(2022/C 240/05)

(Dz.U.UE C z dnia 22 czerwca 2022 r.)

29 marca 2022 r. Komisja Europejska wydała zalecenie dotyczące decyzji Rady upoważniającej Komisję do udziału w imieniu Unii Europejskiej w negocjacjach Organizacji Narodów Zjednoczonych (ONZ) dotyczących kompleksowej konwencji międzynarodowej w sprawie przeciwdziałania wykorzystywaniu technologii informacyjno-komunikacyjnych w celach przestępczych.

EIOD rozumie konieczność zabezpieczenia i gromadzenia przez organy ścigania elektronicznego materiału dowodowego w sposób szybki i skuteczny. Podkreśla jednak, że obowiązuje już podobny instrument międzynarodowy, tj. Konwencja o cyberprzestępczości i jej drugi protokół dodatkowy, który jest obecnie otwarty do podpisu.

EIOD zauważa, że na forum ONZ rozpoczęły się już negocjacje dotyczące kolejnej konwencji, która ma dotyczyć cyber- przestępczości i współpracy transgranicznej w sprawach karnych. Popiera zatem zalecenie, aby upoważnić Komisję do prowadzenia negocjacji w imieniu UE, gdyż pomogłoby to lepiej zachować poziom ochrony gwarantowany przez unijne ramy ochrony danych. EIOD zauważa jednak, że do ONZ należy ogromna liczba państw o bardzo zróżnicowanych systemach prawnych. W związku z tym zdaniem EIOD istnieje poważne ryzyko, że ostateczny tekst konwencji może doprowadzić do osłabienia podstawowych praw i wolności osób fizycznych zagwarantowanych w prawie UE, w szczególności ich prawa do ochrony danych i prywatności. Należy zatem podkreślić, że jeśli Rada upoważni Komisję do prowadzenia negocjacji we wspomnianych ramach w imieniu UE, upoważnienie takie nie będzie zawierało wymogu, aby UE stała się stroną konwencji, w przypadku gdy zostanie ona przyjęta. EIOD uważa, że jeżeli poziom ochrony danych osób fizycznych gwarantowany przez prawo UE miałby zostać naruszony, UE nie powinna dążyć do stania się stroną takiej konwencji.

Celem niniejszej opinii jest udzielenie instytucjom unijnym konstruktywnego i obiektywnego doradztwa, aby zapobiec naruszeniu poziomu ochrony danych zagwarantowanego w prawie UE. EIOD z zadowoleniem przyjmuje fakt, że podstawą mandatu jest zapewnienie, aby konwencja określała ścisłe warunki i mocne zabezpieczenia, które zagwarantują, że państwa członkowskie UE będą przestrzegać podstawowych praw, wolności i ogólnych zasad prawa UE zapisanych w traktatach UE i Karcie praw podstawowych UE oraz je chronić.

W tym kontekście EIOD podkreśla, iż szczególnie konieczne jest zapewnienie pełnego poszanowania praw podstawowych do prywatności i do ochrony danych osobowych. Unijny system ochrony danych przewiduje co do zasady, że przekazywanie danych do państwa trzeciego może odbywać się bez dodatkowych wymogów tylko wtedy, gdy owo państwo trzecie zapewnia odpowiedni poziom ochrony. Jeżeli państwa trzeciego nie uznaje się w tym zakresie za odpowiednie, wówczas w odniesieniu do szczególnych przypadków przekazywania danych stosuje się wyjątki, o ile zapewnione zostaną właściwe zabezpieczenia. Chociaż EIOD zauważa, że całkowite odtworzenie terminologii i definicji prawa unijnego w umowach z wieloma państwami trzecimi może nie być możliwe, gwarancje dostępne osobom fizycznym muszą być jasne i skuteczne, aby były w pełni zgodne z prawem UE. Trybunał Sprawiedliwości Unii Europejskiej w ostatnich latach potwierdził zasady ochrony danych, w tym środek zaskarżenia oraz indywidualne prawa jednostek. Te zasady stają się tym ważniejsze, im bardziej wrażliwe są dane wymagane w dochodzeniach w sprawach karnych.

