19.3.2010   

CS

Úřední věstník Evropské unie

C 70/13

1.

Dne 24. června 2009 Komise přijala legislativní balíček, kterým se zřizuje agentura pro provozní řízení rozsáhlých informačních systémů v rámci prostoru svobody, bezpečnosti a práva. Tento balíček sestává z návrhu nařízení Evropského parlamentu a Rady o zřízení uvedené agentury a z návrhu rozhodnutí Rady, kterým se této agentuře svěřují úkoly týkající se provozního řízení SIS II a VIS za použití hlavy VI SEU (3). Oba návrhy jsou podrobněji vysvětleny ve sdělení přijatém k témuž datu (4). Dne 11. srpna 2009 byly návrhy i sdělení spolu s posouzením dopadu a se shrnutím tohoto posouzení zaslány ke konzultaci EIOÚ (5).

2.

Právním základem návrhu nařízení je hlava IV Smlouvy o ES. Jelikož používání SIS II a VIS pro účely policejní a justiční spolupráce v trestních věcech v současné době vychází z hlavy VI SEU, je návrh nařízení doplněn návrhem rozhodnutí Rady založeným na hlavě VI SEU.

3.

V jednotlivých právních nástrojích zřizujících SIS II, VIS a Eurodac je stanoveno, že za provozní řízení těchto tří systémů je odpovědná Komise (6). V případě SIS II a VIS se toto ustanovení vztahuje pouze na přechodné období, po jehož uplynutí má být za provozní řízení odpovědný řídící orgán. Ve společném prohlášení ze dne 7. června 2007 Evropský parlament a Rada vyzvaly Komisi, aby po posouzení dopadů zahrnujícím analýzu alternativ předložila potřebné legislativní návrhy, které agentuře svěří dlouhodobé provozní řízení SIS II a VIS (7). V návaznosti na tuto výzvu byly předloženy stávající návrhy.

4.

Agentura zřízená navrhovaným nařízením bude skutečně odpovědná za provozní řízení SIS II a VIS, ale i za Eurodac a případně za další rozsáhlé informační systémy. Odkazu na „další rozsáhlé informační systémy“ budou věnovány odstavce 28–31 tohoto stanoviska. Důvody, proč svěřit řízení tří rozsáhlých informačních systémů a případně i dalších systémů jediné agentuře, jsou podle preambule návrhu nařízení dosažení synergií, využití úspor z rozsahu, vytvoření kritického objemu a zajištění co nejvyšší míry využití kapitálu a lidských zdrojů (8).

5.

Návrhem nařízení se zřizuje regulační agentura, jež je právně, administrativně a finančně samostatná a jež má právní subjektivitu. Agentura bude vykonávat úkoly svěřené řídícímu orgánu (nebo Komisi), popsané v právních nástrojích, jimiž se zřizuje SIS II, VIS a Eurodac. Agentura dále sleduje oblast výzkumu a na zvláštní žádost Komise zavádí pilotní systémy pro vývoj nebo provozní řízení rozsáhlých informačních systémů za použití hlavy IV Smlouvy o ES a případně i v rámci širšího prostoru svobody, bezpečnosti a práva (viz odstavce 28–31 níže).

6.

Administrativní a řídicí struktura agentury bude zahrnovat správní radu, v níž budou zasedat za každý členský stát jeden zástupce a za Komisi zástupci dva, výkonného ředitele jmenovaného správní radou a poradní skupiny, poskytující správní radě odborné znalosti související s příslušnými informačními systémy. V současné době návrh počítá se třemi poradními skupinami, a to pro SIS II, VIS a Eurodac.

7.

Návrhem rozhodnutí Rady se agentuře svěřují úkoly, kterými je pověřen řídící orgán podle rozhodnutí Rady 2007/533/SVV o SIS II a podle rozhodnutí Rady 2008/633/SVV o VIS (9). Návrh rozhodnutí dále uděluje Europolu status pozorovatele na zasedáních správní rady agentury, která mají na pořadu jednání otázky týkající se SIS II nebo VIS. Europol může rovněž jmenovat zástupce do poradních skupin pro SIS II a VIS (10). Eurojust má rovněž status pozorovatele a může jmenovat zástupce, avšak pouze pokud jde o SIS II.

8.

EIOÚ vítá, že je v této věci konzultován, a doporučuje, aby byl v bodech odůvodnění na tuto konzultaci uveden odkaz, jak tomu obvykle bývá v legislativních textech, ohledně nichž byl EIOÚ v souladu s nařízením (ES) č. 45/2001 konzultován.

9.

