1056/2025

Reglugerð um komu- og brottfararkerfið.

1. gr. Gildistaka tiltekinna Schengen-gerða.

Eftirfarandi reglugerðir Evrópusambandsins um komu- og brottfararkerfið (EES) skulu öðlast gildi hér á landi í samræmi við samning sem ráð Evrópusambandsins og lýðveldið Ísland og konungsríkið Noregur gera með sér um þátttöku hinna síðarnefndu í framkvæmd, beitingu og þróun Schengen-gerðanna, með þeirri aðlögun sem getið er um í reglugerð þessari:

1. reglugerð Evrópuþingsins og ráðsins (ESB) 2017/2226 frá 30. nóvember 2017 um að koma á fót komu- og brottfararkerfi til að skrá upplýsingar um komur og brottfarir og upplýsingar um synjanir um komu ríkisborgara þriðju landa, sem fara yfir ytri landamæri aðildarríkjanna, og um að ákvarða skilyrði fyrir aðgangi að komu- og brottfararkerfinu í löggæslutilgangi og um breytingu á samningnum um framkvæmd Schengen-samkomulagsins og á reglugerðum (EB) nr. 767/2008 og (ESB) nr. 1077/2011, að undanskildum VIII. kafla, sbr. fylgiskjal 1 sem birt er með reglugerð þessari;
2. reglugerð Evrópuþingsins og ráðsins (ESB) 2025/1534 frá 18. júlí 2025 um tímabundnar undanþágur frá tilteknum ákvæðum reglugerða (ESB) 2017/2226 og (ESB) 2016/399 að því er varðar töku komu- og brottfararkerfisins í notkun í áföngum, sbr. fylgiskjal 2 sem birt er með reglugerð þessari.

2. gr. Gildissvið.

Reglugerð þessi gildir um þróun, rekstur og vinnslu upplýsinga í íslenska hluta komu- og brottfararkerfisins.

Með íslenska hluta komu- og brottfararkerfisins er átt við þann hluta komu- og brottfararkerfisins sem Ísland ber ábyrgð á skv. 38. gr., sbr. 7. gr. reglugerðar (ESB) 2017/2226, og tengist miðlæga komu- og brottfararkerfinu sem hýst er af Stofnun Evrópusambandsins um rekstur stórra upplýsingatæknikerfa (eu-LISA).

3. gr. Aðlögun tilvísana til EES- og Schengen-gerða.

Þar sem í reglugerð (ESB) 2017/2226 og reglugerð (ESB) 2025/1534 er vísað til reglugerðar (ESB) 2016/399 um setningu Sambandsreglna um för fólks yfir landamæri (Schengen-landamærareglurnar) gilda lög um landamæri, nr. 136/2022 og reglugerð um för yfir landamæri, nr. 866/2017, sem innleiðir Schengen-landamærareglurnar í íslenskan rétt.

Þar sem í reglugerð (ESB) 2017/2226 er vísað til reglugerðar (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og tilskipunar ráðsins (ESB) 2016/680 um vernd einstaklinga að því er varðar vinnslu lögbærra yfirvalda á persónuupplýsingum í tengslum við að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum og frjálsa miðlun slíkra upplýsinga, gilda lög um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018 og lög um vinnslu persónuupplýsinga í löggæslutilgangi, nr. 75/2019, sem innleiða gerðirnar í íslenskan rétt.

4. gr. Aðgangur að komu- og brottfararkerfinu.

Stjórnvöld í skilningi þessarar reglugerðar eru: lögregla, Útlendingastofnun, ráðuneyti sem fer með utanríkismál og sendiskrifstofur. Þau stjórnvöld skulu tryggja örugga gagnatengingu frá starfsstöðvum sínum að íslenska hluta komu- og brottfararkerfisins sem rekinn er af ríkislögreglustjóra og bera þann kostnað sem hlýst af tengingunni.

Lögregla sem landamærayfirvald skal hafa aðgang að komu- og brottfararkerfinu í þeim tilgangi að sinna landamæravörslu, sbr. 2. mgr. 9. gr. og 23. gr. reglugerðar (ESB) 2017/2226.

Útlendingastofnun, ráðuneyti sem fer með utanríkismál, sendiskrifstofur og lögreglan skulu hafa aðgang að komu- og brottfararkerfinu þegar þau sinna útgáfu vegabréfsáritana, sbr. 2. mgr. 9. gr. og 24. gr. reglugerðar (ESB) 2017/2226.

Útlendingastofnun skal hafa aðgang að komu- og brottfararkerfinu til að sinna lögbundnum verkefnum sínum samkvæmt lögum um útlendinga, einkum að því er varðar breytta skráningu og heimild útlendinga til dvalar hér á landi.

Lögregla og Útlendingastofnun skulu jafnframt hafa aðgang að komu- og brottfararkerfinu í samræmi við ákvæði 2. mgr. 9. gr. og 26. og 27. gr. reglugerðar (ESB) 2017/2226 í því skyni að sannreyna deili á ríkisborgara þriðja ríkis, sbr. 26. gr., og bera kennsl á ríkisborgara þriðja ríkis sem kann að vera staddur hér á landi án þess að uppfylla skilyrði til dvalar, sbr. 27. gr.

Lögregla og héraðssaksóknari geta með því að leggja fram rökstudda beiðni til miðlægrar aðgangsstöðvar, sem mælt er fyrir um í 6. gr., óskað eftir að fá aðgang að tilteknum gögnum í komu- og brottfararkerfinu til þess að koma í veg fyrir, koma upp um og rannsaka hryðjuverk eða annan alvarlegan, refsiverðan verknað í samræmi við IV. kafla reglugerðar (ESB) 2017/2226, sbr. 31. gr.

5. gr. Ábyrgð ríkislögreglustjóra.

Ríkislögreglustjóri ber ábyrgð á rekstri íslenska hluta komu- og brottfararkerfisins í samræmi við 38. gr. reglugerðar (ESB) 2017/2226.

Ríkislögreglustjóri veitir þar til bærum stjórnvöldum viðeigandi aðgang að komu- og brottfararkerfinu að uppfylltum skilyrðum þessarar reglugerðar og heldur skrár yfir það starfsfólk þeirra sem hefur heimild til að færa inn, breyta, eyða og fletta upp gögnum í kerfinu, sbr. 1. og 2. mgr. 9. gr. reglugerðar (ESB) 2017/2226.

Ríkislögreglustjóra er heimilt að hafna aðgangi að komu- og brottfararkerfinu ef talið er að skilyrði skv. 2. mgr. séu ekki uppfyllt. Einnig er heimilt að fella niður veitta aðgangsheimild að kerfinu ef skilyrði skv. 2. mgr. eru ekki lengur uppfyllt.

Ríkislögreglustjóri skal tryggja að skýrar verklagsreglur séu til staðar hjá þar til bærum stjórnvöldum um vinnslu gagna í komu- og brottfararkerfinu ásamt því að grípa til nauðsynlegra ráðstafana til að tryggja öryggi gagna í samræmi við skilyrði 2. mgr. 43. gr., sbr. 44. gr. reglugerðar (ESB) 2017/2226, eftir því sem við á og tryggja að við kerfið starfi einungis starfsmenn sem hafa fengið viðeigandi þjálfun að því er varðar reglur um gagnaöryggi og persónuvernd, sbr. 5. mgr. 38. gr. reglugerðar (ESB) 2017/2226.

Ríkislögreglustjóri skal gera skriflega öryggisáætlun í samræmi við 2. mgr. 43. gr. reglugerðar (ESB) 2017/2226 sem skal m.a. miða að því að tryggja að óviðkomandi fái ekki aðgang að komu- og brottfararkerfinu eða geti haft áhrif á skráningu í það, og ber jafnframt ábyrgð á því að stefnunni sé fylgt. Upplýsingaöryggisstefnan skal taka til þeirra sem á vegum ríkislögreglustjóra annast upplýsingatæknimál við íslenska hluta komu- og brottfararkerfisins og þeirra stjórnvalda sem hafa aðgang að kerfinu og bera þessir aðilar ábyrgð á því gagnvart ríkislögreglustjóra að stefnunni sé fylgt. Stefnuna skal endurskoða eftir þörfum en þó ekki sjaldnar en á þriggja ára fresti. Endurskoðun skal m.a. taka mið af reynslu af rekstri komu- og brottfararkerfisins og mati á þeim atriðum sem fela í sér hættu fyrir öryggi kerfisins.

Ríkislögreglustjóri skal einnig gera viðbragðsáætlun sem miðar að því að tryggja rekstrarsamfellu og endurreisn komu- og brottfararkerfisins ef kerfishrun verður, sbr. 2. mgr. 43. gr. reglugerðar (ESB) 2017/2226.

Ríkislögreglustjóri er ábyrgðaraðili að vinnslu persónuupplýsinga í íslenska hluta komu- og brottfararkerfisins, skv. 1. mgr. 39. gr. reglugerðar (ESB) 2017/2226, sbr. 6. tölul. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og ber meginábyrgð á gagnavinnslu í komu- og brottfararkerfinu. Þrátt fyrir það eru önnur þar til bær stjórnvöld ábyrg fyrir vinnslu sinni í kerfinu.

Ríkislögreglustjóri hefur upplýsingaskyldu gagnvart ríkisborgurum þriðju ríkja sem skrá á í kerfið skv. 50. gr. reglugerðar (ESB) 2017/2226 og ber ábyrgð á því að taka á móti og vinna beiðnir ríkisborgara þriðju ríkja um aðgang að persónuupplýsingum og um meðferð upplýsinga í kerfinu skv. 52. gr. sömu reglugerðar. Á þeim grundvelli hefur ríkislögreglustjóri heimild til að óska eftir öllum nauðsynlegum upplýsingum frá stjórnvöldum sem hafa skráð, breytt eða eytt persónuupplýsingum í kerfinu.

6. gr. Miðlæg aðgangsstöð.

Ríkislögreglustjóri er miðlæg aðgangsstöð í skilningi 3. mgr. 29. gr. reglugerðar (ESB) 2017/2226 og skal í samræmi við ákvæði 5. mgr. 29. gr. þeirrar reglugerðar halda skrá yfir þær starfseiningar tilnefndra yfirvalda sem er heimill aðgangur að komu- og brottfararkerfinu í gegnum miðlæga aðgangsstöð.

Ríkislögreglustjóri skal halda aðgerðaskrár um gagnavinnslu í upplýsingakerfinu, sem fer fram vegna beiðna um aðgang að komu- og brottfararkerfinu í samræmi við IV. kafla reglugerðar (ESB) 2017/2226, sbr. 59. gr.

7. gr. Miðlun gagna til þriðja aðila.

Gögnum sem geymd eru í komu- og brottfararkerfinu er óheimilt að miðla eða gera aðgengileg þriðja ríki, alþjóðastofnun eða einkaaðila, nema með þeim undantekningum sem kveðið er á um í 41. gr., sbr. viðauka I, og 42. gr. reglugerðar (ESB) 2017/2226.

8. gr. Vinnsla persónuupplýsinga og persónuvernd.

Stjórnvöldum skv. 3. gr. er heimil vinnsla persónuupplýsinga, þar á meðal þeirra sem viðkvæmar geta talist, að því marki sem slík vinnsla telst nauðsynleg við framkvæmd reglugerðar þessarar, og í samræmi við skilyrði laga um persónuvernd og vinnslu persónuupplýsinga og laga um vinnslu persónuupplýsinga í löggæslutilgangi.

