Fara beint í efnið

Prentað þann 7. des. 2021

Stofnreglugerð

1275/2021

Reglugerð um íslenskan hluta upplýsingakerfis (N-VIS) um vegabréfsáritanir.

1. gr. Gildistaka tiltekinna Schengen-gerða.

Eftirfarandi gerðir Evrópusambandsins um upplýsingakerfi um vegabréfsáritanir (VIS) skulu öðlast gildi hér á landi í samræmi við samning sem ráð Evrópusambandsins og lýðveldið Ísland og konungsríkið Noregur gera með sér um þátttöku hinna síðarnefndu í framkvæmd, beitingu og þróun Schengen-gerðanna, með þeirri aðlögun sem getið er um í reglugerð þessari:

  1. ákvörðun ráðsins 2004/512/EB frá 8. júní 2004 um að koma á upplýsingakerfi um vegabréfsáritanir (VIS), sbr. fylgiskjal 1 sem birt er með reglugerð þessari;
  2. reglugerð Evrópuþingsins og ráðsins (EB) nr. 767/2008 frá 9. júlí 2008 um upplýsingakerfi um vegabréfsáritanir (VIS) og skipti á gögnum milli aðildarríkjanna um vegabréfsáritanir til stuttrar dvalar (VIS-reglugerð), með áorðnum breytingum skv. reglugerðum (EB) nr. 810/2009 frá 13. júlí 2009 og (ESB) nr. 610/2013 frá 26. júní 2013, sbr. fylgiskjal 2 sem birt er með reglugerð þessari og;
  3. ákvörðun ráðsins 2008/633/DIM frá 23. júní 2008, um uppflettiaðgang tilnefndra yfirvalda aðildarríkjanna og Evrópulögreglunnar að upplýsingakerfinu um vegabréfsáritanir (VIS) í þeim tilgangi að koma í veg fyrir, koma upp um og rannsaka hryðjuverk og aðra alvarlega refsiverða verknaði, sbr. fylgiskjal 3 sem birt er með reglugerð þessari.

2. gr. Gildissvið.

Reglugerð þessi gildir um þróun og rekstur íslenska hluta upplýsingakerfisins um vegabréfsáritanir (N-VIS) sem tryggir þar til bærum stjórnvöldum aðgang að upplýsingakerfinu um vegabréfsáritanir og um ábyrgð íslenskra stjórnvalda að því er varðar vinnslu á persónuupplýsingum í upplýsingakerfinu um vegabréfsáritanir. Með íslenska hluta upplýsingakerfisins um vegabréfsáritanir (N-VIS) er átt við landsbundna kerfið í skilningi 28. gr. reglugerðar (EB) nr. 767/2008 um upplýsingakerfið um vegabréfsáritanir, sem er tengt miðlæga upplýsingakerfinu um vegabréfsáritanir (C-VIS) á Schengen-svæðinu.

Að svo miklu leyti sem reglugerð þessi kveður ekki á um annað gilda ákvæði laga um persónuvernd og vinnslu persónuupplýsinga og lög um vinnslu persónuupplýsinga í löggæslutilgangi, eftir því sem við á.

3. gr. Ábyrgð á þróun og rekstri upplýsingakerfis sem tryggir þar til bærum stjórnvöldum aðgang að upplýsingakerfinu um vegabréfsáritanir.

Útlendingastofnun skal þróa og reka upplýsingakerfi sem tryggir stjórnvöldum sem talin eru upp í 4. gr. aðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS).

Útlendingastofnun veitir aðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS) að uppfylltum skilyrðum þessarar reglugerðar. Ríkislögreglustjóri veitir einnig aðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS) sem miðlæg aðgangstöð skv. 6. mgr. 4. gr.

Útlendingastofnun og ríkislögreglustjóra er heimilt að hafna aðgangi að upplýsingakerfinu um vegabréfsáritanir (N-VIS) ef talið er að skilyrði skv. 2. mgr. séu ekki uppfyllt. Einnig er heimilt að fella niður veitta aðgangsheimild að upplýsingakerfinu ef skilyrði skv. 2. mgr. eru ekki lengur uppfyllt.

4. gr. Aðgangur að upplýsingakerfinu um vegabréfsáritanir.

Stjórnvöld í skilningi þessarar reglugerðar eru: Útlendingastofnun, starfsstöðvar utanríkisráðuneytisins sem hafa með útgáfu vegabréfsáritana að gera og lögreglan. Þau stjórnvöld skulu tryggja örugga gagnatengingu frá starfsstöðvum að landsbundna skilfletinum og vinnslu upplýsinga í íslenska hluta upplýsingakerfisins um vegabréfsáritanir (N-VIS) og bera þann kostnað sem hlýst af tengingu starfsstöðva þess.

Stjórnvöld sem gefa út vegabréfsáritanir og taka ákvarðanir varðandi þær á grundvelli reglugerðar um vegabréfsáritanir skulu hafa aðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS) í samræmi við ákvæði 8.-17. gr. reglugerðar (EB) nr. 767/2008.

Stjórnvöld sem annast eftirlit á ytri landamærastöðvum á grundvelli reglugerðar um för yfir landamæri skulu hafa aðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS) í samræmi við ákvæði 18. og. 20. gr. reglugerðar (EB) nr. 767/2008.

Lögregla og Útlendingastofnun skulu hafa aðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS) í samræmi við ákvæði 19., 20., 21. og 22. gr. reglugerðar (EB) nr. 767/2008 að því marki sem þeim er nauðsynlegt til að sinna verkefnum sínum. Lögregla annast töku fingrafara til leitar í upplýsingakerfinu um vegabréfsáritanir (N-VIS) að uppfylltum skilyrðum 111. gr. laga um útlendinga, nr. 80/2016 og veitir viðkomandi útlendingi upplýsingar um ástæður leitarinnar í samræmi við 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018 og að ekki sé um skráningu að ræða.

Ríkislögreglustjóri annast leit í miðlæga upplýsingakerfinu um vegabréfsáritanir (C-VIS) á grundvelli fingrafara. Ríkislögreglustjóri skal láta Útlendingastofnun eða lögreglu í té, eftir því sem við á, nauðsynlegar grunnupplýsingar, s.s. nafn, fæðingardag og áritunarnúmer, svo stofnunin eða lögreglan geti sótt nauðsynlegar upplýsingar í upplýsingakerfið um vegabréfsáritanir. Ríkislögreglustjóri getur sett verklagsreglur um meðferð fingrafaraupplýsinga og samskipti lögreglu, Útlendingastofnunar og ríkislögreglustjóra vegna leitar í upplýsingakerfinu um vegabréfsáritanir.

Ríkislögreglustjóri er miðlæg aðgangsstöð í skilningi 3. mgr. 3. gr. ákvörðunar ráðsins 2008/633/DIM og skal halda skrá yfir þær starfseiningar tilnefndra stjórnvalda sem er heimill aðgangur að upplýsingakerfinu um vegabréfsáritanir (N-VIS) í samræmi við ákvæði 5. mgr. 3. gr. þeirrar ákvörðunar. Lögregla skal hafa aðgang að upplýsingakerfinu um vegabréfsáritanir gegnum miðlægar aðgangsstöðvar í samræmi við ákvæði 4. og 5. gr. sömu ákvörðunar.

5. gr. Aðgangur til að skrá, breyta, eyða og fletta upp gögnum í upplýsingakerfinu um vegabréfsáritanir.

Eingöngu starfsmenn stjórnvalda, sem gefa út vegabréfsáritanir, með tilskilda heimild skv. 2. mgr. 3. gr. hafa aðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS) til að skrá, breyta eða eyða gögnum sem um getur í 1. mgr. 5. gr. reglugerðar (EB) nr. 767/2008.

Uppflettiaðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS) hafa eingöngu starfsmenn stjórnvalda með tilskilda heimild skv. 2. mgr. 3. gr., sem eru lögbær skv. 1. mgr. 4. gr. og takmarkast hann við þau gögn sem þeir þurfa til að geta sinnt starfi sínu í samræmi við það og í samræmi við þau markmið sem stefnt er að.

Uppflettiaðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS) hafa jafnframt eingöngu tilnefnd stjórnvöld skv. 6. mgr. 4. gr., með tilskilda heimild skv. 2. mgr. 3. gr., og takmarkast hann við leit í þeim gögnum sem talin eru upp í 2. mgr. 5. gr. ákvörðunar ráðsins 2008/633/DIM. Öflun persónuupplýsinga samkvæmt þeirri ákvörðun skal aðeins gerð í þeim tilgangi að koma í veg fyrir, koma upp um og rannsaka hryðjuverk og aðra alvarlega, refsiverða verknaði.

Hafi verið skráðar í upplýsingakerfið rangar eða ófullkomnar upplýsingar, skal tafarlaust tilkynna aðildarríkinu sem ber ábyrgð á skráningunni um það, sem ber að leiðrétta þau eða eyða, ef nauðsyn krefur.

6. gr. Gagnaöryggi.

Útlendingastofnun skal tryggja að skýrar verklagsreglur séu til staðar hjá þar til bærum stjórnvöldum um skilyrði til að fletta upp, leita og miðla gögnum úr upplýsingakerfinu um vegabréfsáritanir (N-VIS), ásamt því að grípa til nauðsynlegra ráðstafana til að:

  1. tryggja öryggi gagna í samræmi við skilyrði a-k-liðar 2. mgr. 32. gr. reglugerðar (EB) nr. 767/2008 og a-k-liðar 2. mgr. 9. gr. ákvörðunar ráðsins 2008/633/DIM, eftir því sem við á og;
  2. tryggja að við kerfið starfi einungis starfsmenn sem hafa fengið viðeigandi þjálfun að því er varðar reglur um gagnaöryggi og gagnavernd auk þess sem þeir skulu hafa verið upplýstir um viðeigandi refsiverða verknaði og viðurlög við þeim sbr. 5. mgr. 28. gr. og 1. mgr. 29. gr. reglugerðar (EB) nr. 767/2008 og 8. mgr. 8. gr. ákvörðunar ráðsins 2008/633/DIM.

7. gr. Öryggisáætlun.

Útlendingastofnun skal gera skriflega áætlun um gagnaöryggi skv. a-lið 6. gr. Áætlunin skal taka til þeirra sem á vegum Útlendingastofnunar annast upplýsingatæknimál við íslenska hluta upplýsingakerfisins um vegabréfsáritanir (N-VIS) og þeirra stjórnvalda sem hafa aðgang að fyrrgreindu kerfi.

Útlendingastofnun skal endurskoða áætlun skv. 1. mgr. eftir þörfum en þó ekki sjaldnar en á þriggja ára fresti. Endurskoðun skal meðal annars taka mið af reynslu af rekstri upplýsingakerfisins og mati á þeim atriðum sem fela í sér hættu fyrir öryggi kerfisins.

Þeir sem á vegum Útlendingastofnunar annast upplýsingatæknimál við íslenska hluta upplýsingakerfisins um vegabréfsáritanir (N-VIS) bera ábyrgð á því gagnvart stofnuninni að áætluninni sé fylgt. Sama gildir um þau stjórnvöld sem hafa aðgang að upplýsingakerfinu um vegabréfsáritanir.

Útlendingastofnun getur krafið þá sem á hennar vegum annast tölvuþjónustu við íslenska hluta upplýsingakerfisins um vegabréfsáritanir (N-VIS), um upplýsingar sem eru nauðsynlegar til að stofnunin geti uppfyllt skyldur sínar varðandi gagnaöryggi skv. 1.-3. mgr. Sama gildir um önnur stjórnvöld sem hafa aðgang að upplýsingakerfinu um vegabréfsáritanir (N-VIS).

8. gr. Ábyrgð á vinnslu gagna.

Útlendingastofnun er ábyrgðaraðili að vinnslu persónuupplýsinga í upplýsingakerfinu um vegabréfsáritanir (N-VIS) skv. 4. mgr. 41. gr. reglugerðar (EB) nr. 767/2008, auk tilkynninga og beiðna skv. 37. og 38. gr. reglugerðar (EB) nr. 767/2008. Á þeim grundvelli hefur Útlendingastofnun heimild til að óska eftir öllum nauðsynlegum upplýsingum frá stjórnvöldum sem hafa skráð, breytt eða eytt persónuupplýsingum í upplýsingakerfinu um vegabréfsáritanir.

Þrátt fyrir ákvæði 1. mgr. eru önnur þar til bær stjórnvöld ábyrg fyrir vinnslu sinni í upplýsingakerfinu.

9. gr. Ábyrgð á vistun gagna.

Útlendingastofnun skal halda skrár um alla gagnavinnslu í upplýsingakerfinu um vegabréfsáritanir (N-VIS), sbr. 34. gr. reglugerðar (EB) nr. 767/2008 og 16. gr. ákvörðunar ráðsins 2008/633/DIM.

Þar að auki skal Útlendingastofnun halda skrár yfir það starfsfólk sem hefur heimild til að færa inn eða sækja gögn í upplýsingakerfið um vegabréfsáritanir (N-VIS).

Skrárnar má eingöngu nota við gagnaverndareftirlit með lögmæti gagnavinnslunnar og til að tryggja gagnaöryggi. Gerðar skulu viðeigandi ráðstafanir til að verjast óheimilum aðgangi að skránum og skal þeim eytt ári eftir að varðveislutíminn, sem um getur í 1. mgr. 23. gr. reglugerðar (EB) nr. 767/2008 rennur út, ef þeirra er ekki þörf vegna eftirlits sem þegar er hafið.

10. gr. Varðveisla og eyðing gagna.

Hver umsóknarskrá skal geymd í upplýsingakerfinu um vegabréfsáritanir í fimm ár að hámarki frá því tímabili sem kveðið er á um í a-d-lið 1. mgr. 23. gr. reglugerðar (EB) nr. 767/2008, sbr. þó um eyðingu gagna sem um getur í 4. mgr. 5. gr., 2. mgr. þessa ákvæðis og um skráahald sem um getur í 9. gr.

Hafi umsækjandi um vegabréfsáritun öðlast ríkisfang í aðildarríki áður en tímabilið sem mælt er fyrir um í 1. mgr. rennur út, skal það stjórnvald sem stofnaði viðkomandi umsóknarskrá eða -skrár og tengingar varðandi hann, tafarlaust eyða þeim úr upplýsingakerfinu.

Ef umsækjanda um vegabréfsáritun hefur verið veitt ríkisfang hér á landi skal án tafar tilkynna það aðildarríkinu eða -ríkjunum sem bera ábyrgð.

11. gr. Lagastoð og gildistaka.

Reglugerð þessi er sett með heimild í 9. mgr. 20. gr. og 6. tölul. 1. og 2. mgr. 120. gr. laga nr. 80/2016 um útlendinga, með síðari breytingum, og öðlast þegar gildi.

Dómsmálaráðuneytinu, 29. október 2021.

Áslaug Arna Sigurbjörnsdóttir.

Haukur Guðmundsson.

Fyrirvari

Reglugerðir eru birtar í B-deild Stjórnartíðinda skv. 3. gr. laga um Stjórnartíðindi og Lögbirtingablað, nr. 15/2005, sbr. reglugerð um útgáfu Stjórnartíðinda nr. 958/2005.

Sé misræmi milli þess texta sem birtist hér í safninu og þess sem birtur er í útgáfu B-deildar Stjórnartíðinda skal sá síðarnefndi ráða.