Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52012XX1106(03)

Shrnutí stanoviska evropského inspektora ochrany údajů k návrhu nařízení Rady o přechodu ze Schengenského informačního systému (SIS 1+) na Schengenský informační systém druhé generace (SIS II) (přepracované znění)

OJ C 336, 6.11.2012, p. 10–12 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

6.11.2012   

CS

Úřední věstník Evropské unie

C 336/10


Shrnutí stanoviska evropského inspektora ochrany údajů k návrhu nařízení Rady o přechodu ze Schengenského informačního systému (SIS 1+) na Schengenský informační systém druhé generace (SIS II) (přepracované znění)

(Úplné znění tohoto stanoviska je k dispozici v angličtině, francouzštině a němčině na webových stránkách evropského inspektora ochrany údajů na adrese http://www.edps.europa.eu)

2012/C 336/06

1.   Úvod

1.1   Konzultace evropského inspektora ochrany údajů

1.

Dne 30. dubna 2012 přijala Komise návrh přepracovaného znění nařízení Rady (ES) č. 1104/2008 z října 2008 o přechodu ze Schengenského informačního systému (SIS 1+) na Schengenský informační systém druhé generace (SIS II) (1) (dále jen „návrh“).

2.

Evropský inspektor ochrany údajů již dne 19. října 2005 vydal stanovisko ke třem návrhům zřizujícím Schengenský informační systém druhé generace (2). Ve své analýze se tehdy evropský inspektor ochrany údajů zaměřil na to, že je potřeba omezit práva přístupu a doby uchování údajů a také poskytovat informace subjektům údajů. Zároveň poukázal na to, že nově fungující odkazy mezi záznamy nesmějí vést k rozšíření práv přístupu. Ohledně technické stránky návrhu SIS II doporučil zlepšení bezpečnostních opatření a varoval před užíváním vnitrostátních kopií.

3.

Evropský inspektor ochrany údajů bere na vědomí závěry Rady týkající se přechodu na systém SIS II (3). Rada členské státy mimo jiné vyzvala, aby

co nejdříve provedly opravné a preventivní mechanismy (pro stávající záznamy SIS 1+ a nové záznamy SIS 1+), aby mohly být přizpůsobeny požadavkům na kvalitu údajů stanoveným pro záznamy SIS II,

před zahájením přechodu údajů SIS 1+ na SIS II ještě jednou přezkoumaly soulad stávajících záznamů s terminologií SIS II, přičemž zajistí, že budou v souladu s konečnou verzí této terminologie,

prostřednictvím příslušných vnitrostátních orgánů odpovědných za kvalitu údajů SIS systematicky monitorovaly přesnost záznamů zadávaných do vnitrostátního systému SIS 1+, což je klíčové pro zajištění bezproblémového využívání mechanismu sledování/sledování terminologie.

4.

Evropský inspektor ochrany údajů měl již před přijetím tohoto návrhu Komise možnost poskytnout k předloze textu neformální připomínky. V těchto připomínkách vyjádřil znepokojení ohledně různých aspektů týkajících se přechodu na nový systém, o nichž se domnívá, že by měly být objasněny. V přijatém textu však bohužel nejsou připomínky vznesené během neformální fáze zohledněny, takže text neposkytuje požadovaná vysvětlení.

3.   Závěry

61.

Při přechodu údajů ze systému SIS na systém SIS II může být určitým způsobem ohrožena ochrana údajů. Evropský inspektor ochrany údajů sice vítá snahy o zajištění toho, aby byl tento přechod proveden v plném souladu s právními předpisy, avšak zároveň by rád doporučil určité kroky ke zlepšení návrhu.

62.

Evropský inspektor ochrany údajů zejména vítá skutečnost, že podle nových ustanovení vstoupí právní rámec systému SIS II v platnost poté, co první členský stát úspěšně dokončí přechod na tento systém. To je významné, neboť podle starých právních předpisů by systém SIS II vstoupil v platnost až poté, co přechod k tomuto systému dokončí všechny členské státy. To by vedlo k právní nejednoznačnosti, především ohledně nových funkcí.

63.

Tento přístup musí být posouzen také z hlediska kontroly. Podle evropského inspektora ochrany údajů budou takto odpovědnosti přenášeny během přechodu, což by mohlo mít negativní vliv a dopad na záruky, které kontrola poskytuje, a to v době, kdy je nejvíce potřebná. Evropský inspektor ochrany údajů proto doporučuje použít od začátku přechodu na nový systém koordinovaný mechanismus kontroly. Tento přístup by měl být stanoven v přepracovaném znění.

64.

Evropský inspektor ochrany údajů se domnívá, že zásadní hlediska přechodu na nový systém by měla být více objasněna ve znění nařízení a že by to nemělo být ponecháno na dalších nástrojích, jako je plán přechodu. Především se to týká následujících bodů:

Rozsah přechodu. Mělo být naprosto jasné, které kategorie údajů se převádějí a které ne, a také, zda tento přechod zahrnuje nějaké změny údajů, a pokud ano, o jaké změny se jedná.

Potřeba posoudit rizika. Je důležité provést posouzení rizik přechodu a získané výsledky by měly posloužit k vytvoření konkrétního bezpečnostního plánu.

Zaznamenávání údajů. V navrhovaném textu je konkrétní článek, ale ten se týká především provádění běžných činností systému SIS II, a ne specifických činností v souvislosti se zpracováváním údajů při přechodu na nový systém, a text tak představuje ustanovení podobné ustanovení v hlavním nařízení SIS II. Evropský inspektor ochrany údajů se domnívá, že by nařízení mělo obsahovat konkrétní ustanovení, které určí, co by mělo být zaznamenáno, na jak dlouho a za jakým účelem, se zaměřením na činnosti během přechodu na nový systém.

65.

Evropský inspektor ochrany údajů doporučuje, aby byly nařízením posíleny povinnosti testování tím, že se objasní následující:

Testy před přechodem na nový systém by měly obsahovat tyto prvky:

i)

všechny aspekty funkčnosti vztahující se k procesu přechodu na nový systém uvedené v článku 11 návrhu a další záležitosti, jako je kvalita údajů, které budou přenášeny;

ii)

aspekty netýkající se funkčnosti, jako je bezpečnost;

iii)

jakákoli konkrétní opatření a kontroly přijaté na omezení rizik přechodu na nový systém.

U komplexních testů evropský inspektor ochrany údajů doporučuje, aby návrh obsahoval jasnější kritéria na určení jejich úspěchu či neúspěchu.

Poté, co členský stát dokončí přechod na nový systém, by mělo být možné výsledky ověřit. Nařízení by mělo rovněž požadovat úspěšné provedení těchto ověřovacích testů, aby mohl být považován za úspěšný přechod členského státu na systém SIS II. Proto by provedení těchto testů mělo být nezbytnou podmínkou před tím, než bude dotčenému členskému státu umožněno systém SIS II plně využívat.

Co se týče využívání testovacích údajů během přechodu, evropský inspektor ochrany údajů by rád zdůraznil, že pokud mají být „testovací údaje“ založeny na „utajovaných“ skutečných údajích ze systému SIS, je potřeba přijmout veškerá nezbytná opatření, aby bylo zajištěno, že z těchto testovacích údajů nebude možné obnovit skutečné údaje.

66.

Velmi vítána jsou preventivní bezpečnostní opatření a evropský inspektor ochrany údajů doporučuje, aby bylo do textu přepracovaného znění vloženo konkrétní ustanovení, podle něhož by Komise a členské státy musely provést příslušná technická a organizační opatření na zajištění takové úrovně bezpečnosti, která bude přiměřená rizikům plynoucím z přechodu na nový systém a také ze specifické povahy osobních údajů, jež budou zpracovávány na základě požadavků článku 22 nařízení (ES) č. 45/2001.

Je třeba zohlednit obecná bezpečnostní hlediska:

i)

uznat specifickou povahu činnostní týkajících se zpracování údajů, které jsou spojeny s přechodem na nový systém;

ii)

zavést určité obecné pokyny pro opatření, jež mají být přijata (například že údaje mohou být mezi dvěma systémy přeneseny, pouze pokud jsou vhodným způsobem zašifrovány);

iii)

stanovit, že Komise společně s členskými státy, zejména s Francií, vypracuje po zhodnocení možných rizik vztahujících se k přechodu na nový systém specifický bezpečnostní plán, a to včas před začátkem přechodu.

Dále jsou potřebná konkrétní ustanovení na ochranu neporušenosti údajů; evropský inspektor ochrany údajů by doporučoval zahrnout do nařízení nebo do zvláštního rozhodnutí Komise tato opatření:

i)

přílohu s pravidly sledování a ověřování, která se použijí při převodu, aby bylo možné jednoduše ověřit, zda zmírnění pravidel systému SIS II je v souladu s nařízením SIS II;

ii)

ustanovení, které určí zodpovědnost jednotlivých zúčastněných subjektů při identifikaci a opravách odchylných údajů;

iii)

požadavek, aby bylo před provedením přechodu komplexně otestováno, zda jsou údaje, které budou přenášeny, v souladu s pravidly o neporušenosti údajů podle systému SIS II.

Je třeba stanovit opatření pro nakládání se starým systémem. Poté, co proběhne přechod na nový systém, bude třeba vyřešit naléhavý problém, co se stane s technickým vybavením systému SIS 1+. Evropský inspektor ochrany údajů proto doporučuje, aby návrh či zvláštní rozhodnutí Komise stanovily přesnou lhůtu, do kdy mohou být údaje uchovány, a zároveň povinnost přijmout příslušná technická opatření na zajištění, aby byly údaje po ukončení přechodu a po období intenzivní kontroly bezpečně vymazány.

V Bruselu dne 9. července 2012.

Peter HUSTINX

evropský inspektor ochrany údajů


(1)  COM(2012) 81 final.

(2)  Stanovisko ze dne 19. října 2005 ke třem návrhům týkajícím se Schengenského informačního systému druhé generace (SIS II) (Úř. věst. C 91, 19.4.2006, s. 38).

(3)  3135. zasedání Rady pro spravedlnost a vnitřní věci, Brusel, 13. a 14. prosince 2011, závěry Rady.


Top