(2022/C 225/04)

(Dz.U.UE C z dnia 9 czerwca 2022 r.)

8 grudnia 2021 r. Komisja Europejska przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie zautomatyzowanej wymiany danych na potrzeby współpracy policyjnej ("Prüm II"), zmieniającego decyzje Rady 2008/615/WSiSW i 2008/616/WSiSW oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1726, 2019/817 i 2019/818 (tzw. "decyzje w sprawie konwencji z Prüm"). Wniosek jest częścią większego pakietu ustawodawczego, zwanego "kodeksem współpracy policyjnej", który obejmuje również wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie wymiany informacji między organami ścigania państw członkowskich (z zastrzeżeniem odrębnej opinii EIOD), a także wniosek dotyczący zalecenia Rady w sprawie operacyjnej współpracy policyjnej.

Celem wniosku jest wzmocnienie współpracy organów ścigania, w szczególności wymiany informacji między właściwymi organami odpowiedzialnymi za zapobieganie przestępstwom, ich wykrywanie i ściganie, poprzez określenie warunków i procedur zautomatyzowanego przeszukiwania profili DNA, danych daktyloskopijnych (odcisków palców), wizerunków twarzy, kartotek policyjnych i niektórych danych rejestracyjnych pojazdów, a także wymiany danych po stwierdzeniu zgodności.

Choć Europejski Inspektor Ochrony Danych rozumie potrzebę korzystania przez organy ścigania z najlepszych możliwych narzędzi prawnych i technicznych do wykrywania przestępstw, prowadzenia dochodzeń w ich sprawie i zapobiegania im, zauważa, że proponowany nowy mechanizm Prüm nie określa wyraźnie zasadniczych elementów wymiany danych, takich jak rodzaje przestępstw mogące uzasadniać przeszukanie, i nie są wystarczająco jasne co do zakresu podmiotów danych, których dotyczy automatyczna wymiana danych, np. czy bazy danych, których dotyczy przeszukanie, zawierają dane wyłącznie podejrzanych lub osób skazanych, czy również dane innych podmiotów danych, takich jak ofiary lub świadkowie.

EIOD uważa w szczególności, że zautomatyzowane przeszukiwanie profili DNA i wizerunków twarzy powinno być możliwe wyłącznie w przypadku indywidualnych dochodzeń w sprawie poważnych przestępstw, a nie wszelkich przestępstw, jak przewidziano we wniosku. Ponadto EIOD uważa, że konieczne jest wprowadzenie we wniosku wspólnych wymogów i warunków dotyczących danych w krajowych bazach danych, które są udostępniane w celu zautomatyzowanego przeszukiwania, z należytym uwzględnieniem wynikającego z art. 6 dyrektywy 680/2016 obowiązku rozróżnienia między poszczególnymi kategoriami osób, których dane dotyczą (tj. skazanych przestępców, podejrzanych, ofiar itp.).

EIOD jest również zaniepokojony skutkami, jakie proponowane zautomatyzowane przeszukiwanie i wymiana danych z rejestrów policyjnych może mieć dla praw podstawowych zainteresowanych osób. Uważa on, że konieczność proponowanego zautomatyzowanego przeszukiwania i wymiany danych z rejestrów policyjnych nie została dostatecznie wykazana. W przypadku przyjęcia takiego środka, nawet na zasadzie dobrowolności, konieczne byłyby dodatkowe, silne zabezpieczenia, aby zapewnić zgodność z zasadą proporcjonalności. W szczególności, biorąc pod uwagę wyzwania związane z jakością danych, w przyszłym rozporządzeniu należy m.in. wyraźnie określić rodzaje lub powagę przestępstw, które mogą uzasadniać zautomatyzowane przeszukiwanie w krajowych rejestrach policyjnych.

Jeżeli chodzi o włączenie Europolu w mechanizm Prüm, EIOD uważa, że jego uwagi i zalecenia zawarte w opinii 4/2021 w sprawie wniosku dotyczącego zmiany rozporządzenia w sprawie Europolu pozostają w pełni aktualne w kontekście współpracy w ramach konwencji z Prüm, w szczególności te dotyczące tzw. wyzwania związanego z dużymi zbiorami danych, tj. przetwarzania przez Agencję dużych i złożonych zbiorów danych. EIOD pragnie przypomnieć dwa kluczowe przesłania zawarte w opinii w sprawie Europolu: zwiększony zakres uprawnień powinien zawsze wiązać się z większym nadzorem, a co równie ważne, nie należy dopuścić do sytuacji, w której wszelkie stosowne wyjątki w postaci odstępstw stają się regułą.

