Opinia Europejskiego Inspektora Ochrony Danych w sprawie Komunikatu Komisji do Parlamentu Europejskiego i Rady - "Przegląd zarządzania informacjami w przestrzeni wolności, bezpieczeństwa i sprawiedliwości"(2010/C 355/03)
(Dz.U.UE C z dnia 29 grudnia 2010 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając wniosek o wydanie opinii zgodnie z rozporządzeniem (WE) nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 41,
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
I. WPROWADZENIE
1. W dniu 20 lipca 2010 r. Komisja przyjęła Komunikat zatytułowany "Przegląd zarządzania informacjami w przestrzeni wolności, bezpieczeństwa i sprawiedliwości" (zwany dalej "komunikatem")(3). Komunikat został przekazany do EIOD do konsultacji.
2. EIOD wyraża zadowolenie z otrzymania prośby o konsultację ze strony Komisji. Jeszcze przed przyjęciem komunikatu EIOD miał możliwość udzielania nieformalnych uwag. Wiele z tych uwag zostało uwzględnionych w ostatecznej wersji dokumentu.
Cele i zakres komunikatu
3. EIOD z zadowoleniem przyjmuje cel komunikatu, którym jest "przedstawienie pełnego obrazu środków na poziomie UE, które obowiązują, są wdrażane lub rozważane, a które regulują proces gromadzenia, przechowywania lub transgranicznej wymiany danych osobowych do celów egzekwowania prawa i zarządzania migracją"(4). Celem dokumentu jest również przedstawienie obywatelom wglądu w rodzaj informacji, które ich dotyczą, a są zbierane, przechowywane i wymieniane, do jakich celów i przez kogo. Ponadto
według Komisji Komunikat powinien stanowić również przejrzyste narzędzie referencyjne dla wszystkich zainteresowanych stron, które pragną uczestniczyć o przyszłym kierunku polityki UE w tym obszarze. Powinien on więc przyczyniać się do opartego na pełnych informacjach dotyczących polityki dialogu ze wszystkimi zainteresowanymi stronami.
4. Konkretnie: w komunikacie mowa jest o tym, że jego celem jest wyjaśnienie głównego celu instrumentów, ich struktury, rodzajów danych osobowych, które one obejmują, określenie "wykazu organów mających dostęp do tych danych"(5) oraz przepisów dotyczących ochrony i przechowywania danych. Ponadto w załączniku I znajduje się ograniczona liczba przypadków ilustrujących, w jaki sposób instrumenty te działają w praktyce.
5. Ponadto w dokumencie określono ogólne zasady ("zasady materialne" i "zasady zorientowane na proces"), których Komisja zamierza przestrzegać przy przyszłym opracowywaniu instrumentów zbierania, przechowywania i wymiany danych. Jako "zasady materialne" Komisja wymienia takie zasady jak ochrona podstawowych, zwłaszcza prawa do prywatności i ochrony danych, konieczność, pomocniczość i właściwe zarządzanie ryzykiem. Do "zasad zorientowanych na proces" należą efektywność kosztowa, oddolne kształtowanie polityki, jasny podział obowiązków oraz przegląd i klauzule wygaśnięcia.
6. Zasady te zgodnie z komunikatem będą stosowane do oceny istniejących instrumentów. Przyjęcie takiego podejścia opartego na zasadach w odniesieniu do kształtowania i oceny polityki powinno zdaniem Komisji zwiększyć spójność i efektywność obecnych i przyszłych instrumentów w sposób, który w pełni szanuje podstawowe prawa obywateli.
Cel opinii EIOD
7. EIOD zauważa, że komunikat jest ważnym dokumentem stanowiącym pełny przegląd istniejących i (możliwych) przyszłych instrumentów służących wymianie danych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości. Zawiera omówienie sekcji 4.2.2 (zarządzanie przepływem informacji) i 5.1 (zintegrowane zarządzanie na granicach zewnętrznych) programu sztokholmskiego.(6). Odegra znaczącą rolę w przyszłym kształtowaniu tego obszaru. Z tego powodu EIOD uważa za przydatne skomentowanie poszczególnych części komunikatu, mimo że sam tekst komunikatu nie zostanie zmieniony.
8. EIOD zamierza dodać kilka pojęć, które jego zdaniem powinny być uwzględnione w przyszłym kształtowaniu przestrzeni wolności, bezpieczeństwa i sprawiedliwości. W opinii określono pewną liczbę pojęć, które znalazły się w opinii EIOD z dnia 10 lipca 2009 r. w sprawie komunikatu Komisji do Parlamentu Europejskiego i Rady dotyczącego przestrzeni wolności, bezpieczeństwa i sprawiedliwości w służbie obywateli(7) oraz wielu innych opiniach i uwagach. Omawiane są również poglądy przedstawiane przy wcześniejszych okazjach. W tym kontekście należy się również odnieść do raportu poświęconego przyszłości prywatności przyjętego przez grupę roboczą powołaną na mocy art. 29 oraz grupę roboczą ds. policji i sprawiedliwości w dniu 1 grudnia 2009 r. Raport ten stanowiący wspólny wkład do konsultacji Komisji Europejskiej poświęconych ramom prawnym dla praw podstawowych do ochrony danych osobowych, poparty przez EIOD, nadał istotne kierunki przyszłości ochrony danych osobowych, również w kontekście wymiany informacji w obszarze współpracy policyjnej i sądowej w sprawach karnych.