Persónuvernd ber ábyrgð á óháðu eftirliti með því hvort vinnsla persónuupplýsinga skv. II., III., V. og VI. kafla reglugerðar (ESB) 2017/2226 fari fram með lögmætum hætti, þ.m.t. sending þeirra til og frá komu- og brottfararkerfinu, sbr. 1. mgr. 55. gr. reglugerðar (ESB) 2017/2226. Persónuvernd skal einnig sjá til þess að úttekt fari fram á gagnavinnslu á viðeigandi landamærastöðvum á a.m.k. þriggja ára fresti eftir að komu- og brottfararkerfið er tekið í notkun, sbr. 2. mgr. 55. gr. reglugerðar (ESB) 2017/2226.

Persónuvernd hefur jafnframt eftirlit með því að vinnsla persónuupplýsinga í löggæslutilgangi, þegar aðgangur er veittur að komu- og brottfararkerfinu í þeim tilgangi að koma í veg fyrir, koma upp um eða rannsaka hryðjuverk eða annan alvarlegan, refsiverðan verknað í samræmi við IV. kafla reglugerðar (ESB) 2017/2226, fari fram með lögmætum hætti, þ.m.t. sending þeirra til og frá komu- og brottfararkerfinu, sbr. 2. mgr. 58. gr. reglugerðar (ESB) 2017/2226.

9. gr. Réttur einstaklinga vegna vinnslu persónuupplýsinga.

Einstaklingar geta óskað eftir að fá vitneskju um þær upplýsingar sem um þá eru skráðar í komu- og brottfararkerfið og upplýsingar um hver fær, hefur fengið eða mun fá upplýsingar um þá, nema slíkar upplýsingar eigi að fara leynt í löggæslutilgangi. Beina skal slíkum beiðnum til ríkislögreglustjóra.

Ef skráðar hafa verið persónuupplýsingar sem eru rangar, villandi eða ófullkomnar eða persónuupplýsingar hafa verið skráðar án tilskilinnar heimildar, skal senda beiðni um leiðréttingu, eyðingu eða takmörkun á vinnslu persónuupplýsinga til ríkislögreglustjóra sem tekur ákvörðun um hvort verða eigi við beiðninni til samræmis við tímaviðmið 52. gr. reglugerðar (ESB) 2017/2226.

Ákvarðanir ríkislögreglustjóra sem teknar eru á grundvelli 1. og 2. mgr. má bera undir Persónuvernd í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.

10. gr. Lagastoð og gildistaka.

Reglugerð þessi er sett með heimild í f- og h-lið 1. mgr. 23. gr. laga um landamæri, nr. 136/2022, og öðlast gildi 12. október 2025.

Bráðabirgðaákvæði.

Á því tímabili sem getið er um í reglugerð (ESB) 2025/1534, er flutningsaðilum og þar til bærum stjórnvöldum heimilt að víkja tímabundið frá tilteknum ákvæðum reglugerðar (ESB) 2017/2226 og innleiða komu- og brottfararkerfið á landamærastöðvum Íslands í áföngum í samræmi við ákvæði reglugerðar (ESB) 2025/1534. Á meðan þessu aðlögunartímabili við innleiðingu kerfisins stendur geta misjafnar kröfur gilt á landamærastöðvum um skráningu og notkun komu- og brottfararkerfisins. Ríkisborgurum þriðju ríkja sem falla undir ákvæði reglugerðar (ESB) 2017/2226 er skylt að veita þær upplýsingar, persónu- eða lífkennaupplýsingar, sem landamærayfirvöld á hverjum stað gera kröfu um hverju sinni á tímabilinu. Synji einstaklingur að veita þær upplýsingar sem krafist er að skráðar verði í komu- og brottfararkerfið er heimilt að vísa viðkomandi frá landinu til samræmis við lög um útlendinga og reglugerð um för yfir landamæri.

B deild - Útgáfudagur: 10. október 2025