25.10.2008   

BG

Официален вестник на Европейския съюз

C 270/1

1.

Информационната система за вътрешния пазар (IMI) е инструмент на информационните технологии, който дава възможност на компетентните органи в държавите-членки да обменят информация помежду си при въвеждане на законодателството за вътрешния пазар. IMI е финансирана по програмата IDABC (Взаимно предоставяне на паневропейски електронноправителствени услуги за публичните администрации, стопанските предприятия и гражданите) (1).

2.

IMI е замислена като обща система в подкрепа на многобройни области на законодателството за вътрешния пазар и се предвижда в бъдеще нейното използване да се разшири, така че да подкрепя редица законодателни области. Първоначално IMI ще се използва в подкрепа на разпоредбите за взаимно съдействие на Директива 2005/36/ЕО („Директивата относно професионалните квалификации“) (2). От декември 2009 г. IMI ще се използва също в подкрепа на разпоредбите за административно сътрудничество на Директива 2006/123/ЕО („Директивата относно услугите“) (3).

3.

През пролетта на 2007 г. Европейската комисия поиска становището на Работната група за защита на данните по член 29 („Работната група по член 29“) с цел да направи преглед на последиците за защита на данните от въвеждане на IMI. Работната група по член 29 представи становището си относно аспектите на защита на данните във връзка с IMI на 20 септември 2007 г. (4) В становището си Работната група по член 29 подкрепи плановете на Комисията да приеме решение, регламентиращо аспектите на защита на данните във връзка с IMI, като предостави по-конкретно правно основание за обмена на данни в рамките на IMI.

4.

Европейският надзорен орган по защита на данните (ЕНОЗД) приветства факта, че Комисията е поискала становището на Работната група по член 29 преди да изготви решението относно IMI. ЕНОЗД взе активно участие в работата на подгрупата, занимаваща се с IMI, и подкрепя заключенията в становището на Работната група по член 29. Той приветства също факта, че Комисията се е консултирала неформално с ЕНОЗД преди да приеме решението относно IMI. Това даде възможност за предоставяне на предложения още преди приемането, което беше особено необходимо, тъй като процедурата се отнасяше за решение на самата Комисия, а не за предложение на Комисията, последвано от законодателна процедура с участието на Съвета и Европейския парламент.

5.

На 12 декември 2007 г. Комисията прие Решение 2008/49/ЕО относно защитата на личните данни при въвеждането на информационна система за вътрешния пазар (IMI) („Решението относно IMI“). Решението взе под внимание някои от препоръките, направени от ЕНОЗД и от Работната група по член 29. Освен това в него беше изрично посочено правното основание.

6.

Общото мнение на ЕНОЗД относно IMI е положително. ЕНОЗД подкрепя целите на Комисията за създаване на електронна система за обмен на информация, както и за регламентиране на нейните аспекти на защита на данните. Подобна опростена система може не само да увеличи ефективността на сътрудничеството, но и да осигури спазването на приложимото законодателство за защита на данните. Това може да стане като системата предостави ясна рамка каква информация може да се обменя, с кого и при какви условия.

7.

Въпреки това, създаването на централизирана електронна система носи и определени рискове. Те включват на първо място факта, че биха могли да се обменят повече данни и в по-широк кръг, отколкото е строго необходимо за целите на ефективното сътрудничество, както и че данни, включително потенциално остарели и неточни данни, могат да останат в електронната система по-дълго от необходимото. Сигурността на базата данни, до които 27 държави-членки имат достъп, също е деликатен въпрос, тъй като системата може да бъде само дотолкова сигурна, доколкото го позволява най-слабото звено в мрежата.

8.

Ето защо много е важно свързаните със защита на данните въпроси да бъдат уредени чрез юридически обвързващи актове на Общността по възможно най-пълен и недвусмислен начин.

9.

ЕНОЗД приветства факта, че Комисията ясно определя и очертава границите на обхвата на IMI в приложение със списък на съответните актове на Общността, въз основа на които може да се обменя информация. Понастоящем това са единствено директивата относно професионалните квалификации и директивата относно услугите; очаква се обаче в бъдеще обхватът на IMI да се разшири. Когато се приема ново законодателство, предвиждащо обмен на информация чрез използване на IMI, едновременно с това ще се актуализира и приложението. ЕНОЗД приветства този метод, защото той i) ясно очертава границите на обхвата на IMI; и ii) осигурява прозрачност; като същевременно iii) дава възможност за гъвкавост в случай, че в бъдеще IMI бъде използвана за допълнителни обмени на информация. Този метод също гарантира, че не може да се осъществи обмяна на информация посредством IMI i) без необходимото правно основание, залегнало в конкретно законодателство за вътрешния пазар, което да позволява или да възлага обмяна на информация; и ii) без да се включи препратка към това правно основание в приложението към решението относно IMI.

10.

ЕНОЗД обаче не е удовлетворен от i) избора на правно основание за решението относно IMI, което означава, че решението относно IMI в момента се основава на несигурни правни основания (вж. раздел 2 от становището); и ii) факта, че редица необходими разпоредби, регламентиращи в подробности свързаните със защита на данните аспекти на IMI, не са включени в документа (вж. раздел 3 от становището).

11.

За съжаление, приетото от Комисията решение означава, че противно на очакванията на ЕНОЗД и Работната група по член 29, решението относно IMI в момента не регламентира всеобхватно всички главни аспекти на IMI, свързани със защита на данните, включително, което е важно, начина, по който отговорността е разпределена между съвместните контролиращи органи във връзка с разпоредбата за уведомяване, както и начина, по който те предоставят права на достъп на субектите на данни, или по отношение на конкретните, практически въпроси на пропорционалността. ЕНОЗД изразява също съжаление, че не съществува специфично изискване към Комисията да публикува формулираните предварително въпроси и полета с данни на своя уебсайт, което би увеличило прозрачността и правната сигурност.

12.

Правното основание на решението относно IMI, както е посочено в текста на самото решение, е Решение 2004/387/ЕО на Европейския парламент и на Съвета от 21 април 2004 г. относно взаимно предоставяне на паневропейски електронноправителствени услуги за публичните администрации, стопанските предприятия и гражданите („Решение относно IDABC“) (5) и по-специално член 4 от него.

13.

Самото решение относно IDABC представлява правен инструмент в рамките на дял XV от Договора за създаване на Европейската общност („Договора за ЕО“) „Трансевропейски мрежи“. Член 154 от Договора за ЕО предвижда Общността да даде своя принос за установяването и развитието на трансевропейски мрежи в областта на транспорта, далекосъобщенията и енергийната инфраструктура. Тези действия имат за цел насърчаването на взаимосвързаността и на оперативната съвместимост на националните мрежи, както и достъпа до такива мрежи. Член 155 изброява мерките, които Общността може да приема в тази рамка. Те са i) основни насоки; ii) всякакви мерки, които биха могли да се окажат необходими за осигуряване на оперативната съвместимост на мрежите и в частност в областта на техническата стандартизация; iii) както и подкрепа за проекти. Решението относно IDABC се основава на член 156, параграф 1, който постановява процедурата за приемане на мерките.

14.

Член 4 от решението относно IDABC постановява, inter alia, че Общността изпълнява проекти от общ интерес. Тези проекти трябва да станат част от постоянна работна програма и тяхното изпълнение трябва да е в съответствие с принципите на член 6 и член 7 от решението относно IDABC. Тези принципи главно насърчават широко участие, предвиждат солидна и безпристрастна процедура и осигуряват техническа стандартизация. Те също имат за цел да осигурят икономическата надеждност и изпълнимост на проектите.

15.

Както беше обяснено по-горе, в първоначалния период информационната система за вътрешния пазар следва да се използва за обмен на лични данни в контекста на две директиви:

16.

Член 34, параграф 1 от директивата относно услугите предоставя специфично правно основание за създаването на електронна система за обмен на информация между държавите-членки като придружаваща мярка за целите на директивата. Член 34, параграф 1 гласи: „Комисията, в сътрудничество с държавите-членки, установява електронна система за обмен на информация между държавите-членки, като взема предвид съществуващите информационни системи.“.

17.

Директивата относно професионалните квалификации не предвижда специфична електронна система за обмен на информация, но несъмнено изисква да се обменя информация съгласно няколко от своите разпоредби. Съответните разпоредби, постановяващи обмен на информация, включват член 56 от директивата, който изисква компетентните органи на държавите-членки да работят в тясно сътрудничество и да си предоставят взаимно съдействие с цел улесняване на прилагането на директивата. Вторият параграф на член 56 предвижда да може да се обработва определена чувствителна информация, като същевременно се спазва законодателството за защита на личните данни. Освен това член 8 също така специално предвижда, че компетентните органи на приемащата държава-членка могат да се обърнат към компетентните органи на държавата-членка по установяване по повод на всяко предоставяне на услуги с искане за предоставяне на информация относно законността на установяването на доставчика на услуги и неговото добро професионално поведение, както и относно липсата на дисциплинарни или наказателноправни санкции от професионално естество. Накрая, член 50, параграф 2 предвижда, че при възникване на обосновани съмнения приемащата държава-членка може да изиска от компетентните органи на друга държава-членка потвърждение за истинността на свидетелствата и удостоверенията за професионални квалификации.

18.

Защитата на личните данни е призната като основно право в член 8 от Хартата на основните права на Европейския съюз, както и в прецедентното право въз основа на член 8 от Европейската конвенция за правата на човека („ЕКПЧ“).

19.

Член 1 от решението относно IMI определя функциите, правата и задълженията на участниците в IMI и на потребителите на IMI във връзка с изискванията за защита на данните. ЕНОЗД заключава от съображение 7, че решението относно IMI е замислено като конкретизиране на общата рамка на Общността за защита на данните съгласно Директива 95/46/EО и Регламент (ЕО) № 45/2001. То се занимава специално с определението на контролиращи органи и техните отговорности, периодите на задържане на данни и правата на субектите на данни. По този начин решението относно IMI се занимава с ограничавания/уточнявания на основни права и има за цел да конкретизира субективните права на гражданите.

20.

Въз основа на прецедентното право в съответствие с ЕКПЧ не следва да има никакво съмнение относно правния статут на разпоредби, ограничаващи основни права. Тези разпоредби трябва да са изложени в правен инструмент на основата на Договора за ЕО, на който може да има позоваване пред съдия. В противен случай резултатът за субекта на данните би бил правна несигурност, тъй като няма да може да разчита на факта, че може да се позове на разпоредбите пред съда.

21.

Въпросът за правната сигурност се откроява още повече, тъй като съгласно системата на Договора за ЕО преди всичко националните съдии ще имат преценка да решават кое значение да придадат на решението относно IMI. Това може да доведе до различни резултати в различните държави-членки и дори в рамките на една държава-членка. Тази правна несигурност е неприемлива.

22.

Отсъствието на (сигурност относно) средство за правна защита във всеки случай би било в противоречие с член 6 на ЕКПЧ, който предвижда правото на справедлив процес, както и в противоречие с произтичащото от този член прецедентно право. При това положение Общността не би изпълнила задълженията си съгласно член 6 от Договора за Европейския съюз („ДЕС“), който изисква Съюзът да зачита основните права, гарантирани от ЕКПЧ.

23.

ЕНОЗД е дълбоко загрижен, че като са избрали член 4 от решението относно IDABC за правно основание на решението, съставителите на решението на Комисията може да не са изпълнили изложените по-горе критерии за правна сигурност. ЕНОЗД изброява по-долу следните елементи, които могат да предизвикат съмнения относно качеството на избора на правно основание за решението относно IMI:

24.

Решението относно IMI има нужда от солидно правно основание поради посочените по-горе причини. Съществуват сериозни съмнения дали правното основание на решението за IMI отговаря на изискването за правна сигурност. ЕНОЗД препоръчва Комисията да преразгледа това правно основание и да потърси решения за поправяне на недостатъците на избраното правно основание с възможен изход замяна на решението относно IMI с правен инструмент, отговарящ на изискването за правна сигурност.

25.

В този контекст, най-подходящото решение може да е възможността за приемане от Съвета и от Европейския парламент на отделен правен инструмент за системата IMI, подобно на Шенгенската информационна система, визовата информационна система и други мащабни информационни бази данни.

26.

ЕНОЗД предлага да се проучи тази възможност. Такъв отделен правен инструмент би могъл тогава да се заеме с функциите, правата и задълженията на участниците в IMI и потребителите на IMI по отношение на изискванията за защита на данните (предметът, определен в решението относно IMI) и също други изисквания, свързани с установяването и функционирането на системата IMI.

27.

Като втора възможност би могло да се намери правно основание в различните правни инструменти за вътрешния пазар. Доколкото решението относно IMI се прилага за обмен на лични данни в контекста на директивата относно услугите, следва да се проучи дали самата директива — и по-специално член 34 — могат да предоставят необходимото правно основание. Доколкото решението относно IMI се прилага за обмен на лични данни в контекста на директивата относно професионалните квалификации, подобен подход също би могъл да се окаже успешен: точно определено и ясно правно основание също може да бъде създадено чрез изменение на самата директива.

28.

Що се отнася до по-нататъшното законодателство за вътрешния пазар, което може да изисква в бъдеще обмен на информация между компетентните органи на държавите-членки, всеки път може да се приема специфично правно основание за подобно специфично ново законодателство.

29.

В този раздел от становището ЕНОЗД обсъжда разпоредбите, регламентиращи свързаните със защита на данните аспекти на IMI, включени в решението относно IMI. Предложенията на ЕНОЗД биха могли да бъдат включени в нов правен инструмент, който да замени решението относно IMI, както е предложено по-горе. При липсата на такъв нов правен инструмент обаче предложенията биха могли да бъдат включени в самото решение относно IMI след изменение на това решение.

30.

В допълнение някои от предложенията могат вече да бъдат приложени на практика от участниците в IMI, без решението да се изменя. ЕНОЗД очаква Комисията да приеме изложените в това становище препоръки поне на оперативно равнище, доколкото те засягат дейности на Комисията, която като участник в IMI подлежи на надзор от страна на ЕНОЗД.

31.

ЕНОЗД приветства факта, че Комисията е публикувала на уебсайта на IMI първата група предварително определени въпроси и други полета с данни. Те се отнасят до обмените на информация съгласно директивата относно професионалните квалификации.

32.

За да може тази добра практика да се превърне в ясно задължение на Комисията и така да осигури и още повече да подобри прозрачността, ЕНОЗД препоръчва правният инструмент за IMI да предвижда задължение за Комисията да публикува предварително определените въпроси и други полета с данни на уебсайта на IMI.

33.

По отношение на пропорционалността, правният инструмент за IMI следва да уточнява, че предварително формулираните въпроси и други полета с данни трябва да са подходящи, съответни и да не са прекомерни. В допълнение ЕНОЗД има две конкретни препоръки по отношение на пропорционалността:

34.

Разпределянето на отговорностите в член 3 от решението относно IMI е неясно и двусмислено. ЕНОЗД признава, че може да не е възможно в решението относно IMI да се посочи всяка отделна операция по обработка на данни и да се възложи отговорността за всяка от тях на Комисията или на определени компетентни органи в определена държава-членка. Въпреки това в решението относно IMI е трябвало да бъдат посочени поне някакви насоки по отношение на най-важните задължения по защита на личните данни на даден контролиращ орган.

35.

По-специално ЕНОЗД препоръчва в правен инструмент за IMI да се уточни, че:

36.

ЕНОЗД препоръчва да се създаде нов параграф в правен инструмент за IMI, за да се разпределят отговорностите за уведомяване сред съвместните контролиращи органи, като се следва подхода на „пластове“. По-специално текстът следва да уточни следното:

37.

ЕНОЗД препоръчва също да се създаде нов параграф, с цел:

38.

Освен това следва да се уточни, че Комисията може да предоставя достъп само до данни, до които самата Комисия има законен достъп. Следователно Комисията не е задължена да предоставя достъп до обмена на информация между компетентните органи. Ако въпреки това субект на данни се обърне към Комисията с подобно искане, Комисията трябва да насочи субектите на данни, без неоправдано забавяне, към органите, които имат достъп до информацията, като уведоми съответно субектите на данни.

39.

Член 4, параграф 1 от решението относно IMI предвижда данните да се съхраняват за срок от шест месеца като срок за „официалното приключване“ на обмена на информация.

40.

ЕНОЗД разбира, че компетентните органи може да имат нужда от известна гъвкавост при задържането на данните поради факта, че извън рамките на първоначалните въпроси и отговори, може да възникнат последващи въпроси между компетентните органи във връзка със същия случай. Действително, по време на подготовката на становището на Работната група по член 29 Комисията обясни, че административните процедури, в рамките на които може да са необходими обмени на информация, обикновено приключват до два месеца и че шестмесечният период на задържане има за цел да позволи гъвкавост във връзка с неочаквани забавяния.

41.

Като се има предвид това и въз основа на обясненията на Комисията, ЕНОЗД се съмнява, че има основателна причина данните да се съхраняват в IMI за още шест месеца след официалното приключване на обмена на информация. Следователно ЕНОЗД препоръчва шестмесечният краен срок за автоматично заличаване да се смята от датата, на която поискалият информация орган за пръв път влиза в контакт със съответния си партньор при всеки специфичен обмен на информация. Всъщност по-добрият подход би бил датата за автоматично заличаване да се насрочва според различния вид обмен на информация (като началото на крайния срок винаги се смята от началото на обмена). Например, докато шестмесечният период на задържане може да е подходящ за обмени на информация съгласно директивата относно професионалните квалификации, той може да не е непременно подходящ за други обмени на информация при бъдещото законодателство за вътрешния пазар.

42.

ЕНОЗД добавя също, че ако неговата препоръка не бъде взета под внимание, най-малкото следва да се изясни какво означава „официално приключване“ на обмен на информация. По-специално трябва да се осигури, че никакви данни не биха могли да останат в базата данни по-дълго, отколкото е необходимо само поради факта, че даден компетентен орган не е успял „да приключи случая“.

43.

Освен това ЕНОЗД препоръчва във втория параграф на член 4 логиката на заличаване-задържане да бъде обърната. Комисията следва във всички случаи да удовлетворява заявленията за заличаване в рамките на 10 работни дни, независимо дали другият компетентен орган в информационния обмен би искал да задържи или не информацията в IMI. Въпреки това следва да съществува автоматизиран механизъм за уведомяване на този друг компетентен орган, така че той да не загуби данните и да може, ако желае, да прехвърля или отпечатва информацията и да я съхранява за свои собствени цели извън IMI в съответствие със своите собствени правила за защита на данните. Десет дни изглеждат приемливо решение както за минимален, така и за максимален срок на уведомителния период. Комисията следва да може да заличава информация само преди изтичането на крайния срок от десет дни, ако и двата органа потвърдят желанието си за заличаване.

44.

ЕНОЗД препоръчва също да се уточни, че мерките за сигурност, независимо дали са предприети от Комисията или от компетентните органи, следва да са в съответствие с най-добрите практики в държавите-членки.

45.

Тъй като обмените на информация в рамките на IMI са подчинени на многобройни национални закони за защита на данните, както и на надзора на многобройни национални органи по защита на данните (в допълнение на приложимостта на Регламент (ЕО) № 45/2001 и надзора на ЕНОЗД над някои аспекти на операциите по обработка), ЕНОЗД препоръчва правният инструмент за IMI да съдържа ясни разпоредби, улесняващи съвместния надзор над IMI от страна на различните органи по защита на данните. Съвместният надзор би могъл да следва модела на правните инструменти относно създаването, функционирането и използването на Шенгенска информационна система от второ поколение (ШИС II) (8).

46.

ЕНОЗД подкрепя целите на Комисията за създаване на електронна система за обмен на информация и регламентиране на нейните аспекти за защита на данните.

47.

Решението относно IMI има нужда от солидно правно основание поради посочените по-горе причини. ЕНОЗД препоръчва Комисията да преразгледа това правно основание и да потърси решения за поправяне на недостатъците на избраното правно основание с възможен изход замяна на решението относно IMI с правен инструмент, който отговаря на изискването за правна сигурност.

48.

Като в основата си най-солидно решение, ЕНОЗД предлага да се проучи възможността за приемане, на равнище Съвет и Европейски парламент, на отделен правен инструмент за системата IMI, подобно на Шенгенската информационна система, визовата информационна система и други мащабни информационни бази данни.

49.

Друга възможност е да се проучи дали член 34 от директивата относно услугите и сходни разпоредби, които предстоят да бъдат приети във връзка с друго законодателство за вътрешния пазар, биха могли да осигурят необходимото правно основание.

50.

В допълнение становището предоставя редица предложения за включване на разпоредбите, регламентиращи аспектите на защита на данните на IMI, в нов правен инструмент, който да замени решението относно IMI съгласно посоченото по-горе, или при липса на подобен нов инструмент, те да бъдат включени в самото решение относно IMI след изменение на това решение.

51.

Много от предложенията могат вече да бъдат приложени на практика от участниците в IMI, без да се изменя решението. ЕНОЗД очаква Комисията да приеме предоставените в настоящото становище препоръки, доколкото е възможно, най-малкото на оперативно равнище, доколкото те засягат дейности на Комисията като участник в IMI.

52.

Тези препоръки са свързани с прозрачността и пропорционалността, съвместния контрол и разпределението на отговорностите, уведомяването на субектите на данни, правата на достъп, възражение и поправка, задържането на данни, мерките за сигурност и съвместния надзор.