene fullt ut gjennomføre og anvende eksisterende internasjonale avtaler i tillegg til gjeldende unionsrett om utveksling av personopplysninger, særlig beslutning 2008/615/JIS.

• 35) Barnets beste bør være et grunnleggende hensyn for medlemsstatene ved anvendelse av denne forordning. Dersom den anmodende medlemsstat fastslår at Eurodac-opplysninger gjelder en mindreårig, kan den anmodende medlemsstat bare anvende disse opplysninger med henblikk på rettshåndhevelse i samsvar med sin egen lovgivning om mindreårige og i samsvar med plikten om at barnets beste skal være et grunnleggende hensyn.

• 36) Selv om Unionens ansvar utenfor kontraktsforhold i forbindelse med driften av Eurodac-systemet vil være underlagt de relevante bestemmelser i traktaten om Den europeiske unions virkemåte (TEUV), er det nødvendig å fastsette særskilte regler for medlemsstatenes ansvar utenfor kontraktsforhold i forbindelse med driften av systemet.

• 37 Ettersom målet for denne forordning, nemlig å opprette et system for sammenligning av fingeravtrykksopplysninger for å bidra til gjennomføringen av Unionens asylpolitikk, ikke i tilstrekkelig grad kan nås av medlemsstatene og derfor bedre kan nås på unionsplan, kan Unionen vedta tiltak i samsvar med nærhetsprinsippet som fastsatt i artikkel 5 i traktaten om Den europeiske union (TEU). I samsvar med forholdsmessighetsprinsippet fastsatt i nevnte artikkel går denne forordning ikke lenger enn det som er nødvendig for å nå dette målet.

• 38) Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger31 får anvendelse når medlemsstatene behandler personopplysninger i samsvar med denne forordning, med mindre slik behandling foretas av medlemsstatenes utpekte myndigheter eller kontrollmyndigheter med henblikk på å forebygge, avdekke og etterforske terrorhandlinger eller andre alvorlige straffbare handlinger.

• 39) Den behandling av personopplysninger som utføres av medlemsstatenes myndigheter med henblikk på å forebygge, avdekke og etterforske terrorhandlinger eller andre alvorlige straffbare handlinger i henhold til denne forordning, bør omfattes av en standard for beskyttelse av personopplysninger i henhold til deres nasjonale lovgivning som er i samsvar med rådsrammebeslutning 2008/977/JIS av 27. november 2008 om vern av personopplysninger i forbindelse med politi- og rettssamarbeid i straffesaker32.

• 40) Prinsippene fastsatt i direktiv 95/46/EF med hensyn til beskyttelse av fysiske personers rettigheter og friheter, særlig retten til personvern, vedrørende behandling av personopplysninger bør suppleres eller klargjøres, særlig når gjelder visse sektorer.

• 41) Overføring av personopplysninger som en medlemsstat eller Europol i henhold til denne forordning har fått fra sentralsystemet, til et tredjeland eller en internasjonal organisasjon eller en privat enhet etablert i eller utenfor Unionen, bør forbys for å sikre retten til asyl og garantere personer som har søkt om internasjonal beskyttelse at deres opplysninger ikke avsløres for tredjeland. Dette innebærer at medlemsstatene ikke bør overføre opplysninger de har fått fra sentralsystemet når det gjelder opprinnelsesstat, sted og dato for søknad om internasjonal beskyttelse, referansenummer som anvendes av opprinnelsesstaten, datoen for når fingeravtrykkene ble tatt samt datoen for når medlemsstaten(e) overførte opplysningene til Eurodac, operatørens bruker-ID samt alle opplysninger om enhver overføring av den registrerte i henhold til forordning (EU) nr. 604/2013. Nevnte forbud berører ikke medlemsstatenes rett til å overføre slike opplysninger til tredjeland som omfattes av forordning (EU) nr. 604/2013, for å sikre at medlemsstatene har mulighet til å samarbeide med slike tredjeland i henhold til denne forordning.

• 42) Nasjonale tilsynsmyndigheter bør overvåke lovligheten av medlemsstatenes behandling av personopplysninger, og tilsynsmyndigheten nedsatt ved beslutning 2009/371/JIS, bør overvåke lovligheten av Europols databehandling.

• 43) Europaparlaments- og rådsforordning (EF) nr. 45/2001 av 18. desember 2000 om personvern i forbindelse med behandling av personopplysninger i Fellesskapets institusjoner og organer og om fri utveksling av slike opplysninger33, særlig artikkel 21 og 22 om fortrolighet og sikkerhet ved behandling, kommer til anvendelse når Unionens institusjoner, organer, kontorer og byråer behandler personopplysninger i samsvar med denne forordning. Visse punkter bør imidlertid klargjøres når det gjelder ansvaret for behandling av opplysninger og tilsynet med personvernet i betraktning av at vernet av personopplysninger er av sentral betydning for at Eurodac kan fungere hensiktsmessig, og at datasikkerhet, høy teknisk kvalitet og lovligheten av søk er av avgjørende betydning for å sikre at Eurodac virker tilfredsstillende og uten problemer, og for å lette anvendelsen av forordning (EU) nr. 604/2013.

• 44) Den registrerte bør underrettes om formålet med behandlingen av hans eller hennes opplysninger i Eurodac og gis en beskrivelse av målene i forordning (EU) nr. 604/2013 og den bruk rettshåndhevende myndigheter kan gjøre av hans eller hennes vedkommendes opplysninger.

• 45) Nasjonale tilsynsmyndigheter bør overvåke lovligheten av medlemsstatenes behandling av personopplysninger, mens EUs datatilsynsmann, som nevnt i forordning (EF) nr. 45/2001, bør overvåke virksomheten i Unionens institusjoner, organer kontorer og byråer når det gjelder den behandling av personopplysninger som skjer i henhold til denne forordning.

• 46) Medlemsstatene, Europaparlamentet, Rådet og Kommisjonen bør sikre at de nasjonale og europeiske tilsynsmyndigheter kan føre tilstrekkelig tilsyn med bruken av og tilgangen til Eurodac-opplysninger.

• 47) Virksomheten ved Eurodac bør overvåkes og evalueres med jevne mellomrom, herunder med hensyn til om tilgangen for myndigheter med ansvar for rettshåndhevelse har ført til indirekte diskriminering av personer som har søkt om internasjonal beskyttelse, som anført i Kommisjonens vurdering av denne forordnings overenstemmelse med Den europeiske unions pakt om grunnleggende rettigheter («pakten»). Byrået bør legge fram en årsrapport om sentralsystemets virksomhet for Europaparlamentet og Rådet.

• 48) For behandling av opplysninger som er registrert i sentralsystemet i strid med Eurodacs formål, bør medlemsstatene innføre et system med sanksjoner som er virkningsfulle, står i forhold til overtredelsen og virker avskrekkende.

• 49) Det er nødvendig at medlemsstatene underrettes om status for bestemte asylprosedyrer for å legge til rette for en hensiktsmessig anvendelse av forordning (EU) nr. 604/2013.

• 50) Denne forordning respekterer de grunnleggende rettigheter og overholder de prinsipper som er nedfelt i pakten. Denne forordning søker særlig å sikre full respekt for vernet av personopplysninger og retten til å søke om internasjonal beskyttelse samt å fremme anvendelsen av artikkel 8 og 18 i pakten. Denne forordning bør derfor gis tilsvarende anvendelse.

• 51) I samsvar med artikkel 1 og 2 i protokoll nr. 22 om Danmarks holdning vedlagt TEU og TEUV, deltar Danmark ikke i vedtakelsen av denne forordning, og forordningen er ikke bindende for og får ikke anvendelse i Danmark.

• 52) I samsvar med artikkel 3 i protokoll nr. 21 om Det forente kongerikes og Irlands holdning med hensyn til området frihet, sikkerhet og rettferdighet vedlagt TEU og TEUV, har Det forente kongerike meddelt sitt ønske om å delta i vedtakelsen og anvendelsen av denne forordning.

• 53) I samsvar med artikkel 1 og 2 i protokoll nr. 21 om Det forente kongerikes og Irlands holdning med hensyn til området frihet, sikkerhet og rettferdighet vedlagt TEU og TEUV, og uten hensyn til artikkel 4 i nevnte protokoll, deltar Irland ikke i vedtakelsen av denne forordning, og forordningen er ikke bindende for og får ikke anvendelse i Irland.

• 54) Denne forordnings geografiske anvendelsesområde bør begrenses slik at det tilsvarer det geografiske anvendelsesområde for forordning (EU) nr. 604/2013 —

VEDTATT DENNE FORORDNING:

Kapittel I

Alminnelige bestemmelser

Artikkel 1

Formålet med «Eurodac»

1. Det opprettes herved et system kalt «Eurodac», hvis formål skal være å bidra til fastsettelsen av hvilken medlemsstat som i henhold til forordning (EU) nr. 604/2013 er ansvarlig for behandlingen av en søknad om internasjonal beskyttelse inngitt i en medlemsstat av en tredjelandsborger eller en statsløs, og for å lette anvendelsen av forordning (EU) nr. 604/2013 på vilkårene angitt i denne forordning.

2. I denne forordning fastsettes videre vilkårene for at medlemsstatenes utpekte myndigheter og Det europeiske politibyrå (Europol) kan anmode om å sammenligne fingeravtrykksopplysninger med de opplysninger som er lagret i sentralsystemet for rettshåndhevelsesformål.

3. Uten at det berører opprinnelsesstatens behandling av opplysninger beregnet på Eurodac som finnes i databaser opprettet i henhold til denne medlemsstats nasjonale lovgivning, kan fingeravtrykksopplysninger og andre personopplysninger behandles i Eurodac bare for de formål som er angitt i denne forordning og artikkel 34 nr. 1 i forordning (EU) nr. 604/2013.

Artikkel 2

Definisjoner

1. I denne forordning menes med:

   • a) «person som har søkt om internasjonal beskyttelse» en tredjelandsborger eller en statsløs som har inngitt en søknad om internasjonal beskyttelse som definert i artikkel 2 bokstav h) i direktiv 2011/95/EU som ennå ikke er endelig avgjort,

   • b) «opprinnelsesstat»

     • i) når det gjelder en person som omfattes av artikkel 9 nr. 1, den medlemsstat som oversender personopplysningene til sentralsystemet og mottar resultatene av sammenligningen,

     • ii) når det gjelder en person som omfattes av artikkel 14 nr. 1, den medlemsstat som oversender personopplysningene til sentralsystemet,

     • iii) når det gjelder en person som omfattes av artikkel 17 nr. 1, den medlemsstat som oversender personopplysningene til sentralsystemet og mottar resultatene av sammenligningen,

   • c) «person med rett til internasjonal beskyttelse» en tredjelandsborger eller statsløs som har fått innvilget internasjonal beskyttelse som definert i artikkel 2 bokstav a) i direktiv 2011/95/EU,

   • d) «treff» eksistensen av samsvar fastslått av sentralsystemet ved sammenligning mellom fingravtrykksopplysninger registrert i den elektroniske sentrale databasen og de fingravtrykksopplysninger en medlemsstat har oversendt med hensyn til en person, uten at dette berører kravet om at medlemsstatene umiddelbart skal kontrollere resultatene av sammenligningen i henhold til artikkel 25 nr. 4,

   • e) «nasjonalt tilgangspunkt» det utpekte nasjonale system som kommuniserer med sentralsystemet,

   • f) «Byrå» Byrået opprettet ved forordning (EU) nr. 1077/2011,

   • (g) «Europol» Det europeiske politibyrå opprettet ved beslutning 2009/371/JIS,

   • h) «Eurodac-opplysninger» alle opplysninger som er lagret i sentralsystemet i samsvar med artikkel 11 og artikkel 14 nr. 2,

   • i) «rettshåndhevelse» forebygging, avdekking og etterforskning av terrorhandlinger eller andre alvorlige straffbare handlinger,

   • j) «terrorhandlinger» lovbrudd i henhold til nasjonal lovgivning som tilsvarer eller er likeverdige med de som er nevnt i artikkel 1-4 i rammebeslutning 2002/475/JIS,

   • k) «alvorlige straffbare handlinger» de former for kriminalitet som tilsvarer eller er likeverdige med de som er nevnt i artikkel 2 nr. 2 i rammebeslutning 2002/584/JIS, dersom de i henhold til nasjonal lovgivning kan straffes med fengsel eller forvaring i minst tre år,

   • l) «fingeravtrykksopplysninger» opplysninger knyttet til fingeravtrykk av alle fingre eller minst pekefingrene eller, dersom disse mangler, avtrykk av alle andre fingre til en person, eller et latent fingeravtrykk.

