Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52007XX0428(02)

Становище на Европейския надзорен орган по защита на данните по предложението за регламент на Европейския парламент и на Съвета за изменение на Регламент (ЕО) № 515/97 на Съвета относно взаимопомощта между административните органи на държавите-членки и сътрудничеството между последните и Комисията по гарантиране на правилното прилагане на законодателството в областта на митническите и земеделските въпроси (COM(2006) 866 окончателен)

OJ C 94, 28.4.2007, p. 3–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, RO, SK, SL, FI, SV)

28.4.2007   

BG

Официален вестник на Европейския съюз

C 94/3


Становище на Европейския надзорен орган по защита на данните по предложението за регламент на Европейския парламент и на Съвета за изменение на Регламент (ЕО) № 515/97 на Съвета относно взаимопомощта между административните органи на държавите-членки и сътрудничеството между последните и Комисията по гарантиране на правилното прилагане на законодателството в областта на митническите и земеделските въпроси (COM(2006) 866 окончателен)

(2007/C 94/02)

ЕВРОПЕЙСКИЯТ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ,

като взе предвид Договора за създаване на Европейската общност, и по-специално член 286 от него,

като взе предвид Хартата на Европейския съюз за основните права, и по-специално член 8 от нея,

като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (1),

като взе предвид Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на тези данни (2), и по-специално член 41 от него,

като взе предвид искането за становище в съответствие с член 28, параграф 2 на Регламент (ЕО) № 45/2001, получено на 4 януари 2007 г. от Комисията;

ПРИЕ СЛЕДНОТО СТАНОВИЩЕ:

ВЪВЕДЕНИЕ

1.

Целта на предложението за регламент на Европейския парламент и на Съвета за изменение на Регламент (ЕО) № 515/97 на Съвета на 13 март относно взаимопомощта между административните органи на държавите-членки и сътрудничеството между последните и Комисията по гарантиране на правилното прилагане на законодателството в областта на митническите и земеделските въпроси (3) (наричано по-долу„предложението“) е двойна. От една страна, предложението има за цел да хармонизира съществуващия Регламент (ЕО) № 515/97 на Съвета с новите правомощия на Общността в областта на митническото сътрудничество в Общността. От друга страна, предложението има за цел да укрепи сътрудничеството и обмена на информация между държавите-членки и между тях и Комисията.

2.

За да постигне двете си цели, предложението inter alia увеличава функциите на съществуващата митническа информационна система (МИС) и създава допълнителен европейски информационен справочник, който ще отразява движението на контейнери и/или транспортни средства, както и съответните стоки и лица (Европейски информационен справочник).

3.

Освен това предложението въвежда в общностното право митническа идентификационна база данни (МИБД), първоначално създадена от държавите-членки съгласно Дял VI от Договора за Европейския съюз (4). От сега нататък МИБД ще попада както в рамките на действията на Европейската общност, така и на третия стълб, като функционирането на МИБД във всяка конкретна ситуация се урежда от съответен правен инструмент. Същото се отнася и за МИС (5). На практика това се постига чрез създаването на две бази данни, които са на разположение на различни структури, с цел осигуряване тяхното използване за различни цели (първи и трети стълб).

I.   Консултация с Европейския надзорен орган по защита на данните

4.

Предложението бе изпратено от Комисията на Европейския надзорен орган по защита на данните (ЕНОЗД) за консултация, както се предвижда в член 28, параграф 2 на Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (наричан по-долу „Регламент (ЕО) № 45/2001“). ЕНОЗД получи това искане на 4 януари 2007 г.

5.

Предвид задължителния характер на член 28, параграф 2 на Регламент (ЕО) № 45/2001, в преамбюла на предложението, преди съображенията, следва да има позоваване на тази консултация. За тази цел ЕНОЗД предлага при позоваване на становищата на ЕНОЗД (6) да се прибягва към формулировката, използвана от други законодателни предложения, която гласи следното: „След консултация с Европейския надзорен орган по защита на данните“.

II.   Значение на предложението от гледна точка на защита на данните

6.

Създаването и усъвършенстването на различните инструменти, предназначени да засилят сътрудничеството в Общността, т. е. МИС, МИБД и Европейския информационен справочник, води до увеличаване на дела на личната информация, която ще бъде първоначално събирана и след това обменяна с административните органи на държавите-членки, а в някои случаи и с трети страни. Обработваната и впоследствие обменена лична информация може да включва информация, свързана с предполагаемото или потвърдено участие на физически лица в неправомерни действия в сферата на митническите и земеделските дейности. От тази гледна точка предложението има важни последици, що се отнася до защитата на личните данни. Освен това значението му нараства, като се има предвид вида на събираните и обменяни данни, а именно подозрения за неправомерни действия на физически лица, както и цялостната завършеност и резултат от обработката.

7.

В светлината на ефекта на предложението върху защитата на личните данни, ЕНОЗД смята за целесъобразно да даде настоящото становище, което анализира въздействието на предложението върху защитата на правата и свободите на физическите лица във връзка с обработката на лични данни.

III.   Основни елементи на предложението и първоначални коментари

8.

Основните елементи на предложението, които имат значение от гледна точка на защитата на данните, са следните: i) създаването на европейски информационен справочник (членове 18a и 18б); ii) разпоредбите, актуализиращи правилата относно МИС (членове 23 до 37); и iii) правилата, провъзгласяващи МИБД за база данни на Общността (членове 41a до 41г). Свързани с това са и различни разпоредби, включително третиращите надзора по защитата на данните разпоредби, които бяха изменени, за да се вземе под внимание приемането на Регламент (ЕО) № 45/2001 (членове 37, 42 и 43).

9.

ЕНОЗД припомня, че предишното му становище по предложението за регламент относно административна взаимопомощ за защита на администрацията на Общността срещу измами и други незаконни действия (7) посочва необходимостта от адаптиране на някои разпоредби на Регламент (ЕО) № 515/97 на Съвета с цел хармонизирането му с новото законодателство за защита на данните, приложимо за институциите на ЕС, а именно Регламент (ЕО) № 45/2001. Затова ЕНОЗД е удовлетворен от измененията на предложението в тази посока.

10.

Освен това ЕНОЗД се радва да установи, че разпоредбите, отнасящи се до европейския информационен справочник и разпоредбите, актуализиращи правилата относно МИС, съдържат гаранции за осигуряване на защитата на личната информация и личния живот на физическите лица. ЕНОЗД също така приветства решението за включване на МИБД в приложното поле на общностното право, а именно в обхвата на Регламент (ЕО) № 45/2001.

11.

ЕНОЗД разбира практическото значение на целите, преследвани с предложението, а именно укрепването на сътрудничеството между държавите-членки и между тях и Комисията. Освен това той разбира необходимостта от създаване и актуализиране на съществуващи инструменти като МИС и МИБД, за да бъдат изпълнени тези цели. Освен това ЕНОЗД е удовлетворен да установи, че при изпълнението на това начинание в предложението са включени гаранции за защита на данните, които вземат предвид настоящото законодателство за защита на данните, приложимо за институциите на ЕС. ЕНОЗД обаче смята, че има възможност за усъвършенстване с цел гарантиране цялостната съвместимост на предложението със съществуващата правна рамка за защита на данните и ефективната защита на личните данни на физическите лица. Във връзка с това, ЕНОЗД прави коментарите и предложенията, описани в следващия раздел.

АНАЛИЗ НА ПРЕДЛОЖЕНИЕТО

I.   Създаване на европейски информационен справочник

12.

Съгласно член 18a, параграф 1 на предложението Комисията ще създаде и води европейски информационен справочник с цел „(да) открива движението на стоки, които са предмет на потенциално нарушаващи митническото и земеделско законодателство дейности, и на транспортни средства“. Комисията ще получава по-голямата част от информацията от обществените и частни доставчици на услуги, опериращи в международната логистична верига или в превоза на стоки. Справочникът може да бъде обогатяван „от други източници на информация“ ex член 18a, параграф 2, буква б). Член 18a, параграф 3 посочва информацията, която може да бъде включена в справочника, включително списъка на въпросните лични данни (8). Комисията ще предоставя информацията в справочника на съответните органи в държавите-членки.

13.

Предложението твърди, че създаването на справочника ще бъде полезно за разкриване на действия, представляващи риск за нарушения на митническото и земеделско законодателство. ЕНОЗД обаче смята, че след като има вероятност това да се случва всеки път, когато се създава централна база данни, съдържаща лични данни, необходимостта от подобна база данни трябва да се оценява правилно и внимателно, а когато базата данни е създадена — трябва да се прилагат конкретни гаранции в светлината на принципите за защита на данните. С това се цели да се избегнат последствия, които неоправдано биха засегнали защитата на личните данни.

14.

ЕНОЗД смята, че предложението не дава достатъчно аргументи в подкрепа на необходимостта от създаването на справочника. За да се гарантира създаването само на наистина необходими бази данни, ЕНОЗД призовава Комисията да извърши съответна оценка на необходимостта от създаването на справочника и да докладва за своите констатации.

15.

Що се отнася до гаранциите за защита на данните, ЕНОЗД отбелязва, че в предложението се предвиждат някои гаранции, като смята обаче, че са необходими допълнителни мерки.

I.1.   Прилагане на Регламент (ЕО) № 45/2001

16.

ЕНОЗД отбелязва, че Регламент (ЕО) № 45/2001 относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни е безспорно приложим за справочника, като се има предвид, че Комисията ще създаде и управлява европейския информационен справочник и че справочникът ще съдържа лични данни. Следователно, Комисията в ролята си на контролиращ орган на данните в справочника (9) трябва да осигури спазване на всички разпоредби, съдържащи се в този регламент.

17.

Докато в светлината на горното Регламент (ЕО) № 45/2001 е приложим per se за създаването и управлението на справочника, ЕНОЗД смята, че за целите на съгласуваността би било подходящо да се включи нов параграф, който да напомня за тази приложимост. ЕНОЗД отбелязва, че член 34 на предложението относно митническата информационна система (МИС) и митническата идентификационна база данни (МИБД) действително съдържа разпоредба, напомняща за приложимостта на Регламент (ЕО) № 45/2001. За да се постигне последователност в подхода, подобна разпоредба следва да бъде включена и по отношение на справочника. Съобразно с това ЕНОЗД предлага в член 18, параграф 1 да се включи нов параграф, който заимства формулировката, използвана в член 34, както следва: „Комисията смята европейския информационен справочник за система за обработка на лични данни, която попада под Регламент (ЕО) № 45/2001“.

18.

ЕНОЗД отбелязва, че член 18a, параграф 2, буква б) на предложението потвърждава приложимостта на Регламент (ЕО) № 45/2001 за определени видове ползване на справочника, по-специално когато Комисията използва справочника, за да „сравнява и противопоставя данни ... да включва в индекс, да обогатява …“. Ако няма общо изявление, потвърждаващо приложимостта на Регламент (ЕО) № 45/2001 за справочника като цяло, включително за дейности по обработката, извършвани от създаването до поддръжката на справочника, всякакви други дейности/фази, които не са изрично споменати в член 18a, параграф 2, буква б), могат да се смятат за необхванати от Регламент (ЕО) № 45/2001. Това е още една причина в подкрепа на въвеждането на предложената по-горе формулировка.

19.

ЕНОЗД припомня, че при спазването на Регламент (ЕО) № 45/2001 Комисията ще бъде задължена между другото да информира лицата, чиито имена са включени в справочника, за този факт (10). По-специално следва да се има предвид, че такова право съществува, дори когато въведената в справочника лична информация е събрана от публични източници. Освен това, вземайки под внимание предназначението на справочника, Комисията ще бъде обвързана от член 27 на Регламент (ЕО) № 45/2001, съгласно който ЕНОЗД трябва да направи предварителна проверка на системата преди нейното въвеждане (11).

I.2.   Прилагане на националните разпоредби, прилагащи Директива 95/46/ЕО

20.

Съгласно член 18a, параграф 2, буква в) на предложението Комисията има право да предоставя данни на съответните органи на държавите-членки. ЕНОЗД отбелязва, че докато такъв трансфер е подчинен на Регламент (ЕО) № 45/2001, по-нататъшното използване на информацията от органите на държавите-членки ще бъде обхванато от Директива 95/46/ЕО. От друга страна изглежда, че член 18a, параграф 2, буква в) е предназначен да изрази тази концепция, както тя допълнително е описана по-долу, но формулировката му би могла да бъде подобрена, за да изрази това намерение по-ясно.

21.

Член 18a, параграф 2, буква в) гласи: „При воденето на справочника Комисията има право: […] в) да предоставя информацията в този справочник на съответните органи, посочени в член 1, параграф 1 единствено за постигане на целите на настоящия регламент и в пълно съответствие с националните разпоредби, прилагащи Директива 95/46/ЕО.“ Според ЕНОЗД, член 18a, параграф 2, буква в) не отразява по подобаващ начин идеята, че по-нататъшното използване на личните данни от органите на държавите-членки се урежда от националните разпоредби, прилагащи Директива 95/46/ЕО. За да се даде по-голяма яснота по въпроса, ЕНОЗД смята, че последната част на член 18a, параграф 2, буква в) следва да бъде изменена и допълнена и да гласи, както следва: „(…) с единствена цел постигане целите на настоящия регламент. По-нататъшното използване на личните данни от тези органи се урежда от националните разпоредби, прилагащи Директива 95/46/ЕО“. Във всеки случай подобно по-нататъшно използване на национално ниво ще трябва да бъде съвместимо с целта, за която Комисията предоставя данните, освен ако не са изпълнени специални условия (виж член 6, параграф 1, буква б) и член 13, параграф 1 на Директива 95/46/ЕО.)

I.3.   Допълнителни коментари

22.

ЕНОЗД подкрепя подхода, възприет в член 18, параграф 4 на предложението, за ограничаване в рамките на Комисията на отделите, които имат право да обработват лични данни, съдържащи се в Европейския информационен справочник. Това е в съответствие с член 22 на Регламент (ЕО) № 45/2001, който изисква от контролиращия данните орган, inter alia, да прилага технически и организационни мерки, като например мерки, гарантиращи предоставяне на информацията въз основа на реална необходимост с оглед обезпечаване на подходящо ниво на сигурност на данните.

23.

Последният параграф на член 18, параграф 4 постановява, че за лични данни, които не са необходими за целите, за които са събрани, следва да бъдат премахнати идентифициращите фактори. Там се посочва също, че във всеки случай информацията не може да бъде съхранявана повече от една година. ЕНОЗД приветства това задължение, което е в съответствие с член 4, параграф 1, буква д) на регламента, където се уточнява, че личните данни могат да бъдат съхранявани по начин, позволяващ установяване на самоличността на субектите на данни в продължение на период, не надвишаващ необходимото за целите, за които се събират или впоследствие обработват данните.

24.

Според изискванията на член 22 на Регламент (ЕО) № 45/2001, справочникът трябва да бъде защитен адекватно. Гаранциите, че за справочника се спазва оптимално ниво на сигурност, представляват основно изискване за защита на съхраняваните в базата данни. Докато разпоредбите, уреждащи митническата информационна система, предвиждат прилагането на конкретни мерки за сигурност, предложението не казва нищо по отношение на европейския информационен справочник. ЕНОЗД смята, че отнасящите се до справочника въпроси на сигурността следва да се уреждат от допълнителни административни правила, които да предвиждат конкретни мерки за гарантиране поверителността на информацията. При приемането на тези правила следва да бъдат проведени консултации с ЕНОЗД.

II.   Изменения и допълнения на разпоредбите за митническата информационна система (МИС)

25.

Членове 23-41 на Регламент (ЕО) № 515/97 на Съвета съдържат разпоредбите, с които се създава митническата информационна система — база данни, която се води от Комисията, която е на разположение на държавите-членки и на Комисията и която е предназначена да ги подпомага при предотвратяването, разследването и съдебното преследване по действия, нарушаващи митническото или земеделско законодателство.

II.1.   Разширяване на възможното използване на личните данни, съхранявани в МИС

26.

Предложението изменя и допълва някои от първоначалните разпоредби, установяващи функционирането и използването на МИС. По-специално, член 25 разширява категориите лични данни, които могат да бъдат съхранявани в МИС, а член 27 увеличава списъка на възможните употреби на личните данни, съхранявани в МИС, като включва оперативен анализ, позволяващ между другото, „да се направи оценка на надеждността на източника на информация и на самата информация“, „да се формулират забележки, препоръки (…), да се разкрият действия и/или установи самоличността на физически и юридически лица“. Освен това, член 35, параграф 3 открива възможността за копиране съдържанието на МИС в други системи за обработка на данни за включване в „системи за управление на риска, използвани за направляване на националните митнически контролни органи, или в система за оперативен анализ, използвана за ръководство на действията по координация на общностно ниво“.

27.

Според предложението, очертаните по-горе допълнителни употреби са необходими за подпомагане на разкриването и преследването на действия, нарушаващи митническото и земеделско законодателство. Въпреки че ЕНОЗД не оспорва съществуването на такава необходимост, той смята, че предложението на Комисията е трябвало да предостави по-изчерпателна информация и по-стабилни основания в подкрепа на подобна необходимост.

28.

ЕНОЗД се радва да види, че горните изменения и допълнения са придружени с гаранции за защита на данните. Действително, предложението запазва ограничен списък от лични данни, които могат да бъдат включвани в МИС (ex член 25, параграф 1), единствено, ако има „реални доказателства“, че лицето е извършило или е на път да извърши закононарушенията (ex член 27, параграф 2). Освен това, ex член 25, параграф 3, никакви чувствителни данни (12) не могат да бъдат включвани в МИС. Нещо повече, член 35, параграф 3 ограничава лицата, които имат право да копират съдържанието на МИС за целите, установени в същия член, и ограничава времето за запазване на данните, копирани от МИС. Тези мерки са в съответствие с принципа за качество на данните, формулиран в член 4 на Регламент (ЕО) № 45/2001.

II.2.   Приложно поле на Регламент (ЕО) № 45/2001

29.

Член 34 на предложението взема под внимание приемането на Регламент (ЕО) № 45/2001, който се прилага при обработката на лични данни от институции и органи на Общността. Той съответно изисква Комисията да счита, че Регламент (ЕО) № 45/2001 се прилага за МИС. ЕНОЗД потвърждава, че Регламент (ЕО) № 45/2001 безспорно се прилага за МИС, предвид на това, че МИС съдържа лични данни и че Комисията има достъп до базата данни, по отношение на които тя играе ролята на контролиращ орган. Съответно ЕНОЗД приветства това изменение, което отразява съществуващата правна рамка за защита на данните.

30.

ЕНОЗД припомня, че по причина на прилагането на член 27 на Регламент (ЕО) № 45/2001 и като се вземат предвид целите на МИС, за които може да се счита, че носят конкретни рискове за правата и свободите на субектите на данните, ЕНОЗД трябва да извърши предварителна проверка на системата

31.

Освен прилагането на Регламент (ЕО) № 45/2001, член 34 на предложението запазва едновременното прилагане на националните разпоредби, прилагащи Директива 95/46/ЕО. ЕНОЗД смята това за правилен подход, доколкото органите на държавите-членки имат достъп до МИС, както и компетенции да включват и впоследствие да обработват включените в МИС данни. В резюме, ЕНОЗД смята, че контролът за МИС се споделя от Комисията и държавите-членки, които съвместно играят ролята на контрольори на данните в МИС.

II.3.   ЕНОЗД като надзорен орган на МИС заедно с националните органи по защита на данните

32.

В резултат от прилагането на Регламент (ЕО) № 45/2001, Европейският надзорен орган по защита на данните отговаря за осигуряване на прилагането на регламента, що се отнася до МИС. Докато някои от членовете на предложението отразяват компетенциите на ЕНОЗД, при други това не е така. ЕНОЗД по-специално съжалява, че някои раздели на член 37, отнасящи се до надзора, не са изменени по съответния начин и приканва законодателите да въведат измененията и допълненията, описани по-долу.

33.

ЕНОЗД отбелязва, че член 37, параграф 1 изрично признава компетенциите на органите на държавите-членки за надзор на МИС. Член 37, параграф 1 обаче не споменава за подобни компетенции на ЕНОЗД съгласно Регламент (ЕО) № 45/2001. Този проблем е допълнително подчертан в член 37, параграф 3, който не се изменя от предложението. Член 37, параграф 3 гласи „Комисията предприема всички необходими мерки в рамките на отделите си по осигуряване на наблюдение над защитата на личните данни, обезпечаващо сигурност на нива, отговарящи на тези от параграф 1…“. С други думи член 37, параграф 1 възлага надзора по защитата на данните на „Комисията“. Явно този член е следвало да бъде изменен и допълнен, за да отразява новата надзорна роля на ЕНОЗД. В сегашния си вид член 37, параграф 3 е безсмислен. За да се реши този проблем, член 37, параграф 3 следва да бъде изменен и допълнен по следния начин: „Европейският надзорен орган по защита на данните упражнява надзор по съответствието на МИС с Регламент (ЕО) № 45/2001“.

34.

Освен това, тъй като МИС се регулира не само от Регламент (ЕО) № 45/2001, но и от националните разпоредби, прилагащи Директива 95/46/ЕО, надзорът над МИС е задължение както на ЕНОЗД, така и на националните органи по защита на данните. И накрая, дейността по надзора на националните надзорни органи и на ЕНОЗД следва да бъде координирана до известна степен, за да се гарантира достатъчно ниво на съгласуваност и цялостна ефективност. Както се посочва в предишни становища на ЕНОЗД относно базите данни под надзора на държавите-членки на ЕС и на ЕНОЗД, „съществува необходимост от хармонизирано прилагане на регламента и от действия за възприемане на общ подход към общи проблеми“ (13).

35.

За съжаление предложението не предвижда процедура за координация, с цел структуриране и разширяване на сътрудничеството между ЕНОЗД и националните органи по защита на данните. За да се реши този проблем, ЕНОЗД споменава като първа възможност включването на нов раздел в член 37, който да се отнася до надзора по защитата на данните и да постановява следното: „ЕНОЗД свиква поне веднъж годишно среща с всички национални органи по надзора с цел решаване на проблеми на надзора, свързани с МИС. Членовете на националните органи по защита на данните и ЕНОЗД се посочват като надзорни органи“.

36.

По-добро решение за отразяване на пластовия подход към надзора, както бе споменато по-горе, би било да се разделят разпоредбите по надзора на член 37 на няколко разпоредби, всяка от които да е посветена на едно надзорно ниво, както бе надлежно направено в наскоро приетите правни инструменти, с които се създава Шенгенската информационна система (ШИС II). По-специално, членове 44-46 на Регламент (ЕО) № 1987/2006 на Европейския парламент и на Съвета от 20 декември 2006 г. относно създаването, управлението и употребата на второ поколение Шенгенска информационна система (ШИС II) (14) предвиждат добре балансирана система за надзор, упражняван съвместно на съответно национално и европейско ниво, с координация между двете. ЕНОЗД настоятелно предлага да се предвиди същата система за надзор за МИС (с някои леки корекции). Наистина, що се отнася до структурата на надзора, МИС и ШИС II са до голяма степен сравними.

37.

Член 43, параграф 5 предвижда ad hoc формация на посочения в член 43, параграф 1 комитет, (наричана по-долу „ad hoc формация на комитета“) да се среща периодично, за да разглежда проблеми по защитата на свързани с МИС данни. ЕНОЗД смята, че тази ad hoc формация на комитета не следва да се смята за орган, компетентен да упражнява надзора над МИС, тъй като този надзор е единствено от компетенциите на националните власти на държавите-членки и на ЕНОЗД. Ad hoc формацията на комитета, предвидена съгласно член 43, параграф 5, всъщност представлява комитет на „комитологията“.

38.

ЕНОЗД обаче смята, че ad hoc формацията на комитета е подходящ форум за разглеждане на свързани с дейността на МИС проблеми по защитата на данни. В тази връзка, ЕНОЗД предлага преформулиране на член 43, параграф 5, с цел той да отразява задачите и ролята на ad hoc формацията на комитета по член 43, параграф 5, както следва: „Комитетът заедно с групата по надзора, посочена в член …, разглеждат всички проблеми по дейностите на МИС, които срещат органите по надзора. Комитетът заседава в своята ad hoc формация поне веднъж годишно“.

39.

ЕНОЗД също така желае да обърне вниманието на законодателя върху друга характерна черта, обща за системите МИС и ШИС II: те действат в рамките и на първи и на втори стълб, което води до съществуването на две отделни правни основи за всяка система. Третият стълб на МИС се регулира от конвенцията, спомената в точка 3 на настоящото становище. Това има редица последствия, сред които е и структурата на надзора: първият стълб на МИС ще се контролира от ЕНОЗД и националните органи по защита на данните, докато частта на третия стълб се контролира от Смесен орган по надзора (съставен от представители на същите национални органи). Това представлява доста тромава система на надзор, която може да доведе до несъответствия и да не бъде особено ефективна. Това илюстрира трудностите, произтичащи от една сложна правна среда като настоящата.

40.

Заслужава да бъде споменато, че в рамките на ШИС II европейският законодател е избрал рационализация на модела за надзор, като прилага същия пластов модел като описания по-горе, както в рамките на първия стълб на системата, така и в рамките на втория. Това е един подход, който безспорно заслужава да бъде разгледан, и ЕНОЗД препоръчва допълнително проучване на възможностите, които той би предоставил, за по-добър и последователен надзор.

II.4.   Права на физическите лица

41.

Правата на физическите лица по отношение защита на данните съгласно предложението, особено правото на достъп, са регулирани в член 36 и член 37, които се променят частично от предложението. ЕНОЗД би искал да обърне внимание на следните три въпроса, свързани с правото на достъп: i) приложимото право ex член 36, параграф 1; ii) ограниченията на правото на достъп ex член 36, параграф 2; и iii) процедурата за подаване на искания за достъп от страна на физически лица ex член 37, параграф 2 на предложението.

42.

Приложимо законодателство: Член 36, параграф 1, който не е засегнат от предложението, признава en passage приложимостта на правата на физическите лица по отношение на защита на данните и предвижда, че правото на достъп да се урежда от законите на държавите-членки или от правилника за защита на данните, приложим за Комисията, в зависимост от това дали тези права се ползват респективно в държавите-членки или в институциите на ЕС. Този критерий отразява казаното по-горе относно член 34 от предложението, а именно, че Комисията и държавите-членки упражняват съвместно функцията на контрольори на МИС. ЕНОЗД е съгласен с този подход и се радва, че предложението е запазило формулировката на член 36, параграф 1. Във всеки случай е ясно, че тази разпоредба се позовава имплицитно на съответното национално законодателство, прилагащо Директива 95/46/ЕО и Регламент (ЕО) № 45/2001. Приложимото законодателство във всеки от случаите ще зависи от това къде се упражняват правата.

43.

Ограниченията на правото на достъп: Вторият параграф на член 36.2 постановява, че „достъп се отказва в периода, когато тече наблюдение, отчитане на анализа на операциите или разследване“. По изложените по-долу причини ЕНОЗД би предпочел изменение, което да гласи „достъп може да бъде отказан “(вместо „достъп се отказва“).

44.

Съгласно Регламент (ЕО) № 45/2001, като въпрос на основен принцип, физическите лица имат право да упражняват правото си на достъп до собствените си лични данни. Член 20 на Регламент (ЕО) № 45/2001 обаче признава, че такова право може да бъде ограничено, ако е налице едно от конкретните условия, оправдаващи ограничението. С други думи, физическите лица по принцип имат право на достъп, но такъв достъп може да бъде ограничаван. Обратно, формулировката на член 36, параграф 2 „достъп се отказва“ не оставя възможност за преценка, дали може или не може да бъде предоставен достъп. По същество това означава, че физическите лица нямат такова право за определен период от време. Няма причина основният подход на Регламент (ЕО) № 45/2001 да не действа за подобна ситуация, особено ако член 20 би дал възможност за ограничение правата на достъп в периода, предвиден в член 36, параграф 2. Наистина, ако Комисията желае да откаже достъп, тя може да се възползва от член 20, съгласно който достъп може да бъде отказан с цел защита на разследването.

45.

ЕНОЗД смята, че предложението следва да бъде формулирано по същия начин както Регламент (ЕО) № 45/2001. Противното би противоречало на общата рамка, която предвижда правото на достъп съгласно Регламент (ЕО) № 45/2001. Проблемът би могъл да се реши просто чрез заместването на думите „се отказва “с „може да бъде отказан“.

46.

Процедурата за подаване на искания за достъп от страна на физически лица: Предложението изменя и допълва стария член 37, параграф 2 на Регламент (ЕО) № 515/97, уреждащ процедурата за подаване на искания за получаване на достъп до информация дали в МИС се съдържа лична информация, свързана с дадено лице. Новият член 37, параграф 2 признава възможността физическите лица да подават искания за достъп до Европейския надзорен орган по защита на данните, както и до националните надзорни органи, в зависимост от това дали данните са въведени в МИС от Комисията или от държава-членка.

47.

ЕНОЗД приветства факта, че това изменение в по-голяма степен хармонизира процедурата с настоящата правна рамка за защита на данните. Поради следните причини обаче ЕНОЗД смята, че компетенциите на държавите-членки и на Комисията не следва да зависят от структурата, която е въвела информацията в МИС. Първо, ЕНОЗД отбелязва, че физическите лица най-вероятно няма да знаят коя структура — Комисията или държава-членка — е въвела информацията в МИС. Съответно те няма да знаят коя структура е компетентна да се занимава с тяхното искане за достъп. Процедурата за искане на достъп ще стане тромава, ако физическите лица бъдат задължени първо да установят кой е въвел данните. Второ, ЕНОЗД смята, че тази разпоредба противоречи на критерия, посочен в член 36, параграф 1, съгласно който правото на достъп се регулира от законите на държавите-членки или от правилника за защита на данните, приложим за Комисията, в зависимост от това дали тези права се ползват респективно в държавите-членки или в институциите на ЕС. Затова, дори и само с цел съвместимост с член 36, компетенцията по исканията за достъп следва да зависи от това дали достъпът е поискан от националните надзорни органи или от ЕНОЗД.

48.

За да се реши този проблем, изречението „в зависимост от това дали данните са въведени в МИС от държава-членка или от Комисията“ следва да бъде заменено с „в зависимост от това дали на правата се позовават пред националните надзорни органи или пред ЕНОЗД“. Също така, ако се възприеме този подход, следващото изречение в параграф 37, параграф 2 придобива смисъл: „Когато данните са въведени в системата от друга държава-членка или от Комисията, те се проверяват в тясно сътрудничество с националния надзорен орган на тази държава-членка или с Европейския надзорен орган по защита на данните“.

II.5.   Обмен на информация

49.

Предложението не прибавя нови елементи, що се отнася до обмен на лични данни с органите на трети страни. Този въпрос се третира в член 30, параграф 4 на регламента. ЕНОЗД смята, че този член следва да бъде изменен и допълнен, с цел да се изтъкне необходимостта Комисията (не само държавите-членки) да предприема специални мерки по осигуряване на сигурността на данните при предаването или предоставянето им на отдели, намиращи се в трети страни. Освен това член 30, параграф 4 следва да бъде изменен и допълнен, за да гарантира съответствие със законодателството, приложимо за трансфера на лични данни към трети страни.

III.   Митническа идентификационна база данни („МИБД“)

50.

Членове 41a, б, в и г на предложението формулират правилата за работата на митническата идентификационна база данни. МИБД дава възможност на компетентните органи да проверяват дали дадено лице или фирма са били предмет на криминално разследване в някоя държава-членка.

51.

МИБД вече съществува като инструмент, използван от държавите-членки по третия стълб (15). Следователно, целта на член 41 е да осигури правна основа за МИБД на Общността, което ЕНОЗД приветства.

52.

Тъй като всички разпоредби на предложението, които се прилагат за МИС, се прилагат и за МИБД, ex член 41a, направените в раздел II по-горе коментари се отнасят mutatis mutandis за МИБД.

III.1.   Прилагане на Регламент (ЕО) № 45/2001

53.

ЕНОЗД отбелязва, че предвид на това, че Комисията е компетентна да обработва данните съдържащи се в МИБД, следва да е ясно, че Регламент (ЕО) № 45/2001 относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни е приложим за МИБД. ЕНОЗД смята, че би било уместно член 41 да напомня за приложимостта на Регламент (ЕО) № 45/2001 към МИБД и за надзорните компетенции на ЕНОЗД по наблюдението и гарантирането на спазването на разпоредбите на регламента.

54.

ЕНОЗД припомня, че по причина на прилагането на член 27 на Регламент (ЕО) № 45/2001 и като се вземат предвид целите на МИБД и естеството на включените данни, може да се сметне, че тя носи конкретни рискове за правата и свободите на субектите на данните и че затова ЕНОЗД трябва да извърши предварителна проверка на системата

III.2.   Съхраняване на данните

55.

Член 41г определя конкретни срокове за съхраняване на данните. ЕНОЗД смята, че сроковете предвидени в член 41г са разумни.

56.

Не е сигурно как тази разпоредба се отнася към член 33 по отношение на МИС. По презумция, член 41г има приоритет над разпоредбата със същия обект, третираща МИС, но това не се споменава изрично в предложението. Би имало полза от разпоредба, изясняваща този момент.

III.3.   Актуализиране на информацията, регистрирана в МИБД

57.

Принципът за качество на данните ex член 4 на Регламент (ЕО) № 45/2001 изисква личните данни да бъдат достатъчни, уместни и да не превишават необходимото с оглед на целите, за които се събират. Ясно е, че качеството на личните данни може да бъде гарантирано само ако тяхната точност се проверява редовно и надлежно. ЕНОЗД приветства и разпоредбата на член 41г, която изисква досиетата да бъдат изтрити незабавно след снемане на подозренията от дадено лице по законите, наредбите и процедурите на съответната държава-членка.

58.

От друга страна, за да се гарантира, че данните, които не са необходими, не остават в МИБД, ЕНОЗД предлага за МИБД да се прилагат някои от правилата за съхранение на данни, определени за МИС по член 33. По-специално, ЕНОЗД предлага за МИБД да се прилагат разпоредбите на член 33, параграф 1, съгласно които необходимостта от съхраняването на данните следва да се преразглежда веднъж годишно от предоставилия и въвел за съхранение данните партньор. За тази цел ЕНОЗД предлага да се включи следната формулировка след член 41г, параграф 2: „Необходимостта от съхраняване на данните се преразглежда поне веднъж годишно от предоставилата и въвела данните държава-членка“.

ЗАКЛЮЧЕНИЯ

59.

ЕНОЗД приветства факта, че с него са проведени консултации относно предложението, което предвижда създаването или актуализирането на различни системи, съдържащи лични данни: европейски информационен справочник, митническа информационна система (МИС) и митническа идентификационна база данни (МИБД), с цел укрепване на сътрудничеството и обмена на информация между държавите-членки и между тях и Комисията.

60.

По същество , ЕНОЗД прави следните заключения:

Предложението не дава достатъчно аргументи в подкрепа на необходимостта от създаване на Европейски информационен справочник. ЕНОЗД призовава Комисията да извърши съответна оценка на необходимостта от създаването на справочника и да докладва за своите констатации.

Следва да бъде добавен нов параграф в член 18a, параграф 1, който припомня приложението на Регламент (ЕО) № 45/2001 за европейския информационен справочник, в смисъл, че: „Комисията счита европейския информационен справочник за система за обработка на лични данни, която попада под разпоредбите на Регламент (ЕО) № 45/2001“.

Следва да бъде пояснено, че националните разпоредби, прилагащи Директива 95/46/ЕО, се прилагат за използването от страна на държавите-членки на европейския информационен справочник. ЕНОЗД предлага член 18a, параграф 2, буква в) да бъде изменен, както следва: „При воденето на справочника Комисията има право: в) да предоставя информацията в този справочник на имащите отношение органи, посочени в член 1, параграф 1, единствено за постигане на целите на настоящия регламент. По-нататъшното използване на личните данни от тези органи се урежда от националните разпоредби, прилагащи Директива 95/46/ЕО“.

Предложението не казва нищо, що се отнася до мерките за сигурност на европейския информационен справочник. ЕНОЗД смята, че би било уместно към член 18a, параграф 2 да се добави нов параграф, който да предвижда приемането на допълнителни административни правила, сочещи конкретни мерки за гарантиране поверителността на информацията. При приемането на тези правила следва да бъдат проведени консултации с ЕНОЗД.

Предложението не признава изцяло надзорната роля на ЕНОЗД спрямо митническата информационна система (МИС). За решаване на този проблем член 37, параграф 3 следва да бъде изменен и допълнен, за да гласи, че „Европейският надзорен орган по защита на данните ще упражнява надзор по съответствието на МИС с Регламент (ЕО) № 45/2001“.

Дейността по надзора на националните надзорни органи и на ЕНОЗД следва да бъде координирана до известна степен, за да гарантира достатъчно ниво на съгласуваност и цялостна ефективност при надзора на МИС. В тази връзка ЕНОЗД предлага като първа възможност, включването на нов раздел в член 37, постановяващ, че „ЕНОЗД свиква поне веднъж годишно среща с всички национални органи по надзора с цел да се решат свързани с МИС проблеми по надзора. Като надзорни органи се посочват членовете на националните органи по защита на данните и ЕНОЗД“. По-добро решение, обаче, би било да се следва по-развития модел, възприет наскоро за второто поколение Шенгенска информационна система (ШИС II). Във всеки от случаите, съгласно този подход, член 43, параграф 5 следва също да бъде изменен и допълнен, както следва: „Комитетът заедно с групата по надзора, посочена в член …, разглежда всички проблеми по дейността на МИС, които са срещнали посочените в член 37 органи по надзора. Комитетът заседава в своята ad hoc формация поне веднъж годишно“.

Съгласно член 36.2, втори параграф, отнасящ се до достъпа до личните данни, съхранявани в МИС, „достъп се отказва“ в периода, когато тече наблюдение, отчитане на анализа на дейностите или разследване. За да се осигури съответствие с Регламент (ЕО) № 45/2001, ЕНОЗД би предпочел изменение, което да гласи: „достъп може да бъде отказан“.

Що се отнася до процедурата за искане на достъп — дали достъпът трябва да бъде поискан от ЕНОЗД или от националните органи по надзора, ЕНОЗД смята за много тромава предлаганата система ex член 37, параграф 2, съгласно който компетентният орган се определя от това дали данните са въведени в МИС от Комисията или от държава-членка. Тя би противоречала и на други членове на предложението. За да се реши този проблем, изречението „в зависимост от това дали данните са въведени в МИС от държава-членка или от Комисията“ в член 37, параграф 2 следва да бъде заменено с „в зависимост от това дали на правата се позовават пред националните надзорни органи или пред ЕНОЗД“.

ЕНОЗД смята, че би било уместно член 41а да напомни за приложимостта на Регламент (ЕО) № 45/2001 към митническата идентификационна база данни (МИБД) и за надзорните компетенции на ЕНОЗД за наблюдение и гарантиране на съответствието с разпоредбите на регламента.

61.

За да се гарантира, че личните данни, които вече не са необходими, се изчистват от МИБД, ЕНОЗД предлага следната формулировка да бъде включена след член 41г, параграф 2: „Необходимостта от съхраняването на данните се преразглежда поне веднъж годишно от предоставилата и въвела данните държава-членкаfg“.

62.

Що се отнася до процедурата , ЕНОЗД:

препоръчва в преамбюла на предложението да има изрично позоваване на настоящото становище, както следва: „След консултация с Европейския надзорен орган по защита на данните“.

припомня, че доколкото операциите по обработката на европейския информационен справочник, МИС и МИБД носят конкретни рискове за правата и свободите на субектите на данните поради целта на базата данни и естеството на данните, съгласно член 27 на Регламент (ЕО) № 45/2001, ЕНОЗД трябва да извърши предварителна проверка на трите системи.

Съставено в Брюксел на 22 февруари 2007 г.

Peter HUSTINX

Европейски надзорен орган по защита на данните


(1)  OB L 281, 23.11.1995 г., стр. 31.

(2)  OB L 8, 12.1.2001 г., стр. 1.

(3)  OB L 82, 22.3.1997 г., стр. 1.

(4)  Протокол, изготвен в съответствие с член 34 от Договора за Европейския съюз, за изменение на Конвенцията за използване на информационна технология за митнически цели по отношение на създаването на идентификационна база данни за митнически досиета (конвенцията за МИС). Протоколът е приет с Акт на Съвета от 8 май 2003 г. (2003/C 139/01), C 139/1, публикуван на 13.6.2003 г.

(5)  Правните основания за междуправителствената база данни е Конвенцията за МИС — конвенция, изготвена на базата на член K.3 на Договора за Европейския съюз относно използването на информационна технология за митнически цели, (OB C 316, 27.11.1995 г., стр. 34).

(6)  Виж предложение за регламент на Европейския парламент и на Съвета за изменение на Регламент (ЕО) № 1073/1999 относно разследванията, провеждани от Европейската служба за борба с измамите (OLAF), [SEC(2006) 638]/COM/2006/0244 окончателен — COD 2006/0084.

(7)  Становище на Европейския надзорен орган по защита на данните по предложение за регламент на Европейския парламент и на Съвета относно административна взаимопомощ за защита на финансовия интерес на Общността срещу измамите и всякакви други незаконни дейности (COM (2004) 509 окончателен от 20 юли 2004 г.), (OB C 301, 7.12.2004 г., стр. 4.

(8)  Член 18.3., буква в) ограничава данните до не повече от „името, моминското име, собствените имена, псевдонимите, дата и място на раждане, националност, пол и адрес на собствениците, спедиторите, получателите, транзитните агенти, превозвачите и другите посредници или лица ангажирани в международната логистична верига и превоза на стоките“.

(9)  Контролиращите органи на данни са лицата или органите, които определят целите и средствата за обработка на данните, както в обществения, така и в частния сектор.

(10)  Освен когато доставчиците на услуги, които прехвърлят информацията на Комисията, вече са информирали за това физическите лица съгласно националните разпоредби за прилагане на Директива 95/46/ЕО.

(11)  Операциите по обработка на данни, които подлежат на предварителна проверка от ЕНОЗД, включват операциите, изброени в член 27 на Регламент (ЕО) № 45/2001, включително обработката на данни, свързани със здравето и предполагаеми престъпления, престъпления, присъди или мерки за сигурност; б) операции по обработката на данни, предназначени за оценка на аспекти на личността на субекта на данните, включително неговите/нейните способности, ефективност и поведение; в) операции по обработката на данни, позволяващи правене на връзки, които не са предвидени в националното или общностно законодателство, между обработвани за различни цели данни; г) операции по обработката на данни с цел изключване на лица от дадено право, облага или договор.

(12)  Данни, свързани с расов или етнически произход, политически мнения, религиозни или философски убеждения, членство в профсъюзи, данни относно здравето или сексуалните предпочитания.

(13)  Становище от 19 октомври 2005 г. по три предложения относно второ поколение Шенгенска информационна система (ШИС II) (COM (2005)230 окончателен, COM (2005)236 окончателнен и COM (2005)237 окончателен), ОВ C 91, 19.04.2006 г., стр. 38; Становище от 23 март 2005 г. относно предложение за регламент на Европейския парламент и на Съвета относно визовата информационна система (ВИС) и обмена на данни между държавите-членки за визите за кратък престой, ОВ C 181, 23.7.2005 г., стр. 13.

(14)  ОВ L 381, 28.12.2006 г., стр. 4-23.

(15)  Създадена с Акт на Съвета от 8 май 2003 г., съставящ Протокола за изменение на Конвенцията за използването на информационна технология за митнически цели.


Top