Wniosek przewiduje złożoną architekturę automatycznego przeszukiwania i wymiany danych w ramach mechanizmu Prüm obejmującą trzy odrębne rozwiązania techniczne, opracowane i utrzymywane przez trzy różne podmioty. EIOD uważa, że wniosek powinien być bardziej jednoznaczny w odniesieniu do odpowiedzialności za przetwarzanie danych osobowych, zwłaszcza w systemie EUCARIS, który nie opiera się na prawie UE i ma charakter międzyrządowy. Ponadto EIOD jest zdania, że - biorąc pod uwagę skalę i wrażliwość przetwarzania danych osobowych - proponowany horyzontalny model zarządzania zawarty w ramach mechanizmu Prüm nie jest odpowiedni, a jego zakres stosowania powinno się zwiększyć, np. poprzez przypisanie centralnej roli koordynacyjnej podmiotowi UE, np. Komisji.

Ponadto, ze względu na pewność prawa, EIOD uważa, że należy wyraźnie wyjaśnić związek zasad ochrony danych zawartych we wniosku z istniejącymi ramami prawnymi dotyczącymi ochrony danych w UE, zwłaszcza z dyrektywą 680/2016 dotyczącą egzekwowania prawa i rozporządzeniem (UE) 2018/1725 (EUDPR).

W opinii przeanalizowano również i przedstawiono zalecenia dotyczące szeregu innych konkretnych kwestii, takich jak powiązanie mechanizmu Prüm z ramami interoperacyjności, przekazywanie danych do państw trzecich i organizacji międzynarodowych czy nadzór nad operacjami przetwarzania danych do celów współpracy w ramach konwencji z Prüm.

1. WPROWADZENIE I INFORMACJE OGÓLNE

1. 8 grudnia 2021 r. Komisja Europejska przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady

w sprawie zautomatyzowanej wymiany danych na potrzeby współpracy policyjnej ("Prüm II"), zmieniającego decyzje Rady 2008/615/WSiSW i 2008/616/WSiSW oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1726, 2019/817 i 2019/818 ("wniosek") 1 .

2. Wniosek jest częścią większego pakietu legislacyjnego, zwanego "kodeksem współpracy policyjnej", który obejmuje również:

- wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie wymiany informacji między organami ścigania państw członkowskich, uchylającej decyzję ramową Rady 2006/960/WSiSW 2  oraz

- wniosek dotyczący zalecenia Rady w sprawie operacyjnej współpracy policyjnej 3 .

3. Celem kodeksu współpracy policyjnej, jak stwierdziła Komisja, jest wzmocnienie współpracy w zakresie egzekwowania prawa w państwach członkowskich, w szczególności wymiany informacji między właściwymi organami 4 . W tym względzie wniosek określa warunki i procedury zautomatyzowanego przeszukiwania profili DNA, danych dak- tyloskopijnych (odcisków palców), wizerunków twarzy, rejestrów policyjnych i niektórych danych rejestracyjnych pojazdów oraz wymiany danych po stwierdzeniu zgodności między organami odpowiedzialnymi za zapobieganie przestępstwom, ich wykrywanie i ściganie.

4. Wniosek, jak również bardziej ogólnie kodeks współpracy policyjnej, jest powiązany z celami politycznymi kilku strategicznych dokumentów UE w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych, w szczególności ze strategią UE w zakresie unii bezpieczeństwa 5 , unijną strategią zwalczania przestępczości zorganizowanej 2021-2025 6  oraz strategią dotyczącą strefy Schengen 2021 7 . Ponadto wnioski ustanawiające kodeks współpracy policyjnej należy rozpatrywać w świetle trwającej reformy Europolu i rosnącej roli agencji jako unijnego węzła informacyjnego w zakresie przestępczości gromadzącego i przetwarzającego coraz większe ilości danych 8 .

5. Komisja skonsultowała się z EIOD w sprawie wniosku dotyczącego rozporządzenia Prüm II w dniu 5 stycznia 2022 r., zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725. Uwagi i zalecenia zawarte w przedmiotowej opinii ograniczają się do tych przepisów wniosku, które są najistotniejsze z punktu widzenia ochrony danych.

4. WNIOSKI

73. Proponowany nowy mechanizm Prüm nie określa jasno zasadniczych elementów wymiany danych, takich jak rodzaje przestępstw, które mogą uzasadniać przeszukanie, zwłaszcza profili DNA, tj. każde przestępstwo lub tylko poważniejsze przestępstwa. Ponadto wniosek nie określa wyraźnie zakresu osób, których dotyczy automatyczna wymiana danych, tj. czy bazy danych, których dotyczy przeszukanie, zawierają wyłącznie dane osób podejrzanych lub skazanych, czy także dane innych osób, których dotyczy wymiana danych, np. ofiar lub świadków.

74. W celu zapewnienia konieczności i proporcjonalności ingerencji w podstawowe prawo do ochrony danych osobowych, w świetle art. 52 ust. 1 Karty, konieczne jest wyjaśnienie zakresu podmiotowego i przedmiotowego środków, tj. kategorii osób, których dane będą bezpośrednio dotyczyć, oraz obiektywnych warunków, które mogą uzasadniać zautomatyzowane przeszukiwanie odpowiednich baz danych innych państw członkowskich lub Europolu.

75. EIOD uważa w szczególności, że zautomatyzowane przeszukiwanie profili DNA i wizerunków twarzy powinno być możliwe wyłącznie w przypadku indywidualnych dochodzeń w sprawie poważnych przestępstw, a nie wszelkich przestępstw, jak przewidziano we wniosku. Ponadto, zgodnie z wynikającym z art. 6 dyrektywy 680/2016 obowiązkiem rozróżnienia między odmiennymi kategoriami osób, których dane dotyczą, wniosek powinien przewidywać ograniczenie kategorii osób, których przechowywane w krajowych bazach danych profile DNA i wizerunki twarzy powinny być udostępniane do zautomatyzowanego przeszukiwania, ze szczególnym uwzględnieniem nieodłącznego ograniczenia celu w odniesieniu do danych pochodzących z innych kategorii niż skazani przestępcy lub podejrzani.

76. EIOD uważa, że konieczność proponowanego zautomatyzowanego przeszukiwania i wymiany danych z rejestrów policyjnych nie została dostatecznie wykazana. W przypadku przyjęcia takiego środka, nawet na zasadzie dobrowolności, konieczne byłyby dodatkowe, silne zabezpieczenia, aby zapewnić zgodność z zasadą proporcjonalności. W szczególności, biorąc pod uwagę wyzwania związane z jakością danych, których nie można rozwiązać wyłącznie środkami technicznymi, takimi jak pseudonimizacja, w przyszłym rozporządzeniu należy m.in. wyraźnie określić rodzaje lub powagę przestępstw, które mogą uzasadniać zautomatyzowane przeszukiwanie krajowych rejestrów policyjnych.

77. W odniesieniu do włączenia Europolu w mechanizm Prüm, EOID uważa, że jego uwagi i zalecenia zawarte w opinii 4/2021 w sprawie wniosku dotyczącego zmiany rozporządzenia o Europolu pozostają w pełni aktualne w kontekście współpracy w ramach konwencji z Prüm, w szczególności te związane z przetwarzaniem dużych zbiorów danych przez Agencję. Ponadto EIOD zaleca doprecyzowanie zakresu podmiotowego, tj. określenie kategorii osób, których dane dotyczą, podlegających zapytaniom na mocy art. 49 i 50, a także dostosowanie okresów zatrzymywania rejestrów, aby zapewnić spójność z rozporządzeniem o Europolu.

78. Wniosek przewiduje złożoną architekturę automatycznego wyszukiwania i wymiany danych w ramach mechanizmu Prüm, która obejmuje trzy odrębne rozwiązania techniczne, opracowane i utrzymywane przez trzy różne podmioty. Co więcej, jeden z nich - EUCARIS - nie jest oparty na akcie prawnym UE, ale ma charakter międzyrządowy. EIOD uważa zatem, że we wniosku należy wyraźnie odnieść się do odpowiedzialności za przetwarzanie danych osobowych w systemie EUCARIS. Ponadto EIOD uważa, że - biorąc pod uwagę skalę i wrażliwość przetwarzania danych osobowych - obecny horyzontalny model zarządzania zawarty w ramach mechanizmu Prüm nie jest odpowiedni, a jego zakres stosowania powinno się zwiększyć, np. poprzez przypisanie centralnej roli koordynacyjnej podmiotowi UE, np. Komisji.

79. Innym ważnym elementem wniosku, który wymaga dokładnej analizy pod kątem wpływu na prawa podstawowe, jest dostosowanie mechanizmu Prüm do ram interoperacyjności systemów informacyjnych UE w obszarze wymiaru sprawiedliwości i spraw wewnętrznych. EIOD zachęca współprawodawcę do rozważenia potrzeby wprowadzenia dodatkowych przepisów w tym zakresie, np. w akcie wykonawczym lub delegowanym, które powinny uwzględniać konkretne wyzwania, takie jak jakość i wydajność algorytmów dopasowywania obrazów twarzy.

80. Biorąc pod uwagę, że podstawę prawną wniosku stanowi m.in. art. 16 TFUE, EIOD zaleca, by w trosce o przejrzystość i pewność określić we wniosku fakt, że przepisy o ochronie danych zawarte w rozdziale 6 pozostają bez uszczerbku dla stosowania dyrektywy 680/2016 i EUDPR w odniesieniu do przetwarzania danych osobowych w kontekście współpracy w zakresie ochrony porządku publicznego w ramach mechanizmu Prüm.

81. Ponadto EIOD uważa, że wymóg regularnych kontroli operacji przetwarzania danych osobowych do celów rozporządzenia Prüm II powinien zostać rozszerzony i obejmować również operacje przetwarzania danych osobowych na szczeblu krajowym. W tej kwestii EIOD zaleca, by art. 60 ust. 2 wniosku odnosił się ogólnie do uprawnień EIOD na mocy art. 58 EUDPR, a nie tylko do niektórych z nich.

Bruksela, dnia 2 marca 2022 r.