Opinia dotycząca wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie badania wypadków i incydentów w lotnictwie cywilnym oraz zapobiegania im.
Dz.U.UE.C.2010.132.1
Akt nienormatywny(2010/C 132/01)
(Dz.U.UE C z dnia 21 maja 2010 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41(2),
PRZYJMUJE NINIEJSZĄ OPINIĘ:
I. WPROWADZENIE
1. W dniu 29 października 2009 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie badania wypadków i incydentów w lotnictwie cywilnym oraz zapobiegania im(3). Rozporządzenie to ma zastąpić dyrektywę Rady 94/56/WE ustanawiającą podstawowe zasady regulujące postępowanie w dochodzeniu przyczyn wypadków i zdarzeń w lotnictwie cywilnym(4).
2. Nie skonsultowano się z EIOD zgodnie z wymogami art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. Obecna opinia opiera się zatem na art. 41 ust. 2 tego samego rozporządzenia. EIOD zaleca włączenie odniesienia do niniejszej opinii w preambułę wniosku.
3. Pomimo że EIOD z żalem stwierdza, że nie skonsultowano się z nim w odpowiednim czasie, tytułem uwagi o charakterze ogólnym zauważa z zadowoleniem, że aspekty związane z ochroną danych zostały uwzględnione we wniosku. Niektóre przepisy wymagają, aby przewidziane środki pozostawały bez uszczerbku dla dyrektywy 95/45/WE, a poufność danych jest jednym z najważniejszych aspektów wniosku.
4. EIOD stwierdził jednak istnienie pewnych braków i niejasności dotyczących kwestii ochrony danych osobowych. Uwagi te zostaną rozwinięte w rozdziale III, po przedstawieniu kontekstu i okoliczności powstania wniosku w rozdziale II.
II. KONTEKST I OKOLICZNOŚCI POWSTANIA WNIOSKU
5. Wniosek ma na celu uaktualnienie istniejących regulacji w dziedzinie badania wypadków lotniczych. Wcześniejsze przepisy, przyjęte piętnaście lat temu, nie odpowiadają już nowemu wspólnemu rynkowi lotniczemu i wiedzy specjalistycznej koniecznej przy bardziej skomplikowanych układach statków powietrznych. Narastające różnice między możliwością prowadzenia dochodzeń w państwach członkowskich są również uzasadnieniem dla nowych ram wspierających współpracę i koordynację krajowych organów dochodzeniowych.
6. W związku z tym we wniosku skupiono się na ustanowieniu europejskiej sieci organów ds. badania zdarzeń lotniczych, aby ułatwić prowadzenie lepiej zorganizowanej współpracy. Wniosek zawiera także wiążące przepisy, których głównym celem jest określenie wzajemnych praw i obowiązków krajowych organów dochodzeniowych oraz Europejskiej Agencji Bezpieczeństwa Lotniczego (EASA), zapewnienie ochrony danych szczególnie chronionych oraz ustanowienie jednolitych wymogów w zakresie stosowania zalecenia dotyczącego bezpieczeństwa.
7. EIOD nie ma żadnych uwag w odniesieniu do ogólnego celu omawianego wniosku i w pełni popiera podjętą inicjatywę, która ma na celu poprawienie skuteczności badań i w konsekwencji zapobieganie wypadkom lotniczym w przyszłości. Przedstawione poniżej uwagi koncentrują się na tych aspektach wniosku, które mają wpływ na ochronę danych osobowych, w szczególności przetwarzanie danych z list pasażerów, danych dotyczących ofiar, ich rodzin i świadków jak również personelu pokładowego, podczas różnych etapów badania oraz w kontekście wymiany informacji między organami ds. badania zdarzeń lotniczych.
III. ANALIZA WNIOSKU
III.1. Cel wniosku
8. Motyw 3 i art. 1 przywołują ograniczenie określone wcześniej w uzasadnieniu wniosku, zgodnie z którym jedynym celem badań wypadków lub incydentów powinno być zapobieganie wypadkom i incydentom w przyszłości bez orzekania co do winy lub odpowiedzialności. EIOD z zadowoleniem przyjmuje ten zapis, który jest zgodny z zasadą celowości przedstawioną w art. 4 rozporządzenia (WE) nr 45/2001 i w art. 6 dyrektywy 95/46/WE. Zgodnie z tymi przepisami dane osobowe należy przetwarzane w konkretnych, jasno określonych i zgodnych z prawem celach i nie poddawać dalszemu przetwarzaniu niezgodnemu z tymi celami.
9. Mimo że celowość tę określono jasno na początku wniosku, istotne jest, aby żadne odstępstwo nie pozbawiło tej zasady jej istoty, o czym będzie mowa w rozdziałach III.4-III.6.
10. EIOD zauważa, że poza głównym celem, jakim jest poprawa bezpieczeństwa lotniczego, projekt rozporządzenia przewiduje również gromadzenie danych osobowych w kontekście pomocy ofiarom i ich rodzinom (art. 23). EIOD nie stwierdza istnienia niedociągnięć w zakresie zgodności tego celu z celem badania wypadków i incydentów. Artykuł 1 rozporządzenia mógłby jednak zostać uzupełniony, aby uwzględniał we właściwy sposób oba aspekty rozporządzenia.
III.2. Gromadzenie informacji
11. We wniosku opisano szczegółowo szeroki zakres informacji, które mogą uzyskać osoby odpowiedzialne za badanie. Obejmuje on w szczególności dane osobowe, takie jak te pochodzące z rejestratorów parametrów lotu i wszelkie inne zarejestrowane informacje, wyniki badania ciał ofiar lub osób zaangażowanych w eksploatację statku powietrznego oraz przesłuchiwania świadków, od których można zażądać istotnych informacji lub dowodów.
12. Informacje te udostępniane są osobie odpowiedzialnej za badanie, jak również jej ekspertom i doradcom oraz pełnomocnym przedstawicielom, zgodnie z zasadą ograniczonego dostępu. EASA ma również prawo dostępu do niektórych informacji, kiedy bierze udział w badaniu pod kontrolą osoby odpowiedzialnej za badanie, z kilkoma wyjątkami, na przykład kiedy świadek nie zgadza się na ujawnienie swoich zeznań.
13. Wniosek zawiera również warunki udostępniania listy pasażerów. Cel tego zabiegu nie jest związany wyłącznie z prowadzaniem badania, ale odnosi się również do konieczności kontaktowania się z rodzinami i służbami medycznymi.
14. EIOD z zadowoleniem przyjmuje stopień szczegółowości zawartych we wniosku warunków gromadzenia danych osobowych w związku z wyznaczonym celem, który jest zgodny z zasadą konieczności(5) przepisów o ochronie danych.
III.3. Przechowywanie danych osobowych
15. EIOD rozumie konieczność powszechnego gromadzenia informacji, w tym danych osobowych określonych powyżej, podkreśla jednak potrzebę ustanowienia surowych przepisów w zakresie ich przechowywania i nieujawniania osobom trzecim.
16. Jeżeli chodzi o przechowywanie, w art. 14 wniosku przewiduje się konieczność zachowywania dokumentów, materiałów i nagrań z oczywistych powodów związanych z prowadzeniem badania. Wniosek nie zawiera jednak żadnego wskazania odnośnie do czasu przechowywania tych informacji. Zgodnie z zasadami ochrony danych(6), dane osobowe należy przechowywać "w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane". Z tego powodu dane osobowe należy z zasady usuwać niezwłocznie po zakończeniu badania lub przechowywać je w formacie anonimowym, jeśli całkowite usunięcie nie jest możliwe(7). Wszelkie powody dłuższego przechowywania danych identyfikowalnych należy wskazać i uzasadnić, z uwzględnieniem kryteriów służących do identyfikacji osób, które mają prawo przechowywać dane. We wniosku należy wprowadzić odpowiedni przepis, który powinien mieć zastosowanie horyzontalne do wszelkich danych osobowych wymienianych w sieci.
III.4. Dostępność i publikowanie informacji
17. Mimo że wniosek ustanawia jako zasadę, że dane osobowe należy wykorzystywać wyłącznie na potrzeby badania i przez osoby odpowiedzialne za takie badania, tekst wniosku zawiera kilka szerokich odstępstw(8).
18. Dotyczą one zeznań świadków, które mogą być udostępniane lub wykorzystywane w celach innych niż badanie wypadków i incydentów, jeżeli świadek wyrazi na to zgodę (art. 15 ust. 1 lit. a)). EIOD przypomina, że taka zgoda uzyskana od świadka powinna być dobrowolna, precyzyjna i świadoma, a dalsze wykorzystanie informacji nie powinno mieć związku z celem, który nie dotyczy badań wypadków i incydentów. Jeżeli te warunki nie są spełnione, nie należy używać zgody jako podstawy do dalszego wykorzystywania danych osobowych. Uwaga ta odnosi się również do wykorzystywania zgody w celu odstąpienia od zasady celowości w przypadku zapisów (art. 16).
19. Artykuł 15 wniosku także zawiera szerokie odstępstwo, które ma zastosowanie do każdego rodzaju szczególnie chronionych danych(9). Dane te, które z zasady podlegają szczególnej ochronie przed wykorzystaniem niezgodnym z przeznaczeniem, mogą być jednak ujawniane we wszystkich celach innych niż badanie wypadków i incydentów, jeżeli właściwy organ odpowiedzialny za wymiar sprawiedliwości w państwie członkowskim tak zdecyduje, uwzględniwszy istnienie nadrzędnego interesu oraz bilans korzyści wynikających z ujawnienia i negatywnych skutków w wymiarze krajowym i międzynarodowym dla badania i dla zarządzania bezpieczeństwem lotnictwa cywilnego. EIOD uważa, że to odstępstwo nie zapewnia wystarczającej pewności przestrzegania prawa. W szczególności pojęcie "właściwego organu odpowiedzialnego za wymiar sprawiedliwości" może prowadzić do powstania spekulacji. Decyzja administracyjna organu rządowego (na przykład departamentu sprawiedliwości) nie miałaby takiej samej mocy jak decyzja sądu w indywidualnym przypadku. Nawet w przypadku decyzji sądu należy stosować ściśle określone warunki: poza tym, że cel musi być dopuszczalny prawem i zachodzi nadrzędność interesu publicznego(10), należy uwzględniać interesy i podstawowe prawa podmiotów danych. W szczególności fakt, że dane osobowe uzyskane od osoby fizycznej w ramach badania wypadków i incydentów mogą być wykorzystane przeciwko niej w sądzie, może wpływać na zasadność przetwarzania danych. EIOD apeluje o jaśniejsze sformułowanie tego odstępstwa i o ustanowienie szczegółowej procedury obejmującej bardziej rygorystyczne zabezpieczenia w zakresie ochrony podstawowych praw podmiotów danych.
20. EIOD apeluje również o zdefiniowanie jednego typu szczególnie chronionych danych wspomnianych w tym artykule, a mianowicie informacji, które mają charakter "szczególnie chronionych lub prywatnych". Dyrektywa 95/46/WE zawiera definicję danych szczególnie chronionych, ale nie jest jasne, czy wniosek odnosi się do tej definicji. Jeśli celem jest zastosowanie definicji szczególnie chronionych danych przedstawionej w dyrektywie 95/46/WE oraz wyjście poza nią, bardziej odpowiednia terminologia mogłaby odnosić się do informacji, które mają charakter szczególnie osobistych lub prywatnych, w tym szczególnie chronionych danych w rozumieniu dyrektywy 95/46/WE, jak również innych przykładów danych osobowych wymienionych w definicji. Należy to jasno określić w art. 2 (przepis dotyczący definicji) lub w art. 15 wniosku.
21. Zapisy są w podobny sposób chronione z zasady, ale w niektórych przypadkach można je udostępniać lub wykorzystywać w innych celach, na przykład do celów zdatności do lotu lub obsługi technicznej, jeżeli materiały są pozbawione elementów pozwalających na identyfikację lub jeśli są ujawniane z zachowaniem procedur zabezpieczających. Wyjątki te wzajemnie się wykluczają i nie mogą występować jednocześnie. EIOD pyta, dlaczego nie należy co do zasady pozbawiać zapisów elementów pozwalających na identyfikację - tj. przetwarzać w celu zachowania anonimowości(11): należy uzasadnić, dlaczego wykorzystywanie do celów zdatności do lotu lub obsługi technicznej wymaga przetwarzania danych identyfikowalnych. Ponadto trzeci wyjątek, który zezwala na ujawnienie z zachowaniem procedur zabezpieczających, jest zbyt niejasny i nieproporcjonalny. Wyjątek ten należy usunąć, jeżeli określone zgodne z prawem cele nie zostaną wskazane.
22. Ta sama zasada pozbawiania elementów pozwalających na identyfikację powinna mieć automatycznie zastosowanie w odniesieniu do przekazywania informacji, o którym mowa w art. 8, 17 i 18 wniosku, odnoszących się do sieci i przekazywania informacji. EIOD z zadowoleniem przyjmuje wzmiankę o obowiązku tajemnicy zawodowej oraz o obowiązku przekazywania wyłącznie istotnych informacji właściwym stronom. Popiera również zasadę wspomnianą w art. 19 ust. 2, zgodnie z którą raport z badania gwarantuje anonimowość osób, które uczestniczyły w wypadku lub incydencie.
23. Opublikowanie listy pasażerów także wymaga spełnienia kilku warunków. Obowiązuje zasada, że lista może zostać podana do wiadomości publicznej tylko po powiadomieniu wszystkich rodzin pasażerów, zaś państwa członkowskie mogą zdecydować o utajnieniu listy. EIOD uważa, że zasada ta powinna zostać odwrócona. Listę należy z zasady utajnić, ale państwa członkowskie mogłyby, w określonych przypadkach i z uzasadnionych przyczyn, zdecydować o opublikowaniu tej listy po powiadomieniu wszystkich rodzin i uzyskaniu ich zgody na publikację nazwisk ich krewnych. W związku z tym EIOD zaleca zmianę art. 22 ust 3.
III.5. Wymiana informacji między państwami członkowskimi i z państwami trzecimi
24. Jednym z głównych powodów przygotowania projektu rozporządzenia jest utworzenie sieci umożliwiającej organom dochodzeniowym wymianę informacji i doświadczeń. Zgodnie z art. 8 ust. 6 projektu wniosku, sieci biorące udział w pracach dokonują wymiany wszelkich informacji, którymi dysponują w kontekście stosowania rozporządzenia. Podejmują one wszelkie niezbędne środki, aby zapewnić odpowiedni poziom poufności takich informacji, zgodnie z obowiązującymi przepisami krajowymi i wspólnotowymi.
25. EIOD przyjmuje z zadowoleniem środki przewidziane w zakresie poufności informacji, w szczególności obowiązek nierozpowszechniania informacji, które Komisja uznała za poufne. O ile dane osobowe są przetwarzane przez sieć, EIOD uważa, że należy uzupełnić te zabezpieczenia nałożeniem obowiązku gwarantowania dokładności danych oraz ich ewentualnego poprawiania i usuwania w zsynchronizowany sposób przez wszystkich członków sieci przetwarzającej takie dane osobowe.
26. Rola archiwum wspomnianego w art. 15 ust. 3 powinna zostać sprecyzowana w odniesieniu do przepływu informacji wewnątrz sieci. Należy w szczególności wyjaśnić, że - jak nieoficjalnie poinformowano EIOD - centralne archiwum nie jest w żaden sposób połączone z siecią i nie zawiera danych osobowych. EIOD zauważa w tym względzie, że takie informacje jak numery lotów mogą umożliwić pośrednią identyfikację osób biorących udział w wypadku lub incydencie lotniczym. Rozporządzenie powinno przynajmniej precyzować, że informacje przechowywane w archiwum nie mogą zostać wykorzystane do odszukania osób biorących udział w wypadku lub incydencie lotniczym.
27. EIOD zauważa, że obserwatorzy i eksperci, do których mogą należeć przedstawiciele firm lotniczych lub producenci samolotów, mają możliwość przyłączenia się do sieci. Mieliby oni dostęp do takich samych informacji jak członkowie sieci, wyłączając przypadki, w których Komisja zdecyduje, że informacje są poufne i że dostęp do nich powinien zostać ograniczony. Przepis ten może umożliwić osobom trzecim dostęp do danych osobowych dotyczących na przykład ofiar lub świadków, jeśli nie uznano ich za poufne. EIOD uważa, że w kontekście tego wniosku dane osobowe należy zawsze uznawać za poufne. Jeżeli tak się nie stanie, należy ograniczyć osobom trzecim dostęp do danych osobowych.
28. Nabiera to szczególnego znaczenia, gdy eksperci lub obserwatorzy reprezentują państwa trzecie lub gdy badanie jest przeprowadzane wspólnie z państwami trzecimi, które nie zapewniają właściwego poziomu ochrony. Do wniosku można dodać przepis przypominający o tym, że nie należy przekazywać danych osobowych przedstawicielom państw trzecich, które nie zapewniają właściwego poziomu ochrony, chyba że spełniono określone warunki(12). Miałby on zastosowanie szczególnie w odniesieniu do art. 8 dotyczącego sieci i art. 18 dotyczącego warunków przekazywania informacji.
29. Poprzez niniejsze uwagi wzywa się po raz kolejny do zastosowania ogólnej zasady anonimizacji danych osobowych na wczesnym etapie procesu oraz w momencie, kiedy identyfikacja nie jest już potrzebna do przeprowadzania badań, jak wspomniano w rozdziale III. 3.
III.6. Rola Komisji i EASA
30. EOID zauważa, że Komisja i EASA są zaangażowane w działanie sieci (art. 7 i 8) oraz że będą miały prawo do uczestniczenia w pewnym stopniu w badaniach wypadków i incydentów (art. 9). EIOD przypomina, że przetwarzanie danych osobowych przez te dwa organy musi być zgodne z rozporządzeniem (WE) nr 45/2001 oraz że przetwarzanie danych podlega nadzorowi ze strony EIOD. W rozporządzeniu należy dodać przepis regulujący tę kwestię.
31. EIOD apeluje o sprecyzowanie, w jakim stopniu sieć będzie zarządzana przez Komisję oraz poprzez infrastrukturę techniczną Unii Europejskiej. Jeżeli celem byłoby używanie istniejącej już sieci, należy jasno przedstawić i uzasadnić wszelkie plany pozwalające na interoperacyjność z istniejącymi bazami danych. EIOD podkreśla konieczność zapewnienia bezpiecznej sieci dostępnej wyłącznie w celach opisanych we wniosku oraz dla upoważnionych zainteresowanych stron. Odpowiednie role i zadania Komisji i EASA(13), jak również każdego innego organu Unii, który mógłby być zaangażowany w zarządzanie siecią, należy doprecyzować w tekście w celu osiągnięcia pewności prawa.
IV. WNIOSKI
32. EIOD z zadowoleniem przyjmuje fakt, że rozporządzenie ma zastosowanie wyraźnie bez uszczerbku dla dyrektywy 95/46/WE i, w konsekwencji, w pewnym stopniu, uwzględnia zasady ochrony danych. Biorąc jednak pod uwagę kontekst, w którym dane osobowe są przetwarzane, uważa, że należy dodać szczegółowe przepisy w celu zapewnienia rzetelności przetwarzania.
33. Jest to tym bardziej konieczne, jeśli uwzględni się okoliczności, w których dane są przetwarzane: będą one dotyczyć głównie osób, które zostały bezpośrednio lub pośrednio poszkodowane w wyniku poważnego wypadku lub które straciły członka rodziny. Uzasadnia to konieczność skutecznej ochrony ich praw i ścisłych ograniczeń dotyczących przekazywania lub publikowania danych osobowych.
34. Biorąc pod uwagę, że celem wniosku jest umożliwienie badań wypadków i incydentów oraz że dane osobowe są istotne tylko, gdy są konieczne do przeprowadzenia takiego badania, należy z zasady jak najszybciej, a nie dopiero na etapie raportu końcowego, usuwać takie dane lub przetwarzać je w celu zachowania anonimowości. Należy to zagwarantować przez wprowadzenie przepisu horyzontalnego do rozporządzenia.
35. EIOD radzi również:
– ściśle określić i ograniczyć wyjątki od zasady celowości,
– wyznaczyć ograniczony czas przechowywania danych osobowych,
– zapewnić skoordynowaną procedurę dostępu, sprostowania lub usuwania danych osobowych, zwłaszcza w kontekście przekazywania ich państwom członkowskim za pośrednictwem sieci,
– uzależnić przekazanie danych osobowych reprezentantom państw trzecich od tego, czy zapewniają one właściwy poziom ochrony,
– doprecyzować role i zadania Komisji i EASA z myślą o stosowaniu rozporządzenia (WE) nr 45/2001.
Sporządzono w Brukseli dnia 4 lutego 2010 r.
| Peter HUSTINX | |
| Europejski Inspektor Ochrony Danych |
______
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) COM(2009) 611 wersja ostateczna.
(4) Dz.U. L 319 z 12.12.1994, s. 14.
(5) Artykuł 4 rozporządzenia (WE) nr 45/2001 i art. 6 dyrektywy 95/46/WE.
(6) Artykuł 4 lit. e) rozporządzenia (WE) nr 45/2001 i art. 6 lit. e) dyrektywy 95/46/WE.
(7) Przez anonimizację należy rozumieć uniemożliwienie dalszej identyfikacji danej osoby. W przypadku niektórych informacji, jak nagranie głosu, całkowita anonimizacja nie będzie możliwa, co uzasadnia potrzebę wprowadzenia bardziej rygorystycznych zabezpieczeń w celu uniknięcia jakiegokolwiek wykorzystania niezgodnego z przeznaczeniem.
(8) Z EIOD skonsultowano się w listopadzie 2008 r. przy okazji postępowania pojednawczego w sprawie wniosku dotyczącego dyrektywy ustanawiającej podstawowe zasady regulujące postępowanie dochodzeniowe w sprawie wypadków w sektorze transportu morskiego. Uwzględniając analogię między dwoma kontekstami, omówiono podobne kwestie, a uwagi w rozdziale III.4, jak na przykład odpowiedź na wcześniejszą konsultację, skupiają się na zachowaniu równowagi między ujawnianiem informacji w trakcie badania a ochroną danych.
(9) Obejmują one informacje dotyczące świadków, korespondencję pomiędzy osobami zaangażowanymi w eksploatację statku powietrznego lub nagrania pochodzące od organów kontroli ruchu lotniczego. Dotyczy to również informacji, które mają charakter "szczególnie chronionych", na przykład informacji na temat stanu zdrowia.
(10) Należy zauważyć, że dyrektywa 95/46/WE przewiduje odstępstwa od zasady celowości jedynie w przypadku, gdy jest to zgodne z prawem i konieczne do zabezpieczenia pewnych interesów publicznych zgodnie z warunkami art. 13.
(11) Pozbawianie materiałów elementów pozwalających na identyfikację czyni zadość zasadzie proporcjonalności, jeżeli ma być rozumiane jako całkowita anonimizacja, innymi słowy, jeżeli ponowna identyfikacja danej osoby nie jest możliwa (zob. przypis 5).
(12) Zob. art. 9 rozporządzenia (WE) nr 45/2001 i art. 26 dyrektywy 95/46/WE.
(13) Uwzględniając doprecyzowania w takich kwestiach jak to, kto zarządza prawami dostępu do sieci i kto gwarantuje jej integralność.