(2006/C 320/10)(Dz.U.UE C z dnia 28 grudnia 2006 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając Kartę Praw Podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41,
uwzględniając wniosek w sprawie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 otrzymany od Komisji w dniu 11 maja 2006 r.;
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
1. WPROWADZENIE
W dniu 13 czerwca 2002 r., starając się o ujednolicenie formatu dokumentów pobytowych wydawanych przez państwa członkowskie obywatelom państw trzecich, Rada przyjęła rozporządzenie (WE) nr 1030/2002 ustanawiające jednolity wzór dokumentów pobytowych dla obywateli państw trzecich(1). W motywie szóstym tego rozporządzenia państwa członkowskie i Komisja Europejska zgodziły się na rozważenie w regularnych odstępach czasu i stosownie do rozwoju technologii zmian, jakie należy wprowadzić w celu poprawy zabezpieczeń wbudowanych w dokumenty. Jako przykład przedstawiono dane biometryczne.
W dniu 24 września 2003 r. Komisja Europejska złożyła wniosek dotyczący rozporządzenia Rady zmieniającego rozporządzenie (WE) nr 1030/2002(2). Wniosek dotyczący tego rozporządzenia został złożony wraz z wnioskiem dotyczącym rozporządzenia Rady zmieniającego rozporządzenie (WE) 1683/95 ustanawiające jednolity formularz wizowy. Głównym celem obu wniosków jest wprowadzenie danych biometrycznych (obrazu twarzy i dwóch odcisków palców posiadacza) do nowych ujednoliconych wzorów dokumentów pobytowych i wiz. Z powodu pewnych wątpliwości natury technicznej wzór dokumentu pobytowego (naklejka lub odrębna karta) nie został określony. Zgodnie z procedurą konsultacji obydwa wnioski zostały przekazane Parlamentowi Europejskiemu.
W dniu 10 marca 2006 r. Komisja Europejska przedstawiła zmodyfikowany wniosek (zwany dalej "wnioskiem") dotyczący rozporządzenia Rady zmieniającego rozporządzenie (WE) 1030/2002. W zmodyfikowanym wniosku zdecydowano się na odrębną kartę jako wzór dokumentu z powodu ewentualnych interferencji pomiędzy mikroprocesorami bezstykowymi. Tym państwom członkowskim, które mają zamiar włączyć do dokumentu pobytowego mikroprocesor stykowy umożliwiający korzystanie z usług elektronicznych, zaoferowany zostanie w tym celu określony obszar karty (zgodnie z załącznikiem do wniosku obszar 16).
Wniosek w sprawie dokumentów pobytowych oparty jest na art. 63 ust. 3 lit. a) TWE. Europejski Inspektor Ochrony Danych (EIOD) podkreśla, że dokument pobytowy nie powinien być uważany za dokument podróży. Nieszczęśliwie się składa, że wniosek z 2003 r. obejmował zarówno wizy, jak i dokumenty pobytowe, gdyż mogło to spowodować nieporozumienia, chociaż celem wniosku było przyjęcie spójnego podejścia do identyfikatorów biometrycznych w UE. EIOD z zadowoleniem przyjmuje zatem to, że wizy i dokumenty pobytowe nie występują już razem w jednym dokumencie.
2. ANALIZA WNIOSKU
2.1. Uwagi ogólne
Europejski Inspektor Ochrony Danych (EIOD) przyjmuje z zadowoleniem prośbę o wydanie opinii na podstawie art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. Jednak uwzględniając wiążący charakter art. 28 ust. 2, niniejsza opinia powinna zostać wspomniana w preambule omawianego tekstu.
Wniosek wprowadza wykorzystanie danych biometrycznych w dokumencie pobytowym. EIOD uznaje korzyści płynące z wykorzystania danych biometrycznych, ale jednocześnie podkreśla poważne konsekwencje wynikające z ich wykorzystania oraz sugeruje wprowadzenie rygorystycznych ograniczeń wykorzystania wszelkich rodzajów danych biometrycznych. EIOD z zadowoleniem przyjmuje myśl Rady, a zwłaszcza rządu Estonii, by traktować tak samo własnych obywateli i rezydentów z państw trzecich, umożliwiając im dostęp do usług elektronicznych za pomocą dokumentów tożsamości i dokumentów pobytowych(3). To oświadczenie potwierdza również fakt, że dokument pobytowy nie jest uważany za dokument podróży.
2.2. Dane biometryczne
Jak to już zostało podkreślone w kilku opiniach EIOD(4) i Grupy Roboczej Art. 29(5), wprowadzaniu i przetwarzaniu danych biometrycznych na potrzeby dokumentów tożsamości muszą towarzyszyć szczególnie spójne i poważne zabezpieczenia. Istotnie dane biometryczne są szczególnie wrażliwe z powodu pewnych szczególnych właściwości, a ich wdrożenie łączy się z pewnym ryzykiem, które należy złagodzić. EIOD w wyżej wspomnianej opinii na temat wniosku dotyczącego SIS II zaproponował niewyczerpujący wykaz wspólnych zobowiązań lub wymogów związanych ze szczególnymi właściwościami takich danych oraz wspólną metodologię i zbiór wzorców postępowania podczas ich wdrażania.
Jako że systemy biometryczne nie są dostępne dla wszystkich(6) ani też nie są stuprocentowo dokładne, powinny zostać wdrożone gotowe do wykorzystania procedury awaryjne mające na celu poszanowanie godności osób posiadających nieczytelne odciski palców, które mogły zostać błędnie zidentyfikowane, oraz uniknięcie przerzucenia na te osoby ciężaru niedoskonałości systemu.
EIOD zatem zaleca opracowanie procedur awaryjnych i włączenie ich do art. 2 ust. 1 wniosku. Procedury te nie powinny obniżać poziomu bezpieczeństwa dokumentu pobytowego ani piętnować osób posiadających nieczytelne odciski palców.
W art. 4a wniosku czytamy: "Państwa członkowskie wprowadzają również odciski palców w interoperacyjnych formatach". EIOD, w celu uzyskania większej precyzji, zaleca następującą modyfikację tego przepisu:"Państwa członkowskie wprowadzają również dwa odciski palców w interoperacyjnych formatach." To wyjaśnienie wzmocni stosowanie zasady proporcjonalności, której poszanowanie powinno być przestrzegane na wszystkich etapach prac nad wnioskiem.
Zgodnie z motywem (3) wniosku integracja identyfikatorów biometrycznych powinna odbywać się zgodnie ze specyfikacją przedstawioną w dokumencie ICAO nr 9303 dotyczącym wiz nadających się do odczytu maszynowego. Jak stwierdzono wcześniej, dokument pobytowy nie jest dokumentem podróży. W memorandum wyjaśniającym podkreślono, że dokument pobytowy uważa się zwykle za dokument tożsamości obywateli państw trzecich. Logiczne jest więc zastosowanie do dokumentów pobytowych tych samych wysokich norm bezpieczeństwa co do krajowych dokumentów tożsamości. EIOD zaleca zatem skreślenie motywu (3) i określenie ostrzejszych wymogów bezpieczeństwa dla danych biometrycznych, które mają być zachowywane w dokumencie pobytowym. Znajdujące się w załączniku odniesienia do wymogów ICAO również powinny zostać zastąpione ostrzejszymi wymogami bezpieczeństwa odpowiednimi do sytuacji, w jakich korzysta się z dokumentu pobytowego.
2.3 Dostęp do danych i ich wykorzystywanie
Na wstępie EIOD oświadcza, że przyjmuje z zadowoleniem postępy w pracach nad tym ostatnim wnioskiem w celu głębszego poszanowania zasady ograniczenia celu. Zgodnie z proponowanymi modyfikacjami dane biometryczne, które mają być zachowywane w dokumencie pobytowym, będą wykorzystywane wyłącznie do weryfikacji "tożsamości jego posiadacza za pomocą bezpośrednio dostępnych porównywalnych cech".
Motyw (1) przywołuje ustanowiony w traktacie amsterdamskim cel, którym jest między innymi przyznanie Komisji Europejskiej prawa inicjatywy w celu podejmowania odpowiednich środków w zakresie zharmonizowanej polityki imigracyjnej. Jest zatem godne ubolewania, że Komisja Europejska nie jest w stanie wykorzystać tej okazji, by jasno wskazać i określić we wniosku te organy, które mają dostęp do danych zachowanych na nośniku zawartym w dokumencie pobytowym z powodu ograniczeń konstytucyjnych. EIOD zaleca Komisji Europejskiej opracowanie odpowiedniej procedury umożliwiającej pełniejszą harmonizację definicji i wykazu właściwych organów przeprowadzających kontrole dokumentów pobytowych. Ten wykaz właściwych organów ma znaczenie nie tylko dla państwa członkowskiego, które wydało dokument pobytowy, ale również dla innych państw członkowskich w obszarze Schengen, w których może zaistnieć potrzeba ustalenia tożsamości rezydenta pochodzącego z państwa trzeciego.
Zalecenie to staje się jeszcze istotniejsze w obliczu ewentualnego włączenia do dokumentu pobytowego dodatkowego mikroprocesora umożliwiającego korzystanie z usług elektronicznych. Ten nowy element niewątpliwie wpłynie na zwiększenie liczby organów, które mogłyby mieć dostęp do dokumentów pobytowych. W opinii EIOD taki rezultat jest wysoce niepożądany.
2.4 Komitologia
W art. 2 rozporządzenia wymieniono przypadki, w których dodatkowe wymogi techniczne dla jednolitego wzoru dokumentów pobytowych, odnoszące się do poniższych kwestii, ustala się zgodnie z procedurą komitologii określoną w art. 7 ust. 2. Omawiany wniosek zawiera dalszą specyfikację przypadków, w których należy podjąć taką decyzję. Ten rodzaj decyzji będzie miał znaczący wpływ na właściwe zastosowanie zasad ograniczenia celu i proporcjonalności. EIOD radzi, by decyzje mające znaczący wpływ na ochronę danych, dotyczące na przykład dostępu do danych i ich wprowadzania, jakości danych, zgodności nośnika z wymogami technicznymi, środków bezpieczeństwa dotyczących ochrony danych biometrycznych itd., podejmowano za pomocą rozporządzenia, zgodnie z procedurą współdecyzji. We wszystkich innych kwestiach mających wpływ na ochronę danych EIOD powinien mieć możliwość udzielania rad w sprawie wyborów dokonywanych przez komitet. Rola doradcza EIOD powinna zostać ujęta w art. 7 rozporządzenia.
2.5 Platforma elektroniczna
Jako że dokument pobytowy nie jest dokumentem podróży, nie ma spójnych podstaw do stosowania wymogów ICAO, a co za tym idzie do stosowania mikroprocesora bezstykowego. Nie dowiedziono, że ta technologia jest bezpieczniejsza niż mikroprocesor stykowy i jej zastosowanie spowoduje jedynie dodatkowe ryzyko związane z rozprowadzaniem dokumentów pobytowych.
Zgodnie z nowym art. 4 wniosku państwa członkowskie mogą dodać do dokumentu pobytowego w formie odrębnej karty drugi mikroprocesor. Byłby to mikroprocesor stykowy przeznaczony do korzystania z usług elektronicznych. EIOD pragnie szczególnie podkreślić nieodpowiedniość tej propozycji, gdyż nie szanuje ona podstawowych i elementarnych zasad bezpieczeństwa wymaganych przy danych wrażliwych.
Ten dodatkowy mikroprocesor oferuje pełny wachlarz nowych zastosowań i celów, do których może być wykorzystywany dokument pobytowy. Struktura profilu ochrony danych pierwszego mikroprocesora bezstykowego, na którym przechowywane będą dane biometryczne, może być precyzyjnie i właściwie określona wyłącznie w świetle ryzyka powodowanego przez wykorzystanie do innych celów, takich jak zastosowania w e-biznesie i w administracji elektronicznej. Nie ma żadnej gwarancji, że te zastosowania nie będą miały miejsca na przykład w otoczeniu relatywnie niebezpiecznym dla mikroprocesora bezstykowego. Byłoby zaiste godne pożałowania, gdyby zastosowanie dodatkowego mikroprocesora miało zagrozić ochronie wrażliwych danych przechowywanych w mikroprocesorze podstawowym. EIOD zdecydowanie zaleca zatem określenie we wniosku następujących elementów:
– ograniczonego wykazu celów, do jakich miałby być wykorzystywany dodatkowy mikroprocesor;
– wykazu danych, które będą przechowywane w dodatkowym mikroprocesorze;
– potrzeby oceny wpływu i oceny ryzyka współistnienia dwóch mikroprocesorów na tej samej odrębnej karcie.
3. WNIOSEK
EIOD z zadowoleniem przyjmuje omawiany wniosek, który ma na celu większą harmonizację polityki imigracyjnej UE, a w szczególności opracowanie jednolitego wzoru dokumentów pobytowych.
EIOD przyznaje, że wykorzystanie danych biometrycznych może poprawić kwestie ochrony dokumentów pobytowych oraz wesprzeć zwalczanie nielegalnej imigracji i nielegalnego pobytu. Włączenie danych biometrycznych przyczyni się jednak do realizacji tych celów wyłącznie, jeżeli wdrożone zostaną rygorystyczne ograniczenia ich użycia i jeżeli ich niedoskonałości zostaną zrównoważone przez właściwe procedury awaryjne.
EIOD zaleca odroczenie wprowadzenia dodatkowego mikroprocesora do celów korzystania z usług elektronicznych do momentu przeprowadzenia pełnej oceny wpływu i oceny ryzyka oraz analizy ich wyników. Biorąc pod uwagę fakt, że choć dokument pobytowy nie jest dokumentem podróży, lecz będzie wykorzystywany w obszarze Schengen jako dokument związany z dokumentem tożsamości posiadacza, EIOD podkreśla potrzebę przyjęcia najostrzejszych norm bezpieczeństwa zgodnie z wymogami bezpieczeństwa przyjętymi przez państwa członkowskie pracujące nad dowodem osobistym w formie karty elektronicznej.
W odniesieniu do opracowania i zastosowania dokumentu pobytowego wybór technologii, ze względu na fakt, że ma ona znaczący wpływ na ochronę danych, powinien zostać uregulowany rozporządzeniem, zgodnie z procedurą współdecyzji. W innych przypadkach, w których zachodzi wpływ na kwestie ochrony danych, EIOD powinien odgrywać rolę doradczą uwzględnioną w art. 7 rozporządzenia w odniesieniu do decyzji podejmowanych przez komitet przewidziany we wniosku.
Sporządzono w Brukseli, dnia 16 października 2006 r.
|
Peter HUSTINX |
|
Europejski Inspektor Ochrony Danych |
______
(1) Dz.U. L 157 z 15.6.2002, str. 1.
(2) COM (2003) 558 wersja ostateczna.
(3) zgodnie z opisem w memorandum wyjaśniającym
(4) Opinia z dnia 23 marca 2005 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie systemu informacji wizowej (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych, Dz.U. C 181 z 23.7.2005, str. 13.
Opinia z dnia 19 października 2005 r. w sprawie trzech wniosków dotyczących systemu informacyjnego Schengen drugiej generacji (SIS II) (COM(2005)230 wersja ostateczna), (COM(2005)236 wersja ostateczna) oraz (COM(2005)237 wersja ostateczna), Dz.U. C 91 z 19.4.2006, str. 38.
(5) Opinia nr 7/2004 w sprawie wprowadzenia elementów biometrycznych do pozwoleń na pobyt i wiz, przy uwzględnieniu utworzenia europejskiego Systemu Informacji Wizowej (VIS) (Markt/11487/04/EN - WP 96) oraz dokument roboczy dotyczący biometrii (MARKT/ 10595/03/EN-WP 80).
(6) Szacuje się, że do 5 % osób nie może zostać wpisanych (ponieważ nie mają one czytelnych odcisków palców lub nie mają w ogóle odcisków palców).
