Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego europejskiego systemu informacji o podróży oraz zezwoleń na podróż (ETIAS).

Dzienniki UE

Dz.U.UE.C.2017.162.9

Akt nienormatywny
Wersja od: 23 maja 2017 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego europejskiego systemu informacji o podróży oraz zezwoleń na podróż (ETIAS)

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)

(2017/C 162/06)

(Dz.U.UE C z dnia 23 maja 2017 r.)

Przez ostatnich kilka lat unijna polityka zarządzania granicami znacznie się zmieniła z powodu wyzwań związanych z napływem uchodźców i migrantów, jak również obaw dotyczących bezpieczeństwa, które wzrosły w wyniku ataków w Paryżu, Brukseli i Nicei. Obecna sytuacja oraz potrzeba zagwarantowania bezpieczeństwa na terytorium państw członkowskich skłoniły Komisję do uruchomienia kilku inicjatyw ustawodawczych na rzecz wzmocnienia kontroli nad osobami wchodzącymi do strefy Schengen.

Jedną z takich inicjatyw jest wniosek dotyczący rozporządzenia ustanawiającego europejski system informacji o podróży oraz zezwoleń na podróż (ETIAS), przedłożony przez Komisję w dniu 16 listopada 2016 r.

Zgodnie z wnioskiem w ramach systemu wymagano by, aby podróżnych zwolnionych z obowiązku wizowego przed ich przybyciem na granice strefy Schengen poddawano ocenie ryzyka w zakresie bezpieczeństwa, migracji nieuregulowanej i zdrowia publicznego. Ocena polegałaby na przeprowadzeniu kontroli krzyżowej danych wnioskodawcy przedłożonych za pośrednictwem ETIAS w oparciu o inne systemy informacyjne UE, specjalną listę zagrożeń ETIAS i zasady kontroli bezpieczeństwa. W wyniku tego procesu następować będzie udzielenie automatycznego zezwolenia na wjazdu na teren UE lub odmowa wjazdu na teren UE.

Wniosek dotyczący ETIAS wydaje się odpowiedzią prawodawcy Unii na rosnącą tendencję osiągania celów związanych z bezpieczeństwem i migracją jednocześnie, bez względu na istotne różnice pomiędzy tymi dwoma obszarami polityki. Wprowadzenie ETIAS miałoby znaczący wpływ na prawo do ochrony danych osobowych, ponieważ różnego rodzaju dane, pierwotnie gromadzone do wielu różnych celów, staną się dostępne dla szerszego grona organów publicznych (tj. organów imigracyjnych, straży granicznej, organów ścigania itd.). Z tej przyczyny EIOD zauważa potrzebę dokonania oceny skutków wniosku na prawo do prywatności i prawo do ochrony danych wynikające z Karty praw podstawowych UE, obejmującej wszystkie dotychczasowe środki na szczeblu unijnym służące osiągnięciu celów migracji i bezpieczeństwa.

Ponadto wniosek ETIAS budzi zastrzeżenia dotyczące procesu określania ewentualnego ryzyka stwarzanego przez wnioskodawcę. W tym względzie należy zwrócić szczególną uwagę na definicję takich rodzajów ryzyka. Biorąc pod uwagę fakt, że konsekwencją dla osoby fizycznej może być odmowa wjazdu, prawo powinno w sposób wyraźny określać, jakie są rodzaje ocenianego ryzyka. Europejski Inspektor Ochrony Danych kwestionuje również istnienie zasad kontroli bezpieczeństwa ETIAS. Europejski Inspektor Ochrony Danych rozumie, że celem prawodawcy jest stworzenie narzędzia umożliwiającego automatyczne identyfikowanie obywateli państw trzecich zwolnionych z obowiązku wizowego podejrzanych o stwarzanie takiego ryzyka. Niemniej jednak profilowanie, podobnie jak każda inna forma skomputeryzowanej analizy danych stosowanej w odniesieniu do osób fizycznych, budzi poważne wątpliwości natury technicznej, prawnej i etycznej. Europejski Inspektor Ochrony Danych wzywa zatem do przedstawienia przekonujących dowodów na to, że istnieje konieczność wykorzystywania narzędzi do profilowania dla celów ETIAS.

Ponadto EIOD kwestionuje przydatność gromadzenia i przetwarzania danych dotyczących zdrowia, jak przewidziano w treści wniosku. Zwraca się o podanie lepszego uzasadnienia wybranego okresu przechowywania danych oraz konieczności udzielania dostępu krajowym organom ścigania i Europolowi.

