52012DC0012

ДОКЛАД НА КОМИСИЯТА ДО СЪВЕТА, ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ, ДО ЕВРОПЕЙСКИЯ ИКОНОМИЧЕСКИ И СОЦИАЛЕН КОМИТЕТ И ДО КОМИТЕТА НА РЕГИОНИТЕ

основан на член 29, параграф 2 от Рамковото решение на Съвета от 27 ноември 2008 година относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси

1. ВЪВЕДЕНИЕ 1.1. Контекст

С Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 година[1] (наричано по-долу „Рамковото решение“) относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси се въвежда обща законодателна рамка за защита на личните данни в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси. Това решение влезе в сила на 19 януари 2009 г.[2]

Рамковото решение беше необходимо, тъй като по това време нямаше общ инструмент на европейско равнище, който да обхване обработването на данни в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси[3]. Член 3 от Директива 95/46/ЕО за защита на личните данни и за свободното движение на тези данни гласи, че тя не се прилага „за обработването на лични данни при извършване на дейности, извън приложното поле на правото на Общността, например дейностите, предвидени в дял V и дял VI от Договора за Европейския съюз, и във всички случаи при дейности по обработването на данни, отнасящи се до обществената сигурност, отбраната, държавната сигурност и при дейности на държавата в областта на наказателното право“.

Целта на рамково решение е в целия ЕС да се осигури високо ниво на защита на правата и основните свободи на физическите лица при обработката на лични данни в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси. Същевременно трябва да бъде гарантирано високо ниво на обществена безопасност[4]. Рамковото решение не възпрепятства държавите-членки да предоставят по-големи гаранции за защита на събираните или обработваните на национално равнище лични данни[5].

Обхватът[6] на рамковото решение е ограничен до обработването на лични данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, свързани с лични данни, които са или са били предадени или предоставени:

— между държавите-членки,

— от държавите-членки на органи или информационни системи, създадени въз основа на дял VI от Договора за Европейския съюз („Полицейското и съдебното сътрудничество по наказателноправни въпроси“); или

— на компетентните органи на държавите-членки от органите или информационните системи, създадени въз основа на Договора за Европейския съюз или на Договора за създаване на Европейската общност.

Личните данни, които са били предадени от една държава-членка на друга, могат да се предават и на трети държави или международни структури, при условие че са спазени определени изисквания[7].

Рамковото решение се прилага изцяло във Великобритания и Ирландия, защото то представлява развитие на достиженията на правото от Шенген. Обединеното кралство и Ирландия са страни по рамковото решение в съответствие с член 5 от Протокола за включването на достиженията на правото от Шенген в рамките на Европейския съюз, приложен към Договора за Европейския съюз и Договора за създаване на Европейската общност, и Решения 2000/365/EО и 2002/192/ЕО на Съвета.

По отношение на Исландия, Норвегия, Швейцария и Лихтенщайн, рамковото решение представлява развитие на достиженията на правото от Шенген по смисъла на споразумението и протоколите, сключени от Съвета на Европейския съюз или от Европейския съюз с Исландия и Норвегия, Конфедерация Швейцария и Лихтенщайн, и Решения 1999/437/ЕО, 2008/149/ПВР и 2008/262/ПВР на Съвета.

1.2. Съдържание на Рамково решение 2008/977/ПВР

В обхвата на рамковото решение не попада националното обработване на лични данни от компетентните съдебни или полицейски органи в държавите-членки (член 1, параграф 2).

Като цяло, специфичните за сектора законодателни инструменти за полицейско и съдебно сътрудничество по наказателноправни въпроси, които съдържат разпоредби относно защитата на личните данни и които са приети преди датата на влизане в сила на рамковото решение, имат предимство пред разпоредбите на настоящото рамково решение (член 28). Инструментите, за които се счита, че определят „пълен и последователен набор от норми“ по отношение на защитата на данните, не са засегнати от рамковото решение (съображение 39). Други специфични за сектора мерки, които съдържат правила за защита на данните с по-ограничен обхват, имат предимство пред рамковото решение само ако правилата са по-ограничителни от тези в рамковото решение. В противен случай се прилага рамковото решение (съображение 40).

Рамковото решение определя целите за защита на данните в рамките на полицейската и съдебната дейност. В това решение се установяват правилата относно законосъобразността на обработването на лични данни, за да се гарантира, че всяка информация, която може да бъде обменена, се обработва законосъобразно и в съответствие с основните принципи относно качеството на данните.

В него също така се определят правата на субектите на данни, за да се гарантира защита на личните данни, без да се излагат на риск интересите на наказателното разследване. За тази цел субектите на данни трябва да бъдат информирани и да имат достъп до своите лични данни.

Националните надзорни органи, които действат напълно независимо при упражняването на възложените им функции, отговарят за консултирането и наблюдението на прилагането на мерките, приети от държавите-членки за транспониране на рамковото решение.

1.3. Комисията е задължена да докладва за изпълнението

Съгласно член 29, параграф 1 от рамковото решение държавите-членки вземат необходимите мерки, за да се съобразят с разпоредбите на настоящото решение преди 27 ноември 2010 г.

В съответствие с член 29, параграф 2 те трябва да предават на генералния секретариат на Съвета и на Комисията текста на разпоредбите, с които транспонират в тяхното национално законодателство наложените им задължения, както и информация относно надзорните органи, посочени в член 25 от рамковото решение.

Комисията трябва да изготви доклад, като използва предоставената от държавите-членки информация. Преди 27 ноември 2011 г. Съветът трябва да оцени степента, до която държавите-членки са спазили настоящото рамково решение.

1.4. Източници на информация, на които се основава настоящият доклад

До 9 ноември 2011 г. 26 от 27 държави-членки, както и Лихтенщайн, Норвегия, Исландия и Швейцария, са изпратили на Комисията информация относно изпълнението на рамковото решение.

14 от тези 26 държави-членки посочиха, че рамковото решение се прилага в тяхното действащо законодателство (Белгия, Чешката република, Дания, Германия, Естония, Ирландия, Унгария, Латвия, Литва, Люксембург, Австрия, Словакия, Швеция и Обединеното кралство). Германия, Ирландия, Естония и Швеция заявиха, че все още проучват дали са необходими допълнителни мерки за изпълнение.

Може да се счита, че 9 държави-членки са приложили рамковото решение частично, тъй като те посочват, че е необходимо първо да приемат законодателството относно изпълнението на това решение.

4 държави-членки не са отговорили на искането на Комисията за информация (Румъния) или са посочили, че не са приложили рамковото решение (Гърция, Италия[8], Кипър).

Съдържанието на информацията, предоставена от държавите-членки в отговор на въпросника на Комисията, е различно, по-специално по отношение на степента на точност. В таблица 1 се предлага общ преглед на отговорите: тя отразява оценката на държавите-членки на актуалното състояние на изпълнение на рамковото решение.

2. ТРАНСПОНИРАНЕ НА РАМКОВОТО РЕШЕНИЕ 2.1. Рамково решение — предишен член 34, параграф 2, буква б) от Договора за Европейския съюз

Настоящото рамково решение се основава на Договора за създаване на Европейския съюз (ДЕС), и по-специално на членове 30, 31, буква д) и член 34, параграф 2, буква б) от него.

Рамковите решения като правни инструменти най-добре могат да се сравнят с директивата, тъй като те са обвързващи за държавите-членки по отношение на резултата, който трябва да бъде постигнат, но оставят на националните власти избора на формата и средствата. Рамковите решения обаче нямат пряко правно действие[9].

Въз основа на член 10 от Протокола, отнасящ се до преходните разпоредби относно актовете, приети въз основа на дялове V и VI от Договора за Европейския съюз преди влизането в сила на Договора от Лисабон (№ 36), приложен към Договорите, правомощията на Комисията по член 258 от ДФЕС не са приложими (и тези на Съда на Европейските общности остават ограничени) по отношение на актовете от „предишния трети стълб“ за преходен период от пет години, считано от датата на влизането в сила на Договора от Лисабон (т.е. до 1 декември 2014 г.).

По-долу са изложени подробности относно изпълнението на четири основни разпоредби от рамковото решение, въз основа на предоставената от държавите-членки информация в отговор на искането на Комисията от 9 декември 2010 г.

2.1.1. Приложно поле на националните мерки за изпълнение

Рамковото решение се прилага само за обработването на лични данни, които са били предадени или предоставени между държавите-членки (член 1, параграф 2). Обработването на лични данни от полицейските и съдебните органи по наказателноправни въпроси на национално ниво не попада в приложното поле на рамковото решение.

В таблица 2 от приложението се предоставя общ преглед на мерките за изпълнение в държавите-членки. Повечето държави-членки се позоваха на общото законодателство за защита на данните като една от мерките за изпълнение на рамковото решение и добавиха препратка към приложимото секторно законодателство за полицейските, съдебните, митническите и данъчните органи. Някои държави-членки решиха да не приемат законодателни инструменти, а да изпълняват решението посредством административни циркулярни писма (например Германия и Обединеното кралство).

Повечето държави-членки посочиха, че общото законодателство за защита на данните се прилага към обработването на лични данни от страна на полицията и съдебната власт, както на национално ниво, така и в трансграничен контекст[10], в повечето случаи обаче едновременно с разпоредбите от наказателно-процесуалните закони и законите за полицията (защита на данните)[11]. Тринадесет държави-членки (Белгия, Чешката република, Германия, Естония, Италия, Люксембург, Унгария, Малта, Нидерландия, Словения, Словакия, Финландия и Швеция) посочиха наказателно-процесуалните закони или подобно законодателство. Седем държави-членки (Чешката република, Германия, Унгария, Нидерландия, Словения, Финландия и Швеция) съобщиха за наличието на специален закон за полицията (защита на данните)[12]. Три държави-членки (България, Португалия, Литва) добавиха, че са приели също така специално законодателство за изпълнение на някои разпоредби от рамковото решение, които не попадат в обхвата на общото законодателство, което се прилага само за трансграничното обработване на лични данни[13].

Три държави-членки смятат, че ограниченият обхват на рамковото решение представлява проблем. Италия и Нидерландия докладваха за трудности при разграничаването на практика между трансграничното обработване на данни съгласно Рамково решение 2008/977 и обработването на национално ниво, както и за свързаната с това трудност за правоприлагащите органи в държавите-членки да се адаптират към различните правила за обработване за същите лични данни. Полша посочи недостатъците на рамковото решение като цяло и по-конкретно подчерта своята подкрепа за целта на Комисията за създаване на всеобхватна рамка и за разширяването на общите правила за защита на данни в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси[14].

2.1.2. Информация за субектите на данни (член 16, съображения 26—27)

Съгласно рамковото решение държавите-членки трябва да гарантират, че техните компетентни органи информират субектите на данни, че техните данни се обработват или предават на друга държава-членка за целите на предотвратяването, разследването, разкриването и наказателното преследване на престъпления или изпълнението на наказателни санкции. Формата, съдържанието, средствата и изключенията (т.е. без предоставяне или с ограничено предоставяне на информация), използвани за това, следва да се определят съгласно националното законодателство. Това може да стане по общ ред, например чрез закон или чрез публикуване на списък на операциите по обработването на данни. Ако данните са предавани на друга държава-членка, всяка държава-членка може да поиска от другата държава-членка да не информира субекта на данни.

Таблица 3 показва, че почти всички държави-членки са посочили, че предоставят на субектите на данни известна информация относно обработването на личните им данни. Франция посочи, че не прави това. Дания също не предоставя това право, но съобщи, че администраторът трябва да води регистър и да информира обществеността.

Правото на информация е предмет на ограничения в повечето държави-членки. Националното законодателство или ограничава това право за целите на предотвратяването, разследването, разкриването и наказателното преследване на престъпления, или предвижда обработването на данни от специализирани администратори на лични данни (полиция и/или съдебна власт) да бъде изключено от приложното поле на това правило. В някои случаи ограниченията/изключенията са посочени, без да се уточняват дейностите. Значителен брой от държавите-членки докладват за такива ограничения за полицейските, военно-полицейските, съдебните, митническите и данъчните органи.

