Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie systemu ECRIS-TCN.
Dz.U.UE.C.2018.55.4
Akt nienormatywnyStreszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie systemu ECRIS-TCN
(2018/C 55/05)
(Dz.U.UE C z dnia 14 lutego 2018 r.)
Obecny system ECRIS, ustanowiony decyzją ramową Rady 2009/315/WSiSW 1 , wspiera wymianę informacji o wyrokach skazujących, głównie w kontekście współpracy wymiarów sprawiedliwości. System ECRIS może być również wykorzystywany do celów innych niż postępowania karne, zgodnie z prawem krajowym państwa członkowskiego będącego wnioskodawcą oraz państwa członkowskiego, do którego skierowany jest wniosek. Choć system ECRIS w obecnej postaci może być stosowany w przypadku obywateli państw trzecich, nie spełnia on tej funkcji skutecznie. Z tego względu uzasadnione jest wprowadzenie usprawnień systemu.
Kwestię skuteczności systemu ECRIS w przypadku obywateli państw trzecich podkreślono w Europejskiej agendzie bezpieczeństwa i uznano za priorytet ustawodawczy na rok 2017. Już w 2016 r. Komisja przyjęła wniosek dotyczący dyrektywy zmieniającej obowiązujące prawo i wprowadzającej usprawnienia w przypadku obywateli państw trzecich w drodze zdecentralizowanego systemu poprzez zastosowanie filtru indeksu przechowującego odciski palców w postaci zaszyfrowanych szablonów. W przypadku tego rozwiązania wystąpiły problemy techniczne. We wniosku dotyczącym rozporządzenia w sprawie systemu ECRIS-TCN przyjętym w dniu 29 czerwca 2017 r. ustanowiono centralną unijną bazę danych, w której są przechowywane dane dotyczące tożsamości obywateli państw trzecich, w tym odciski palców i wizerunki twarzy, umożliwiające wyszukiwanie na zasadzie "trafienie/brak trafienia" w celu zidentyfikowania państwa członkowskiego posiadającego informacje o wyrokach skazujących wydanych wobec obywatela państwa trzeciego. Ponadto wniosek dotyczący centralnego systemu ECRIS-TCN częściowo znajduje uzasadnienie jako wsparcie przyszłej interoperacyjności wielkoskalowych unijnych systemów w przestrzeni wolności, bezpieczeństwa i sprawiedliwości.
EIOD śledzi tę sprawę od czasu rozpoczęcia negocjacji dotyczących ustanowienia systemu ECRIS. Wydał już dwie opinie i zwrócił uwagę na znaczenie skutecznej wymiany informacji zarówno w przypadku obywateli Unii, jak i obywateli państw trzecich. To stanowisko pozostaje niezmienne.
W niniejszej opinii EIOD odnosi się do konkretnych problemów podniesionych w przedmiotowym wniosku dotyczącym rozporządzenia. W stosownych przypadkach EIOD odnosi się w opinii do wniosku dotyczącego dyrektywy, ponieważ dokumenty te mają się wzajemnie uzupełniać. EIOD podnosi cztery główne kwestie oraz przedstawia inne dodatkowe zalecenia, które bardziej szczegółowo opisano w niniejszej opinii. Podsumowując, EIOD zaleca, by - w świetle tego, że system ECRIS został przyjęty przez UE przed wejściem w życie Traktatu z Lizbony - w drodze tych nowych wniosków dotyczących dyrektywy i rozporządzenia system został dostosowany tak, aby spełniał standardy wymagane na mocy art. 16 TFUE oraz Karty praw podstawowych Unii Europejskiej, w tym wymogi dotyczące wszelkiego uprawnionego ograniczenia praw podstawowych.
Konieczność wdrożenia centralnego unijnego systemu należy poddać ocenie skutków, która powinna również uwzględniać wpływ koncentracji zarządzania wszystkimi wielkoskalowymi unijnymi bazami danych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości w ramach jednej agencji. Oczekiwanie interoperacyjności byłoby w tym kontekście przedwczesne, ponieważ należy przede wszystkim zapewnić podstawę prawną oraz zadbać o zgodność tej koncepcji z zasadami ochrony danych.
Wykraczające poza sferę postępowań karnych cele przetwarzania danych osobowych, do których systemy ECRIS i ECRIS-TCN mają służyć, należy ściśle zdefiniować zgodnie z zasadą celowości ochrony danych. Zasada ta ma zastosowanie również do uzyskiwania dostępu przez organy unijne, który to dostęp należy ponadto ocenić w świetle prawa do równego traktowania obywateli Unii i obywateli państw trzecich. W przypadku organów UE należy każdorazowo wykazać konieczność i proporcjonalność dostępu oraz jego zgodność z celem systemu ECRIS, jak również ścisłe ograniczenie dostępu do stosownych zadań leżących w zakresie kompetencji takich organów.
Przetwarzanie przedmiotowych danych osobowych, które są bardzo wrażliwe, powinno być ściśle zgodne z zasadą konieczności: wywołanie "trafienia" powinno następować wyłącznie w sytuacji, gdy państwo członkowskie, do którego skierowano wniosek, jest na mocy prawa krajowego uprawnione do przekazania informacji o wyrokach skazujących do celów innych niż postępowanie karne. Przetwarzanie odcisków palców powinno odbywać się w ograniczonym zakresie i tylko w przypadkach, gdy ustalenie tożsamości danego obywatela państwa trzeciego w inny sposób nie jest możliwe. Co się tyczy wizerunków twarzy, EIOD zaleca przeprowadzenie - bądź (jeśli została już przeprowadzona) udostępnienie - opartej na dowodach oceny konieczności gromadzenia takich danych i wykorzystania ich do celów weryfikacji lub także identyfikacji.
We wniosku dotyczącym rozporządzenia błędnie zakwalifikowano agencję eu-LISA jako podmiot przetwarzający. EIOD zaleca, by wyznaczyć agencję eu-LISA i centralne organy państw członkowskich jako współ-administratorów danych. Ponadto EIOD zaleca, by jasno określić w przepisie materialnym, że eu-LISA ponosi odpowiedzialność za wszelkie naruszenia przedmiotowego wniosku dotyczącego rozporządzenia oraz rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady 2 .
Giovanni BUTTARELLI | |
Europejski Inspektor Ochrony Danych |