W związku z tym EIOD uważa, że choć z zadowoleniem przyjmuje się liczne zapowiedziane już wytyczne negocjacyjne, należy je wzmocnić. W szczególności, aby zapewnić zgodność z Kartą praw podstawowych UE i art. 16 TFUE, EIOD przedstawia cztery główne zalecenia dotyczące wytycznych negocjacyjnych:

- zawężenie przepisów w zakresie współpracy międzynarodowej do przestępstw określonych w konwencji;

- bezpośredni dostęp organów ścigania z państw trzecich do danych oraz bezpośrednia współpraca transgraniczna z dostawcami usług powinny być wykluczone;

- zapewnienie, aby zamiast konwencji zastosowanie miały przyszłe umowy dwustronne i wielostronne z państwami trzecimi, o ile zagwarantują one wyższe standardy w zakresie ochrony praw podstawowych, w szczególności prawa do prywatności i ochrony danych;

- zapewnienie, aby konwencja nie miała zastosowania między dwoma umawiającymi się państwami, jeżeli jedno z nich złoży zawiadomienie, że ratyfikacja, przyjęcie, zatwierdzenie lub przystąpienie innego umawiającego się państwa nie będzie miało skutku w postaci ustanowienia stosunków między tymi dwoma umawiającymi się państwami na mocy niniejszej konwencji.

Dodatkowo w niniejszej opinii zaleca się również udoskonalenie i doprecyzowanie wytycznych negocjacyjnych. Uwagi zawarte w niniejszej opinii nie powodują uszczerbku dla ewentualnych dodatkowych uwag, które EIOD może formułować w miarę powstawania kolejnych kwestii, do których ustosunkuje się, gdy dostępna będzie odpowiednia informacja. EIOD oczekuje, że w późniejszym terminie, przed finalizacją konwencji, treść jej projektu zostanie z nim skonsultowana.

1. WPROWADZENIE I INFORMACJE OGÓLNE

1. Organizacja Narodów Zjednoczonych (ONZ) jest organizacją międzyrządową, skupiającą obecnie 193 państwa członkowskie 1 . ONZ i jej działalność kierują się celami i zasadami zawartymi w Karcie Założycielskiej. Zgodnie z Kartą Narodów Zjednoczonych celami organizacji jest utrzymywanie międzynarodowego pokoju i bezpieczeństwa, ochrona praw człowieka, niesienie pomocy humanitarnej, promowanie zrównoważonego rozwoju oraz przestrzeganie prawa międzynarodowego 2 .

2. 17 grudnia 2018 r. Zgromadzenie Ogólne ONZ przyjęło rezolucję nr 73/187 w sprawie przeciwdziałania wykorzystywaniu technologii informacyjno-komunikacyjnych w celach przestępczych 3 . Następnie 27 grudnia 2019 r. przyjęło rezolucję nr 74/247 4 , na podstawie której ustanowiono otwarty międzyrządowy komitet ekspertów ad hoc ("komitet ad hoc"), aby opracować kompleksową międzynarodową konwencję w sprawie przeciwdziałania wykorzystywaniu technologii informacyjno-komunikacyjnych w celach przestępczych. W rezolucji nr 74/247 podkreślono potrzebę rozwinięcia koordynacji i współpracy między państwami w zwalczaniu wykorzystywania technologii informacyjno- komunikacyjnych w celach przestępczych, w tym poprzez udzielanie pomocy technicznej krajom rozwijającym się, na ich wniosek. W rezolucji podkreślono także potrzebę poprawy krajowego ustawodawstwa i ram prawnych oraz budowania zdolności organów krajowych do radzenia sobie ze wskazanym wykorzystywaniem we wszystkich jego formach, w tym do zapobiegania mu, wykrywania go, prowadzenia dochodzeń i ścigania karnego 5 , z pełnym uwzględnieniem istniejących instrumentów międzynarodowych i wysiłków podejmowanych na szczeblu krajowym, regionalnym i międzynarodowym na rzecz walki z wykorzystywaniem technologii informacyjno- komunikacyjnych w celach przestępczych, w szczególności prac i wyników prac otwartej międzyrządowej grupy ekspertów powołanej do przeprowadzenia kompleksowego badania problemu cyberprzestępczości 6 . Wiceprzewodniczącymi komitetu ad hoc są trzy państwa członkowskie UE (Estonia, Polska i Portugalia) 7 .

3. 26 maja 2021 r. w rezolucji nr 75/282 8  Zgromadzenie Ogólne ONZ ponownie potwierdziło, że komitet ad hoc w pełni uwzględni istniejące instrumenty międzynarodowe oraz podejmowane na szczeblu krajowym, regionalnym i międzynarodowym wysiłki na rzecz walki z wykorzystywaniem technologii informacyjno-komunikacyjnych w celach przestępczych 9 . Zgromadzenie Ogólne ONZ postanowiło, że komitet ad hoc zwoła co najmniej sześć sesji,

a zwieńczeniem jego pracy będzie przedstawienie projektu konwencji Zgromadzeniu Ogólnemu na jego siedemdziesiątej ósmej sesji, która powinna rozpocząć się we wrześniu 2023 r., a zakończyć we wrześniu 2024 r.

4. Pierwsza sesja negocjacyjna odbyła się w dniach od 28 lutego do11 marca 2022 r. Omówiono wówczas cele, zakres, strukturę i kluczowe elementy konwencji 10 . Zgodnie z projektem sprawozdania z pierwszej sesji negocjacyjnej uzgodniono, że struktura konwencji powinna składać się z następujących elementów 11 :

preambuła,

1. postanowienia ogólne,

2. penalizacja,

3. środki proceduralne i ściganie przestępstw,

4. współpraca międzynarodowa,

5. pomoc techniczna, w tym wymiana doświadczeń,

6. środki zapobiegawcze,

7. mechanizm wdrażania,

8. postanowienia końcowe.

5. Komisja Europejska uczestniczyła w posiedzeniach komitetu ad hoc jako obserwator. 24 i 25 marca 2022 r. odbyła się sesja międzysesyjna, podczas której poproszono różne zainteresowane strony o uwagi dotyczące opracowania projektu konwencji 12 . Kolejna sesja negocjacyjna powinna rozpocząć się 30 maja 2022 r 13 .

6. 29 marca 2022 r. Komisja Europejska wydała zalecenie dotyczące decyzji Rady upoważniającej Komisję do udziału w imieniu Unii Europejskiej w negocjacjach Organizacji Narodów Zjednoczonych dotyczących kompleksowej konwencji międzynarodowej w sprawie przeciwdziałania wykorzystywaniu technologii informacyjno-komunikacyjnych w celach przestępczych ("zalecenie") 14 . W załączniku ("załącznik") do zalecenia przedstawiono proponowane wytyczne Rady dotyczące negocjacji w sprawie konwencji.

7. Komisja zaleca przyjęcie decyzji Rady na podstawie procedury określonej w art. 218 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) dla umów zawartych między UE a państwami trzecimi. W przedmiotowym zaleceniu Komisja stara się uzyskać od Rady upoważnienie do pełnienia roli głównego negocjatora w imieniu UE, aby zapewnić odpowiedni udział UE w negocjacjach na forum ONZ, które, jak się przewiduje, będą dotyczyć elementów związanych z prawodawstwem i kompetencjami UE, zwłaszcza w dziedzinie cyberprzestępczości 15 .

8. Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 29 marca 2022 r. zgodnie z art. 42 ust. 1 EUDPR. EIOD z zadowoleniem przyjmuje odniesienie się do tych konsultacji w motywie 5 zalecenia.

7. WNIOSKI

42. EIOD popiera przyjęcie decyzji Rady wyraźnie upoważniającej Komisję Europejską do uczestniczenia w imieniu UE w toczących się negocjacjach ONZ dotyczących przedmiotowej konwencji. Podkreśla jednak, że upoważnienie do udziału w negocjacjach nie powinno wymagać od UE bycia stroną konwencji, jeśli zostanie ona przyjęta, a w szczególności UE nie powinna dążyć do bycia stroną takiej konwencji, w przypadku gdy poziom ochrony danych osób fizycznych gwarantowany przez prawo UE zostanie naruszony.