EIOD przedstawia także zalecenia na przykład co do podziału ról i obowiązków pomiędzy zaangażowanymi podmiotami oraz bezpieczeństwa architektury i informacji ETIAS.

I. 

WPROWADZENIE

1.
Inicjatywa Komisji Europejskiej na rzecz ustanowienia europejskiego systemu informacji o podróży oraz zezwoleń na podróż (zwanego dalej "ETIAS") pochodzi z komunikatu Komisji z 2008 r. zatytułowanego "Przygotowanie kolejnych etapów rozwoju zarządzania granicami w Unii Europejskiej" 1 . W treści komunikatu Komisja zaproponowała nowe narzędzia służące do zarządzania europejskimi granicami w przyszłości - mianowicie system wjazdu/wyjazdu i program rejestrowania podróżnych - oraz po raz pierwszy rozważała wprowadzenie ETIAS, zwanego wówczas elektronicznym systemem zezwoleń na podróż (ESTA). W tym samym roku EIOD wydał wstępne uwagi 2  na temat tego komunikatu.
2.
W lutym 2011 r. Komisja opublikowała analizę polityki 3  obejmującą zbadanie czterech różnych opcji za wprowadzeniem unijnego ESTA. W analizie wykazano, że w owym czasie warunki uzasadniające stworzenie unijnego ESTA nie były spełnione. W komunikacie 4  z 2012 r. dotyczącym inteligentnych granic Komisja uznała, że należy tymczasowo wykluczyć możliwość ustanowienia systemu ESTA, ogłosiła jednak zamiar kontynuowania prac nad systemem wjazdu/wyjazdu i programem rejestrowania podróżnych.
3.
W komunikacie 5  pt. "Sprawniejsze i bardziej inteligentne systemy informacyjne do celów zarządzania granicami i zapewnienia bezpieczeństwa" z dnia 6 kwietnia 2016 r. Komisja ogłosiła, że oceni konieczność, wykonalność techniczną i proporcjonalność ustanowienia przyszłego europejskiego systemu informacji o podróży i zezwoleń na podróż. W tym samym roku Komisja przeprowadziła studium wykonalności, wykorzystując jako punkt odniesienia trzy inne istniejące na świecie systemy zezwoleń na podróż: elektroniczny system zezwoleń na podróż w Stanach Zjednoczonych, system eTA w Kanadzie i eVisitor w Australii.
4.
W dniu 16 listopada Komisja wydała sprawozdanie końcowe na temat studium wykonalności 6  (zwane dalej "studium wykonalności z 2016 r."), jak również wniosek dotyczący ETIAS (zwany dalej "wnioskiem").
5.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje fakt, że służby Komisji nieformalnie zwróciły się do niego o wydanie opinii przed przyjęciem wniosku. Żałuje jednak, że z powodu bardzo krótkiego terminu oraz dużego znaczenia i złożoności wniosku w owym czasie nie miał możliwości wniesienia istotnego wkładu.

V. 

WNIOSKI

113.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje fakt, że w treści wniosku dotyczącego ustanowienia ETIAS zwraca się uwagę na ochronę danych.
114.
W pełnym poszanowaniu roli prawodawcy w kontekście oceny konieczności i proporcjonalności proponowanych środków EIOD przypomina, że te dwa wysokiego szczebla wymogi prawne wynikające z Karty mogą zostać sprawdzone przez Trybunał Sprawiedliwości oraz że EIOD ma za zadanie je zabezpieczać. Europejski Inspektor Ochrony Danych podkreśla, że brak oceny skutków (w zakresie ochrony danych) uniemożliwia dokonanie oceny konieczności i proporcjonalności ETIAS w obecnie proponowanej formie.
115.
Ponieważ celem wniosku jest ustanowienie dodatkowego systemu obejmującego przetwarzanie znacznej ilości danych osobowych obywateli państw trzecich pod kątem celów dotyczących migracji i bezpieczeństwa, EIOD zaleca, aby prawodawca dokonał inwentaryzacji wszystkich środków na poziomie UE obejmujących przetwarzanie danych dla celów migracji i bezpieczeństwa oraz przeprowadził dogłębną analizę pod względem ich celów i osiągnięć.
116.
W tym kontekście EIOD zaleca włączenie do treści wniosku definicji ryzyka migracji nieuregulowanej i bezpieczeństwa, aby zapewnić zgodność z zasadą celowości.
117.
Ponadto EIOD jest zaniepokojony tym, czy stosowanie zasad kontroli bezpieczeństwa ETIAS będzie w pełni zgodne z prawami podstawowymi zapisanymi w Karcie. Europejski Inspektor Ochrony Danych zaleca, aby proponowane zasady kontroli bezpieczeństwa ETIAS podlegały uprzedniej kompleksowej ocenie wpływu na prawa podstawowe. Zastanawia się również, czy istnieją przekonujące dowody na istnienie konieczności stosowania narzędzi profilowania dla celów ETIAS oraz quod non zachęca prawodawcę do ponownego rozpatrzenia stosowania narzędzi profilowania.
118.
Europejski Inspektor Ochrony Danych kwestionuje stosowność i skuteczność gromadzenia i przetwarzania danych dotyczących zdrowia zgodnie z treścią wniosku z powodu braku ich wiarygodności. Zastanawia się również nad koniecznością przetwarzania takich danych ze względu na ograniczony związek pomiędzy ryzykiem dla zdrowia a podróżnymi zwolnionymi z obowiązku wizowego.
119.
Jeżeli chodzi o dostęp organów ścigania i Europolu do danych ETIAS, EIOD podkreśla, że obecnie brakuje przekonujących dowodów na istnienie konieczności udzielenia takiego dostępu. Europejski Inspektor Ochrony Danych przypomina, że zgodność nowych systemów z zasadą konieczności i proporcjonalności należy ocenić zarówno w wymiarze globalnym, z uwzględnieniem istniejących w UE wielkoskalowych systemów informatycznych, jak i w wymiarze szczególnym, w konkretnym przypadku tych obywateli państw trzecich, którzy przebywają na terenie UE lub na niego wjeżdżają zgodnie z prawem.
120.
Oprócz podstawowych zastrzeżeń wskazanych powyżej zalecenia EIOD w niniejszej opinii dotyczą następujących kwestii wniosku:
-
zgodność gromadzonych danych z zasadą konieczności i proporcjonalności,
-
wybrane okresy przechowywania danych,
-
interoperacyjność ETIAS z innymi systemami informatycznymi,
-
prawa osób, których dane dotyczą, i dostępne środki zaradcze,
-
niezależna weryfikacja warunków dostępu przez organy ścigania,
-
podział ról i obowiązków pomiędzy Europejską Strażą Graniczną i Przybrzeżną a eu-LISA,
-
weryfikacja przez jednostkę centralną ETIAS,
-
architektura i bezpieczeństwo informacji ETIAS,
-
statystyki generowane przez system, oraz
-
rola EIOD.
121.
Europejski Inspektor Ochrony Danych pozostaje dostępny w celu udzielenia dalszych wskazówek w sprawie wniosku, również w odniesieniu do aktu delegowanego i wykonawczego przyjętego zgodnie z proponowanym rozporządzeniem, który może mieć wpływ na przetwarzanie danych osobowych.
Bruksela, dnia 6 marca 2017 r.
Giovanni BUTTARELLI
Europejski Inspektor Ochrony Danych
1 Komunikat Komisji dla Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów z dnia 13 lutego 2008 r. "Przygotowanie kolejnych etapów rozwoju zarządzania granicami w Unii Europejskiej" COM(2008) 69 wersja ostateczna.
3 Policy study on an EU Electronic System for travel Authorization (EU ESTA) (Analiza polityki dotyczącej unijnego elektronicznego systemu zezwoleń na podróż) z lutego 2011 r., dostępna pod adresem: http://ec.europa.eu/dgs/home-affairs/e-library/docs/pdf/ esta_annexes_en.pdf.
4 Komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 25 października 2011 r. "Inteligentne granice - możliwe warianty i kierunki", COM(2011) 680 wersja ostateczna.
5 Komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 6 kwietnia 2016 r. "Sprawniejsze i bardziej inteligentne systemy informacyjne do celów zarządzania granicami i zapewnienia bezpieczeństwa", COM(2016) 205 final.
6 Studium wykonalności europejskiego systemu informacji o podróży oraz zezwoleń na podróż z dnia 16 listopada 2016 r. - sprawozdanie końcowe dostępne pod adresem: https://ec.europa.eu/home-affairs/sites/homeaffairs/files/what-we-do/policies/european-agenda-security/legislative-documents/docs/20161116/etias_feasability_study_en.pdf.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .