Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52008XX0410(01)

Становище на Европейския надзорен орган по защита на данните относно инициативата на Федерална република Германия с оглед приемането на решение Съвета относно изпълнението на Решение 2007/…/ПВР относно засилване на трансграничното сътрудничество, по-специално в борбата срещу тероризма и трансграничната престъпност

OB C 89, 10.4.2008, p. 1–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

10.4.2008   

BG

Официален вестник на Европейския съюз

C 89/1


Становище на Европейския надзорен орган по защита на данните относно инициативата на Федерална република Германия с оглед приемането на решение Съвета относно изпълнението на Решение 2007/…/ПВР относно засилване на трансграничното сътрудничество, по-специално в борбата срещу тероризма и трансграничната престъпност

(2008/C 89/01)

ЕВРОПЕЙСКИЯТ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ,

като взе предвид Договора за създаване на Европейската общност, и по-специално член 286 от него,

като взе предвид Хартата на основните права на Европейския съюз, и по-специално член 8 от нея,

като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни,

като взе предвид Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни, и по-специално член 41 от него,

ПРИЕ СЛЕДНОТО СТАНОВИЩЕ:

I.   ВЪВЕДЕНИЕ

1.

На 9 ноември 2007 г. в Официален вестник беше публикувана Инициатива на Федерална република Германия с оглед приемането на решение на Съвета относно изпълнението на Решение 2007/…/ПВР относно засилване на трансграничното сътрудничество, по-специално в борбата срещу тероризма и трансграничната престъпност (1) („инициативата“). Тази инициатива се допълва от приложение с дата 18 октомври 2007 г., което съдържа допълнителни подробности относно прилагането на Решение 2007/…/ПВР („приложението“) (2).

2.

От ЕНОЗД не е поискано становище относно тази инициатива за решение за прилагане. Поради това ЕНОЗД публикува настоящото становище по собствена инициатива, както на 4 април 2007 г. (3) публикува становището си относно инициативата с оглед на приемането на решение на Съвета.

3.

Въпреки че не съществува правно задължение за държавата-членка, която поема инициатива за законодателна мярка съгласно дял VI от Договора за ЕС, да иска становището на ЕНОЗД, процедурата не изключва подобно консултиране. Освен това в становището си от 4 април 2007 г. ЕНОЗД отправи препоръка, с която поиска към член 34 от решението на Съвета да бъде добавено следното изречение: „Съветът се консултира с ЕНОЗД преди приемането на подобни мерки за прилагане“. За съжаление тази препоръка не беше взета предвид, въпреки обуславящата я логика: мерките за прилагане в този случай най-често ще засягат обработката на лични данни. Настоящата инициатива на Федерална република Германия дава нагледен пример за тази логика.

4.

ЕНОЗД не си прави сериозни изводи от този резултат. Това съответства на избрания от Съвета подход за минимално изменение на инициативата с цел да се гарантира пълна съвместимост с текста на Договора от Прюм, който беше подписан по-рано от някои държави-членки. В становището си по-нататък ЕНОЗД ще се спре на отражението на този подход върху демократичните процеси.

II.   КОНТЕКСТ И ПРАВНА РАМКА

5.

Договорът от Прюм беше подписан през май 2005 г. от седем държави-членки, извън рамките на Договора за ЕС. Впоследствие към Договора се присъединиха и други държави-членки.

6.

Договорът от Прюм се допълва от споразумение за прилагане, основаващо на член 44 от този Договор и сключено на 5 декември 2006 г. Това споразумение за прилагане е необходимо за функционирането на Договора от Прюм.

7.

Основните елементи на Договора от Прюм ще бъдат включени в правната рамка на Европейския съюз след приемането на Решение 2007/…/ПВР на Съвета относно инициативата на 15 държави-членки („инициатива от Прюм“), по която вече бе постигнато политическо споразумение в Съвета. Още от самото начало договарящите страни по Договора за ЕС възнамеряваха да включат тези елементи, което се потвърждава и в преамбюла на Договора от Прюм.

8.

По време на законодателната процедура за приемане на решението на Съвета целта вече не беше да се обсъждат основни въпроси, а да се постигне споразумение относно прилагането на Договора от Прюм. Тази цел беше още по-важна, тъй като макар тази законодателна процедура да не беше приключила, процесът на ратификация на Договора продължи в редица държави-членки и Договорът влезе в сила.

III.   ПРЕДМЕТ И ФОКУС НА НАСТОЯЩОТО СТАНОВИЩЕ

9.

Фокусът на настоящото становище е върху проекта за решение на Съвета относно правилата за прилагане. Аргументите, изтъкнати в предишното становище на ЕНОЗД във връзка с Решението на Съвета относно инициативата от Прюм, продължават да бъдат валидни и няма да бъдат споменавани отново, освен при необходимост да се подчертаят въпросите, които законодателят все още би могъл да разреши чрез правилата за прилагане.

10.

В този контекст е важно да се подчертае, че на правилата за прилагане се отдава особено значение, тъй като, наред с някои административни и технически разпоредби, те определят изключително важни аспекти и инструменти на системата и на нейното функциониране. Глава 1 от правилата за прилагане, например, съдържа определения на понятията, които са използвани в решението на Съвета относно Прюм. Освен това правилата за прилагане установяват общи разпоредби за обмен на данни (глава 2), и определят също специфичните характеристики на обмена на ДНК данни (глава 3), дактилоскопни данни (глава 4) и данни за регистрацията на превозни средства (глава 5). Заключителните разпоредби на глава 6 съдържат важни разпоредби относно приемането на допълнителни правила за прилагане, включени в наръчници, както и относно оценката на прилагането на решението.

11.

Освен това приложението ще бъде разгледано, доколкото то допринася или следва да допринася за определяне на характеристиките на предложената система и за гаранциите по отношение на субектите на данните.

IV.   ОБЩИ ПОЛОЖЕНИЯ

Ограничено поле за маневриране

12.

ЕНОЗД отбелязва, че и в този случай наличието на влезли в сила правила за прилагане на конвенцията от Прюм съществено стеснява реалното поле за маневриране на Съвета. В съображение 3 и член 18 от инициативата наистина се посочва, че както решението за прилагане, така и наръчниците се основават на приетото на 5 декември 2006 г. споразумение за прилагане, свързано с административното и техническо прилагане на Договора от Прюм. Поради това, съгласно настоящата инициатива, 27-те държави-членки ще трябва да следват пътя, който вече е определен от 7-те държави-членки, подписали Договора от Прюм.

13.

Този подход препятства развитието на истински прозрачен и демократичен законодателен процес, тъй като значително намалява възможността за провеждането на широк дебат и за ефективното отчитане на законодателната роля на Европейския парламент и на консултативната роля на други институции, като ЕНОЗД. Препоръката на ЕНОЗД е инициативата и приложението към нея да се обсъдят открито, като действително се извлече полза от приноса на всички институционални участници, както и предвид функцията на пълноправен съзаконодателен орган, която Европейският парламент ще поеме в тази област след влизането в сила на Договора за реформа, подписан на 13 декември в Лисабон.

Правна рамка за защита на данните и връзки с проекта за рамково решение относно защитата на данните в рамките на третия стълб

14.

Приложимата правна рамка относно защитата на данните е сложна и търпи чести изменения. В глава 6 от инициативата от Прюм действително се определят известни гаранции и специфични правила по отношение на защитата на данни. Тези специфични правила обаче не съществуват изолирано и за правилното им функциониране е необходимо да се основават на цялостна и обща рамка за защита на личните данни, обработвани от полицейските и съдебните органи. Понастоящем член 25 от инициативата от Прюм се позовава на Конвенция № 108 на Съвета на Европа. ЕНОЗД обаче многократно е подчертавал необходимостта да се конкретизират допълнително принципите, които се съдържат в Конвенция № 108, като по този начин се осигури степен на защита на данните, която е висока, хармонизирана и, следователно, подходяща да гарантира както правата на гражданите, така и ефективността на правоприлагането в пространство на свобода, сигурност и правосъдие (4).

15.

В тази перспектива Комисията още през октомври 2005 г. предложи общ инструмент — проект за рамково решение на Съвета за защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси („проект за рамково решение относно защита на данните в рамките на третия стълб“). Това предложение все още не е прието от Съвета и следователно продължава да бъде обект на обсъждания и евентуални изменения, без да се отчита по-нататъшното забавяне на приемането и прилагането. Вече стана ясно обаче, че това рамково решение ще се прилага в настоящия си вид единствено по отношение на обмена на лични данни между държавите-членки, а не по отношение на вътрешната обработка на данните (5).

