ЕВРОПЕЙСКА КОМИСИЯ
Брюксел, 1.12.2021
COM(2021) 767 final
2021/0399(COD)
Предложение за
ДИРЕКТИВА НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
за изменение на Решение 2005/671/ПВР на Съвета с цел привеждането му в съответствие с правилата на ЕС относно защитата на личните данни
ОБЯСНИТЕЛЕН МЕМОРАНДУМ
1.Основания и цели на предложението
1.1.Основания за предложението
Директива (ЕС) 2016/680 1 (Директива относно правоприлагането в областта на защитата на данните — ДПЗД) влезе в сила на 6 май 2016 г. и държавите членки трябваше да я транспонират в националното си право до 6 май 2018 г. С нея се отмени и замени Рамково решение 2008/977/ПВР на Съвета 2 . Обхватът на директивата е много широк, тъй като това е първият инструмент, който възприема задълбочен подход към обработването на данни в областта на правоприлагането. Директивата се прилага както за националното, така и за трансграничното обработване на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.
В член 62, параграф 6 от ДПЗД от Комисията се изисква да направи преглед до 6 май 2019 г. на други правни актове на ЕС, които регламентират обработването на лични данни от компетентните органи за целите на правоприлагането. Целта на този преглед е да се оцени необходимостта от привеждането на тези актове в съответствие с ДПЗД и да се представят предложения за тяхното изменение, за да се гарантира съгласуваност със защитата на данните, попадаща в обхвата на ДПЗД.
Комисията изложи констатациите от своя преглед в своето съобщение „Следващи стъпки за привеждане на достиженията на правото на ЕС от бившия трети стълб в съответствие с правилата за защита на данните“ от 24 юни 2020 г. 3 , в което се определят правните актове, които следва да бъдат приведени в съответствие с ДПЗД. Сред тези актове е и Решение 2005/671/ПВР на Съвета, поради което Комисията посочи, че ще предложи целенасочени изменения.
Съгласно член 6 от ДПЗД държавите членки трябва да гарантират, че компетентните органи правят ясно разграничение между личните данни на различните категории субекти на данни, включително:
·лица, за които има сериозни основания да се счита, че са извършили или ще извършат престъпление;
·лица, осъдени за престъпление;
·жертви на престъпление или други лица, свързани с престъпление.
Съгласно член 8, параграф 1 от ДПЗД държавите членки трябва да гарантират, че обработването е законосъобразно. Това означава, че компетентен орган може да обработва лични данни само доколкото това е необходимо за изпълнението на задача, определена в ДПЗД. Съгласно член 8, параграф 2 от ДПЗД в националното право на държава членка, регламентиращо обработването на данни в обхвата на ДПЗД, трябва да се посочват най-малко общите цели на обработването, личните данни, които се обработват, и конкретните цели на обработването.
За ефективната борба с тероризма от решаващо значение е между компетентните органи и агенциите на Съюза да се осъществява ефикасен обмен на информация, за която компетентните органи считат, че има отношение към предотвратяването, разкриването, разследването и наказателното преследване на терористични престъпления. Този обмен на информация трябва да се извършва при пълно зачитане на правото на защита на данните и в съответствие с условията, определени с ДПЗД.
В Решение 2005/671/ПВР на Съвета от 20 септември 2005 г. относно обмена на информация и сътрудничеството по отношение на терористични престъпления 4 се посочва, че за целите на борбата с тероризма е от съществено значение да се разполага с възможно най-пълна и актуална информация. Постоянството и сложността на терористичната заплаха създават необходимост от още по-активно споделяне на информация.
В този контекст в Решение 2005/671/ПВР на Съвета е предвидено държавите членки да събират цялата съответна информация по отношение на и в резултат от наказателни разследвания, свързани с терористични престъпления, които засягат или биха могли да засегнат две или повече държави членки, и да я изпращат на Европол 5 . Държавите членки трябва също да събират цялата относима информация, касаеща наказателните преследвания и присъди, свързани с терористични престъпления, която засяга или би могла да засегне две или повече държави членки, и да я изпращат на Евроюст. Всяка държава членка трябва също така да предоставя цялата относима информация, събрана от нейните компетентни органи за наказателни производства във връзка с терористични престъпления. Тази информация трябва да се предоставя бързо на компетентните органи на друга държава членка, когато може да се използва за предотвратяване, разкриване, разследване или наказателно преследване на терористични престъпления.
От 2005 г. насам значението на споделянето на информация между държавите членки и с Европол и Евроюст става все по-очевидно. С Директива (ЕС) 2017/541 относно борбата с тероризма 6 беше изменено Решение 2005/671/ПВР на Съвета, за да се гарантира, че информацията се споделя между държавите членки ефективно и своевременно, като се има предвид, че терористичните престъпления представляват сериозна заплаха.
В съображение 7 от Решение 2005/671/ПВР на Съвета се посочва, че решението е в съответствие с основните права и принципите, признати в Хартата на основните права на Европейския съюз. В член 8 от Хартата на основните права на Европейския съюз защитата на личните данни е залегнала като основно право. В член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) също е установен принципът, че всеки има право на защита на своите лични данни. Освен това с член 16, параграф 2 от ДФЕС беше въведено специфично правно основание за приемането на правила относно защитата на личните данни.
Правилата на Съюза за защита на данните претърпяха развитие след приемането на Решение 2005/671/ПВР на Съвета. По-специално, както беше посочено по-горе, въз основа на член 16, параграф 2 от ДФЕС Европейският парламент и Съветът приеха Директивата относно правоприлагането в областта на защитата на данните (ДПЗД), която влезе в сила на 6 май 2016 г. ДПЗД е всеобхватен хоризонтален инструмент за защита на данните. Важно е да се отбележи, че той се прилага за всички операции по обработване, извършвани от компетентните органи за целите на правоприлагането (вътрешно и трансгранично обработване).
1.2.Цел на предложението
Предложението има за цел да приведе Решение 2005/671/ПВР на Съвета в съответствие с принципите и правилата, установени в ДПЗД, за да се гарантира последователен подход към защитата на лицата по отношение на обработването на личните им данни. Съгласно съобщението на Комисията от 24 юни 2020 г. привеждането в съответствие на Решение 2005/671/ПВР следва да бъде насочено към следното:
·Да се уточни, че обработването на лични данни съгласно Решение 2005/671/ПВР на Съвета може да се извършва само за предотвратяване, разследване, разкриване и наказателно преследване на терористични престъпления в съответствие с принципа на ограничаване в рамките на целта;
·Категориите лични данни, които могат да бъдат обменяни, да се определят по-точно от правото на Съюза или на държавите членки в съответствие с изискванията на член 8, параграф 2 от ДПЗД, като се вземат предвид оперативните нужди на съответните органи.
1.3.Съгласуваност с действащите разпоредби в тази област на политиката
Настоящото предложение за директива взема предвид измененията на Решение 2005/671/ПВР, произтичащи от предложението за регламент относно обмена на цифрова информация в случаите на тероризъм, което Комисията представи заедно с настоящото предложение. Това предложение за регламент е част от пакета за цифровизация на правосъдието, изготвен от Комисията след съобщението относно цифровизацията на правосъдието 7 . След като регламентът бъде приет, разпоредбите относно обмена на информация по трансгранични случаи на тероризъм, свързани с Евроюст, ще бъдат премахнати от Решение 2005/671/ПВР и включени в Регламента за Евроюст (Регламент (ЕС) 2018/1727 8 ). Като следствие от това изменение ще бъдат премахнати позоваванията на Евроюст в Решение 2005/671/ПВР на Съвета. По време на целия законодателен процес ще бъде необходима тясна координация, за да се гарантира съгласуваност на измененията, съдържащи се в посоченото предложение за регламент и в настоящото предложение за директива.
2.ПРАВНО ОСНОВАНИЕ, СУБСИДИАРНОСТ И ПРОПОРЦИОНАЛНОСТ
2.1.Правно основание
Привеждането на Решение 2005/671/ПВР на Съвета в съответствие с Директивата относно правоприлагането в областта на защитата на данните (ДПЗД) се основава на член 16, параграф 2 от ДФЕС. Член 16, параграф 2 от ДФЕС позволява приемането на правила относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи в държавите членки при извършването на дейности по предотвратяване, разследване, разкриване или наказателно преследване на престъпления или изпълнение на наказания, които попадат в обхвата на правото на ЕС. Тази разпоредба дава възможност също така за приемане на правила относно свободното движение на лични данни, включително за обмен на лични данни от компетентните органи в рамките на ЕС.
2.2.Субсидиарност (при неизключителна компетентност)
Само ЕС може да приведе актовете на ЕС в съответствие с правилата, установени в ДПЗД. Поради това само ЕС може да приеме законодателен акт за изменение на Решение 2005/671/ПВР на Съвета.
2.3.Пропорционалност
Настоящото предложение има за цел да приведе съществуващ правен акт на ЕС в съответствие с последващ правен акт на ЕС, както е предвидено в него, без да се променя неговият обхват. В съответствие с принципа на пропорционалност, за да се постигнат основните цели за осигуряване на високо равнище на защита на физическите лица по отношение на обработването на лични данни и свободното движение на лични данни в целия ЕС, е необходимо да се определят правила относно обработването на лични данни от компетентните органи на държавите членки за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления. Това включва предпазване от заплахи за обществената сигурност и предотвратяване на такива заплахи. С предложението не се надхвърля необходимото за постигането на поставените цели в съответствие с член 5, параграф 4 от ДЕС.
2.4.Избор на инструмент
Предложението има за цел да измени решение на Съвета, което е прието преди влизането в сила на Договора от Лисабон през 2009 г. Правното основание за Решение 2005/671/ПВР на Съвета — член 34, параграф 2, буква в) от ДЕС, приложим през 2005 г. — вече не съществува. Съответните разпоредби на Решение 2005/671/ПВР определяха задължения за държавите членки подобно на директива, вместо самостоятелни правила, които биха били пряко приложими. Следователно най-подходящият инструмент за изменение на това решение на Съвета съгласно член 16, параграф 2 от ДФЕС е чрез директива на Европейския парламент и на Съвета.
3.Обяснение на конкретните разпоредби на предложението
С настоящото предложение се изменя Решение 2005/671/ПВР на Съвета по следните точки:
За да се определят целите на обработването на лични данни, с член 1, параграф 2, буква а) от предложението се въвежда нова алинея в член 2, параграф 3 от Решението на Съвета, в която се посочва, че личните данни се обработват с цел предотвратяване, разследване, разкриване или наказателно преследване на терористични престъпления.
За да се определят категориите данни, които следва да се обработват, с букви б) и в) от член 1, параграф 2 от предложението се добавят нови алинеи към член 2 от решението на Съвета, в които се уточнява, че категориите лични данни, които могат да се обменят с Европол, трябва да бъдат категориите, посочени в Регламента за Европол, а категориите лични данни, които могат да се обменят между държавите членки за целите на предотвратяването, разследването, разкриването или наказателното преследване на терористични престъпления, са категориите, посочени в съответното национално законодателство.
Освен това, за да се актуализира решението на Съвета с оглед на последващото развитие на законодателството и по-специално за да се гарантира, че горепосочената разпоредба за изменение се отнася до правилния правен инструмент, с предложението се заличава буква б) от член 1 от решението на Съвета. Тази буква б) се позовава на Конвенцията за Европол. В съответствие с измененията съответните разпоредби на решението на Съвета се позовават вместо това на Регламента за Европол.
2021/0399 (COD)
Предложение за
ДИРЕКТИВА НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
за изменение на Решение 2005/671/ПВР на Съвета с цел привеждането му в съответствие с правилата на ЕС относно защитата на личните данни
ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,
като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 16, параграф 2 от него,
като взеха предвид предложението на Европейската комисия,
след предаване на проекта на законодателния акт на националните парламенти,
в съответствие с обикновената законодателна процедура,
като имат предвид, че:
(1)В Директива (ЕС) 2016/680 на Европейския парламент и на Съвета 9 са предвидени хармонизирани правила за защитата и свободното движение на личните данни, обработвани за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или на изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. Директивата изисква от Комисията да направи преглед на други относими актове от правото на Съюза, за да прецени необходимостта от привеждането им в съответствие с посочената директива и при необходимост да направи предложения за изменение на тези актове, за да се гарантира последователен подход към защитата на личните данни, попадащи в обхвата на посочената директива.
(2)С Решение 2005/671/ПВР на Съвета 10 се установяват специфични правила относно обмена на информация и сътрудничеството по отношение на терористични престъпления. За да се гарантира последователен подход към защитата на личните данни в Съюза, посоченото решение следва да бъде изменено, за да се приведе в съответствие с Директива (ЕС) 2016/680. По-специално в посоченото решение следва да се уточни целта на обработването на лични данни по начин, който е в съответствие с Директива (ЕС) 2016/680, и да се посочат категориите лични данни, които могат да бъдат обменяни, в съответствие с изискванията на член 8, параграф 2 от Директива (ЕС) 2016/680, като се отчитат надлежно оперативните нужди на съответните органи.
(3)От съображения за яснота позоваванията в Решение 2005/671/ПВР на правните инструменти, уреждащи дейността на Агенцията на Европейския съюз за сътрудничество в областта на правоприлагането (Европол), следва да бъдат актуализирани.
(4)В съответствие с член 6а от Протокол № 21 относно позицията на Обединеното кралство и Ирландия по отношение на пространството на свобода, сигурност и правосъдие, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Ирландия е обвързана от Решение 2005/671/ПВР и поради това участва в приемането на настоящата директива.
(5)В съответствие с членове 1 и 2 от Протокол № 22 относно позицията на Дания, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Дания не участва в приемането на настоящата директива и не е обвързана от нея, нито от нейното прилагане.
(6)В съответствие с член 42 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета 11 беше проведена консултация с Европейския надзорен орган по защита на данните, който даде становище на XX/XX 20XX г.,
ПРИЕХА НАСТОЯЩАТА ДИРЕКТИВА:
Член 1
Решение 2005/671/ПВР се изменя, както следва:
(1)В член 1 се заличава буква б);
(2)Член 2 се изменя, както следва:
а)в параграф 3 се добавя следната алинея:
„Всяка държава членка гарантира, че личните данни се обработват съгласно първа алинея само за целите на предотвратяването, разследването, разкриването или наказателното преследване на терористични престъпления.“
б)в параграф 4 се добавя следната алинея:
„Категориите лични данни, които се предават на Европол за целите, посочени в параграф 3, остават ограничени до посочените в раздел Б, точка 2 от приложение II към Регламент (ЕС) 2016/794.“;
в)в параграф 6 се добавя следната алинея:
„Категориите лични данни, които могат да бъдат обменяни между държавите членки за целите, посочени в първа алинея, остават ограничени до посочените в раздел Б, точка 2 от приложение II към Регламент (ЕС) 2016/794.“
Член 2
1.Държавите членки въвеждат в сила законовите, подзаконовите и административните разпоредби, необходими, за да се съобразят с настоящата директива, най-късно до [една година след приемането ѝ]. Те незабавно съобщават на Комисията текста на тези разпоредби.
Когато държавите членки приемат тези разпоредби, в тях се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите членки.
2.Държавите членки съобщават на Комисията текста на основните разпоредби от националното законодателство, които те приемат в областта, уредена с настоящата директива.
Член 3
Настоящата директива влиза в сила на двадесетия ден след деня на публикуването ѝ в Официален вестник на Европейския съюз.
Член 4
Адресати на настоящата директива са държавите членки в съответствие с Договорите.
Съставено в Брюксел на […] година.
За Европейския парламент За Съвета
Председател Председател