Před přijetím návrhu byl EIOÚ konzultován neformálně. EIOÚ tuto neformální konzultaci ocenil a je potěšen, že většina jeho podnětů byla v konečném návrhu zohledněna.

10.

EIOÚ přirozeně pečlivě sleduje vývoj týkající se zřizování agentury, která má být odpovědná za řádný provoz a bezpečnost databází jako SIS II, VIS a Eurodac, obsahujících velká množství osobních údajů. Jak bude v tomto stanovisku dále vysvětleno, EIOÚ není proti vytvoření takové agentury, pokud budou v zakládajícím právním nástroji (či nástrojích) dostatečně ošetřena možná rizika, jež by mohla mít významný dopad na soukromí osob.

11.

Dříve než EIOÚ toto hledisko podrobněji vysvětlí v části III a v části IV, bude se nejprve v části II věnovat analýze toho, jaký má na stávající návrhy dopad Lisabonská smlouva, jež vstoupila v platnost dne 1. prosince 2009. V části V se EIOÚ vyjádří k několika konkrétním ustanovením obou návrhů.

12.

Právní struktura Evropské unie se dnem 1. prosince 2009, kdy vstoupila Lisabonská smlouva v platnost, zásadním způsobem změnila. Zejména pokud jde o prostor svobody, bezpečnosti a práva, pravomoci EU se rozšířily a legislativní postupy tomu byly přizpůsobeny. EIOÚ provedl analýzu dopadu změn smluv na stávající návrhy.

13.

Právními základy uvedenými v návrhu nařízení jsou čl. 62 odst. 2 písm. a), čl. 62 odst. 2 písm. b) bod ii), čl. 63 odst. 1 písm. a), čl. 63 odst. 3 písm. b) a článek 66 Smlouvy o ES. Znění těchto článků lze do značné míry nalézt v čl. 77 odst. 1 písm. b), čl. 77 odst. 2 písm. b), čl. 77 odst. 2 písm. a), čl. 78 odst. 2 písm. e), čl. 79 odst. 2 písm. c) a v článku 74 SFEU. Legislativní postup, jenž by měl být použit při přijímání opatření vycházejících z těchto právních základů, se nezmění; příslušným postupem bylo spolurozhodování a bude tomu tak i nadále, až na to, že od nynějška se tento postup nazývá „řádný legislativní postup“. Dopad pozměněných smluv na právní základ a na legislativní postup týkající se návrhu nařízení je tedy podle všeho omezený.

14.

V současné době je návrh rozhodnutí Rady založen na čl. 30 odst. 1 písm. a), čl. 30 odst. 1 písm. b) a čl. 34 odst. 2 písm. c) SEU. V nových smlouvách byl článek 34 SEU zrušen. Článek 30 odst. 1 písm. a) se nahrazuje čl. 87 odst. 2 písm. a) SFEU, jenž tvoří základ pro opatření týkající se shromažďování, uchovávání a zpracovávání, analýz a výměn příslušných informací, jež jsou přijímána řádným legislativním postupem. Článek 30 odst. 1 písm. b) SEU, pojednávající o provozní spolupráci mezi příslušnými orgány, se nahrazuje čl. 87 odst. 3 SFEU, jenž stanoví zvláštní legislativní postup, podle nějž Rada rozhoduje jednomyslně poté, co konzultovala Evropský parlament. Protože tyto legislativní postupy nejsou vzájemně slučitelné, použití čl. 87 odst. 2 písm. a) a čl. 87 odst. 3 SFEU jakožto kombinovaného právního základu rozhodnutí Rady není nadále možné. Je tudíž zapotřebí učinit volbu.

15.

EIOÚ je toho názoru, že čl. 87 odst. 2 písm. a) SFEU by mohl být pro navrhované opatření jediným právním základem. Jednalo by se rovněž o upřednostňovanou variantu, neboť použití řádného legislativního postupu s sebou nese plné zapojení Evropského parlamentu a zajišťuje demokratickou legitimitu návrhu (11). V této souvislosti je třeba vyzdvihnout, že návrh pojednává o zřízení agentury, jež bude odpovědná za ochranu osobních údajů, která vychází ze základního práva uznaného v článku 16 SFEU a z článku 8 Listiny základních práv, závazné ode dne 1. prosince 2009.

16.

Pokud by byl jediným právním základem čl. 87 odst. 2 písm. a) SFEU, mohla by navíc Komise sloučit oba stávající návrhy do jediného nástroje o zřízení agentury, a to do nařízení přijatého řádným legislativním postupem.

17.

EIOÚ v každém případě žádá Komisi, aby tuto otázku urychleně vyjasnila.

18.

Jak bylo uvedeno výše v odstavci 3, Evropský parlament a Rada vyzvaly Komisi, aby provedla analýzu alternativ a předložila potřebné legislativní návrhy, které agentuře svěří dlouhodobé provozní řízení SIS II a VIS. Komise v této souvislosti přidala Eurodac. Komise v uvedeném posouzení dopadů zkoumá pět variant provozního řízení daných tří systémů:

Komise tyto varianty podrobila analýze ze čtyř různých hledisek: provozního hlediska, hlediska řízení, hlediska financování a právního hlediska.

19.

V rámci právní analýzy Komise porovnala, jak by uvedené různé struktury umožňovaly účinné zajištění základních práv a svobod, zejména ochranu osobních údajů. Dospěla k závěru, že v tomto ohledu jsou nejvhodnější varianty 3 a 4 (12). Pokud jde o první dvě varianty, Komise poukázala na možné potíže v otázce dohledu ze strany EIOÚ, jež byly předmětem jednání během vývoje SIS II. Komise v otázce prvních dvou variant dále upozornila na problematickou situaci, jež by nastala z hlediska odpovědnosti plynoucí z článku 288 Smlouvy o ES (nyní článek 340 SFEU), pokud by byly zpochybněny provozní postupy vykonávané personálem jednotlivých členských států.

20.

EIOÚ souhlasí s Komisí, že z hlediska dohledu prováděného EIOÚ by bylo vhodnější, aby za provozní řízení rozsáhlých informačních systémů jako SIS II, VIS a Eurodac byl odpovědný jediný evropský subjekt. Zřízením jediného subjektu by kromě toho byly vyjasněny otázky odpovědnosti a použitelného práva. Na všechny činnosti takového evropského subjektu by se vztahovalo nařízení (ES) č. 45/2001.

21.

Další otázkou však je, o jaký druh evropského subjektu by se mělo jednat. Komise projednává zřízení nové agentury a využití dvou stávajících subjektů, a to Frontexu a Europolu. Existuje závažný důvod, proč by provozní řízení rozsáhlých informačních systémů nemělo být Frontexu nebo Europolu svěřeno – v rámci výkonu svých úkolů mají totiž Frontex i Europol na používání osobních údajů vlastní zájem. S přístupem Europolu do SIS II a VIS se již počítá, přičemž v současné době probíhají jednání o právních předpisech upravujících přístup Europolu do Eurodacu (13). EIOÚ zastává názor, že vhodnou variantou by bylo svěřit kombinované provozní řízení rozsáhlých databází jako SIS II, VIS a Eurodac nezávislému subjektu, jenž nemá jakožto uživatel dotyčné databáze žádný vlastní zájem. Tím se snižuje riziko zneužití údajů. V této souvislosti by EIOÚ rád poukázal na základní zásadu ochrany údajů, jíž je omezení účelu a jež vyžaduje, aby osobní údaje nebylo možno použít pro účely, jež nejsou slučitelné s účelem, za nímž byly dané údaje původně zpracovány (14).

22.

Variantou, kterou Komise neprojednávala, je provozní řízení systémů Komisí samotnou, a to bez delegování jakýchkoli úkolů na úrovni členských států. Této variantě se blíží varianta zřízení výkonné agentury namísto agentury regulační. Ačkoli z hlediska ochrany údajů v zásadě neexistuje důvod, proč by se Komise tohoto úkolu nemohla sama ujmout (Komise sama o sobě není uživatelem dotyčných systémů), EIOÚ se domnívá, že pro samostatnou agenturu hovoří praktické výhody. Rovněž lze uvítat volbu regulační agentury namísto agentury výkonné, neboť se tím zabrání tomu, aby daná agentura byla zřízena pouze na základě rozhodnutí Komise a aby výhradně takovým rozhodnutím byla stanovena oblast jejích činností. Agentura ve stávající podobě bude zřízena na základě nařízení přijímaného řádným legislativním postupem, což znamená, že bude vycházet z demokratického rozhodnutí.

23.

EIOÚ shledává, že vytvoření nezávislé regulační agentury s sebou přináší výhody. Zároveň si však EIOÚ přeje zdůraznit, že takováto agentura by neměla být zřízena dříve, než bude jasně stanovena oblast jejích činností a rozsah jejích povinností.

24.

Během legislativních i veřejných jednání o tomto návrhu byly vysloveny obavy, že může dojít k vytvoření agentury ve stylu „Velkého bratra“. Tento názor se týká možnosti rozšíření o neplánované funkce, ale i otázky interoperability různých informačních systémů. Na tyto dva zdroje obav se následující část tohoto stanoviska nyní zaměří.

25.

Než tak však učiní, EIOÚ by rád předeslal – jakožto základní předpoklad – že riziko chyb nebo nesprávného použití osobních údajů může vzrůst, bude-li větší množství rozsáhlých informačních systémů svěřeno témuž provoznímu správci. Celkový počet rozsáhlých informačních systémů spravovaných jedinou agenturou by měl být tudíž omezen tak, aby bylo stále možno dostatečně zajistit záruky ochrany údajů. Jinými slovy by východiskem neměla být snaha podřídit provoznímu řízení jediné agentury co největší počet rozsáhlých informačních systémů.

26.

Ve stávajícím kontextu se obavy z rozšíření o neplánované funkce vztahují k myšlence, že nová agentura bude schopna z vlastního rozhodnutí vytvářet a kombinovat již existující i nové rozsáhlé informační systémy v míře, se kterou se v současné době nepočítá. EIOÚ je přesvědčen, že v případě dané agentury lze rozšíření o neplánované funkce předejít za prvé tím, že oblast (možných) činností agentury bude omezena a jasně stanovena zakládajícím právním nástrojem, a za druhé tím, že bude zajištěno, aby jakékoli rozšíření této oblasti bylo založeno na demokratickém rozhodovacím postupu, jímž je obvykle řádný legislativní postup.

27.

Co se týče omezení oblasti (možných) činností agentury, stávající návrh v článku 1 odkazuje na provozní řízení SIS II, VIS a Eurodacu a na „vývoj a řízení dalších rozsáhlých informačních systémů, za použití hlavy IV Smlouvy o ES“. Pokud jde o určení oblasti činností, tato poslední formulace vyvolává tři otázky: co se rozumí „vývojem“, co se rozumí „rozsáhlými informačními systémy“ a co se myslí slovy, která následují po čárce? Tyto tři otázky budou nyní rozebrány v opačném pořadí.

28.

Výraz „za použití hlavy IV Smlouvy o ES“ představuje omezení rozsáhlých informačních systémů, za které může nést odpovědnost agentura. EIOÚ však poukazuje na to, že z této formulace plyne větší omezení oblasti možných činností než z názvu navrhovaného nařízení a z jeho 4. a 10. bodu odůvodnění. Jejich znění se od článku 1 liší tím, že mají širší oblast působnosti: odkazují na „prostor svobody, bezpečnosti a práva“ namísto omezenější oblasti pravomocí podle hlavy IV Smlouvy o ES (víza, azyl, přistěhovalectví a ostatní politiky související s volným pohybem osob).

29.

Rozdíl mezi hlavou IV Smlouvy o ES a obecnější myšlenkou prostoru svobody, bezpečnosti a práva (která zahrnuje rovněž hlavu VI SEU) je zohledněn v článku 6 návrhu nařízení, v jehož odstavci 1 se pojednává o tom, že agentura může zavádět pilotní systémy pro vývoj nebo provozní řízení rozsáhlých informačních systémů za použití hlavy IV Smlouvy o ES, a jehož odstavec 2 obsahuje ustanovení, podle něhož agentura může v rámci prostoru svobody, bezpečnosti a práva zavádět pilotní systémy související s ostatními rozsáhlými informačními systémy. Přísně vzato není čl. 6 odst. 2 v souladu s článkem 1 navrhovaného nařízení.

30.

Rozpor mezi článkem 1 a názvem navrhovaného nařízení, jakož i s jeho 4. a 10. bodem odůvodnění a s čl. 6 odst. 2 je třeba vyřešit. S přihlédnutím k základnímu předpokladu uvedenému v odstavci 25 výše zastává EIOÚ názor, že by v této fázi bylo záhodno omezit oblast pravomocí na rozsáhlé informační systémy za použití hlavy IV Smlouvy o ES. Ode dne 1. prosince 2009, kdy vstoupila v platnost Lisabonská smlouva, by důsledkem bylo omezení na oblasti politik uvedené v kapitole 2 hlavy V SFEU. Po získání zkušeností a po kladném hodnocení fungování agentury (viz článek 27 návrhu a připomínky v odstavci 49 níže) by odkaz obsažený v článku 1 mohl být případně rozšířen tak, aby se vztahoval na celý prostor svobody, bezpečnosti a práva, bude-li takové rozhodnutí založeno na řádném legislativním postupu.

31.