2. Begrepene fastsatt i artikkel 2 i direktiv 95/46/EF skal ha samme betydning i denne forordning i den utstrekning personopplysningene behandles av medlemsstatenes myndigheter for formålene fastsatt i artikkel 1 nr. 1 i denne forordning.

3. Med mindre annet er angitt, skal begrepene definert i artikkel 2 i forordning (EU) nr. 604/2013 ha samme betydning i denne forordning.

4. Begrepene fastsatt i artikkel 2 i rammebeslutning 2008/977/JIS skal ha samme betydning i denne forordning i den utstrekning personopplysningene behandles av medlemsstatenes myndigheter for formålene fastsatt i artikkel 1 nr. 2 i denne forordning.

Artikkel 3

Systemarkitektur og grunnleggende prinsipper

1. Eurodac skal bestå av

   • a) en sentral elektronisk database for fingeravtrykk («sentralsystemet») som omfatter

     • i) en sentralenhet,

     • ii) en beredskapsplan og et beredskapssystem,

   • b) en kommunikasjonsinfrastruktur mellom sentralsystemet og medlemsstatene som sikrer et kryptert virtuelt nettverk forbeholdt Eurodac-opplysninger («kommunikasjonsinfrastrukturen»).

2. Hver medlemsstat skal ha ett nasjonalt tilgangspunkt.

3. Opplysninger om personer som omfattes av artikkel 9 nr. 1, artikkel 14 nr. 1 og artikkel 17 nr. 1, som behandles i sentralsystemet, skal behandles på vegne av opprinnelsesstaten på vilkårene fastsatt i denne forordning, og skilles ved bruk av hensiktsmessige tekniske midler.

4. Reglene som gjelder for Eurodac, skal også gjelde for de operasjoner medlemsstatene utfører, fra oversending av opplysninger til sentralsystemet til det gjøres bruk av resultatene av sammenligningen.

5. Prosedyren for å ta fingeravtrykk skal fastsettes og anvendes i samsvar med nasjonal praksis i den berørte medlemsstat og i samsvar med garantiene fastsatt i Den europeiske unions pakt om grunnleggende rettigheter, i Europarådets konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter, Den europeiske unions pakt om grunnleggende rettigheter og FNs konvensjon om barnets rettigheter.

Artikkel 4

Operativ ledelse

1. Byrået skal ha ansvar for den operative ledelsen av Eurodac.

   Den operative ledelsen av Eurodac skal omfatte alle oppgaver som er nødvendige for å holde Eurodac i drift 24 timer i døgnet 7 dager i uken i henhold til denne forordning, særlig det vedlikeholdsarbeid og de tekniske forbedringer som er nødvendige for at systemet skal virke på en tilfredsstillende måte, særlig med hensyn til den tid som kreves for å søke i sentralsystemet. En beredskapsplan og et beredskapssystem skal utarbeides, som skal ta hensyn til vedlikeholdsbehov og uforutsett nedetid for systemet, herunder virkningen av beredskapstiltak på datasikring og datasikkerhet.

   Byrået skal i samarbeid med medlemsstatene sikre at den beste tilgjengelige og sikreste teknologi og teknikk ut fra en kost/nytte-analyse til enhver tid benyttes ved sentralsystemet.

2. Byrået skal ha ansvar for følgende oppgaver knyttet til kommunikasjonsinfrastrukturen:

   • a) tilsyn,

   • b) sikkerhet,

   • c) samordning av forbindelser mellom medlemsstatene og leverandøren.

3. Kommisjonen skal ha ansvar for alle oppgaver knyttet til kommunikasjonsinfrastrukturen bortsett fra de som er nevnt i nr. 2, særlig:

   • a) gjennomføringen av budsjettet,

   • b) anskaffelse og fornying,

   • c) kontraktsmessige forhold.

4. Med forbehold for artikkel 17 i tjenestemannsvedtektene skal Byrået anvende hensiktsmessige regler for taushetsplikt eller annen tilsvarende fortrolighetsplikt av tilsvarende standard for alle ansatte som arbeider med Eurodac-opplysninger. Denne plikten skal også gjelde etter at slikt personale har sluttet i sin stilling eller ansettelsesforholdet er opphørt.

Artikkel 5

Medlemsstatenes utpekte myndigheter for rettshåndhevelsesformål

1. Medlemsstatene skal for formålene fastsatt i artikkel 1 nr. 2, utpeke de myndigheter som har fullmakt til å anmode om sammenligninger med Eurodac-opplysninger i henhold til denne forordning. De utpekte myndigheter skal være de myndigheter i medlemsstatene som har ansvar for å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger. De utpekte myndigheter skal ikke omfatte byråer eller enheter som utelukkende har ansvar for etterretning knyttet til nasjonal sikkerhet.

2. Hver medlemsstat skal oppbevare en liste over de utpekte myndigheter.

3. Hver medlemsstat skal oppbevare en liste over de operative enheter hos de utpekte myndigheter som har fullmakt til å anmode om sammenligninger med Eurodac-opplysninger gjennom det nasjonale tilgangspunktet.

Artikkel 6

Medlemsstatenes kontrollmyndigheter for rettshåndhevelsesformål

1. Hver medlemsstat skal for formålene fastsatt i artikkel 1 nr. 2, utpeke en enkelt nasjonal myndighet eller en enhet hos en slik myndighet som skal fungere som dens kontrollmyndighet. Kontrollmyndigheten skal være en myndighet i medlemsstaten som har ansvar for å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger.

   Den utpekte myndighet og kontrollmyndigheten kan være del av samme organisasjon dersom dette er tillatt i henhold til nasjonal lovgivning, men kontrollmyndigheten skal opptre uavhengig når den utfører sine oppgaver i henhold til denne forordning. Kontrollmyndigheten skal være atskilt fra de operative enheter nevnt i artikkel 5 nr. 3, og skal ikke motta instrukser fra dem med hensyn til utfallet av kontrollen.

   Medlemsstatene kan utpeke mer enn én kontrollmyndighet for å gjenspeile deres organisatoriske og administrative strukturer, i samsvar med deres forfatningsmessige eller lovmessige krav.

2. Kontrollmyndigheten skal sikre at vilkårene for å anmode om sammenligninger av fingeravtrykk med Eurodac-opplysninger er oppfylt.

   Bare behørig bemyndiget personell hos kontrollmyndigheten skal ha fullmakt til å motta og oversende en anmodning om tilgang til Eurodac i samsvar med artikkel 19.

   Bare kontrollmyndigheten skal ha fullmakt til å videresende anmodninger om sammenligning av fingeravtrykk til det nasjonale tilgangspunktet.

Artikkel 7

Europol

1. Europol skal for formålene fastsatt i artikkel 1 nr. 2, utpeke en spesialenhet med behørig bemyndigede Europol-tjenestemenn som skal fungere som dens kontrollmyndighet, som skal fungere uavhengig av den utpekte myndighet nevnt i nr. 2 når den utfører sine oppgaver i henhold til denne forordning, og skal ikke motta instrukser fra den utpekte myndighet med hensyn til utfallet av kontrollen. Enheten skal sikre at vilkårene for å anmode om sammenligninger av fingeravtrykk med Eurodac-opplysninger er oppfylt. Europol skal i samarbeid med en medlemsstat utpeke det nasjonale tilgangspunkt i denne medlemsstat som skal oversende Europols anmodninger om sammenligning av fingeravtrykksopplysninger til sentralsystemet.

2. Medlemsstatene skal for formålene fastsatt i artikkel 1 nr. 2, utpeke en operativ enhet som har fullmakt til å anmode om sammenligninger med Eurodac-opplysninger gjennom sitt utpekte nasjonale tilgangspunkt. Den utpekte myndighet skal være en operativ enhet i Europol som har myndighet til å samle inn, oppbevare, behandle, analysere og utveksle opplysninger for å støtte og styrke medlemsstatens arbeid for å forebygge, avdekke eller etterforske terrorhandlinger og andre alvorlige straffbare handlinger som hører under Europols mandat.

Artikkel 8

Statistikk

1. Byrået skal hvert kvartal utarbeide statistikk over sentralsystemets arbeid, som særlig viser

   • a) antall datasett som er overført om personer nevnt i artikkel 9 nr. 1, artikkel 14 nr. 1 og artikkel 17 nr. 1,

   • b) antall treff med hensyn til personer som har søkt om internasjonal beskyttelse, og som har inngitt en søknad om internasjonal beskyttelse i en annen medlemsstat,

   • c) antall treff med hensyn til personer nevnt i artikkel 14 nr. 1, som senere har inngitt en søknad om internasjonal beskyttelse,

   • d) antall treff med hensyn til personer nevnt i artikkel 17 nr. 1, som tidligere har inngitt en søknad om internasjonal beskyttelse i en annen medlemsstat,

   • e) antall fingeravtrykksopplysninger som sentralsystemet har måttet anmode opprinnelsesstaten om mer enn én gang, fordi fingeravtrykksopplysningene som opprinnelig ble sendt, ikke egnet seg for sammenligning ved bruk av det elektroniske systemet for gjenkjenning av fingeravtrykk,

   • f) antall datasett med merking, med sperring og antall datasett der merkingen eller sperringen er fjernet i samsvar med artikkel 18 nr. 1 og 3,

   • g) antall treff med hensyn til personer nevnt i artikkel 18 nr. 1 hvis treff er registrert under bokstav b) og d),

   • h) antall anmodninger og treff nevnt i artikkel 20 nr. 1,

   • i) antall anmodninger og treff nevnt i artikkel 21 nr. 1.

2. Ved utgangen av hvert år skal det det utarbeides statistikk i form av en sammenstilling av kvartalsstatistikken for året, herunder opplysninger om antall personer hvis treff er registrert i henhold til nr. 1 bokstav b), c) og d). Statistikken skal inneholde en inndeling av opplysningene for hver medlemsstat. Resultatene skal offentliggjøres.

Kapittel II

Personer som har søkt om internasjonal beskyttelse

Artikkel 9

Opptak, oversending og sammenligning av fingeravtrykk

1. Hver medlemsstat skal omgående ta fingeravtrykk av alle fingre av hver person som har søkt om internasjonal beskyttelse som er 14 år eller eldre, og så snart som mulig og senest 72 timer etter at hans eller hennes søknad om internasjonal beskyttelse i henhold til artikkel 20 nr. 2 i forordning (EU) nr. 604/2013 ble inngitt, oversende dem sammen med opplysningene nevnt i artikkel 11 bokstav b)-g) til sentralsystemet.

   Manglende overholdelse av tidsfristen på 72 timer fritar ikke medlemsstatene fra deres plikt til å oppta og oversende fingeravtrykkene til sentralsystemet. Dersom fingertuppenes tilstand gjør at det ikke er mulig å ta fingeravtrykk av en kvalitet som kan brukes til hensiktsmessig sammenligning i henhold til artikkel 25, skal opprinnelsesstaten ta nye fingeravtrykk av søkeren og sende dem på nytt så snart som mulig og senest 48 timer etter at fingeravtrykkene ble tatt med vellykket resultat.

2. Når det ikke er mulig å ta fingeravtrykk av en person som har søkt om internasjonal beskyttelse på grunn av tiltak som er truffet for å sikre hans eller hennes helse, eller for å beskytte folkehelsen, skal medlemsstatene som unntak fra nr. 1 ta og sende slike fingeravtrykk så snart som mulig og senest 48 timer etter at slike helsemessige hensyn ikke lenger foreligger.

   I tilfelle av alvorlige tekniske problemer kan medlemsstatene forlenge fristen på 72 timer i nr. 1 med inntil 48 timer for å gjennomføre sine nasjonale beredskapsplaner.

3. Fingeravtrykksopplysninger i henhold til artikkel 11 bokstav a) som er oversendt av en medlemsstat, med unntak av dem som er oversendt i samsvar med artikkel 10 bokstav b), skal sammenlignes automatisk med fingeravtrykksopplysninger som er oversendt av andre medlemsstater og som allerede er lagret i sentralsystemet.

4. Sentralsystemet skal på anmodning fra en medlemsstat sikre at sammenligningen nevnt i nr. 3 også omfatter fingeravtrykksopplysninger som tidligere er oversendt fra nevnte medlemsstat, i tillegg til opplysningene fra andre medlemsstater.

5. Sentralsystemet skal automatisk oversende treffet eller det negative resultatet av sammenligningen til opprinnelsesstaten. Ved et treff skal sentralsystemet, for alle datasett som tilsvarer treffet, oversende opplysningene nevnt i artikkel 11 bokstav a)-k), ved behov sammen med opplysning om merkingen nevnt i artikkel 18 nr. 1.

Artikkel 10

Opplysninger om den registrertes status

Følgende opplysninger skal sendes til sentralsystemet for å bli lagret i samsvar med artikkel 12 med henblikk på oversending i henhold til artikkel 9 nr. 5:

• a) når en person som har søkt om internasjonal beskyttelse eller en annen person som nevnt i artikkel 18 nr. 1 bokstav d) i forordning (EU) nr. 604/2013, ankommer den ansvarlige medlemsstat etter overføring i henhold til en beslutning etter en anmodning om tilbaketakelse som nevnt i artikkel 25 i nevnte forordning, skal den ansvarlige medlemsstat oppdatere de opplysninger den har registrert om ham eller henne i samsvar med artikkel 11, ved å legge til dato for hans eller hennes innreise,

• b) når en person som har søkt om internasjonal beskyttelse ankommer den ansvarlige medlemsstat etter overføring i henhold til en beslutning etter en anmodning om overtakelse i samsvar med artikkel 22 i forordning (EU) nr. 604/2013, skal den ansvarlige medlemsstat sende de opplysninger som er registrert om ham eller henne i samsvar med artikkel 11, og legge til dato for hans eller hennes innreise,

• c) så snart opprinnelsesstaten har fastslått at en person hvis opplysninger er registrert i Eurodac i samsvar med artikkel 11, har forlatt medlemsstatenes territorium, skal medlemsstaten oppdatere de opplysninger den har registrert om ham eller henne i samsvar med artikkel 11, ved å legge til datoen for når han eller hun forlot territoriet, for å lette anvendelsen av artikkel 19 nr. 2 og artikkel 20 nr. 5 i forordning (EU) nr. 604/2013,

• d) så snart opprinnelsesstaten har fastslått at en person hvis opplysninger er registrert i Eurodac i samsvar med artikkel 11, har forlatt medlemsstatenes territorium i samsvar med et vedtak om retur eller uttransportering som er gjort etter at søknaden om internasjonal beskyttelse er trukket tilbake eller avslått som fastsatt i artikkel 19 nr. 3 i forordning (EU) nr. 604/2013, skal den oppdatere de opplysninger den har registrert om ham eller henne i samsvar med artikkel 11 ved å legge til datoen for når han eller hun ble uttransportert eller forlot territoriet,

• e) den medlemsstat som blir ansvarlig i henhold til artikkel 17 nr. 1 i forordning (EU) nr. 604/2013, skal oppdatere de opplysninger den har registrert i samsvar med artikkel 11 om personen som har søkt om internasjonal beskyttelse, ved å legge til den dato da beslutningen om å behandle søknaden ble truffet.

Artikkel 11

Registrering av opplysninger

Bare følgende opplysninger skal registreres i sentralsystemet:

• a) fingeravtrykksopplysninger,

• b) opprinnelsesstat, sted og dato for søknaden om internasjonal beskyttelse; i tilfellene nevnt i artikkel 10 bokstav b) skal søknadsdatoen være den dato som ble registrert av den medlemsstat som overførte søkeren,

• c) kjønn,

• d) referansenummer som brukes av opprinnelsesstaten,

• e) dato for når fingeravtrykkene ble tatt,

• f) dato for når opplysningene ble oversendt til sentralsystemet,

• g) operatørens bruker-ID,

• h) dersom det i henhold til artikkel 10 bokstav a) eller b) er relevant, datoen for personens innreise etter gjennomført overføring,

• i) dersom det i henhold til artikkel 10 bokstav c) er relevant, datoen for når vedkommende forlot medlemsstatenes territorium,

• j) dersom det i henhold til artikkel 10 bokstav d) er relevant, datoen for når vedkommende forlot eller ble utsendt fra medlemsstatenes territorium,

• k) dersom det i henhold til artikkel 10 bokstav e) er relevant, datoen for når beslutningen om å behandle søknaden ble truffet.

Artikkel 12

Lagring av opplysninger

1. Hvert datasett, som nevnt i artikkel 11, skal lagres i sentralsystemet i ti år fra den dato da fingeravtrykkene ble tatt.

2. Ved utløpet av tidsrommet nevnt i nr. 1, skal sentralsystemet automatisk slette opplysningene fra sentralsystemet.

Artikkel 13

Avansert sletting av opplysninger

1. Opplysninger om en person som har fått statsborgerskap i en medlemsstat før utløpet av tidsrommet nevnt i artikkel 12 nr. 1, skal slettes fra sentralregisteret i henhold til artikkel 27 nr. 4 så snart opprinnelsesstaten blir kjent med at vedkommende har fått slikt statsborgerskap.

2. Sentralsystemet skal så snart som mulig og senest innen 72 timer underrette alle opprinnelsesstater om at opplysninger er slettet i henhold til nr. 1 av en annen opprinnelsesstat som har registrert et treff med opplysninger de har oversendt om en person nevnt i artikkel 9 nr. 1 eller artikkel 14 nr. 1.

Kapittel III

Tredjelandsborgere eller statsløse som pågripes i forbindelse med ulovlig passering av en medlemsstats ytre grense

Artikkel 14

Opptak og oversending av fingeravtrykksopplysninger

1. Hver medlemsstat skal umiddelbart ta fingeravtrykk av alle fingre av hver tredjelandsborger eller statsløs som er fylt 14 år, som pågripes av de kompetente kontrollmyndigheter i forbindelse med ulovlig passering av grensen til den berørte medlemsstat til lands, sjøs eller i luften etter å ha kommet fra et tredjeland, og som ikke avvises eller som forblir på medlemsstatenes territorium uten å holdes i varetekt eller på annen måte frihetsberøves i hele tidsrommet mellom pågripelsen og utsendelsen på grunnlag av avvisningsvedtaket.

2. Den berørte medlemsstat skal så snart som mulig og senest innen 72 timer etter datoen for pågripelse oversende til sentralsystemet følgende opplysninger om enhver tredjelandsborger eller statsløs som nevnt i nr. 1 som ikke avvises:

   • a) fingeravtrykksopplysninger,

   • b) opprinnelsesstat, sted og dato for pågripelse,

   • c) kjønn,

   • d) referansenummer som brukes av opprinnelsesstaten,

   • e) dato for når fingeravtrykkene ble tatt,

   • f) dato for når opplysningene ble oversendt til sentralsystemet,

   • g) operatørens bruker-ID.

3. Som unntak fra nr. 2 skal opplysningene angitt i nr. 2 som gjelder personer som er pågrepet som beskrevet i nr. 1, og som forblir på medlemsstatenes territorium men som holdes i varetekt eller på annen måte frihetsberøves i et tidsrom på over 72 timer, oversendes før de løslates fra varetekt eller annen frihetsberøving.

4. Manglende overholdelse av fristen på 72 timer nevnt i nr. 2 fritar ikke medlemsstatene fra deres plikt til å oppta og oversende fingeravtrykkene til sentralsystemet. Dersom fingertuppenes tilstand gjør at det ikke er mulig å ta fingeravtrykk av en kvalitet som kan brukes til hensiktsmessig sammenligning i henhold til artikkel 25, skal opprinnelsesstaten ta nye fingeravtrykk av de pågrepne personer som beskrevet i nr. 1, og sende dem på nytt så snart som mulig og senest 48 timer etter at fingeravtrykkene ble tatt med vellykket resultat.

5. Når det ikke er mulig å ta fingeravtrykk av den pågrepne person på grunn av tiltak som er truffet for å sikre hans eller hennes helse, eller for å beskytte folkehelsen, skal den berørte medlemsstat som unntak fra nr. 1 ta og sende slike fingeravtrykk så snart som mulig og senest 48 timer etter at slike helsemessige hensyn ikke lenger er nødvendige.

   I tilfelle av alvorlige tekniske problemer kan medlemsstatene forlenge fristen på 72 timer i nr. 2 med inntil 48 timer for å gjennomføre sine nasjonale beredskapsplaner.

Artikkel 15

Registrering av opplysninger

1. Opplysningene nevnt i artikkel 14 nr. 2 skal registreres i sentralsystemet.

   Uten at dette berører artikkel 8 skal opplysninger som oversendes til sentralsystemet i henhold til artikkel 14 nr. 2, registreres utelukkende med henblikk på sammenligning med opplysninger om personer som har søkt om internasjonal beskyttelse, som senere oversendes til sentralsystemet, og med henblikk på formålene fastsatt i artikkel 1 nr. 2.

   Sentralsystemet skal ikke sammenligne opplysninger som oversendes til det i henhold til artikkel 14 nr. 2, med noen opplysninger som tidligere er registrert i sentralsystemet, eller med opplysninger som senere oversendes til sentralsystemet i samsvar med artikkel 14 nr. 2.

2. Når det gjelder sammenligningen av opplysninger om personer som har søkt om internasjonal beskyttelse, som senere oversendes til sentralsystemet, med opplysningene nevnt i nr. 1, skal prosedyrene fastsatt i artikkel 9 nr. 3 og 5 og artikkel 25 nr. 4 få anvendelse.

Artikkel 16

Lagring av opplysninger

1. Hvert datasett som gjelder en tredjelandsborger eller statsløs som nevnt i artikkel 14 nr. 1, skal lagres i sentralsystemet i 18 måneder fra den dato da hans eller hennes fingeravtrykk ble tatt. Ved utløpet av nevnte tidsrom skal sentralsystemet automatisk slette slike opplysninger.

2. Opplysningene om en tredjelandsborger eller statsløs som nevnt i artikkel 14 nr. 1, skal slettes fra sentralsystemet i samsvar med artikkel 28 nr. 3 så snart opprinnelsesstaten blir kjent med en av følgende omstendigheter før tidsrommet på 18 måneder nevnt i nr. 1 har utløpt:

   • a) tredjelandsborgeren eller den statsløse har fått utstedt et oppholdsdokument,

   • b) tredjelandsborgeren eller den statsløse har forlatt medlemsstatenes territorium,

   • c) tredjelandsborgeren eller den statsløse har fått statsborgerskap i en medlemsstat.

3. Sentralsystemet skal så snart som mulig og senest innen 72 timer underrette alle opprinnelsesstater om at opplysninger er slettet i henhold til nr. 2 bokstav a) eller b) av en annen opprinnelsesstat som har registrert et treff med opplysninger de har oversendt om en person nevnt i artikkel 14 nr. 1.

4. Sentralsystemet skal så snart som mulig og senest innen 72 timer underrette alle opprinnelsesstater om at opplysninger er slettet i henhold til nr. 2 bokstav c) av en annen opprinnelsesstat som har registrert et treff med opplysninger de har oversendt om en person nevnt i artikkel 9 nr. 1 eller artikkel 14 nr. 1.

Kapittel IV

Tredjelandsborgere eller statsløse som oppholder seg ulovlig i en medlemsstat

Artikkel 17

Sammenligning av fingeravtrykksopplysninger

1. For å kontrollere om en tredjelandsborger eller en statsløs som oppholder seg ulovlig på dens territorium, tidligere har inngitt en søknad om internasjonal beskyttelse i en annen medlemsstat, kan en medlemsstat oversende til sentralsystemet fingeravtrykksopplysninger om fingeravtrykk som den har tatt av en slik tredjelandsborger eller statsløs som er fylt 14 år, sammen med referansenummeret som nevnte medlemsstat bruker.

   Som en hovedregel er det grunn til å undersøke om tredjelandsborgeren eller den statsløse tidligere har inngitt en søknad om internasjonal beskyttelse i en annen medlemsstat dersom

   • a) tredjelandsborgeren eller den statsløse erklærer at han eller hun har inngitt en søknad om internasjonal beskyttelse, men ikke angir i hvilken medlemsstat han eller hun har inngitt søknaden,

   • b) tredjelandsborgeren eller den statsløse ikke anmoder om internasjonal beskyttelse men motsetter seg å bli sendt tilbake til sitt hjemland med den begrunnelse at det vil bringe vedkommende i fare, eller

   • c) tredjelandsborgeren eller den statsløse på annen måte forsøker å forhindre utsendelse ved å nekte å medvirke til fastsettelsen av sin identitet, særlig ved ikke å vise identitetspapirer eller ved å vise falske identitetspapirer.

2. De medlemsstater som deltar i prosedyren nevnt i nr. 1, skal oversende til sentralsystemet fingeravtrykksopplysninger om alle fingre eller minst pekefingrene, og dersom de mangler, avtrykk av alle andre fingre av tredjelandsborgere eller statsløse nevnt i nr. 1.

3. Fingeravtrykksopplysninger om en tredjelandsborger eller statsløs som nevnt i nr. 1 skal oversendes til sentralsystemet utelukkende for sammenligning med fingeravtrykksopplysninger av personer som har søkt om internasjonal beskyttelse, som er oversendt av andre medlemsstater og allerede er registrert i sentralsystemet.

   Fingeravtrykksopplysningene om en slik tredjelandsborger eller statsløs skal ikke registreres i sentralsystemet eller sammenlignes med opplysningene oversendt til sentralsystemet i henhold til artikkel 14 nr. 2.

4. Så snart resultatene av sammenligningen av fingeravtrykkopplysninger er oversendt til opprinnelsesstaten, skal sentralsystemet oppbevare registreringen av søket bare for formålene nevnt i artikkel 28. Medlemsstatene eller sentralsystemet kan ikke lagre noen annen registrering av søket for andre formål enn disse.

5. Når det gjelder sammenligningen av fingeravtrykksopplysninger som er oversendt i henhold til denne artikkel, med fingeravtrykksopplysninger om personer som har søkt om internasjonal beskyttelse, som er oversendt av andre medlemsstater og som allerede er lagret i sentralsystemet, skal prosedyrene fastsatt i artikkel 9 nr. 3 og 5 og artikkel 25 nr. 4 få anvendelse.

Kapittel V

Personer med rett til internasjonal beskyttelse

Artikkel 18

Merking av opplysninger

1. For formålene fastsatt i artikkel 1 nr. 1 skal den opprinnelsesstat som har innvilget internasjonal beskyttelse til en person som har søkt om internasjonal beskyttelse hvis opplysninger tidligere er registrert i sentralsystemet i samsvar med artikkel 11, merke de relevante opplysninger i samsvar med kravene til elektronisk kommunikasjon med sentralsystemet fastsatt av Byrået. Nevnte merking skal lagres i sentralsystemet i samsvar med artikkel 12 med henblikk på oversending i henhold til artikkel 9 nr. 5. Sentralsystemet skal underrette alle opprinnelsesstater om at opplysninger er merket av en annen opprinnelsesstat som har registrert et treff med opplysninger de har oversendt om en person nevnt i artikkel 9 nr. 1 eller artikkel 14 nr. 1. Nevnte medlemsstater skal også merke de tilsvarende datasett.

2. Opplysninger om personer med rett til internasjonal beskyttelse som er lagret i sentralsystemet og merket i samsvar med nr. 1, skal gjøres tilgjengelige for sammenligning for formålene fastsatt i artikkel 1 nr. 2 i et tidsrom på tre år etter datoen for når den registrerte ble innvilget internasjonal beskyttelse.

   Ved et treff skal sentralsystemet oversende opplysningene nevnt i artikkel 11 bokstav a)-k) for alle datasettene som tilsvarer treffet. Sentralsystemet skal ikke oversende merkingen nevnt i nr. 1. Ved utløpet av tidsrommet på tre år skal sentralsystemet automatisk sperre slike opplysninger fra å oversendes dersom det gjelder en anmodning om sammenligning for formålene fastsatt i artikkel 1 nr. 2, samtidig som opplysningene skal være tilgjengelige for sammenligning for formålene fastsatt i artikkel 1 nr. 1 inntil de slettes. Sperrede opplysninger skal ikke oversendes, og sentralsystemet skal sende et negativt resultat til den anmodende medlemsstat i tilfelle av treff.

3. Opprinnelsesstaten skal fjerne merkingen eller sperringen av opplysninger om en tredjelandsborger eller statsløs hvis opplysninger tidligere har vært merket eller sperret i samsvar med nr. 1 eller 2 dersom hans eller hennes status trekkes tilbake eller opphører eller forlengelsen av hans eller hennes status avslås i henhold til artikkel 14 eller 19 i direktiv 2011/95/EU.

Kapittel VI

Prosedyre for sammenligning og overføring av opplysninger med henblikk på rettshåndhevelse

Artikkel 19

Prosedyre for sammenligning av fingeravtrykksopplysninger med Eurodac-opplysninger

1. For formålene fastsatt i artikkel 1 nr. 2 kan de utpekte myndigheter nevnt i artikkel 5 nr. 1 og artikkel 7 nr. 2 inngi en begrunnet elektronisk anmodning i henhold til artikkel 20 nr. 1 sammen med det referansenummeret de bruker, til kontrollmyndigheten, via det nasjonale tilgangspunkt, for oversending til sentralsystemet med henblikk på sammenligning av fingeravtrykkopplysninger. Ved mottak av slik anmodning skal kontrollmyndigheten kontrollere at alle vilkår for anmodning om en sammenligning nevnt i artikkel 20 eller 21, alt etter som, er oppfylt.

2. Dersom alle vilkårene for anmodning om en sammenligning nevnt i artikkel 20 eller 21 er oppfylt, skal kontrollmyndigheten oversende anmodningen om sammenligning til det nasjonale tilgangspunkt, som skal videresende den til sentralsystemet i samsvar med artikkel 9 nr. 3 og 5 med henblikk på sammenligning med opplysningene som er oversendt til sentralsystemet i samsvar med artikkel 9 nr. 1 og artikkel 14 nr. 2.

3. I ekstraordinære hastesaker der det er nødvendig å avverge en overhengende fare i forbindelse med en terrorhandling eller annen alvorlig straffbar handling, kan kontrollmyndigheten umiddelbart når den mottar en anmodning fra en utpekt myndighet oversende fingeravtrykksopplysningene til det nasjonale tilgangspunkt for sammenligning og først i etterhånd kontrollere om alle vilkårene for å anmode om en sammenligning i henhold til enten artikkel 20 eller 21 er oppfylt, blant annet om det faktisk var en ekstraordinær hastesak. Etterhåndskontrollen skal skje uten unødig opphold etter at anmodningen er behandlet.

4. Dersom det ved etterhåndskontrollen fastslås at tilgangen til Eurodac-opplysningene ikke var begrunnet, skal alle myndigheter som har fått tilgang til slike opplysninger, slette opplysningene de har mottatt fra Eurodac og underrette kontrollmyndigheten om slik sletting.

Artikkel 20

Vilkår for de utpekte myndigheters tilgang til Eurodac

1. For formålene fastsatt i artikkel 1 nr. 2 kan de utpekte myndigheter, innen rammen av deres myndighet, inngi en begrunnet elektronisk anmodning om sammenligning av fingeravtrykksopplysninger med de opplysninger som er lagret i sentralsystemet, bare dersom sammenligninger med følgende databaser ikke har ført til at den registrertes identitet har kunnet fastsettes:

   • nasjonale fingeravtrykksdatabaser,

   • alle andre medlemsstaters systemer for automatisk identifikasjon av fingeravtrykk i henhold til beslutning 2008/615/JIS der sammenligninger er teknisk tilgjengelige, med mindre det finnes rimelige grunner til å anta at en sammenligning med slike systemer ikke vil føre til fastsettelse av den registrertes identitet. Slike rimelige grunner skal angis i den begrunnede elektroniske anmodningen om sammenligning med Eurodac-opplysninger som den utpekte myndighet har sendt til kontrollmyndigheten, og

   • visuminformasjonssystemet, forutsatt at vilkårene for sammenligning fastsatt i beslutning 2008/633/JIS er oppfylt,

     og der følgende kumulative vilkår er oppfylt:

     • a) sammenligningen er nødvendig for å forebygge, avdekke eller etterforske terrorhandlinger eller andre alvorlige straffbare handlinger, som betyr at det foreligger et tungtveiende hensyn til den offentlige sikkerhet som berettiger søket i databasen,

     • b) sammenligningen er nødvendig i et særskilt tilfelle (dvs. at systematiske sammenligninger ikke skal utføres), og

     • c) det er rimelige grunner til å anta at sammenligningen vil bidra i vesentlig grad til forebygging, avdekking og etterforskning av noen av de aktuelle straffbare handlinger. Slike rimelige grunner foreligger særlig dersom det er begrunnet mistanke om at en person som mistenkes for, har begått eller er offer for en terrorhandling eller annen alvorlig straffbar handling, omfattes av en av kategoriene i denne forordning.

2. Anmodninger om sammenligning med Eurodac-opplysninger skal begrenses til søk i fingeravtrykksopplysninger.

Artikkel 21

Vilkår for Europols tilgang til Eurodac

1. For formålene fastsatt i artikkel 1 nr. 2 kan Europols utpekte myndighet inngi en begrunnet elektronisk anmodning om sammenligning av fingeravtrykksopplysninger med opplysningene lagret i sentralsystemet innen rammen av Europols mandat og om nødvendig med henblikk på utførelsen av Europols oppgaver, bare dersom sammenligninger med fingeravtrykksopplysninger lagret i informasjonsbehandlingssystemer som teknisk og rettslig er tilgjengelige for Europol, ikke har ført til fastsettelse av den registrertes identitet og der følgende kumulative vilkår er oppfylt:

   • a) sammenligningen er nødvendig for å støtte og styrke medlemsstatenes arbeid for å forebygge, avdekke og etterforske terrorhandlinger eller andre alvorlige straffbare handlinger som faller inn under Europols mandat, som betyr at det foreligger et tungtveiende hensyn til den offentlige sikkerhet som berettiger søket i databasen,

   • b) sammenligningen er nødvendig i et særskilt tilfelle (dvs. at systematiske sammenligninger ikke skal utføres), og

   • c) det er rimelige grunner til å anta at sammenligningen vil bidra i vesentlig grad til forebygging, avdekking og etterforskning av noen av de aktuelle straffbare handlinger. Slike rimelige grunner foreligger særlig dersom det er begrunnet mistanke om at en person som mistenkes for, har begått eller er offer for en terrorhandling eller annen alvorlig straffbar handling, omfattes av en av kategoriene i denne forordning.

2. Anmodninger om sammenligning med Eurodac-opplysninger skal begrenses til sammenligninger av fingeravtrykksopplysninger.

3. Behandling av opplysninger innhentet av Europol fra sammenligning med Eurodac-opplysninger kan bare skje etter tillatelse fra opprinnelsesstaten. Slik tillatelse skal innhentes via Europols nasjonale enhet i nevnte medlemsstat.

Artikkel 22

Kommunikasjon mellom de utpekte myndigheter, kontrollmyndighetene og de nasjonale tilgangspunkter

1. Uten at dette berører artikkel 26, skal all kommunikasjon mellom de utpekte myndigheter, kontrollmyndighetene og de nasjonale tilgangspunkter være sikker og skje elektronisk.

2. For formålene fastsatt i artikkel 1 nr. 2 skal fingeravtrykk behandles digitalt av medlemsstatene og oversendes i det dataformat som er nevnt i vedlegg I, for å sikre at sammenligningen kan gjøres med hjelp av det elektroniske systemet for gjenkjenning av fingeravtrykk.

Kapittel VII

Databehandling, vern av personopplysninger og erstatningsansvar

Artikkel 23

Ansvar for databehandling

1. Opprinnelsesstaten skal ha ansvar for å sikre at

   • a) fingeravtrykk blir lovlig tatt,

   • b) fingeravtrykksopplysninger og andre opplysninger nevnt i artikkel 11, artikkel 14 nr. 2 og artikkel 17 nr. 2, blir lovlig oversendt til sentralsystemet,

   • c) opplysningene er nøyaktige og oppdatert når de oversendes til sentralsystemet,

   • d) opplysningene i sentralsystemet, med forbehold for Byråets ansvar, blir lovlig registrert, lagret, rettet og slettet,

   • e) resultatet av sammenligninger av fingeravtrykksopplysninger oversendt av sentralsystemet, blir lovlig behandlet.

2. I samsvar med artikkel 34 skal opprinnelsesstaten ivareta sikkerheten for opplysningene nevnt i nr. 1 før og under oversendingen til sentralsystemet og sikkerheten for opplysningene den mottar fra sentralsystemet.

3. Opprinnelsesstaten skal ha ansvar for den endelige identifikasjonen av opplysningene i henhold til artikkel 25 nr. 4.

4. Byrået skal sikre at sentralsystemet drives i samsvar med bestemmelsene i denne forordning. Særlig skal Byrået

   • a) vedta tiltak som sikrer at personer som arbeider med sentralsystemet, behandler opplysningene som er registrert der, utelukkende i samsvar med Eurodacs formål som fastsatt i artikkel 1,

   • b) treffe de nødvendige tiltak for å ivareta sikkerheten ved sentralsystemet i samsvar med artikkel 34,

   • c) sikre at bare personer som er autorisert til å arbeide med sentralsystemet, har tilgang til det, uten at dette berører EUs datatilsynsmanns kompetanse.

     Byrået skal underrette Europaparlamentet og Rådet samt EUs datatilsynsmann om de tiltak det treffer i samsvar med første ledd.

Artikkel 24

Oversending

1. Fingeravtrykkene skal behandles digitalt og oversendes i det dataformat som er nevnt i vedlegg I. I den utstrekning det er nødvendig for at sentralsystemet skal kunne drives effektivt, skal Byrået fastsette de tekniske krav til oversending av dataformatet fra medlemsstatene til sentralsystemet og omvendt. Byrået skal sikre at fingeravtrykksopplysningene medlemsstaten har oversendt, kan sammenlignes av det elektroniske systemet for gjenkjenning av fingeravtrykk.

2. Medlemsstatene skal oversende opplysningene nevnt i artikkel 11, artikkel 14 nr. 2 og artikkel 17 nr. 2, elektronisk. Opplysningene nevnt i artikkel 11 og artikkel 14 nr. 2 skal registreres automatisk i sentralsystemet. I den utstrekning det er nødvendig for at sentralsystemet skal kunne drives effektivt, skal Byrået fastsette tekniske krav for å sikre at opplysningene blir korrekt oversendt elektronisk fra medlemsstatene til sentralsystemet og omvendt.

3. Ved hjelp av referansenummeret nevnt i artikkel 11 bokstav d), artikkel 14 nr. 2 bokstav d), artikkel 17 nr. 1 og artikkel 19 nr. 1, skal opplysningene kunne knyttes entydig til en bestemt person og til den medlemsstat som har oversendt opplysningene. Det skal i tillegg gjøre det mulig å si om opplysningene gjelder en person som nevnt i artikkel 9 nr. 1, artikkel 14 nr. 1 eller artikkel 17 nr. 1.

4. Referansenummeret skal begynne med identifikasjonsbokstaven eller -bokstavene som identifiserer medlemsstaten i samsvar med normen nevnt i vedlegg I, som oversender opplysningene. Identifikasjonsbokstaven eller -bokstavene skal etterfølges av identifikasjonen av person- eller anmodningskategorien. «1» viser til opplysninger som gjelder personer nevnt i artikkel 9 nr. 1, «2» personer nevnt i artikkel 14 nr. 1, «3» personer nevnt i artikkel 17 nr. 1, «4» personer nevnt i artikkel 20, «5» personer nevnt i artikkel 21, og «9» personer nevnt i artikkel 29.

5. Byrået skal utarbeide de tekniske prosedyrene medlemsstatene trenger for å sikre mottak av entydige opplysninger fra sentralsystemet.

6. Sentralsystemet skal bekrefte mottak av de oversendte opplysningene så snart som mulig. For dette formål skal Byrået utarbeide de tekniske krav som er nødvendige for å sikre at medlemsstatene mottar mottakskvittering dersom de har bedt om det.

Artikkel 25

Gjennomføring av sammenligninger og oversending av resultater

1. Medlemsstatene skal sikre at fingeravtrykksopplysninger oversendes i en kvalitet som er egnet til sammenligning i det elektroniske systemet for gjenkjenning av fingeravtrykk. For å sikre et svært høyt nøyaktighetsnivå for resultatene av sammenligningen i sentralsystemet skal Byrået definere hva som er egnet kvalitet på oversendte fingeravtrykksopplysninger. Sentralsystemet skal snarest mulig kontrollere kvaliteten på fingertrykksopplysningene som oversendes. Dersom fingeravtrykksopplysningene ikke egner seg for sammenligning ved bruk av det elektroniske systemet for gjenkjenning av fingeravtrykk, skal sentralsystemet underrette den berørte medlemsstat om dette. Nevnte medlemsstat skal da oversende fingeravtrykksopplysninger av en egnet kvalitet ved bruk av det samme referansenummeret som det forrige settet med fingeravtrykksopplysninger.

2. Sentralsystemet skal gjennomføre sammenligninger i samme rekkefølge som anmodningene innkommer. Hver anmodning skal behandles innen 24 timer. En medlemsstat kan av hensyn til nasjonal lovgivning anmode om at sammenligninger som haster særlig mye, blir gjennomført innen en time. Dersom slike frister ikke kan overholdes på grunn av omstendigheter som ligger utenfor Byråets ansvar, skal sentralsystemet prioritere å behandle anmodningen så snart slike omstendigheter ikke lenger foreligger. I slike tilfeller skal Byrået, i den utstrekning det er nødvendig for at sentralsystemet skal kunne drives effektivt, fastsette kriterier for å sikre prioritert behandling av anmodninger.

3. I den utstrekning det er nødvendig for at sentralsystemet skal kunne drives effektivt, skal Byrået utarbeide operative prosedyrer for behandling av mottatte opplysninger og oversending av resultatene av sammenligningen.

4. Resultatene av sammenligningen skal umiddelbart kontrolleres i den mottakende medlemsstat av en fingeravtrykksekspert som definert i nasjonale regler, som har særskilt kompetanse på de typer sammenligninger av fingeravtrykk denne forordning gjelder. For formålene fastsatt i artikkel 1 nr. 1 er det opprinnelsesstaten som skal gjøre den endelige identifikasjonen i samarbeid de andre berørte medlemsstater, i samsvar med artikkel 34 i forordning (EU) nr. 604/2013.

   Informasjon som mottas fra sentralsystemet vedrørende andre opplysninger som har vist seg å være upålitelige, skal slettes så snart det er fastslått at opplysningene ikke er pålitelige.

5. Dersom den endelige identifiseringen i samsvar med nr. 4 viser at resultatet av sammenligningen fra sentralsystemet ikke ste nmmer med de fingeravtrykksopplysninger som ble sendt for sammenligning, skal medlemsstatene umiddelbart slette resultatet av sammenligningen og underrette Kommisjonen og Byrået om dette så snart som mulig og ikke senere enn etter tre virkedager.

Artikkel 26

Kommunikasjon mellom medlemsstatene og sentralsystemet

Opplysninger som oversendes fra medlemsstatene til sentralsystemet og omvendt, skal bruke kommunikasjonsinfrastrukturen. I den utstrekning det er nødvendig for at sentralsystemet skal kunne drives effektivt, skal Byrået utarbeide de tekniske prosedyrene som er nødvendige for å bruke kommunikasjonsinfrastrukturen.

Artikkel 27

Tilgang til og retting eller sletting av opplysninger registrert i Eurodac

1. Opprinnelsesstaten skal ha tilgang til opplysninger den selv har oversendt, som er registrert i sentralsystemet i samsvar med denne forordning.

   Ingen medlemsstat kan foreta søk i opplysninger oversendt av en annen medlemsstat, og den kan heller ikke motta slike opplysninger, bortsett fra opplysninger som er resultatet av sammenligningen nevnt i artikkel 9 nr. 5.

2. Myndighetene i medlemsstater som i samsvar med nr. 1 har tilgang til opplysninger registrert i sentralsystemet, skal være dem som er utpekt av den enkelte medlemsstat for formålene fastsatt i artikkel 1 nr. 1. Utpekingen skal angi nøyaktig hvilken enhet som har ansvaret for å utføre oppgaver i tilknytning til anvendelsen av denne forordning. Hver medlemsstat skal uten opphold sende Kommisjonen og Byrået en liste over disse enhetene samt eventuelle endringer i denne. Byrået skal offentliggjøre den sammenfattende listen i Den europeiske unions tidende. Dersom det kommer endringer i denne, skal Byrået årlig offentliggjøre en ajourført sammenfattende liste.

3. Bare opprinnelsesstaten skal ha rett til å endre opplysninger den har oversendt til sentralsystemet ved å rette eller supplere opplysningene eller slette dem, med forbehold for sletting som gjøres i samsvar med artikkel 12 nr. 2 eller artikkel 16 nr. 1.

4. Dersom en medlemsstat eller Byrået har informasjon som tilsier at opplysninger som er registrert i sentralsystemet, faktisk sett er uriktige, skal den underrette opprinnelsesstaten om dette så snart som mulig.