43. EIOD z zadowoleniem przyjmuje i podkreśla znaczenie pkt 6, 17 i 23 załącznika, które mają na celu zachowanie istniejących instrumentów globalnych i regionalnych, oraz zabezpieczeń określonych w pkt 8, 9, 10, 11, 13, 18, 19 i 24 załącznika.

44. W świetle powyższego EIOD wydaje następujące zalecenia:

w odniesieniu do relacji między konwencją a innymi instrumentami,

- uwzględnienie w mandacie dążenia Unii do tego, aby zamiast konwencji zastosowanie miały przyszłe umowy z państwami trzecimi, o ile zagwarantują one wyższe standardy w zakresie ochrony praw podstawowych, w szczególności prawa do prywatności i ochrony danych;

w odniesieniu do zakresu stosowania konwencji,

- zawężenie przepisów dotyczących współpracy międzynarodowej do przestępstw określonych w konwencji;

- wyraźne zaznaczenie w mandacie, że Unia powinna sprzeciwić się wszelkim przepisom dotyczącym transgranicznego bezpośredniego dostępu do danych i transgranicznej bezpośredniej współpracy z dostawcami usług;

- wyjaśnienie, że wytyczne, o których mowa w punkcie 15 załącznika, nie dotyczą współpracy transgranicznej;

w odniesieniu do konieczności zapewnienia odpowiednich zabezpieczeń i poszanowania praw podstawowych,

- wyraźne zaznaczenie w mandacie, że Unia powinna zapewnić przejrzyste rozgraniczenie między kategoriami danych;

- uwzględnienie w mandacie wytycznej mającej na celu doprowadzenie do tego, aby do konwencji został załączony wyczerpujący wykaz właściwych organów w krajach, do których będą przekazywane dane, oraz krótki opis ich kompetencji;

w odniesieniu do postanowień końcowych konwencji,

- szczegółowe określenie w mandacie, że Unia powinna dążyć, aby umawiające się państwo mogło w momencie podpisania, ratyfikacji lub przystąpienia oświadczyć, że nie wykona polecenia przekazania danych osobowych innej stronie, jeżeli istnieją przesłanki wskazujące na to, że w państwie wnioskującym nie zapewnia się już niezbędnego poziomu ochrony danych;

- uwzględnienie w mandacie, że Unia powinna dążyć do wprowadzenia klauzuli określającej obowiązkowy okresowy przegląd funkcjonowania konwencji w praktyce. Przegląd należy przeprowadzić najpóźniej pięć lat po wejściu konwencji w życie, a następnie w regularnych odstępach czasu, z określeniem częstotliwości dodatkowych przeglądów. Należy określić zakres przeglądu. Przegląd powinien koncentrować się nie tylko na wdrożeniu konwencji, ale także na ocenie konieczności i proporcjonalności. W skład zespołów ds. przeglądu powinni wchodzić eksperci w dziedzinie ochrony danych, w tym przedstawiciele krajowych organów ochrony danych;

- uwzględnienie w mandacie, że Unia powinna dążyć do zapewnienia, aby konwencja nie miała zastosowania między dwoma umawiającymi się państwami, jeżeli jedno z nich złoży zawiadomienie, że ratyfikacja, przyjęcie, zatwierdzenie lub przystąpienie innego umawiającego się państwa nie będzie miało skutku w postaci ustanowienia stosunków między tymi dwoma umawiającymi się państwami na mocy niniejszej konwencji.

45. EIOD pozostaje do dyspozycji Komisji, Rady i Parlamentu Europejskiego w celu zapewnienia doradztwa na późniejszym etapie procesu. Uwagi zawarte w niniejszej opinii nie powodują uszczerbku dla ewentualnych dodatkowych uwag, które EIOD może formułować w miarę powstawania kolejnych kwestii, do których ustosunkuje się, gdy dostępna będzie odpowiednia informacja. EIOD oczekuje, że przed finalizacją konwencji treść jej projektu zostanie z nim skonsultowana.