Pokud se však normotvůrce rozhodne pro oblast působnosti, již lze vyvodit z názvu a ze 4. a 10. bodu odůvodnění, měla by být vyjasněna další otázka týkající se čl. 6 odst. 2. Na rozdíl od prvního odstavce článku 6 není v druhém odstavci uvedeno, že účelem zavádění pilotního systému je vývoj nebo provozní řízení rozsáhlých informačních systémů. Záměrné odlišení obou odstavců a chybějící doplňující výraz ve druhém z nich vyvolávají otázku, co si Komise vlastně přála stanovit. Znamená to, že by pilotní systémy podle prvního odstavce měly zahrnovat hodnocení možného vývoje a provozního řízení novou agenturou a že takové hodnocení není součástí pilotních systémů podle druhého odstavce? Je-li tomu tak, měla by tato skutečnost být ve znění objasněna, neboť vypuštěním daného upřesňujícího výrazu není vyloučeno zavádění a provozní řízení dotyčných systémů agenturou. Měla-li Komise jiný záměr, bylo by jeho objasnění rovněž na místě.

32.

Pojem „rozsáhlé informační systémy“ je značně problematický. Ne vždy existuje názorová shoda ohledně toho, které systémy je třeba považovat za rozsáhlé informační systémy a které nikoli. Výklad tohoto pojmu má významné důsledky pro oblasti možných budoucích činností agentury. Společným rysem tří rozsáhlých informačních systémů výslovně uvedených v návrhu je uchovávání údajů v centralizované databázi, za niž je (v současné době) odpovědná Komise. Není zřejmé, zda se případné budoucí činnosti agentury omezují na rozsáhlé informační systémy s touto vlastností, nebo zda mohou rovněž zahrnovat decentralizované systémy, u nichž je odpovědnost Komise omezena na vývoj a údržbu společné infrastruktury, jako je tomu u prümského systému a u Evropského informačního systému rejstříků trestů (ECRIS) (15). Aby se v budoucnu zabránilo veškerým nedorozuměním, EIOÚ vyzývá normotvůrce, aby pojem rozsáhlých informačních systémů ve vztahu ke zřízení agentury vyjasnil.

33.

Kromě provozního řízení rozsáhlých informačních systémů bude agentura rovněž vykonávat úkoly stanovené v článku 5 (sledování výzkumu) a v článku 6 (pilotní systémy). První úkol s sebou nese sledování příslušného výzkumu a předkládání zpráv o něm Komisi. Činnosti související s pilotními systémy oproti tomu obnášejí zavádění pilotních systémů pro vývoj nebo provozní řízení rozsáhlých informačních systémů (avšak viz připomínky uvedené v odstavci 31 výše). Článek 6 stanoví, jaký výklad by měl být se slovem „vývoj“ spojován. Použití tohoto slova v článku 1 navozuje dojem, že agentura by mohla být odpovědná za vývoj rozsáhlých informačních systémů z vlastního rozhodnutí. To je však vyloučeno zněním čl. 6 odst. 1 a 2. Je jednoznačně uvedeno, že agentura tak může učinit „na zvláštní a přesnou žádost Komise“. Jinými slovy je iniciativa ve věci vývoje nových rozsáhlých informačních systémů v rukou Komise. Jakékoli rozhodnutí o reálném vytvoření nového rozsáhlého informačního systému by mělo být přirozeně založeno na legislativních postupech stanovených v SFEU. Aby bylo znění článku 6 navrhovaného nařízení ještě silnější, mohl by se normotvůrce rozhodnout, že na začátek čl. 6 odst. 1 a 2 vloží slovo „výhradně“.

34.

Jak bylo výše uvedeno, lze riziku rozšíření o neplánované funkce předejít za prvé tím, že oblast (možných) činností agentury bude omezena a jasně stanovena zakládajícím právním nástrojem, a za druhé tím, že bude zajištěno, aby jakékoli rozšíření této oblasti bylo založeno na demokratickém rozhodovacím postupu, jímž je obvykle řádný legislativní postup. Stávající znění již obsahuje upřesnění, která riziko rozšíření o neplánované funkce omezují.

35.

Přetrvávají však určité nejistoty ohledně přesného vymezení oblasti případných činností nové agentury. Normotvůrce by měl za prvé objasnit a zodpovědně rozhodnout, zda je oblast činností omezena na kapitolu 2 hlavy V SFEU, nebo zda by případně měla zahrnovat veškeré rozsáhlé informační systémy vyvíjené v prostoru svobody, bezpečnosti a práva. Za druhé by měl normotvůrce vyjasnit pojem rozsáhlých informačních systémů v uvedeném rámci a ozřejmit, zda se tento pojem omezuje na rozsáhlé informační systémy, jejichž charakteristikou je uchovávání údajů v centralizované databázi, za niž je odpovědná Komise či agentura. Z atřetí, ačkoli článek 6 již zamezuje tomu, aby agentura z vlastního rozhodnutí vyvíjela nové informační systémy, znění článku 6 by mohlo být dále posíleno tím, že do odstavců 1 a 2 (bude-li druhý odstavec zachován) bude vloženo slovo „výhradně“.

