Reglugerð um Schengen-upplýsingakerfið á Íslandi.

1. gr.

Ríkislögreglustjóri veitir starfsmönnum lögreglu og Útlendingaeftirlitsins heimild til að starfa við Schengen-upplýsingakerfið.

Til að fá leyfi skv. 1. mgr. þarf starfsmaður að fullnægja þeim hæfis- og öryggiskröfum sem ríkislögreglustjóri ákveður og kynnir æðstu stjórnendum lögreglu og Útlendingaeftirlitsins.

Nú fullnægir starfsmaður ekki lengur settum hæfis- eða öryggisreglum og skal ríkislögreglustjóri þá fella heimild hans úr gildi.

2. gr.

Við starfrækslu Schengen-upplýsingakerfisins skal ríkislögreglustjóri, sá sem á hans vegum annast tölvuþjónustu og þau stjórnvöld sem hafa aðgang að upplýsingum úr upplýsingakerfinu grípa til nauðsynlegra ráðstafana til að tryggja að:

a. aðgangur að upplýsingum úr kerfinu sé ekki rýmri en nauðsynlegt er fyrir stjórnvald til að sinna þeim verkefnum sem það hefur með hendi,
b. upplýsingar úr kerfinu séu eingöngu nýttar til að sinna þeim verkefnum stjórnvalda sem tilgreind eru í 10. og 11. gr. laga um Schengen-upplýsingakerfið á Íslandi,
c. einungis starfsmenn með heimild skv. 1. gr. starfi við kerfið,
d. aðgangur starfsmanns að skráðum upplýsingum sé ekki rýmri en nauðsynlegt er til að hann geti sinnt þeim verkefnum sem hann hefur með höndum,
e. upplýsingar um öryggisatriði varðandi kerfið berist ekki til óviðkomandi,
f. gæsla og umbúnaður alls tækjabúnaðar sem notaður er við starfrækslu kerfisins sé öruggur og að óviðkomandi geti ekki fengið aðgang að þeim búnaði,
g. óviðkomandi fái ekki aðgang að upplýsingum sem skráðar eru í kerfið,
h. óviðkomandi geti ekki haft áhrif á skráningu í kerfið,
i. kerfið starfi greiðlega og sé aðgengilegt þeim sem við það starfa.

3. gr.

Ríkislögreglustjóri skal skipuleggja innra eftirlit með Schengen-upplýsingakerfinu. Innra eftirlitið skal vera viðvarandi og kerfisbundið og miða að því að tryggja að:

a. einungis þeir starfsmenn starfi við kerfið sem hafa heimild skv. 1. gr.,
b. þekking starfsmanna sem starfa við kerfið á þeim reglum sem um það gilda á hverjum tíma sé fullnægjandi,
c. einungis séu skráðar upplýsingar í kerfið í samræmi við 4.–8. gr. laga um Schengen-upplýsingakerfið á Íslandi,
d. miðlun upplýsinga úr kerfinu og eftirfarandi vinnsla þeirra sé í samræmi við lög.

Ríkislögreglustjóri getur falið þeim stjórnvöldum sem hafa aðgang að upplýsingum úr upplýsingakerfinu ákveðna þætti innra eftirlits með kerfinu. Einnig getur hann krafið þau um upplýsingar og gögn sem eru nauðsynleg til að sinna eftirliti með kerfinu.

Ríkislögreglustjóri skal árlega taka saman skýrslu um innra eftirlit með upplýsingakerfinu og skila til Persónuverndar eigi síðar en 1. apríl.

4. gr.

Ríkislögreglustjóri skal gera skriflega áætlun um öryggisatriði við vinnslu upplýsinga í Schengen-upplýsingakerfinu. Sú áætlun skal taka til þess sem á hans vegum annast tölvuþjónustu og þeirra stjórnvalda sem hafa aðgang að upplýsingum úr upplýsingakerfinu.

