12.1.2017

Službeni list Europske unije

C 9/3

Sažetak mišljenja Europskoga nadzornika za zaštitu podataka o Prvom paketu reformi zajedničkog europskog sustava azila (Uredba o Eurodacu, Uredba o EASO-u i Dublinska uredba)

(Cjeloviti tekst ovog mišljenja dostupan je na engleskom, francuskom i njemačkom jeziku na portalu Europskog nadzornika za zaštitu podataka www.edps.europa.eu)

(2017/C 9/04)

Posljednjih nekoliko godina Europa je suočena s rastućom migrantskom i izbjegličkom krizom, koja je 2015. postala još zahtjevnija. Zbog toga je Komisija predložila reformu Dublinske uredbe kako bi je prilagodila trenutačnoj situaciji. Ta je reforma je kombinirana s Prijedlogom za stvaranje Agencije Europske unije za azil kako bi se pomoglo državama članicama u obavljanju njihovih dužnosti povezanih s azilom.

Otkada je uspostavljen, svrha Eurodaca jest omogućiti dokaze u obliku otisaka prstiju kako bi se odredila država članica odgovorna za obradu prijave za azil koja je podnesena u EU-u.

Komisija je predložila i preinaku Uredbe o Eurodacu. Glavna je promjena u ovoj Uredbi proširenje područja primjene Eurodaca na registraciju osoba nacionalnosti trećih zemalja koje su pronađene u ilegalnom boravku u državama članicama ili su zadržane u vezi s neregularnim prelaskom granice države članice s trećom zemljom.

Europski nadzornik za zaštitu podataka prepoznaje potrebu za učinkovitijim upravljanjem migracijama i azilom u EU-u. Međutim, on preporučuje važna poboljšanja za bolje razumijevanje legitimnih prava i interesa relevantnih pojedinaca na koje može utjecati obrada osobnih podataka, pogotovo ranjivih skupina ljudi kojima je potrebna posebna zaštita, poput migranata i izbjeglica.

U svom mišljenju Europski nadzornik za zaštitu podataka, između ostaloga, preporučuje sljedeće glavne točke:

—	spominjanje u Dublinskoj uredbi da se uvođenje upotrebe jedinstvenog indentifikatora u dublinskoj bazi podataka možda neće u svakom slučaju upotrebljavati u druge svrhe osim onih opisanih u Dublinskoj uredbi,

—	provođenje potpune zaštite podataka i procjene utjecaja na privatnost u preinačenom Eurodacu iz 2016. kako bi se odredio utjecaj na privatnost novog predloženog teksta i proširenja područja primjene baze podataka Eurodaca,

—	procjena potrebe za prikupljanjem i upotrebom fotografija lica kategorija osoba spomenutih u preinačenom Eurodacu iz 2016. i proporcionalnosti njihova prikupljanja, oslanjajući se na dosljedno istraživanje ili na pristup temeljen na dokazima,

—	provođenje detaljne procjene situacije maloljetnika i ravnoteže između rizika i štete procesa uzimanja otisaka prstiju maloljetnika te njihovih prednosti, kao dodatak Memorandumu s objašnjenjima.

U Mišljenju su definirani i drugi nedostaci različitih prijedloga te su prepoznate dodatne preporuke u pogledu zaštite podataka i privatnosti koje bi se trebale uzeti u obzir u zakonodavnom procesu.

I. UVOD I KONTEKST

U travnju 2016. Komisija je donijela Komunikaciju pod naslovom „Prema reformi zajedničkog europskog sustava azila i proširivanju zakonitih mogućnosti za dolazak u Europu” (1), kojom se definiraju prioriteti za poboljšanje zajedničkog europskog sustava azila (CEAS). U tom kontekstu, 4. svibnja 2016. Komisija je izdala tri prijedloga, kao dio prvog paketa reformi CEAS-a:

—

Prijedlog Uredbe Europskog parlamenta i Vijeća o utvrđivanju kriterija i mehanizama za određivanje države članice odgovorne za razmatranje zahtjeva za međunarodnu zaštitu koji je u jednoj od država članica podnio državljanin treće zemlje ili osoba bez državljanstva (u daljnjem tekstu „Dublinski prijedlog”) (2),

—	Prijedlog Uredbe Europskog parlamenta i Vijeća o Agenciji Europske unije za azil i stavljanje izvan snage Uredbe (EU) br. 439/2010 (u daljnjem tekstu „Prijedlog za Agenciju Europske unije za azil” ili „Prijedlog EUAA”) (3), i

—

Prijedlog Uredbe Europskog parlamenta i Vijeća o izmjenama i dopunama Uredbe (EU) br. 603/2013 o uspostavi sustava „Eurodac” za usporedbu otisaka prstiju za učinkovitu primjenu [Uredbe (EU) br. 604/2013] o utvrđivanju kriterija i mehanizama za određivanje države članice odgovorne za razmatranje zahtjeva za međunarodnu zaštitu koji je u jednoj od država članica podnio državljanin treće zemlje ili osoba bez državljanstva radi identificiranja državljanina treće zemlje ili osobe bez državljanstva s nezakonitim boravkom i o zahtjevima za usporedbu s podacima iz Eurodaca od strane tijela kaznenog progona država članica i Europola u svrhu kaznenog progona (preinaka 2016.) (u daljnjem tekstu „Prijedlog preinake Eurodaca 2016.”) (4).