16.

Освен това настоящият текст на проекта за рамково решение относно защита на данните в рамките на третия стълб, въпреки че цели да осигури висока степен на защита на данните, предоставя само минимална хармонизация и гаранции. Това означава, че редица инструменти, в това число и настоящата инициатива, за които би било от полза да има всеобхватна обща рамка във връзка със защита на данните, понастоящем трябва да преодоляват пропуските в рамковото решение относно защитата на данните в рамките на третия стълб.

17.

Поради това ЕНОЗД, от една страна, изтъква отново, че решението на Съвета относно Прюм не бива да влиза в сила преди държавите-членки да са приложили общо рамково решение относно защита на данните в рамките на третия стълб. Това условие следва да бъде конкретно установено в инициативата и да бъде обект на съответните предварителни проверки на правилното функциониране на гаранциите за защита на данните в рамките на системата за обмен на данни. В този контекст е от изключително значение да се гарантира, че връзките между правните инструменти са изяснени, за да е сигурно, че рамковото решение относно защитата на данните в рамките на третия стълб действа като lex generalis, като същевременно позволява прилагането на допълнителни специфични гаранции и на специализирани по-строги стандарти, установени в инициативата от Прюм (6).

18.

От друга страна, законодателят следва да поясни, че специфичните правила за защита на данните, свързани с ДНК, пръстови отпечатъци и регистрация на превозни средства, които се съдържат в глава 6 от инициативата от Прюм, са приложими не само по отношение на обмена на тези данни, но също и по отношение на тяхното събиране, съхраняване и вътрешна обработка, както и по отношение на подаването на допълнителни лични данни в рамките на решението на Съвета. Това пояснение би било в съответствие с член 24, параграф 2 от инициативата относно Прюм, както и логично следствие от задължението на държавите-членки да събират, съхраняват и обменят горепосочените видове данни.

19.

Това придобива още по-голямо значение, когато се вземе предвид, че обхватът на проекта за рамково решение относно защита на данните в рамките на третия стълб вероятно няма да се прилага към вътрешната обработка на лични данни. Съветът взе това решение, но същевременно поясни, че този избор не ограничава способността правната база да обхваща този вид операции по обработката. На тази основа, тъй като настоящият пакет инициативи, състоящ се от инициативата относно Прюм и правилата за прилагане, налага задължението да се създадат и поддържат определени бази данни, като ДНК базата данни, той следва да съдържа също гаранции по отношение на произтичащите от събирането и съхраняването на данните операции по обработката — особено що се отнася до събирането и съхраняването на ДНК профили. В противен случай, ако тяхното приложение се ограничи до обмена на данни, тези правни инструменти не биха съдържали съответните разпоредби за защита на личните данни, на които следва да се подчинява всяко действие, основано на член 30, параграф 1, буква б) от Договора за ЕС.

20.

ЕНОЗД призовава законодателя да направи необходимото, в съответствие с член 30, параграф 1, буква б) от Договора за ЕС, за прилагане на ясна, ефективна и всеобхватна правна рамка по отношение на защитата на данните, съчетаваща различни правни инструменти с общи разпоредби и специфични гаранции, преди настоящата инициатива да влезе в сила.

21.

Ето защо в настоящото становище ЕНОЗД се спора, където е уместно, на проблемите, които не са (изцяло) разрешени от проекта за рамково решение относно защитата на данните в рамките на третия стълб, и които поради това следва да се вземат под внимание при прилагането на установената от настоящата инициатива система.

Прозрачност на процеса на вземане на решения и на правилата за прилагане

22.

ЕНОЗД изтъква, че прозрачността е основен елемент както в процеса на вземане на решения, така и в правилата за прилагане. Поради тази причина прозрачността следва да позволява, от една страна, пълноценно и ефективно участие на всички заинтересовани институции и, от друга страна, следва да насърчава обществения дебат и предоставянето на адекватна информация на гражданите.

23.

За съжаление в настоящия случай редица обстоятелства засягат прозрачността: липсва обяснителен меморандум, в който да се изясняват основанията за предложените мерки, тяхната ефективност и евентуалните алтернативи на политиката; текстът на приложението е все още непълен — например, приложението все още не е публикувано в Официален вестник, не е преведено на всички официални езици, позоваванията на членове и терминологията често са неточни, както и липсват декларации на държавите-членки относно съдържанието на ДНК базите данни; в самата инициатива не са определени задълженията и механизмите за адекватно информиране на гражданите относно предприеманите мерки и внасяните в тях изменения.

24.

Поради това ЕНОЗД отправя препоръка да се увеличи прозрачността на мерките, като се представи окончателен вариант на приложението във възможно най-кратък срок и като се установят механизми за информиране на гражданите относно характеристиките на системите, както и относно техните права и начините за упражняването им. Горепосочените информационни кампании следва да бъдат изрично определени в инициативата или в приложението към нея.

Мащаб на системата

25.

Настоящата инициатива отразява до голяма степен правилата за прилагане, установени съгласно Договора от Прюм. Въпреки това обаче, както вече беше отбелязано в становището относно инициативата от Прюм на Съвета (параграфи 33-35), механизмите, предназначени за обмен на информация между няколко държави-членки, не са безусловно подходящи — и следователно може да се наложи да се адаптират — за прилагане по отношение на много по-мащабна система, каквато е тази за обмен на информация между 27 държави-членки.

26.

В действителност малкият мащаб насърчава тесните контакти между участващите държави-членки както по отношение на правоприлагането, така и по отношение на контролирането на рисковете за защитата на личните данни на съответните лица. Случаят е по-различен при по-голяма система, в която националните практики и правните режими се различават съществено по отношение на събирането, съхраняването и обработката на данни, особено във връзка с ДНК профилите и пръстовите отпечатъци. Освен това използването на различни езици и на различни правни понятия може да окаже влияние върху точността на обмена на данни между държави с различни правни традиции. Поради тази причина ЕНОЗД приканва законодателя да отчете надлежно мащаба на системата при по-нататъшното обсъждане на настоящата инициатива, като гарантира, че повишаването на броя на участващите държави-членки не води до понижаване на ефективността. По-конкретно, в правилата за прилагане следва да се установят специфични формати за подаването на данни, като се отчетат също езиковите разлики, а точността на обмена на данни следва да се контролира постоянно.

Участие на органите за защита на данните

27.

Инициативата следва да отчита важната роля, която имат независимите надзорни органи в контекста на широкомащабния трансграничен обмен на данни, и следва да им даде възможност да изпълняват ефективно своите задължения.

28.

Първо, настоящата правна рамка не предвижда консултация или участие на компетентните надзорни органи по отношение на измененията в правилата за прилагане и приложенията към тях (член 18 от инициативата), по отношение на прилагането на правилата за защита на данните от държавите-членки (член 20) или по отношение на оценката на обмена на данни (член 21). С особено съжаление например следва да отбележим, че в глава IV от приложението, с която се определят подробни правила за оценка на прилагането, не се посочват никъде компетентните органи за защита на данните. Препоръката на ЕНОЗД е основната консултативна функция, изпълнявана от тези органи, да бъде изрично отбелязана в горепосочените членове.

29.

Второ, инициативата следва да гарантира, че държавите-членки предоставят на органите за защита на данните (допълнителни) източници, които са им необходими за изпълнение на надзорните задължения, произтичащи от прилагането на предложената система.

30.

Трето, в инициативата следва да се предвиди компетентните органи за защита на данните да се срещат редовно на равнище ЕС, за да координират своята дейност и да хармонизират прилагането на тези инструменти. Тази възможност следва да бъде изрично определена от инициативата дотолкова, доколкото в рамковото решение относно защитата на данните в рамките на третия стълб не се предвижда по-широк форум на органите за защита на данните на равнище ЕС.

V.   СПЕЦИФИЧНИ ВЪПРОСИ

Определения

31.

В член 2 от инициативата се дават редица определения, които отчасти отразяват съдържащите се в решението на Съвета. Първо, следва да се подчертае, че определенията, които се съдържат в член 2 от инициативата, не съответстват точно на определенията, установени в решението на Съвета, по-конкретно член 24 от него. Законодателят следва да съгласува формулировките на двата текста, за да избегне проблеми при прилагането.

32.

Второ, още в становището си относно инициативата от Прюм, ЕНОЗД изрази съжаление във връзка с липсата на ясно определение на понятието „лични данни“ (параграфи 41-43). Още по-жалко е, че тази липса е налице и в правилата за прилагане, които се предлагат, когато вече е ясно, че проектът за рамково решение относно защита на данните в рамките на третия стълб няма да се прилага по отношение на вътрешното събиране и обработка на лични данни, и по-конкретно на ДНК профили. Ето защо ЕНОЗД отново призовава законодателя да въведе ясно и всеобхватно определение на понятието „лични данни“.

