СЪОБЩЕНИЯ НА ИНСТИТУЦИИТЕ, ОРГАНИТЕ, СЛУЖБИТЕ И АГЕНЦИИТЕ НА ЕВРОПЕЙСКИЯ СЪЮЗ

ИНФОРМАЦИЯ ОТ ИНСТИТУЦИИТЕ, ОРГАНИТЕ, СЛУЖБИТЕ И АГЕНЦИИТЕ НА ЕВРОПЕЙСКИЯ СЪЮЗ

Европейски надзорен орган за защита на данните

14.2.2018

Официален вестник на Европейския съюз

C 55/4

Резюме на становището на Европейския надзорен орган по защита на данните относно предложението за регламент относно Европейската информационна система за регистрите за съдимост (система ECRIS-TCN)

(Пълният текст на настоящото становище може да се намери на английски, френски и немски език на интернет уебсайта на ЕНОЗД www.edps.europa.eu)

(2018/C 55/05)

Настоящата система ECRIS, създадена с Рамково решение 2009/315/ПВР на Съвета (1), подкрепя обмена на информация относно присъди основно в контекста на съдебното сътрудничество. Освен при наказателно производство, ECRIS може да се използва и за други цели, в съответствие с националното законодателство на запитващата и запитаната държава членка. Въпреки че настоящата система ECRIS може да бъде използвана за граждани на трети държави („TCN“), това не е ефикасно. Ето защо е оправдано да се направят подобрения.

Ефективността на ECRIS за граждани на трети държави беше изтъкната в Европейската програма за сигурност и стана законодателен приоритет за 2017 г. Още през 2016 г. Комисията прие предложение за директива за изменение на действащия закон и за въвеждане на подобрения за граждани на трети държави чрез децентрализирана система посредством използване на индексен филтър с пръстови отпечатъци, съхранявани под формата на хеширани шаблони. Това решение срещна технически проблеми. Предложението за регламент относно ECRIS-TCN, прието на 29 юни 2017 г., създава централна база данни на ЕС, в която информацията за идентичността на граждани на трети държави, включително пръстови отпечатъци и портретни снимки, се съхранява и се използва за търсене на база „има/няма попадение“, за да идентифицира държавата членка, разполагаща с информация за присъди на граждани на трети държави. Освен това предложението за централна система ECRIS-TCN се обосновава отчасти с намерението да бъде в подкрепа за бъдеща оперативна съвместимост на широкомащабните системи на ЕС в областта на свободата, сигурността и правосъдието.

ЕНОЗД проследява досието от началото на преговорите за създаването на ECRIS. ЕНОЗД вече представи две становища и отбеляза колко е важен ефективният обмен на информация както за гражданите на ЕС, така и за гражданите на трети държави. Тази позиция остава непроменена.

Настоящото становище разглежда конкретните въпроси, повдигнати в предложението за регламент. Когато е необходимо, становището се позовава на предложението за директива, тъй като двете предложения са предназначени да се допълват. ЕНОЗД повдига четири основни опасения и други допълнителни препоръки, подробно описани в становището. Накратко, тъй като ECRIS е система, приета от ЕС преди Договора от Лисабон, ЕНОЗД препоръчва тези нови предложения за директива и регламент да приведат системата в съответствие със стандартите, изисквани съгласно член 16 от ДФЕС и Хартата на основните права на Европейския съюз, включително спазването на изискванията за законно ограничаване на основните права.

Необходимостта от централна система на ЕС следва да подлежи на оценка на въздействието, която трябва да отчита и въздействието на концентрацията на управлението на всички широкомащабни бази данни на ЕС в областта на свободата, сигурността и правосъдието в една единствена агенция. Очакването на оперативна съвместимост в този контекст би било преждевременно, тъй като тази концепция трябва първо да бъде поставена на правна основа и следва да се гарантира спазването на принципите за защита на данните от нейна страна.

Целите на обработване на лични данни, различни от тези при наказателни производства, за които се предвиждат ECRIS и ECRIS-TCN, следва да бъдат ясно определени в съответствие с принципа на защита на данните за ограничаване на целите. Това се отнася и за достъпа на органите на Съюза, който следва да бъде оценен и в светлината на правото на равно третиране на граждани на ЕС и граждани на трети държави. Трябва де се докаже, че всеки достъп на органите на ЕС е необходим, пропорционален, съвместим с целта на ECRIS и строго ограничен до съответните задачи в рамките на мандата на тези органи на ЕС.

Обработването на въпросните лични данни, което е много чувствително по своята същност, трябва стриктно да се придържа към принципа на необходимост: „попадение“ следва да бъде задействано, само когато запитаната държава членка има право съгласно националното си законодателство да предоставя информация за присъди за цели, различни от наказателно производство. Обработването на пръстови отпечатъци трябва да бъде с ограничен обхват и трябва да възниква само когато идентичността на конкретен гражданин на трета страна не може да бъде установена с други средства. По отношение на портретните снимки ЕНОЗД препоръчва провеждането, или (ако вече е проведено) предоставянето на основана на доказателствата оценка на необходимостта от събиране на такива данни и използването им за целите на проверката или идентификацията.

Предложението за регламент неправилно квалифицира Европейска агенция за оперативното управление на широкомащабни информационни системи в пространството на свобода, сигурност и правосъдие (eu-LISA) като обработващо лице. ЕНОЗД препоръчва да се определят eu-LISA и централните органи на държавите членки като съвместни контролиращи органи. Освен това той препоръчва да се посочи ясно в правна разпоредба, че eu-LISA носи отговорност за всяко нарушение на настоящото предложение за регламент и на Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (2).

1. ВЪВЕДЕНИЕ И ПРЕДИСТОРИЯ

На 29 юни 2017 г. Европейската комисия публикува предложение за регламент за създаване на централизирана система за идентифициране на държавите членки, разполагащи с информация за присъди на граждани на трети държави и лица без гражданство, за допълване и подкрепа на Европейската информационна система за съдимост (ECRIS-TCN) и за изменение на Регламент (ЕС) № 1077/2011 (наричано по-долу „предложението за регламент“) (3). Предложението се придружава от аналитичен подкрепящ документ (4). Същия ден Европейската комисия прие първия статистически доклад относно обмена чрез Европейската информационна система за съдимост (ECRIS) на информация, получена от регистрите за съдимост, между държавите членки, както е предвидено в член 7 от Решение 2009/316/ПВР (5).

Предложението за регламент има за цел да подобри обмена на информация за граждани на трети държави и граждани на ЕС, които също имат гражданство от трета страна. Основният принцип на съществуващата ECRIS е, че информацията за присъдите по отношение на граждани на ЕС може да бъде получена от държавата членка, чийто гражданин е това лице, в която се съхраняват всички присъди, независимо от това къде са били издадени в ЕС. Що се отнася до граждани на трети държави, всяка държава членка съхранява издадените от нея присъди и вследствие на това трябва да бъде изпратено искане за информация до всички държави членки. Според Комисията отговорът на „бланкетните искания“ води до административна тежест и високи разходи, ако системата ECRIS се използва системно за извличане на информация за граждани на трети държави. Държавите членки не са склонни да използват системата: според статистическия доклад 10 % от исканията се отнасят до граждани на трети държави (6), поради което криминалната история на гражданите на трети държави не е налице, както е предвидено (7). Подобряването на ефективността на ECRIS по отношение на граждани на трети държави се ускорява от Европейската програма за сигурност (8) и е един от законодателните приоритети за 2017 година (9).

Предложението за регламент допълва предложението на Комисията за директива от 19 януари 2016 г. относно обмена на информация за граждани на трети държави и относно Европейската информационна система за съдимост (ECRIS), което изменя съществуващото Рамково решение на Съвета 2009/315/ПВР и заменя Решение 2009/316/ПВР на Съвета (наричано по-долу „предложението за директива“).

И двете предложения имат като общо създаването на система за идентифициране на държавите членки, разполагащи с информация за присъди на граждани на трети държави и граждани на ЕС, които също имат гражданство от трета страна. В предложението за директива се предвижда децентрализирана система, което означава, че няма да има единна база данни на ЕС, а всяка държава членка ще поддържа файл с „индексен филтър“. Счита се, че това досие е захранвано с информация за граждани на трети държави в кодиран формуляр от регистрите за съдимост на държавите членки и се разпространява във всички държави членки. След това държавите членки ще сравняват собствените си данни с тези от файла и ще намират на база „има/няма попадение“ кои държави членки притежават информация за присъда на гражданин на трета страна. В предложението за директива вече беше предвидена обработката на пръстови отпечатъци, но използването на пръстови отпечатъци се считаше за един от възможните варианти в оценката на въздействието от 2016 г., за разлика от предложението за регламент, което прави тяхното използване задължително. Комисията обяснява, че терористичните атаки засилиха подкрепата за системното използване на пръстови отпечатъци с цел идентификация (10). След като предложението за директива беше прието, в проучване за осъществимост се установи, че понастоящем не съществува добре развита технология за еднозначно съвпадение на пръстови отпечатъци с помощта на хеширани шаблони.

В отговор на възникналите технически проблеми предложението за регламент предвижда вместо това централизирана система, която включва буквено-цифрови данни, пръстови отпечатъци и портретни снимки на граждани на трети държави. Буквено-цифровите данни и пръстовите отпечатъци могат да се използват за идентифициране на граждани на трети държави, а портретните снимки — първоначално за целите на проверката, а когато технологията стане зряла, и за идентификация. „Централният орган“ на осъждащата държава членка въвежда данните в местната система ECRIS TCN, която предава тези данни на централна система на ЕС. На базата на „има/няма попадение“ запитващата държава членка може да идентифицира държавата членка(и), притежаваща(и) информация за присъди на граждани на трети държави, и след това да поиска тази информация чрез използване от съществуващата ECRIS, подобрена с предложението за директива. Когато пръстовите отпечатъци се използват за идентификация, могат да бъдат предоставени и съответните буквено-цифрови данни. Базата данни на ЕС е поверена на eu-LISA и за тази цел предложението за регламент изменя Регламент (ЕС) № 1077/2011 за eu-LISA.

Освен това решението за централизирана система се поставя в контекста на предвидената оперативна съвместимост на всички информационни системи за управление на сигурността, границите и миграцията. В действителност, като една от причините за избора на централизирана система, се набляга на оперативната съвместимост, а не на възникналите технически проблеми (11). ECRIS също така е включена в пътната карта на Съвета за засилване на обмена на информация и за управление и постигане на оперативната съвместимост (12). Оперативната съвместимост с ECRIS е предвидена и в предложението за система на ЕС за информация за пътуванията и разрешаването им (ETIAS) (13).

След като бъдат приведени в съответствие едно с друго, се счита, че двете предложения се допълват. Предложението за регламент следва да обхваща въпросите, свързани с централизираната система, а предложението за директива следва да регламентира въпроси от общ характер, свързани с функционирането на ECRIS, както за граждани на трети държави, така и за граждани на ЕС (14). Комисията по граждански свободи, правосъдие и вътрешни работи (LIBE) на Европейския парламент прие доклада за предложението за директива през 2016 г. (15), докато по отношение на предложението за регламент проектодокладът беше приет на 30 октомври 2017 г. (16). Съветът първоначално прекрати преговорите по предложението за директива вследствие на искането, отправено от държавите членки към Комисията в Съвета на 9 юни 2016 г., за представяне на предложение за създаване на централизирана система (17) и понастоящем разглежда двете предложения паралелно (18).

ECRIS-TCN е важна инициатива, насочена към информационните системи в областта на свободата, сигурността и правосъдието. ЕНОЗД проследява досието от началото на преговорите за създаването на ECRIS. Първото становище относно ECRIS беше публикувано през 2006 г. (19), както беше определено в Рамково решение 2009/315/ПВР на Съвета, а през 2016 г. ЕНОЗД в своето становище 3/2016 разгледа предложението за директива (20).

В двете становища ЕНОЗД призна значението на ефективния обмен на информация, получена от регистрите за съдимост на осъдените лица, както и необходимостта от система, която да може ефективно да работи за гражданите на трети държави, особено в контекста на приемането на Европейската програма за сигурност (21). Тази позиция остава непроменена.

10.

Настоящото становище се основава на Становище 3/2016 и разглежда конкретните въпроси, повдигнати в предложението за регламент. Където е необходимо, в становището се споменава и предложението за директива. В раздел 2 ЕНОЗД представя своите основни опасения и дава препоръки за тяхното преодоляване. Допълнителните опасения и препоръки за по-нататъшни подобрения са описани в раздел 3.

3. ЗАКЛЮЧЕНИЕ

66.

След като анализира внимателно предложението относно ECRIS-TCN, ЕНОЗД отправя следните препоръки:

67.

ЕНОЗД препоръчва при създаването на нова централна база данни на ЕС и в изменение на съществуващото законодателство за ECRIS да се вземат предвид изискванията на Хартата на основните права на Европейския съюз за законово ограничаване на основните права и да се осигури достатъчно ниво на защита на личните данни в контекста на предложението за регламент.

68.

По-специално, ЕНОЗД припомня необходимостта от предоставяне на обективни доказателства за необходимостта от създаване на централизирана система на равнище ЕС. В този контекст оперативната съвместимост първо трябва да бъде оценявана по отношение на нейното въздействие върху основните права и нейните ясно определени цели заедно с целите на ECRIS. Предложението за регламент следва да бъде придружено от подходяща оценка на въздействието на основните права на неприкосновеност на личния живот и защита на данните по отношение на този аспект, както и за концентрацията на всички системи в една единствена агенция.

69.

Създаването на нова централна база данни на ЕС и изменението на съществуващото законодателство за ECRIS следва да бъде в съответствие с изискванията за законово ограничаване на основните права в съответствие с установената съдебна практика. Поради това, целите на обработката на данни, различни от тези при наказателни производства, за които се предвиждат ECRIS и ECRIS-TCN, следва да бъдат оценени от гледна точка на тяхната необходимост и пропорционалност и ясно определени в съответствие с принципа на защита на данните за ограничаване на целите. Освен това достъпът до ECRIS-TCN от органи на Съюза, например Европол, следва да съответства на целта на настоящата ECRIS и на правото на равно третиране на граждани на ЕС и граждани на трети държави и да е ограничен до задачите в рамките на техния мандат, за които достъпът е абсолютно необходим. Всяко намерение за разширяване на настоящите цели трябва да се прилага чрез правна разпоредба (не е достатъчно съображение).

70.

Тъй като ECRIS-TCN предполага обработката на лични данни, които са много чувствителни по своята същност, ЕНОЗД препоръчва да се включат подходящи условия за обработване на лични данни в съответствие с принципа на необходимост: „попадение“ следва да бъде задействано само когато запитаният член може, съгласно националното си законодателство, да предоставя информация за присъди за цели, различни от наказателно производство. Обработката на пръстови отпечатъци трябва да бъде с ограничен обхват и трябва да възниква само когато идентичността на конкретен гражданин на трета държава не може да бъде установена с други средства. По отношение на портретните снимки ЕНОЗД препоръчва провеждането или предоставянето на основана на доказателствата оценка на необходимостта от събиране на такива данни и използването им за целите на проверката и/или идентификацията.

71.

Освен това eu-LISA и централните органи на държавите членки трябва да бъдат определени като съвместни контролиращи органи, тъй като те споделят отговорността за определяне на целите и средствата за планираните дейности по обработка. Определянето на eu-LISA като обработващо лице не би отразило правилно статуквото и не би било от полза за осигуряване на високо ниво на защита на данните или на законните интереси на държавите членки. Освен това в предложението за ECRIS-TCN следва ясно да се посочи отговорността на eu-LISA за всяко нарушение на настоящото предложение за регламент или на Регламент (ЕО) № 45/2001.

72.

В допълнение към основните опасения, посочени по-горе, препоръките на ЕНОЗД в настоящото становище се отнасят до подобряване на предложените разпоредби във връзка със:

—	позовавания на приложимостта на Директива (ЕС) 2016/680 и Регламент (ЕО) № 45/2001,

—	права на субектите на данни,

—	статистика, централно хранилище и мониторинг,

—	сигурност на данните,

—	ролята на ЕНОЗД,

—	национални надзорни органи.

73.

ЕНОЗД остава на разположение за предоставяне на допълнителни съвети относно предложението за регламент и за директива, както и във връзка с всеки делегиран акт или акт за изпълнение, който би могъл да бъде приет съгласно предложените инструменти и отнасящ се до обработването на лични данни.

Съставено в Брюксел на 12 декември 2017 година.

Giovanni BUTTARELLI

Европейски надзорен орган по защита на данните

(1) OВ L 93, 7.4.2009 г., стp. 23.

(2) OВ L 8, 12.1.2001 г., стp. 1.

(3) COM(2017) 344 final.

(4) SWD(2017) 248 final.

(5) COM(2017) 341 final. Този доклад е придружен от работен документ на службите на Комисията, SWD (2017) 242 final.

(6) COM(2017) 341 final, стр. 15.

(7) Обяснителен меморандум към предложението, COM(2017) 344 final, стр. 2.

(8) COM(2015) 185 final.

(9) Съвместна декларация относно законодателните приоритети на ЕС за 2017 г., https://ec.europa.eu/commission/sites/beta-political/files/joint-declaration-legislative-priorities-2017-jan2017_en.pdf

(10) Обяснителен меморандум към предложението, COM(2017) 344 finl, стр. 3; Съпътстващ аналитичен подкрепящ документ, SWD (2017) 248 final, стр. 3

(11) Обяснителен меморандум към предложението, COM(2017) 344 final, стр. 3.

(12) Пътна карта за подобряване на обмена на информация и за управление на информацията, включително решения за оперативна съвместимост в областта на правосъдието и вътрешните работи, 9368/1/16, http://data.consilium.europa.eu/doc/document/ST-9368-2016-REV-1/en/pdf; Първи доклад на Съвета от 8 ноември 2016 г., http://statewatch.org/news/2016/dec/eu-council-info-exhang-interop-sop-13554-REV-1-16.pdf; Първи доклад на Съвета от 11 май 2017 г., http://www.statewatch.org/news/2017/may/eu-council-information-management-strategy-second-implementation-report-8433-17.pdf

(13) COM(2016) 731 final.

(14) Обяснителен меморандум към предложението, COM(2017) 344 final, стр. 4.

(15) A8-0219/2016.

(16) PE 612.310v01-00.

(17) Резултат от заседанието на Съвета (ПВР), 9979/16, http://data.consilium.europa.eu/doc/document/ST-9979-2016-INIT/en/pdf

(18) Вижте дневния ред на Корепер от 29 ноември 2017 г., http://data.consilium.europa.eu/doc/document/CM-5236-2017-INIT/en/pdf

(19) Становище на ЕНОЗД относно предложението за рамково решение на Съвета относно организацията и съдържанието на обмена на информация, получена от регистрите за съдимост, между държавите членки (COM(2005) 690 окончателен) (ОВ C 313/26, 20.12.2006 г., стр. 26) https://edps.europa.eu/sites/edp/files/publication/06-05-29_criminal_records_en.pdf

(20) Становище 3/2016 на ЕНОЗД относно ECRIS, https://edps.europa.eu/sites/edp/files/publication/16-04-13_ecris_en.pdf

(21) Становище 3/2016 на ЕНОЗД относно ECRIS, стр. 12, с по-нататъшно позоваване 38 на становището на ЕНОЗД от 2006 г.

		ISSN 1977-0855
Официален вестник на Европейския съюз		C 55

Издание на български език	Информация и известия	Година 61 14 февруари 2018 г.

Известие №	Съдържание	Страница
	II Съобщения
	СЪОБЩЕНИЯ НА ИНСТИТУЦИИТЕ, ОРГАНИТЕ, СЛУЖБИТЕ И АГЕНЦИИТЕ НА ЕВРОПЕЙСКИЯ СЪЮЗ
	Европейска комисия
2018/C 55/01	Непротивопоставяне на концентрация, за която е постъпило уведомление (Дело M.8776 — Macquarie/Allianz/Lakeside Network Investments) ( 1 )	1
2018/C 55/02	Непротивопоставяне на концентрация, за която е постъпило уведомление (Дело M.8800 — Goldman Sachs/Riverstone Investment/Lucid Energy Group II) ( 1 )	1

	IV Информация
	ИНФОРМАЦИЯ ОТ ИНСТИТУЦИИТЕ, ОРГАНИТЕ, СЛУЖБИТЕ И АГЕНЦИИТЕ НА ЕВРОПЕЙСКИЯ СЪЮЗ
	Европейска комисия
2018/C 55/03	Обменен курс на еврото	2
2018/C 55/04	Обяснителни бележки към Комбинираната номенклатура на Европейския съюз	3
	Европейски надзорен орган за защита на данните
2018/C 55/05	Резюме на становището на Европейския надзорен орган по защита на данните относно предложението за регламент относно Европейската информационна система за регистрите за съдимост (система ECRIS-TCN)	4

	Валута	Обменен курс
USD	щатски долар	1,2333
JPY	японска йена	132,82
DKK	датска крона	7,4488
GBP	лира стерлинг	0,88935
SEK	шведска крона	9,9388
CHF	швейцарски франк	1,1522
ISK	исландска крона	125,40
NOK	норвежка крона	9,7418
BGN	български лев	1,9558
CZK	чешка крона	25,386
HUF	унгарски форинт	312,16
PLN	полска злота	4,1781
RON	румънска лея	4,6586
TRY	турска лира	4,6865
AUD	австралийски долар	1,5715
CAD	канадски долар	1,5544
HKD	хонконгски долар	9,6467
NZD	новозеландски долар	1,6941
SGD	сингапурски долар	1,6314
KRW	южнокорейски вон	1 338,24
ZAR	южноафрикански ранд	14,7780
CNY	китайски юан рен-мин-би	7,8244
HRK	хърватска куна	7,4357
IDR	индонезийска рупия	16 822,21
MYR	малайзийски рингит	4,8678
PHP	филипинско песо	64,285
RUB	руска рубла	71,2558
THB	тайландски бат	38,861
BRL	бразилски реал	4,0642
MXN	мексиканско песо	22,9778
INR	индийска рупия	79,2730


	(1) Текст от значение за ЕИП.