Databeskyttelse: Hvordan ETIAS håndterer personlige oplysninger

• Hvert år vil ETIAS behandle personlige oplysninger fra millioner af rejsende .
• Datasikkerhed har været en stor prioritet i oprettelsen af ETIAS.
• Hvilke mennesker har adgang til databaser? Hvor længe opbevares data?

Bekymringer vedrørende datasikkerhed er almindelige i den digitale tidsalder.

Virksomheder og organisationer har hele tiden brug for oplysninger fra deres kunder. Dette giver anledning til bekymring for, hvordan disse data vedligeholdes og beskyttes .

Når rejsende ansøger om en ETIAS-autorisation for Europa, er deres personlige oplysninger beskyttet.

ETIAS’ databeskyttelsespolitik overholder europæisk lovgivning samt chartret om grundlæggende rettigheder.

ETIAS-lovgivningen beskriver, hvordan EU’s databeskyttelsesforordning vil blive implementeret. Denne visumfritagelse vil beskytte europæiske borgere og turister og samtidig beskytte deres privatliv.

HVILKE PERSONOPLYSNINGER INDSAMLES AF ETIAS?

For kortvarige visumfrie besøg i Europa kræves der ETIAS. Ved ansøgning vil turister og forretningsrejsende give personlige oplysninger såsom:

• Fuldt navn
• Fødested og fødselsdato
• Nationalitet
• Køn
• Beskæftigelse
• Kontaktoplysninger
• Bopælsland
• Oplysninger om tidligere straffelovsovertrædelser
• Nyere rejsehistorik

Som et resultat heraf påvirker EU’s databeskyttelsesstandarder forretningsrejser og turisme i Europa.

HVORFOR KRÆVER ETIAS PERSONLIGE OPLYSNINGER OM REJSENDE?

Disse oplysninger er påkrævet af EU af sikkerhedsmæssige årsager . Flere landes borgere behøver ikke visum for at rejse til Europa og er i øjeblikket ikke underlagt screeningprocedurer.

Ved at indsamle data og identificere potentielle sikkerhedsproblemer vil ETIAS muliggøre sikrere visumfri rejse til Europa.

HVORDAN ETIAS BESKYTTER PERSONLIGE DATA

Agenturet, der har ansvaret for at administrere det massive ETIAS IT-system er eu-LISA , som også har ansvaret for de fleste af de systemer, der filtrerer ETIAS passagerdata, såsom EURODAC, SIS og VIS.

eu-LISA har ansvaret for at sikre, at data håndteres sikkert og forsvarligt.

ETIAS indsamler data for at forbedre sikkerheden for EU-borgere . Ikke desto mindre er det afgørende, at de registreredes grundlæggende rettigheder respekteres.

ETIAS-forordningen forklarer, hvordan data vil blive håndteret og opbevaret, samt kompensationsrettigheder i tilfælde af ulovlig behandling .

ETIAS OG SIKKER BEHANDLING AF PERSONOPLYSNINGER

ETIAS Centrale og Nationale Enheder samt eu-LISA er ansvarlige for at sikre, at personoplysninger behandles sikkert og i overensstemmelse med europæisk lovgivning.

Artikel 59 i ETIAS-reglen omhandler datasikkerhed i 15 aspekter, herunder:

• Fysisk beskyttelse af data
• Sikring af, at kun autoriserede personer har adgang til alle elementer
• Brug af kryptering for at forhindre uautoriseret læsning, kopiering, ændring eller sletning af personlige oplysninger
• Fastlæggelse af, hvilke oplysninger der er blevet behandlet, hvornår og med hvilket formål

Datakryptering og begrænsning af adgang til visse autoriserede enheder hjælper med at forhindre misbrug af personlige oplysninger.

RET TIL ERSTATNING, HVIS ETIAS’ DATABESKYTTELSESREGLER ER BLEVET OVERTRÅDT

Artikel 63 i ETIAS-reglen vedrører den dataansvarliges eller databehandlerens forpligtelse.

Den fastslår, at enhver, der lider skade som følge af ulovlig datahåndtering, har ret til erstatning .

Kompensationen vil blive udbetalt af enten medlemsstaten eller eu-LISA, afhængigt af hvem der har været skyld i ulykken.

HVORDAN ETIAS-DATA DELES MED TREDJELANDE OG ANDRE ORGANISATIONER

Artikel 65 i ETIAS-reglen omhandler dataudveksling.

Ifølge rapporten vil de personlige oplysninger, der opbevares i ETIAS’ centrale enhed, ikke blive videregivet til nogen international organisation eller privat enhed ud over Interpol, den internationale kriminalpolitiorganisation.

Interpol er en vigtig aktør i forhåndsscreeningen af besøgende, der rejser til Europa. Dataoverførsel til Interpol er påkrævet for at beskytte offentligheden.

I lovens artikel 65 defineres det også, hvornår indvandringsmyndighederne kan få adgang til oplysninger, der vil blive videregivet til en fremmed nation. Dette er kun muligt, hvis særlige krav er opfyldt.

Undtagelser kan gøres under ekstreme omstændigheder , såsom truslen om terroraktivitet eller en alvorlig kriminel handling.

KUN AUTORISEREDE PERSONER KAN FÅ ADGANG TIL ETIAS

Under særlige betingelser vil retshåndhævende myndigheder, herunder Europol, være bemyndiget til at konsultere ETIAS-data . De bør kun anmode om adgang, når det er absolut nødvendigt for at udføre deres opgaver.

eu-LISA vil være ansvarlig for at vedligeholde logfiler over alle ETIAS databehandlingsprocesser og registrere:

• Årsagen til adgangen til dataene
• Dato og klokkeslæt for operationen
• Den ansatte, der har udført operationen

Desuden vil eu-LISA holde styr på, hvem der har tilladelse til at indtaste og hente data. Dette vil forhindre uautoriseret eller ulovlig adgang til information.

HVOR LÆNGE OPBEVARER ETIAS PERSONLIGE OPLYSNINGER?

ETIAS gemmer kun personlige data midlertidigt, enten til:

• Rejsetilladelsens gyldighedsperiode på det tidspunkt, hvor ansøgningen blev godkendt
• 5 år fra det sidste ETIAS-afslag , tilbagekaldelse eller annullering

Data kan opbevares i tre år efter tilladelsens udløb, hvis ansøger giver sin godkendelse. Herefter slettes oplysningerne automatisk fra ETIAS Central System.

DATABESKYTTELSESLOVGIVNING I EUROPA

En af EU’s største bekymringer er datasikkerhed . Forkert informationshåndtering har dyre økonomiske konsekvenser.

EU’s lovgivning om beskyttelse af privatlivets fred og sikkerhed pålægger organisationer i EU og i hele verden at overholde strenge standarder for beskyttelse af privatlivets fred.

ETIAS OG EU’S GENERELLE FORORDNING OM DATABESKYTTELSE

Den Europæiske Unions (EU) General Data Protection Regulation (GDPR) trådte i kraft i 2018 for at give enkeltpersoner mere kontrol over deres personlige oplysninger og hvordan de bruges.

GDPR lettede den internationale handel ved at indføre en ensartet regel, der gælder i hele EU.

GDPR garanterer, at en persons personlige oplysninger håndteres korrekt . For at overholde reglen skal en organisation underrette brugerne om:

• Omfanget af dataindsamlingen
• Hvor længe den vil blive opbevaret
• Hvis den vil blive overdraget til en tredjepart

Folk har ret til at se en oversigt over deres personlige oplysninger, og hvordan de behandles. De har også ret til sletning under visse omstændigheder, hvilket betyder, at de kan anmode om at få deres data slettet.

Denne regel gælder for ETIAS, da det vil behandle personoplysninger om tredjelandsstatsborgere. ETIAS-systemet er designet i overensstemmelse med GDPR .

HVORDAN FINDER GDPR ANVENDELSE PÅ VISUMFRITAGELSESPROGRAMMER?

Andre visumfritagelsesprogrammer over hele verden skal overholde GDPR. Ifølge Europa-Kommissionen gælder den generelle forordning om databeskyttelse for:

Fordi den vil behandle personoplysninger fra tredjelande, skal ETIAS’ databeskyttelsespolitik ikke kun overholde GDPR-standarder, men andre visumfritagelsesprogrammer i hele verden skal også.

ESTA for USA og eTA Canada indsamler og behandler data om enkeltpersoner i EU-medlemslande. Som følge heraf skal de overholde EU’s generelle databeskyttelsesregler.

