|
9.6.2022 |
CS |
Úřední věstník Evropské unie |
C 225/6 |
Shrnutí stanoviska evropského inspektora ochrany údajů k návrhu nařízení o automatizované výměně údajů pro policejní spolupráci („Prüm II“)
(Úplné znění tohoto stanoviska je k dispozici v angličtině, francouzštině a němčině na internetových stránkách evropského inspektora ochrany údajů na adrese www.edps.europa.eu)
(2022/C 225/04)
Evropská komise přijala dne 8. prosince 2021 návrh nařízení Evropského parlamentu a Rady o automatizované výměně údajů pro policejní spolupráci („Prüm II“), kterým se mění rozhodnutí Rady 2008/615/SVV a 2008/616/SVV a nařízení Evropského parlamentu a Rady (EU) 2018/1726, 2019/817 a 2019/818 (tzv. „prümská rozhodnutí“). Návrh je součástí obsáhlejšího legislativního balíčku označovaného jako „Kodex policejní spolupráce EU“, jehož součástí je také návrh směrnice Evropského parlamentu a Rady o automatizované výměně údajů pro policejní spolupráci (s výhradou samostatného stanoviska evropského inspektora ochrany údajů) a návrh doporučení Rady o operativní policejní spolupráci.
Cílem návrhu je posílit spolupráci při prosazování práva a zejména výměnu informací mezi příslušnými orgány odpovědnými za prevenci, odhalování a vyšetřování trestných činů, stanovením podmínek a postupů pro automatizované vyhledávání profilů DNA, daktyloskopických údajů (otisků prstů), zobrazení obličeje, policejních záznamů a některých údajů z registrů vozidel, stejně tak jako výměnu údajů po zjištění shody.
Ačkoli evropský inspektor ochrany údajů chápe, že donucovací orgány musí mít k dispozici co nejlepší právní a technické nástroje pro výměnu informací za účelem odhalování, vyšetřování nebo prevence trestné činnosti, domnívá se, že návrh nového prümského rámce neupravuje dostatečně jasně základní prvky výměny údajů, jako jsou druhy trestných činů, u kterých jsou naplněny podmínky pro provedení vyhledávání, a dostatečně přesně neoznačuje ani okruh subjektů údajů, jichž se automatická výměna údajů týká, např. zda databáze, ve kterých má být prováděno vyhledávání, obsahují pouze údaje podezřelých a/nebo odsouzených osob, nebo také údaje jiných subjektů údajů, jako jsou oběti nebo svědci.
Evropský inspektor ochrany údajů se zejména domnívá, že automatizované vyhledávání profilů DNA a zobrazení obličeje by mělo být možné pouze v souvislosti s vyšetřováním závažných trestných činů, nikoliv jakýchkoli trestných činů, jak se uvádí v návrhu. Evropský inspektor ochrany údajů dále považuje za nezbytné zavést v návrhu společné požadavky a podmínky pro údaje ve vnitrostátních databázích, které jsou zpřístupněny pro automatizované vyhledávání, s přihlédnutím k povinnosti rozlišovat mezi různými kategoriemi subjektů údajů (tj. odsouzenými pachateli trestných činů, podezřelými, oběťmi atd.) podle článku 6 směrnice o prosazování práva 680/2016 (směrnice LED).
Evropského inspektora ochrany údajů rovněž znepokojují důsledky, které bude mít navrhované automatizované vyhledávání a výměna policejních záznamů v oblasti základních práv dotčených osob. Domnívá se, že nebyla dostatečně prokázána nezbytnost navrhovaného automatizovaného vyhledávání a výměny údajů z policejních záznamů. Pokud by toto opatření bylo přesto přijato, byť na dobrovolném základě, bylo by v zájmu dodržení zásady proporcionality zapotřebí dalších spolehlivých záruk. Zejména vzhledem k problémům s kvalitou údajů by budoucí nařízení mělo mimo jiné výslovně vymezit druhy nebo závažnost trestných činů, u kterých mohou být naplněny podmínky pro automatizované vyhledávání ve vnitrostátních policejních záznamech.
Pokud jde o začlenění Europolu do prümského rámce, domnívá se evropský inspektor ochrany údajů, že jeho připomínky a doporučení vyjádřené ve stanovisku 4/2021 k návrhu změny nařízení o Europolu plně platí i v kontextu prümské spolupráce, zejména pokud se jedná o tzv. „problém velkých dat“, tj. zpracování rozsáhlých a složitých souborů údajů ze strany agentury. Evropský inspektor ochrany údajů by rád zopakoval dvě klíčová sdělení, která zazněla ve stanovisku k Europolu a která mají stejnou závažnost: posílení pravomocí by mělo vždy doprovázet posílení dohledu a případné výjimky v podobě odchylek by se neměly stát pravidly.
Návrh stanoví komplexní architekturu pro automatizované vyhledávání a výměnu údajů v prümském rámci za použití tří samostatných technických řešení, která vyvíjejí a udržují tři různé subjekty. Evropský inspektor ochrany údajů se domnívá, že návrh by měl být jednoznačnější, pokud jde o odpovědnost za zpracování osobních údajů, zejména v systému EUCARIS, který nemá oporu v právu EU a má mezivládní povahu. Kromě toho má evropský inspektor ochrany údajů za to, že vzhledem k rozsahu a citlivosti zpracování osobních údajů není navrhovaný horizontální model řízení podle prümského rámce dostatečný a měl by být dále posílen, například tím, že bude některému ze subjektů EU, například Komisi, svěřena funkce ústředního koordinátora.
Dále by měl být podle evropského inspektora ochrany údajů v zájmu právní jistoty výslovně vyjasněn vztah mezi pravidly ochraně údajů v návrhu a stávajícím právním rámcem ochrany údajů v EU, zejména směrnicí LED a nařízením (EU) 1725/2018 (EUDPR).
Obsahem stanoviska jsou rovněž analýza a doporučení k řadě dalších konkrétních problematik, jako jsou propojení prümského rámce s rámcem interoperability, předávání údajů do třetích zemí a mezinárodním organizacím nebo dohled nad operacemi zpracování pro účely prümské spolupráce.
1. ÚVOD A ZÁKLADNÍ INFORMACE
|
1. |
Dne 8. prosince 2021 přijala Evropská komise návrh nařízení Evropského parlamentu a Rady o automatizované výměně údajů pro policejní spolupráci („Prüm II“), kterým se mění rozhodnutí Rady 2008/615/SVV a 2008/616/SVV a nařízení Evropského parlamentu a Rady (EU) 2018/1726, 2019/817 a 2019/818 (dále jen „návrh“) (1). |
|
2. |
Návrh je součástí obsáhlejšího legislativního balíčku, označovaného jako „Kodex policejní spolupráce EU“, jehož součástí jsou také:
|
|
3. |
Jak uvádí Komise, je cílem Kodexu policejní spolupráce EU posílit spolupráci při prosazování práva v členských státech a zejména výměnu informací mezi příslušnými orgány (4). V tomto ohledu zavádí návrh podmínky a postupy pro automatizované vyhledávání profilů DNA, daktyloskopických údajů (otisků prstů), zobrazení obličeje, policejních záznamů a některých údajů z registrů vozidel a po nalezení shody výměnu těchto údajů mezi orgány odpovědnými za prevenci, odhalování a vyšetřování trestných činů. |
|
4. |
Návrh a na obecnější úrovni i Kodex policejní spolupráce EU souvisí se strategickými cíli několika strategických dokumentů EU v oblasti spravedlnosti a vnitřních věcí, zejména se strategií bezpečnostní unie EU (5), strategií EU pro boj proti organizované trestné činnosti na období 2021–2025 (6) a strategií pro zajištění plně funkčního a odolného schengenského prostoru z roku 2021 (7). Návrhy, kterými se zřizuje Kodex policejní spolupráce, by navíc měly být posuzovány s ohledem na probíhající reformu Europolu a rostoucí úlohu této agentury jako centrály EU pro výměnu informací o trestné činnosti, které shromažďuje a zpracovává stále větší množství údajů (8). |
|
5. |
Dne 5. ledna 2022 konzultovala Komise s evropským inspektorem ochrany údajů návrh nařízení Prüm II podle čl. 42 odst. 1 nařízení (EU) 2018/1725. Připomínky a doporučení v tomto stanovisku se omezují na ustanovení návrhu, která jsou nejdůležitější z hlediska ochrany údajů. |
4. ZÁVĚRY
|
73. |
Návrh nového prümského rámce dostatečně neupřesňuje některé základní prvky výměny údajů jako například druhy trestných činů, u kterých mohou být naplněny podmínky pro provedení vyhledávání, zejména profilů DNA, tj. jakýkoli trestný čin nebo jen závažnější trestné činy. Kromě toho není v návrhu jasně stanoven rozsah subjektů údajů, kterých se automatická výměna údajů týká, tj. zda databáze, ve kterých budou vyhledávání probíhat, obsahují pouze údaje podezřelých a/nebo odsouzených osob, nebo také údaje jiných subjektů údajů, jako jsou oběti nebo svědci. |
|
74. |
V zájmu zajištění nezbytnosti a přiměřenosti zásahu do základního práva na ochranu osobních údajů je s ohledem na čl. 52 odst. 1 Listiny nezbytné vyjasnit osobní a věcný rozsah opatření, tj. kategorie přímo dotčených subjektů údajů, a objektivní podmínky, při jejichž naplnění je přístupné automatizované vyhledávání v příslušné databázi jiných členských států nebo Europolu. |
|
75. |
Evropský inspektor ochrany údajů se zejména domnívá, že automatizované vyhledávání profilů DNA a zobrazení obličeje by mělo být možné pouze v souvislosti s vyšetřováním závažných trestných činů, nikoliv jakýchkoli trestných činů, jak se uvádí v návrhu. V souladu s povinností rozlišovat mezi různými kategoriemi subjektů údajů podle článku 6 nařízení o ochraně osobních údajů by měl návrh dále stanovit omezení kategorií subjektů údajů, jejichž profily DNA a zobrazení obličeje vedené ve vnitrostátních databázích by měly být zpřístupněny pro automatizované vyhledávání, a to zejména s ohledem na účelové omezení v případě údajů z jiných kategorií, než jsou odsouzení pachatelé trestných činů nebo podezřelé osoby. |
|
76. |
Evropský inspektor ochrany údajů se domnívá, že nebyla dostatečně prokázána nezbytnost navrhovaného automatizovaného vyhledávání a výměny údajů z policejních záznamů. Pokud by toto opatření bylo přesto přijato, byť na dobrovolném základě, bylo by v zájmu naplnění zásady proporcionality zapotřebí dalších spolehlivých záruk. Zejména vzhledem k problémům s kvalitou údajů, které nelze odstranit izolovaně prostřednictvím technických opatření, jakým je například pseudonymizace, by mělo budoucí nařízení minimálně stanovit druhy nebo závažnost trestných činů, u kterých mohou být naplněny podmínky pro automatizované vyhledávání ve vnitrostátních policejních záznamech. |
|
77. |
Pokud jde o začlenění Europolu do prümského rámce, domnívá se evropský inspektor ochrany údajů, že jeho připomínky a doporučení vyjádřené ve stanovisku 4/2021 k návrhu změny nařízení o Europolu plně platí i v kontextu prümské spolupráce, zejména pokud se jedná o zpracovávání rozsáhlých souborů údajů ze strany agentury. Dále evropský inspektor ochrany údajů doporučuje vyjasnit osobní rozsah, tj. upřesnit kategorie subjektů údajů, na které se vztahuje vyhledávání podle článků 49 a 50, a také sladit doby uchovávání protokolů s cílem zajistit soulad s nařízením o Europolu. |
|
78. |
Návrh stanoví komplexní architekturu pro automatizované vyhledávání a výměnu údajů v prümském rámci na základě třech samostatných technických řešení, která vyvíjejí a udržují tři různé subjekty. Navíc jeden z nich – EUCARIS – nevychází z právního aktu EU, nýbrž má mezivládní povahu. Evropský inspektor ochrany údajů se proto domnívá, že by měl návrh výslovně upravovat odpovědnost za zpracování osobních údajů v systému EUCARIS. Dále je evropský inspektor ochrany údajů toho názoru, že vzhledem k rozsahu a citlivosti zpracování osobních údajů není současný horizontální model řízení podle prümského rámce dostatečný a měl by být dále posílen, např. pověřením některého ze subjektů EU, například Komise, funkcí ústředního koordinátora |
|
79. |
Dalším důležitým prvkem návrhu, který vyžaduje pečlivou analýzu jeho dopadů na základní práva, je sladění prümského rámce s rámcem interoperability informačních systémů EU v oblasti spravedlnosti a vnitřních věcí. Evropský inspektor ochrany údajů vyzývá společné normotvůrce, aby zvážili nutnost dalších pravidel v tomto ohledu, např. v rámci prováděcího aktu nebo aktu v přenesené pravomoci, který by upravoval konkrétní problematiku, jako například kvalitu a výkonnost algoritmů pro porovnávání zobrazení obličeje. |
|
80. |
Vzhledem k tomu, že právním základem návrhu je mimo jiné i článek 16 SFEU, doporučuje evropský inspektor ochrany údajů v zájmu jednoznačnosti a jistoty v návrhu upřesnit, že ustanoveními o ochraně údajů v kapitole 6 není dotčeno uplatňování směrnice o ochraně osobních údajů a nařízení EU o ochraně osobních údajů, pokud jde o zpracování osobních údajů v souvislosti s spoluprací při prosazování práva podle prümského rámce. |
|
81. |
Evropský inspektor ochrany údajů se dále domnívá, že požadavek na pravidelné kontroly operací zpracování osobních údajů pro účely nařízení Prüm II by měl být rozšířen a měl by se vztahovat i na operace zpracování osobních údajů na vnitrostátní úrovni. V této souvislosti evropský inspektor ochrany údajů doporučuje, aby čl. 60 odst. 2 návrhu odkazoval obecně na pravomoci evropského inspektora ochrany údajů podle článku 58 EUDPR, a nikoli pouze na některé z nich. |
V Bruselu dne 2. března 2022
Wojciech Rafał WIEWIÓROWSKI
(1) COM(2021) 784 final.
(2) COM(2021) 782 final.
(3) COM(2021) 780 final.
(4) https://ec.europa.eu/home-affairs/news/boosting-police-cooperation-across-borders-enhanced-security-2021-12-08_en
(5) Sdělení Komise o strategii bezpečnostní unie EU, COM/2020/605 final.
(6) Sdělení Komise o strategii EU pro boj proti organizované trestné činnosti na období 2021–2025, COM/2021/170 final.
(7) Sdělení Komise „Strategie pro zajištění plně funkčního a odolného schengenského prostoru“, COM/2021/277 final.
(8) Bližší informace naleznete ve stanovisku evropského inspektora ochrany údajů 4/2021, https://edps.europa.eu/system/files/2021-03/21-03-08_opinion_europol_reform_en.pdf