33.

В тази перспектива разпоредбите за прилагане следва също да изясняват приложимостта на правилата за защита на данните по отношение на неидентифицираните ДНК профили, тези, които все още не са свързани с установена самоличност. Тези данни всъщност се събират, обменят и сравняват, с цел да бъдат свързани с лицата, на които принадлежат. Следователно, тъй като целта на системата е да се идентифицират тези лица и тъй като тези данни принципно би трябвало да са „неидентифицирани“ само временно, те следва също да бъдат обхванати от повечето, ако не от всички разпоредби и гаранции, приложими към личните данни (7).

34.

Що се отнася до определението на „некодираща част от ДНК“ (член 2, буква д), ЕНОЗД отново припомня (8), че способността на някои хромозомни сектори да предоставят информация за чувствителни наследствени характеристики на организма може да се подобри с развитието на науката. Поради това определението на „некодираща част“ следва да бъде динамично, като в него се включи задължението да не се използват повече тези ДНК маркери, които в резултат на развитието на науката, могат да предоставят информация за специфични наследствени характеристики (9).

Точност при автоматизирано търсене и сравняване

35.

Член 8 от инициативата регламентира автоматизираното търсене и сравняване на ДНК профили, като постановява, че автоматизирано уведомление за съвпадение „се предоставя само ако при автоматизираното търсене или сравняване е установено съвпадение на определен минимален брой локуси“. Този минимален брой е определен в глава 1 от приложението: всяка държава-членка гарантира, че ДНК профилите, до които е бил предоставен достъп, съдържат най-малко 6 от 7-те „стандартни“ за ЕС локуси (параграф 1.1 от глава 1 от приложението); сравняването се извършва въз основа на стойностите на сравняваните локуси, които обикновено се съдържат в искането и отговора за ДНК профили (параграф 1.2); съвпадение ще е налице, ако всички стойности на сравняваните локуси съвпадат („пълно съвпадение“) или ако само една от стойностите е различна („приблизително съвпадение“) (параграф 1.2); както пълните съвпадения, така и приблизителните съвпадения се съобщават (параграф 1.3).

36.

Що се отнася до този механизъм, ЕНОЗД отбелязва, че точността на съвпадението е изключително важно условие. Колкото е по-висок броят на локусите, които съвпадат, толкова по-малка е вероятността от лъжливо съвпадение между сравняваните ДНК профили. Понастоящем, в контекста на Европейския съюз, наличието и структурата на ДНК базите данни са различни за всяка страна. В различните страни се използват различен брой и различен набор локуси. В приложението минималният брой за наличие на съвпадение е определен на 6 локуса, без да се предоставя информация относно предвиждания процент на грешка за тази система. По този въпрос ЕНОЗД отбелязва, че в много страни се използва по-голям брой локуси с цел да се повиши точността на съвпаденията и да се намали броят на лъжливите съвпадения (10). Поради тази причина, за да се оцени правилно степента на точност на предвидената система, от съществено значение е да се предостави информация относно очаквания процент на грешка за всеки брой сравнявани локуси.

37.

Това означава също, че минималният брой локуси е основен елемент и поради тази причина следва да бъде установен по-скоро в текста на настоящата инициатива, а не в приложението (което съгласно член 18 от инициативата може да се изменя от Съвета с квалифицирано мнозинство и без консултация с Парламента), за да се избегне възможността намаляването на броя на локусите да окаже въздействие върху точността.

38.

Вероятността за грешки и лъжливи съвпадения следва да се отчете надлежно, като се предвиди приблизителните съвпадения да бъдат изрично съобщавани като такива (и следователно органите, които ги получат, ще имат ясна представа, че надеждността на това съвпадение е по-малка отколкото при пълното съвпадение). Освен това в самата инициатива се отчита вероятността в резултат на търсенето и сравняването да се появят няколко съвпадения, както изрично се посочва в член 8 от инициативата във връзка с ДНК профилите и в глава 3 (точка 1.2) от приложението във връзка с превозните средства. Във всички тези случаи следва да се направят допълнителни проверки и сверявания, за да се установят причините за появата на няколко съвпадения, както и кое от тези съвпадения е точно, преди да се премине към по-нататъшен обмен на лични данни въз основа на това съвпадение.

39.

В същата перспектива ЕНОЗД отправя препоръка за повишаване на осведомеността, особено сред правоприлагащите органи, които извършват сравняване и търсене на ДНК данни, относно факта, че ДНК профилите не са уникални идентификатори: дори пълното съвпадение на определен брой локуси не изключва възможността за лъжливо съвпадение, т.е. възможността дадено лице погрешно да се свърже с определен ДНК профил. В действителност при сравняването и търсенето на ДНК профили съществува възможност да се получат грешки на всички различни етапи: незадоволителното качество на ДНК пробите в момента на събиране, възможните технически грешки при ДНК анализа, грешките при въвеждането или случайното съвпадение на конкретни локуси, които се вземат предвид при сравняването. Що се отнася до последната точка, има вероятност процентът на грешка да се увеличи, когато броят локуси се намалява, а базата данни се разширява.

40.

Подобни аргументи могат да се използват и по отношение на точността на съвпаденията на пръстови отпечатъци. В член 12 от инициативата се определя, че дигитализацията и предаването на дактилоскопни данни се осъществява в съответствие с единния формат за данни, посочен в глава 2 от приложението. Освен това държавите-членки гарантират, че дактилоскопните данни са с достатъчно добро качество за сравняване от автоматизираната система за идентификация на пръстовите отпечатъци (AFIS). В глава 2 от приложението са определени някои подробности относно формата, който следва да се използва. В тази връзка ЕНОЗД отбелязва, че за да се гарантира точността на процеса за установяване на съвпадение, с инициативата и приложението към нея следва да хармонизират доколкото е възможно различните AFIS системи, използвани в държавите-членки, както и начинът на използване на тези системи, по-конкретно с оглед на процента на лъжливо отхвърляне. Според ЕНОЗД тази информация следва да бъде включена в наръчника, създаден съгласно член 18, параграф 2 от инициативата.

41.

Друг изключително важен елемент е, че ДНК базите данни (и тези, съдържащи пръстови отпечатъци) следва да бъдат точно обособени, тъй като е възможно да съдържат, в зависимост от държавата-членка, ДНК профили или пръстови отпечатъци на различни субекти на данни (престъпници, заподозрени, други лица, които са присъствали на местопрестъплението и т.н.). Въпреки тези разлики, в настоящата инициатива не се обособяват видовете бази данни, които ще се използват от всяка държава-членка, и в приложението все още не са включени декларации по този въпрос. Поради това е възможно да се получат съвпадения на ДНК данни и данни за пръстови отпечатъци, които са свързани с нееднородни, и често нямащи отношение към случая, категории субекти.

42.

Според ЕНОЗД инициативата следва да определи точно кои категории субекти на данни ще бъдат включени в обмена на данни и по какъв начин различният им статут ще се съобщава на останалите държави-членки във връзка със сравняването или търсенето. В инициативата, например, може да се установи задължение за включване в доклада за съвпадение на информация за това, с кои категории субекти на данни са съвпаднали ДНК данните или пръстовите отпечатъци, доколкото запитаните органи разполагат с подобна информация.

Оценка на обмена на данни

43.

Приветстват се разпоредбите във връзка с оценката на обмена на данни, съгласно член 21 от инициативата и глава 4 от приложението. Тези разпоредби обаче се съсредоточават единствено върху административните, техническите и финансовите аспекти на автоматизирания обмен на данни, без дори да се споменава оценката на прилагането на правилата за защита на данните.

44.

Поради тази причина ЕНОЗД предлага специално да се наблегне на оценката на аспектите, свързани със защитата на данните при техния обмен, като се обърне особено внимание на целите, за които се обменят данните, методите за информиране на субектите на данните, точността на обменяните данни и лъжливите съвпадения, заявките за достъп до лични данни, продължителността на периодите на съхранение и ефективността на мерките за сигурност. В тази връзка съответните органи и експерти за защита на данните следва да бъдат надлежно ангажирани, например като се предвиди участие на експерти по защита на данните в посещенията с цел оценка, установени в глава 4 от приложението, както и изискване за съответните органи по защита на данните да получават доклада за оценка, посочен в член 20 от инициативата и в глава 4 от приложението.

