Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i innych dokumentów.
Dz.U.UE.C.2018.338.22
Akt nienormatywnyStreszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i innych dokumentów
(2018/C 338/12)
(Dz.U.UE C z dnia 21 września 2018 r.)
W opinii przedstawiono stanowisko EIOD na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się.
W tym kontekście EIOD zauważa, że Komisja wyraźnie zdecydowała się przypisać priorytetowe znaczenie aspektom wniosku związanym ze swobodnym przepływem i potraktować cel dotyczący bezpieczeństwa jako następstwo pierwszego. EIOD zauważa, że może to wpłynąć na analizę konieczności i proporcjonalności elementów wniosku.
EIOD popiera cel Komisji Europejskiej, jakim jest zwiększenie norm dotyczących zabezpieczeń dla dowodów tożsamości i dokumentów pobytowych, tym samym przyczyniając się do bezpieczeństwa całej Unii. Jednocześnie EIOD uważa, że wniosek nie uzasadnia w wystarczającym stopniu potrzeby przetwarzania dwóch rodzajów danych biometrycznych (wizerunku twarzy i odcisków palców) w tym kontekście, gdyż zadeklarowane cele można by osiągnąć stosując mniej inwazyjne podejście.
Zgodnie z ramami prawnymi UE, jak również w ramach zaktualizowanej konwencji nr 108, dane biometryczne uznaje się za dane szczególnie chronione i podlegają one specjalnej ochronie. EIOD podkreśla, że zarówno wizerunek twarzy, jak i odciski palców, które byłyby przetwarzane zgodnie z wnioskiem, wyraźnie zaliczają się do kategorii danych szczególnie chronionych.
Ponadto EIOD uważa, że wniosek miałby ogromny wpływ nawet na 370 mln obywateli UE, potencjalnie nakładając na 85 % ludności UE obowiązek pobierania odcisków palców. Tak szeroki zakres w połączeniu z przetwarzaniem danych szczególnie chronionych (wizerunku twarzy w połączeniu z odciskami palców) wymaga dokładnej kontroli zgodnie z rygorystycznym testem konieczności.
Dodatkowo EIOD przyznaje, że z uwagi na różnice między dokumentami tożsamości i paszportami, wprowadzenie zabezpieczeń, które można uznać za odpowiednie w przypadku paszportów do dokumentów tożsamości, nie może odbywać się automatycznie, ale wymaga refleksji i dogłębnej analizy.
Ponadto EIOD pragnie podkreślić, że do przedmiotowego przetwarzania miałby zastosowanie art. 35 ust. 10 ogólnego rozporządzenia o ochronie danych (zwanego dalej "RODO") 1 . W tym kontekście EIOD zauważa, że towarzysząca wnioskowi ocena skutków nie wydaje się popierać wariantu strategicznego wybranego przez Komisję, tj. obowiązkowego wprowadzenia zarówno wizerunków twarzy, jak i (dwóch) odcisków palców w dowodach tożsamości (i dokumentach pobytowych). W związku z tym towarzyszącą wnioskowi ocenę skutków nie można uznać za wystarczającą dla celów zgodności z art. 35 ust. 10 RODO. EIOD zaleca zatem ponowną ocenę konieczności i proporcjonalności przetwarzania danych biometrycznych (wizerunku twarzy w połączeniu z odciskami palców).
Ponadto wniosek powinien wyraźnie przewidywać zabezpieczenia przed ustanowieniem przez państwa członkowskie krajowych baz danych daktyloskopijnych w kontekście wdrażania wniosku. Do wniosku należy dodać przepis wyraźnie stwierdzający, że dane biometryczne przetwarzane w jego kontekście należy natychmiast usunąć po ich wprowadzeniu do mikroprocesora i nie można ich dalej przetwarzać do celów innych niż cele wyraźnie określone we wniosku.
EIOD rozumie, że wykorzystywanie danych biometrycznych można uznać za uzasadniony środek zwalczania nadużyć finansowych, jednak wniosek nie uzasadnia potrzeby przechowywania dwóch rodzajów danych biometrycznych do celów w nim przewidzianych. Jedną z opcji godnych rozważenia może być ograniczenie stosowanych danych biometrycznych do jednego rodzaju danych (np. tylko wizerunku twarzy).
Ponadto EIOD pragnie podkreślić, że rozumie, iż przechowywanie obrazu odcisków palców wzmacnia interoperacyjność, ale jednocześnie zwiększa ilość przetwarzanych danych biometrycznych i ryzyko posługiwania się przez daną osobę dokumentem stwierdzającym tożsamość innej osoby w przypadku naruszenia ochrony danych osobowych. EIOD zaleca zatem ograniczenie danych daktyloskopijnych przechowywanych na mikroprocesorze do minucji lub wzorów, czyli podzbioru cech pobranych z obrazu odcisków palców.
Biorąc pod uwagę szeroki zakres i potencjalne skutki wniosku, o którym mowa powyżej, EIOD zaleca również ustalenie we wniosku granicy wieku dla pobierania odcisków palców dzieci na 14 lat, zgodnie z innymi instrumentami prawa UE.
Giovanni BUTTARELLI | |
Europejski Inspektor Ochrony Danych |