Opinia dotycząca wniosku w sprawie rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie Rady (WE) nr 2007/2004 ustanawiające Europejską Agencję Zarządzania Współpracą Operacyjną na Zewnętrznych Granicach Państw Członkowskich Unii Europejskiej (FRONTEX).
Dz.U.UE.C.2010.357.1
Akt nienormatywny(2010/C 357/01)
(Dz.U.UE C z dnia 30 grudnia 2010 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2),
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ
I. WPROWADZENIE
1. W dniu 24 lutego 2010 r. Komisja przyjęła wniosek w sprawie rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie Rady (WE) nr 2007/2004 ustanawiające Europejską Agencję Zarządzania Współpracą Operacyjną na Zewnętrznych Granicach Państw Członkowskich Unii Europejskiej (FRONTEX)(3) (zwane dalej wnioskiem lub proponowanym rozporządzeniem).
2. EIOD z radością przyjmuje fakt, że Komisja nieformalnie konsultowała się z nim przed przyjęciem wniosku. Nieformalne uwagi zostały wydane przez EIOD w dniu 8 lutego 2010 r. i w ich wyniku wprowadzono wiele zmian w ostatecznej wersji wniosku przyjętej przez Komisję.
3. W dniu 2 marca 2010 r. wniosek przyjęty przez Komisję został przekazany do EIOD do konsultacji zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001.
4. W tym kontekście warto również wspomnieć, że w dniu 26 kwietnia 2010 r. EIOD wydał opinię dotyczącą powiadomienia w sprawie wcześniejszego sprawdzenia otrzymanego od inspektora ochrony danych Europejskiej Agencji Zarządzania Współpracą Operacyjną na Zewnętrznych Granicach Państw Członkowskich Unii Europejskiej (FRONTEX) dotyczącego "gromadzenia nazwisk i niektórych innych odnośnych danych osób powracających w ramach wspólnych działań dotyczących powrotów (JRO)" (zwaną dalej opinią w sprawie wcześniejszego sprawdzenia)(4). Wnioski wspomnianej opinii, przedmiotem której jest przetwarzanie danych osobowych w kontekście przygotowania i realizacji wspólnych działań dotyczących powrotów na mocy art. 9 rozporządzenia (WE) nr 2007/2004 zostały wykorzystane jako podstawa do pewnych spostrzeżeń i wniosków przedstawionych w niniejszej opinii.
Cel wniosku
5. Jeśli chodzi o cel wniosku, w uzasadnieniu towarzyszącym proponowanemu rozporządzeniu czytamy: "niniejszy wniosek dotyczy zmian w rozporządzeniu Rady (WE) nr 2007/2004 (...), które są konieczne w celu zapewnienia właściwie określonego i prawidłowego funkcjonowania agencji FRONTEX w nadchodzących latach. Celem wniosku jest dostosowanie rozporządzenia w świetle przeprowadzonych ocen i praktycznych doświadczeń w celu jasnego określenia mandatu Agencji i wyeliminowania stwierdzonych niedociągnięć."
6. W tym kontekście należy zauważyć, że motyw 9 wniosku odwołuje się do faktu, że program sztokholmski nawołuje do wyjaśnienia i wzmocnienia roli Fronteksu w odniesieniu do zarządzania granicami zewnętrznymi Unii Europejskiej.
7. Ponadto motyw 10 odwołuje się do potrzeby wzmocnienia możliwości operacyjnych Fronteksu. Zgodnie z tym motywem "należy zatem zmienić mandat Agencji, aby szczególnie wzmocnić zdolności operacyjne Agencji, gwarantując jednocześnie, że wszystkie podjęte środki są proporcjonalne do wyznaczonych celów, przy pełnym poszanowaniu praw podstawowych (...)". Ponadto w motywie 11 podkreślono, że "w odniesieniu do dostępnych zasobów technicznych należy zwiększyć obecne możliwości zapewniania państwom członkowskim skutecznej pomocy w związku z operacyjnymi aspektami zarządzania granicami zewnętrznymi.".
8. Dodatkowo jak stwierdzono w motywie 4 wniosku "niniejsze rozporządzenie nie narusza praw podstawowych i jest zgodne z zasadami zawartymi w szczególności w Karcie praw podstawowych Unii Europejskiej, przede wszystkim: zasadą godności człowieka, zakazem tortur i nieludzkiego lub poniżającego traktowania i karania, prawem do wolności i bezpieczeństwa, prawem do ochrony danych osobowych, prawem do azylu, zasadą non-refoulement, zasadą niedyskryminacji, prawami dziecka oraz prawem do skutecznego środka prawnego. Niniejsze rozporządzenie powinno być stosowane przez państwa członkowskie zgodnie z tymi prawami i zasadami."
9. Wniosek odzwierciedla zalecenia wynikające z komunikatu Komisji z dnia 13 lutego 2008 r. w sprawie oceny i przyszłego rozwoju Agencji FRONTEX(5), a także zalecenia zarządu, zgodnie z którymi konieczne jest dokonanie przeglądu ram prawnych funkcjonowania Agencji, poza wyjątkami opisanymi w ocenie oddziaływania.
II. UWAGI OGÓLNE
10. Ogólnie rzecz biorąc EIOD zauważa, że wniosek ma na celu umożliwienie Fronteksowi bardziej efektywne wypełnianie jego zadań i odpowiedzialności, zarówno obecnych, jak i tych wynikających z wniosku. Nowe zadania Fronteksu omówione w uzasadnieniu obejmą, pod warunkiem zatwierdzenia zgodnie z wnioskiem Komisji, między innymi: 1) poszerzenie zakresu prac związanych z oceną ryzyka; 2) wzmocnienie prac związanych z badaniami; 3) wprowadzenie możliwości koordynowania wspólnych działań dotyczących powrotów; 4) nowe zadania związane z opracowywaniem i funkcjonowaniem systemów informatycznych; 5) nowe zadania związane ze wsparciem dla Eurosur itp.
11. Te nowe ramy prawne planowane we wniosku, zgodnie z którymi ma działać FRONTEX w niedalekiej przyszłości i które w konsekwencji mogą nadać mu nowe zadania operacyjne na mocy proponowanego rozporządzenia zostały dokładnie przeanalizowane przez EIOD w trakcie refleksji nad treścią i wnioskami niniejszej opinii.
12. W związku z tym oraz w związku z wcześniejszymi uwagami uwzględnienie możliwych nowych zadań i odpowiedzialności Agencji, uderzające jest, że we wniosku w zasadzie nie mówi się o przetwarzaniu przez FRONTEX danych osobowych, z wyjątkiem ostatniego zdania art. 11 wniosku. Kwestia ta będzie również omawiana dalej w świetle ustaleń i wniosków opinii EIOD dotyczącej wcześniejszego sprawdzenia, o której mowa w pkt 4.
13. Ponadto w opinii skupiono się na tych szczególnych postanowieniach wniosku, które mają lub mogą w przyszłości mieć konsekwencje dla ochrony danych. W związku z tym w opinii omówione zostaną następujące szczegółowe postanowienia:
– systemy wymiany informacji (nowe brzmienie art. 11),
– ochrona danych (dodany art. 11 lit. a),
– zasady bezpieczeństwa w zakresie ochrony informacji niejawnych i informacji szczególnie chronionych nieobjętych klauzulą poufności (dodany art. 11 lit. b),
– współpraca z agencjami i organami Unii Europejskiej oraz organizacjami międzynarodowymi (nowe brzmienie art. 13),
– ułatwienie współpracy operacyjnej z państwami trzecimi oraz współpracy z właściwymi organami państw trzecich (nowe brzmienie art. 14).
Brak szczegółowej podstawy prawnej dotyczącej przetwarzania danych przez FRONTEX
14. Jak już wspomniano, we wniosku nie określono, czy, a jeżeli tak, to w jakich okolicznościach, warunkach i ograniczeniach oraz z zastosowaniem jakich zabezpieczeń, FRONTEX miałby prawo do przetwarzania (niektórych) danych osobowych w kontekście zwiększającego się zakresu zadań i odpowiedzialności planowanego we wniosku. W proponowanym rozporządzeniu nie wyjaśnia się tej kwestii, nie ma też szczegółowej podstawy prawnej wyjaśniającej okoliczności, w których takie przetwarzanie przez FRONTEX mogłoby się odbywać, przy zastosowaniu silnych zabezpieczeń związanych z ochroną danych oraz zgodnie z zasadami proporcjonalności i konieczności.
15. W tym kontekście ważne jest odnieść się raz jeszcze do uzasadnienia, zgodnie z którym preferowany wariant oceny oddziaływania został w pełni odzwierciedlony we wniosku "z wyjątkiem kwestii udzielenia Fronteksowi ograniczonego upoważnienia do przetwarzania danych osobowych związanych z walką z siatkami przestępczymi organizującymi nielegalną imigrację". Dalej w uzasadnieniu czytamy, że "Komisja uznaje, że należy zbadać wszystkie możliwości zaostrzenia walki z przemytem migrantów i handlem ludźmi". "Opowiada się jednak za powróceniem do kwestii danych osobowych w kontekście ogólnej strategii wymiany informacji, która zostanie przedstawiona w późniejszym okresie bieżącego roku, oraz przy uwzględnieniu planowanej refleksji nad sposobem dalszego rozwoju współpracy między agencjami w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych zgodnie z wymaganiami programu sztokholmskiego.".
16. EIOD ma wątpliwości co do podejścia przyjętego przez Komisję we wniosku w odniesieniu do kwestii przetwarzania danych osobowych przez FRONTEX. Powyższy cytat z uzasadnienia nie wyjaśnia, jaki mógłby być zakres przetwarzania danych osobowych w innych obszarach działalności Fronteksu (zob. pkt 10 i 11). Aby wyjaśnić to na przykładzie, EIOD odwoła się do opinii dotyczącej wcześniejszego sprawdzenia w odniesieniu do przygotowania i realizacji wspólnych działań dotyczących powrotów, czyli działania, w ramach którego FRONTEX miałby, zgodnie z informacjami przekazanymi EIOD, przetwarzać dane osobowe w celu skutecznej realizacji zadań określonych w art. 9 rozporządzenia ustanawiającego FRONTEX.
17. W opinii dotyczącej wcześniejszego sprawdzenia EIOD zwracał uwagę, że "o ile to możliwe, a nawet konieczne, w oparciu o bardziej szczegółowe przepisy niż art. 9 rozporządzenia (WE) nr 2007/2004, ponieważ przedmiotowe dane i działania mają szczególnie wrażliwy charakter i dotyczą narażonej grupy. Chodzi więc o zapewnienie bardziej wyraźnych granic przetwarzania i właściwej gwarancji dla podmiotów danych, zgodnie z wymogami art. 8 Europejskiej Konwencji Praw Człowieka i Karty Praw Podstawowych UE".
18. EIOD jest zdania, że przykład wspólnych działań dotyczących powrotów, w ramach których uznaje się za konieczne przetwarzanie przez FRONTEX pewnych danych osobowych, pokazuje, że konieczne jest wyjaśnienie tej kwestii we wniosku. Niechęć Komisji do określenia tego we wniosku lub jasnego określenia terminu kiedy to uczyni, a w zamian odwlekanie sprawy z uwagi na nowe okoliczności prawne i polityczne (zob. pkt 15 niniejszej opinii) rodzi poważne obawy. Zdaniem EIOD takie podejście może prowadzić do niepożądanej niepewności prawnej i znaczącego ryzyka niezgodności z zasadami i środkami ochrony danych.
19. W związku z nowymi zadaniami i obowiązkami Fronteksu planowanymi we wniosku EIOD jest zdania, że proponowane rozporządzenie powinno, w niezbędnym i odpowiednim zakresie, dotykać kwestii zakresu działań, które mogą powodować przetwarzanie danych osobowych przez FRONTEX. EIOD uważa, że potrzebna jest szczegółowa podstawa prawna dotycząca przetwarzania danych osobowych przez FRONTEX w kontekście jego bieżących lub nowych zadań. Przetwarzanie powinno być możliwe jedynie w przypadkach, kiedy jest to konieczne do jasno określonych i zgodnych z prawem celów, w szczególności wspólnych działań dotyczących powrotów.
20. Podstawa prawna powinna ponadto określać niezbędne i stosowne zabezpieczenia, ograniczenia i warunki, w których takie przetwarzanie danych osobowych miałoby miejsce, zgodnie z art. 8 Europejskiej Konwencji Praw Człowieka oraz art. 8 Karty Praw Podstawowych UE.
21. Potrzeba doprecyzowania tych kwestii jest tym bardziej zasadna, że trudno jest jasno rozróżnić operacyjne i nieoperacyjne działania Fronteksu, a w szczególności przypadki, w których przetwarzanie danych osobowych odbywałoby się jedynie do celów administracyjnych lub operacyjnych. Terminy te nie są w pełni jednoznaczne jeśli chodzi o ich dokładny zakres i znaczenie. W związku z tym EIOD zwraca się do prawodawcy o wyjaśnienie tej kwestii w proponowanym rozporządzeniu.
22. EIOD korzysta również z okazji, aby podkreślić, że wnioski opinii dotyczącej wcześniejszej kontroli mają zastosowanie do konkretnego działania (tj. wspólnych działań dotyczących powrotów), które mają być prowadzone w przyszłości przez FRONTEX zgodnie z art. 9 rozporządzenia ustanawiającego FRONTEX(6). Wnioski te oparto na szczegółowej analizie okoliczności prawnych i praktycznych tej konkretnej działalności, a także informacjach dostarczonych EIOD przez FRONTEX w trakcie wcześniejszego sprawdzenia. W konsekwencji nie można ich zastosować do oceny niezbędności, proporcjonalności i zgodności z prawem każdego przetwarzania danych osobowych, które mogłoby w przyszłości być realizowane w ramach innych działań Fronteksu. Jeżeli FRONTEX planowałby jakiekolwiek przetwarzanie danych w przyszłości, powinno ono zostać poddane szczegółowej analizie zgodności z prawem przetwarzania, w związku z brakiem szczegółowych przepisów w rozporządzeniu ustanawiającym FRONTEX(7).
III. ANALIZA SZCZEGÓŁOWYCH PRZEPISÓW WNIOSKU
23. Jak wspomniano w pkt 13 w niniejszej opinii zostaną również omówione te szczegółowe przepisy wniosku, które mają lub mogą mieć wpływ na przetwarzanie danych w przyszłości (art. 11, 11 lit. a), 11 lit. b), 13 i 14).
Artykuł 11 - Systemy wymiany informacji
24. We wniosku znalazło się nowe brzmienie art. 11 rozporządzenia (WE) nr 2007/2004, które zmienia rolę Agencji, zobowiązując ją do ułatwiania wymiany informacji i opracowania oraz zapewniania funkcjonowania systemu informatycznego umożliwiającego wymianę informacji niejawnych. Dokładniej, proponowane brzmienie stanowi, że "Agencja może podjąć wszelkie niezbędne środki ułatwiające wymianę informacji istotnych dla jej zadań z Komisją i państwami członkowskimi. Opracowuje i stosuje system informacyjny umożliwiający wymianę informacji niejawnych z Komisją i państwami członkowskimi. Wymiana informacji za pośrednictwem tego systemu nie obejmuje wymiany danych osobowych.".
25. EIOD wyraża zadowolenie z wyszczególnienia zaproponowanego w ostatnim zdaniu powyższego przepisu, ponieważ wyjaśnia ono treść informacji, które mogą być wymieniane między Fronteksem i Komisją oraz państwami członkowskimi i nie pozostawia wątpliwości co do tego, czy taka wymiana informacji dotyczyłaby danych osobowych.
26. W tym kontekście EIOD pragnie jednak zwrócić uwagę na fakt, że proponowany art. 11 jest jedynym przepisem we wniosku, który w sposób jednoznaczny dotyczy kwestii przetwarzania danych osobowych przez FRONTEX w kontekście jego działań operacyjnych. Chodzi tu o wykluczenie wymiany danych osobowych w ramach konkretnego systemu informatycznego. Fakt, że inne przepisy, jak przepis dotyczący współpracy z agencjami i organami Unii Europejskiej oraz organizacjami międzynarodowymi (art. 13) czy przepis dotyczący współpracy z krajami trzecimi (art. 14) nie zawierają żadnych doprecyzowań tego typu, co może prowadzić do pewnych wątpliwości lub nawet niepokojów związanych z ochroną danych.
Artykuł 11 lit. a) - Ochrona danych
27. Wniosek przewiduje dodanie art. 11 lit. a), który dotyczy stosowania rozporządzenia (WE) nr 45/2001 i ma następujące brzmienie: "Zarząd ustanawia środki w celu stosowania przez Agencję rozporządzenia (WE) nr 45/2001, w tym środki dotyczące inspektora ochrony danych Agencji.".
28. EIOD z zadowoleniem przyjmuje przepis potwierdzający, że Agencja zobowiązana jest do przetwarzania danych osobowych zgodnie z rozporządzeniem (WE) nr 45/2001, o ile tylko jest to możliwe.
29. W tym kontekście mianowanie inspektora danych osobowych ma szczególne znaczenie i powinno mu towarzyszyć szybkie opracowanie przepisów wdrażających w odniesieniu do zakresu uprawnień i zadań, które zostaną powierzone inspektorowi danych osobowych zgodnie z art. 24 ust. 8 rozporządzenia (WE) nr 45/2001. Ponadto przepisy te należałoby uzupełnić wszelkimi niezbędnymi środkami służącymi skutecznemu stosowaniu tego rozporządzenia przez FRONTEX.
30. Zapis ten jest szczególnie zasadny również w kontekście wniosków opinii dotyczącej wcześniejszego sprawdzenia, do celów której FRONTEX poinformował EIOD, że właściwe i skuteczne wykonywanie zadań wypływających z art. 9 rozporządzenia ustanawiającego FRONTEX może wymagać przetwarzania danych osobowych. Ponieważ rozporządzenie (WE) nr 45/2001 ma zastosowanie, FRONTEX, jako administrator danych, będzie musiał zapewnić zgodność ze wszystkimi przepisami tego rozporządzenia.
31. Należy również wspomnieć w tym miejscu, że wniosek nie zawiera żadnych szczegółowych postanowień dotyczących wykonywania praw podmiotów danych (art. 13-19 rozporządzenia (WE) nr 45/2001). Ponadto nie ma szczególnych przepisów dotyczących obowiązku administratora danych do przekazywania informacji podmiotowi danych (art. 11 i 12 rozporządzenia (WE) nr 45/2001). EIOD zaleca zwrócenie szczególnej uwagi na te przepisy w środkach opracowywanych przez Zarząd w oparciu o proponowany we wniosku art. 11 lit. a).
Artykuł 11 lit. b) - Zasady bezpieczeństwa w zakresie ochrony informacji niejawnych i informacji szczególnie chronionych nieobjętych klauzulą poufności
32. Artykuł 11 lit. b) stanowi, że do informacji niejawnych FRONTEX powinien stosować zasady bezpieczeństwa wynikające z decyzji Komisji 2001/844/WE, EWWiS, Euratom. Obejmuje to, między innymi, przepisy dotyczące wymiany, przetwarzania i przechowywania informacji niejawnych. Proponowany zapis zobowiązuje również Agencję do przetwarzania wrażliwych informacji, które nie mają statusu niejawnych, zgodnie z przepisami przyjętymi i wdrożonymi przez Komisję.
33. EIOD z zadowoleniem przyjmuje ten przepis jako niezbędne wyszczególnienie dotyczące sposobu zabezpieczania, wymiany, przetwarzania i przechowywania przez FRONTEX informacji niejawnych. EIOD również z zadowoleniem przyjmuje sposób, w jaki informacje, które nie mają statusu niejawnych, powinny być bezpiecznie przetwarzane zgodnie z zasadami bezpieczeństwa przyjętymi przez Komisję. W celu uzupełnienia i wyjaśnienia obowiązku bezpieczeństwa EIOD zaleca dodanie słów: "i opracowuje odpowiednio swoją własną szczegółową politykę bezpieczeństwa" do ostatniego zdania art. 11 lit. b). W celu zapewnienia skuteczności przepisów Komisji konieczna jest ich właściwa transpozycja i wdrożenie w ramach własnej dostosowanej polityki bezpieczeństwa.
Artykuł 13 - Współpraca z agencjami i organami Unii Europejskiej oraz organizacjami międzynarodowymi
34. We wniosku zastąpiono obecne brzmienie art. 13 rozporządzenia ustanawiającego FRONTEX. Zgodnie z nowym brzmieniem "Agencja może współpracować z Europolem, Europejskim Urzędem Wsparcia w dziedzinie Azylu, Agencją Praw Podstawowych oraz innymi agencjami i organami Unii Europejskiej oraz organizacjami międzynarodowymi właściwymi w kwestiach objętych niniejszym rozporządzeniem w ramach ustaleń roboczych dokonanych z tymi organami zgodnie z odpowiednimi postanowieniami Traktatu oraz przepisami w sprawie uprawnień tych podmiotów.".
35. Po przeanalizowaniu tego przepisu EIOD rozumie, że ustalenia robocze z agencjami, organami i organizacjami międzynarodowymi, o których mowa w tym artykule nie będą pociągały za sobą przetwarzania danych osobowych. Takie zrozumienie wynika z faktu, że nowe brzmienie nie uszczegółowia tej kwestii, ani nie określa kategorii danych, które mogą być wymienianie między agencjami i organami. Nie określa również warunków, na jakich taka wymiana mogłaby się odbywać.
36. Bez uszczerbku dla powyższego stanowiska EIOD chciałby zwrócić uwagę na przepisy art. 22 decyzji Rady z dnia 6 kwietnia 2009 r. ustanawiającej Europejski Urząd Policji (Europol)(8) (zwanej dalej decyzją o Europolu) w sprawie Stosunków z instytucjami, organami, urzędami i agencjami unijnymi lub wspólnotowymi. Zapis ten umożliwia Europolowi nawiązywanie i utrzymywanie współpracy z instytucjami, organami, urzędami i agencjami powołanymi przez lub na podstawie Traktatu o Unii Europejskiej i Traktatu ustanawiającego Wspólnoty Europejskie, w szczególności z Fronteksem. W tym kontekście należałoby dodać, że art. 22 ust. 2 stanowi, że "Europol może zawierać porozumienia lub dokonywać uzgodnień roboczych z podmiotami, o których mowa w ust. 1. Tego rodzaju porozumienia lub uzgodnienia robocze mogą dotyczyć wymiany informacji o charakterze operacyjnym, strategicznym lub technicznym, w tym danych osobowych i informacji niejawnych. Tego rodzaju porozumienia lub uzgodnienia robocze mogą być zawierane wyłącznie po zatwierdzeniu przez zarząd, który - w zakresie, w jakim dotyczy to wymiany danych osobowych - uzyskał wcześniej opinię wspólnego organu nadzorczego." Ponadto na podstawie art. 22 ust. 3 Europol może, przed wejściem w życie porozumienia lub porozumienia roboczego, o którym mowa w ust. 2, bezpośrednio otrzymywać i wykorzystywać informacje, w tym dane osobowe, od jednostek, o których mowa w ust. 1, o ile jest to niezbędne do właściwego wykonywania jego zadań, oraz może, na warunkach określonych w art. 24 ust. 1 bezpośrednio przekazywać informacje, w tym dane osobowe, takim jednostkom, o ile jest to niezbędne do właściwego wykonywania zadań przez odbiorcę.
37. W związku z tym, że decyzja o Europolu zawiera przepisy, które mogłyby pozwolić Europolowi na zawarcie porozumienia lub porozumienia roboczego z Fronteksem, co mogłoby prowadzić do wymiany informacji operacyjnych, strategicznych lub technicznych, w tym danych osobowych, EIOD zwraca się do prawodawcy do wyjaśnienia w proponowanym rozporządzeniu, że porozumienie robocze, które mogłoby zostać zawarte z Europolem na podstawie proponowanego art. 13 rozporządzenia ustanawiającego FRONTEX wyklucza wymianę danych osobowych.
Artykuł 14 - Ułatwienie współpracy operacyjnej z państwami trzecimi oraz współpracy z właściwymi organami państw trzecich
38. Artykuł 14 ust. 1 wniosku dotyczy kwestii ułatwienia współpracy operacyjnej z państwami trzecimi oraz współpracy z właściwymi organami państw trzecich. Dokładniej stanowi on, że "w kwestiach objętych działaniami Agencji i w zakresie wymaganym do wypełnienia jej zadań Agencja ułatwia współpracę operacyjną między państwami członkowskimi i państwami trzecimi w ramach polityki stosunków zewnętrznych Unii Europejskiej, w tym w odniesieniu do praw człowieka." Ponadto ust. 6 wspomnianego artykułu stanowi, że "Agencja może współpracować z organami państw trzecich właściwymi w sprawach objętych niniejszym rozporządzeniem w ramach ustaleń roboczych dokonanych z tymi organami zgodnie z odpowiednimi postanowieniami Traktatu.".
39. Jeśli chodzi o powyższy zapis, EIOD zauważa, że nie dotyczy on przetwarzania danych osobowych, ani nie określono w nim, czy, a jeżeli tak, to w jakim zakresie i w jakich okolicznościach "porozumienia robocze" przewidziane w tym zapisie, obejmowałyby dane osobowe. W związku z tym oraz uwzględniając rozumowanie opisane w uwagach ogólnych, EIOD rozumie, że zapis ten nie pociąga za sobą przetwarzania danych osobowych. Taki wniosek jest również zgodny z informacją otrzymaną przez EIOD od Fronteksu w ramach powiadomienia o wcześniejszym sprawdzeniu w odniesieniu do wspólnych działań dotyczących powrotów.
IV. WNIOSKI
40. EIOD z zadowoleniem przyjmuje fakt, że Komisja konsultowała się z nim zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001.
41. EIOD odnotował cel proponowanego rozporządzenia oraz przyczyny, które leżą u podstaw przyjęcia wniosku zmieniającego ramy legislacyjne funkcjonowania Fronteksu. Zauważa w szczególności, że wniosek ma na celu umożliwienie Fronteksowi bardziej efektywne wypełnianie jego zadań i odpowiedzialności, zarówno obecnych, jak i tych wynikających z wniosku.
42. Uwzględniając nowe ramy prawne wynikające z wniosku, w oparciu o które FRONTEX ma działać w niedalekiej przyszłości, co może również prowadzić do nadania Fronteksowi nowych zadań operacyjnych w oparciu o proponowane rozporządzenie, uderzające jest, że we wniosku nie ma mowy o przetwarzaniu danych osobowych przez FRONTEX, z jedynym wyjątkiem ostatniego zdania art. 11.
43. EIOD jest zdania, że proponowane rozporządzenie powinno, w niezbędnym i odpowiednim zakresie, dotykać kwestii zakresu działań, które mogą powodować przetwarzanie danych osobowych przez FRONTEX.
44. Potrzebna jest szczegółowa podstawa prawna dotycząca przetwarzania danych osobowych przez FRONTEX, wyjaśniająca również okoliczności, w których takie przetwarzanie przez FRONTEX mogłoby się odbywać, przy zastosowaniu silnych zabezpieczeń związanych z ochroną danych oraz zgodnie z zasadami proporcjonalności i konieczności. Przetwarzanie powinno być możliwe jedynie w przypadkach, kiedy jest to konieczne do jasno określonych i zgodnych z prawem celów, w szczególności wspólnych działań dotyczących powrotów.
45. Podstawa prawna powinna ponadto określać niezbędne i stosowne zabezpieczenia, ograniczenia i warunki, w których takie przetwarzanie danych osobowych miałoby miejsce, zgodnie z art. 8 Europejskiej Konwencji Praw Człowieka oraz art. 8 Karty Praw Podstawowych UE, z uwzględnieniem gwarancji dotyczących praw podmiotu danych, jako jednego z najważniejszych elementów.
46. Niechęć Komisji do określenia we wniosku lub jasnego określenia terminu kiedy to uczyni, a w zamian odwlekanie sprawy z uwagi na nowe okoliczności prawne i polityczne, rodzi poważne obawy. Zdaniem EIOD takie podejście może prowadzić do niepożądanej niepewności prawnej i znaczącego ryzyka niezgodności z zasadami i środkami ochrony danych.
47. W celu dalszego poprawienia wniosku EIOD zwraca się również do prawodawcy o wyjaśnienie w proponowanym rozporządzeniu, że ustalenia robocze z Europolem na podstawie proponowanego art. 13 rozporządzenia ustanawiającego FRONTEX wykluczałyby wymianę danych osobowych. Ponadto sugeruje również wyjaśnienie art. 11 lit. b) wniosku.
Sporządzono w Brukseli dnia 17 maja 2010 r.
| Peter HUSTINX | |
| Europejski Inspektor Ochrony Danych |
______
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) COM(2010) 61 wersja ostateczna.
(4) Opinia dostępna pod adresem:
(5) COM(2008) 67 wersja ostateczna.
(6) Artykuł 9 stanowi, że "1. Agencja, z zastrzeżeniem wspólnotowej polityki w zakresie powrotów, zapewnia niezbędną pomoc w organizowaniu wspólnych działań państw członkowskich dotyczących powrotów. Agencja może wykorzystywać wspólnotowe środki finansowe dostępne w dziedzinie powrotów. (...)".
(7) Zob. pkt 3.2. opinii dotyczącej wcześniejszego sprawdzenia "Legalność przetwarzania": "EIOD uważa, że art. 9 rozporządzenia (WE) nr 2007/2004 oraz art. 5 lit. a) rozporządzenia (WE) nr 45/2001 mogłoby, w określonych okolicznościach tego konkretnego przypadku, służyć jedynie jako przejściowa podstawa prawna planowanego przetwarzania, przy dokładnym rozważeniu potrzeby ustanowienia bardziej szczegółowej podstawy prawnej, w kontekście trwającego przeglądu rozporządzenia (WE) nr 2007/2004". W końcowych wnioskach EIOD zasugerował również, by FRONTEX:
1) przeanalizował art. 9 przed rozpoczęciem transferu na mocy tego artykułu, by całkowicie spełnić jego wymagania. W tej sytuacji EIOD oczekuje od Fronteksu powiadomienia EIOD o metodzie osiągnięcia zgodności z tym artykułem przed rozpoczęciem transferu;
2) wdrożył niezbędne procedury, by zagwarantować prawa podmiotów danych; 3) wdrożył obowiązek informowania przed rozpoczęciem przetwarzania, poza państwami członkowskimi, które przekazują informację podmiotom danych w świetle art. 12 rozporządzenia. Ponadto EIOD zwrócił się do Fronteksu o poinformowanie EIOD o konkretnych podjętych środkach wykonawczych w tej kwestii.
(8) 2009/371/JHA (Dz.U. L 121 z 15.5.2009, s. 37).