Opinia w sprawie wniosków ustawodawczych dotyczących wspólnej polityki rolnej po 2013 r.

Dzienniki UE

Dz.U.UE.C.2012.35.1

Akt nienormatywny
Wersja od: 9 lutego 2012 r.

Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosków ustawodawczych dotyczących wspólnej polityki rolnej po 2013 r.

(2012/C 35/01)

(Dz.U.UE C z dnia 9 lutego 2012 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2),

uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

1. WPROWADZENIE

1.1. Konsultacje z EIOD

1.
Dnia 12 października 2011 r. Komisja przyjęła następujące wnioski (zwane dalej "wnioskami") dotyczące wspólnej polityki rolnej (zwanej dalej "WPR") po 2013 r., które przesłano EIOD do konsultacji tego samego dnia:
wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego przepisy dotyczące płatności bezpośrednich dla rolników na podstawie systemów wsparcia w ramach wspólnej polityki rolnej (zwanego dalej "rozporządzeniem w sprawie płatności bezpośrednich")(3),
wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego wspólną organizację rynków produktów rolnych (zwanego dalej "rozporządzeniem o jednolitej wspólnej organizacji rynków")(4),
wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie wsparcia rozwoju obszarów wiejskich przez Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich (EFRROW) (zwanego dalej "rozporządzeniem w sprawie rozwoju obszarów wiejskich")(5),
wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie finansowania wspólnej polityki rolnej, zarządzania nią i monitorowania jej (zwanego dalej "rozporządzeniem horyzontalnym")(6),
wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady określającego środki dotyczące ustalania niektórych dopłat i refundacji związanych ze wspólną organizacją rynków produktów rolnych(7),
wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie Rady (WE) nr 73/2009 w związku ze stosowaniem płatności bezpośrednich dla rolników w odniesieniu do roku 2013(8),
wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie Rady (WE) nr 1234/2007 w odniesieniu do systemu płatności jednolitych i wsparcia dla plantatorów winorośli(9).
2.
EIOD z zadowoleniem przyjmuje fakt przeprowadzenia z nim formalnych konsultacji przez Komisję oraz zamieszczenia odniesienia do obecnej opinii we wnioskowanych preambułach rozporządzenia w sprawie płatności bezpośrednich, rozporządzenia o jednolitej wspólnej organizacji rynków, rozporządzenia w sprawie rozwoju obszarów wiejskich oraz rozporządzenia horyzontalnego.

1.2. Cele wniosków i przetwarzanie danych osobowych

3.
Celem wniosków jest stworzenie ram dla: 1) rentownej produkcji żywności; 2) zrównoważonego gospodarowania zasobami naturalnymi i działań w dziedzinie klimatu oraz 3) zrównoważonego rozwoju terytorialnego. Aby osiągnąć ten cel, ustanawia się w nich pewne systemy wsparcia dla rolników oraz inne środki służące pobudzeniu rozwoju rolnictwa i obszarów wiejskich.
4.
Na różnych etapach wnioskowanych programów przetwarzane są dane osobowe odnoszące się głównie do beneficjentów pomocy, ale także do osób trzecich (przetwarzanie wniosków o przyznanie pomocy, zapewnienie przejrzystości płatności, kontrola i zwalczanie nadużyć itp.). Chociaż w zdecydowanej większości przetwarzania dokonują i są za nie odpowiedzialne państwa członkowskie, Komisja ma możliwość dostępu do większości tych danych. Beneficjenci, a w niektórych przypadkach osoby trzecie - np. w ramach kontroli zapobiegających nadużyciom - muszą dostarczyć informacje wskazanym właściwym organom.

1.3. Cel opinii EIOD

5.
Znaczenie ochrony danych w kontekście WPR wskazał Trybunał Sprawiedliwości w swoim orzeczeniu w sprawie Schecke, unieważniając prawodawstwo UE w sprawie publikacji nazwisk beneficjentów funduszy rolnych(10). EIOD ma świadomość, że w tym przypadku aspekty związane z ochroną danych nie są głównymi elementami wniosków. Jednak w zakresie, w którym wnioski te odnoszą się do przetwarzania danych osobowych, należy do nich zgłosić pewne uwagi.
6.
Celem obecnej opinii nie jest analiza całego zestawu wniosków, lecz wniesienie wkładu i przedstawienie wytycznych dotyczących zaprojektowania procesu przetwarzania danych osobowych niezbędnego do celów zarządzania WPR z poszanowaniem podstawowych praw do prywatności i ochrony danych, a zarazem w sposób zapewniający skuteczne zarządzanie pomocą, zapobieganie nadużyciom i prowadzenie dochodzeń w ich sprawie oraz przejrzystość i rozliczalność wydatków.
7.
W tym celu obecną opinię podzielono na dwie części: pierwsza, bardziej ogólna, zawiera analizę i zalecenia odnoszące się do większości wniosków. Obejmuje ona głównie uwagi na temat uprawnień delegowanych i wykonawczych Komisji. W drugiej części omówiono konkretne przepisy zawarte w niektórych wnioskach(11) oraz przedstawiono zalecenia dotyczące sposobu zaradzenia zidentyfikowanym problemom.

2. ANALIZA WNIOSKÓW

2.1. Uwagi ogólne

8.
Jak wspomniano, większość czynności przetwarzania wykonują państwa członkowskie. Komisja może jednak w wielu przypadkach uzyskać dostęp do danych osobowych. W związku z tym EIOD z zadowoleniem przyjmuje zamieszczenie odniesień do zastosowania dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 w preambułach stosownych wniosków(12).
9.
Ogólnie rzecz biorąc, można zauważyć, że wielu kwestii podstawowych z punktu widzenia ochrony danych nie uwzględniono w obecnych wnioskach, lecz zostaną one uregulowane aktami wykonawczymi lub delegowanymi. Dotyczy to na przykład środków, które mają zostać przyjęte w odniesieniu do monitorowania pomocy, ustanowienia systemów informatycznych, przekazywania informacji państwom trzecim i kontroli na miejscu(13).
10.
W art. 290 TFUE określono warunki wykonywania przez Komisję uprawnień delegowanych. Może ona zyskać uprawnienia "do przyjęcia aktów o charakterze nieprawodawczym o zasięgu ogólnym, które uzupełniają lub zmieniają niektóre, inne niż istotne, elementy aktu prawodawczego". Wyraźnie muszą również zostać określone "cele, treść, zakres oraz czas obowiązywania przekazanych uprawnień". Jeżeli chodzi o uprawnienia wykonawcze, w art. 291 TFUE stwierdza się, że mogą one zostać przyznane Komisji, gdy "konieczne są jednolite warunki wykonywania prawnie wiążących aktów Unii". Niezbędne jest zapewnienie stosownej kontroli ze strony państw członkowskich.
11.
Zdaniem EIOD fundamentalnych aspektów przetwarzania przewidzianego we wnioskach oraz niezbędnych zabezpieczeń związanych z ochroną danych nie można uznać za "inne niż istotne elementy". Dlatego w głównych aktach prawnych należy uregulować co najmniej następujące elementy, aby zwiększyć pewność prawną(14):
należy wyraźnie określić konkretny cel każdej czynności przetwarzania. Jest to szczególnie ważne w odniesieniu do publikacji danych osobowych i przekazywania ich państwom trzecim,
należy przewidzieć i określić kategorie przetwarzanych danych, gdyż w wielu przypadkach zakres przetwarzania nie jest obecnie jasny(15),
należy wyjaśnić prawa dostępu, w szczególności dostępu do danych przez Komisję. W tym zakresie należy wskazać, że Komisja może jedynie przetwarzać dane osobowe w razie konieczności, np. w celach kontrolnych,
należy ustanowić maksymalne okresy zatrzymywania danych, gdyż w niektórych przypadkach we wnioskach mowa jest tylko o minimalnych okresach zatrzymywania(16),
należy określić prawa osób, których dane dotyczą, zwłaszcza w odniesieniu do prawa do informacji. Chociaż beneficjenci mogą być świadomi faktu przetwarzania ich danych, należy również odpowiednio poinformować osoby trzecie o możliwości wykorzystania ich danych do celów kontrolnych,
należy również określić zakres i cel przekazywania danych państwom trzecim z poszanowaniem wymogów ustanowionych w art. 25 dyrektywy 95/46/WE i art. 9 ust. 1 rozporządzenia (WE) nr 45/2001.
12.
Po określeniu tych elementów w głównych wnioskach ustawodawczych bardziej szczegółowego wdrożenia wspomnianych zabezpieczeń można dokonać za pośrednictwem aktów delegowanych lub wykonawczych. EIOD oczekuje, że zostaną z nim przeprowadzone konsultacje na temat aktów wykonawczych i delegowanych dotyczących kwestii istotnych z punktu widzenia ochrony danych.
13.
W niektórych przypadkach mogą być przetwarzane dane odnoszące się do (podejrzeń o popełnienie) przestępstw (np. dotyczące nadużyć). W stosownym prawodawstwie dotyczącym ochrony danych dane takie objęto szczególną ochroną(17), więc niezbędna może być kontrola wstępna ze strony właściwych krajowych organów ochrony danych lub EIOD(18).
14.
Wreszcie, należy przewidzieć środki bezpieczeństwa, zwłaszcza w odniesieniu do skomputeryzowanych baz danych i systemów. Należy też uwzględnić zasady rozliczalności i ochrony prywatności w fazie projektowania.

2.2. Uwagi szczegółowe

Zasada celowości i zakres przetwarzania

15.
W art. 157 rozporządzenia o jednolitej wspólnej organizacji rynków upoważnia się Komisję do przyjęcia aktów wykonawczych związanych z wymogami w zakresie przekazywania informacji w różnych celach (jak np. zapewnienie przejrzystości rynku, kontrola środków WPR lub wdrażanie umów międzynarodowych)(19), "uwzględniając] przy tym potrzeby w zakresie danych oraz synergie między potencjalnymi źródłami danych"(20). EIOD zaleca określenie w tym przepisie źródeł danych wykorzystywanych do konkretnych celów. Pod tym względem EIOD pragnie przypomnieć o ryzyku polegającym na niezgodności wzajemnego połączenia baz danych z zasadą celowości(21), zgodnie z którą danych osobowych nie wolno przetwarzać dalej w sposób niezgodny z pierwotnym celem, w jakim zostały zgromadzone(22).
16.
W art. 77 i 74 rozporządzenia w sprawie rozwoju obszarów wiejskich ustanawia się system monitorowania i oceny "opracowywany wspólnie przez Komisję i państwa członkowskie" do celów monitorowania i oceny, w tym system informacji elektronicznej. System ten będzie się wiązać z przetwarzaniem danych obejmujących "najważniejsze cechy beneficjenta i projektu" i dostarczanych przez samych beneficjentów (art. 78). W zakresie, w którym te "najważniejsze informacje" obejmują dane osobowe, należy to określić w przepisie. Ponadto należy określić kategorie przetwarzanych danych oraz przeprowadzić konsultacje z EIOD w sprawie aktów wykonawczych określonych w art. 74.
17.
Ponadto w art. 92 tego samego wniosku przewiduje się ustanowienie nowego systemu informacyjnego, czego ma dokonać "Komisja, we współpracy z państwami członkowskimi" w celu umożliwienia bezpiecznej wymiany "danych stanowiących przedmiot wspólnego zainteresowania". Definicja kategorii danych, które mają podlegać wymianie, jest zbyt obszerna, i należy ją zawęzić na wypadek, gdyby przy użyciu tego systemu miały być przekazywane dane osobowe. Ponadto należy wyjaśnić związek między art. 77 i art. 92, gdyż nie jest jasne, czy ich cel oraz zakres są tożsame.
18.
W motywie 40 rozporządzenia horyzontalnego stwierdza się, że państwa członkowskie powinny wykorzystywać zintegrowany system zarządzania i kontroli(23) w odniesieniu do niektórych płatności; należy je też "upoważnić do korzystania ze wspomnianego zintegrowanego systemu również w odniesieniu do innych systemów wsparcia Unii", aby "poprawić skuteczność i kontrolę wsparcia Unii". Przepis ten należy wyjaśnić, zwłaszcza jeżeli odnosi się on nie tylko do wykorzystywania synergii infrastrukturalnych, ale też do wykorzystania informacji przechowywanych w tym systemie do celów monitorowania innych systemów wsparcia.
19.
Zgodnie z art. 73 ust. 1 lit. c) rozporządzenia horyzontalnego wnioski o przyznanie pomocy powinny oprócz określenia działek i uprawnień do płatności zawierać również "jakiekolwiek inne informacje określone w niniejszym rozporządzeniu lub wymagane w związku z wdrożeniem odpowiedniego sektorowego prawodawstwa rolnego lub wymagane przez dane państwo członkowskie"(24). Należy określić wymagane kategorie danych na wypadek, gdyby przewidywano uwzględnienie w tych informacjach danych osobowych.

Prawa dostępu

20.
W rozporządzeniu horyzontalnym (art. 7-15) ustanawia się pewną liczbę organów do celów praktycznego wdrożenia WPR i przydziela się im zadania. W odniesieniu do Komisji przewidziano następujące kompetencje (tytuły IV-VII):
możliwość dostępu do danych przetwarzanych przez te organy do celów kontroli (konkretnych płatności i beneficjentów)(25),
możliwość dostępu do większości powyższych danych do celów ogólnej oceny środków(26).
21.
Pierwsze zadanie, o którym mowa w poprzednim akapicie, będzie wiązać się z przetwarzaniem danych osobowych, natomiast w przypadku zadania drugiego na pierwszy rzut oka nie ma potrzeby przetwarzania danych osobowych: ogólnej oceny środków można również dokonać na podstawie zagregowanych lub zanonimizowanych danych. Jeżeli Komisja nie przedstawi odpowiedniego uzasadnienia potrzeby przetwarzania danych osobowych w tym kontekście, należy wyjaśnić, że do celów ogólnej oceny środków Komisji nie należy dostarczać danych osobowych.
22.
W art. 49-52 i 61-63 rozporządzenia horyzontalnego ustanawia się zasady dotyczące kontroli na miejscu(27). We wniosku stwierdza się, że będą ich dokonywać głównie właściwe organy w państwach członkowskich, zwłaszcza w odniesieniu do kontroli przeprowadzanych w mieszkaniach lub formalnych przesłuchań osób, ale Komisja będzie miała dostęp do uzyskanych w ten sposób informacji. Prawodawca powinien tu wskazać, że Komisja będzie uzyskiwać dostęp do tych danych tylko w przypadku, gdy będzie to konieczne do celów kontrolnych. Należy również określić kategorie danych osobowych, do których dostęp będzie miała Komisja.
23.
Do celów monitorowania pomocy w rozporządzeniu horyzontalnym ustanawia się system zarządzania i kontroli(28) (art. 68-78) złożony z baz danych:
skomputeryzowanej bazy danych (art. 70),
systemu identyfikacji działek rolnych (art. 71),
systemu identyfikacji i rejestracji uprawnień do płatności (art. 72),
wniosków o przyznanie pomocy (art. 73).
24.
W każdym państwie członkowskim powstanie jedna skomputeryzowana baza danych (opcjonalnie również zdecentralizowane bazy danych). W bazie danych zapisywane są dane uzyskane z wniosków o przyznanie pomocy i wniosków o płatność dotyczące każdego beneficjenta pomocy. Nie wszystkie dane zgromadzone na podstawie wniosków o przyznanie pomocy mogą być niezbędne do celów kontroli, należy więc rozważyć możliwości minimalizacji przetwarzania danych osobowych pod tym względem.
25.
Nie uregulowano wyraźnie kwestii dostępu do systemu zarządzania i kontroli. Podobnie jak w odniesieniu do kontroli na miejscu, EIOD zaleca, aby prawodawca określił jednoznaczne zasady dostępu do tego systemu.
26.
Jeżeli chodzi o kontrolę, w rozporządzeniu horyzontalnym przewidziano kontrolę dokumentów handlowych, w tym należących do osób trzecich (art. 79-88)(29). Dokumenty te mogą zawierać dane osobowe dotyczące osób trzecich. W akcie należy określić warunki, pod jakimi wymaga się, aby osoby trzecie ujawniły swoje dokumenty handlowe(30).
27.
W art. 87 tego samego wniosku stwierdza się, że urzędnicy Komisji mają dostęp do wszystkich dokumentów "sporządzonych na potrzeby kontroli lub dokumentów zebranych w wyniku przeprowadzenia kontroli" "na podstawie odpowiednich przepisów prawa krajowego". Dotyczy to zarówno przypadków, w których mogą oni uczestniczyć w kontroli (ust. 2), jak i tych, w których niektóre działania są zastrzeżone dla urzędników wyznaczonych na mocy prawa państwa członkowskiego, w którym odbywa się kontrola (ust. 4). W obydwu przypadkach należy zadbać o to, aby urzędnicy Komisji uzyskiwali dostęp do tych danych tylko w razie konieczności (tj. do celów kontrolnych), również w przypadkach, gdy prawo krajowe może dopuszczać dostęp do innych celów. EIOD zachęca prawodawcę do sprecyzowania treści aktu pod tym względem.
28.
Zgodnie z art. 102 rozporządzenia horyzontalnego państwa członkowskie przekazują Komisji pewne kategorie informacji, oświadczeń i dokumentów. Obejmują one również "podsumowanie wyników wszystkich dostępnych [przeprowadzonych] audytów oraz kontroli" (art. 102 ust. 1 lit. c) ppkt (v)). W tym przypadku należy wskazać, że w tych podsumowaniach nie zostaną zamieszczone dane osobowe lub, jeżeli są one niezbędne, określić cel, w jakim muszą zostać przekazane.

