Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie drugiego europejskiego pakietu dotyczącego inteligentnych granic.

Dzienniki UE

Dz.U.UE.C.2016.463.14

Akt nienormatywny
Wersja od: 13 grudnia 2016 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie drugiego europejskiego pakietu dotyczącego inteligentnych granic

[Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu]

(2016/C 463/11)

(Dz.U.UE C z dnia 13 grudnia 2016 r.)

STRESZCZENIE

Prawodawca UE już od dawna przewidywał wprowadzenie systemu wjazdu/wyjazdu rejestrującego wjazdy i wyjazdy obywateli państw trzecich w obrębie terytorium Unii Europejskiej. Komisja przyjęła trzy wnioski w ramach pierwszego pakietu dotyczącego inteligentnych granic w 2013 r.; współprawodawcy wyrazili poważne zastrzeżenia i konsensus w sprawie pakietu nie został osiągnięty. Następnie Komisja w odpowiedzi na zastrzeżenia rozpoczęła procedurę weryfikacji poprawności projektu i w tym roku wydała drugi pakiet dotyczący inteligentnych granic obejmujący dwa zmienione wnioski.

Europejski Inspektor Ochrony Danych uważnie zapoznał się z wnioskami i wydaje zalecenia w celu wsparcia prawodawcy oraz dopilnowania, aby ramy prawne obowiązujące względem systemu wjazdu/wyjazdu były w pełni spójne z unijnymi przepisami w zakresie ochrony prywatności i danych, w szczególności art. 7 i 8 Karty praw podstawowych Unii Europejskiej.

Europejski Inspektor Ochrony Danych uznaje potrzebę zapewnienia spójnych i skutecznych systemów informacyjnych do celów zarządzania granicami i zapewnienia bezpieczeństwa. Wnioski pojawiły się w kluczowym momencie, kiedy Unia Europejska stoi wobec poważnych wyzwań w tym obszarze. Europejski Inspektor Ochrony Danych podkreśla jednak znaczenie i potencjalnie ingerencyjny charakter proponowanego systemu przetwarzania danych osobowych w ramach EES, który należy przeanalizować pod kątem zgodności z art. 7 i 8 Karty praw podstawowych. Zgodność systemu wjazdu/wyjazdu z zasadą konieczności i proporcjonalności należy ocenić zarówno w wymiarze globalnym, z uwzględnieniem istniejących w UE wielkoskalowych systemów informatycznych, jak i w wymiarze szczególnym, w konkretnym przypadku tych obywateli państw trzecich, którzy przebywają na terenie UE zgodnie z prawem. Europejski Inspektor Ochrony Danych zauważa, że dane systemu wjazdu/wyjazdu będą przetwarzane do dwóch różnych celów, z jednej strony do celów zarządzania granicami i ułatwiania przekraczania granicy, a z drugiej strony do celów ścigania przestępstw. Europejski Inspektor Ochrony Danych zaleca wyraźne zaznaczenie różnicy pomiędzy tymi celami w ramach samego wniosku w sprawie systemu wjazdu/wyjazdu z 2016 r., ponieważ cele te będą oddziaływać w różny sposób na prawa do prywatności i ochrony danych.

Choć EIOD z zadowoleniem przyjmuje uwagę, którą poświęcono uprzednio wyrażonym zastrzeżeniom dotyczącym ochrony danych i prywatności oraz korzystne zmiany zawarte w zmienionych wnioskach, wyraża zaniepokojenie odnośnie do kilku aspektów wniosku w sprawie systemu wjazdu/wyjazdu, które prawodawca powinien lepiej uzasadnić lub nawet ponownie rozważyć, w szczególności:

-
pięcioletni okres zatrzymywania danych systemu wjazdu/wyjazdu. Europejski Inspektor Ochrony Danych zauważa, że potrzeba przechowywania danych dotyczących osób nadmiernie przedłużająca pobyt przez okres pięciu lat powinna być lepiej uzasadniona, a pięcioletni okres zatrzymywania wszystkich danych osobowych w systemie wjazdu/wyjazdu wydaje się niewspółmierny,
-
gromadzenie wizerunków twarzy podróżnych podlegających obowiązkowi wizowemu, których wizerunki twarzy są już przechowywane w VIS,
-
potrzeba dostępu organów ścigania do danych systemu wjazdu/wyjazdu, która nie została w wystarczającym stopniu poparta przekonującymi dowodami,
-
warunek, aby osoba, której dane dotyczą składała odciski palców, wykonując swoje prawa dostępu do danych osobowych, ich korekty lub usunięcia, który może stanowić istotną przeszkodę w skutecznym wykonywaniu takich praw.

W opinii zawarto również dodatkowe zalecenia w zakresie ochrony danych i prywatności, które należy uwzględnić w procesie legislacyjnym, w tym w zakresie bezpieczeństwa systemu.

I.
WPROWADZENIE I KONTEKST
1.
W 2008 r. Komisja po raz pierwszy ogłosiła zamiar zbudowania europejskiego systemu wjazdu/wyjazdu w celu kontrolowania wjazdów i wyjazdów obywateli państw trzecich w obrębie terytorium Unii Europejskiej 1 . W owym czasie EIOD podzielił się swoimi uwagami wstępnymi 2  w sprawie tego pomysłu i podkreślił konkretne kwestie w treści opinii z lipca 2011 r. 3 . Komisja szerzej omówiła swoje poglądy w treści komunikatu 4  Komisji pt. "Inteligentne granice - możliwe warianty i kierunki" z października 2011 r., na temat którego swoje uwagi przedstawiła Grupa Robocza Art. 29 5 . Swoje uwagi przekazał również Europejski Inspektor Ochrony Danych podczas wspólnego posiedzenia przy okrągłym stole z różnymi zainteresowanymi stronami 6 .
2.
W lutym 2013 r. w celu wprowadzenia tych zmian Komisja przyjęła trzy wnioski w ramach pierwszego pakietu dotyczącego inteligentnych granic: wniosek w sprawie utworzenia systemu wjazdu/wyjazdu (EES) 7  (zwany dalej "wnioskiem w sprawie EES z 2013 r."), wniosek w sprawie utworzenia programu rejestrowania podróżnych (RTP) 8  (zwany dalej "wnioskiem w sprawie RTP z 2013 r.") i wniosek w sprawie zmiany kodeksu granicznego Schengen 9 . Pakiet szybko stał się przedmiotem krytyki ze strony współprawodawców z powodu zastrzeżeń odnośnie do aspektu technicznego, operacyjnego i kosztowego jak również zastrzeżeń dotyczących ochrony istotnych danych. Tego samego roku EIOD wydał pierwsze konkretne zalecenia w sprawie trzech wniosków w formie opinii 10 . Grupa Robocza Art. 29 również wydała opinię 11 , do opracowania której przyczynił się EIOD, w której zakwestionowała konieczność tworzenia systemu wjazdu/wyjazdu.
3.
Na początku 2014 r., w odpowiedzi na zastrzeżenia, Komisja rozpoczęła procedurę weryfikacji poprawności projektu obejmującą dwa etapy: w pierwszej kolejności przeprowadzenie analizy technicznej 12  i kosztowej 13  w celu zidentyfikowania najodpowiedniejszych opcji i rozwiązań na rzecz wdrożenia inteligentnych granic, a następnie w roku 2015 r. projekt pilotażowy 14  prowadzony przez Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalo-wymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (zwaną dalej "eu-LISA") w celu sprawdzenia rożnych zidentyfikowanych opcji. Jednocześnie w lipcu 2015 r. Komisja rozpoczęła trzymiesięczne konsultacje społeczne 15 , aby zebrać poglądy i opinie obywateli i organizacji, w działaniu tym wziął udział również EIOD 16 .
4.
W dniu 6 kwietnia 2016 r. Komisja wydała drugi pakiet dotyczący inteligentnych granic 17 . W ramach tego pakietu zaproponowano wprowadzenie tylko jednego systemu: systemu wjazdu/wyjazdu (zwanego dalej "EES"). Komisja podjęła decyzję o zmianie swojego wniosku w sprawie EES z 2013 r. i wniosku w sprawie zmiany kodeksu granicznego Schengen z 2013 r. oraz wycofaniu swojego wniosku w sprawie RTP z 2013 r. Aktualny pakiet dotyczący inteligentnych granic składa się z:
-
komunikatu "Sprawniejsze i bardziej inteligentne systemy informacyjne do celów zarządzania granicami i zapewnienia bezpieczeństwa" 18 ,
-
wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego system wjazdu/ wyjazdu w celu rejestrowania danych dotyczących wjazdu i wyjazdu obywateli państw trzecich i danych dotyczących odmowy wjazdu w odniesieniu do obywateli państw trzecich przekraczających granice zewnętrzne państw członkowskich Unii Europejskiej oraz określającego warunki dostępu do systemu wjazdu/wyjazdu na potrzeby ścigania i zmieniającego rozporządzenie (WE) nr 767/2008 i rozporządzenie (UE) nr 1077/2011 19  (zwanego dalej "wnioskiem w sprawie EES z 2016 r."), oraz
-
wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (WE) nr 399/2016 20  w związku ze stosowaniem systemu wjazdu/wyjazdu 21  (zwanego dalej "wnioskiem w sprawie zmiany kodeksu granicznego Schengen z 2016 r.").
5.
Ponadto do tych dwóch wniosków dołączono szczegółową ocenę skutków 22 .
6.
Działania związane z pakietem dotyczącym inteligentnych granic na nowo nabrały przyśpieszenia na skutek aktualnego kryzysu migracyjnego i ostatnich ataków terrorystycznych w Europie. Prezydencja holenderska i prezydencja słowacka ogłosiły, że planują intensywne prace na rzecz pakietu w celu osiągnięcia porozumienia politycznego do końca 2016 r. 23 .
7.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje fakt, że Komisja nieformalnie zwróciła się do niego o wydanie opinii przed przyjęciem nowych wniosków. Z zadowoleniem przyjmuje również wiadomość o dobrej współpracy 24  pomiędzy DG HOME a EIOD w trakcie procesu odnawiania pierwszego pakietu dotyczącego inteligentnych granic.
IV.
WNIOSKI
90.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje działania wykonane przez Komisję w ramach wniosku w sprawie EES z 2016 r., aby rozwiać obawy związane z ochroną danych, które powstały w odniesieniu do pakietu dotyczącego inteligentnych granic z 2013 r. Niektóre z zaleceń i uwag EIOD zawartych w poprzedniej opinii w sprawie pakietu zostały w sposób należy uwzględnione, na przykład te dotyczące wprowadzania procedur awaryjnych w przypadku braku technicznej możliwości lub awarii systemu.
91.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje starania Komisji na rzecz uzasadnienia konieczności stworzenia systemu wjazdu/wyjazdu, pragnie jednak przestawić zalecenia związane bezpośrednio z proporcjonalnością systemu, aby zapewnić pełną zgodność systemu wjazdu/wyjazdu z niezbędnym warunkiem przewidzianym w art. 52 ust. 1 Karty praw podstawowych, aby system ten był konieczny i proporcjonalny. Podkreśla, że zgodność systemu wjazdu/wyjazdu z zasadą konieczności i proporcjonalności należy ocenić zarówno w wymiarze globalnym, z uwzględnieniem istniejących w UE wielkoskalowych systemów informatycznych, jak i w wymiarze szczególnym, w konkretnym przypadku tych obywateli państw trzecich, którzy przebywają na terenie UE zgodnie z prawem. Jest zdania, że pięcioletni okres zatrzymywania wszystkich danych osobowych w systemie wjazdu/ wyjazdu należy w pełni uzasadnić. Podkreśla również, że należy lepiej uzasadnić następujące aspekty wniosku w sprawie EES z 2016 r. i poprzeć je przekonującymi dowodami: gromadzenie wizerunków twarzy podróżnych podlegających obowiązkowi wizowemu, pięcioletni okres zatrzymywania danych osób nadmiernie przedłużających pobyt i potrzeba dostępu organów ścigania do danych systemu wjazdu/wyjazdu. Quod non, te aspekty prawodawca Unii powinien rozważyć ponownie.
92.
Ponadto biorąc pod uwagę ingerencję na szeroką skalę w prawa podstawowe do ochrony danych i prywatności obywateli państwa trzeciego, EIOD uważa, że system wjazdu/wyjazdu powinien pozostać narzędziem służącym do zarządzania granicami zaprojektowanym wyłącznie do tego właśnie celu. Należy zatem wprowadzić wyraźną różnicę pomiędzy wskazanymi celami systemu wjazdu/wyjazdu, tj. celami podstawowymi dotyczącymi zarządzania granicami i ułatwiania przekraczania granicy a celem drugorzędnym dotyczącym ścigania przestępstw, która powinna znaleźć odzwierciedlenie w treści wniosku w sprawie EES z 2016 r, w szczególności w odniesieniu do art. 1 i 5.
93.
Ponadto EIOD wyraża zastrzeżenia co do wymogu dotyczącego obowiązku wszystkich osób, których dotyczą dane do składania w każdym przypadku odcisków palców w celu złożenia wniosku o uzyskanie dostępu, korektę i usunięcie ich danych osobowych. Taki wymóg może stanowić istotną przeszkodę w skutecznym wykonywaniu prawa dostępu, które stanowi istotną gwarancję dla osoby, której dotyczą dane przewidzianą w art. 8 ust. 2 Karty praw podstawowych.
94.
Pozostałe zalecenia EIOD przedstawione w niniejszej opinii dotyczą następujących kwestii i artykułów:
-
Artykuł 14 powinno się doprecyzować, aby ustalić minimalny poziom jakości zdjęć, w przypadku gdy wizerunki twarzy obywateli państwa trzeciego są wykonywane "na żywo", a w treści art. 33 powinno się określić, że Komisja udzieli szczegółowych informacji na temat tego, w jaki sposób osiągnąć minimalny poziom jakości wykonywanych "na żywo" wizerunków twarzy obywateli państwa trzeciego.
-
Należy wprowadzić zmianę do art. 15 ust. 3, aby wskazać, jakie informacje mogą gromadzić, przechowywać i wykorzystywać organy graniczne, gdy zwracają się o udzielenie dalszych wyjaśnień w związku z tymczasową niemożnością złożenia odcisków palców.
-
Treść art. 39 powinna przewidywać silną potrzebę koordynacji między eu-LISA a państwami członkowskimi w zakresie zapewnienia bezpieczeństwa systemu wjazdu/wyjazdu.
-
Obowiązki w zakresie bezpieczeństwa powinny być jasno określone w treści wniosku na wypadek włączenia krajowych programów ułatwień państw członkowskich do systemu wjazdu/wyjazdu. W treści nowego art. 8e kodeksu granicznego Schengen powinno się określić, że po przeprowadzeniu odpowiedniej oceny ryzyka bezpieczeństwa informacji należy zagwarantować bezpieczeństwo oraz przewidzieć niezbędne środki bezpieczeństwa.
-
We wniosku powinno się jasno wskazać, że eu-LISA odpowiada za bezpieczeństwo usługi sieciowej, bezpieczeństwo danych osobowych w niej zawartych oraz proces wprowadzania danych osobowych z centralnego systemu do usługi sieciowej.
-
Należy wprowadzić zmianę w art. 44 ust. 1, aby zawrzeć informacje przekazywane osobom, których dotyczą dane na temat: okresu zatrzymywania ich danych, prawa osób nadmiernie przedłużających pobyt do usunięcia danych w przypadku dostarczania dowodów na to, że zostały one zmuszone do przekroczenia dozwolonego okresu pobytu z powodu nieprzewidywalnych i poważnych zdarzeń oraz wyjaśnienia, że dane z systemu wjazdu/wyjazdu będą udostępniane na potrzeby zarządzania granicami i ułatwiania przekraczania granicy.
-
W treści art. 46 ust. 1 należy przewidzieć ścisły ujednolicony termin, nie dłuższy niż kilka miesięcy, na udzielenie odpowiedzi w sprawie wniosku o udzielenie dostępu.
-
Należy wprowadzić zmianę do treści art. 9 ust. 2, włączając do niej opis zabezpieczeń zapewniających poświęcenie odpowiedniej uwagi danym dotyczącym dzieci, osób starszych i osób z niepełnosprawnością.
-
Należy zmienić treść art. 57 i wprowadzić wymóg, aby eu-LISA opracowała funkcje umożliwiające państwom członkowskim, Komisji, eu-LISie i Fronteksowi automatyczne pobieranie wymaganych statystyk bezpośrednio z centralnego systemu wjazdu/wyjazdu bez potrzeby korzystania z dodatkowego repozytorium.
-
W ramach wniosku należy zapewnić odpowiednie informacje i zasoby dla EIOD, aby mógł wykonywać swoje nowe obowiązki inspektora sprawującego nadzór nad przyszłym systemem wjazdu/wyjazdu w sposób skuteczny i wydajny.
-
W treści art. 28 ust. 2 należy zawrzeć ścisły termin dla organów weryfikujących na przeprowadzenie weryfikacji ex post warunków uzyskania dostępu do danych systemu wjazdu/wyjazdu na potrzeby ścigania w nagłych wypadkach.
-
Należy wprowadzić zmianę do treści art. 28 ust. 3 nakładającą wymóg, aby wyznaczone organy i organy weryfikujące nie były częścią tej samej organizacji.
95.
Europejski Inspektor Ochrony Danych podkreśla potrzebę rozwiązania tych problemów przy zachowaniu globalnej perspektywy. Zachęca, aby prawodawca kontynuował prace nad mapowaniem różnych baz danych w kontekście granic i migracji, zapewniając lepszą koordynację i unikając nakładania się na siebie różnych systemów, jednocześnie z pełnym poszanowaniem norm dotyczących ochrony danych i jego stosunków z państwami trzecimi.

Sporządzono w Brukseli dnia 21 września 2016 r.

Giovanni BUTTARELLI
Europejski Inspektor Ochrony Danych
1 Komunikat Komisji z dnia 13 lutego 2008 r. - Przygotowanie kolejnych etapów rozwoju zarządzania granicami w Unii Europejskiej, COM(2008) 69 wersja ostateczna.
2 Uwagi wstępne Europejskiego Inspektora Ochrony Danych z dnia 3 marca 2008 r. w sprawie trzech komunikatów w sprawie zarządzania granicami.
3 Opinia EIOD z dnia 7 lipca 2011 r. w sprawie komunikatu w sprawie migracji.
4 Komunikat Komisji z dnia 25 października 2011 r. zatytułowany "Inteligentne granice - możliwe warianty i kierunki", COM(2011) 680 wersja ostateczna.
5 Grupa Robocza Art. 29 przedstawiła uwagi na temat komunikatu Komisji w sprawie inteligentnych granic w piśmie do komisarz Malmström z dnia 12 czerwca 2012 r.
6 Okrągły stół EIOD na temat pakietu w sprawie inteligentnych granic i implikacji z zakresu ochrony danych, Bruksela, dnia 10 kwietnia 2013 r., zob. podsumowanie pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Events/2013/13-04-10_Summary_smart_borders_final_EN.pdf
7 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie utworzenia systemu wjazdu/wyjazdu (EES) w celu rejestrowania danych dotyczących wjazdu i wyjazdu obywateli państw trzecich przekraczających granice zewnętrzne państw członkowskich Unii Europejskiej, COM(2013) 95 final.
8 Wniosek dotyczący Rozporządzenia Parlamentu Europejskiego i Rady w sprawie utworzenia programu rejestrowania podróżnych, COM(2013) 97 final.
9 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (WE) nr 562/2006 w związku ze stosowaniem systemu wjazdu/wyjazdu (EES) oraz programu rejestrowania podróżnych (RTP), COM(2013) 96 final.
10 Opinia EIOD z dnia 18 lipca 2013 r. w sprawie wniosków dotyczących rozporządzenia w sprawie utworzenia systemu wjazdu/ wyjazdu (EES) oraz rozporządzenia w sprawie utworzenia programu rejestrowania podróżnych (RTP).
11 Opinia Grupy Art. 29 w zakresie Przetwarzania Danych Osobowych z dnia 6 czerwca 2013 r. 05/2013 w sprawie inteligentnych granic.
12 Analiza techniczna dotycząca inteligentnych granic - sprawozdanie końcowe (Technical Study on Smart Borders - Final Report), październik 2014 r., dostępna pod adresem: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/docs/smart_borders_technical_study_en.pdf
13 Analiza techniczna dotycząca inteligentnych granic - analiza kosztowa (Technical Study on Smart Borders - Cost Analysis), październik 2014 r., dostępna pod adresem: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/docs/smart_borders_costs_study_en.pdf
14 Sprawozdanie końcowe eu-LISA dotyczące projektu pilotażowego "Inteligentne granice" (eu-LISA Final Report on the Smart Borders Pilot Project), grudzień 2015 r., dostępne pod adresem: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/index_en.htm
15 Konsultacje społeczne Komisji dotyczące inteligentnych granic, dostępne pod adresem: http://ec.europa.eu/dgs/home-affairs/what-is-new/public-consultation/2015/consulting_0030_en.htm
16 Uwagi formalne EIOD z dnia 3 listopada 2015 r. w sprawie konsultacji społecznych Komisji dotyczących inteligentnych granic.
17 Zobacz komunikat prasowy dostępny pod adresem: http://europa.eu/rapid/press-release_IP-16-1247_pl.htm
18 Komunikat Komisji z dnia 6 kwietnia 2016 r. "Sprawniejsze i bardziej inteligentne systemy informacyjne do celów zarządzania granicami i zapewnienia bezpieczeństwa", COM(2016) 205 final.
19 COM(2016) 194 final.
20 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/399 z dnia 9 marca 2016 r. w sprawie unijnego kodeksu zasad regulujących przepływ osób przez granice (kodeks graniczny Schengen) (tekst jednolity) (Dz.U. L 77 z 23.3.2016, s. 1).
21 COM(2016) 196 final.
22 Dokument roboczy służb Komisji z dnia 6 kwietnia 2016 r. "Ocena skutków dotycząca ustanowienia unijnego systemu wjazdu/ wyjazdu towarzysząca wnioskowi w sprawie EES z 2016 r. i wnioskowi w sprawie zmiany kodeksu granicznego Schengen z 2016 r.", SWD(2016) 115 final (zwany dalej "oceną skutków").
24 W 2015 r. przeprowadzono dwa warsztaty pomiędzy DG HOME a EIOD poświęcone aspektom inteligentnych granic: jedne odbyły się 20 marca i były poświęcone przygotowaniu wniosków dotyczących inteligentnych granic, a drugie interaktywne warsztaty odbyły się 21 września 2015 r. i dotyczyły rozważań na temat ochrony danych i prywatności w związku z polityką na rzecz migracji i spraw wewnętrznych; podczas warsztatów omówiono również kwestie dotyczące wniosków w sprawie inteligentnych granic z 2013 r.; zob. protokół z warsztatów z dnia 20 marca 2015 r. w załączniku nr 16 do oceny skutków.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .