14.2.2018   

PL

Dziennik Urzędowy Unii Europejskiej

C 55/1

—

w dziale dotyczącym połączeń przedsiębiorstw na stronie internetowej Komisji poświęconej konkurencji (http://ec.europa.eu/competition/mergers/cases/). Powyższa strona została wyposażona w różne funkcje pomagające odnaleźć konkretną decyzję w sprawie połączenia, w tym indeksy wyszukiwania według nazwy przedsiębiorstwa, numeru sprawy, daty i sektora,

—

w formie elektronicznej na stronie internetowej EUR-Lex (http://eur-lex.europa.eu/homepage.html?locale=pl) jako dokument nr 32018M8776. Strona EUR-Lex zapewnia internetowy dostęp do europejskiego prawa.

14.2.2018   

PL

Dziennik Urzędowy Unii Europejskiej

C 55/1

—

w dziale dotyczącym połączeń przedsiębiorstw na stronie internetowej Komisji poświęconej konkurencji (http://ec.europa.eu/competition/mergers/cases/). Powyższa strona została wyposażona w różne funkcje pomagające odnaleźć konkretną decyzję w sprawie połączenia, w tym indeksy wyszukiwania według nazwy przedsiębiorstwa, numeru sprawy, daty i sektora,

—

w formie elektronicznej na stronie internetowej EUR-Lex (http://eur-lex.europa.eu/homepage.html?locale=pl) jako dokument nr 32018M8800. Strona EUR-Lex zapewnia internetowy dostęp do europejskiego prawa.

14.2.2018   

PL

Dziennik Urzędowy Unii Europejskiej

C 55/2

14.2.2018   

PL

Dziennik Urzędowy Unii Europejskiej

C 55/3

14.2.2018   

PL

Dziennik Urzędowy Unii Europejskiej

C 55/4

1.

W dniu 29 czerwca 2017 r. Komisja Europejska opublikowała wniosek dotyczący rozporządzenia ustanawiającego scentralizowany system identyfikacji państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców na potrzeby uzupełnienia i wsparcia europejskiego systemu przekazywania informacji z rejestrów karnych (systemu ECRIS-TCN) i zmieniającego rozporządzenie (UE) nr 1077/2011 (dalej „wniosek dotyczący rozporządzenia”) (3). Wnioskowi towarzyszył uzupełniający dokument analityczny (4). W ten sam dzień Komisja Europejska przyjęła pierwsze sprawozdanie statystyczne dotyczące wymiany informacji pochodzących z rejestrów karnych między państwami członkowskimi za pośrednictwem europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS), zgodnie z art. 7 decyzji Rady 2009/316/WSiSW (5).

2.

Przedmiotowy wniosek dotyczący rozporządzenia ma na celu usprawnienie wymiany informacji dotyczących obywateli państw trzecich oraz obywateli Unii, którzy posiadają również obywatelstwo państwa trzeciego. U podstaw obecnego systemu ECRIS leży zasada, zgodnie z którą informacje o wyrokach skazujących mogą być w przypadku obywateli Unii uzyskane od państwa członkowskiego, którego dana osoba jest obywatelem, które to państwo przechowuje informacje o wszystkich wyrokach skazujących, niezależnie od tego, w którym państwie UE zostały wydane. Co się tyczy obywateli państw trzecich, każde państwo członkowskie przechowuje informacje o wyrokach skazujących, które samo wydało, zatem wezwanie do udzielenia informacji musi zostać skierowane do wszystkich państw członkowskich. Zdaniem Komisji w przypadku systematycznego korzystania z systemu ECRIS do pozyskiwania informacji o obywatelach państw trzecich, odpowiedź na „wniosek ogólny” powodowałaby obciążenia administracyjne i generowała wysokie koszty. Państwa członkowskie niechętnie korzystają z systemu – ze sprawozdania statystycznego wynika, że obywateli państw trzecich dotyczy 10 % wniosków (6) – i z tego względu informacje o karalności danego obywatela państwa trzeciego nie są dostępne zgodnie z przewidywaniami (7). W Europejskiej agendzie bezpieczeństwa zadeklarowano przyspieszenie zwiększenia skuteczności systemu ECRIS w odniesieniu do obywateli państw trzecich (8). Poprawa skuteczności tego systemu jest też jednym z priorytetów ustawodawczych na rok 2017 (9).

3.

Wniosek dotyczący rozporządzenia stanowi uzupełnienie wniosku Komisji z dnia 19 stycznia 2016 r. dotyczącego dyrektywy zmieniającej istniejącą decyzję ramową Rady 2009/315/WSiSW w odniesieniu do wymiany informacji dotyczących obywateli państw trzecich oraz w odniesieniu do europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS) i zastępującej decyzję Rady 2009/316/WSiSW (dalej „wniosek dotyczący dyrektywy”).

4.

Oba wnioski przewidują ustanowienie systemu identyfikacji państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich oraz obywateli Unii, którzy posiadają również obywatelstwo państwa trzeciego. We wniosku dotyczącym dyrektywy przewidziano wdrożenie zdecentralizowanego systemu, co oznacza, że nie będzie funkcjonowała jedna unijna baza danych, lecz każde państwo członkowskie będzie prowadziło plik – „filtr indeksu”. Z założenia do tego pliku miały zostać wprowadzone zakodowane informacje dotyczące obywateli państw trzecich pochodzące z rejestrów karnych państw członkowskich, po czym plik ten miał zostać przekazany wszystkim państwom członkowskim. Następnie państwa członkowskie miały porównać swoje dane względem tego pliku i na zasadzie „trafienie/brak trafienia” ustalać, które państwa członkowskie posiadają informacje o wyrokach skazujących wydanych wobec danego obywatela państwa trzeciego. Już we wniosku dotyczącym dyrektywy przewidziano przetwarzanie odcisków palców, niemniej w ocenie skutków z 2016 r. wykorzystanie odcisków palców uznano za jedną z potencjalnych opcji, przy czym wniosek dotyczący rozporządzenia nakłada obowiązek ich wykorzystywania. Komisja wyjaśnia, że ataki terrorystyczne przyczyniły się do przyspieszenia wsparcia systematycznego wykorzystywania odcisków palców do celów identyfikacji (10). Po przyjęciu wniosku dotyczącego dyrektywy przeprowadzono studium wykonalności, z którego wynikało, że obecnie brak jest dojrzałej technologii, która byłaby w stanie obsłużyć porównywanie odcisków palców w relacji jeden-do-wielu z użyciem zaszyfrowanych szablonów.

5.

Jako odpowiedź na napotkane problemy techniczne wniosek dotyczący rozporządzenia przewidywał z kolei stworzenie scentralizowanego systemu obejmującego dane alfanumeryczne, odciski palców i wizerunki twarzy obywateli państw trzecich. Dane alfanumeryczne i odciski palców mogą służyć do identyfikacji obywateli państw trzecich, natomiast wizerunki twarzy pierwotnie do celów weryfikacji, a gdy technologia będzie wystarczająco dojrzała – również do identyfikacji. „Centralny organ” skazującego państwa członkowskiego wprowadza dane do lokalnego systemu ECRIS-TCN, który przesyła te dane do centralnego systemu UE. Państwo członkowskie może zidentyfikować – na zasadzie „trafienie/brak trafienia” – państwo członkowskie lub państwa członkowskie posiadające informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich, a następnie zwrócić się o przekazanie tych informacji przy użyciu istniejącego systemu ECRIS, udoskonalonego wnioskiem dotyczącym dyrektywy. W sytuacjach gdy do identyfikacji używa się odcisków palców, mogą zostać przekazane również wszelkie odpowiednie dane alfanumeryczne. Zarządzanie unijną bazą danych powierza się agencji eu-LISA i w tym celu wniosek dotyczący rozporządzenia zmienia rozporządzenie w sprawie eu-LISA (UE) nr 1077/2011.

6.

Ponadto rozwiązanie dotyczące scentralizowanego systemu jest rozpatrywane w kontekście przewidywanej interoperacyjności wszystkich systemów informacyjnych do celów zapewnienia bezpieczeństwa oraz zarządzania granicami i migracjami. W zasadzie wśród powodów wyboru scentralizowanego systemu podkreśla się raczej interoperacyjność niż napotkane problemy techniczne (11). System ECRIS jest również uwzględniony w planie działania Rady na rzecz intensyfikacji wymiany informacji i udoskonalenia zarządzania nimi, w tym na rzecz rozwiązań interoperacyjnych (12). Interoperacyjność z systemem ECRIS przewidziano również we wniosku dotyczącym rozporządzenia w sprawie systemu ETIAS (13).

7.

Po wzajemnym dostosowaniu tych dwóch wniosków mają się one nawzajem uzupełniać. Wniosek dotyczący rozporządzenia powinien obejmować kwestie dotyczące scentralizowanego systemu, natomiast wniosek dotyczący dyrektywy ma regulować zagadnienia natury ogólnej odnoszące się do funkcjonowania systemu ECRIS zarówno w przypadku obywateli państw trzecich, jak i obywateli Unii (14). Komisja LIBE Parlamentu Europejskiego przyjęła sprawozdanie w sprawie wniosku dotyczącego dyrektywy w 2016 r. (15), natomiast w odniesieniu do wniosku dotyczącego rozporządzenia projekt sprawozdania przyjęto w dniu 30 października 2017 r. (16) Rada początkowo zawiesiła negocjacje w sprawie wniosku dotyczącego dyrektywy po tym, jak podczas posiedzenia Rady w dniu 9 czerwca 2016 r. państwa członkowskie zwróciły się do Komisji o przedłożenie wniosku dotyczącego utworzenia scentralizowanego systemu (17), i obecnie rozpatruje oba wnioski równolegle (18).

8.

System ECRIS-TCN to istotna inicjatywa odnosząca się do systemów informacyjnych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości. EIOD śledzi tę sprawę od czasu rozpoczęcia negocjacji dotyczących ustanowienia systemu ECRIS. Pierwszą opinię na temat systemu ECRIS w postaci określonej wówczas decyzją ramową Rady 2009/315/WSiSW opublikowano w 2006 r. (19), natomiast w 2016 r. EIOD odniósł się w opinii nr 3/2016 do wniosku dotyczącego dyrektywy (20).

9.

W obu opiniach EIOD zwrócił uwagę na znaczenie skutecznej wymiany informacji pochodzących z rejestrów karnych skazanych, jak również potrzebę stworzenia systemu, który będzie skutecznie funkcjonował w przypadku obywateli państw trzecich, zwłaszcza w kontekście przyjęcia Europejskiej agendy bezpieczeństwa (21). To stanowisko pozostaje niezmienne.

10.

Niniejsza opinia opiera się na opinii nr 3/2016 i odnosi się do konkretnych problemów podniesionych w przedmiotowym wniosku dotyczącym rozporządzenia. W stosownych przypadkach EIOD odnosi się w opinii również do wniosku dotyczącego dyrektywy. W części 2 EIOD przedstawia swoje główne obawy oraz zalecenia dotyczące tego, jak się do nich odnieść. Dodatkowe obawy i zalecenia dotyczące dalszych usprawnień opisano w części 3.

66.

Po dogłębnej analizie wniosku w sprawie systemu ECRIS-TCN EIOD przedstawia następujące zalecenia:

67.

EIOD zaleca, by podczas tworzenia nowej centralnej unijnej bazy danych oraz zmiany istniejącego prawa dotyczącego systemu ECRIS uwzględnić wymogi przewidziane w Karcie praw podstawowych Unii Europejskiej w zakresie uprawnionego ograniczenia praw podstawowych oraz zapewnić wystarczający poziom ochrony danych osobowych w kontekście wniosku dotyczącego rozporządzenia.

68.

EIOD w szczególności przypomina potrzebę zapewnienia obiektywnych dowodów na konieczność ustanowienia scentralizowanego systemu na poziomie UE. W tym kontekście należy przede wszystkim ocenić interoperacyjność pod kątem jej wpływu na prawa podstawowe oraz przejrzyście określić jej cele, jak i cele systemu ECRIS. Wnioskowi dotyczącemu rozporządzenia powinna towarzyszyć odpowiednia ocena wpływu w odniesieniu do podstawowych praw do prywatności i ochrony danych, która to ocena będzie odnosiła się do tego aspektu, jak również ocena skutków w odniesieniu do koncentracji wszystkich systemów w ramach jednej agencji.

69.

Utworzenie nowej centralnej unijnej bazy danych oraz zmiana istniejącego prawa w zakresie systemu ECRIS powinny być zgodne z wymogami dotyczącymi uprawnionego ograniczenia praw podstawowych w myśl utrwalonego orzecznictwa. W związku z tym wykraczające poza postępowania karne cele przetwarzania danych osobowych, do których mają służyć systemy ECRIS i ECRIS-TCN, należy ocenić z punktu widzenia ich konieczności i proporcjonalności oraz ściśle zdefiniować zgodnie z zasadą celowości ochrony danych. Ponadto dostęp do systemu ECRIS-TCN przez organy unijne, takie jak Europol, powinien być zgodny z celem obecnego systemu ECRIS oraz prawem do równego traktowania obywateli Unii i obywateli państw trzecich, jak również ograniczony do tych zadań leżących w zakresie kompetencji tych organów, których realizacja bezwzględnie wymaga takiego dostępu. Jakikolwiek zamiar poszerzenia aktualnych celów należy wdrożyć w drodze przepisu materialnego (motyw nie jest wystarczający).

70.

Z uwagi na to, że system ECRIS-TCN wiąże się z przetwarzaniem danych osobowych, które są bardzo wrażliwe, EIOD zaleca uwzględnienie odpowiednich warunków dotyczących przetwarzania danych osobowych w sposób zgodny z zasadą konieczności: wywołanie „trafienia” powinno następować wyłącznie w sytuacji, gdy państwo członkowskie, do którego skierowano wniosek, jest na mocy prawa krajowego uprawnione do przekazania informacji o wyrokach skazujących do celów innych niż postępowanie karne. Przetwarzanie odcisków palców powinno odbywać się w ograniczonym zakresie i tylko w przypadkach, gdy ustalenie tożsamości danego obywatela państwa trzeciego w inny sposób nie jest możliwe. Co się tyczy wizerunków twarzy, EIOD zaleca przeprowadzenie, bądź udostępnienie, opartej na dowodach oceny konieczności pozyskiwania takich danych i wykorzystania ich do celów weryfikacji lub identyfikacji.

71.

Ponadto należy ustanowić agencję eu-LISA i centralne organy państw członkowskich współadministratorami danych, ponieważ ponoszą one wspólną odpowiedzialność za określanie celów przewidywanych czynności z zakresu przetwarzania i środków służących ich realizacji. Postawienie agencji eu-LISA w roli podmiotu przetwarzającego nie odzwierciedlałoby we właściwy sposób status quo i nie sprzyjałoby zapewnieniu wysokiego poziomu ochrony danych ani uprawnionym interesom państw członkowskich. Ponadto wniosek w sprawie systemu ECRIS-TCN powinien jasno określać odpowiedzialność agencji eu-LISA za wszelkie naruszenia przedmiotowego wniosku dotyczącego rozporządzania bądź rozporządzenia (WE) nr 45/2001.

72.

Oprócz podstawowych zastrzeżeń wskazanych powyżej zalecenia EIOD przedstawione w niniejszej opinii dotyczą udoskonalenia proponowanych przepisów w odniesieniu do następujących kwestii:

73.

EIOD pozostaje dostępny w celu udzielenia dalszych wskazówek w sprawie wniosku dotyczącego rozporządzenia i wniosku dotyczącego dyrektywy, również w odniesieniu do wszelkich aktów delegowanych lub wykonawczych odnoszących się do przetwarzania danych osobowych, które mogą zostać przyjęte zgodnie z proponowanymi instrumentami.