Комуникационна мрежа и технически аспекти на системата

45.

Член 4 от инициативата постановява, че целият електронен обмен на данни се осъществява чрез използване на комуникационната мрежа за трансевропейски телематични услуги между администрациите (TESTA II). В този контекст точка 54 на стр. 76 от приложението гласи, че „Системата отговаря на разпоредбите във връзка със защитата на данните, предвидени в Регламент (ЕО) № 45/2001 (членове 21, 22 и 23) и в Директива 95/46/ЕО“. Препоръката на ЕНОЗД е тази информация да се изясни и по отношение на функцията, която ще изпълняват в системата институциите на Общността. В този контекст както надзорната, така и консултативната функция на ЕНОЗД, произтичащи от Регламент (EО) № 45/2001, следва да бъдат надлежно отчетени.

46.

Освен това след като приложението се финализира и в него се включат всички подробности и декларациите, които изясняват характеристиките на системата, ЕНОЗД ще обсъди дали да предостави и допълнително становище относно по-техническите аспекти на системата.

VI.   ЗАКЛЮЧЕНИЯ

Препоръката на ЕНОЗД е инициативата и приложението към нея да се обсъдят открито, като се извлече действителна полза от приноса на всички институционални участници, както и като се отчете функцията на пълноправен съзаконодателен орган, която Европейският парламент ще поеме в тази област след влизането в сила на подписания на 13 декември в Лисабон Договор за реформа.

ЕНОЗД призовава законодателя да направи необходимото, в съответствие с член 30, параграф 1, буква б) от Договора за ЕС, за прилагане на ефективна и всеобхватна правна рамка за целите на защитата на данните, в която са съчетани различни правни инструменти с общи разпоредби и специфични гаранции, преди настоящата инициатива да влезе в сила.

В тази перспектива ЕНОЗД, от една страна изтъква отново, че решението на Съвета относно Договора от Прюм не бива да влиза в сила преди държавите-членки да са приложили общо рамково решение относно защитата на данните в рамките на третия стълб, което ще действа като lex generalis, въз основа на който следва да се прилагат разпоредбите на инициативата относно Прюм, за да се осигурят специфични гаранции и специализирани по-строги стандарти.

От друга страна, законодателят следва да поясни, че специфичните правила за защита на данните, свързани с ДНК, пръстови отпечатъци и регистрация на превозни средства, посочени в глава 6 от инициативата относно Прюм, са приложими не само по отношение на обмена на тези данни, но също и по отношение на събирането, съхраняването и вътрешната им обработка, както и по отношение на предоставянето на допълнителни лични данни в обхвата на решението на Съвета.

ЕНОЗД отправя препоръка да се увеличи прозрачността на мерките, като се представи окончателен вариант на приложението във възможно най-кратък срок, и като се установят механизми за информиране на гражданите относно характеристиките на системите, правата на гражданите и начините за упражняването им.

ЕНОЗД приканва законодателя да отчете надлежно мащаба на системата при по-нататъшното обсъждане на настоящата инициатива, като гарантира, че повишаването на броя на участващите държави-членки не води до понижаване на ефективността. По-конкретно, в правилата за прилагане следва да се установят специфични формати за предаване на данни, които отчитат и езиковите разлики, а прецизността на обмена на данни следва да се контролира непрекъснато.

Препоръката на ЕНОЗД е изключително важната консултативна функция, изпълнявана от органите за защита на личните данни, да бъде изрично отбелязана в членовете, свързани с изменение на правилата за прилагане и приложенията към тях (член 18), в членовете, свързани с прилагането на правилата за защита на данните от държавите-членки (член 20), както и в членовете, свързани с оценката на обмена на данни (член 21). Освен това инициативата следва да гарантира, че държавите-членки предоставят на органите за защита на данните (допълнителните) източници, които са им необходими за изпълнение на надзорните задължения, произтичащи от прилагането на предложената система, както и че компетентните органи за защита на данните се срещат редовно на равнище ЕС, за да координират дейността си и да хармонизират прилагането на тези инструменти.

Поради това ЕНОЗД повторно призовава законодателя да въведе ясно и всеобхватно определение на понятието „лични данни“. В тази връзка в разпоредбите за прилагане следва също да се изясни приложимостта на правилата за защита на данните по отношение на неидентифицираните ДНК профили — които все още не са свързани с лице с установена самоличност. ЕНОЗД припомня, че определението на „некодираща част“ следва да бъде динамично, като в него се включи задължението да не се използват повече ДНК маркерите, които в резултат на развитието на науката могат да предоставят информация за специфични наследствени характеристики.

Във връзка с автоматизираното търсене и сравняване, препоръката на ЕНОЗД е да се вземе под съответното внимание точността на процеса на сравняване.

Това означава, че по отношение на сравняването и търсенето на ДНК данни следва да се предоставя информация за очаквания процент на грешка за всеки брой сравнявани локуси, приблизителните съвпадения следва да бъдат изрично съобщавани като такива, в случай на няколко съвпадения следва да се извършат допълнителни проверки, а също така следва да се повиши осведомеността относно факта, че ДНК профилите не са уникални идентификатори. Що се отнася до пръстовите отпечатъци, инициативата следва да хармонизира, доколкото е възможно, различните AFIS системи, използвани в държавите-членки, както и начина на използване на тези системи, по-специално с оглед на процентите на лъжливо отхвърляне.

Освен това ДНК базите данни и базите данни с пръстови отпечатъци следва да бъдат точно обособени, тъй като е възможно да съдържат, в зависимост от държавата-членка, ДНК профили или пръстови отпечатъци на различни категории субекти. Инициативата следва да определи точно кои категории субекти на данни ще бъдат включени в обмена на данни и по какъв начин различният им статут ще се съобщава на останалите държави-членки в контекста на сравняване или търсене.

ЕНОЗД предлага специално да се наблегне на оценката на аспектите, свързани със защитата на данните при обмена на данни, като се обърне особено внимание на целите на обмена на данни, методите за информиране на субектите на данните, точността на обменената информация и лъжливите съвпадения, молбите за достъп до лични данни, продължителността на периодите на съхранение и ефективността на мерките за сигурност. В този контекст съответните органи и експерти за защита на данните следва да бъдат надлежно ангажирани.

Препоръката на ЕНОЗД е да се изясни използването на комуникационната мрежа за трансевропейски телематични услуги между администрациите (TESTA II), както и нейното съответствие с Регламент (EО) № 45/2001, включително и по отношение на функцията, която ще изпълняват в системата институциите на Общността.

Съставено в Брюксел на 19 декември 2007 г.

Peter HUSTINX

Европейски надзорен орган по защита на данните


(1)  ОВ C 267, 9.11.2007 г., стp. 4.

(2)  Приложението все още не е публикувано в Официален вестник, но е обществено достъпно в регистъра на Съвета като док. 11045/1/07 REV 1 ADD 1.

(3)  ОВ C 169, 21.7.2007 г., стp. 2.

(4)  Виж най-новите публикации: становището на ЕНОЗД относно Прюм, параграфи 57-76 и третото становище на ЕНОЗД от 27 април 2007 г. относно предложението за рамково решение на Съвета за защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, параграф 14 (ОВ C 139, 23.6.2007 г., стp. 1).

(5)  Последният проект за предложение е достъпен в регистъра на Съвета като документ № 16397/07.

(6)  Що се отнася до тази точка, текстът на член 27б от последната версия на проекта за рамково решение относно защита на данните в рамките на третия стълб следва да се разгледа подробно и да се постави на обсъждане.

(7)  Относно приложимостта на правилата за защита на данните към ДНК профилите, виж Становище № 4/2007 на работна група „Член 29“ от 20 юни 2007 г. относно понятието лични данни, WP136, стр. 8-9; в същото становище са предвидени уточнения по отношение на аналогичния случай на приложимостта на правилата за защита на данните към динамични IP адреси, стр. 16-17.

(8)  Виж също становището на ЕНОЗД от 28 февруари 2006 г. във връзка с предложението за рамково решение на Съвета относно обмена на информация, съгласно принципа на наличност (COM(2005) 490 окончателен), параграфи 58-60 (ОВ C 116, 17.5.2006 г.).

(9)  Виж в тази връзка приложение I от резолюция на Съвета от 25 юни 2001 г. относно обмена на резултати от ДНК анализи (ОВ C 187, 3.7.2001 г., стр. 1).

(10)  Например, в Обединеното кралство националната ДНК база данни повиши броя на използваните локуси за ДНК профилите от 6 на 10, също с цел да се повиши надеждността на системата.


Top