   Dersom en medlemsstat har informasjon som tilsier at opplysninger er registrert i sentralsystemet i strid med denne forordning, skal den underrette Kommisjonen og opprinnelsesstaten om dette så snart som mulig. Opprinnelsesstaten skal kontrollere de berørte opplysninger og uten opphold om nødvendig endre eller slette dem.

5. Byrået skal ikke overføre eller gjøre tilgjengelig opplysninger registrert i sentralsystemet, for myndighetene i noe tredjeland. Dette forbud gjelder ikke overføring av slike opplysninger til tredjeland som forordning (EU) nr. 604/2013 får anvendelse på.

Artikkel 28

Registre

1. Byrået skal føre registre over all behandling av opplysninger i sentralsystemet. Registrene skal vise formål, dato og klokkeslett for tilgang, opplysninger som er oversendt, opplysninger som er brukt i søket, og navn på både den enhet som har lagt inn eller hentet opplysningene, og på de ansvarlige personer.

2. Registrene nevnt i nr. 1 kan brukes bare til å overvåke at behandlingen av opplysningene er lovlig, og til å ivareta datasikkerheten i samsvar med artikkel 34. Registrene må beskyttes ved hensiktsmessige tiltak mot uberettiget tilgang og slettes etter utløpet av en periode på ett år etter lagringsperioden nevnt i artikkel 12 nr. 1 og artikkel 16 nr. 1, med mindre det er bruk for dem i forbindelse med overvåkingsprosedyrer som allerede er igangsatt.

3. For formålene fastsatt i artikkel 1 nr. 1, skal hver medlemsstat treffe de nødvendige tiltak for å nå målene fastsatt i nr. 1 og 2 innen rammen av sitt nasjonale system. I tillegg skal hver medlemsstat oppbevare registre over personale med behørig fullmakt til å legge inn eller hente opplysninger.

Artikkel 29

Den registrertes rettigheter

1. En person som omfattes av artikkel 9 nr. 1, artikkel 14 nr. 1 eller artikkel 17 nr. 1, skal underrettes skriftlig av opprinnelsesstaten, og om nødvendig muntlig, på et språk som han eller hun forstår eller som det med rimelighet kan forventes at han eller hun forstår, om følgende:

   • a) identiteten til den behandlingsansvarlige i henhold til artikkel 2 bokstav d) i direktiv 95/46/EF og hans eller hennes eventuelle representant,

   • b) formålet med behandlingen av hans eller hennes opplysninger i Eurodac, herunder en beskrivelse av målene med forordning (EU) nr. 604/2013 i samsvar med artikkel 4 i nevnte forordning, og en forklaring i en forståelig form med et klart og enkelt språk om at medlemsstatene og Europol kan få tilgang til Eurodac med henblikk på rettshåndhevelse,

   • c) mottakerne av opplysningene,

   • d) når det gjelder en person som omfattes av artikkel 9 nr. 1 eller artikkel 14 nr. 1, plikten til å avgi fingeravtrykk,

   • e) retten til å få innsyn i opplysninger om ham eller henne, og retten til å anmode om at uriktige opplysninger om ham eller henne rettes, eller at ulovlig behandlede opplysninger om ham eller henne slettes, og retten til å motta informasjon om prosedyrene for å utøve disse rettighetene, herunder kontaktopplysninger til den behandlingsansvarlige og de nasjonale tilsynsmyndigheter nevnt i artikkel 30 nr. 1.

2. Når det gjelder en person som omfattes av artikkel 9 nr. 1 eller artikkel 14 nr. 1, skal opplysningene nevnt i nr. 1 gis på det tidspunkt hans eller hennes fingeravtrykk tas.

   Når det gjelder en person som omfattes av artikkel 17 nr. 1, skal opplysningene nevnt i nr. 1 gis senest på det tidspunkt da opplysningene om vedkommende oversendes til sentralsystemet. Denne plikten gjelder ikke dersom det er umulig å gi opplysningene eller det ville kreve en uforholdsmessig anstrengelse å gi opplysningene.

   Dersom en person som omfattes av artikkel 9 nr. 1, artikkel 14 nr. 1 og artikkel 17 nr. 1 er mindreårig, skal medlemsstatene gi opplysningene på en måte som tar hensyn til personens alder.

3. En felles brosjyre som minst inneholder opplysningene nevnt i nr. 1 og opplysningene nevnt i artikkel 4 nr. 1 i forordning (EU) nr. 604/2013, skal utarbeides i samsvar med prosedyren nevnt i artikkel 44 nr. 2 i nevnte forordning.

   Brosjyren skal være klar og enkel og skrevet på et språk som den berørte person forstår eller som det med rimelighet kan forventes at han eller hun forstår.

   Brosjyren skal utarbeides på en slik måte at det er mulig for medlemsstatene å supplere den med ytterligere opplysninger som er spesifikke for den enkelte medlemsstat. Slike opplysninger som er spesifikke for den enkelte medlemsstat, skal minst omfatte den registrertes rettigheter, muligheten for bistand fra de nasjonale tilsynsmyndigheter og kontaktopplysningene til den behandlingsansvarlige og til de nasjonale tilsynsmyndigheter.

4. For formålene fastsatt i artikkel 1 nr. 1 i denne forordning, kan de registrerte i hver medlemsstat utøve rettighetene fastsatt i artikkel 12 i direktiv 95/46/EF i samsvar med de lover, forskrifter og prosedyrer som gjelder i den enkelte medlemsstat.

   Med forbehold for plikten til å legge fram andre opplysninger i samsvar med artikkel 12 bokstav a) i direktiv 95/46/EF, skal den registrerte ha rett til å få informasjon om de opplysninger om ham eller henne som er registrert i sentralsystemet, og om hvilken medlemsstat som oversendte dem til sentralsystemet. Slikt innsyn kan bare gis av en medlemsstat.

5. For formålene fastsatt i artikkel 1 nr. 1 kan enhver person i hver medlemsstat anmode om retting av opplysninger som faktisk sett er uriktige, eller om sletting av ulovlig registrerte opplysninger. Den medlemsstat som har oversendt opplysningene, skal foreta retting og sletting før det går for lang tid, i samsvar med de lover, forskrifter og prosedyrer som gjelder i medlemsstaten.

6. Dersom retten til retting og sletting utøves i en annen medlemsstat enn den eller de medlemsstater som har oversendt opplysningene, skal myndighetene i denne medlemsstat for formålene fastsatt i artikkel 1 nr. 1, kontakte myndighetene i den eller de medlemsstater som har oversendt opplysningene, slik at sistnevnte kan kontrollere at opplysningene er korrekte, og at oversendingen til og registreringen i sentralsystemet er lovlig.

7. Dersom det viser seg at opplysninger lagret i sentralsystemet faktisk er uriktige eller er registrert ulovlig, skal den medlemsstat som har oversendt dem, rette eller slette opplysningene i samsvar med artikkel 27 nr. 3 for formålene fastsatt i artikkel 1 nr. 1. Nevnte medlemsstat skal, før det går for lang tid, bekrefte skriftlig overfor den registrerte at den har truffet tiltak for å rette eller slette opplysninger om ham eller henne.

8. Dersom den medlemsstat som har oversendt opplysningene, ikke er enig i at opplysningene som er registrert i sentralsystemet faktisk sett er uriktige eller er registrert ulovlig, skal den, for formålene fastsatt i artikkel 1 nr. 1, før det går for lang tid, bekrefte skriftlig overfor den registrerte hvorfor den ikke er villig til å rette eller slette opplysningene.

   Medlemsstaten skal også gi den registrerte opplysninger om hvilke skritt han eller hun kan ta dersom han eller hun ikke godtar forklaringen som er gitt. Dette skal omfatte opplysninger om hvordan en sak kan reises eller eventuelt en klage kan bringes inn for kompetente myndigheter eller domstoler i medlemsstaten, og om eventuell økonomisk eller annen støtte som er tilgjengelig i samsvar med nevnte medlemsstats lover, forskrifter og prosedyrer.

9. Enhver anmodning i henhold til nr. 4 og 5 skal inneholde alle de nødvendige opplysninger for å identifisere den registrerte, herunder fingeravtrykk. Slike opplysninger skal brukes utelukkende med henblikk på utøvelsen av rettighetene nevnt i nr. 4 og 5, og skal slettes umiddelbart etterpå.

10. Kompetente myndigheter i medlemsstatene skal samarbeide aktivt for snarest å sikre at rettighetene fastsatt i nr. 5, 6 og 7 kan utøves.

11. Dersom en person anmoder om innsyn i opplysninger om ham eller henne i samsvar med nr. 4, skal den kompetente myndighet føre et register i form av et skriftlig dokument som angir at slik anmodning er inngitt, og hvordan den ble behandlet, og skal uten opphold gjøre dokumentet tilgjengelig for de nasjonale tilsynsmyndigheter.

12. For formålene fastsatt i artikkel 1 nr. 1, skal den nasjonale tilsynsmyndighet i hver medlemsstat, i samsvar med artikkel 28 nr. 4 i direktiv 95/46/EF, på anmodning bistå den registrerte i utøvelsen av hans eller hennes rettigheter.

13. For formålene fastsatt i artikkel 1 nr. 1, skal den nasjonale tilsynsmyndighet i den medlemsstat som har oversendt opplysningene, og den nasjonale tilsynsmyndighet i den medlemsstat der den registrerte oppholder seg, bistå og på anmodning gi ham eller henne råd om hvordan han eller hun skal utøve sin rett til å få opplysninger rettet eller slettet. For dette formål skal begge nasjonale tilsynsmyndigheter samarbeide. Anmodninger om slik bistand kan rettes til den nasjonale tilsynsmyndighet i den medlemsstat der den registrerte oppholder seg, som skal oversende anmodningene til myndigheten i den medlemsstat som har oversendt opplysningene.

14. I hver medlemsstat kan enhver reise en sak eller eventuelt bringe en klage inn for de kompetente myndigheter eller domstoler i nevnte stat, i samsvar med nevnte stats lover, forskrifter og prosedyrer, dersom han eller hun nektes innsynsretten fastsatt i nr. 4.

15. Enhver person kan, i samsvar med lovene, forskriftene og prosedyrene i den medlemsstat som har oversendt opplysningene, reise en sak eller eventuelt bringe en klage inn for kompetente myndigheter eller domstoler i nevnte stat vedrørende de opplysninger om ham eller henne som er registrert i sentralsystemet, for å utøve sine rettigheter i henhold til nr. 5. Den nasjonale tilsynsmyndighets plikt til å bistå og på anmodning gi den registrerte råd i samsvar med nr. 13, gjelder under hele saksbehandlingen.

Artikkel 30

De nasjonale tilsynsmyndigheters tilsyn

1. For formålene fastsatt i artikkel 1 nr. 1 skal hver medlemsstat sikre at den eller de nasjonale tilsynsmyndigheter utpekt i samsvar med artikkel 28 nr. 1 i direktiv 95/46/EF uavhengig overvåker, i samsvar med sin nasjonale lovgivning, lovligheten av den berørte medlemsstats behandling av personopplysninger, herunder oversendingen av dem til sentralsystemet, i samsvar med denne forordning.

2. Hver medlemsstat skal sikre at dens nasjonale tilsynsmyndighet har tilgang til råd fra personer med tilstrekkelig kunnskap om fingeravtrykksopplysninger.

Artikkel 31

EUs datatilsynsmanns tilsyn

1. EUs datatilsynsmann skal sikre at all behandling av personopplysninger i forbindelse med Eurodac, særlig ved Byrået, skjer i samsvar med forordning (EF) nr. 45/2001 og med denne forordning.

2. EUs datatilsynsmann skal sikre at det foretas revisjon av Byråets behandling av personopplysninger minst hvert tredje år i samsvar med internasjonale revisjonsstandarder. En rapport fra revisjonen skal sendes til Europaparlamentet, Rådet, Kommisjonen, Byrået og de nasjonale tilsynsmyndigheter. Byrået skal gis anledning til å uttale seg før rapporten vedtas.

