Euroopan unionin neuvosto Bryssel, 17. helmikuuta 2017 (OR. en) Toimielinten välinen asia: 2016/0390 (NLE) 6355/17 SCH-EVAL 64 COMIX 127 YHTEENVETO ASIAN KÄSITTELYSTÄ Lähettäjä: Neuvoston pääsihteeristö Päivämäärä: 17. helmikuuta 2017 Vastaanottaja: Valtuuskunnat Ed. asiak. nro: 5778/17 Asia: Neuvoston täytäntöönpanopäätös suosituksen antamisesta Schengenin säännöstön soveltamisesta Italiassa tietosuojan alalla vuonna 2016 tehdyssä arvioinnissa havaittujen puutteiden korjaamiseksi Valtuuskunnille toimitetaan liitteessä neuvoston 3518. istunnossaan 17. helmikuuta 2017 hyväksymä neuvoston täytäntöönpanopäätös suosituksen antamisesta Schengenin säännöstön soveltamisesta Italiassa tietosuojan alalla vuonna 2016 tehdyssä arvioinnissa havaittujen puutteiden korjaamiseksi. Tämä suositus toimitetaan Euroopan parlamentille ja kansallisille parlamenteille 7. lokakuuta 2013 annetun neuvoston asetuksen (EU) N:o 1053/2013 15 artiklan 3 kohdan mukaisesti. 6355/17 team/pmm/hmu 1 DG D 1 A FI
LIITE Neuvoston täytäntöönpanopäätös SUOSITUKSEN antamisesta Schengenin säännöstön soveltamisesta Italiassa tietosuojan alalla vuonna 2016 tehdyssä arvioinnissa havaittujen puutteiden korjaamiseksi EUROOPAN UNIONIN NEUVOSTO, joka ottaa huomioon arviointi- ja valvontamekanismin perustamisesta Schengenin säännöstön soveltamisen varmistamista varten ja toimeenpanevan komitean 16 päivänä syyskuuta 1998 pysyvän Schengenin arviointi- ja soveltamiskomitean perustamisesta tekemän päätöksen kumoamisesta 7 päivänä lokakuuta 2013 annetun neuvoston asetuksen (EU) N:o 1053/2013 1 ja erityisesti sen 15 artiklan, ottaa huomioon Euroopan komission ehdotuksen, sekä katsoo seuraavaa: (1) Tämän suosituksen antamista koskevan päätöksen tarkoituksena on suosittaa Italialle toimia niiden puutteiden korjaamiseksi, jotka havaittiin tietosuojan alalla vuonna 2016 tehdyssä Schengen-arvioinnissa. Arvioinnin jälkeen havainnoista ja arvioista laadittu kertomus, jossa luetellaan arvioinnissa havaitut parhaat käytännöt ja puutteet, on hyväksytty komission täytäntöönpanopäätöksellä [C(2016) 7202]. 1 EUVL L 295, 6.11.2013, s. 27. 6355/17 team/pmm/hmu 2
(2) Hyväksi käytännöksi katsotaan muun muassa se, että ulkoasiain- ja kansainvälisen yhteistyön ministeriö on antanut kaikille konsuliedustustoille joukon virallisia ohjeita (käsikirja) ulkoisten palveluntarjoajien valintaa ja hallinnointia koskevista menettelyistä sekä se, että sisäministeriö soveltaa toisen sukupolven Schengenin tietojärjestelmän (SIS II) pääsyoikeuksien myöntämiseen tiukkoja sääntöjä, joiden mukaan oikeudet on uusittava 60 päivän välein ja uusimisen edellytyksenä on loppukäyttäjien SIS II -operaatioiden säännöllinen valvonta. (3) Koska on tärkeää noudattaa Schengenin säännöstöä ja erityisesti varmistaa kansallisessa VIS-järjestelmässä olevien henkilötietojen käsittelyn laillisuus, etusijalle olisi asetettava suosituksen 6 täytäntöönpano. (4) Tämä suosituksen antamista koskeva päätös olisi toimitettava Euroopan parlamentille ja jäsenvaltioiden parlamenteille. Arvioidun jäsenvaltion on asetuksen (EU) N:o 1053/2013 16 artiklan 1 kohdan mukaan laadittava kolmen kuukauden kuluessa päätöksen hyväksymisestä toimintasuunnitelma arviointikertomuksessa mainittujen puutteiden korjaamiseksi ja toimitettava kyseinen suunnitelma komissiolle ja neuvostolle, SUOSITTAA SEURAAVAA: Italian olisi Tietosuojaviranomainen 1. uudistettava budjettimenettelyä koskevia kansallisia sääntöjä Italian tietosuojaviranomaisen täydellisen riippumattomuuden varmistamiseksi paremmin niin, että tietosuojaviranomainen osallistuu jälleen talousarvioehdotuksensa laatimiseen ennen kuin valtion talousarvioehdotus toimitetaan parlamentin käsiteltäväksi ja hyväksyttäväksi; säädettävä erityisesti, että tietosuojaviranomainen voi osallistua suoraan vakauslaissa tarkoitetun määrärahaehdotuksen laatimiseen, mikä nyt on varattu yksinomaan hallitukselle; 6355/17 team/pmm/hmu 3
2. osoitettava tietosuojaviranomaiselle riittävät henkilöresurssit ja rahoitus, jotta se kykenee täyttämään kaikki sille SIS II -järjestelmää ja viisumitietojärjestelmää (VIS) koskevan lainsäädännön nojalla uskotut tehtävät; 3. varmistettava, että tietosuojaviranomainen seuraa SIS II -järjestelmässä tapahtuvan henkilötietojen käsittelyn laillisuutta muun muassa tarkistamalla lokitiedostot aiempaa säännöllisemmin; 4. varmistettava, että N.SIS-järjestelmän tietojenkäsittelytapahtumiin tehdään tarkastuksia vähintään joka neljäs vuosi joko niin, että tietosuojaviranomainen suorittaa tarkastukset itse tai että se tilaa ne suoraan joltakin riippumattomalta tietosuojan tarkastajalta; tarkastajan on pysyttävä tietosuojaviranomaisen valvonnassa ja vastuulla, minkä vuoksi tietosuojaviranomaisen on määriteltävä selkeästi tarkastuksen tarkoitus, laajuus ja menetelmät sekä ohjattava ja valvottava tarkastusta ja sen lopullisia tuloksia; 5. varmistettava, että tietosuojaviranomainen seuraa VIS-järjestelmässä tapahtuvan henkilötietojen käsittelyn laillisuutta muun muassa tarkistamalla lokitiedostot aiempaa säännöllisemmin; 6. varmistettava, että kansallisen VIS-järjestelmän tietojenkäsittelytapahtumiin tehdään tarkastuksia vähintään joka neljäs vuosi joko niin, että tietosuojaviranomainen suorittaa tarkastukset itse tai että se tilaa ne suoraan joltakin riippumattomalta tietosuojan tarkastajalta; tarkastajan on pysyttävä tietosuojaviranomaisen valvonnassa ja vastuulla, minkä vuoksi tietosuojaviranomaisen on määriteltävä selkeästi tarkastuksen tarkoitus, laajuus ja menetelmät sekä ohjattava ja valvottava tarkastusta ja sen lopullisia tuloksia; koska ensimmäisen tarkastuksen määräaikaa (lokakuu 2015) ei ole noudatettu, tietosuojaviranomaisen olisi tämän velvoitteen täyttämiseksi toteutettava toimia mahdollisimman pian; Rekisteröityjen oikeudet 7. tiedotettava SIS II -järjestelmään liittyvistä rekisteröityjen oikeuksista sisäministeriön ja valtiollisen poliisin (Polizia di Stato) verkkosivustoilla myös muilla kielillä kuin italiaksi, erityisesti englanniksi; 8. laadittava mallikirjeet, joiden avulla rekisteröidyt voivat käyttää SIS II -järjestelmään liittyviä oikeuksiaan; 6355/17 team/pmm/hmu 4
9. tiedotettava selkeästi tietosuojaviranomaisen verkkosivustolla, että SIS II -järjestelmään liittyviä rekisteröityjen oikeuksia koskevien kantelujen tekeminen on maksutonta; 10. varmistettava, että rekisteröityjen pyyntöihin voidaan vastata myös muilla kielillä kuin italiaksi, erityisesti englanniksi; 11. varmistettava, että Italian viranomaisten tekemiä kuulutuksia koskevissa sisäministeriön vastauskirjeissä mainitaan muutoksenhakumahdollisuus ja oikeus tehdä kantelu tietosuojaviranomaiselle; 12. laadittava mallikirjeet, joiden avulla rekisteröidyt voivat käyttää VIS-järjestelmään liittyviä oikeuksiaan; 13. varmistettava, että ulkorajoilla käytettävässä vakiomuotoisessa viisumihakemuslomakkeessa mainitaan I-VIS-järjestelmän (sisäasioiden VIS-sovellus) rekisterinpitäjäksi sisäministeriö; 14. tiedotettava VIS-järjestelmään liittyvistä rekisteröityjen