Opinia na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego agencję do spraw zarządzania operacyjnego wielkoskalowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz na temat wniosku w sprawie decyzji Rady powierzającej agencji ustanowionej na mocy rozporządzenia XX zadania dotyczące zarządzania operacyjnego systemami SIS II i VIS w zastosowaniu tytułu VI Traktatu UE.

Dzienniki UE

Dz.U.UE.C.2010.70.13

Akt nienormatywny
Wersja od: 19 marca 2010 r.

Opinia Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego agencję do spraw zarządzania operacyjnego wielkoskalowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz na temat wniosku w sprawie decyzji Rady powierzającej agencji ustanowionej na mocy rozporządzenia XX zadania dotyczące zarządzania operacyjnego systemami SIS II i VIS w zastosowaniu tytułu VI Traktatu UE

(2010/C 70/02)

(Dz.U.UE C z dnia 19 marca 2010 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

Uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art.16,

Uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,

Uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),

Uwzględniając wniosek o opinię skierowany do Inspektora w dniu 11 sierpnia 2009 r. na mocy art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2),

WYDAJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWADZENIE - KONTEKST OPINII

Opis wniosków

1. W dniu 24 czerwca 2009 r. Komisja przyjęła pakiet prawodawczy ustanawiający agencję do spraw zarządzania operacyjnego wielkoskalowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości. Pakiet składa się z wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego przedmiotową agencję oraz z wniosku w sprawie decyzji Rady powierzającej tej agencji zadania dotyczące zarządzania operacyjnego systemami SIS II i VIS w zastosowaniu tytułu VI Traktatu UE(3). Oba wnioski szczegółowo omówiono w komunikacie przyjętym tego samego dnia(4). W dniu 11 sierpnia 2009 r. wnioski i komunikat - wraz z oceną skutków regulacji i jej streszczeniem - zostały przekazane Inspektorowi w celu zasięgnięcia jego opinii(5).

2. Podstawą prawną proponowanego rozporządzenia jest tytuł IV traktatu WE. Ponieważ wykorzystanie SIS II i VIS do celów współpracy policyjnej i sądowej w sprawach karnych opiera się obecnie na tytule VI traktatu o UE, proponowanemu rozporządzeniu towarzyszy wniosek w sprawie decyzji Rady oparty na tytule VI traktatu o UE.

3. Stosowne akty prawne ustanawiające SIS II, VIS i Eurodac stwierdzają, że za zarządzanie operacyjne tymi trzema systemami odpowiada Komisja(6). W przypadku SIS II i VIS ma to trwać jedynie przez okres przejściowy, a później zarządzanie ma przejąć organ zarządzający. We wspólnym oświadczeniu z dnia 7 czerwca 2007 r. Parlament Europejski i Rada zwróciły się do Komisji, by przedstawiła - po przeprowadzeniu oceny skutków regulacji i uwzględnieniu w niej rozwiązań alternatywnych - niezbędne wnioski legislacyjne powierzające długoterminowe zarządzanie operacyjne systemem SIS II i VIS określonej agencji(7). Efektem tego są obecne wnioski.

4. Agencja ustanowiona na mocy proponowanego rozporządzenia będzie w rzeczywistości odpowiadać za zarządzanie operacyjne nie tylko systemem SIS II i VIS, lecz także systemem Eurdodac i innymi ewentualnymi systemami wielkoskalowymi. Kwestia "innych wielkoskalowych systemów informatycznych" zostanie omówiona w pkt 28-31 niniejszej opinii. W myśl preambuły proponowanego rozporządzenia powierzenie jednej agencji kierownictwa nad trzema wielkoskalowymi systemami informatycznymi - a ewentualnie także nad innymi - ma służyć wypracowaniu synergii, uzyskaniu korzyści skali, stworzeniu masy krytycznej oraz jak najskuteczniejszemu wykorzystaniu kapitału i zasobów ludzkich(8).

5. Proponowane rozporządzenie ustanawia agencję regulacyjną posiadającą autonomię prawną, administracyjną i finansową oraz osobowość prawną. Agencja będzie wykonywać zadania powierzone organowi zarządzającemu (lub Komisji) w myśl aktów prawnych ustanawiających SIS II, VIS i Eurodac. Będzie ponadto monitorować badania, a na specjalny wniosek Komisji - wdrażać projekty pilotażowe z zakresu rozwoju wielkoskalowych systemów informatycznych lub zarządzania operacyjnego takimi systemami w ramach stosowania tytułu IV traktatu WE, a może i w szerszych ramach: obszaru wolności, bezpieczeństwa i sprawiedliwości (zob. pkt 28-31).

6. Na strukturę administracyjną i zarządczą agencji będą się składać: zarząd (po jednym przedstawicielu każdego państwa członkowskiego oraz dwaj przedstawiciele Komisji), dyrektor wykonawczy (mianowany przez zarząd) oraz grupy doradcze wspierające zarząd wiedzą fachową związaną z poszczególnymi systemami informatycznymi. Obecnie wniosek przewiduje powołanie trzech grup doradczych: do spraw SIS II, do spraw VIS i do spraw Eurodac.

7. Proponowana decyzja Rady nakłada na agencję zadania, które organowi zarządzającemu powierzają decyzja Rady 2007/533/WSiSW o SIS II oraz decyzja Rady 2008/633/WSiSW o VIS(9). Proponowana decyzja umożliwia także Europolowi obserwowanie posiedzeń zarządu agencji, na których omawiane są kwestie związane z SIS II i VIS. Europol może także wyznaczyć swojego przedstawiciela do grupy doradczej do spraw SIS II i grupy doradczej do spraw VIS(10). Status obserwatora i możliwość wyznaczania przedstawiciela uzyska także Eurojust, lecz tylko w odniesieniu do SIS II.

Konsultacje z Inspektorem

8. Inspektor z zadowoleniem przyjmuje wniosek o opinię w przedmiotowej sprawie i zaleca, by informacja o konsultacjach znalazła się w motywach wniosków, tak jak zwykle dzieje się to w przypadku tekstów ustawodawczych, co do których konsultowano się z Inspektorem w myśl rozporządzenia (WE) nr 45/2001.

9. Z Inspektorem konsultowano się nieformalnie jeszcze przed przyjęciem wniosku. Inspektor z zadowoleniem przyjął te konsultacje, a teraz z satysfakcją odnotowuje, że większość jego uwag została uwzględniona w ostatecznej wersji wniosku.

10. Oczywiście Inspektor dokładnie przygląda się tworzeniu agencji, która ma wziąć odpowiedzialność za właściwe funkcjonowanie i bezpieczeństwo baz danych - takich jak SIS II, VIS i Eurodac - zawierających duże ilości danych osobowych. Jak wyjaśni w niniejszej opinii, nie sprzeciwia się jej powstaniu, o ile ustanawiający(-ce) ją akt(y) ustawodawczy(-cze) dostatecznie ograniczy(-czą) ewentualne zagrożenia mogące mieć znaczny wpływ na prywatność osób fizycznych.

11. Ta kwestia zostanie dokładniej wyjaśniona w części III i IV, jednak wcześniej - w części II - Inspektor chciałby się zająć skutkami, jakie dla obecnych wniosków będzie miało wejście w życie w dniu 1 grudnia 2009 r. traktatu z Lizbony. W części V Inspektor przedstawi uwagi na temat kilku szczegółowych przepisów obu wniosków.

II. SKUTKI TRAKTATU Z LIZBONY

12. Wraz z wejściem w życie traktatu z Lizbony w dniu 1 grudnia 2009 r. kształt prawny Unii Europejskiej znacznie się zmienił. Dotyczy to zwłaszcza obszaru wolności, bezpieczeństwa i sprawiedliwości, w którym poszerzono kompetencje UE i zmodyfikowano procedury ustawodawcze. Inspektor przyjrzał się, jak zmiany w traktatach wpływają na przedmiotowe wnioski.

13. Podstawą prawną, o której mówi proponowane rozporządzenie, są: art. 62 ust. 2 lit. a), art. 62 ust. 2 lit. b) pkt ii), art. 63 ust. 1 lit. a), art. 63 ust. 3 lit. b) oraz art. 66 traktatu WE. Treść tych artykułów w dużym stopniu odpowiada treści art. 77 ust. 1 lit. b), art. 77 ust. 2 lit. b), art. 77 ust. 2 lit. a), art. 78 ust. 2 lit. e), art. 79 ust. 2 lit. c) 74 TFUE. Procedura ustawodawcza, której należy przestrzegać, przyjmując środki oparte na tej podstawie, nie zmieni się: zastosowanie miała i mieć będzie współdecyzja, która teraz będzie nosić nazwę "zwykłej procedury ustawodawczej". Wpływ zmiany w traktatach na podstawę prawną i procedurę ustawodawczą proponowanego rozporządzenia wydaje się więc niewielki.

14. Artykuły, na których obecnie opiera się proponowana decyzja Rady, to art. 30 ust. 1 lit. a), art. 30 ust. 1 lit. b) oraz art. 34 ust. 2 lit. c) traktatu UE. W nowych traktatach dawny art. 34 traktatu UE uchylono. Artykuł 30 ust. 1 lit. a) zastąpiono art. 87 ust. 2 lit. a) TFUE, który to artykuł stanowi podstawę do podejmowania - w zwykłej procedurze ustawodawczej - środków związanych z gromadzeniem, przechowywaniem, przetwarzaniem, analizowaniem i wymianą istotnych informacji. Artykuł 30 ust. 1 lit. b) traktatu UE, mówiący o współpracy operacyjnej właściwych organów, zastąpiono art. 87 ust. 3 TFUE przewidującym specjalną procedurę ustawodawczą, w której Rada stanowi jednomyślnie po konsultacjach z Parlamentem Europejskim. Ponieważ wspomniane procedury są ze sobą sprzeczne, podstawą prawną decyzji Rady nie mogą już być razem art. 87 ust. 2 lit. a) i art. 87 ust. 3 TFUE. Należy więc dokonać wyboru.

15. Inspektor jest zdania, że za podstawę proponowanego aktu wystarczy art. 87 ust. 2 lit. a) TFUE. To najlepszy wybór, ponieważ zwykła procedura ustawodawcza wymaga pełnego zaangażowania Parlamentu Europejskiego i daje wnioskowi legitymację demokratyczną(11). Należy tu podkreślić, że wniosek służy utworzeniu agencji odpowiadającej za ochronę danych osobowych, czyli za przestrzeganie prawa podstawowego uznanego w art. 16 TFUE i w art. 8 karty praw podstawowych, która z dniem 1 grudnia 2009 r. stała się wiążąca.

16. Uznanie art. 87 ust. 2 lit. a) TFUE za jedyną podstawę prawną pozwoliłoby ponadto Komisji połączyć dwa obecne wnioski w jeden akt ustanawiający agencję, czyli w rozporządzenie przyjmowane w zwykłej procedurze ustawodawczej.

17. Inspektor w każdym razie zwraca się do Komisji o jak najszybsze wyjaśnienie tej kwestii.

III. USTANOWIENIE AGENCJI Z PUNKTU WIDZENIA OCHRONY DANYCH

18. Jak wspomniano w pkt 3, Parlament Europejski i Rada zwróciły się do Komisji o przeanalizowanie rozwiązań alternatywnych i przedstawienie wniosków ustawodawczych powierzających długoterminowe zarządzanie operacyjne systemami SIS II i VIS określonej agencji. System Eurodac dodała sama Komisja. W ocenie skutków regulacji Komisja wskazała pięć możliwości operacyjnego zarządzania tymi trzema systemami:

– dalsze przestrzeganie obecnych uzgodnień, czyli zarządzanie przez Komisję, co w przypadku SIS II i VIS obejmuje delegowanie zadań dwóm państwom członkowskim (Austrii i Francji)

– tak jak powyżej, a dodatkowo delegowanie zarządzania operacyjnego systemem Eurodac na organy państw członkowskich

– utworzenie nowej agencji regulacyjnej

– przekazanie zarządzania operacyjnego Fronteksowi

– przekazanie zarządzania operacyjnego systemem SIS II Europolowi, a pozostawienie Komisji zarządzania systemem VIS i Eurodac.

Komisja przeanalizowała te możliwości pod czterema względami: operacyjnym, zarządczym, finansowym i prawnym.

19. Dokonując analizy prawnej, Komisja porównała, w jakim stopniu wspomniane rozwiązania pozwalałyby skutecznie chronić podstawowe prawa i wolności, a zwłaszcza dbać o ochronę danych osobowych. Stwierdziła, że pod tym względem najlepsza byłaby możliwość trzecia i czwarta(12). Jeżeli chodzi o dwie pierwsze, Komisja zaznaczyła, że Inspektor może mieć problemy z nadzorem, o czym wspominano już podczas tworzenia systemu SIS II. Zwróciła także uwagę na problem odpowiedzialności prawnej wynikający z art. 288 traktatu WE (obecnie: art. 340 TFUE), jeżeli zaskarżone operacje byłyby wykonywane przez personel krajowy.

20. Inspektor zgadza się z Komisją, że dla dobra nadzoru z jego strony najlepszym rozwiązaniem byłoby, gdyby za zarządzanie operacyjne wielkoskalowymi systemami informatycznymi, takimi jak SIS II, VIS i Eurodac, odpowiadał pojedynczy europejski organ. Jego utworzenie rozwiązałoby także sprawę odpowiedzialności prawnej i mającego zastosowanie prawa. Do wszystkich działań takiego organu zastosowanie miałoby rozporządzenie (WE) nr 45/2001.

21. Powstaje jednak pytanie, który lub jakiego rodzaju europejski organ miałby to być. Komisja rozważa utworzenie nowej agencji lub wykorzystanie dwóch istniejących już jednostek: Fronteksu i Europolu. Poważnym argumentem przeciwko powierzeniu zarządzania operacyjnego wielkoskalowymi systemami informatycznymi Fronteksowi i Europolowi jest to, że wykonując swoje zadania, mają one własny interes w korzystaniu z danych osobowych. Przewidziano już dostęp Europolu do SIS II i VIS, omawiane jest także prawodawstwo pozwalające mu na dostęp do Eurodac(13). Inspektor jest zdania, że najlepiej byłoby powierzyć połączone zarządzanie operacyjne wielkoskalową bazą danych, taką jak SIS II, VIS i Eurodac, niezależnemu organowi, który nie ma własnych interesów jako użytkownik bazy danych. Zmniejszyłoby to ryzyko nadużyć w stosunku do danych. Przy tej okazji Inspektor chciałby zwrócić uwagę na podstawową zasadę ochrony danych, którą jest zasada celowości, czyli nieużywanie danych osobowych do celów niezgodnych z celem, w którym dane zostały pierwotnie przetworzone(14).

22. Jedyną możliwością, której Komisja nie omówiła, jest zarządzanie operacyjne przez nią samą, bez delegowania zadań państwom członkowskim. Ideą bliską tej możliwości jest utworzenie agencji wykonawczej zamiast agencji regulacyjnej. Choć z punktu widzenia ochrony danych nie ma przeciwwskazań, by Komisja sama podjęła te zadania (Komisja nie jest użytkownikiem systemów), to Inspektor za korzystne w praktyce uznaje utworzenie osobnej agencji. Utworzenie agencji regulacyjnej, a nie wykonawczej byłoby dobre także z tego względu, że agencja taka nie powstałaby, a jej zadania nie zostałyby określone jedynie na mocy decyzji Komisji. Agencja w przewidzianym obecnie kształcie zostałaby ustanowiona rozporządzeniem przyjętym w zwykłej procedurze ustawodawczej, a więc podlegałaby decyzji demokratycznej.

23. Inspektor dostrzega zalety utworzenia niezależnej agencji regulacyjnej. Chciałby jednak podkreślić, że taka agencja powinna powstać dopiero wtedy, gdy jasno zdefiniowany zostanie zakres jej działalności i zadań.

IV. DWA GŁÓWNE PROBLEMY ZWIĄZANE Z UTWORZENIEM AGENCJI

24. Podczas obecnej prawodawczej i publicznej debaty nad przedmiotowym wnioskiem wyrażano obawy, czy powstająca agencja nie stanie się swego rodzaju Wielkim Bratem. Obawy te wynikają z ryzyka niezamierzonego rozrostu funkcji (function creep) oraz z kwestii interoperacyjności różnych systemów informatycznych. Tym dwóm problemom poświęcona będzie niniejsza część opinii.

25. Zanim jednak Inspektor podejmie te kwestie, chciałby poczynić podstawowe zastrzeżenie: jeżeli temu samemu organowi zarządzającemu powierzy się większą liczbę wielkoskalowych systemów informatycznych, ryzyko popełnienia błędów czy niewłaściwego wykorzystania danych osobowych może wzrosnąć. Całkowita liczba systemów, którymi zarządza jedna i ta sama agencja, powinna zatem ograniczać się do liczby, przy której wciąż można dostatecznie dbać o gwarancje ochrony danych. Innymi słowy, nie należy zakładać, że jednej agencji trzeba powierzyć zarządzanie operacyjne jak największą liczbą wielkoskalowych systemów informatycznych.

IV.1. Niezamierzony rozrost funkcji

26. W przedmiotowym przypadku obawa o niezamierzony rozrost funkcji to obawa, że nowa agencja będzie mogła z własnej inicjatywy - w stopniu, którego na razie nie sposób przewidzieć - tworzyć i łączyć już istniejące i nowe wielkoskalowe systemy informatyczne. Inspektor jest zdania, że zjawiska tego można uniknąć, jeżeli po pierwsze w akcie prawnym ustanawiającym agencję ograniczy się i ściśle zdefiniuje zakres jej (ewentualnej) działalności, a po drugie dopilnuje się, by zakres ten rozszerzać w myśl demokratycznej procedury decyzyjnej, którą na ogół jest zwykła procedura ustawodawcza.

27. Jeżeli chodzi o zakres (ewentualnej) działalności agencji, obecny wniosek w art. 1 wspomina o operacyjnym zarządzaniu systemem SIS II, VIS i Eurodac, a także o "rozwijaniu innych wielkoskalowych systemów informatycznych i zarządzaniu nimi w zastosowaniu tytułu IV traktatu WE". Aby zakres ten zdefiniować, należy odpowiedzieć na trzy pytania, które nasuwa cytowany fragment: czym jest "rozwijanie", czym jest "wielkoskalowy system informatyczny" oraz co oznacza sformułowanie "w zastosowaniu tytułu IV traktatu WE"? Pytaniami tymi zajmiemy się - w odwrotnej kolejności - w dalszej części opinii.

Co oznacza sformułowanie "w zastosowaniu tytułu IV traktatu WE"?

28. Sformułowanie "w zastosowaniu tytułu IV traktatu WE" ogranicza grupę wielkoskalowych systemów informatycznych, za które miałaby odpowiadać agencja. Inspektor widzi jednak, że sformułowanie to ogranicza ewentualną działalność agencji bardziej, niż wynikałoby to z tytułu proponowanego rozporządzenia, motywu 4 i motywu 10. Różnią się one od art. 1 w tym sensie, że mają szerszy zakres: odwołują się do "przestrzeni wolności, bezpieczeństwa i sprawiedliwości", a nie do ograniczonego obszaru kompetencji określonego w tytule IV traktatu WE (wizy, azyl, imigracja i inne polityki związane ze swobodnym przepływem osób).

29. Rozróżnienie między tytułem IV traktatu WE a szerszym pojęciem przestrzeni wolności, bezpieczeństwa i sprawiedliwości (które obejmuje także tytuł VI traktatu UE) potwierdzono w art. 6 proponowanego rozporządzenia, który w ust. 1 mówi o możliwości wdrażania przez agencję projektów pilotażowych w zakresie rozwoju wielkoskalowych systemów informatycznych lub zarządzania nimi w zastosowaniu tytułu IV traktatu WE, a w ust. 2 - o możliwości wdrażania przez agencję projektów pilotażowych dotyczących innych wielkoskalowych systemów informatycznych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości. Ściśle rzecz biorąc, art. 6 ust. 2 jest niezgodny z art. 1 proponowanego rozporządzenia.

30. Sprzeczność między art. 1 a tytułem proponowanego rozporządzenia, motywem 4 i 10 oraz art. 6 ust. 2 należy usunąć. Nawiązując do podstawowego zastrzeżenia poczynionego w pkt 25, Inspektor stwierdza, że na obecnym etapie należałoby faktycznie ograniczyć obszar kompetencji do wielkoskalowych systemów informatycznych używanych w zastosowaniu tytułu IV traktatu WE. Od dnia 1 grudnia 2009 r., kiedy to wszedł w życie traktat z Lizbony, oznaczałoby to ograniczenie kompetencji do obszarów polityki wspomnianych w rozdziale 2 tytułu V TFUE. Po zdobyciu doświadczeń i po pozytywnej ocenie funkcjonowania agencji (zob. art. 27 wniosku oraz uwagi w pkt 49) sformułowanie z art. 1 można by ewentualnie poszerzyć, tak by objęło cały obszar wolności, bezpieczeństwa i sprawiedliwości, o ile decyzja taka zostałaby podjęta w zwykłej procedurze ustawodawczej.

31. Jeżeli jednak prawodawca opowie się za zakresem wynikającym z tytułu oraz motywów 4 i 10, należy doprecyzować jeszcze jedną kwestię związaną z art. 6 ust. 2. W art. 6 ust. 2, inaczej niż w ust. 1, nie mówi się, że wdrażanie projektów pilotażowych ma służyć rozwojowi wielkoskalowych systemów informatycznych czy operacyjnemu zarządzaniu nimi. Celowe rozróżnienie między oboma ustępami i brak dodatkowego sformułowania w ust. 2 rodzą pytanie, co właściwe Komisja próbowała powiedzieć. Czy oznacza to, że w ramach projektów pilotażowych, o których mowa w ust. 1, należy przeprowadzać ocenę pod kątem ewentualnego rozwijania lub zarządzania operacyjnego przez nową agencję i że w przypadku projektów pilotażowych, o których mowa w ust. 2, ocena taka nie jest przewidziana? Jeżeli faktycznie tak jest, należy to dokładniej wyjaśnić w tekście, ponieważ brak tego stwierdzenia nie wyklucza wdrażania takich systemów przez agencję i zarządzania nimi. Jeżeli Komisja miała na myśli co innego, także należy to wyjaśnić.

Czym jest wielkoskalowy system informatyczny?

32. Pojęcie "wielkoskalowego systemu informatycznego" jest dość wątpliwe. Nie zawsze istnieje zgoda co do tego, który system można określić tym mianem, a którego nie. Interpretacja tego pojęcia ma istotne skutki dla zakresu ewentualnej przyszłej działalności agencji. Wspólną cechą trzech wielkoskalowych systemów informatycznych, o których wyraźnie wspomina wniosek, jest przechowywanie danych w centralnej bazie danych, za którą (obecnie) odpowiada Komisja. Nie jest jasne, czy ewentualna przyszła działalność agencji ma się ograniczać do takich właśnie wielkoskalowych systemów informatycznych, czy też może objąć systemy zdecentralizowane, w przypadku których odpowiedzialność Komisji polega tylko na rozwijaniu i konserwacji wspólnej infrastruktury (np. system z Prüm czy europejski system przekazywania informacji z rejestrów karnych (ECRIS))(15). Inspektor zachęca prawodawcę, by w celu uniknięcia przyszłych nieporozumień doprecyzował pojęcie wielkoskalowego systemu informatycznego w kontekście tworzenia agencji.

Czym jest "rozwijanie" wielkoskalowych systemów informatycznych?

33. Oprócz zarządzania operacyjnego wielkoskalowymi systemami informatycznymi agencja będzie także wykonywała zadania określone w art. 5 (Monitorowanie badań) i art. 6 (Projekty pilotażowe). Pierwszy z nich przewiduje monitorowanie stosownych badań i informowanie o nich Komisji. Działania związane z projektami pilotażowymi to ich wdrażanie z myślą o rozwoju wielkoskalowych systemów informatycznych lub operacyjnym zarządzaniu nimi (zob. jednak uwagi w pkt 31). Artykuł 6 określa, jak należy rozumieć słowo "rozwój". Użycie tego słowa w art. 1 sugeruje, jakoby agencja mogła z własnej inicjatywy podjąć się rozwoju wielkoskalowych systemów informatycznych. Wykluczają to jednak art. 6 ust. 1 i 2. Jasno stwierdzono w nich, że agencja może to zrobić "na wyraźny i precyzyjny wniosek Komisji". Innymi słowy, inicjatywa w zakresie rozwijania nowych wielkoskalowych systemów informatycznych leży po stronie Komisji. Wszelkie decyzje o faktycznym utworzeniu nowego wielkoskalowego systemu informatycznego powinny oczywiście opierać się na procedurach ustawodawczych przewidzianych w TFUE. Aby dodatkowo zaakcentować tekst art. 6 proponowanego rozporządzenia, prawodawca mógłby dodać na początku art. 6 ust. 1 i 2 słowo "wyłącznie".

Podsumowanie

34. Jak stwierdzono powyżej, niezamierzonego rozrostu funkcji można uniknąć, jeżeli po pierwsze w akcie prawnym ustanawiającym agencję ograniczy się i ściśle zdefiniuje zakres jej (ewentualnej) działalności, a po drugie dopilnuje się, by zakres ten rozszerzać w demokratycznej procedurze decyzyjnej, którą na ogół jest zwykła procedura ustawodawcza. Obecny tekst zawiera już warunki ograniczające wspomniane ryzyko.

35. Do pewnego stopnia niejasny pozostaje dokładny zakres ewentualnej działalności nowej agencji. Prawodawca powinien przede wszystkim sprecyzować i świadomie postanowić, czy zakres działalności ogranicza się do tytułu V rozdziału 2 TFUE, czy też ewentualnie powinien obejmować wszystkie wielkoskalowe systemy informatyczne powstające w przestrzeni wolności, bezpieczeństwa i sprawiedliwości. Następnie prawodawca powinien doprecyzować pojęcie wielkoskalowego systemu informatycznego w tym kontekście i wyjaśnić, czy pojęcie to odnosi się tylko do systemów przechowujących dane w centralnej bazie danych, za którą odpowiadają Komisja albo agencja. W końcu zaś, choć art. 6 nie pozwala agencji rozwijać nowych systemów informatycznych z własnej inicjatywy, jego tekst można dodatkowo zaakcentować, dodając w ust. 1 i 2 (o ile drugi z nich zostanie zachowany) słowo "wyłącznie".

IV.2. Interoperacyjność

36. Pojęcie interoperacyjności nie jest jednoznaczne. Takie stanowisko zajął Inspektor w uwagach z dnia 10 marca 2006 r. do komunikatu Komisji w sprawie interoperacyjności europejskich baz danych(16). W przypadku rozpatrywanej nowej agencji interoperacyjność należy rozumieć także jako ryzyko, że powierzenie jednej agencji zarządzania operacyjnego kilkoma wielkoskalowymi systemami informatycznymi oznaczać będzie użycie podobnej technologii we wszystkich systemach, co pozwoli je łatwo stworzyć połączenie między nimi. Zasadniczo Inspektor podziela te obawy. W uwagach z dnia 10 marca 2006 r. stwierdził, że techniczna możliwość połączenia różnych wielkoskalowych systemów informatycznych to silna zachęta do tego, by to robić. Warto przy tej okazji jeszcze raz podkreślić, jak ważne są przepisy o ochronie danych. Inspektor zaznaczył więc, że do interoperacyjności wielkoskalowych systemów informatycznych należy dopuszczać tylko wtedy, gdy w pełni respektowane są zasady ochrony danych, a zwłaszcza wcześniej wspomniana zasada celowości (zob. pkt 21).

37. Ewentualna zachęta do łączenia wielkoskalowych systemów informatycznych, jeżeli umożliwia to stosowana technologia, niekoniecznie wynika z ustanowienia nowej agencji. Nawet gdyby jej nie było, systemy można by tworzyć w sposób podobny, co ewentualnie prowadziłoby do interoperacyjności.

38. Niezależnie od wybranej struktury zarządzania operacyjnego, decyzję o interoperacyjności można podjąć tylko wtedy, gdy jest to zgodne z przepisami o ochronie danych i gdy przestrzega się zwykłej procedury ustawodawczej. Z proponowanego rozporządzenia jasno wynika, że decyzji takiej nie może podjąć agencja (zob. także analiza w pkt 33). Ujmując to dobitniej - co wynika też z komunikatu Komisji z dnia 11 marca 2008 r. w sprawie agencji europejskich - Komisja nie może delegować na agencję praw do przyjmowania tak ogólnego środka regulacyjnego(17). Dopóki przedmiotowa decyzja nie zostanie podjęta, agencja ma obowiązek zastosować właściwe środki bezpieczeństwa zapobiegające ewentualnemu połączeniu wielkoskalowych systemów informatycznych, którymi zarządza (co do środków bezpieczeństwa zob. także pkt 46 i 47).

39. O interoperacyjności (planowanej lub dopuszczanej w przyszłości) mógłby mówić kierowany przez Komisję do agencji wniosek o wdrożenie projektu pilotażowego w zakresie rozwoju nowych wielkoskalowych systemów informatycznych, przewidziany w art. 6 proponowanego rozporządzenia. Powstaje pytanie, jaką procedurę będzie stosować Komisja w przypadku takich wniosków. Zawsze jednak wniosek Komisji powinna poprzedzać przynajmniej wstępna ocena tego, czy dany wielkoskalowy system informatyczny jako taki, a zwłaszcza interoperacyjność, będą zgodne z wymogami ochrony danych, a ogólniej - z podstawą prawną ustanawiającą te systemy. Ponadto częścią procedury poprzedzającej wniosek mogłyby być obowiązkowe konsultacje z Parlamentem Europejskim i z Inspektorem. W każdym razie Komisja powinna udostępnić swój wniosek do agencji wszystkim stosownym zainteresowanym stronom, w tym Parlamentowi i Inspektorowi. Inspektor apeluje do prawodawcy, by doprecyzował tę procedurę.

V. UWAGI SZCZEGÓŁOWE

Motyw 16 i art. 25 proponowanego rozporządzenia: wzmianka o rozporządzeniu (WE) nr 45/2001

40. Proponowane rozporządzenie ustanawia niezależną agencję regulacyjną posiadającą osobowość prawną. W motywie 6 tego rozporządzenia stwierdzono, że agencja powstanie, ponieważ organ zarządzający powinien posiadać autonomię prawną, administracyjną i finansową. Jak już wspomniano w pkt 20, utworzenie pojedynczego organu rozstrzyga kwestię odpowiedzialności prawnej i kwestię mającego zastosowanie prawa.

41. W art. 25 proponowanego rozporządzenia potwierdzono, że przetwarzanie informacji przez nową agencję podlega rozporządzeniu (WE) nr 45/2001. W motywie 16 zaznaczono ponadto, że Inspektor ma prawo uzyskać od agencji dostęp do wszystkich informacji niezbędnych w prowadzonych przez niego postępowaniach.

42. Inspektor z zadowoleniem przyjmuje fakt, że w taki właśnie sposób podkreślono zastosowanie rozporządzenia (WE) nr 45/2001 do działalności nowej agencji. Wzmianki o rozporządzeniu (WE) nr 45/2001 brakuje w proponowanej decyzji Rady, choć jest jasne, że agencja będzie związana przepisami tego rozporządzenia także wtedy, gdy baza danych będzie wykorzystywana do prowadzenia działalności w ramach współpracy sądowej i policyjnej w sprawach karnych. Nie ma powodu, by po wejściu w życie traktatu z Lizbony, o ile prawodawca podtrzyma zamiar przyjęcia dwóch aktów prawnych (zob. uwagi w części II), nie wspomnieć o rozporządzeniu (WE) nr 45/2001 także w motywach lub przepisach decyzji Rady.

Artykuł 9 ust. 1 lit. o) proponowanego rozporządzenia: inspektor ochrony danych

43. Inspektor z zadowoleniem przyjmuje także fakt, że art. 9 ust. 1 lit. o) proponowanego rozporządzenia wyraźnie mówi o wyznaczeniu inspektora ochrony danych. Chciałby podkreślić, że ważne jest, by inspektora takiego wyznaczyć na wczesnym etapie, uwzględniając stanowisko Inspektora w sprawie inspektorów ochrony danych(18).

Artykuł 9 ust 1. lit. i) i j) proponowanego rozporządzenia: roczny program prac i roczne sprawozdanie z działalności

44. W myśl rozporządzenia (WE) nr 45/2001 oraz aktów prawnych ustanawiających przedmiotowe systemy informatyczne Inspektor sprawuje nadzór nad agencją. Jego uprawnienia, wymienione w art. 47 rozporządzenia (WE) nr 45/2001, najczęściej przywołuje się wtedy, gdy już dojdzie do naruszenia przepisów o ochronie danych. Inspektor jest zainteresowany regularnym otrzymywaniem informacji o działalności agencji - nie tylko po fakcie, lecz także wcześniej. Wypracował już wraz z Komisją pewną praktykę, która odpowiada jego zapotrzebowaniu na informacje. Inspektor wyraża nadzieję, że ta satysfakcjonująca współpraca będzie kontynuowana także w przypadku nowo ustanowionej agencji. W świetle powyższego Inspektor zaleca prawodawcy, by umieścił go w wykazie adresatów rocznego programu prac i rocznego sprawozdania z działalności, o których mowa w art. 9 ust. 1 lit. i) i j) proponowanego rozporządzenia.

Artykuł 9 ust. 1 lit. r) proponowanego rozporządzenia: kontrole przeprowadzane przez Inspektora

45. W art. 9 ust. 1 lit. r) proponowanego rozporządzenia mowa jest o sprawozdaniu Inspektora sporządzanym po kontroli przeprowadzanej w myśl art. 45 rozporządzenia (WE) nr 1987/2006 o SIS II i art. 42 ust. 2 rozporządzenia (WE) nr 767/2008 o VIS. Z obecnego tekstu wynika, jakoby agencja miała pełną dowolność co do działań pokontrolnych, w tym możliwość całkowitego niezastosowania się do zaleceń. Choć agencja może zgłosić uwagi do sprawozdania i będzie mogła swobodnie podejmować decyzje co do realizacji zaleceń Inspektora, całkowite niezastosowanie się do nich nie może wchodzić w grę. Inspektor sugeruje więc, by skreślić ten artykuł lub zastąpić fragment "oraz podejmuje decyzje w sprawie działań pokontrolnych" fragmentem: "oraz decyduje, jak w najwłaściwszy sposób zrealizować zalecenia pokontrolne".

Artykuł 9 ust. 1 lit. n), art. 14 ust. 6 lit. g) oraz art. 26 proponowanego rozporządzenia: przepisy bezpieczeństwa

46. W proponowanym rozporządzeniu stwierdzono, że dyrektor wykonawczy przedkłada zarządowi do przyjęcia projekt niezbędnych środków bezpieczeństwa, w tym planu bezpieczeństwa (zob. art. 14 ust. 6 lit. g) oraz art. 9 ust. 1 lit. n)). O bezpieczeństwie wspomina także art. 26, który zawiera przepisy bezpieczeństwa dotyczące ochrony informacji niejawnych i informacji szczególnie chronionych nieobjętych klauzulą poufności. Wspomina on o decyzji Komisji 2001/844/WE, EWWiS, Euratom(19) z dnia 29 listopada 2001 r., a w ust. 2 - o zasadach bezpieczeństwa dotyczących przetwarzania informacji szczególnie chronionych nieobjętych klauzulą poufności, przyjętych i stosowanych przez Komisję Europejską. Poza uwagami, które zostaną przedstawione poniżej, Inspektor zaleca, by prawodawca także w ust. 2 odwołał się do konkretnych dokumentów, ponieważ w obecnej formie ustęp ten jest dość niejasny.

47. Inspektor chciałby zaznaczyć, że szczegółowe przepisy bezpieczeństwa są zawarte w aktach prawnych ustanawiających SIS II, VIS i Eurodac. Nie jest jasne, czy przepisy te są całkiem podobne ani czy są w pełni zgodne z przepisami, o których mowa w art. 26. Ponieważ plan bezpieczeństwa powinien skutkować najwyższym poziomem bezpieczeństwa, Inspektor zaleca prawodawcy, by zmienił art. 26 w szerszy przepis, który w sposób bardziej ogólny będzie się odnosić do kwestii bezpieczeństwa i zawierać wzmianki o stosownych przepisach aktów prawnych ustanawiających przedmiotowe trzy wielkoskalowe systemy informatyczne. Wcześniej należy jednak ocenić, w jakim stopniu przepisy, o których mowa, są do siebie podobne i ze sobą zgodne. Należy ponadto powiązać tego rodzaju szerszy przepis z art. 14 ust. 6 lit. g) i art. 9 ust. 1 lit. n), które mówią o opracowywaniu i przyjmowaniu środków bezpieczeństwa i planu bezpieczeństwa.

Artykuł 7 ust. 4 i artykuł 19 proponowanego rozporządzenia: siedziba agencji

48. Inspektor jest świadomy, że decyzja o umiejscowieniu siedziby agencji, przewidziana w art. 7 ust. 4, jest w dużym stopniu decyzją polityczną. Mimo to zaleca, by w świetle art. 19, który jest poświęcony umowie w sprawie siedziby, wyboru dokonać na podstawie obiektywnych kryteriów, takich jak dostępna lokalizacja (najlepiej pojedynczy budynek przeznaczony wyłącznie na agencję) oraz możliwość zapewnienia bezpieczeństwa budynku.

Artykuł 27 proponowanego rozporządzenia: ocena

49. W art. 27 proponowanego rozporządzenia mowa jest o tym, że w okresie trzech lat od daty podjęcia przez agencję obowiązków, a następnie co pięć lat zarząd zleca przeprowadzenie niezależnej zewnętrznej oceny na podstawie zakresu zadań ogłoszonego przez zarząd po konsultacji z Komisją. Aby mieć pewność, że elementem tego zakresu zadań będzie ochrona danych, Inspektor zaleca prawodawcy, by wyraźnie o tym wspomniał w ust. 1. Inspektor ponadto zwraca się do prawodawcy, by w ust. 2 wymienił przykładowe zainteresowane strony, a wśród nich Inspektora. Zaleca prawodawcy także, by wymienił Inspektora wśród instytucji otrzymujących dokumenty, o których mowa w ust. 3.

VI. WNIOSKI I ZALECENIA

50. Inspektor zaznacza przede wszystkim, że nie można oprzeć proponowanej decyzji Rady na dwóch artykułach TFUE, którymi zastąpiono artykuły TUE będące obecnie podstawą wniosku. Inspektor zwraca się do Komisji, by wyjaśniła tę kwestię i zastanowiła się, czy jako podstawy prawnej nie zastosować artykułu dającego jak najwięcej uprawnień Parlamentowi Europejskiemu oraz czy nie połączyć obu wniosków w jedno rozporządzenie.

51. Inspektor przeanalizował różne możliwości związane z operacyjnym zarządzaniem SIS II, VIS i Eurodac, i dostrzega korzyści, które mogą wyniknąć ze stworzenia agencji regulacyjnej do zarządzania operacyjnego niektórymi wielkoskalowymi systemami informatycznymi. Inspektor podkreśla jednak, że agencja taka powinna powstać dopiero wtedy, gdy jasno zdefiniowany zostanie zakres jej działalności i zadań.

52. Inspektor omówił dwa ogólne problemy, jakie pod względem ochrony danych niesie ustanowienie agencji: ryzyko niezamierzonego rozrostu funkcji oraz konsekwencje interoperacyjności systemów.

53. Inspektor jest zdania, że niezamierzonego rozrostu funkcji można uniknąć, jeżeli po pierwsze w akcie prawnym ustanawiającym agencję ograniczy się i ściśle zdefiniuje zakres jej (ewentualnej) działalności, a po drugie dopilnuje się, by zakres ten rozszerzać w demokratycznej procedurze decyzyjnej. Inspektor odnotowuje, że obecne wnioski zawierają już takie warunki, ale pewne niejasności pozostają. Zaleca więc prawodawcy:

– by sprecyzował i świadomie postanowił, czy zakres działalności agencji ogranicza się do tytułu V rozdziału 2 TFUE, czy też ewentualnie powinien obejmować wszystkie wielkoskalowe systemy informatyczne powstające w przestrzeni wolności, bezpieczeństwa i sprawiedliwości,

– by doprecyzował pojęcie wielkoskalowego systemu informatycznego w kontekście utworzenia agencji i wyjaśnił, czy pojęcie to odnosi się tylko do systemów przechowujących dane w centralnej bazie danych, za którą odpowiadają Komisja albo agencja,

– by dodatkowo zaakcentował tekst art. 6, dodając w ust. 1 i 2 (o ile ust. 2 zostanie zachowany) słowo "wyłącznie".

54. Ogólnie rzecz biorąc, Inspektor jest zaniepokojony niejasnościami wokół ewentualnej interoperacyjności wielkoskalowych systemów informatycznych. Powstania agencji nie uważa jednak za najgroźniejszy czynnik w tym kontekście. Zauważa, że agencja nie będzie mogła z własnej inicjatywy decydować o interoperacyjności. Inspektor zachęca prawodawcę, by w kontekście proponowanych projektów pilotażowych doprecyzował, jaką procedurą ma się posługiwać Komisja, zanim wystąpi z wnioskiem o projekt pilotażowy. Zdaniem Inspektora na procedurę taką powinna się składać ocena - wymagająca ewentualnie konsultacji z Parlamentem Europejskim i z Inspektorem - tego, jak inicjatywa wynikająca z takiego wniosku może wpłynąć na ochronę danych.

55. Ponadto Inspektor przedstawia kilka szczegółowych zaleceń:

– by umieścić go w wykazie adresatów rocznego programu prac i rocznego sprawozdania z działalności, o których mowa w art. 9 ust. 1 lit. i) i j) proponowanego rozporządzenia,

– by skreślić art. 9 ust. 1 lit. r) proponowanego rozporządzenia albo zastąpić fragment "oraz podejmuje decyzje w sprawie działań pokontrolnych" fragmentem: "oraz decyduje, jak w najwłaściwszy sposób zrealizować zalecenia pokontrolne",

– by zmienić art. 26 proponowanego rozporządzenia w przepis, który w bardziej ogólny sposób będzie poruszał kwestie zasad bezpieczeństwa i zawierał wzmianki o stosownych przepisach aktów prawnych ustanawiających trzy przedmiotowe wielkoskalowe systemy informatyczne, oraz by powiązać tego rodzaju szerszy przepis z art. 14 ust. 6 lit. g) i art. 9 ust. 1 lit. n) proponowanego rozporządzenia,

– w nawiązaniu do poprzedniego punktu - by zamieścić w art. 26 ust. 2 proponowanego rozporządzenia wzmiankę o konkretnych dokumentach,

– by wybierając siedzibę agencji, kierować się obiektywnymi i praktycznymi kryteriami,

– by wymienić go w wykazie instytucji otrzymujących dokumenty, o których mowa w art. 27 ust. 3 proponowanego rozporządzenia.

Sporządzono w Brukseli dnia 7 grudnia 2009 r.

Peter HUSTINX
Europejski inspektor ochrony danych

______

(1) Dz.U. L 281 z 23.11.1995, s. 31.

(2) Dz.U. L 8 z 12.1.2001, s. 1.

(3) Zob. COM(2009) 293 wersja ostateczna oraz COM(2009) 294 wersja ostateczna.

(4) Zob. COM(2009) 292 wersja ostateczna.

(5) Zob. SEC(2009) 836 wersja ostateczna oraz SEC(2009) 837 wersja ostateczna.

(6) Zob. art. 15 rozporządzenia (WE) nr 1987/2006 o SIS II (Dz.U. L 381 z 28.12.2006, s. 4), art. 26 rozporządzenia (WE) nr 767/2008 o VIS (Dz.U. L 218 z 13.8.2008, s. 60) oraz art. 13 rozporządzenia Rady (WE) nr 2725/2000 (Dz.U. L 316 z 15.12.2000, s. 1).

(7) Zob. wspólne oświadczenie z dnia 7 czerwca 2007 r. załączone do rezolucji legislacyjnej Parlamentu z dnia 7 czerwca 2007 r. w sprawie proponowanego rozporządzenia o VIS.

(8) Zob. motyw 5 proponowanego rozporządzenia.

(9) Dz.U. L 205 z 7.8.2007, s. 63, oraz Dz.U. L 218 z 13.8.2008, s. 129.

(10) Jeżeli po przyjęciu proponowanej decyzji Rady w sprawie występowania przez organy ścigania państw członkowskich oraz Europol o porównanie z danymi Eurodac na potrzeby ochrony porządku publicznego (zob. COM(2009) 344 wersja ostateczna) Europol uzyska dostęp do Eurodac, prawdopodobnie uzyska taki sam status względem Eurodac. Zob. jednak krytyczną opinię Inspektora z dnia 7 października 2009 r. na temat proponowanej decyzji Rady, jest ona dostępna pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2009/09-10-07_Access_Eurodac_EN.pdf

(11) W tzw. wyroku w sprawie ditlenku tytanu Europejski Trybunał Sprawiedliwości szczególnie zwracał uwagę na udział Parlamentu Europejskiego w procesie podejmowania decyzji, zob. wyrok z dnia 11 czerwca 1991 r. Komisja przeciwko Radzie, sprawa C-300/89 [Rec.] 1991, s. I-2867, pkt 20.

(12) Zob. ocena skutków regulacji, s. 32.

(13) W drugiej kwestii zob. opinia Inspektora z dnia 7 pażdziernika 2009 r. przywołana w przypisie 10.

(14) Zob. art. 4 ust. 1 lit. b) rozporządzenia (WE) nr 45/2001.

(15) System z Prüm: zob. decyzje Rady 2008/615/WSiSW i 2008/616/WSiSW z dnia 23 czerwca 2008 r. w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej (Dz.U. L 210 z 6.8.2008, s. 1 oraz Dz.U. L 210 z 6.8.2008, s. 12) oraz opinie Inspektora z dnia 4 kwietnia 2007 r. (Dz.U. C 169 z 21.7.2007, s. 2) i z dnia 19 grudnia 2007 r. (Dz.U. C 89 z 10.4.2008, s. 1). ECRIS: zob. decyzja Rady 2009/316/WSiSW z dnia 6 kwietnia 2009 r. w sprawie ustanowienia europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS) (Dz.U. L 93 z 7.4.2009, s. 33) oraz opinia Inspektora z dnia 16 września 2008 r. (Dz.U. C 42 z 20.2.2009, s. 1).

(16) Uwagi Inspektora z dnia 10 marca 2006 r. można znaleźć pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2006/06-03-10_Interoperability_EN.pdf

(17) COM(2008) 135 wersja ostateczna, s. 5.

(18) Stanowisko Inspektora z dnia 28 listopada 2005 r., dostępne pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/PositionP/05-11-28_DPO_paper_EN.pdf

(19) Dz.U. L 317 z 3.12.2001, s. 1.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.