HVAD ER BØDEN FOR ET GDPR-DATABRUD?

En GDPR-overtrædelse er dyr for en virksomhed . For at sikre overholdelse af reglerne er der fastsat høje bøder.

Straffen for overtrædelse af EU’s databeskyttelseslovgivning bestemmes af elementer som f.eks:

• Antallet af berørte personer
• Uanset om det var forsætligt
• Tidligere overtrædelser

De maksimale bøder er €20 millioner eller 4 % af det foregående regnskabsårs årlige globale omsætning, alt efter hvad der er størst.

Denne store straf viser, hvor alvorligt EU ser på databeskyttelse. Den opstiller strenge krav til sig selv og alle andre databehandlere og registeransvarlige.

ETIERNE OG CHARTRET OM GRUNDLÆGGENDE RETTIGHEDER

ETIAS er direkte relevant for bestemmelsen om frihed i chartret om grundlæggende rettigheder.

I henhold til artikel 8 i chartret har “enhver ret til beskyttelse af personoplysninger om ham eller hende”.

For at være i overensstemmelse med charteret må ETIAS-rejsendes data kun behandles til specifikke, legitime formål og med deres samtykke . Alle har ret til at se de oplysninger, der er blevet indsamlet om dem.

Den europæiske tilsynsførende for databeskyttelse (EDPS) er et uafhængigt organ, der er ansvarlig for at sikre, at ETIAS opretholder menneskerettighederne til privatlivets fred og databeskyttelse.

ETIAS INTELLIGENTE GRÆNSER OG DATABESKYTTELSE

Entry-Exit System (EES) , som også administreres af eu-LISA, vil blive indført ved EU’s grænser i den nærmeste fremtid. Systemet indsamler oplysninger fra tredjelandsstatsborgere, der passerer Schengenområdets ydre grænser.

Europas EES indsamler biometriske oplysninger fra ETIAS-rejsende og visumindehavere. Fordi en persons ansigtsmål er unikke og kan bruges til at identificere en person, anses disse oplysninger for at være følsomme.

For at sikre, at EES er i overensstemmelse med EU’s lovgivning om beskyttelse af personoplysninger, er det blevet evalueret og ændret på grundlag af forslag fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS).

I fremtiden vil den stigende brug af kunstig intelligens ved EU’s grænsekontrol give nye problemer med hensyn til databeskyttelse.

Da sådanne oplysninger er så følsomme, skal myndighederne, navnlig den tilsynsførende, garantere, at den grundlæggende ret til databeskyttelse overholdes.

Infrastruktur- og informationsteknologiløsninger kan ikke udvikles, medmindre det sikres, at EU’s databeskyttelsesforordninger overholdes fuldt ud.

OVERTRÆDER SCHENGEN SMART BORDERS GDPR-STANDARDERNE?

Europa prioriterer databeskyttelse. Det er den konklusion, som borgerne er nået frem til efter vedtagelsen af den generelle forordning om databeskyttelse (GDPR).

Der er dog dukket nye bekymringer op med hensyn til teknologi til ansigtsgenkendelse og den planlagte implementering af ETIAS-visumfritagelsen .

Dette element i de intelligente grænser kan ifølge EU-kommissær Margrethe Vestager være i strid med Europas databeskyttelsesstandarder.

I denne forbindelse kan smarte grænser støde på vanskeligheder under indsamling af biometriske data fra ikke-EU-statsborgere, der rejser ind i Schengenområdet.

Den største bekymring drejer sig om persondataforordningens afsnit 6 (Lovlighed af behandling) og 9 (Behandling af særlige kategorier af personoplysninger).

Dette er ikke det første tilbageslag for EU’s smarte grænser; siden dets forslag i februar 2013 har denne teknologiløsning for Schengen-medlemsstaternes ydre grænser givet anledning til bekymring over den ” overordnede gennemførlighed af det foreslåede nye system “, ifølge den tekniske undersøgelse om intelligente grænser offentliggjort i 2014.

Den Europæiske Union vil give yderligere oplysninger om, hvordan medlemsstaterne vil løse problemet med at aktivere ansigtsgenkendelsessystemer og intelligente grænser og samtidig sikre databeskyttelse for alle personer, herunder personer fra lande uden for Schengenområdet.