Kontekst opinii
9. EPPS przyjmuje komunikat jako odpowiedź na zaproszenie przez Radę Europejską(8) do kształtowania instrumentów do zarządzania informacjami na poziomie europejskim, zgodnie z europejską strategią zarządzania informacjami oraz do refleksji nad europejskim modelem wymiany informacji.
10. Ponadto EIOD zauważa, że komunikat należy również odczytywać jako odpowiedź na program sztokholmski, wspomniany powyżej, który zachęca do spójności i konsolidacji w kształtowaniu wymiany informacji w obszarze bezpieczeństwa wewnętrznego UE. Konkretniej, rozdział 4.2.2 programu sztokholmskiego zachęca Komisję Europejską do dokonania oceny potrzeby opracowania europejskiego modelu wymiany informacji w oparciu o ocenę obecnych instrumentów, w tym ram z Prüm i tak zwanej szwedzkiej decyzji ramowej. Oceny te powinny pomóc w określeniu, czy instrumenty te funkcjonują zgodnie z pierwotnym zamierzeniem i spełniają cele strategii zarządzania informacjami.
11. Na tym tle warto podkreślić fakt, że program sztokholmski odnosi się do silnego systemu ochrony danych jako podstawowego warunku europejskiej strategii zarządzania informacjami. Ten silny nacisk na ochronę danych jest w pełni zgodny ze Traktatem Lizbońskim, który, jak wspomniano powyżej, zawiera ogólne postanowienia dotyczące ochrony danych, dające każdemu, w tym obywatelom krajów trzecich, prawo do ochrony danych, którego można dochodzić przed sądem i zobowiązuje Radę i Parlament Europejski do ustanowienia wyczerpujących ram ochrony danych.
12. EIOD popiera również wymóg strategii zarządzania informacjami, zgodnie z którym każdy nowy środek ustawodawczy ułatwiający przechowywanie i wymianę danych osobowych powinien być proponowany wyłącznie w oparciu o konkretne dowody potwierdzające jego niezbędność. EIOD opowiadał się za tym podejściem w różnych opiniach dotyczących projektów aktów prawnych powiązanych z przestrzenią swobody, bezpieczeństwa i sprawiedliwości, np. w sprawie drugiej generacji SIS(9), w sprawie dostępu organów wymiaru sprawiedliwości do Eurodac(10), w sprawie przeglądu rozporządzeń Eurodac i Dublin(11), w sprawie komunikatu Komisarza w sprawie programu sztokholmskiego(12) oraz w sprawie PNR(13).
13. Rzeczywiście potrzeba dokonania oceny wszystkich istniejących instrumentów poświęconych wymianie danych przed zaproponowaniem nowych ma pierwszorzędne znaczenie. Jest to jeszcze ważniejsze, jeżeli zwrócimy uwagę na fakt, że obecne ramy to złożona układanka różnych instrumentów i systemów, z których niektóre dopiero niedawno zostały wdrożone, więc ich skuteczności nie można jeszcze ocenić, niektóre są w trakcie wdrażania, a niektóre nowe jeszcze nie opuściły obiegu legislacyjnego.
14. Dlatego EIOD z satysfakcją zauważa, że Komisja łączy ten obszar z innymi działaniami realizowanymi przez Komisję w celu dokonania inwentaryzacji i oceny tego obszaru, jako kontynuacji programu sztokholmskiego.
15. W tym kontekście EIOD wyraża szczególną radość z działania Komisji rozpoczętego w styczniu 2010 r. polegającego na mapowaniu informacji, prowadzonego w ścisłej współpracy z zespołem projektowym ds. mapowania informacji, w którego skład wchodzą przedstawiciele państw członkowskich UE i EFTA, Europolu, Eurojustu, Fronteksu i EIOD(14). Jak wspomniano w komunikacie, Komisja dąży do przedstawienia Radzie i Parlamentowi Europejskiemu wyniki "mapowania informacji" jeszcze w 2010 r. Kolejnym krokiem będzie również przedłożenie komunikatu poświęconego europejskiemu modelowi wymiany informacji.
16. Zdaniem EIOD stworzenie wyraźnego powiązania pomiędzy komunikatem i "mapowaniem informacji" jest słuszne, gdyż powiązanie to jest bardzo czytelne. Oczywiście wciąż jest za wcześnie na dokonanie oceny, jaki będzie wynik tego działania, a szerzej, dyskusji na temat europejskiego modelu wymiany informacji (do chwili obecnej "mapowanie" jest przedstawiane przez Komisję jako "działanie inwentaryzacyjne"). EIOD będzie dalej przyglądał się tym pracom. Ponadto już na tym etapie zwraca uwagę na potrzebę zapewnienia synergii i uniknięcia rozbieżnych wniosków z różnych działań podejmowanych przez Komisję w kontekście dyskusji poświęconych europejskiemu modelowi wymiany informacji.
17. Dodatkowo EIOD pragnie odnieść się do trwającego przeglądu ram ochrony danych, a w szczególności do zamiaru Komisji związanego z zaproponowaniem pełnych ram ochrony danych, obejmujących współpracę policyjną i sądową w sprawach karnych.
18. W odniesieniu do tej kwestii EIOD zauważa, że komunikat w części "ochrona podstawowych, zwłaszcza prawa do prywatności i ochrony danych" odnosi się do art. 16 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) ustanawiającego podstawę prawną dla plac nad takim pełnym systemem ochrony danych. Zauważa również w tym kontekście, że w komunikacie stwierdzono, iż nie jest możliwe szczegółowe przeanalizowanie szczegółowych przepisów dotyczących ochrony danych osobowych zawartych w omawianych dokumentach, ponieważ na podstawie wspomnianego art. 16 Komisja obecnie pracuje nad nowymi pełnymi ramami dla ochrony danych osobowych w UE. Wyraża nadzieję, że dzięki temu powstanie dobry przegląd istniejących i ewentualnie rozbieżnych systemów ochrony danych osobowych, a także, że Komisja wykorzysta ten przegląd przy dalszym podejmowaniu decyzji.
19. Ostatnia, choć nie mniej istotna kwestia, to fakt, że mimo iż EIOD z zadowoleniem przyjmuje cele i główną zawartość komunikatu, zwraca również uwagę na fakt, że dokument ten należy rozpatrywać jako pierwszy krok w procesie oceny oraz że kolejnym etapem powinny być dalsze konkretne działania, których wynikiem powinna być pełna, zintegrowana i dobrze ustrukturyzowana polityka UE w obszarze wymiany informacji i zarządzania informacją.
II. ANALIZA KONKRETNYCH DZIAŁAŃ, KTÓRYCH DOTYCZY KOMUNIKAT
Zasada celowości
20. W treści komunikatu Komisja odwołuje się do zasady celowości: "w przypadku większości instrumentów przedstawionych w niniejszym komunikacie kluczową rolę odgrywa zasada celowości".
21. EIOD z zadowoleniem przyjmuje podkreślenie w komunikacie zasady celowości, zgodnie z którą cel, dla którego dane osobowe są gromadzone powinien być jasno określony nie później niż w momencie zbierania tych danych, a danych nie należy przetwarzać do celów niezgodnych z celami początkowymi. Każde odstępstwo od zasady celowości powinno stanowić wyjątek i mieć miejsce wyłącznie w ściśle określonych warunkach, z zastosowaniem prawnej, technicznej i innej niezbędnej ochrony.
22. EIOD wyraża jednak żal, że w komunikacie opisano tę podstawową zasadę ochrony danych jako kluczową jedynie w odniesieniu do "większości instrumentów przedstawionych w niniejszym komunikacie". Ponadto na stronie 22 w komunikacie odniesiono się do SIS, SIS II i VIS oraz zaznaczono, że "z wyjątkiem tych scentralizowanych systemów informacyjnych, zasada celowości wydaje się być jednym z kluczowych czynników branych pod uwagę przy opracowywaniu środków służących zarządzaniu informacjami na poziomie UE".
23. Takie brzmienie można odczytać jako sugerujące, że zasada ta nie była kluczową we wszystkich przypadkach i w odniesieniu do wszystkich systemów i instrumentów związanych z wymianą informacji w UE. W odniesieniu do tej kwestii EIOD zauważa, że wyjątki i ograniczenia do tej zasady są możliwe i mogą być konieczne, co potwierdza art. 13 dyrektywy 95/46 i art. 3.2 decyzji ramowej 2008/77/JHA(15). Obowiązuje jednak zasada, że nowy instrument dotyczący wymiany informacji w UE jest proponowany i przyjmowany wyłącznie, jeżeli została należycie uwzględniona zasada celowości oraz że decyzje dotyczące wszelkich możliwych wyjątków i ograniczeń do zasady są podejmowane indywidualnie i po dokonaniu poważnej oceny. Uwagi te dotyczą również SIS, SIS II i VIS.
24. Wszelkie inne praktyki byłyby niezgodne z art. 8 Karty praw podstawowych UE oraz unijnymi przepisami dotyczącymi ochrony danych (np. dyrektywą 95/46/WE, rozporządzeniem (WE) nr 45/2001 lub decyzją ramową 2008/977/JHA), a także orzecznictwem Europejskiego Trybunału Praw Człowieka. Nieprzestrzeganie zasady celowości może również prowadzić do tzw. "luki funkcjonalnej" tych systemów(16).
Konieczność i proporcjonalność
25. Komunikat (na stronie 25) odnosi się do wymogów określonych w orzecznictwie Europejskiego Trybunału Praw Człowieka w odniesieniu do "testu proporcjonalności" i określa, że "w kolejnych wnioskach dotyczących polityki realizowanej w tym zakresie Komisja oceni spodziewany wpływ inicjatywy na prawo do prywatności i ochrony danych osobowych osób fizycznych, a także określi, dlaczego wpływ ten jest konieczny i dlaczego proponowane rozwiązanie jest proporcjonalne do zgodnego z prawem celu utrzymania bezpieczeństwa wewnętrznego w Unii Europejskiej, zapobiegania przestępstwom lub zarządzania migracjami".
26. EIOD z zadowoleniem przyjmuje powyższe stwierdzenia, jako że sam podkreślał, iż przestrzeganie zasad proporcjonalności i konieczności powinno mieć kluczowe znaczenie przy podejmowaniu decyzji dotyczących istniejących i nowych systemów, których działanie wiąże się ze zbieraniem i przetwarzaniem danych osobowych. Patrząc przyszłościowo, w obecnej refleksji kluczowe jest to, jaki kształt powinna mieć unijna strategia zarządzania informacjami i europejski model wymiany informacji.
27. W związku z tym EIOD z zadowoleniem przyjmuje fakt, że inaczej niż w brzmieniu przyjętym przez Komisję w odniesieniu do zasady celowości (zob. pkt 20-22 niniejszej opinii), w odniesieniu do konieczności Komisja zobowiązuje się do dokonania oceny wszystkich przyszłych projektów dotyczących polityki w zakresie wpływu na prawo osoby fizycznej do prywatności i danych osobowych.
28. Ponadto EIOD zwraca uwagę na fakt, że wszystkie te wymogi dotyczące proporcjonalności i konieczności wynikają z istniejącego prawa UE (w szczególności Karty praw podstawowych, która obecnie wchodzi w skład prawa pierwotnego UE) i przyjętego orzecznictwa Europejskiego Trybunału Praw Człowieka. Innymi słowy komunikat nie przynosi niczego nowego. Zdaniem EIOD komunikat nie powinien w zasadzie powtarzać tych wymogów, a powinien określać konkretne środki i mechanizmy, które zapewniłyby przestrzeganie oraz praktyczne wdrożenie zasad konieczności i proporcjonalności we wszystkich wnioskach mających wpływ na prawa osób fizycznych. Ocena skutków dla prywatności omówiona w pkt 38-41 mogłaby stanowić dobry instrument służący osiągnięciu tego celu. Ponadto ocena ta powinna nie tylko objąć nowy wniosek, ale również istniejące systemy i mechanizmy.
29. Dodatkowo EIOD korzysta z okazji, aby podkreślić, że przy rozważaniu proporcjonalności i konieczności w unijnej strategii zarządzania informacjami, należy położyć nacisk na konieczność osiągnięcia właściwej równowagi pomiędzy ochroną danych z jednej strony a egzekwowania prawa z drugiej. Równowaga ta nie oznacza, że ochrona danych utrudniałaby stosowanie informacji niezbędnych do wyjaśnienia przestępstwa. Wszystkie informacje niezbędne do tego celu mogą być stosowane zgodnie z zasadami ochrony danych(17).
Cel i pełna ocena powinny również wykazać braki i problemy
30. Program sztokholmski wymaga obiektywnej i pełnej oceny wszystkich instrumentów i systemów związanych z wymianą informacji w Unii Europejskiej. Oczywiście EIOD w pełni popiera takie podejście.
31. Komunikat wydaje się jednak być nie w pełni zrównoważony. Wydaje się, że priorytetowo potraktowano, przynajmniej jeśli przyjrzeć się liczbom i danym statystycznym, te instrumenty, które okazały się skuteczne w ostatnich latach i uznawane są za "projekty uwieńczone powodzeniem" (np. liczne sukcesy SIS i Eurodac). EIOD nie podważa całościowego sukcesu tych systemów. Niemniej jednak jako przykład przytacza fakt, że raporty z działalności wspólnego organu nadzoru SIS(18) wykazują, że jest wiele przypadków, kiedy ostrzeżenia w SIS były przeterminowane, zawierały błędy literowe lub były błędne, co prowadziło do negatywnych konsekwencji dla zainteresowanych osób fizycznych. Takiej informacji w komunikacie brakuje.
32. EIOD zaleca Komisji ponowne rozważenie podejścia przyjętego w komunikacie. EIOD sugeruje, by przyszłe prace poświęcone zarządzaniu informacjami uwzględniały również niepowodzenia lub słabości systemu, jak na przykład liczbę osób niesłusznie aresztowanych lub niepokojonych w jakikolwiek sposób w wyniku błędnego wywołania w systemie, aby zapewnić słuszną równowagę.
33. EIOD sugeruje na przykład uzupełnienie danych dotyczących wyszukań SIS/SIRENE (załącznik 1) przez odniesienie do prac przeprowadzonych przez wspólny organ nadzoru poświęconych wiarygodności i trafności ostrzeżeń.
Odpowiedzialność
34. Wśród "zasad zorientowanych na proces" wymienionych na stronach 26-27 w komunikacie odniesiono się do zasady "jasnego podziału obowiązków", w szczególności w odniesieniu do początkowego etapu tworzenia struktur zarządzania. Komunikat odwołuje się tu do problemów z projektem SIS II i przyszłą odpowiedzialnością agencji ds. IT.
35. EIOD pragnie wykorzystać tę okazję do podkreślenia wagi zasady "odpowiedzialności", która powinna być również wdrażana w obszarze współpracy sądowniczej i policji w sprawach karnych oraz odegrać istotną rolę w kształtowaniu moi nowej i bardziej rozwiniętej polityki UE w obszarze wymiany danych i zarządzania informacjami. Zasada jest obecnie omawiana w kontekście przyszłości europejskich ram ochrony danych, jako narzędzie do dalszego zachęcania administratorów danych do ograniczania ryzyka niezgodności poprzez wdrożenie odpowiednich mechanizmów skutecznej ochrony danych. Odpowiedzialność wymaga od administratorów ustanowienia wewnętrznych mechanizmów i systemów kontroli, które zapewnią zgodność i dostarczą dowodów - jak raporty z audytu - aby wykazać zgodność zewnętrznym podmiotom, w tym organom nadzoru(19). EIOD podkreślił również zapotrzebowanie na takie działania w swoich opiniach dotyczących VIS i SIS II w 2005 r.
"Uwzględnienie ochrony prywatności w fazie projektowania"
36. Komisja odwołuje się do koncepcji "uwzględnienia ochrony prywatności w fazie projektowania" na stronie 25 komunikatu (w części Zasady materialne "Ochrona praw podstawowych, zwłaszcza prawa do prywatności i ochrony danych") deklarując, że "opracowując nowe instrumenty oparte na wykorzystaniu technologii informacyjnej, Komisja będzie kierować się podejściem znanym jako »uwzględnienie ochrony prywatności w fazie projektowania« ".
37. EIOD również z zadowoleniem przyjmuje odwołanie się do tego podejścia(20), które obecnie dotyczy zarówno sektora prywatnego jak i publicznego i tym samym musi odgrywać istotną rolę w obszarze policji i wymiaru sprawiedliwości(21).
Ocena skutków dla prywatności i ochrony danych
38. EIOD jest przekonany, że komunikat stanowi dobrą okazję do głębszej refleksji nad rzeczywistą "oceną skutków dla prywatności i ochrony danych" (PIA).
39. EIOD zauważa, że ani ogólne wytyczne opisane w komunikacie, ani wytyczne komisji dotyczące oceny skutków(22) nie uszczegółowiają tego aspektu, ani nie tworzą z niego wymogu dotyczącego polityki.
40. W związku z tym EIOD zaleca, by w odniesieniu do przyszłych instrumentów przeprowadzano bardziej szczegółową ocenę skutków dla prywatności i ochrony danych, albo w postaci odrębnej oceny, albo w ramach ogólnej oceny skutków dla praw podstawowych. Należy opracować szczegółowe wskaźniki i charakterystyki w celu zapewnienia gruntownej refleksji nad każdym wnioskiem, który ma wpływ na ochronę prywatności i danych. EIOD sugeruje również, by kwestia stanowiła część trwających prac poświęconych pełnym ramom ochrony danych.
41. Ponadto przydatne mogłoby się tu okazać odniesienie do art. 4 zalecenia RFID(23), w którym Komisja wezwała państwa członkowskie do zapewnienia przez sektor, we współpracy z odpowiednimi zainteresowanymi stronami społeczeństwa obywatelskiego ram do ocen skutków w zakresie ochrony danych i prywatności. Również przyjęta w listopadzie 2009 r. w Madrycie rezolucja Międzynarodowej Konferencji Komisarzy prywatności i danych osobowych zachęcała do wdrożenia PIA przed wdrożeniem nowych systemów i technologii informatycznych do przetwarzania danych osobowych lub istotnych zmian w obecnym przetwarzaniu.
Prawa podmiotów danych
42. EIOD zauważa, że komunikat nie odnosi się konkretnie do istotnej kwestii praw podmiotów danych, które stanowią znaczący element ochrony danych. Kluczowe jest zapewnienie, by w różnych systemach i instrumentach, które wiążą się z wymianą informacji, obywateli mieli podobne prawa w zakresie przetwarzania ich danych osobowych. W szczególności wiele systemów, o których mowa w komunikacie, ustanawia szczególne zasady dotyczące praw podmiotów danych, jednak istnieje wiele nieuzasadnionych różnic pomiędzy systemami i instrumentami.
43. Dlatego EIOD zachęca Komisję do bliższego przyjrzenia się kwestii ujednolicenia praw podmiotów danych w UE w niedalekiej przyszłości.
Stosowanie rozwiązań biometrycznych
44. Mimo że Komisja odnosi się do stosowania rozwiązań biometrycznych(24), nie odnosi się konkretnie do obecnego zjawiska zwiększonego stosowania danych biometrycznych w obszarze wymiany informacji w UE, w tym działających na szeroką skalę systemów IT i innych narzędzi zarządzania granicami w UE. W komunikacie Komisja nie wskazuje również konkretnie, w jaki sposób zamierza zająć się tą kwestią w przyszłości oraz czy pracuje nad ogólną polityką odnoszącą się do tego nasilającego się trendu. Jest to godne pożałowania, bo chodzi o obszar o wielkim znaczeniu i dużej wrażliwości z punktu widzenia ochrony danych.
45. W związku z tym EIOD pragnie wspomnieć, że przy wielu okazjach, na różnych forach i w różnych opiniach(25), podkreślał możliwe zagrożenia dla praw osób fizycznych związane ze stosowaniem rozwiązań biometrycznych. Sugerował wówczas wprowadzenie restrykcyjnych zabezpieczeń dla stosowania rozwiązań biometrycznych w konkretnych instrumentach i systemach. EIOD zwracał również uwagę na problem związany z niedokładnością w zbieraniu i porównywaniu danych biometrycznych.
46. Z tej przyczyny EIOD korzysta z okazji, by zwrócić się do Komisji o opracowanie jasnej i restrykcyjnej polityki w sprawie stosowania rozwiązań biometrycznych w obszarze wolności, bezpieczeństwa i sprawiedliwości, w oparciu o poważną ewaluację i ocenę jednostkową konieczności stosowania danych biometrycznych, z pełnym poszanowaniem takich podstawowych zasad ochrony danych jak proporcjonalność, konieczność i celowość.
Funkcjonowanie systemu
47. W przeszłości(26) EIOD zwracał uwagę na niepokojące kwestie związane z interoperacyjnością systemów. Jedną z konsekwencji interoperacyjności systemów mogłaby być zachęta do zaproponowania nowych celów dla systemów IT na szeroką skalę, które wykraczają poza swój pierwotny cel lub do stosowania danych biometrycznych jako podstawowego klucza w tym obszarze. Niezbędne są konkretne zabezpieczenia i warunki dla różnych rodzajów interoperacyjności. EIOD podkreślił również w tym kontekście, że
interoperacyjność systemów musi zostać wdrożona z należnym poszanowaniem zasad ochrony danych, w szczególności zasady celowości.
48. W związku z tym EIOD zauważa, że komunikat nie odnosi się bezpośrednio do kwestii interoperacyjności systemów. EIOD zwraca się więc do Komisji o opracowanie polityki poświęconej temu kluczowemu aspektowi wymiany danych w UE, w ramach dokonywanej oceny.
Wnioski ustawodawcze, które przedstawi Komisja
49. Komunikat zawiera rozdział poświęcony wnioskom ustawodawczym, które Komisja przedstawi w przyszłości. Dokument odnosi się między innymi do wniosku poświęconego programowi rejestrowania podróżnych (RTP) oraz do wniosku dotyczącego systemu wjazdu/wyjazdu (EES). EIOD chciałby przedstawić kilka uwag poświęconych obydwu wspomnianym wnioskom, w odniesieniu do których, jak wynika z komunikatu, Komisja podjęła już decyzję.
Program rejestrowania podróżnych
50. Jak podkreślono w pkt 4 niniejszej opinii celem komunikatu jest przedstawienie "przedstawienie pełnego obrazu środków na poziomie UE (...) które regulują proces gromadzenia, przechowywania lub transgranicznej wymiany danych osobowych do celów egzekwowania prawa i zarządzania migracją".
51. W związku z tym EIOD zastanawia się, jaki będzie ostateczny cel programu rejestrowania pasażerów i w jaki sposób temu wnioskowi, obecnie rozważanemu przez Komisję, będzie towarzyszył cel egzekwowania prawa i zarządzania migracją. Na stronie 20 komunikatu czytamy, że "program ten umożliwiałby pewnym grupom obywateli państw trzecich, którzy często podróżują, wjazd do UE na podstawie uproszczonej odprawy granicznej przy przechodzeniu przez automatyczne bramki (...)". Tym samym wydaje się, że celem instrumentu jest ułatwienie podróżowania osobom często podróżującym. Instrumenty te nie mają (bezpośredniego lub jasnego) powiązania z celem egzekwowania prawa i zarządzania migracją.
System wjazdu/wyjazdu UE
52. W odniesieniu do przyszłego systemu wjazdu/wyjazdu UE w komunikacie (strona 20) wspomniany jest problem "osób nadmiernie przedłużających pobyt" oraz informacja, że ta grupa "stanowiły największą grupę nielegalnych migrantów w UE". Ten ostatni argument jest przedstawiony jako przyczyna, dla której Komisja zdecydowała się na zaproponowanie wprowadzenia systemu wjazdu/wyjazdu dla obywateli państw trzecich wjeżdżających do UE na krótki pobyt do trzech miesięcy.
53. Ponadto w komunikacie wspomina się, że "system ten obejmowałby rejestrowanie czasu i miejsca wjazdu oraz dozwolonej długości pobytu, a także automatycznie przekazywałby informacje identyfikujące dane osoby jako nadmiernie przedłużające swój pobyt. Działając w oparciu o dane biometryczne wykorzystywałby on system porównywania danych biometrycznych oraz wyposażenie operacyjne stosowane w ramach SIS II i VIS".
54. EIOD uważa, że kluczowe jest określenie grupy docelowej osób nadmiernie przedłużających swój pobyt z odniesieniem do istniejącej definicji prawnej lub wsparciem wiarygodnymi liczbami lub danymi statystycznymi. Jest to tym istotniejsze, że wszystkie wyliczenia dotyczące liczby osób nadmiernie przedłużających swój pobyt w UE opierają się obecnie wyłącznie na szacunkach. Należałoby wyjaśnić, jakie działanie zostałoby podjęte w odniesieniu do osób nadmiernie przedłużających swój pobyt po ich zidentyfikowaniu w systemie, gdyż UE brakuje jasnej i pełnej polityki w stosunku do osób, które nadmiernie przedłużają swój pobyt na terytorium UE.
55. Ponadto brzmienie komunikatu sugeruje, ze decyzje o wprowadzeniu systemu już zostały podjęte przez Komisję, podczas gdy w tym samym komunikacie mowa jest o tym, że Komisja dokonuje obecnie oceny wpływu. EIOD podkreśla, że decyzja o wprowadzeniu takiego złożonego i ingerującego w prywatność systemu powinna zostać podjęta wyłącznie w oparciu o szczegółową ocenę wpływu zawierającą konkretne dowody i informacje, dlaczego taki system jest niezbędny i dlaczego rozwiązania alternatywne oparte na istniejących systemach nie były możliwe.
56. Dodatkowo Komisja wydaje się łączyć ten przyszły system z systemem porównywania danych biometrycznych i operacyjnym wyposażeniem SIS II i VIS. Dzieje się to jednak bez odniesienia do faktu, że ani SIS II ani VIS jeszcze nie działają i że na obecnym etapie nie jest jeszcze znana data rozpoczęcia ich funkcjonowania. Innymi słowy system wjazdu/wyjazdu zależałby w dużej mierze od danych biometrycznych i systemów operacyjnych, które jeszcze nie działają, a tym samym ich wydajność i funkcjonalności nie mogły zostać poddane odpowiedniej ocenie.
Inicjatywy wymagające analizy ze strony Komisji
57. W odniesieniu do inicjatyw wymagających analizy ze strony Komisji, w sprawie których tym samym Komisja nie podjęła ostatecznej decyzji, w komunikacie, w nawiązaniu do wymagań wynikających z programu sztokholmskiego, odniesiono się do 3 inicjatyw: programu UE śledzenia środków finansowych należących do terrorystów (odpowiednik amerykańskiego TFTP), elektronicznego systemu zezwoleń na podróż (ESTA) oraz europejskiego systemu przekazywania informacji z akt policyjnych (EPRIS).
58. EIOD będzie przyglądał się rozwojowi tych inicjatyw i, w miarę potrzeb, wystosuje swoje uwagi i sugestie.
III. WNIOSKI I ZALECENIA
59. EIOD w pełni popiera komunikat, który daje pełny przegląd systemów wymiany informacji UE, zarówno tych istniejących, jak i planowanych. EIOD podkreśla potrzebę oceny istniejących instrumentów wymiany informacji przed zaproponowaniem nowych w licznych opiniach i uwagach.
60. EIOD z zadowoleniem przyjmuje również odniesienie się w komunikacie do trwających prac poświęconych ramom ochrony danych w oparciu o art. 16 TFUE, które należy uwzględnić również w kontekście prac nad przeglądem zarządzania informacją w UE.
61. EIOD uważa komunikat za pierwszy krok w procesie oceny. Po komunikacie powinna nastąpić rzeczywista ocena, której wynikiem powinna być pełna, zintegrowana i dobrze ustrukturyzowana polityka UE poświęcona wymianie informacji i zarządzaniu informacją. W tym kontekście EIOD wyraża zadowolenie z powiązania z innymi działaniami Komisji w odpowiedzi na program sztokholmski, w szczególności z "mapowaniem informacji" przeprowadzanym przez Komisję w ścisłej współpracy z zespołem projektu ds. zarządzania informacją.
62. EIOD sugeruje, by przyszłe prace poświęcone zarządzaniu informacjami uwzględniały również niepowodzenia lub słabości systemów, jak na przykład liczbę osób niesłusznie aresztowanych lub niepokojonych w jakikolwiek sposób w wyniku błędnego wywołania w systemie.
63. Zasada celowości powinna być uznana za kluczową dla wszystkich instrumentów związanych z wymianą informacji w UE, a nowe instrumenty powinny być proponowane, jeżeli zasada celowości została należycie rozważona i była przestrzegana podczas ich opracowywania. Dotyczy to również wdrażania instrumentów.
64. EIOD zachęca również Komisję do zapewnienia, poprzez opracowanie konkretnych działań i mechanizmów, przestrzegania i praktycznego wdrożenia zasad konieczności i proporcjonalności we wszystkich wnioskach, które mają wpływ na prawa osoby fizycznej. Konieczna jest również ocena już istniejących systemów pod tym kątem.
65. EIOD jest również przekonany, że komunikat stanowi doskonałą okazję do rozpoczęcia dyskusji nad "oceną skutków dotyczącą prywatności i ochrony danych" oraz lepszego określenia, co tak naprawdę ta ocena oznacza.
66. Zachęca również Komisję do opracowania bardziej przejrzystej i spójnej polityki w odniesieniu do wymogów do stosowania rozwiązań biometrycznych, polityki funkcjonowania systemów i lepszego dostosowania na poziomie UE w kwestii praw podmiotów danych.
67. EIOD również z zadowoleniem przyjmuje odwołanie się do podejścia "poszanowania prywatności w fazie projektowania", które obecnie dotyczy zarówno sektora prywatnego jak i publicznego i tym samym musi odgrywać istotną rolę w obszarze policji i wymiaru sprawiedliwości.
68. Ostatnia, choć również znacząca kwestia: EIOD zwraca uwagę na uwagi i zaniepokojenie rozdziałem "Wnioski ustawodawcze, które przedstawi Komisja" w odniesieniu do systemu wjazdu/wyjazdu i programu rejestrowania podróżnych.
Sporządzono w Brukseli dnia 30 września 2010 r.
|
Peter HUSTINX |
|
|
|
Europejski Inspektor Ochrony Danych |
______
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) COM(2010) 385 wersja ostateczna.
(4) Zob. komunikat, s. 3.
(5) W odniesieniu do tego akapitu EIOD jest zdania, że sformułowanie "Wyjaśniono w nim (...) wykaz organów mających dostęp do tych danych" może wprowadzać w błąd, ponieważ w komunikacie ani nie ma takich wykazów, ani ich nie wyjaśniono. Komunikat odwołuje się jedynie do głównych kategorii osób lub organów mających dostęp do danych.
(6) Program sztokholmski - Otwarta i bezpieczna Europa dla dobra i ochrony obywateli, dokument Rady 5731/2010, 3.3.2010.
(7) Opinia z dnia 10 lipca 2009 r. w sprawie komunikatu Komisji do Parlamentu Europejskiego i Rady dotyczącego przestrzeni wolności, bezpieczeństwa i sprawiedliwości w służbie obywateli.
(8) Konkluzje Rady w sprawie strategii zarządzania informacjami dla Rady UE poświęconej bezpieczeństwu wewnętrznemu, sprawiedliwości i sprawom wewnętrznym, 30.11.2009.
(9) Opinia z dnia 19 października 2005 r. w sprawie trzech wniosków dotyczących Systemu Informacyjnego Schengen drugiej generacji (SIS II).
(10) Opinia z dnia 7 października 2009 w sprawie wniosku dotyczącego dostępu wymiaru sprawiedliwości do Eurodac.
(11) Opinia z dnia 18 lutego 2009 r. dotycząca wniosku w sprawie rozporządzenia dotyczącego ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (WE) nr [.../...] (ustanawiającego kryteria i mechanizmy ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela kraju trzeciego lub bezpaństwowca) oraz opinia z dnia 18 lutego 2009 r. dotycząca wniosku w sprawie rozporządzenia ustanawiającego kryteria i mechanizmy ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela kraju trzeciego lub bezpaństwowca.
(12) Zob. przypis 6.
(13) Opinia z dnia 20 grudnia 2007 r. dotycząca projektu wniosku w sprawie ramowej decyzji Rady w sprawie wykorzystania danych dotyczących przelotu pasażera (danych PNR) przez wymiar sprawiedliwości.
(14) Zakres funkcjonalny tego zadania odpowiada zakresowi szwedzkiej decyzji ramowej (decyzja ramowa Rady 2006/960/FHA), tj. wymiana informacji w dochodzeniach i działaniach wywiadowczych w sprawach karnych.
(15) "Dane wolno przetwarzać dalej w innym celu, o ile: a) nie jest to sprzeczne z celami, w jakich zostały zgromadzone; b) właściwe organy są upoważnione do tego, by przetwarzać takie dane w takim innym celu zgodnie z obowiązującymi przepisami prawa; oraz c) przetwarzanie jest konieczne i proporcjonalne względem tego innego celu".
(16) Zob. w szczególności opinię EIOD poświęconą wnioskowi dotyczącemu dostępu wymiaru sprawiedliwości do Eurodac, o czym mowa w przypisie 10.
(17) Zob. na przykład opinię EIOD dotyczącą europejskiego PNR, cytowaną w przypisie 13.
(18) Zob. 7 i 8 raport wspólnego organu nadzoru SIS dostępne na stronie http://www.schengen-jsa.dataprotection.org/ w szczególności rozdziały poświęcone art. 96 i 99 konwencji Schengen.
(19) Zob. wystąpienie EIOD podczas konferencji europejskich inspektorów prywatności i ochrony danych, Praga, dnia 29 kwietnia 2010 r.
(20) Zob. w sprawie uwzględnienia ochrony prywatności w fazie projektowania: opinię z dnia 18 marca 2010 na temat promowania zaufania w społeczeństwie informacyjnym poprzez ochronę danych i prywatność oraz opinię z dnia 22 lipca 2009 r. dotyczącą komunikatu Komisji w sprawie planu działania na rzecz wdrażania inteligentnych systemów transportowych w Europie i towarzyszącego mu wniosku w sprawie dyrektywy Parlamentu Europejskiego i Rady ustanawiającej ramy wdrażania inteligentnych systemów transportowych w dziedzinie transportu drogowego oraz ich interfejsów z innymi rodzajami transportu.
(21) W opinii EIOD dotyczącej komunikatu Komisji w sprawie programu sztokholmskiego zalecano wprowadzenie obowiązku prawnego dla budujących i używających systemy informacyjne opracowywania i stosowania systemów zgodnych z zasadą "uwzględnienia ochrony prywatności prywatności w fazie projektowania".
(22) SEC(2009) 92 z 15.1.2009.
(23) C(2009) 3200 wersja ostateczna z 12.5.2009.
(24) Np. w kontekście zasady celowości i potencjalnego nakładania się funkcji (strona 22) oraz skutecznego zarządzania tożsamością (strona 23).
(25) Zob. na przykład: opinię na temat programu sztokholmskiego (przypis 7), opinię w sprawie trzech wniosków dotyczących Systemu Informacyjnego Schengen drugiej generacji (przypis 9) lub uwagi z dnia 10 marca 2006 r. dotyczące komunikatu Komisji z dnia 24 listopada 2005 r. w sprawie większej efektywności oraz zwiększonej interoperacyjności oraz synergii pomiędzy europejskimi bazami danych w przestrzeni sprawiedliwości i spraw wewnętrznych (przypis 22).
(26) Uwagi EIOD z dnia 10 marca 2006 r. dotyczące komunikatu Komisji z dnia 24 listopada 2005 r. w sprawie większej efektywności oraz zwiększonej interoperacyjności oraz synergii pomiędzy europejskimi bazami danych w przestrzeni sprawiedliwości i spraw wewnętrznych.