36.

Pojem „interoperabilita“ není jednoznačný. EIOÚ k tomuto závěru dospěl v připomínkách ze dne 10. března 2006 ke sdělení Komise o interoperabilitě evropských databází (16). Ve vztahu k nové agentuře je pojem interoperability třeba vykládat jakožto koncept obnášející riziko, že bude-li provozní řízení několika rozsáhlých informačních systémů svěřeno jediné agentuře, bude důsledkem použití podobné technologie pro všechny systémy, jež bude tím pádem možno snadno vzájemně propojit. EIOÚ tuto obavu z obecného hlediska sdílí. Ve svých připomínkách ze dne 10. března 2006 EIOÚ uvedl, že technická proveditelnost propojení různých rozsáhlých informačních systémů představuje sama o sobě významnou motivaci k tomu, aby k takovému propojení skutečně došlo. Z tohoto důvodu je důležité znovu zdůraznit význam pravidel ochrany údajů. EIOÚ tudíž vyzdvihl, že interoperabilitu rozsáhlých informačních systémů lze umožnit pouze za plného dodržení zásad ochrany údajů, a zejména za plného dodržení výše zmíněné zásady omezení účelu (viz odstavec 21).

37.

Avšak případná motivace učinit rozsáhlé informační systémy interoperabilními, pokud jsou využívány technologie umožňující snadné propojení, není nezbytně vázána na zřízení nové agentury. I bez dotyčné agentury je možno vyvíjet podobným způsobem systémy, jež by mohly být podnětem k interoperabilitě.

38.

Bez ohledu na zvolenou strukturu provozního řízení lze interoperabilitu umožnit pouze v případě, že bude v souladu s pravidly ochrany údajů a že samotné rozhodnutí vedoucí k tomuto kroku bude založeno na řádném legislativním postupu. Z návrhu nařízení jasně plyne, že rozhodnutí učinit rozsáhlé informační systémy interoperabilními nemůže učinit agentura (viz rovněž analýza v odstavci 33 výše). Tutéž skutečnost lze vyjádřit ještě více zpříma – jak plyne mimo jiné ze sdělení Komise o evropských agenturách ze dne 11. března 2008, Komisi není povoleno přenést na žádnou agenturu pravomoc přijmout takového obecné regulační opatření (17). Pokud tedy takové rozhodnutí nebylo učiněno, agentura má povinnost zavést příslušná bezpečnostní opatření, aby předešla veškerým možným propojením rozsáhlých informačních systémů, jež řídí (pokud jde o bezpečnostní opatření, viz rovněž odstavce 46 a 47).

39.

Interoperabilita (zamýšlená či jako předmět případného budoucího záměru) by mohla tvořit část žádosti předložené Komisí agentuře, aby tato zavedla pilotní systém pro účely vývoje nových rozsáhlých informačních systémů, jak je popsáno v článku 6 návrhu nařízení. Tím vyvstává otázka, jakým postupem Komise agenturu o takový pilotní systém požádá. Žádost Komise by měla být v každém případě založena minimálně na předběžném hodnocení toho, zda by dotyčný informační systém jako takový, a interoperabilita především, byly v souladu s požadavky na ochranu údajů a obecněji s právním základem pro vytvoření těchto systémů. Kromě toho by součástí postupu vedoucího k dotyčné žádosti mohla být povinná konzultace s Evropským parlamentem a s EIOÚ. Dotyčná žádost Komise by měla být v každém případě zpřístupněna všem příslušným zúčastněným stranám včetně Parlamentu a EIOÚ. EIOÚ naléhavě vyzývá normotvůrce, aby tento postup vyjasnil.

40.

Navrhovaným nařízením se zřizuje nezávislá regulační agentura, jež má právní subjektivitu. V 6. bodě odůvodnění návrhu se uvádí, že tato agentura bude zřízena, neboť řídící orgán by měl být právně, administrativně a finančně samostatný. Jak již bylo uvedeno výše v odstavci 20, zřízením jediného subjektu se kromě toho vyjasní otázky odpovědnosti a použitelného práva.

41.

V článku 25 navrhovaného nařízení se potvrzuje, že zpracování informací novou agenturou podléhá nařízení (ES) č. 45/2001. V 16. bodě odůvodnění se dále zdůrazňuje, že EIOÚ je v důsledku toho oprávněn získat od agentury přístup k veškerým informacím nezbytným pro jeho šetření.

42.