Áætlun skv. 1. mgr. skal meðal annars miða að því að tryggja að óviðkomandi fái ekki aðgang að upplýsingakerfinu eða geti haft áhrif á skráningu í það. Einnig skal áætlun miða að því að tryggja að kerfið starfi greiðlega og sé aðgengilegt þeim sem við það starfa.

Eftir þörfum skal ríkislögreglustjóri endurskoða áætlun skv. 1. mgr. og ekki skal líða lengri tími milli endurskoðunar hennar en þrjú ár. Endurskoðun skal meðal annars taka mið af þeirri reynslu sem fæst á hverjum tíma við rekstur upplýsingakerfisins og mati á þeim atriðum sem fela í sér hættu fyrir öryggi kerfisins.

Ríkislögreglustjóri skal senda Persónuvernd áætlun skv. 1. mgr. og tilkynna stofnuninni um endurskoðun hennar skv. 2. mgr.

5. gr.

Ríkislögreglustjóri ber ábyrgð á því að fylgt sé skriflegri áætlun skv. 4. gr. Þeir sem á vegum ríkislögreglustjóra veita tölvuþjónustu við upplýsingakerfið bera ábyrgð á því gagnvart honum að þeirri áætlun sé fylgt. Sama gildir um stjórnvöld sem eru beinlínutengd við upplýsingakerfið skv. 10. gr. laga um Schengen-upplýsingakerfið á Íslandi og stjórnvöld sem hafa aðgang að upplýsingum úr kerfinu skv. a- og b-lið 11. gr. sömu laga.

6. gr.

Við allar breytingar á starfrækslu Schengen-upplýsingakerfisins sem geta haft áhrif á öryggi þess skal ríkislögreglustjóri láta fara fram áhættumat. Eftir því sem við á skal á grundvelli áhættumats endurskoða áætlun skv. 4. gr.

7. gr.

Ríkislögreglustjóri skal gera skriflega skýrslu um hverja einstaka skráningu í upplýsingakerfið. Einnig skal ríkislögreglustjóri gera skriflega skýrslu um hvert tilvik þegar stjórnvöldum er veittur aðgangur að upplýsingum úr upplýsingakerfinu skv. 11. gr. laga um Schengen-upplýsingakerfið á Íslandi.

Aðgangur að upplýsingakerfinu með beinlínutengingu skal skráður í hverju tilviki fyrir sig. Einnig skal skrá allar einstakar aðgerðir í kerfinu sem miða að því að öðlast slíkan aðgang að kerfinu.

Varðveita skal upplýsingar samkvæmt 2. mgr. eigi skemur en eitt ár en þrjú ár hið mesta.

8. gr.

Nú verða mistök við starfrækslu Schengen-upplýsingakerfisins og skal ríkislögreglustjóri þá rannsaka málið og taka saman skýrslu. Eftir því sem tilefni er til skulu gerðar viðeigandi úrbætur við starfrækslu kerfisins.

Ef óviðkomandi hefur fengið aðgang að upplýsingakerfinu eða grunur leikur á slíku skal ríkislögreglustjóri gera Persónuvernd viðvart.

Nú leiðir eftirlit Persónuverndar samkvæmt 18. gr. laga um Schengen-upplýsingakerfið á Íslandi í ljós að skráning og meðferð persónuupplýsinga í upplýsingakerfinu er ekki í samræmi við þau lög eða reglur sem gilda um persónuvernd og friðhelgi einkalífs eða að öryggi upplýsingakerfisins er ekki nægilega tryggt gegn því að óviðkomandi fái aðgang að því eða geti haft áhrif á skráningu í það og skal þá Ríkislögreglustjóri gera viðeigandi úrbætur að fengnum tillögum Persónuverndar.

9. gr.

Reglugerð þessi, sem sett er samkvæmt heimild í 19. gr. laga um Schengen-upplýsingakerfið á Íslandi, nr. 16 14. apríl 2000, sbr. lög nr. 77 23. maí 2000, öðlast þegar gildi.