Artikkel 32

Samarbeid mellom nasjonale tilsynsmyndigheter og EUs datatilsynsmann

1. De nasjonale tilsynsmyndigheter og EUs datatilsynsmann skal, hver innenfor sitt kompetanseområde, samarbeide aktivt innenfor sine ansvarsområder og sikre samordnet tilsyn med Eurodac.

2. Medlemsstatene skal sikre at det hvert år foretas revisjon av behandlingen av personopplysninger for formålene fastsatt i artikkel 1 nr. 2, av et uavhengig organ i samsvar med artikkel 33 nr. 2, herunder en analyse av et utvalg av begrunnede elektroniske anmodninger.

   Revisjonen skal vedlegges de årsrapporter medlemsstatene skal utarbeide i henhold til artikkel 40 nr. 7.

3. De nasjonale tilsynsmyndigheter og EUs datatilsynsmann skal, hver innenfor sitt kompetanseområde, utveksle relevant informasjon, bistå hverandre i gjennomføringen av revisjoner og inspeksjoner, utrede vanskeligheter i forbindelse med fortolkningen eller anvendelsen av denne forordning, undersøke problemer med gjennomføringen av uavhengige kontroller eller med utøvelsen av de registrertes rettigheter, utarbeide harmoniserte forslag til felles løsninger på eventuelle problemer samt i påkommende tilfeller fremme bevissthet om personvernrettigheter.

4. For formålene fastsatt i nr. 3 skal de nasjonale tilsynsmyndigheter og EUs datatilsynsmann møtes minst to ganger i året. Utgifter og tjenester i forbindelse med disse møtene skal dekkes av EUs datatilsynsmann. Forretningsordenen skal vedtas på det første møtet. Øvrige arbeidsmetoder skal utvikles i fellesskap etter behov. En felles virksomhetsrapport skal sendes til Europaparlamentet, Rådet, Kommisjonen og Byrået annethvert år.

Artikkel 33

Vern av personopplysninger med henblikk på rettshåndhevelse

1. Hver medlemsstat skal sørge for at bestemmelsene vedtatt i henhold til nasjonal lovgivning til gjennomføring av rammebeslutning 2008/977/JIS også får anvendelse for deres nasjonale myndigheters behandling av personopplysninger for formålene fastsatt i artikkel 1 nr. 2.

2. Overvåkingen av lovligheten av medlemsstatenes behandling av personopplysninger i henhold til denne forordning for formålene fastsatt i artikkel 1 nr. 2, herunder oversending av disse opplysninger til og fra Eurodac, skal utføres av de nasjonale tilsynsmyndigheter som er utpekt i samsvar med rammebeslutning 2008/977/JIS.

3. Europols behandling av personopplysninger i samsvar med denne forordning skal være i samsvar med beslutning 2009/371/JIS og overvåkes av en uavhengig ekstern datatilsynsmann. Artikkel 30, 31 og 32 i nevnte beslutning skal komme til anvendelse på Europols behandling av personopplysninger i samsvar med denne forordning. Den uavhengige eksterne datatilsynsmannen skal sikre at privatpersoners rettigheter ikke krenkes.

4. Personopplysninger innhentet fra Eurodac i samsvar med denne forordning for formålene fastsatt i artikkel 1 nr. 2, skal behandles bare for å forebygge, avdekke og etterforske den konkrete sak som en medlemsstats eller Europols anmodning om opplysninger gjelder.

5. Sentralsystemet, den utpekte myndighet, kontrollmyndigheten og Europol skal registrere søkene for at det skal være mulig for de nasjonale personvernmyndigheter og EUs datatilsynsmann å overvåke at opplysningene behandles i samsvar med Unionens regler om vern av personopplysninger, herunder for å vedlikeholde registre med henblikk på å utarbeide årsrapportene nevnt i artikkel 40 nr. 7. For andre formål skal personopplysninger og opplysninger om søk slettes i alle nasjonale registre og i Europols register etter én måned, med mindre opplysningene er nødvendige for den pågående konkrete etterforskning som en medlemsstats eller Europols anmodning om opplysninger gjaldt.

Artikkel 34

Datasikkerhet

1. Opprinnelsesstaten skal ivareta sikkerheten for opplysningene før og under oversendingen til sentralsystemet.

2. Hver medlemsstat skal, med hensyn til alle opplysninger som behandles av dens kompetente myndighet i samsvar med denne forordning, vedta de nødvendige tiltak, herunder en sikkerhetsplan, for å

   • a) fysisk beskytte opplysningene, herunder utarbeide beredskapsplaner for å beskytte kritisk infrastruktur,

   • b) nekte uvedkommende personer adgang til nasjonale anlegg der medlemsstatene utfører virksomhet i samsvar med Eurodacs formål (kontroller ved inngangen til anlegget),

   • c) forhindre ulovlig lesing, kopiering, endring og fjerning av datamedier (kontroll med datamedier),

   • d) forhindre ulovlig registrering av opplysninger og ulovlig innsyn i, endring av og sletting av personopplysninger (kontroll med registrering),

   • e) forhindre ulovlig behandling av opplysninger i Eurodac og enhver ulovlig endring eller sletting av opplysninger behandlet i Eurodac (kontroll med innlegging av opplysninger),

   • f) sikre at personer som er autorisert til å få tilgang til Eurodac, har tilgang bare til de opplysninger deres tillatelse gjelder, ved bruk utelukkende av personlige og unike brukeridentiteter og fortrolige tilgangsmetoder (tilgangskontroll),

   • g) sikre at alle myndigheter med rett til tilgang til Eurodac oppretter profiler som beskriver funksjoner og ansvarsområder for personer som er autorisert til å få tilgang til, legge inn, oppdatere, slette og søke opplysninger, og på anmodning uten opphold gjøre disse profilene og slike andre relevante opplysninger som nevnte myndigheter måtte trenge for tilsynsformål, tilgjengelige for de nasjonale tilsynsmyndigheter nevnt i artikkel 28 i direktiv 95/46/EF og artikkel 25 i rammebeslutning 2008/977/JIS (personalprofiler),

   • h) sikre at det er mulig å kontrollere og fastslå hvilke organer personopplysninger kan overføres til ved bruk av dataoverføringsutstyr (kommunikasjonskontroll),

   • i) sikre at det er mulig å kontrollere og fastslå hvilke opplysninger som er blitt behandlet i Eurodac, når, av hvem og for hvilket formål (kontroll med dataregistrering),

   • j) forhindre ikke-autorisert lesing, kopiering, endring og sletting av personopplysninger under overføring av personopplysninger til eller fra Eurodac eller under transport av datamedier, særlig ved hjelp av hensiktsmessige krypteringsteknikker (transportkontroll),

   • k) kontrollere at sikkerhetstiltakene nevnt i dette nr. er virkningsfulle, og iverksette de nødvendige organisatoriske tiltak med hensyn til intern overvåking for å sikre overholdelse av denne forordning (egenrevisjon) og for at alle relevante hendelser som inntreffer som følge av iverksettelsen av tiltakene oppført i bokstav b)-j) og som kan tyde på at en sikkerhetshendelse har forekommet, oppdages automatisk innen 24 timer.

3. Medlemsstatene skal underrette Byrået om sikkerhetshendelser som de har oppdaget i sine systemer. Byrået skal underrette medlemsstatene, Europol og EUs datatilsynsmann om eventuelle sikkerhetshendelser. De berørte medlemsstater, Byrået og Europol skal samarbeide i løpet av sikkerhetshendelsen.

4. Byrået skal treffe de nødvendige tiltak for å nå målene fastsatt i nr. 2 med hensyn til Eurodacs drift, herunder vedtakelsen av en sikkerhetsplan.

Artikkel 35

Forbud mot overføring av opplysninger til tredjeland, internasjonale organisasjoner og private enheter

1. Personopplysninger som en medlemsstat eller Europol har mottatt fra sentralsystemet i samsvar med denne forordning, skal ikke overføres eller gjøres tilgjengelig for tredjeland, internasjonale organisasjoner eller private enheter etablert i eller utenfor Unionen. Dette forbudet gjelder også dersom opplysningene viderebehandles på nasjonalt plan eller mellom medlemsstater som nevnt i artikkel 2 bokstav b) i rammebeslutning 2008/977/JIS.

2. Personopplysninger som stammer fra en medlemsstat og som utveksles mellom medlemsstater etter et treff som er oppnådd for formålene fastsatt i artikkel 1 nr. 2, skal ikke overføres til tredjeland dersom det foreligger alvorlig risiko for at overføringen kan føre til at den registrerte kan bli utsatt for tortur, umenneskelig eller nedverdigende behandling eller straff eller annen krenkelse av sine grunnleggende rettigheter.

3. Forbudene nevnt i nr. 1 og 2 berører ikke medlemsstatenes rett til å overføre slike opplysninger til tredjeland der forordning (EU) nr. 604/2013 får anvendelse.

Artikkel 36

Loggføring og dokumentasjon

1. Hver medlemsstat og Europol skal sikre at all behandling av opplysninger i forbindelse med anmodninger om sammenligning med opplysninger i Eurodac for formålene fastsatt i artikkel 1 nr. 2, loggføres eller dokumenteres med henblikk på kontroll av at anmodningen oppfyller kravene, overvåking av at behandlingen av opplysningene er lovlig, og av dataintegritet og datasikkerhet, samt egenkontroll.

2. Loggen eller dokumentasjonen skal i alle tilfeller vise

   • a) det nøyaktige formålet med anmodningen om sammenligning, herunder den berørte typen terrorhandling eller annen alvorlig straffbar handling, og når det gjelder Europol, det nøyaktige formålet med anmodningen om sammenligning,

   • b) de angitte rimelige grunner for ikke å utføre sammenligning med andre medlemsstater i henhold til beslutning 2008/615/JIS i samsvar med artikkel 20 nr. 1 i denne forordning,

   • c) referansenummeret for det nasjonale registeret,

   • d) dato og nøyaktig klokkeslett for anmodningen om sammenligning fra det nasjonale tilgangspunkt til sentralsystemet,

   • e) navnet på myndigheten som har anmodet om tilgang for sammenligning, og på den ansvarlige som har framsatt anmodningen og behandlet opplysningene,

   • f) der det er relevant, anvendelse av hasteprosedyren nevnt i artikkel 19 nr. 3 og beslutningen som er tatt med hensyn til den etterfølgende kontroll,

   • g) opplysningene som er brukt til sammenligningen,

   • h) i samsvar med nasjonale regler eller med beslutning 2009/371/JIS, referansen til den tjenestemann som har utført søket, og til den tjenestemann som har truffet beslutning om søket eller overføringen.

3. Loggene og dokumentasjonen skal brukes bare for å overvåke lovligheten av behandlingen av opplysningene og for å sikre dataintegritet og datasikkerhet. Bare logger som ikke inneholder personopplysninger kan brukes til overvåkingen og vurderingen nevnt i artikkel 40. De kompetente nasjonale tilsynsmyndigheter som har ansvar for å kontrollere om anmodningen oppfyller vilkårene og for å overvåke lovligheten av behandlingen av opplysningene, skal på anmodning ha tilgang til disse loggene for å kunne utføre sine plikter.

Artikkel 37

Ansvar

1. Enhver person eller medlemsstat som er påført skade som følge av ulovlig behandling eller en handling som er uforenlig med denne forordning, skal ha rett til erstatning fra den medlemsstat som er ansvarlig for skaden som ble påført. Nevnte stat skal fritas helt eller delvis for dette ansvar dersom den beviser at den ikke er ansvarlig for den hendelse som utløste skaden.