EIOÚ je potěšen, že použitelnost nařízení (ES) č. 45/2001 na činnosti nové agentury je takto vyzdvižena. V návrhu rozhodnutí Rady odkaz na nařízení (ES) č. 45/2001 chybí, ačkoli je zřejmé, že agentura bude vázána rovněž ustanoveními tohoto nařízení, když bude databáze využívána pro činnosti spadající do oblasti justiční a policejní spolupráce v trestních věcech. Po vstupu Lisabonské smlouvy v platnost a v případě, že se normotvůrce rozhodne zachovat dva oddělené právní nástroje (viz připomínky v části II výše), není důvod, aby odkaz na nařízení (ES) č. 45/2001 v bodech odůvodnění nebo v ustanoveních rozhodnutí Rady chyběl.

43.

EIOÚ je rovněž potěšen, že čl. 9 odst. 1 písm. o) návrhu nařízení obsahuje výslovný odkaz na jmenování inspektora ochrany údajů. EIOÚ by rád vyzdvihl význam toho, aby ke jmenování inspektora ochrany údajů došlo co nejdříve, s přihlédnutím ke stanovisku EIOÚ k inspektorům ochrany údajů (18).

44.

Na základě nařízení (ES) č. 45/2001 a s ohledem na právní nástroje zřizující dotyčné informační systémy má EIOÚ ve vztahu k agentuře pravomoci dohledu. Tyto pravomoci, jež jsou uvedeny v článku 47 nařízení (ES) č. 45/2001, se většinou uplatňují v případě, že již došlo k porušení pravidel ochrany údajů. EIOÚ má zájem na tom, aby byl o činnostech agentury pravidelně informován nejen dodatečně, nýbrž i s předstihem. V současné době EIOÚ s Komisí dospěli k postupu, jenž uvedenému zájmu vyhovuje. EIOÚ doufá, že takovéto uspokojivé spolupráce bude dosaženo rovněž s nově zřízenou agenturou. V této souvislosti EIOÚ normotvůrci doporučuje, aby EIOÚ zahrnul mezi adresáty ročního pracovního programu a výroční zprávy o činnosti, kteří jsou uvedeni v čl. 9 odst. 1 písm. i) a j) návrhu nařízení.

45.

Článek 9 odst. 1 písm. r) navrhovaného nařízení pojednává o zprávě EIOÚ ohledně auditu podle článku 45 nařízení (ES) č. 1987/2006 o SIS II a čl. 42 odst. 2 nařízení (ES) č. 767/2008 o VIS. Ze stávajícího znění vyvstává dojem, že je zcela na rozhodnutí agentury, jakým způsobem bude v návaznosti na tento audit postupovat, a že se doporučeními vůbec nemusí řídit. Ačkoli se agentura může ke zprávě vyjádřit a může si zvolit, jakým způsobem doporučení EIOÚ uplatní, možnost, že by se doporučeními vůbec neřídila, nepřipadá v úvahu. EIOÚ tudíž navrhuje toto písmeno vypustit nebo nahradit sousloví „a rozhoduje o opatřeních přijatých v návaznosti na audit“ slovy: „a rozhoduje o tom, jak nejlépe uplatnit doporučení v návaznosti na audit“.

46.

V návrhu nařízení se stanoví, že výkonný ředitel předkládá správní radě k přijetí návrh nezbytných bezpečnostních opatření včetně bezpečnostního plánu (viz č. 14 odst. 6 písm. g) a čl. 9 odst. 1 písm. n)). Bezpečnost je zmíněna i v článku 26, jenž pojednává o bezpečnostních pravidlech týkajících se ochrany utajovaných skutečností a citlivých neutajovaných informací. Činí se zde odkaz na rozhodnutí Komise 2001/844/ES, ESUO, Euratom (19) ze dne 29. listopadu 2001 a v druhém odstavci na bezpečnostní zásady týkající se zpracování citlivých neutajovaných informací, jak je přijala a uplatňuje Evropská komise. Kromě připomínek uvedených v nadcházejícím odstavci EIOÚ doporučuje, aby normotvůrce zařadil odkaz na konkrétní dokumenty i do druhého odstavce, neboť ve stávající podobě je jeho znění značně neurčité.

47.

EIOÚ by rád poukázal na skutečnost, že právní nástroje, z nichž SIS II, VIS a Eurodac vycházejí, obsahují podrobná ustanovení týkající se bezpečnosti. Nelze jednoznačně říci, že tato konkrétní pravidla jsou zcela podobná pravidlům uvedeným v článku 26 nebo že jsou s nimi v plné míře slučitelná. Protože by bezpečnostní plán měl zajišťovat nejvyšší míru zabezpečení, EIOÚ doporučuje normotvůrci, aby článek 26 rozvedl do širšího ustanovení zabývajícího se otázkou bezpečnostních pravidel obecněji a aby zde odkázal na příslušná ustanovení právních nástrojů, jež se dotyčných tří rozsáhlých informačních systémů týkají. Nejprve by však mělo být zhodnoceno, do jaké míry jsou si uvedená pravidla podobná a vzájemně slučitelná. Toto širší ustanovení by pak dále mělo být uvedeno v souvislost s čl. 14 odst. 6 písm. g) a s čl. 9 odst. 1 písm. n), jež pojednávají o vypracování a přijetí bezpečnostních opatření a bezpečnostního plánu.

48.

EIOÚ si je vědom toho, že rozhodnutí o sídle agentury podle čl. 7 odst. 4 je do značné míry rozhodnutím politickým. EIOÚ přesto doporučuje, aby v kontextu článku 19, upravujícího dohodu o sídle, byla volba sídla založena na objektivních kritériích, jako je dostupné umístění, jímž by měla být jediná budova využívaná výhradně agenturou, a jako jsou možnosti zajištění bezpečnosti této budovy.

49.

Článek 27 navrhovaného nařízení stanoví, že do tří let ode dne, kdy agentura převezme své povinnosti, a poté každých pět let nechá správní rada provést nezávislé externí hodnocení na základě mandátu vydaného správní radou po konzultaci s Komisí. Aby bylo zajištěno, že ochrana údajů je v tomto mandátu zahrnuta, EIOÚ doporučuje normotvůrci, aby v prvním odstavci na tuto skutečnost výslovně odkázal. EIOÚ dále normotvůrce vyzývá, aby nevyčerpávajícím způsobem uvedl zúčastněné strany uvedené v druhém odstavci a aby mezi ně zařadil EIOÚ. EIOÚ rovněž normotvůrci doporučuje, aby EIOÚ přiřadil i do výčtu orgánů, jež obdrží dokumenty podle třetího odstavce.

50.

Jako klíčovou otázku vyzdvihuje EIOÚ skutečnost, že navrhované rozhodnutí Rady není možné založit na oněch dvou článcích SFEU, jež jsou bývalými články SEU a na nichž je v současné době návrh založen. EIOÚ vyzývá Komisi, aby situaci vyjasnila, aby zvážila jakožto právní základ článek, který zaručuje největší pravomoc Evropskému parlamentu, a aby vzala v úvahu možnost sloučit oba návrhy do jediného nařízení.

51.

EIOÚ analyzoval různé varianty provozního řízení SIS, VIS II a Eurodacu a domnívá se, že je výhodné, aby pro účely provozního řízení určitých rozsáhlých informačních systémů byla vytvořena regulační agentura. Zároveň však EIOÚ zdůrazňuje, že takováto agentura by měla být zřízena pouze v případě, že oblast jejích činností a rozsah jejích povinností budou jasně stanoveny.

52.

EIOÚ se věnoval dvěma obecným obavám týkajícím se zřízení agentury, pokud jde o ochranu údajů: riziku rozšíření o neplánované funkce a důsledkům pro interoperabilitu systémů.

53.

EIOÚ zastává názor, že riziku rozšíření o neplánované funkce lze předejít za prvé tím, že oblast (možných) činností agentury bude omezena a jasně stanovena zakládajícím právním nástrojem, a za druhé tím, že bude zajištěno, aby jakékoli rozšíření této oblasti bylo založeno na demokratickém rozhodovacím postupu. EIOÚ konstatuje, že stávající návrhy již takováto ustanovení obsahují, avšak některá z nich zůstávají nejistá. EIOÚ tudíž normotvůrci doporučuje, aby:

54.

Z obecného hlediska je EIOÚ znepokojen nejednoznačnými aspekty vývoje, pokud jde o případnou interoperabilitu rozsáhlých informačních systémů. Zřízení agentury však EIOÚ v tomto ohledu nepovažuje za nejnebezpečnější faktor. EIOÚ zaznamenal, že agentura nebude moci o interoperabilitě rozhodovat z vlastního podnětu. EIOÚ vyzývá normotvůrce, aby v kontextu navrhovaných pilotních systémů vyjasnil postup, jejž by Komise měla před žádostí o pilotní systém použít. Takový postup by podle názoru EIOÚ měl zahrnovat posouzení možného dopadu na ochranu údajů pro případ, že by na základě dané žádosti byla vyvinuta určitá iniciativa, přičemž pro toto hodnocení by mohla být vyžadována konzultace s Evropským parlamentem a EIOÚ.

55.

EIOÚ dále předkládá tato konkrétní doporučení: