Opinia w sprawie wniosku dotyczącego rozporządzenia Rady zmieniającego rozporządzenie (WE) nr 881/2002 wprowadzające niektóre szczególne środki ograniczające skierowane przeciwko niektórym osobom i podmiotom związanym z Osamą bin Ladenem, siecią Al-Kaida i talibami.

Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego rozporządzenia Rady zmieniającego rozporządzenie (WE) nr 881/2002 wprowadzające niektóre szczególne środki ograniczające skierowane przeciwko niektórym osobom i podmiotom związanym z Osamą bin Ladenem, siecią Al-Kaida i talibami

(2009/C 276/01)

(Dz.U.UE C z dnia 17 listopada 2009 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych,

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41,

uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 wysłany do Europejskiego Inspektora Ochrony Danych w dniu 22 kwietnia 2009 r.,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWADZENIE

1. W dniu 22 kwietnia 2009 r. Komisja przyjęła wniosek dotyczący rozporządzenia Rady zmieniającego rozporządzenie (WE) nr 881/2002 wprowadzające niektóre szczególne środki ograniczające skierowane przeciwko niektórym osobom i podmiotom związanym z Osamą bin Ladenem, siecią Al-Kaida i talibami (zwany dalej "wnioskiem"). Tego samego dnia wniosek został przesłany przez Komisję Europejskiemu Inspektorowi Ochrony Danych z prośbą o konsultację, zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. Inspektor przypomina, że w dniu 9 marca 2009 r. wypowiedział się już w sposób nieformalny na temat projektu wniosku, i zauważa, że jego uwagi zostały uwzględnione we wniosku.

2. Inspektor z zadowoleniem przyjmuje fakt przeprowadzania z nim konsultacji i zamieszczenia w preambule wniosku odniesienia do tych konsultacji; podobne odniesienie włączono do kilku innych tekstów legislacyjnych, w sprawie których konsultowano się z Inspektorem zgodnie z rozporządzeniem (WE) nr 45/2001.

3. Wniosek ma na celu zmianę rozporządzenia (WE) nr 881/2002, będącego jednym z aktów prawnych Wspólnoty przyjętych, aby zwalczać terroryzm za pomocą środków ograniczających - m.in. poprzez zamrożenie aktywów osób fizycznych i prawnych podejrzewanych o uczestniczenie w działaniach organizacji terrorystycznych. Celem wniosku jest w szczególności uwzględnienie niedawnych zmian w orzecznictwie Trybunału Sprawiedliwości, w szczególności w sprawie Kadiego(1), poprzez ustanowienie "respektującej prawa podstawowe procedury, która będzie przeprowadzana w odniesieniu do nowych osób i podmiotów wciągniętych do wykazu ONZ" (punkt 4 uzasadnienia).

II. RAMY PRAWNE

4. Choć w swych orzeczeniach Trybunał miał się wypowiedzieć konkretnie na temat poszanowania podstawowego prawa do obrony, w szczególności prawa do bycia wysłuchanym, orzecznictwo w tej dziedzinie ma szersze konsekwencje i można je podsumować następująco: unijnych norm ochrony praw podstawowych należy przestrzegać bez względu na to, czy środki ograniczające zostały przyjęte na szczeblu UE czy też z inicjatywy organizacji międzynarodowych, takich jak Organizacja Narodów Zjednoczonych(2).

5. Podstawowe prawa UE obejmują również prawo do ochrony danych osobowych, które przez Trybunał Sprawiedliwości zostało uznane za jedną z zasad wynikających z art. 6 ust. 2 TUE, a następnie potwierdzone w art. 8 Karty praw podstawowych UE.

6. W tych okolicznościach Inspektor z zadowoleniem przyjmuje nie tylko najnowsze orzecznictwo Trybunału Sprawiedliwości, ale również fakt, że Komisja zamierza uwzględnić to orzecznictwo, wprowadzając udoskonalenia do procedury zamieszczania w wykazie i jednoznacznie uwzględniając prawo do ochrony danych osobowych. Inspektor w pełni uznaje wprawdzie cel, jakim jest zwalczanie terroryzmu dzięki przetwarzaniu i wymianie danych osobowych, jednak uważa on stanowczo, że ochrona danych osobowych jest kluczowym czynnikiem, jeśli chodzi o zapewnienie zgodności z prawem i skuteczności środków ograniczających podejmowanych przez Komisję. Podstawą tych środków jest przetwarzanie danych osobowych, które samo w sobie - abstrahując od zamrożenia aktywów - musi podlegać przepisom i gwarancjom ochrony danych. A zatem niezmiernie istotne jest zapewnienie jasności i pewności prawa, co się tyczy obowiązujących przepisów dotyczących przetwarzania danych osobowych osób ujętych w wykazie, jak wspomniano w pkt 8 uzasadnienia.

7. Jest to tym istotniejsze, że możliwe jest wejście w życie traktatu lizbońskiego, który nie tylko sprawi, że Karta praw podstawowych UE nabierze wiążącego charakteru, ale również wprowadzi - w art. 16 TFUE i art. 39 TUE - potrzebę istnienia przepisów i gwarancji dotyczących ochrony danych we wszystkich obszarach działalności Unii Europejskiej. Ponadto Trybunał Sprawiedliwości zyska pełne kompetencje, nawet w dziedzinie wspólnej polityki bezpieczeństwa i obrony, do oceniania legalności - a w szczególności przestrzegania praw podstawowych - w przypadku decyzji przewidujących środki ograniczające wobec osób fizycznych lub prawnych (art. 275 TFUE).