2. Dersom en medlemsstat som har unnlatt å oppfylle sine forpliktelser i henhold til denne forordning, forårsaker skade på sentralsystemet, skal nevnte medlemsstat holdes ansvarlig for slik skade, med mindre og i den utstrekning Byrået eller en annen medlemsstat har unnlatt å treffe rimelige tiltak for å forhindre at skaden oppsto, eller redusere virkningen av den.

3. Krav om erstatning mot en medlemsstat for skaden nevnt i nr. 1 og 2, skal behandles i henhold til bestemmelsene i nasjonal lovgivning i den saksøkte medlemsstat.

Kapittel VIII

Endringer av forordning (EU) nr. 1077/2011

Artikkel 38

Endringer av forordning (EU) nr. 1077/2011

I forordning (EU) nr. 1077/2011 gjøres følgende endringer:

• 1) Artikkel 5 skal lyde:

  «Artikkel 5

  Oppgaver med hensyn til Eurodac

  Med hensyn til Eurodac skal Byrået utføre

  • a) de oppgaver det er tillagt i henhold til europaparlaments- og rådsforordning (EU) nr. 603/2013 av 26. juni 2013 om opprettelse av «Eurodac» for sammenligning av fingeravtrykk med henblikk på effektiv anvendelse av forordning (EU) nr. 604/2013 om fastsettelse av kriterier og ordninger for å avgjøre hvilken medlemsstat som er ansvarlig for behandlingen av en søknad om internasjonal beskyttelse inngitt i en medlemsstat av en tredjelandsborger eller en statsløs, og om medlemsstatenes rettshåndhevende myndigheters og Europols adgang til å anmode om sammenligning med Eurodac-data med henblikk på rettshåndhevelse34, og

  • b) oppgaver som gjelder opplæring i teknisk anvendelse av Eurodac.

• 2) Artikkel 12 nr. 1 skal lyde:

  • a) bokstav u) og v) skal lyde:

    • «u) vedta årsrapporten om virksomheten ved Eurodacs sentralsystem i samsvar med artikkel 40 nr. 1 i forordning (EU) nr. 603/2013,

    • v) uttale seg om rapportene fra EUs datatilsynsmann om revisjonene utført i samsvar med artikkel 45 nr. 2 i forordning (EF) nr. 1987/2006, artikkel 42 nr. 2 i forordning (EF) nr. 767/2008 og artikkel 31 nr. 2 i forordning (EU) nr. 603/2013 og sikre hensiktsmessig oppfølging av nevnte revisjoner,»,

  • b) bokstav x) skal lyde:

    • «x) utarbeide statistikk over arbeidet ved Eurodacs sentralsystem i samsvar med artikkel 8 nr. 2 i forordning (EU) nr. 603/2013,»,

  • c) bokstav z) skal lyde:

    • «z) sikre årlig offentliggjøring av listen over enheter i samsvar med artikkel 27 nr. 2 i forordning (EU) nr. 603/2013,

• 3) Artikkel 15 nr. 4 skal lyde:

  • «4. Europol og Eurojust kan delta som observatører på møtene i styret når et spørsmål som gjelder SIS II, i forbindelse med anvendelsen av beslutning 2007/533/JIS, står på dagsordenen. Europol kan også delta som observatør på møtene i styret når et spørsmål som gjelder VIS, i forbindelse med anvendelsen av beslutning 2008/633/JIS, eller et spørsmål som gjelder Eurodac, i forbindelse med anvendelsen av forordning (EU) nr. 603/2013, står på dagsordenen.»,

• 4) Artikkel 17 skal lyde:

  • a) i nr. 5 skal bokstav g) lyde:

    • «g) med forbehold for artikkel 17 i tjenestemannsvedtektene, fastsette krav om fortrolighet for å overholde artikkel 17 i forordning (EF) nr. 1987/2006, artikkel 17 i beslutning 2007/533/JIS, artikkel 26 nr. 9 i forordning (EF) nr. 767/2008 og artikkel 4 nr. 4 i forordning (EU) nr. 603/2013,»,

  • b) i nr. 6 skal bokstav i) lyde:

    • «i) rapporter om den tekniske virkemåte for hvert storskala IT-system nevnt i artikkel 12 nr. 1 bokstav t), og årsrapporten om virksomheten ved Eurodacs sentralsystem nevnt i artikkel 12 nr. 1 bokstav u), på grunnlag av resultatene av overvåkingen og vurderingen.»,

• 5) Artikkel 19 nr. 3 skal lyde:

  • «3. Europol og Eurojust kan hver utpeke en representant til den rådgivende gruppen for SIS II. Europol kan også utpeke en representant til de rådgivende gruppene for VIS og Eurodac.»

Kapittel IX

Sluttbestemmelser

Artikkel 39

Kostnader

1. Kostnadene som påløper ved opprettelse og drift av sentralsystemet og kommunikasjonsinfrastrukturen skal dekkes over Den europeiske unions alminnelige budsjett.

2. Kostnadene som påløper de nasjonale tilgangspunkter og kostnadene ved tilkopling til sentralsystemet skal dekkes av den enkelte medlemsstat.

3. Hver medlemsstat og Europol skal for egen regning opprette og vedlikeholde den tekniske infrastruktur som er nødvendig for å gjennomføre denne forordning, og skal bære egne kostnader i forbindelse med anmodninger om sammenligning med Eurodac-opplysninger for formålene fastsatt i artikkel 1 nr. 2.

Artikkel 40

Årsrapport: overvåking og evaluering

1. Byrået skal legge fram for Europaparlamentet, Rådet, Kommisjonen og EUs datatilsynsmann en årsrapport om sentralsystemets virksomhet, herunder dets tekniske virkemåte og sikkerhet. Årsrapporten skal inneholde opplysninger om ledelsen av Eurodac og dens resultater i forhold til forhåndsdefinerte kvantitative indikatorer for målene nevnt i nr. 2.

2. Byrået skal sørge for at det finnes prosedyrer for å overvåke sentralsystemets virkemåte i forhold til målene for resultater, kostnadseffektivitet og kvalitet på tjenesten.

3. Med henblikk på teknisk vedlikehold, rapportering og statistikk skal Byrået ha tilgang til de nødvendige opplysninger om behandlingsprosessene i sentralsystemet.

4. Senest 20. juli 2018 og hvert fjerde år deretter skal Kommisjonen utarbeide en samlet vurdering av Eurodac med en gjennomgang av resultatene som er oppnådd i forhold til målene og virkningene på de grunnleggende rettigheter, herunder om tilgangen for myndigheter med ansvar for rettshåndhevelse har ført til en indirekte forskjellsbehandling av personer som omfattes av denne forordning, og en vurdering av om prinsippene som ligger til grunn for systemet fortsatt er gyldige, og eventuelle implikasjoner for framtidige operasjoner, og skal legge fram nødvendige anbefalinger. Kommisjonene skal oversende evalueringen til Europaparlamentet og Rådet.

5. Medlemsstatene skal gi Byrået og Kommisjonen de opplysninger som er nødvendige for å kunne utarbeide årsrapporten nevnt i nr. 1.

6. Byrået, medlemsstatene og Europol skal gi Byrået, medlemsstatene og Kommisjonen de opplysninger som er nødvendige for å utarbeide den samlede vurdering nevnt i nr. 4. Disse opplysninger skal ikke bringe arbeidsmetodene i fare eller omfatte opplysninger som avslører de utpekte myndigheters kilder, personale eller undersøkelser.

7. Hver medlemsstat og Europol skal, samtidig som de overholder bestemmelsene i nasjonal lovgivning om offentliggjøring av følsomme opplysninger, utarbeide årsrapporter om effektiviteten ved sammenligningen av fingeravtrykkopplysninger med Eurodac-opplysninger med henblikk på rettshåndhevelse, som inneholder opplysninger og statistikk om

   • det nøyaktige formål med sammenligningen, herunder type terrorhandling eller alvorlig straffbar handling,

   • de skjellige grunner til mistanke som er angitt,

   • de rimelige grunner som er angitt for ikke å utføre sammenligning med andre medlemsstater i henhold til beslutning 2008/615/JIS i samsvar med artikkel 20 nr. 1 i denne forordning,

   • antall anmodninger om sammenligning,

   • antall og type saker som har ført til korrekt identifikasjon, og

   • behovet for en ekstraordinær hasteprosedyre og antall ganger denne er blitt benyttet, herunder antall saker der det ved kontrollmyndighetens etterhåndskontroll ikke har kunnet fastslås at det faktisk var en ekstraordinær hastesak.

     Medlemsstatenes og Europols årsrapporter skal oversendes til Kommisjonen innen 30. juni det påfølgende år.

8. På grunnlag av medlemsstatenes og Europols årsrapporter i henhold til nr. 7 og i tillegg til den samlede vurdering i henhold til nr. 4 skal Kommisjonen utarbeide en årsrapport om tilgangen til Eurodac for myndigheter med ansvar for rettshåndhevelse som skal oversendes Europaparlamentet, Rådet og EUs datatilsynsmann.

Artikkel 41

Sanksjoner

Medlemsstatene skal treffe de nødvendige tiltak for å sikre at enhver behandling av opplysninger som er lagt inn i sentralsystemet i strid med Eurodacs formål som fastsatt i artikkel 1, medfører sanksjoner, herunder administrative og/eller strafferettslige sanksjoner i samsvar med nasjonal lovgivning, som er virkningsfulle, står i forhold til overtredelsen og virker avskrekkende.

Artikkel 42

Geografisk virkeområde

Bestemmelsene i denne forordning skal ikke få anvendelse på noe territorium der forordning (EU) nr. 604/2013 ikke har anvendelse.

Artikkel 43

Melding om utpekte myndigheter og kontrollmyndigheter

1. Senest 20. oktober 2013 skal hver medlemsstat underrette Kommisjonen om sine utpekte myndigheter, de operative enheter nevnt i artikkel 5 nr. 3 og sin kontrollmyndighet, og skal uten opphold underrette om alle endringer av disse.

2. Senest 20. oktober 2013 skal Europol underrette Kommisjonen om sin utpekte myndighet, sin kontrollmyndighet og det nasjonale tilgangspunkt som det har utpekt, og skal uten opphold underrette om alle endringer av disse.

3. Kommisjonen skal årlig offentliggjøre opplysningene nevnt i nr. 1 og 2 i Den europeiske unions tidende og via elektronisk offentliggjøring som skal være tilgjengelig på internett og oppdateres uten opphold.

Artikkel 44

Overgangsbestemmelse

For opplysninger som er sperret i sentralsystemet i samsvar med artikkel 12 i forordning (EF) nr. 2725/2000, skal sperringen fjernes og opplysningene merkes i samsvar med artikkel 18 nr. 1 i denne forordning den 20. juli 2015.

Artikkel 45

Oppheving

Forordning (EF) nr. 2725/2000 og forordning (EF) nr. 407/2002 oppheves med virkning fra 20. juli 2015.

Henvisninger til de opphevede forordninger skal forstås som henvisninger til denne forordning og leses som angitt i sammenligningstabellen i vedlegg III.

Artikkel 46

Ikrafttredelse og anvendelse

Denne forordning trer i kraft den 20. dag etter at den er kunngjort i Den europeiske unions tidende.

Denne forordning får anvendelse fra 20. juli 2015.

Medlemsstatene skal underrette Kommisjonen og Byrået så snart de har truffet de tekniske tiltak for å oversende opplysninger til sentralsystemet, og under ingen omstendigheter senere enn 20. juli 2015.

Denne forordning er bindende i alle deler og kommer direkte til anvendelse i medlemsstatene i henhold til traktatene.

Utferdiget i Brussel, 26. juni 2013.