oikeuksista sisäministeriön ja valtiollisen poliisin verkkosivustoilla; 15. harkittava VIS-järjestelmään liittyvistä rekisteröityjen oikeuksista tietosuojaviranomaiselle tehtävien virallisten kantelujen tekemistä maksuttomiksi, jotta maksu ei estä rekisteröityjä käyttämästä oikeuttaan tehdä kanteluja tietosuojaviranomaiselle; tietosuojaviranomaisen sivustolla olevan maksujen poistamista koskevan tiedon olisi joka tapauksessa oltava helpommin saatavilla; Viisumitietojärjestelmä 16. varmistettava riittävä tietosuojan taso rajoittamalla niiden työasemien määrää, joista on etäyhteys ulkoasiain- ja kansainvälisen yhteistyön ministeriön palvelimiin, tai lopettamalla tällaisten työasemien käyttö; jos niiden käyttöä jatketaan, niissä olisi oltava samat suojajärjestelmät kuin palvelinhuoneissa; 17. varmistettava, että VIS-järjestelmän varmuuskopio ei ole samassa huoneessa kuin käyttöjärjestelmä vaan jossakin muualla; 18. otettava käyttöön menettely, jonka avulla lokitiedostot voidaan analysoida säännöllisesti ja järjestelmällisesti VIS-järjestelmän mahdollisen väärinkäytön havaitsemiseksi; 6355/17 team/pmm/hmu 5
19. varmistettava, että ulkoasiain- ja kansainvälisen yhteistyön ministeriö ottaa käyttöön menettelyn sen varmistamiseksi, että N-VIS-järjestelmän (VIS-järjestelmän keskustason kansallinen sovellus), L-VIS-järjestelmän (paikalliset viisumisovellukset) ja ulkoistusalustan käyttäjille myönnetyt pääsyoikeudet voidaan tarkistaa säännöllisesti ja tarvittaessa peruuttaa; 20. varmistettava, että konsulaateissa säilytettävät paikalliset varoitusluettelot (henkilöistä, joille ei ehkä myönnetä viisumia) ovat täysin EU:n tietosuojasäännöstön mukaiset, sellaisena kuin se on Italian tietosuojalailla pantu täytäntöön; ulkoasiain- ja kansainvälisen yhteistyön ministeriön olisi kuultava tietosuojaviranomaista tästä asiasta; 21. varmistettava, että ulkoasiain- ja kansainvälisen yhteistyön ministeriö hyväksyy mahdollisimman pian turvallisuussuunnitelman, joka kattaa myös kansallisen VISjärjestelmän tietoturvan; Toisen sukupolven Schengenin tietojärjestelmä (SIS II) 22. varmistettava, että Barissa sijaitseva erillinen palautusjärjestelmä katastrofitilanteiden varalta saatetaan toimintavalmiiksi mahdollisimman nopeasti; 23. varmistettava, että N.SIS-lokitiedostojen varmuuskopiota säilytetään jossakin toisessa paikassa; 24. toteutetaan ohjelmistomoduulit SIS II -lokitiedostojen analysointia varten mahdollisen väärinkäytön havaitsemiseksi; Yleinen tietoisuus 25. varmistettava, että tietosuojaviranomaisen verkkosivustolla olevat VIS- ja SIS II -järjestelmää ja niihin liittyviä rekisteröityjen oikeuksia koskevat italiankieliset tiedot ovat helpommin saatavilla; SIS II -järjestelmästä olisi annettava yleistä tietoa ja linkki järjestelmään pääsyä koskevan (SIS II:n valvonnan koordinointiryhmän laatiman) opaskirjan yhteenvedon italiankieliseen toisintoon olisi asetettava tietosuojaviranomaisen verkkosivustolla paremmin näkyville; 26. varmistettava, että SIS II- ja VIS-järjestelmää ja niihin liittyviä rekisteröityjen oikeuksia koskevaa painettua tiedotusmateriaalia (kuten esitteitä) on saatavilla tietosuojaviranomaisen toimistossa, poliisiasemilla, satamissa ja lentoasemilla; 6355/17 team/pmm/hmu 6
27. varmistettava, että sisäministeriön verkkosivustolla annetaan SIS II -järjestelmää ja viisumimenettelyä koskevia tietoja italian lisäksi myös muilla kielillä, erityisesti englanniksi. Tehty Brysselissä Neuvoston puolesta Puheenjohtaja 6355/17 team/pmm/hmu 7