DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie en -autorisatiesysteem (Etias) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226(1), en met name artikel 54, lid 2, vijfde alinea,
Overwegende hetgeen volgt:
Bij Verordening (EU) 2018/1240 is voor onderdanen van derde landen die zijn vrijgesteld van de verplichting om in het bezit te zijn van een visum wanneer zij de buitengrenzen overschrijden, een Europees reisinformatie en -autorisatiesysteem (Etias) opgericht. Bij die verordening werden de voorwaarden en procedures voor het verlenen of weigeren van een reisautorisatie vastgesteld.
Elk aanvraagdossier dient na de geldigheidsduur van de reisautorisatie te worden gewist. Met het oog op het faciliteren van een nieuwe aanvraag na het einde van de geldigheidsduur kunnen aanvragers toestemming geven om de bewaringstermijn van het aanvraagdossier met drie jaar te verlengen. Bij dit besluit moeten de voorwaarden worden vastgesteld voor de wijze waarop aanvragers met een speciaal instrument hun toestemming kunnen geven of intrekken.
Dit instemmingsinstrument dient toegankelijk te zijn via een speciale openbare website, een app voor mobiele apparaten en via een beveiligde koppeling, nadat de Etias-autorisatie is verleend.
Met het instemmingsinstrument moet het mogelijk zijn de identiteit van de aanvrager te bevestigen. Derhalve moeten authenticatievereisten voor de toegang tot het instemmingsinstrument worden vastgesteld en dient er te worden gezorgd voor beveiligde toegang, onder meer door aanvragers een unieke code te verstrekken. Het instemmingsinstrument dient aanvragers ook de mogelijkheid te bieden om gegevens te raadplegen die zijn opgeslagen voordat zij toestemming hebben gegeven of ingetrokken. Daarnaast moet erin worden vastgesteld hoe toestemming moet worden gegeven of ingetrokken.
De communicatiekanalen tussen het instemmingsinstrument en het centrale Etias-systeem moeten worden vastgesteld. Voorts moeten het berichtformaat, de normen en protocollen, alsook de veiligheidseisen worden bepaald.
Overeenkomstig de artikelen 1 en 2 van het Protocol (nr. 22) betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, heeft Denemarken niet deelgenomen aan de vaststelling van Verordening (EU) 2017/2226 van het Europees Parlement en de Raad(2) en is deze niet bindend voor, noch van toepassing op deze lidstaat. Omdat Verordening (EU) 2018/1240 echter voortbouwt op het Schengenacquis, heeft Denemarken op 21 december 2018 overeenkomstig artikel 4 van dat protocol zijn besluit meegedeeld dat het Verordening (EU) 2018/1240 in zijn nationale wetgeving zal omzetten.
Dit besluit houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan het Verenigd Koninkrijk niet deelneemt, overeenkomstig Besluit 2000/365/EG van de Raad(3); het Verenigd Koninkrijk neemt derhalve niet deel aan de vaststelling van dit besluit en dit is niet bindend voor, noch van toepassing op deze lidstaat.
Dit besluit houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG van de Raad(4); Ierland neemt derhalve niet deel aan de vaststelling van dit besluit en dit is niet bindend voor, noch van toepassing op deze lidstaat.
Wat IJsland en Noorwegen betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(5) die vallen onder het gebied bedoeld in artikel 1, onder A, van Besluit 1999/437/EG van de Raad(6).
Wat Zwitserland betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(7) die vallen onder het gebied bedoeld in artikel 1, onder A, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad(8).
Wat Liechtenstein betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(9) die vallen onder het gebied bedoeld in artikel 1, onder A, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad(10).
De Europese Toezichthouder voor gegevensbescherming is op 28 januari 2019 geraadpleegd en heeft op 8 februari 2019 een advies uitgebracht,
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Het instemmingsinstrument is toegankelijk via:
de speciale openbare website bedoeld in artikel 16 van Verordening (EU) 2018/1240;
de app voor mobiele apparatuur bedoeld in artikel 16 van Verordening (EU) 2018/1240;
een koppeling verstrekt via de in artikel 6, lid 2, onder f), van Verordening (EU) 2018/1240 bedoelde e-maildienst van Etias.
Om een verbinding te maken met het instemmingsinstrument wordt gebruikgemaakt van tweefactorauthenticatie.
De eerste authenticatie bestaat uit het invoeren van de volgende gegevens:
nummer van de aanvraag;
nummer van het reisdocument.
Als de aanvrager zijn aanvraagnummer niet opgeeft, bestaat de eerste authenticatie uit het invoeren van de volgende gegevens:
nummer van het reisdocument;
land van afgifte van het reisdocument, te selecteren uit een vooraf bepaalde lijst;
datum van afgifte en uiterste geldigheidsdatum van het reisdocument;
de voornamen van beide ouders.
Het aanvraagnummer is het nummer dat aan aanvragers is verstrekt via de e-maildienst van Etias bij de indiening van hun aanvraag. De in lid 2 of lid 3 bedoelde overige gegevens die de aanvragers indienen, zijn de gegevens die zij ook hebben verstrekt in hun aanvraagformulier.
De tweede authenticatie bestaat uit het invoeren van een unieke code in het instemmingsinstrument.
Bij de indiening van de informatie bedoeld in lid 2 of lid 3 wordt automatisch de in lid 4 bedoelde unieke code gegenereerd en aan de aanvrager toegezonden door middel van de e-maildienst bedoeld in artikel 6, lid 2, onder f), van Verordening (EU) 2018/1240.
De unieke code verstrijkt na een korte periode. Bij verzending van een nieuwe unieke code worden de unieke codes die eerder aan dezelfde aanvrager zijn verzonden, ongeldig.
De unieke code wordt verzonden naar het e-mailadres dat is opgegeven in de ingediende aanvraag.
De unieke code is slechts eenmaal bruikbaar.
Voor het verlenen of intrekken van toestemming voor het langer bewaren van het aanvraagdossier dient het instrument de aanvrager te informeren welke gegevens zouden worden bewaard of gewist.
Alvorens toestemming te geven, heeft de aanvrager toegang tot:
een alleen uitleesbare versie van het aanvraagformulier en de ingediende persoonsgegevens;
een alleen uitleesbare versie van aanvullende documentatie of informatie die is ingediend;
een alleen uitleesbare versie van gegevens die na de beslissing tot afgifte van de reisautorisatie krachtens artikel 39, lid 1, onder a) en c) tot en met d), van Verordening (EU) 2018/1240 aan het aanvraagdossier zijn toegevoegd.
Alvorens toestemming te geven, wordt de aanvrager geïnformeerd over:
het feit dat als toestemming wordt verleend, het aanvraagdossier voor een extra periode van niet meer dan drie jaar na het einde van de geldigheidsduur van de reisautorisatie wordt bewaard;
het feit dat de toestemming tot het einde van de extra bewaringstermijn te allen tijde kan worden ingetrokken;
het feit dat de gegevens zullen worden bewaard met het oog op het faciliteren van een nieuwe aanvraag;
het feit dat de gegevens kunnen worden gebruikt overeenkomstig artikel 71, onder o), van Verordening (EU) 2018/1240;
de procedures voor de uitoefening van de rechten uit hoofde van de artikelen 17 tot en met 24 van Verordening (EU) 2018/1725; de contactgegevens van de functionaris voor gegevensbescherming van het Europees Grens- en kustwachtagentschap, de Europees Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende instantie van de lidstaat van het eerste voorgenomen verblijf, indien de reisautorisatie door het centrale Etias-systeem is afgegeven, of van de verantwoordelijke lidstaat, indien de reisautorisatie door een nationale Etias-eenheid is afgegeven.
De toestemming wordt verleend via een elektronisch ondertekende verklaring door het aanvinken van het toepasselijke vakje in het instemmingsinstrument.
Nadat toestemming is verleend, ontvangt de houder van de reisautorisatie een e-mailbericht met:
een bevestiging dat het aanvraagdossier van de aanvrager voor een extra periode van drie jaar na het einde van de geldigheidsduur van de reisautorisatie wordt bewaard;
een koppeling naar het instemmingsinstrument;
een kennisgeving dat de gegevens worden bewaard voor het faciliteren van een nieuwe aanvraag en kunnen worden gebruikt voor de in artikel 71, onder o), van Verordening (EU) 2018/1240 genoemde doeleinden;
een kennisgeving dat de toestemming tot het einde van de extra bewaringstermijn te allen tijde kan worden ingetrokken;
een kennisgeving om de aanvrager te adviseren het nummer van zijn lopende aanvraag te bewaren, zodat hij het bewaarde aanvraagdossier opnieuw kan hergebruiken voor het indienen van een nieuwe aanvraag.