Нидерландия заяви, че общото задължение за информиране на субекта на данните не е съответствало напълно на естеството на работата на полицията и на съдебната власт, но че съществуват някои мерки, които да гарантират в достатъчна степен информирането на субекта на данните, което се изисква за обработване на данните от полицейските и съдебните органи (т.е. в законите се дава информация за случаи и условия за обработване на данни; прокурорът информира субекта на данни за упражняването на специални правомощия по разследването, ако това е позволено в рамките на разследването). Нидерландия също заяви, че не е необходимо тази разпоредба да бъде изпълнена, тъй като член 16, параграф 1 се отнася единствено до националните закони на държавите-членки.

Рамковото решение установява правото на субектите на данни да бъдат информирани, но не съдържа никакви подробности относно средствата или възможните изключения. Дори ако, според държавите-членки, правото на информация е предоставено по принцип, изпълнението се различава значително.

2.1.3. Право на достъп на субектите на данни (член 17)

В рамковото решение се предвижда субектът на данни да има право да получи без ограничение и без прекомерно забавяне или разходи:

а)         поне потвърждение от администратора или от националния надзорен орган, дали данни, свързани с него, са били предадени или предоставени, и информация относно получателите или категориите получатели, пред които са разкрити данните, както и информация за данните, които са в процес на обработване; или

б)         поне потвърждение от националния надзорен орган, че са извършени всички необходими проверки.

Държавите-членки могат да приемат законодателни мерки за това право на достъп, за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури; повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции; за защита на обществената сигурност; за защита на националната сигурност; и за защита на субекта на данни или на правата и свободите на други лица (член 17, параграф 2). Всеки отказ на администратора да предостави тази информация се изпраща в писмен вид на субекта на данните (член 17, параграф 3).

Информацията относно правото на достъп, предоставена от държавите-членки и компилирана в таблица 4, отразява ситуацията по отношение на предоставянето на информация на субекта на данни. Може да се заключи, че всички държави-членки[15] предоставят в известна степен право на достъп на субектите на данни. Това право е заложено в общото законодателство на държавите за защита на личните данни. Много държави-членки също така определят реда и условията относно правото на достъп в специфично за сектора законодателство (като например законите за полицията).

По същият начин всички държави-членки предвиждат изключения от правото на достъп. Най-често споменаваните причини за отказа за предоставяне на право на достъп са:

– за предотвратяване, разследване, разкриване или наказателно преследване на престъпления;

– националната сигурност, защитата и обществената сигурност;

– икономически и финансови интереси на държава-членка и на ЕС (включително валутни, бюджетни и данъчни въпроси)[16];

– за защита на правата и свободите на субекта на данни или на други лица.

Що се отнася до начина, по който се предоставя достъп до лични данни, някои държави-членки са засегнали изрично този въпрос, а други не са направили това. Някои държави-членки посочват, че предоставят на субектите на данни правото да изпратят искане за достъп до своите данни директно до компетентния орган (т.е. Австрия, Германия, България, Финландия, Ирландия, Латвия, Малта, Нидерландия, Полша, Словакия, Швеция, Обединеното кралство), докато други позволяват само „непряк“ достъп (Белгия, Франция). В последния случай националният надзорен орган, а не физическото лице, има достъп до всички лични данни, свързани със субекта на данни. Във Финландия и Литва на субектите на данни е предоставен избор. В Португалия прекият достъп е общо правило, а непрекият достъп е предвиден в случаите, когато обработването на лични данни оказва влияние върху държавната сигурност или върху предотвратяването или разследването на престъпления. Подобна е ситуацията в Люксембург, където като цяло достъпът се предоставя пряко, но ако се прилага изключение, исканията за достъп трябва да бъдат адресирани до надзорния орган за защита на данните.

Рамковото решение съдържа общи правила, които предоставят на субектите на данни право на достъп до техните данни. Това решение не уточнява подробно какъв вид информация трябва да бъде предоставена на субекта на данни. То също така оставя на държавите-членки да решат дали субектите на данни могат да упражнят правото си на достъп пряко или трябва да извършат това непряко.

2.1.4. Национални надзорни органи (член 25)

В Рамково решение 2008/977 се отчита, че създаването в държавите-членки на надзорни органи, които напълно независимо упражняват функциите си, е „основен елемент от защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество между държавите-членки“ (съображение 33). В него също така се заявява, че надзорните органи, вече създадени в държавите-членки съгласно Директивата, следва да могат също така да поемат отговорност (съображение 34). Член 25 от Рамково решение 2008/977 отразява важна част от разпоредбата за надзорните органи в член 28 (параграфи 1—4, 7) от Директива 95/46/ЕО относно правомощията на органа, задължението му да се ползва с пълна независимост и задължението да пази професионална тайна. На всеки орган са предоставени редица правомощия, които включват правомощия по разследване (включително право на достъп до данните и на събиране на цялата необходима информация), ефективни правомощия на намеса (като например право на предоставяне на становища преди извършването на операции по обработването; право на разпореждане на блокиране, изтриване или унищожаване на данни; на въвеждане на временна или окончателна забрана върху обработването; на отправяне на предупреждение или строга забележка към администратора; право да сезира националния парламент или други политически институции), както и право да води съдебни дела.

Таблица 5 показва, че в повечето случаи националните надзорни органи, отговарящи за наблюдението на изпълнението и прилагането на общите правила за защита на личните данни, са отговорни и за надзора върху изпълнението и прилагането на Рамково решение 2008/977.

Швеция посочва, че Комитетът за проверка на данните все още не е определен като компетентен надзорен орган по силата на член 25 от Рамковото решение.

Някои държави-членки изрично повдигнаха въпроса за надзора на обработването на данни от съдебната власт[17]. Дания посочи, че съдебната администрация е отговорна за надзора на обработването на данни от съдебната власт, а Австрия отбеляза, че надзорният орган за защита на данните не е компетентен да се произнася по жалби за нарушаване на правилата за защита на данни от страна на съдебната власт. В Люксембург надзорът на обработването на данни като цяло е от компетентността на Комисията за защита на личните данни. Дейностите по обработването, извършвани в рамките на една национална разпоредба, с която се прилага международна конвенция, са под надзора на орган, който включва Procureur Général d'Etat или негов представител и двама членове на Комисията за защита на личните данни, предложени от последния и назначени от министъра.

2.1.5. Други въпроси, повдигнати от държавите-членки

От 26-те страни-членки 20 не са съобщили за някакви специфични проблеми, свързани с рамковото решение, като 8 от тях не са отговорили на този въпрос (Белгия, Дания, Естония, Гърция, Унгария, Люксембург, Кипър и Австрия). Както е показано в таблица 6, 6 държави-членки представиха коментари по следните въпроси, които пораждат загриженост:

— Полша смята, че рамковото решение съдържа множество недостатъци, които следва да се отстранят, и изрази подкрепа за реформа с цел да се създаде цялостна и съгласувана система за защита на данните на равнище ЕС.

— Италия и Нидерландия докладваха за трудности при разграничаването на практика между трансграничното обработване на данни съгласно Рамково решение 2008/977 и обработването на национално ниво, както и за свързаната с това трудност за правоприлагащите органи в държавите-членки да се адаптират към различните правила за обработване за същите лични данни

— Италия, Чешката република и Нидерландия изразиха критики към правилата за международното предаване на данни, включени в рамковото решение. По-специално, Италия заяви, че е необходимо да се осигури адекватно и по-високо единно ниво на защита на данните при предаването на данни на трети държави. Нидерландия смята за проблематична липсата на критерии в рамковото решение за определяне на адекватно ниво на защита от страна на трета държава, което води до нееднакво изпълнение от страна на държавите-членки. На последно място, Чешката република отчете като „нереалистични“ правилата за международното предаване на данни в рамковото решение.

— Франция посочи конкретен проблем на национално равнище по отношение на периодите на съхранение на личните данни, които се предават на трета държава и от трета държава, където съществуват различни изисквания в това отношение; — Словакия заяви, че е необходимо да се направи разграничение между обработването на данни от полицията и от съдебната власт (съдебно производство);

— Чешката република и Нидерландия посочиха, че за правоприлагащите органи е било объркващо да се съобразяват с многобройните правила за защита на личните данни на международно равнище (като тези на Съвета на Европа), на равнище ЕС и на национално равнище.

3. ПРЕДСТОЯЩИ ДЕЙНОСТИ

В този доклад се извършва преглед на актуалното състояние на изпълнението и функционирането на рамковото решение относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси.

Практическите затруднения, които срещат редица държавите-членки при разграничаването между правилата за националното и трансграничното обработване на данни, могат да бъдат решени чрез единен набор от правила, който обхваща обработването на данни, както на национално равнище, така и в трансграничен контекст. Ще бъде необходимо допълнително изясняване на обхвата и възможните изключения на равнище ЕС по отношение на правото на субектите на информация. Минималните хармонизирани критерии във връзка с правото на достъп на субектите на данни могат да укрепят техните права, като същевременно се предвидят изключения, за да се позволи на полицията и на съдебната власт да изпълняват своите задачи.

Съгласно член 16 от Договора за функционирането на Европейския съюз, в който се утвърждава правото на защита на личните данни, понастоящем съществува възможност за установяване на всеобхватна рамка за защита на данните, като се гарантира както високо ниво на защита на данните на физически лица в областта на полицейското и съдебното сътрудничество по наказателни дела, така и по-безпроблемен обмен на лични данни между полицейските и съдебните органи на държавите-членки при пълно зачитане на принципа на субсидиарност.

[1]               OВ L 350, 30.12.2008, стр. 60.

[2]               Член 30.

[3]               Съображение 5 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, ОВ L 281, 23.11.1995, стр. 31.

[4]               Член 1.

[5]               Член 1, параграф 5.

[6]               Член 1, параграф 2.

[7]               Член 13.

[8]               Италия уведоми Комисията, че специфичните инструменти за изпълнение все още не са официално приети. Това се отнася за Кодекса за защита на личните данни, наказателно-процесуалния кодекс и други актове, които съдържат разпоредби, приложими за обработването на данни в тези области. Други държави-членки предприемат по-различен подход и показват, че действащите правила за защита на данните се прилагат и при обработването на лични данни от полицейските и съдебните органи на национално равнище, както и при трансграничното обработване от полицейските и съдебните органи по наказателноправни въпроси. Освен това те са информирали Комисията за допълнителни мерки за изпълнение, които се изготвят понастоящем.

[9]               Вж. дело C-105/03, Pupino, решение от 16.5.2005 г., параграфи 34, 43—45, 47, 61, в които Съдът е приел, че националните съдилища при тълкуване на националните закони са длъжни да полагат усилия за постигане на еднозначно тълкуване, включително относно рамковите решения.

[10]             Ситуацията беше същата преди приемането на рамковото решение (вж. Работен документ на Комисията, Оценка на въздействието, SEC (2005) 1241 от 4.10.2005 г., точка 5.1.2.)

[11]             Вж. таблица 2.

[12]             Вж. таблица 2.

[13]             Вж. коментарите от Нидерландия.

[14]             Вж. също приноса на Полша (Министерство на вътрешните работи) към общественото допитване, което Комисията започна в края на 2010 г. (посочен в техния отговор на въпросника): http://ec.europa.eu/justice/news/consulting_public/0006/contributions/public_authorities/pl_min_pl.pdf.

[15]             Подобен извод може да се направи, въпреки че някои държави-членки не предоставят спецификации (вж. подробности в таблица 3).

[16]             Това изключение не е изрично упоменато в член 17 от Рамково решение 2008/977. То обаче съответства на изключението, посочено в член 13, параграф 1 от Директива 95/46/ЕО.

[17]             Вж. съображение 35 от рамковото решение, където в последното изречение се посочва, че правомощията на надзорните органи „не следва да възпрепятстват специфичните норми, установени за наказателните производства или независимостта на съдебната власт“