Podsumowanie opinii Europejskiego Inspektora Ochrony Danych na temat dwóch wniosków dotyczących decyzji Rady upoważniających państwa członkowskie do podpisania i ratyfikowania, w interesie Unii Europejskiej, drugiego protokołu dodatkowego do Konwencji o cyberprzestępczości w sprawie wzmocnionej współpracy i ujawniania elektronicznego materiału dowodowego (Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)

(2022/C 182/04)

(Dz.U.UE C z dnia 4 maja 2022 r.)

W dniu 25 listopada 2021 r. Komisja przyjęła dwa wnioski dotyczące decyzji Rady na mocy art. 16, art. 82 ust. 1 oraz art. 218 ust. 5 i 6 Traktatu o funkcjonowaniu Unii Europejskiej, z których jedna upoważnia państwa członkowskie do podpisania, a druga do ratyfikowania, w interesie Unii Europejskiej, drugiego protokołu dodatkowego do konwencji budapeszteńskiej o cyberprzestępczości. Załącznik do wniosków zawiera wytyczne Rady dotyczące zastrzeżeń, deklaracji i komunikatów związanych z podpisaniem i ratyfikowaniem protokołu.

Dochodzenie i ściganie przestępstw jest uzasadnionym celem, a współpraca międzynarodowa, w tym wymiana informacji, stała się ważniejsza niż kiedykolwiek. Jak od długiego czasu podnosił EIOD, UE potrzebuje trwałych ustaleń dotyczących udostępniania danych osobowych państwom trzecim dla celów związanych ze ściganiem przestępstw, które to ustalenia będą w pełni zgodne z unijnymi traktatami oraz Kartą praw podstawowych Unii Europejskiej. Nawet przy prowadzeniu śledztw w sprawach krajowych organy ścigania coraz częściej mają do czynienia z "sytuacjami transgranicznymi", ponieważ informacje są przechowywane elektronicznie w państwie trzecim. Zwiększająca się liczba napływających wniosków oraz zmienność informacji cyfrowych powodują obciążenie istniejących modeli współpracy, takich jak traktaty o pomocy prawnej. EIOD rozumie, że organy toczą wyścig z czasem, by uzyskać dane na potrzeby prowadzonych przez siebie śledztw, i popiera działania na rzecz wypracowania nowych modeli współpracy, również w kontekście współpracy z państwami trzecimi.

Protokół ma na celu usprawnienie tradycyjnych kanałów współpracy i zawiera przepisy mające na celu wzmocnienie bezpośredniej współpracy między organami ścigania a dostawcami usług w kontekście transgranicznym. W szczególności protokół zacieśniłby współpracę w zakresie cyberprzestępczości oraz gromadzenia w formie elektronicznej dowodów dotyczących przestępstw kryminalnych do celów konkretnych dochodzeń lub postępowań karnych.

Uznając, że nie jest możliwe całkowite odwzorowanie terminologii i definicji prawa UE w wielostronnej umowie międzynarodowej, EIOD podkreśla, że należy odpowiednio zagwarantować osobom fizycznym pełną zgodność z prawem UE.

Zasady ochrony danych, w tym uczciwość, dokładność i adekwatność informacji, niezależny nadzór i indywidualne prawa osób fizycznych są tak samo istotne dla organów publicznych, jak i dla przedsiębiorstw prywatnych. Te podstawowe zasady są tym ważniejsze, im bardziej wrażliwe są dane wymagane w dochodzeniach w sprawach karnych.

Niniejsza opinia ma na celu dostarczenie instytucjom UE obiektywnej analizy i konstruktywnych porad w trakcie rozpatrywania przez Radę wniosków Komisji dotyczących podpisania i ratyfikacji protokołu oraz przed wezwaniem Parlamentu Europejskiego do wyrażenia zgody na zawarcie protokołu.

EIOD z zadowoleniem przyjmuje fakt, że w ostatecznym tekście protokołu nie znalazł się żaden przepis dotyczący bezpośredniego dostępu organów ścigania do danych. Z zadowoleniem przyjmuje również fakt, że protokół zawiera specjalny artykuł dotyczący ochrony danych osobowych. Ponadto EIOD z aprobatą przyjmuje liczne zabezpieczenia, które zostały włączone do protokołu.

EIOD rozumie, że potwierdzono, iż umowa ramowa UE-USA będzie miała zastosowanie do przekazywania danych z UE do Stanów Zjednoczonych Ameryki w ramach przepisów określonych w protokole dotyczących współpracy między organami. EIOD wyraża ubolewanie z powodu takiego wyniku.

W przypadku przyjęcia decyzji Rady upoważniającej państwa członkowskie do podpisania i ratyfikowania, w interesie Unii, protokołu, EIOD z zadowoleniem przyjmuje wnioski Komisji dotyczące składania przez państwa członkowskie, w interesie Unii, deklaracji, powiadomień i komunikatów na mocy art. 7 ust. 2 lit. b), ust. 5 lit. a) i e) protokołu. Wnioski te gwarantują, że od dostawców usług w Unii można żądać przekazywania danych osobowych wyłącznie na podstawie nakazów wydanych we wnioskującym państwie trzecim będącym stroną protokołu przez prokuratora lub inny organ sądowy, lub pod ich nadzorem, lub pod niezależnym nadzorem i pod kontrolą właściwego organu w państwie członkowskim, do którego skierowano wniosek.

EIOD z zadowoleniem przyjmuje również wniosek, aby państwa członkowskie składały oświadczenie na mocy art. 8 ust. 4 protokołu (w sprawie współpracy między właściwymi organami w celu wykonania nakazów przedstawienia informacji o abonentach i danych o ruchu), tak aby zapewnić, że wymagane są dodatkowe informacje uzupełniające w celu wykonania nakazów na mocy tego przepisu.

Ponadto EIOD przedstawia następujące zalecenia w odniesieniu do przyszłych decyzji Rady, jeżeli protokół zostanie podpisany i ratyfikowany przez państwa członkowskie w interesie Unii.

- Niektóre dane należące do kategorii informacji o abonentach w rozumieniu konwencji o cyberprzestępczości można uznać na mocy prawa UE za dane o ruchu powodujące poważną ingerencję w prawa podstawowe osoby, której dane dotyczą, a dostęp do nich może być uzasadniony jedynie zwalczaniem poważnej przestępczości. W związku z tym EIOD zaleca państwom członkowskim, w przeciwieństwie do wniosku Komisji, aby zastrzegły sobie prawo do niestosowania art. 7 protokołu w sprawie ujawniania danych abonentów przez dostawców usług bezpośrednio właściwym organom innego państwa w odniesieniu do niektórych rodzajów numerów dostępu, zgodnie z art. 7 ust. 9 lit. b).

- Państwa członkowskie powinny wyznaczyć, zgodnie z art. 7 ust. 5 lit. e) protokołu, organ sądowy lub inny niezależny organ.

- Należy doprecyzować sposób komunikacji państw członkowskich ze Stanami Zjednoczonymi - w momencie podpisywania lub składania dokumentu ratyfikacyjnego, przyjęcia lub zatwierdzenia - w sprawie umowy ramowej UE-USA.

- Należy zmienić proponowane rozwiązania w odniesieniu do innych umów lub uzgodnień na mocy art. 14 ust. 1 lit. c) protokołu, które mogłyby zastąpić postanowienia protokołu (art. 14) dotyczące ochrony danych.

1. WPROWADZENIE I INFORMACJE OGÓLNE

1. W czerwcu 2017 r. komitet Konwencji o cyberprzestępczości Rady Europy zatwierdził zakres zadań dla przygotowania drugiego protokołu dodatkowego do Konwencji o cyberprzestępczości w okresie od września 2017 r. do grudnia 2019 r 1 .

2. W dniu 5 lutego 2019 r. Komisja przyjęła zalecenie 2  w sprawie decyzji Rady upoważniającej Komisję, w imieniu Unii Europejskiej, do udziału w negocjacjach dotyczących drugiego protokołu dodatkowego (zwanego dalej "protokołem") 3  do Konwencji Rady Europy o wzmocnionej współpracy międzynarodowej w sprawie cyberprzestępczości i elektronicznego materiału dowodowego (zwanej dalej "Konwencją o cyberprzestępczości") (CETS nr 185) 4 .

3. Europejski Inspektor Ochrony Danych (zwany dalej "EIOD") przyjął w dniu 2 kwietnia 2019 r. opinię dotyczącą zalecenia 5 . Decyzją z dnia 6 czerwca 2019 r. Rada Unii Europejskiej upoważniła Komisję do udziału, w imieniu Unii Europejskiej, w negocjacjach prowadzonych w związku z protokołem 6 .

4. Komitet Konwencji o cyberprzestępczości dwukrotnie przedłużył czas na realizację zakresu zadań - do grudnia 2020 r., a następnie do maja 2021 r. Protokół został przygotowany przez komitet Konwencji o cyberprzestępczości (KKC) w okresie od września 2017 r. do maja 2021 r. W tym czasie odbyło się ponad dziewięćdziesiąt sesji redakcyjnego zgromadzenia plenarnego, grupy redakcyjnej i podgrup protokołu KKC, a także sześć rund konsultacji z zainteresowanymi stronami.

5. Europejska Rada Ochrony Danych wzięła udział w konsultacjach społecznych dotyczących projektu protokołu w dniach 13 listopada 2019 r., 2 lutego 2021 r. i 4 maja 2021 r. 7

6. Parlament Europejski uznał potrzebę zakończenia prac nad protokołem w swojej rezolucji z 2021 r. w sprawie strategii UE w zakresie cyberbezpieczeństwa na cyfrową dekadę 8 .

7. W dniu 17 listopada 2021 r. Komitet Ministrów Rady Europy przyjął protokół. Powinien on zostać otwarty do podpisu w maju 2022 r. Zmiany do niego mogą być zatem zaproponowane jedynie przez stronę protokołu i przyjęte przez Komitet Ministrów. Aby zmiany weszły w życie, protokół wymaga akceptacji wszystkich stron 9 .

8. Unia Europejska nie może zostać stroną protokołu, ponieważ zarówno protokół, jak i Konwencja o cyberprzestęp- czości są otwarte wyłącznie dla państw 10 .

9. W dniu 25 listopada 2021 r. Komisja przyjęła dwa wnioski dotyczące decyzji Rady na mocy art. 16, art. 82 ust. 1 i art. 218 ust. 5 i 6 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) 11 .

10. Zgodnie z tymi wnioskami 12  protokół należy do dziedziny w znacznym stopniu objętej wspólnymi zasadami w rozumieniu art. 3 ust. 2 TFUE. Wraz z przedmiotowymi wnioskami Komisja dąży do uzyskania od Rady dwóch decyzji upoważniających państwa członkowskie do podpisania i ratyfikowania protokołu w interesie Unii Europejskiej. Do obu wniosków dodano załącznik (zwany dalej "załącznikiem") zawierający instrukcje dla państw członkowskich dotyczące zastrzeżeń, deklaracji, powiadomień lub zawiadomień oraz innych kwestii, które należy uwzględnić przy podpisywaniu i ratyfikacji protokołu w interesie Unii Europejskiej. Do wniosku dotyczącego ratyfikacji dołączony jest również tekst protokołu znajdujący się w załączniku.

Wniosek dotyczący decyzji Rady upoważniającej państwa członkowskie do ratyfikowania, w interesie Unii Europejskiej, drugiego protokołu dodatkowego do Konwencji o cyberprzestępczości w sprawie wzmocnionej współpracy i ujawniania elektronicznego materiału dowodowego (COM(2021) 719 final).

Zgodnie z motywami 14 i 15 wniosku w sprawie podpisania oraz motywami 13 i 14 wniosku w sprawie ratyfikowania Irlandia ma możliwość uczestniczenia w przyjęciu i stosowaniu niniejszej decyzji, a Dania nie uczestniczy w przyjęciu niniejszej decyzji i nie jest nią związana ani jej nie stosuje.

11. Aby umowa mogła zostać zawarta, jeżeli Rada podejmie decyzję o upoważnieniu państw członkowskich do jej podpisania w interesie Unii, Rada powinna przyjąć decyzję upoważniającą państwa członkowskie, w interesie Unii, do ratyfikowania umowy, po uzyskaniu zgody Parlamentu Europejskiego. Protokół wejdzie w życie pierwszego dnia miesiąca następującego po upływie trzech miesięcy od dnia, w którym pięć stron Konwencji o cyberprzestępczości wyraziło zgodę na związanie się protokołem zgodnie z postanowieniami art. 16 ust. 1 i 2 protokołu 13 .

12. Komisja Europejska skonsultowała się z EIOD w sprawie obu wniosków po ich przyjęciu, zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 14 . Odniesienie do tej opinii znajduje się w motywach 12 i 13 wniosków dotyczących odpowiednio ratyfikacji i podpisania protokołu. EIOD pragnie podkreślić, że ta opinia pozostaje bez uszczerbku dla wszelkich dodatkowych uwag, jakie EIOD może formułować na podstawie kolejnych dostępnych informacji.

7. WNIOSKI

129. Biorąc pod uwagę rozprzestrzenianie się cyberprzestępczości i rosnące znaczenie elektronicznych materiałów dowodowych w dochodzeniach w sprawach karnych, w świetle złożoności uzyskiwania takich dowodów, gdy nie znajdują się one w jurysdykcji państw członkowskich, EIOD rozumie potrzebę szybkiego i skutecznego uzyskiwania elektronicznych materiałów dowodowych przez organy ścigania, aby zapewnić im możliwość skutecznego zwalczania przestępczości.

130. EIOD opowiada się zatem za znalezieniem międzynarodowej odpowiedzi na istniejące w tym kontekście problemy, z odpowiednimi zabezpieczeniami.

131. Celem protokołu jest zarówno usprawnienie tradycyjnych kanałów współpracy, jak i przewidzenie wzmocnienia bezpośredniej transgranicznej współpracy między organami ścigania a dostawcami usług. Nie zawiera on przepisów dotyczących bezpośredniego dostępu do danych przez organy ścigania, co EIOD przyjmuje z zadowoleniem.

132. Uznając, że nie jest możliwe całkowite odwzorowanie terminologii i definicji prawa UE w wielostronnej umowie międzynarodowej, EIOD podkreśla, że należy odpowiednio zagwarantować osobom fizycznym pełną zgodność z prawem UE.

133. EIOD wyraża zadowolenie z faktu, że protokół zawiera specjalny artykuł dotyczący ochrony danych osobowych. Z aprobatą przyjmuje również liczne zabezpieczenia, które zostały włączone do protokołu.

134. EIOD rozumie, że potwierdzono, iż umowa ramowa będzie miała zastosowanie do przekazywania danych z UE do Stanów Zjednoczonych Ameryki w ramach przepisów określonych w protokole dotyczących współpracy między organami. EIOD wyraża ubolewanie z powodu takiego wyniku.

135. W przypadku przyjęcia decyzji Rady upoważniającej państwa członkowskie do podpisania i ratyfikowania, w interesie Unii, protokołu, EIOD z zadowoleniem przyjmuje wnioski Komisji dotyczące składania przez państwa członkowskie, w interesie Unii, deklaracji, powiadomień i komunikatów na mocy art. 7 ust. 2 lit. b), ust. 5 lit. a) i e) protokołu. Wnioski te gwarantują, że od dostawców usług w Unii można żądać przekazywania danych osobowych wyłącznie na podstawie nakazów wydanych we wnioskującym państwie trzecim będącym stroną protokołu przez prokuratora lub inny organ sądowy, lub pod ich nadzorem, lub pod niezależnym nadzorem i pod kontrolą właściwego organu w państwie członkowskim, do którego skierowano wniosek.

a. podpisanie bez zastrzeżenia ratyfikacji, przyjęcia lub zatwierdzenia; lub

b. podpisanie z zastrzeżeniem ratyfikacji, przyjęcia lub zatwierdzenia, a następnie ratyfikacja, przyjęcie lub zatwierdzenie".

2. Dokumenty ratyfikacyjne, przyjęcia lub zatwierdzenia składane są Sekretarzowi Generalnemu Rady Europy.

136. EIOD z zadowoleniem przyjmuje również wniosek, aby państwa członkowskie składały oświadczenie na mocy art. 8 ust. 4 protokołu (w sprawie współpracy między właściwymi organami w celu wykonania nakazów przedstawienia informacji o abonentach i danych o ruchu), tak aby zapewnić, że wymagane są dodatkowe informacje uzupełniające w celu wykonania nakazów na mocy tego przepisu.

137. EIOD przedstawia następujące zalecenia w odniesieniu do przyszłych decyzji Rady, jeżeli protokół zostanie podpisany i ratyfikowany przez państwa członkowskie w interesie Unii.

- Niektóre dane należące do kategorii informacji o abonentach w rozumieniu konwencji o cyberprzestępczości można uznać na mocy prawa UE za dane o ruchu powodujące poważną ingerencję w prawa podstawowe osoby, której dane dotyczą, a dostęp do nich może być uzasadniony jedynie zwalczaniem poważnej przestępczości. W związku z tym EIOD zaleca państwom członkowskim, w przeciwieństwie do wniosków Komisji, aby zastrzegły sobie prawo do niestosowania art. 7 protokołu w sprawie ujawniania danych abonentów przez dostawców usług bezpośrednio właściwym organom innego państwa w odniesieniu do niektórych rodzajów numerów dostępu, zgodnie z art. 7 ust. 9 lit. b).

- Państwa członkowskie powinny wyznaczyć, zgodnie z art. 7 ust. 5 lit. e) protokołu, organ sądowy lub inny niezależny organ.

- Należy doprecyzować proponowane przekazywanie przez państwa członkowskie władzom Stanów Zjednoczonych, w momencie podpisywania lub składania dokumentu ratyfikacyjnego, przyjęcia lub zatwierdzenia, informacji dotyczących umowy ramowej UE-USA.

- Należy zmienić proponowane rozwiązania w odniesieniu do innych umów lub uzgodnień na mocy art. 14 ust. 1 lit. c) protokołu, które mogłyby zastąpić postanowienia protokołu (art. 14) dotyczące ochrony danych.

138. EIOD podkreśla wreszcie, że prokurator państwa członkowskiego, a zatem również EPPO, powinien mieć możliwość wydania nakazu lub przekazania danych na podstawie nakazu innej strony na mocy art. 8 jedynie w przypadku zapewnienia, że taki nakaz podlega kontroli organu sądowego lub niezależnego organu w rozumieniu orzecznictwa TSUE.

139. EIOD pozostaje do dyspozycji Komisji, Rady i Parlamentu Europejskiego w celu zapewnienia dalszego doradztwa w trakcie tego procesu. Opinia ta nie powoduje uszczerbku dla wszelkich dodatkowych uwag, jakie EIOD może formułować na podstawie kolejnych dostępnych informacji.