III. ANALIZA WNIOSKU

III.1. Mające zastosowanie przepisy i zasady dotyczące ochrony danych

8. Inspektor z zadowoleniem przyjmuje fakt, że w preambule wspomina się o potrzebie stosowania rozporządzenia zgodne z podstawowym prawem do ochrony danych osobowych (motyw 10), a także o potrzebie zapewnienia odpowiednich zabezpieczeń, gdy Komisja przetwarza dane odnoszące się do przestępstw popełnionych przez ujęte w wykazie osoby fizyczne, a także dane odnoszące się do wyroków skazujących lub środków bezpieczeństwa dotyczących takich osób.

9. Inspektor z zadowoleniem przyjmuje również fakt, że we wniosku, w motywie 12, jednoznacznie uznaje się, że do przetwarzania danych osobowych w tej dziedzinie zastosowanie mają przepisy dotyczące ochrony danych, w szczególności rozporządzenie (WE) nr 45/2001. Artykuł 3 rozporządzenia (WE) nr 45/2001 stanowi bowiem, że ma ono zastosowanie "do przetwarzania danych osobowych przez wszystkie instytucje i organy wspólnotowe, o ile takie przetwarzanie jest przeprowadzane podczas wykonywania czynności całkowicie lub częściowo podlegających prawu wspólnotowemu". Z tego względu, choć rozporządzenie (WE) nr 881/2002 jest związane ze wspólnym stanowiskiem 2002/402/WPZiB i działaniami Organizacji Narodów Zjednoczonych w tej dziedzinie, jego podstawą jest Traktat ustanawiający Wspólnotę Europejską.

10. Tytułem uwagi ogólnej Inspektor pragnąłby podkreślić, że rozporządzenie (WE) nr 45/2001 określa pewne wymogi wobec administratorów danych, dotyczące m.in. jakości danych, zgodności z prawem operacji przetwarzania, powiadamiania i bezpieczeństwa przetwarzania; określa także prawa osób, których dane dotyczą, m.in. w zakresie dostępu, poprawiania, blokowania, usuwania, przekazywania danych stronom trzecim, środków odwoławczych; te wymogi i prawa mają zastosowanie z wyjątkiem sytuacji, w których zastosowanie mają wyłączenia i ograniczenia określone zgodnie z art. 20. W każdym razie te ograniczenia podstawowego prawa do ochrony danych powinny spełniać rygorystyczny warunek proporcjonalności, tzn. powinny być ograniczone - zarówno jeśli chodzi o ich przedmiot, jak i okres zastosowania - do przypadków, gdy ograniczenie takie jest niezbędne z uwagi na interes publiczny, zgodnie z orzecznictwem Trybunału Sprawiedliwości, także w dziedzinie środków ograniczających. Jest to tym istotniejsze, że te prawa i obowiązki wraz z potrzebą niezależnego nadzoru nad przetwarzaniem danych osobowych są istotą podstawowego prawa do ochrony danych, jak to wprost potwierdza art. 8 Karty praw podstawowych UE.

11. Ponadto, choć Inspektor z zadowoleniem przyjmuje fakt, że wniosek domyślnie lub wprost zajmuje się kwestią tych obowiązków i praw, chciałby podkreślić, że nie można uważać, iż wniosek wyłącza lub ogranicza możliwość zastosowania tych obowiązków i praw osób, których dane dotyczą i które nie są w nim wymienione.

12. W tym kontekście w kolejnych punktach Inspektor przeprowadzi analizę przepisów wniosku w świetle najodpowiedniejszych w tym przypadku zasad ochrony danych, przekaże zalecenia dotyczące udoskonalenia wniosku, a także wskazówki, w jaki sposób rozwiązać pewne problemy, którymi dotąd się nie zajęto, ale które mogą wyniknąć w związku ze stosowaniem zasad ochrony danych. W niektórych przypadkach pożądane może okazać się podanie dalszych szczegółowych informacji na temat stosowania obowiązków i praw w zakresie ochrony danych w dziedzinie środków ograniczających.

13. Uwagi te odnoszą się wyłącznie do ochrony danych osobowych, która stanowi kluczowy czynnik w zapewnieniu zgodności z prawem i skuteczności środków ograniczających podejmowanych przez Komisję; nie dotyczą one pozostałych kwestii merytorycznych, które mogą być związane z ujęciem w wykazie na mocy innych przepisów, ani nie mają na nie wpływu.

III.2. Artykuł 7a i 7c: informacje dla osób umieszczanych w wykazie i z niego usuwanych

14. Artykuł 7a określa procedury umieszczania w wykazie i usuwania z niego osób fizycznych lub prawnych, zaś art. 7c przewiduje specjalną procedurę mającą zastosowanie do tych osób, podmiotów, organów i grup, które były ujęte w wykazie przed dniem 3 września 2008 r.

15. Inspektor z zadowoleniem przyjmuje te przepisy, gdyż zwiększają one poszanowanie praw podstawowych, przewidując informowanie danych osób o powodach umieszczenia ich w wykazach, a także dając im sposobność wyrażenia swojej opinii w tej sprawie. Ponadto ust. 4 przewiduje, że usunięcie z wykazu na szczeblu ONZ automatycznie pociągnie za sobą usunięcie z wykazu na szczeblu UE, co jest zgodne z zasadą ochrony danych, według której dane osobowe powinny być stale aktualizowane, jak przewiduje art. 4 ust. 1 lit. d) rozporządzenia (WE) nr 45/2001.

16. Inspektor podkreśla jednak, że takie przepisy nie wykluczają przestrzegania podobnych zobowiązań wynikających z rozporządzenia (WE) nr 45/2001, takich jak: obowiązek informowania osoby, której dane dotyczą, zgodnie z art. 11 i w szczególności z art. 12, dotyczącym informowania w przypadku uzyskiwania danych z innych źródeł niż osoba, której dane dotyczą, obowiązek niezwłocznego poprawienia niedokładnych lub niekompletnych danych osobowych, wynikający z art. 14, oraz obowiązek powiadomienia stron trzecich, którym dane zostały ujawnione, o wszelkich poprawkach lub usunięciu danych - jak ma to miejsce w przypadku usunięcia z wykazu - chyba że jest to niemożliwe lub wymaga nieproporcjonalnego wysiłku.

17. Oczywiście, jak już wspomniano w pkt 10, można zastosować niezbędne wyłączenia i ograniczenia tych przepisów na podstawie art. 20 rozporządzenia (WE) nr 45/2001. Na przykład trzeba będzie opóźnić powiadomienie zainteresowanych osób, jeśli jest to konieczne, by zachować efekt zaskoczenia, jaki ma mieć decyzja o ujęciu danej osoby w wykazie i o zamrożeniu jej aktywów. Z tej perspektywy Inspektor zaleca, by prawodawca rozważył, czy jednoznacznie określić we wniosku ewentualne niezbędne odstępstwa od zasady ochrony danych, np. potrzebę opóźnienia przekazania informacji na podstawie art. 12, dopóki nie zostanie podjęta tymczasowa decyzja.

III.3. Artykuł 7d: prawo osób, których dane dotyczą, do dostępu do nich, zadania nadzorcze i sądowe środki odwoławcze

18. W proponowanym art. 7d stwierdza się w ust. 1, że jeśli ONZ lub państwo przekazuje informacje niejawne, Komisja traktuje te informacje zgodnie z wewnętrznymi przepisami Komisji dotyczącymi bezpieczeństwa (decyzja 2001/844/WE, EWWiS, Euratom(3)), a w stosowanych przypadkach zgodnie z umowami w sprawie bezpieczeństwa informacji niejawnych zawartymi między UE a państwem przekazującym informacje. W ust. 2 uściśla się, że dokumenty oznaczone klauzulą na poziomie odpowiadającym "EU Top Secret", "EU Secret" i "EU Confidential" nie są udostępniane dalej bez zgody źródła informacji.

19. Z artykułem tym związane są dwie kwestie; pierwsza z nich wiąże się z wpływem, jaki przepis ten ma na określone w art. 13 rozporządzenia (WE) nr 45/2001 prawo osoby, której dane dotyczą, do dostępu do swoich danych osobowych; druga kwestia dotyczy uzyskania przez Inspektora oraz Trybunał Sprawiedliwości możliwości dostępu do danych osobowych zawartych w informacjach niejawnych w celu skutecznego pełnienia przez te organy swoich zadań.

Prawo dostępu osoby, której dane dotyczą, do danych osobowych zawartych w dokumentach niejawnych

20. Wspomniane przepisy bezpieczeństwa, a także umowy między UE a państwem przekazującym informacje regulują kwestię tego, w jaki sposób można uzyskać dostęp do informacji niejawnych. Dostęp do tych informacji mogą uzyskać wyłącznie osoby, którym informacje takie są niezbędne, by mogły wykonywać swoją funkcję lub zadanie(4). W przypadku informacji oznaczonych klauzulą na poziomie wymienionym w proponowanym art. 7d ust. 2, osoby te potrzebują ponadto poświadczenia bezpieczeństwa osobowego.

21. Wewnętrzne przepisy Komisji dotyczące bezpieczeństwa należy także interpretować w związku z rozporządzeniem (WE) nr 1049/2001 w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji, które precyzuje przysługujące każdemu prawo dostępu do informacji tych trzech największych instytucji UE. Artykuł 9 tego rozporządzenia dotyczy dokumentów sensytywnych i powołuje się na trzy kategorie klasyfikacji wspomniane powyżej. W ust. 3 stwierdza się, że dokumenty sensytywne zostaną ujawnione wyłącznie za zgodą instytucji, z której pochodzą; zasada taka zawarta jest również w proponowanym art. 7d ust. 2.

22. Wewnętrzne przepisy Komisji dotyczące bezpieczeństwa nie są sprzeczne z prawem do publicznego dostępu do dokumentów. Inaczej jest jednak w przypadku konkretnych praw dostępu, takich jak prawo osoby, której dane dotyczą, do dostępu do własnych danych osobowych na podstawie art. 13 rozporządzenia (WE) nr 45/2001. W wewnętrznych przepisach bezpieczeństwa brak jest wzmianki o samych zasadach ochrony danych czy o prawach samych osób, których dane dotyczą. Wewnętrzne przepisy Komisji dotyczące bezpieczeństwa nie przewidują występowania osoby, której dane dotyczą o przyznanie dostępu do danych osobowych zawartych w dokumencie niejawnym. Tak samo jest w przypadku umów w sprawie bezpieczeństwa informacji niejawnych zawieranych z poszczególnymi państwami.

23. Artykuł 13 rozporządzenia (WE) nr 45/2001 przyznaje osobie, której dane dotyczą, prawo do otrzymania bez ograniczeń, w dowolnym momencie w okresie trzech miesięcy od otrzymania odpowiedniego wniosku przez administratora danych i bez opłat, m.in. przekazanej w zrozumiałej formie odpowiedzi na temat danych podlegających przetwarzaniu (zob. lit. c)).

24. Inspektor rozumie w pełni, że w kontekście środków ograniczających, które są skierowane przeciwko pewnym osobom i podmiotom i które mają na celu zapobieganie przestępstwom terrorystycznym, istnieją uzasadnione powody, by nie ujawniać niejawnych informacji (osobowych) osobie, której dane dotyczą. Podstawę takiego ograniczenia można znaleźć w art. 20 rozporządzenia (WE) nr 45/2001, jak już wspomniano w pkt 10. Inspektor chciałby jednak wskazać na wymóg konieczności zawarty w tym artykule oraz na procedurę przewidzianą w art. 20 ust. 3 i 4 rozporządzenia (WE) nr 45/2001.

25. Zgodnie z art. 20 ograniczenia stosowania wspomnianych przepisów muszą stanowić środek konieczny, by zagwarantować osiągnięcie jednego z wymienionych celów. Jako że wewnętrzne przepisy Komisji dotyczące bezpieczeństwa i umowy zawierane z poszczególnymi państwami nie poruszają kwestii dostępu do danych przez osobę, której dane dotyczą, a proponowany art. 7d ust. 2 zawiera bezwarunkowy obowiązek uzyskania zgody źródła informacji przed ujawnieniem dokumentów niejawnych, nie ma gwarancji, że ograniczenie prawa dostępu będzie stosowane wyłącznie, gdy będzie to konieczne. Przepis nie zawiera żadnych merytorycznych kryteriów i pozostawia pełną swobodę źródłu informacji, którym mogą być strony niepodlegające prawu UE ani unijnym normom ochrony praw podstawowych.

26. Artykuł 20 ust. 3 i 4 zawiera przepisy dotyczące stosowania ograniczenia. Zgodnie z ust. 3 dana instytucja powinna poinformować osobę, której dane dotyczą, o podstawowych powodach, na których opiera się stosowanie ograniczenia, oraz o prawie tej osoby do odwołania się do Inspektora. Ustęp 4 zawiera kolejny przepis, który odnosi się konkretnie do ograniczenia prawa dostępu. Stwierdza się w nim, że Inspektor po rozważeniu skargi złożonej na podstawie poprzedniego ustępu poinformuje osobę, której dane dotyczą, czy dane były przetwarzane prawidłowo, a jeżeli nie - to czy dokonano koniecznych poprawek(5). Należy zagwarantować zgodność omawianego wniosku dotyczącego zmiany rozporządzenia (WE) nr 881/2002 z tymi przepisami. Zagadnienie to jest ściśle związane z drugą kwestią wynikającą z proponowanego art. 7d.

Dostęp Inspektora do informacji niejawnych

27. Warunek zawarty w art. 7d ust. 2, zgodnie z którym informacje niejawne są udostępniane wyłącznie za zgodą źródła informacji, może również rzutować na niezależny nadzór sprawowany przez Inspektora. Konieczność zastosowania rozporządzenia (WE) nr 45/2001 oznacza, że przetwarzanie danych osobowych może podlegać środkom odwoławczym określonym w jego art. 32, a także uprawnieniom wykonawczym przysługującym Inspektorowi i określonym w art. 47 rozporządzenia. Ten ostatni artykuł przyznaje Inspektorowi w szczególności prawo do uzyskania od administratora danych, instytucji wspólnotowej lub organu wspólnotowego dostępu do wszystkich danych osobowych i wszelkich informacji niezbędnych dla prowadzonych przez niego dochodzeń (art. 47 ust. 2 lit. b) rozporządzenia (WE) nr 45/2001). Istnieje możliwość, że w kontekście obecnego wniosku Inspektor zechce skorzystać z tego uprawnienia, aby wykonać swoje zadanie na mocy art. 20 ust. 4 rozporządzenia (WE) nr 45/2001. Obecne brzmienie art. 7d sprawiłoby jednak, że możliwość faktycznego skorzystania z tego uprawnienia zależałaby całkowicie od decyzji źródła informacji.

28. Tekst art. d w obecnym brzmieniu byłby zatem sprzeczny z przepisami zawartymi w rozporządzeniu (WE) nr 45/2001. W tym względzie Inspektor pragnie podkreślić, że art. 20 rozporządzenia (WE) nr 45/2001 nie zawiera ograniczenia obowiązków i uprawnień Inspektora przewidzianych w art. 46 i 47.

29. Oprócz możliwości odwołania się do niezależnych organów ochrony danych, przepisy dotyczące ochrony danych określają prawo do środków odwoławczych przed sądem (zob. art. 22 dyrektywy 95/46/WE I art. 32 rozporządzenia (WE) nr 45/2001). W tym kontekście Inspektor pragnie wskazać na fakt, że obecne brzmienie art. 7d ust. 2 mogłoby również wpłynąć niekorzystnie na skuteczność kontroli sądowej, rzutując na możliwość dokonania przez ETS oceny tego, czy zachowana została właściwa równowaga między koniecznością zwalczania międzynarodowego terroryzmu a ochroną praw podstawowych. Jak stwierdził Sąd Pierwszej Instancji w swoim wyroku z dnia 4 grudnia 2008 r., dostęp do informacji niejawnych może być konieczny, by Trybunał mógł dokonać takiej oceny(6).

Proponowane zmiany

30. W świetle powyższego Inspektor nalega, by prawodawca zmienił art. 7d w taki sposób, aby: 1) zapewnić spełnienie wymogu konieczności zapisanego w art. 20 rozporządzenia (WE) nr 45/2001 w przypadku gdy Komisja odmawia osobie, której dane dotyczą, dostępu do jej danych osobowych zawartych w dokumentach niejawnych; 2) zapewnić zgodność z przepisami określonymi w art. 20 ust. 3 i 4; oraz 3) zapewnić pełne poszanowanie uprawnień Inspektora zapisanych w art. 47.

31. Aby to osiągnąć, w ramach pierwszego etapu należałoby ograniczyć zakres zastosowania art. 7d ust. 2, zastępując słowo "udostępniane" wyrażeniem "publicznie udostępniane". Zmiana taka byłaby również logiczna z prawnego punktu widzenia, ponieważ - jak wyjaśniono powyżej - przepis ten zaczerpnięty jest z art. 9 ust. 3 rozporządzenia (WE) nr 1049/2001, które dotyczy wyłącznie publicznego dostępu do dokumentów. Ta proponowana zmiana w dużej mierze przyczyniłaby się do rozwiązania omówionych powyżej problemów: ograniczenie prawa dostępu osobom, których dane dotyczą, nie pozostawałoby już wyłącznie w gestii strony przekazującej dane, a Inspektor i ETS miałyby nieograniczoną możliwość dostępu do takich informacji przy wykonywaniu swoich zadań.

32. Jednak dopóki wewnętrzne przepisy Komisji i umowy o bezpieczeństwie informacji nie poruszają wprost kwestii dostępu osób, których dane dotyczą, i nie zapewniają spełnienia wymogu konieczności określonego w art. 20 rozporządzenia (WE) nr 45/2001, problem pozostaje nierozwiązany. O ile Inspektor (i ETS) mogą uzyskać dostęp w myśl zasady niezbędności i po otrzymaniu poświadczenia bezpieczeństwa osobowego od osób, które rzeczywiście zajmują się tymi informacjami, wątpliwe jest, czy możliwość taką mają również osoby, których dane dotyczą. Z tego względu Inspektor nalega, by Komisja dopilnowała, by prawo dostępu do informacji osobowych zawartych w dokumentach niejawnych było ograniczane tylko w razie potrzeby.

III.4. Artykuł 7e: podstawy prawne przetwarzania, kategorie przetwarzanych danych, wyznaczenie administratora danych

33. Artykuł 7e dość szczegółowo określa zarówno zadania Komisji w zakresie przetwarzania danych osobowych (ust. 1), jak i to, jakie dane osobowe będą przetwarzane (ust. 2-4). W ust. 5 wyznacza się dział Komisji jako administratora danych w rozumieniu art. 2 lit. d) rozporządzenia (WE) nr 45/2001.

34. Inspektor z zadowoleniem przyjmuje art. 7e ust. 1, jako że ma on na celu zapewnienie podstawy prawnej do przetwarzania danych osobowych, zgodnie z art. 5 rozporządzenia (WE) nr 45/2001. Wszystkie bowiem operacje przetwarzania danych osobowych powinny opierać się na jednej z podstaw prawnych wymienionych w tym artykule. Z tej perspektywy Inspektor przyznaje, że treść lit. a): "przetwarzanie jest konieczne, aby spełnić zadanie wykonywane w interesie publicznym (...)" oraz lit. b): "przetwarzanie jest konieczne dla zgodności ze zobowiązaniem prawnym, któremu podlega administrator danych" może być szczególnie trafna w kontekście środków ograniczających.

35. Inspektor przypomina jednak, że zgodnie z art. 4 rozporządzenia (WE) nr 45/2001 dane osobowe powinny być "prawidłowe, stosowne oraz nienadmierne w stosunku do celów, dla których są gromadzone (...)", i dlatego Komisja powinna zadbać o to, by gromadzone dane osobowe były konieczne do celu, jakim jest nałożenie środków ograniczających przewidzianych w projekcie rozporządzenia.

36. Z tego względu Inspektor zaleca, by w art. 7e ust. 1 wprowadzić następującą zmianę: "Komisja przetwarza dane osobowe konieczne dla realizacji swoich zadań na mocy niniejszego rozporządzenia".

37. Należy ponadto uważnie sprawdzić trafność kategorii danych używanych w związku ze środkami ograniczającymi - obejmujących elementy takie jak ogólne informacje identyfikacyjne (tj. numer podatkowy i numer ubezpieczenia społecznego) oraz "stanowisko lub zawód" - i należy sprawdzić zarówno wszystkie te kategorie ogółem, jak i każdą z nich z osobna, zwłaszcza z uwagi na to, że informacje te mogą zawierać specjalne kategorie danych i wymagać konkretnych zabezpieczeń.

38. W tych okolicznościach Inspektor z zadowoleniem przyjmuje zasadę ustanowioną w ust. 3, zgodnie z którą imiona i nazwisko rodziców osoby fizycznej mogą być umieszczone w załączniku, gdy jest to konieczne w konkretnym przypadku wyłącznie do celów weryfikacji tożsamości danej osoby fizycznej ujętej w wykazie. Przepis ten dobrze odzwierciedla jedną z zasad ochrony danych - ograniczenie celu, który należy odpowiednio dokładnie przedstawić i stosować w odniesieniu do całego tego artykułu. Dlatego też Inspektor zaleca, by w sposób jednoznaczny zastosować tę zasadę do wszystkich kategorii danych poprzez wprowadzenie do art. 7e ust. 2 następującej zmiany: "Załącznik I zawiera wyłącznie informacje konieczne do celów weryfikacji tożsamości danych osób fizycznych ujętych w wykazie i w żadnym razie nie zawiera informacji innych niż następujące:".

39. Inspektor z zadowoleniem przyjmuje również ust. 4, w którym stwierdza się, że pewne kategorie danych osobowych, np. dotyczące popełnionych przestępstw, wyroków skazujących lub środków bezpieczeństwa, mogą być przetwarzane wyłącznie w określonych przypadkach, przy zapewnieniu odpowiednich konkretnych zabezpieczeń, i nie będą publikowane ani wzajemnie przekazywane.

40. Co się tyczy ust. 5, Inspektor przyznaje, że wyznaczenie administratora danych w załączniku II rozporządzenia (WE) nr 881/2002 zwiększy widoczność działań administratora i jego rolę jako "punktu kontaktowego", tym samym ułatwiając osobom, których dane dotyczą, korzystanie z praw przysługujących im na mocy rozporządzenia (WE) nr 45/2001. Inspektor przypomina jednak, że trzeba również zadbać o to, by administrator danych mógł rzeczywiście zapewnić nie tylko możliwość korzystania z ich praw osobom, których dane dotyczą, ale również zapewnić przestrzeganie wszystkich pozostałych zobowiązań wynikających z rozporządzenia (WE) nr 45/2001. Z tego względu Komisja mogłaby rozważyć wyjaśnienie tego elementu wniosku, np. przez dodanie w ust. 5 jednoznacznej wzmianki o potrzebie zapewnienia przez administratora danych przestrzegania zobowiązań wynikających z rozporządzenia (WE) nr 45/2001.

III.5. Przekazywanie danych osobowych państwom trzecim i organizacjom międzynarodowym

41. Istotną kwestią, której nie porusza się wprost we wniosku, ale która w sposób dorozumiany związana jest z procedurą umieszczania w wykazie, jest zakres, w jakim dane osobowe przetwarzane przez Komisję mogą być wymieniane z Organizacją Narodów Zjednoczonych lub z państwami trzecimi i na jakich warunkach.

42. W związku z powyższym Inspektor chciałby zwrócić uwagę na art. 9 rozporządzenia (WE) nr 45/2001, który określa warunki przekazywania danych osobowych odbiorcom innym niż organy wspólnotowe niepodlegającym dyrektywie 95/46/WE. Dostępna jest szeroka gama rozwiązań, począwszy od zgody osoby, której danej dotyczą (ust. 6 lit. a)), i wykonania tytułu prawnego (ust. 6 lit. d)) - które mogą być użyteczne w przypadku, gdy informacje zostały przekazane przez osobę ujętą w wykazie z myślą o zapoczątkowaniu rewizji decyzji o umieszczeniu jej tamże - a skończywszy na istnieniu w ramach ONZ mechanizmów zapewniających odpowiednią ochronę danych osobowych przekazywanych przez UE.

43. Inspektor przypomina, że różne planowane operacje przetwarzania powinny być zgodne z tym systemem, tak by zapewnić odpowiednią ochronę danych osobowych wymienianych z państwami trzecimi i organizacjami międzynarodowymi, i że mogą być w tym celu konieczne doprecyzowania we wniosku, a także odpowiednie ustalenia z ONZ.

III.6. Inne kwestie: odpowiedzialność, uprzednia kontrola, konsultacje z Inspektorem

44. Artykuł 6 wniosku wyklucza odpowiedzialność osób fizycznych i prawnych wdrażających środki ograniczające z wyjątkiem przypadków zaniedbania. Jeśli chodzi o tę kwestię, Inspektor chciałby wyjaśnić, że artykułu tego nie można interpretować jako wyłączającego odpowiedzialność inną niż umowna - zgodnie z art. 32 ust. 4 rozporządzenia (WE) nr 45/2001, a także z art. 23 dyrektywy 95/46/WE - za przetwarzanie danych osobowych z naruszeniem stosownych przepisów o ochronie danych. W tym ujęciu środki ograniczające są oparte na przetwarzaniu i publikowaniu danych osobowych, co w przypadku, gdy operacje te przeprowadzono niezgodnie z prawem, może - niezależnie od samych podjętych środków ograniczających - doprowadzić do powstania szkód niematerialnych, jak już przyznał to Trybunał Sprawiedliwości(7).

45. Należy zauważyć, że konieczna może się okazać uprzednia kontrola ze strony Inspektora zgodnie z art. 27 rozporządzenia (WE) nr 45/2001, ponieważ wniosek wprowadza operacje przetwarzania odnoszące się do specjalnych kategorii danych (podejrzeń o popełnienie przestępstwa, wyroków skazujących lub środków bezpieczeństwa) i wykonywane w celu pozbawienia określonych osób pełni praw do korzystania z majątku.

46. Inspektor oczekuje, że zgodnie z art. 28 rozporządzenia (WE) nr 45/2001 zasięgać się będzie jego opinii w przypadku wniosków legislacyjnych i środków administracyjnych odnoszących się do przetwarzania danych osobowych, które to wnioski i środki mogą być proponowane w zakresie środków ograniczających wobec podejrzanych o terroryzm.

IV. PODSUMOWANIE

47. Inspektor z zadowoleniem odnosi się do faktu, że w swoim wniosku Komisja zamierza wziąć pod uwagę najnowsze orzecznictwo Trybunału Sprawiedliwości poprzez udoskonalenie procedury umieszczania w wykazie i jednoznaczne uwzględnienie prawa do ochrony danych osobowych, co stanowi kluczowy czynnik w zapewnieniu zgodności

z prawem i skuteczności środków ograniczających zastosowanych przez Komisję.

48. Inspektor z zadowoleniem odnosi się do zamieszczenia w preambule odniesienia do potrzeby stosowania rozporządzenia zgodnie z podstawowym prawem do ochrony danych osobowych i do jednoznacznego uznania w motywie 12 wniosku konieczności stosowania przepisów o ochronie danych, w szczególności rozporządzenia (WE) nr 45/2001, do przetwarzania danych osobowych w tej dziedzinie.

49. Tytułem uwagi ogólnej, Inspektor pragnąłby podkreślić, że rozporządzenie (WE) nr 45/2001 określa pewne zobowiązania dla administratorów danych, jak i pewne prawa dla osób, których dane dotyczą; te zobowiązania i prawa mają zastosowanie, nawet jeśli nie wymienia się ich we wniosku wprost. W niektórych przypadkach pożądane może okazać się jednak podanie dalszych szczegółowych informacji na temat stosowania - i ewentualnych odstępstw i ograniczeń w stosowaniu - obowiązków i praw w zakresie ochrony danych w dziedzinie środków ograniczających.

50. Inspektor z zadowoleniem przyjmuje art. 7a i 7c, ponieważ zwiększają one poszanowanie praw podstawowych, przewidując, że dane osoby powinny zostać poinformowane o powodach ujęcia ich w wykazie. Inspektor podkreśla jednak, że przepisy te nie oznaczają, że nie obowiązują podobne zobowiązania wynikające z rozporządzenia (WE) nr 45/2001. Z tej perspektywy Inspektor zaleca, by prawodawca rozważył, czy wprost określić we wniosku niezbędne odstępstwa od zasady ochrony danych, np. potrzebę opóźnienia przekazania informacji na podstawie art. 12, dopóki nie zostanie podjęta tymczasowa decyzja.

51. Inspektor uważa, że art. 7d, uzależniając ujawnienie dokumentów niejawnych od zgody podmiotu, który przekazał takie informacje, może rzutować na określone w art. 13 rozporządzenia (WE) nr 45/2001 prawo osoby, której dane dotyczą, do dostępu do ich danych osobowych; może również rzutować na możliwość uzyskania przez Inspektora oraz Trybunał Sprawiedliwości dostępu do danych osobowych zawartych w informacjach niejawnych w celu skutecznego pełnienia przez nie swoich zadań. Z tego względu Inspektor nalega, by prawodawca zmienił ten przepis, w szczególności zastępując wyraz "udostępniane" wyrażeniem "publicznie udostępniane".

52. Inspektor z zadowoleniem przyjmuje art. 7e, jako że ma on na celu zapewnienie podstawy prawnej do przetwarzania danych osobowych, zgodnie z art. 5 rozporządzenia (WE) nr 45/2001. Inspektor zaleca jednak pewnie zmiany, tak by przetwarzane dane były wykorzystywane do konkretnych celów i zawierały istotne informacje, a rola administratora danych była zgodna z rozporządzeniem (WE) nr 45/2001.

53. Inspektor przypomina, że ewentualne przekazywanie danych państwom trzecim i organizacjom międzynarodowym powinno być zgodne z art. 9 rozporządzenia (WE) nr 45/2001, tak by zapewnić odpowiednią ochronę tych danych. Dlatego też konieczne mogą okazać się doprecyzowania we wniosku oraz ustalenia z ONZ.

54. Inspektor odnotowuje ponadto, że wniosek nie zwalnia z odpowiedzialności za niezgodne z prawem przetwarzanie i publikowanie danych osobowych; że zgodnie z art. 27 rozporządzenia (WE) nr 45/2001 konieczne może być uprzednie sprawdzenie i że oczekuje on, iż w odniesieniu do kolejnych wniosków legislacyjnych i środków administracyjnych w tej dziedzinie zasięgać się będzie jego opinii.

Sporządzono w Brukseli dnia 28 lipca 2009 r.

Peter HUSTINX
Europejski Inspektor Ochrony Danych

______

(1) ETS, 3.9.2008, Kadi i Al Barakaat International Foundation przeciwko Radzie, C-402/05 P i C-415/05 P, jeszcze nieopublikowane w Zbiorze Orzecznictwa.

(2)Sprawa Kadiego, o której mowa w przypisie 1; zob. w szczególności pkt 285.

(3) Decyzja Komisji 2001/844/WE, EWWiS, Euratom z dnia 29 listopada 2001 r. zmieniająca jej regulamin wewnętrzny (Dz.U. L 317 z 3.12.2001, s. 1).

(4) Zob. część 19 decyzji 2001/844/WE i np. art. 4 ust. 7 Umowy między Unią Europejską a rządem Stanów Zjednoczonych Ameryki w sprawie bezpieczeństwa informacji niejawnych (Dz.U. L 115 z 3.5.2007, s. 30).

(5) Stosowanie przepisu o informowaniu wspomnianego w art. 20 ust. 3 i 4 można zawiesić, o ile przekazanie takiej informacji pozbawiłoby skutku dane ograniczenie (zob. art. 20 ust. 5).

(6) Sąd Pierwszej Instancji, 4.12.2008, PMOI przeciwko Radzie, T-284/08, jeszcze nieopublikowany w Zbiorze Orzecznictwa, zob. w szczególności pkt 74-76.

(7)Sąd Pierwszej Instancji, 12.9.2007, Kalliopi Nikolau przeciwko Komisji, T-259/03, [2007] Zb.Orz. II-99; Sąd Pierwszej Instancji, 8.7.2008, Franchet and Byk przeciwko Komisji, T-48/05, jeszcze nieopublikowane w Zbiorze Orzecznictwa.

Zmiany w prawie

Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024
Ratownik medyczny wykona USG i zrobi test na COVID

Mimo krytycznych uwag Naczelnej Rady Lekarskiej, Ministerstwo Zdrowia zmieniło rozporządzenie regulujące uprawnienia ratowników medycznych. Już wkrótce, po ukończeniu odpowiedniego kursu będą mogli wykonywać USG, przywrócono im też możliwość wykonywania testów na obecność wirusów, którą mieli w pandemii, a do listy leków, które mogą zaordynować, dodano trzy nowe preparaty. Większość zmian wejdzie w życie pod koniec marca.

Agnieszka Matłacz 12.03.2024
Jak zgłosić zamiar głosowania korespondencyjnego w wyborach samorządowych

Nie wszyscy wyborcy będą mogli udać się osobiście 7 kwietnia, aby oddać głos w obwodowych komisjach wyborczych. Dla nich ustawodawca wprowadził instytucję głosowania korespondencyjnego jako jednej z tzw. alternatywnych procedur głosowania. Przypominamy zasady, terminy i procedurę tego udogodnienia dla wyborców z niepełnosprawnością, seniorów i osób w obowiązkowej kwarantannie.

Artur Pytel 09.03.2024
Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką

Choć ustawa o dodatku osłonowym wskazuje, że wnioski można składać do 30 kwietnia 2024 r., to dla wielu mieszkańców termin ten może okazać się pułapką. Datą złożenia wniosku jest bowiem data jego wpływu do organu. Rząd uznał jednak, że nie ma potrzeby doprecyzowania tej kwestii. A już podczas rozpoznawania poprzednich wniosków, właśnie z tego powodu wielu mieszkańców zostało pozbawionych świadczeń.

Robert Horbaczewski 21.02.2024
Standardy ochrony dzieci. Placówki medyczne mają pół roku

Lekarz czy pielęgniarka nie będą mogli się tłumaczyć, że nie wiedzieli komu zgłosić podejrzenie przemocy wobec dziecka. Placówki medyczne obowiązkowo muszą opracować standardy postępowania w takich sytuacjach. Przepisy, które je do tego obligują wchodzą właśnie w życie, choć dają jeszcze pół roku na przygotowania. Brak standardów będzie zagrożony grzywną. Kar nie przewidziano natomiast za ich nieprzestrzeganie.

Katarzyna Nocuń 14.02.2024
Metryka aktu
Identyfikator:

Dz.U.UE.C.2009.276.1

Rodzaj: Opinia
Tytuł: Opinia w sprawie wniosku dotyczącego rozporządzenia Rady zmieniającego rozporządzenie (WE) nr 881/2002 wprowadzające niektóre szczególne środki ograniczające skierowane przeciwko niektórym osobom i podmiotom związanym z Osamą bin Ladenem, siecią Al-Kaida i talibami.
Data aktu: 28/07/2009
Data ogłoszenia: 17/11/2009