Prije objave preinake Eurodaca i Prijedloga EASO-a, Europski nadzornik za zaštitu podataka bio je neslužbeno kontaktiran te je dao neslužbene komentare o oba teksta Komisiji.

Europski nadzornik za zaštitu podataka razumije potrebu EU-a za rješavanjem izazova migracijske i izbjegličke krize od 2015. godine, kao i potrebu za učinkovitom i usklađenom politikom EU-a za rješavanje neregularne imigracije unutar EU-a, kao i prema EU-u. Uz puno poštovanje prema ulozi zakonodavca u procjeni potrebe i proporcionalnosti predloženih mjera, Europski nadzornik za zaštitu podataka će, u svojoj savjetodavnoj ulozi, u ovom Mišljenju dati neke preporuke u vezi sa zaštitom podataka i privatnosti, kako bi pomogao zakonodavcu da zadovolji zahtjeve članka 7. i 8. Povelje o temeljnim ljudskim pravima koji se odnose na pravo na privatnost i zaštitu podataka i članka 16. Ugovora o funkcioniranju Europske unije.

Europski nadzornik za zaštitu podataka najprije će riješiti glavne preporuke povezane s trima prijedlozima. Te glavne preporuke predstavljaju glavne probleme kojima se bavi Europski nadzornik za zaštitu podataka i to bi se u svakom slučaju trebalo spomenuti u zakonodavnom procesu. Dodatne su preporuke točke za koje Europski nadzornik za zaštitu podataka smatra da je potrebno objašnjenje, dodatne informacije ili manje preinake. Ova bi razlika trebala pomoći zakonodavcu da dâ prioritet glavnim problemima spomenutim u ovom Mišljenju.

IV. ZAKLJUČAK

68.

Europski nadzornik za zaštitu podataka podržat će nastojanja povezana sa zaštitom podataka u različitim tekstovima. Europski nadzornik za zaštitu podataka svjestan je da kultura zaštite podataka postaje dio zakonodavnih procesa i može se također vidjeti u nacrtima prijedloga.

69.

Uz puno poštovanje prema ulozi zakonodavca u procjeni potrebe i proporcionalnosti predloženih mjera, Europski nadzornik za zaštitu podataka, u svojoj savjetodavnoj ulozi, u ovom Mišljenju pruža neke preporuke povezane sa zaštitom podataka i privatnosti, imajući na umu tri obrađena prijedloga.

70.

Što se tiče Dublinskog prijedloga, Europski nadzornik za zaštitu podataka izražava zabrinutost zbog činjenice da se jedinstveni identifikator može upotrebljavati u druge svrhe, primjerice za identifikaciju pojedinaca u drugim bazama podataka, što usporedbu baza podataka čini lakom i jednostavnom. Europski nadzornik za zaštitu podataka preporučuje da se naznači da je bilo koja druga upotreba identifikatora zabranjena.

71.

Što se tiče Prijedloga preinake Eurodaca, Europski nadzornik za zaštitu podataka smatra da proširenje područja primjene Eurodaca izaziva zabrinutost u vezi s poštivanjem načela o ograničenju svrhe sadržanog u članku 7. Povelje o temeljnim pravima Europske unije. Europski nadzornik za zaštitu podataka također preporučuje daljnju specifikaciju vrsta mjera osim uklanjanja i repatrijacije koje bi mogle poduzeti države članice na temelju podataka Eurodaca. Europski nadzornik za zaštitu podataka preporučuje da Komisija omogući potpunu zaštitu podataka i procjenu utjecaja na privatnost preinake Eurodaca iz 2016. kako bi se odredio utjecaj na privatnost predloženog teksta.

72.

Nadzornik je također zabrinut zbog uključivanja fotografija lica: Uredba se ne odnosi na bilo kakvu procjenu potrebe za prikupljanjem i upotrebom fotografija lica kategorija osoba spomenutih u Prijedlogu preinake Eurodaca. Također, Europski nadzornik za zaštitu podataka smatra da bi prijedlog trebao razjasniti slučajeve u kojima će doći do usporedbe otisaka prstiju i/ili fotografija lica, s obzirom na to da nacrt Prijedloga preinake upućuje na to da bi se takva usporedba trebala obavljati sistematski.

73.

Europski nadzornik za zaštitu podataka također preporučuje da se na raspolaganje stavi detaljna procjena s obzirom na situaciju maloljetnika, ravnotežu između rizika i štete takvih postupaka za maloljetnike te njihove prednosti, kao dodatak Memorandumu objašnjenja. U tom kontekstu, uredba bi trebala detaljnije definirati (tj. u uvodnoj izjavi) značenje uzimanja otisaka prstiju maloljetnika na način prihvatljiv djeci.

74.

S obzirom na razdoblje zadržavanja, koje će u načelu biti pet godina, Europski nadzornik za zaštitu podataka preporučuje pružanje više detalja i objašnjenja o tome zašto i kako je razdoblje zadržavanja podataka od pet godina smatrano neophodnim u ovom kontekstu za postizanje novih svrha baze podataka Eurodaca. Također, Europski nadzornik za zaštitu podataka preporučuje smanjenje razdoblja zadržavanja na stvarno trajanje zabrane ulaska određenog pojedinca. Konačno, Europski nadzornik za zaštitu podataka preporučuje da se u Prijedlogu naznači da je početak razdoblja zadržavanja datum prvog procesuiranja otisaka prstiju u državi članici.

75.

Konačno, Europski nadzornik za zaštitu podataka preporučuje blokiranje svih podataka u svrhu kaznenog progona nakon tri godine, te prestanak razlikovanja različitih kategorija pojedinaca izvan EU-a u tom kontekstu.

76.

Osim gore navedenih glavnih nedostataka, preporuke Europskog nadzornika za zaštitu podataka u važećem Mišljenju odnose se na sljedeće aspekte:

—

povezano s prijedlogom preinake Eurodaca,

—	Europski nadzornik za zaštitu podataka preporučuje da se u tekstu Prijedloga naznači da krajnju odgovornost u obradi osobnih podataka imaju države članice koje će se smatrati kontrolorima u smislu Direktive 95/46/EZ,

—	trebalo bi ponovo napraviti nacrt članka 37. kako bi se razjasnilo u kojem je slučaju međunarodni prijenos dopušten ili zabranjen, posebno kada je riječ o prijenosu u državu podrijetla podnositelja zahtjeva,

—	članak 38. stavak 1. trebao bi naznačiti da države članice mogu prenijeti samo podatke koji su neophodni za povratak,

—	za prikupljanje otisaka prstiju pojedinaca ne bi smjela biti dopuštena prisila. To bi trebalo biti naznačeno u Uredbi o Eurodacu,

—	u tom kontekstu, Europski nadzornik za zaštitu podataka preporučuje da se razjasni da se zadržavanje ne bi smjelo smatrati sankcijom za nepridržavanje obveze davanja otisaka prstiju,

—

upotreba stvarnih podataka od strane eu-LISA-e u svrhu testiranja izaziva veliku zabrinutost i to ne bi smjelo biti dopušteno Uredbom o Eurodacu. Zakonodavac bi trebao razmotriti i procijeniti alternativu u obliku upotrebe podataka koji nisu stvarni, uzimajući u obzir rizik poštivanja privatnosti pojedinaca. U svakom slučaju, tekst ne bi trebao podrazumijevati anonimnost biometrijskih podataka, s obzirom na to da će se oni uvijek povezivati s pojedincem te se samim time smatrati osobnim podacima,

—	s obzirom na obradu informacija od strane eu-LISA-e, Europski nadzornik za zaštitu podataka preporučuje da se naznači potreba za uspostavom odgovarajućih mjera zaštite kada je riječ o pristupu podacima od strane vanjskih dobavljača,

—	naposljetku, Europski nadzornik za zaštitu podataka pozdravlja nastojanja u osiguravanju da nezavisno tijelo procijeni pristup tijela kaznenog progona. Međutim, imenovana tijela i tijela za procjenu ne bi trebala biti dio iste organizacije, kako bi se očuvala nezavisnost tijela za procjenu,

—

povezano s prijedlogom EUAA,

—	Europski nadzornik za zaštitu podataka preporučuje da se naznači da bi stručnjacima iz Agencije trebao biti dopušten pristup bazama podataka samo u skladu s pravnim aktima koji se odnose na te baze podataka i pravila o zaštiti podataka,

—	Europski nadzornik za zaštitu podataka preporučuje da se detaljnije naznači što točno podrazumijevaju administrativne svrhe u članku 30. stavku 3., s obzirom na to da bi se svaka svrha koju provodi administracija mogla smatrati administrativnom svrhom,

—	Europski nadzornik za zaštitu podataka preporučuje razjašnjavanje odgovornosti za osiguravanje sigurnosti opreme koju upotrebljava Agencija, a koja bi se trebala definirati na svakom koraku životnog vijeka opreme – od nabave, preko pohrane i upotrebe, do kraja životnog vijeka i odlaganja.

U Bruxellesu 21. rujna 2016.

Giovanni BUTTARELLI

Europski nadzornik za zaštitu podataka

(1) COM(2016) 197 završna verzija.

(2) COM(2016) 270 završna verzija.

(3) COM(2016) 271 završna verzija.

(4) COM(2016) 272 završna verzija.