Okresy zatrzymywania danych

29.
W art. 70 ust. 1 rozporządzenia horyzontalnego stwierdza się, że skomputeryzowana baza danych pozwala na zapoznanie się "przez właściwy organ państwa członkowskiego" z danymi począwszy od roku 2000, umożliwiając też "bezpośrednie i natychmiastowe zapoznanie się" z danymi dotyczącymi "co najmniej" pięciu następujących po sobie poprzednich lat(31).
30.
System identyfikacji i rejestracji uprawnień do płatności umożliwia "weryfikację uprawnień oraz kontrole krzyżowe z wnioskami o przyznanie pomocy i systemem identyfikacji działek rolnych". W art. 72 ust. 2 rozporządzenia horyzontalnego stwierdza się, że dane muszą być dostępne przez okres "co najmniej" czterech lat(32).
31.
W odniesieniu do tych dwóch systemów EIOD przypomina o art. 6 ust. 1 lit. e) dyrektywy 95/46/WE i art. 4 ust. 1 lit. e) rozporządzenia (WE) nr 45/2001, zgodnie z którymi dane nie mogą być przechowywane w formie pozwalającej na zidentyfikowanie podmiotów dłużej niż jest to konieczne do celów, dla których były gromadzone. Implikuje to konieczność określenia maksymalnych, a nie tylko minimalnych okresów zatrzymywania danych.

Przekazywanie międzynarodowe

32.
W art. 157 ust. 1 akapit drugi rozporządzenia o jednolitej wspólnej organizacji rynków stwierdza się, że dane mogą być przekazywane państwom trzecim i organizacjom międzynarodowym. EIOD pragnie przypomnieć, że przekazywanie danych osobowych do krajów, które nie zapewniają odpowiedniej ochrony, może być uzasadnione tylko w indywidualnych przypadkach, jeżeli ma zastosowanie którykolwiek z wyjątków określonych w art. 26 dyrektywy 95/46/WE lub w art. 9 ust. 6 rozporządzenia (WE) nr 45/2001 (na przykład jeżeli przekazywanie jest konieczne lub wymagane przez prawo z ważnych względów publicznych).
33.
W tym przypadku należy określić konkretny cel przekazywania (np. w związku z wdrażaniem umów międzynarodowych)(33). Stosowne umowy międzynarodowe powinny zawierać konkretne zabezpieczenia dotyczące ochrony prywatności i danych osobowych oraz wykonywania tych praw przez osoby, których dane dotyczą. Ponadto w przypadku, gdy dane mają być przekazywane przez Komisję, ich przekazanie powinno wymagać zezwolenia ze strony EIOD(34).

Publikacja informacji

34.
W motywie 70 rozporządzenia horyzontalnego i w uzasadnieniach wniosków stwierdza się, że przygotowywane są nowe zasady publikacji informacji na temat beneficjentów "uwzględniając[e] zastrzeżenia zgłoszone przez Trybunał" w sprawie Schecke(35).
35.
EIOD pragnie przypomnieć, że zasady publikacji informacji dotyczących beneficjentów powinny być zgodne z zasadą proporcjonalności. Jak potwierdził Trybunał Sprawiedliwości(36), należy właściwie wyważyć podstawowe prawo beneficjentów do prywatności i ochrony danych z jednej strony oraz interes Unii Europejskiej polegający na zagwarantowaniu przejrzystości i zapewnieniu należytego zarządzania środkami publicznymi z drugiej strony.
36.
Ma to również zastosowanie w odniesieniu do art. 157 ust. 1 akapit drugi rozporządzenia o jednolitej wspólnej organizacji rynków, zgodnie z którym dane mogą "być upubliczniane, z zastrzeżeniem wymogu ochrony danych osobowych oraz uzasadnionego interesu przedsiębiorstw w zakresie ochrony tajemnicy handlowej". W art. 157 ust. 2 lit. d) i art. 157 ust. 3 lit. c) Komisję uprawnia się do przyjmowania aktów delegowanych określających "warunki i sposoby publikacji informacji" oraz aktów wykonawczych określających uzgodnienia w zakresie przekazywania lub udostępniania informacji i dokumentów obywatelom.
37.
EIOD z zadowoleniem przyjmuje fakt, że publikacja informacji i dokumentów będzie przebiegać z zastrzeżeniem wymogu ochrony danych osobowych. Najważniejsze elementy, takie jak cel publikacji oraz kategorie publikowanych danych, należy jednak określić we wnioskach, a nie w aktach wykonawczych lub delegowanych.

Prawa osób, których dane dotyczą

38.
Należy określić prawa osób, których dane dotyczą, zwłaszcza w odniesieniu do prawa do informacji i prawa dostępu. Jest to szczególnie istotne w odniesieniu do art. 81 rozporządzenia horyzontalnego, zgodnie z którym kontroli mogą podlegać dokumenty handlowe beneficjentów, ale również dostawców, klientów, przewoźników i innych osób trzecich. Chociaż beneficjenci mogą być świadomi faktu przetwarzania ich danych, należy również odpowiednio poinformować osoby trzecie o możliwości wykorzystania ich danych do celów kontrolnych (np. za pośrednictwem informacji o polityce prywatności przedstawianej w chwili gromadzenia danych oraz za pośrednictwem informacji zamieszczonych na wszystkich stosownych stronach internetowych i we wszystkich stosownych dokumentach). We wnioskach należy uwzględnić obowiązek informowania osób, których dane dotyczą, w tym osób trzecich.

Środki bezpieczeństwa

39.
Należy przewidzieć środki bezpieczeństwa, zwłaszcza w odniesieniu do skomputeryzowanych baz danych i systemów. Należy uwzględnić zasady rozliczalności i ochrony prywatności w fazie projektowania. Wykaz środków bezpieczeństwa, które należy przyjąć w odniesieniu do powyższych skomputeryzowanych baz danych i systemów, można wprowadzić co najmniej aktami delegowanymi lub wykonawczymi. Jest to tym istotniejsze, że dane osobowe przetwarzane w kontekście kontroli mogą obejmować dane dotyczące podejrzeń o popełnienie przestępstwa.
40.
EIOD z zadowoleniem przyjmuje wymagania ustanowione w art. 103 rozporządzenia horyzontalnego w odniesieniu do poufności i tajemnicy zawodowej związanej z kontrolą w znaczeniu określonym w art. 79-88 tego rozporządzenia.

3. WNIOSKI

41.
Zdaniem EIOD, aby zwiększyć pewność prawną, najważniejsze aspekty przewidzianych we wnioskach czynności przetwarzania oraz niezbędne zabezpieczenia związane z ochroną danych należy uregulować w głównych aktach prawnych, a nie w aktach delegowanych lub wykonawczych:
we wnioskach należy wyraźnie określić konkretny cel każdej czynności przetwarzania, zwłaszcza w odniesieniu do publikacji danych osobowych i ich przekazywania międzynarodowego,
należy określić kategorie przetwarzanych danych,
dane osobowe należy przetwarzać tylko w razie konieczności,
należy wyjaśnić prawa dostępu. W szczególności należy wskazać, że Komisja powinna przetwarzać dane osobowe tylko w razie konieczności, na przykład w celach kontrolnych,
we wnioskach należy określić maksymalne okresy zatrzymywania danych,
należy określić prawa osób, których dane dotyczą, zwłaszcza w odniesieniu do prawa do informacji. Należy zapewnić, aby o przetwarzaniu swoich danych informowani byli nie tylko beneficjenci, ale też osoby trzecie,
konkretny cel lub cele oraz zakres międzynarodowego przekazywania danych należy ograniczyć do niezbędnego minimum, jak też należy je odpowiednio określić we wnioskach.
42.
Elementy te można szerzej rozwinąć w aktach delegowanych lub wykonawczych. EIOD oczekuje, że zostaną z nim przeprowadzone konsultacje w tej sprawie.
43.
Ponadto co najmniej w aktach wykonawczych lub delegowanych należy przewidzieć środki bezpieczeństwa, zwłaszcza w odniesieniu do skomputeryzowanych baz danych i systemów. Należy też uwzględnić zasady rozliczalności i ochrony prywatności w fazie projektowania.
44.
Wreszcie, biorąc pod uwagę fakt, że w niektórych przypadkach mogą być przetwarzane dane odnoszące się do (podejrzeń o popełnienie) przestępstw (np. dotyczące nadużyć), niezbędna może być kontrola wstępna ze strony właściwych krajowych organów ochrony danych lub EIOD.

Sporządzono w Brukseli dnia 14 grudnia 2011 r.

Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych
______

(1) Dz.U L 281 z 23.11.1995, s. 31.

(2) Dz.U. L 8 z 12.1.2001, s. 1.

(3) COM(2011) 625 wersja ostateczna.

(4) COM(2011) 626 wersja ostateczna.

(5) COM(2011) 627 wersja ostateczna.

(6) COM(2011) 628 wersja ostateczna.

(7) COM(2011) 629 wersja ostateczna.

(8) COM(2011) 630 wersja ostateczna.

(9) COM(2011) 631 wersja ostateczna.

(10) Trybunał Sprawiedliwości, dnia 9 listopada 2010 r., Volker i Markus Schecke, C-92/09 i C-93/09.

(11) Aktualne ramy legislacyjne uwzględniają już wiele spośród tych przepisów.

(12) COM(2011) 625 wersja ostateczna: motyw 42; COM(2011) 626 wersja ostateczna: motyw 137; COM(2011) 627 wersja ostateczna: motyw 67; COM(2011) 628 wersja ostateczna: motyw 69.

(13) Zob. m.in. art. 157 rozporządzenia o jednolitej wspólnej organizacji rynków; tytuł VII (Monitorowanie i ocena) oraz art. 78 i 92 rozporządzenia w sprawie rozwoju obszarów wiejskich; jak też art. 21-23, 49-52 i tytuł V, rozdziały II i III rozporządzenia horyzontalnego.

(14) Zob. też opinię EIOD w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywy 89/666/EWG, 2005/56/WE i 2009/101/WE w zakresie integracji rejestrów centralnych, rejestrów handlowych i rejestrów spółek (Dz.U. C 220 z 26.7.2011, s. 1), sekcja 3.2; opinię EIOD w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, partnerów centralnych i repozytoriów transakcji (Dz.U. C 216 z 22.7.2011, s. 9),

pkt 13, 28 i 30; opinię EIOD w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie umów o kredyt związanych z nieruchomościami mieszkalnymi, pkt 7, 12 i 13; wszystkie te dokumenty są dostępne pod adresem: http://www.edps.europa.eu

(15) Zob. m.in. art. 77 i 92 rozporządzenia w sprawie rozwoju obszarów wiejskich.

(16) Zob. art. 70 ust. 1 i art. 72 ust. 2 rozporządzenia horyzontalnego.

(17) Artykuł 10 ust. 5 rozporządzenia (WE) nr 45/2001 i art. 8 ust. 5 dyrektywy 95/46/WE.

(18) Artykuł 27 ust. 2 rozporządzenia (WE) nr 45/2001 i art. 20 dyrektywy 95/46/WE.

(19) Przedmiotowe wymogi w zakresie przekazywania informacji ustanawia się w celu: "stosowania niniejszego rozporządzenia, monitorowania, analiz i zarządzania rynkiem produktów rolnych, zapewnienia przejrzystości rynku, prawidłowego funkcjonowania środków WPR, kontroli różnego szczebla, monitorowania, oceny i audytu środków WPR, wdrażania umów międzynarodowych obejmującego wymogi w zakresie przekazywania informacji w ramach przedmiotowych umów" (zob. art. 157 ust. 1 akapit pierwszy).

(20) Wymianę informacji w podobnych celach przewidziano już w obecnym prawodawstwie (zob. na przykład art. 36 rozporządzenia Rady (WE) nr 1290/2005 z dnia 21 czerwca 2005 r. w sprawie finansowania wspólnej polityki rolnej (zwanego dalej "rozporządzeniem w sprawie finansowania WPR") (Dz.U. L 209 z 11.8.2005, s. 1) oraz art. 192 rozporządzenia Rady (WE) nr 1234/2007 z dnia 22 października 2007 r. ustanawiającego wspólną organizację rynków rolnych oraz przepisy szczegółowe dotyczące niektórych produktów rolnych (Dz.U. L 299 z 16.11.2007, s. 1)).

(21) Zob. też opinię EIOD w sprawie wniosku dotyczącego decyzji Rady w sprawie utworzenia, działania i wykorzystania Systemu Informacyjnego Schengen drugiej generacji (SIS II) (COM(2005) 230 wersja ostateczna) wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie utworzenia, eksploatacji i wykorzystania Systemu Informacyjnego Schengen drugiej generacji (SIS II) (COM(2005) 236 wersja ostateczna) oraz wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie dostępu służb odpowiedzialnych w państwach członkowskich za wydawanie świadectw rejestracji pojazdów do Systemu Informacyjnego Schengen drugiej generacji (SIS II) (COM(2005) 237 wersja ostateczna) (Dz.U. C 91 z 19.4.2006, s. 38) zwłaszcza pkt 10; opinię EIOD w sprawie komunikatu Komisji do Parlamentu Europejskiego i Rady "Przegląd zarządzania informacjami w przestrzeni wolności, bezpieczeństwa i sprawiedliwości", zwłaszcza pkt 47-48 oraz uwagi EIOD na temat komunikatu Komisji w sprawie współdziałania europejskich baz danych z dnia 10 marca 2006 r.; wszystkie dokumenty są dostępne pod adresem: http://www.edps.europa.eu

(22) Zob. art. 4 ust. 1 lit. b) rozporządzenia (WE) nr 45/2001 oraz przepisy krajowe wdrażające art. 6 ust. 1 lit. a) dyrektywy 95/46/WE.

(23) Został on już ustanowiony na mocy art. 14 rozporządzenia Rady (WE) nr 73/2009 z dnia 19 stycznia 2009 r. ustanawiającego wspólne zasady dla systemów wsparcia bezpośredniego dla rolników w ramach wspólnej polityki rolnej i ustanawiającego określone systemy wsparcia dla rolników, zmieniającego rozporządzenia (WE) nr 1290/2005, (WE) nr 247/2006, (WE) nr 378/2007 oraz uchylającego rozporządzenie (WE) nr 1782/2003 (Dz.U. L 30 z 31.1.2009, s. 16) (zwanego dalej "rozporządzeniem w sprawie płatności bezpośrednich").

(24) Podobne sformułowanie zawiera art. 19 ust. 1 lit. c) rozporządzenia w sprawie płatności bezpośrednich.

(25) W art. 36 rozporządzenia w sprawie finansowania WPR przewidziano już wymianę danych do podobnych celów.

(26) Zob. art. 110.

(27) Kontrole na miejscu są już dokonywane na mocy aktualnego prawodawstwa (zob. art. 36 i 37 rozporządzenia w sprawie finansowania WPR).

(28) Podobny do systemu ustanowionego już na mocy art. 14 rozporządzenia w sprawie płatności bezpośrednich.

(29) Kontrolę dokumentów handlowych, w tym należących do osób trzecich, oraz dostęp Komisji do takich dokumentów ustanowiono już w obecnym prawodawstwie (zob. na przykład art. 15 rozporządzenia Rady (WE) nr 485/2008 z dnia 26 maja 2008 r. w sprawie kontroli przez państwa członkowskie transakcji stanowiących część systemu finansowania przez Europejski Fundusz Rolniczy Gwarancji (Dz.U. L 143 z 3.6.2008, s. 1)).

(30) Zob. też opinię Europejskiego Inspektora Ochrony Danych z dnia 19 kwietnia 2011 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, partnerów centralnych i repozytoriów transakcji (Dz.U. C 216 z 22.7.2011, s. 9), zwłaszcza pkt 32; dokument jest dostępny pod adresem: http://www.edps.europa.eu

(31) Jak wskazano już w art. 16 rozporządzenia w sprawie płatności bezpośrednich.

(32) Bardzo podobne sformułowanie zawiera art. 18 rozporządzenia w sprawie płatności bezpośrednich.

(33) W art. 157 ust. 1 akapit pierwszy rozporządzenia o jednolitej wspólnej organizacji rynków zawarto wykaz celów przekazywania informacji Komisji, nie określając jednak, dla którego z tych celów dane mogą być przekazywane państwom trzecim lub organizacjom międzynarodowym.

(34) Artykuł 9 ust. 7 rozporządzenia (WE) nr 45/2001.

(35) Trybunał Sprawiedliwości, dnia 9 listopada 2010 r., Volker i Markus Schecke oraz Eifert, sprawy połączone C-92/09 i C-93/09.

(36) Trybunał Sprawiedliwości w sprawie Schecke, pkt 77-88.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .