(1)

Η οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2) προβλέπει εναρμονισμένους κανόνες για την προστασία και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Η οδηγία απαιτεί από την Επιτροπή να επανεξετάσει άλλες σχετικές πράξεις που έχουν εκδοθεί από την Ένωση προκειμένου να αξιολογήσει την ανάγκη εναρμόνισής τους με την εν λόγω οδηγία και να υποβάλει, όπου αρμόζει, τις απαραίτητες προτάσεις για την τροποποίηση των εν λόγω πράξεων, ώστε να διασφαλιστεί μια συνεκτική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα που εμπίπτουν στο πεδίο εφαρμογής της εν λόγω οδηγίας.

(2)

Η απόφαση 2009/917/ΔΕΥ του Συμβουλίου (3) θεσπίζει το τελωνειακό σύστημα πληροφοριών (ΤΣΠ), σκοπός του οποίου είναι να συμβάλει στην πρόληψη, στη διερεύνηση και στη δίωξη σοβαρών παραβάσεων των εθνικών νόμων μέσω της ταχύτερης διάθεσης των πληροφοριών και, ως εκ τούτου, στην ενίσχυση της αποτελεσματικότητας των τελωνειακών αρχών των κρατών μελών. Το ΤΣΠ αποτελείται από μια κεντρική βάση δεδομένων που αποθηκεύει δεδομένα προσωπικού χαρακτήρα, όπως ονόματα και επώνυμα, διευθύνσεις, αριθμούς εγγράφων ταυτότητας, που αφορούν εμπορεύματα, μεταφορικά μέσα, επιχειρήσεις ή πρόσωπα, καθώς και δεσμευμένα, κατασχεθέντα ή δημευμένα αντικείμενα και μετρητά. Η κεντρική βάση δεδομένων τελεί υπό τη διαχείριση της Επιτροπής, η οποία δεν έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που είναι αποθηκευμένα σε αυτήν. Οι αρχές που ορίζονται από τα κράτη μέλη έχουν δικαίωμα πρόσβασης στην κεντρική βάση δεδομένων και μπορούν να εισάγουν και να συμβουλεύονται τις πληροφορίες που είναι αποθηκευμένες σε αυτήν. Ο Οργανισμός της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (Ευρωπόλ) και ο οργανισμός της Ευρωπαϊκής Ένωσης για τη συνεργασία στον τομέα της ποινικής δικαιοσύνης (Eurojust) έχουν, στο πλαίσιο των αντίστοιχων εντολών τους και για την εκπλήρωση των καθηκόντων τους, δικαίωμα πρόσβασης στα δεδομένα που εισάγονται στην κεντρική βάση δεδομένων από τις αρχές που έχουν οριστεί από τα κράτη μέλη, καθώς και δικαίωμα αναζήτησης στα εν λόγω δεδομένα.

(3)

Για να εξασφαλιστεί συνεπής προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, η απόφαση 2009/917/ΔΕΥ θα πρέπει να τροποποιηθεί προκειμένου να εναρμονιστεί με την οδηγία (ΕΕ) 2016/680. Ειδικότερα, οι κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα του ορίζονται στην εν λόγω απόφαση θα πρέπει να τηρούν την αρχή του προσδιορισμού του σκοπού, να περιορίζονται σε συγκεκριμένες κατηγορίες υποκειμένων των δεδομένων και κατηγορίες δεδομένων προσωπικού χαρακτήρα, να τηρούν τις απαιτήσεις ασφάλειας των δεδομένων, να περιλαμβάνουν πρόσθετη προστασία για ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα και να τηρούν τις προϋποθέσεις για μεταγενέστερη επεξεργασία. Επιπλέον, θα πρέπει να προβλεφθεί η συντονισμένη εποπτεία της λειτουργίας του ΤΣΠ από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και τις εθνικές εποπτικές αρχές σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4).

(4)

Προκειμένου να διασφαλιστεί μια σαφής και συνεκτική προσέγγιση για την επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα, ο όρος «σοβαρές παραβάσεις» που χρησιμοποιείται στην απόφαση 2009/917/ΔΕΥ θα πρέπει να αντικατασταθεί από τον όρο «ποινικά αδικήματα», όπως αναφέρεται στην οδηγία (ΕΕ) 2016/680, λαμβανομένου υπόψη ότι το γεγονός ότι μια συγκεκριμένη συμπεριφορά απαγορεύεται από το ποινικό δίκαιο ενός κράτους μέλους συνεπάγεται αφ’ εαυτού έναν ορισμένο βαθμό σοβαρότητας της παράβασης. Επιπλέον, ο στόχος του ΤΣΠ θα πρέπει να εξακολουθήσει να περιορίζεται στην παροχή συνδρομής σε σχέση με την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων βάσει των εθνικών νόμων, όπως ορίζονται στην απόφαση 2009/917/ΔΕΥ, δηλαδή των εθνικών νόμων σε σχέση με τους οποίους είναι αρμόδιες οι τελωνειακές αρχές των κρατών μελών και οι οποίοι, ως εκ τούτου, είναι ιδιαίτερα σημαντικοί στο πλαίσιο των τελωνείων. Ως εκ τούτου, παρότι ο χαρακτηρισμός ως ποινικό αδίκημα αποτελεί απαραίτητη προϋπόθεση, δεν καλύπτονται από την απόφαση 2009/917/ΔΕΥ όλα τα ποινικά αδικήματα σύμφωνα με το εθνικό δίκαιο. Για παράδειγμα, τα ποινικά αδικήματα της παράνομης διακίνησης ναρκωτικών, της παράνομης διακίνησης όπλων και της νομιμοποίησης εσόδων από παράνομες δραστηριότητες καλύπτονται από την απόφαση 2009/917/ΔΕΥ. Επιπλέον, η αντικατάσταση του όρου «σοβαρές παραβάσεις» με τον όρο «ποινικά αδικήματα» δεν θα πρέπει να θεωρείται ότι θίγει τις ειδικές απαιτήσεις που ορίζονται στην απόφαση 2009/917/ΔΕΥ σχετικά με την κατάρτιση και την αποστολή από κάθε κράτος μέλος καταλόγου ποινικών αδικημάτων βάσει του εθνικού του δικαίου που πληρούν ορισμένες προϋποθέσεις για τους σκοπούς του αρχείου φακέλων τελωνειακών ερευνών.

(5)

Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει της απόφασης 2009/917/ΔΕΥ, με την επιφύλαξη των ειδικών κανόνων που περιέχονται στην εν λόγω απόφαση, τα κράτη μέλη υπόκεινται στις εθνικές διατάξεις που θεσπίζονται σύμφωνα με την οδηγία (ΕΕ) 2016/680, η Επιτροπή υπόκειται στους κανόνες του κανονισμού (ΕΕ) 2018/1725, η Ευρωπόλ υπόκειται στους κανόνες του κανονισμού (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5) και η Eurojust υπόκειται στους κανόνες του κανονισμού (ΕΕ) 2018/1727 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6). Οι πράξεις αυτές διέπουν, μεταξύ άλλων, τις υποχρεώσεις και τις αρμοδιότητες των υπευθύνων επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας, των εκτελούντων την επεξεργασία και τη μεταξύ τους σχέση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Οι εθνικές εποπτικές αρχές που είναι υπεύθυνες για την παρακολούθηση και τη διασφάλιση της εφαρμογής της οδηγίας (ΕΕ) 2016/680 σε κάθε κράτος μέλος θα πρέπει να είναι αρμόδιες για την παρακολούθηση και τη διασφάλιση της εφαρμογής των διατάξεων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που ορίζονται στην απόφαση 2009/917/ΔΕΥ από τις αρμόδιες αρχές κάθε κράτους μέλους. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα πρέπει να είναι υπεύθυνος για την παρακολούθηση και τη διασφάλιση της εφαρμογής των διατάξεων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που ορίζονται στην απόφαση 2009/917/ΔΕΥ από την Επιτροπή, την Ευρωπόλ και τη Eurojust.

(6)

Προκειμένου να εξασφαλιστεί η βέλτιστη διατήρηση των δεδομένων στο ΤΣΠ, με παράλληλη μείωση του διοικητικού φόρτου για τις αρμόδιες αρχές, και σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 515/97 του Συμβουλίου (7), η διαδικασία που διέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα στο ΤΣΠ θα πρέπει να απλουστευθεί με την κατάργηση της υποχρέωσης ετήσιας επανεξέτασης της ανάγκης διατήρησης των δεδομένων προσωπικού χαρακτήρα και με τον καθορισμό μέγιστης περιόδου διατήρησης πέντε ετών, η οποία μπορεί να αυξηθεί, εφόσον δικαιολογείται, κατά δύο επιπλέον έτη. Η εν λόγω περίοδος διατήρησης είναι αναγκαία και αναλογική, λαμβανομένης υπόψη της τυπικής διάρκειας των ποινικών διαδικασιών και της ανάγκης χρήσης δεδομένων για τη διεξαγωγή κοινών τελωνειακών επιχειρήσεων και ερευνών.

(7)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απόφασης 2009/917/ΔΕΥ περιλαμβάνει την επεξεργασία, την ανταλλαγή και τη μετέπειτα χρήση των σχετικών πληροφοριών για τους σκοπούς που προβλέπονται στο άρθρο 87 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ). Για λόγους συνέπειας και αποτελεσματικής προστασίας των δεδομένων προσωπικού χαρακτήρα, η επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει της απόφασης 2009/917/ΔΕΥ θα πρέπει να είναι σύμφωνη με το ενωσιακό και εθνικό δίκαιο για την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες εθνικές αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.

(8)

Σύμφωνα με το άρθρο 6α του πρωτοκόλλου αριθ. 21 για τη θέση του Ηνωμένου Βασιλείου και της Ιρλανδίας όσον αφορά τον χώρο ελευθερίας, ασφάλειας και δικαιοσύνης, το οποίο προσαρτάται στη Συνθήκη για την Ευρωπαϊκή Ένωση (ΣΕΕ) και στη ΣΛΕΕ, η Ιρλανδία δεσμεύεται από την απόφαση 2009/917/ΔΕΥ και, συνεπώς, συμμετέχει στην έκδοση του παρόντος κανονισμού.

(9)

Σύμφωνα με τα άρθρα 1, 2 και 2α του πρωτοκόλλου αριθ. 22 σχετικά με τη θέση της Δανίας, το οποίο προσαρτάται στη ΣΕΕ και στη ΣΛΕΕ, η Δανία δεσμεύεται από την απόφαση 2009/917/ΔΕΥ και, ως εκ τούτου, συμμετέχει στην έκδοση του παρόντος κανονισμού.

(10)

Ζητήθηκε, σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, που γνωμοδότησε στις 4 Ιουλίου 2023.

(11)

Η απόφαση 2009/917/ΔΕΥ θα πρέπει, συνεπώς, να τροποποιηθεί αναλόγως,

1)

Στο άρθρο 1, η παράγραφος 2 αντικαθίσταται από το ακόλουθο κείμενο:

2)

Το άρθρο 2 τροποποιείται ως εξής:

3)

Στο άρθρο 3 παράγραφος 1, το εισαγωγικό μέρος αντικαθίσταται από το ακόλουθο κείμενο:

«Το τελωνειακό σύστημα πληροφοριών αποτελείται από μια κεντρική βάση στοιχείων, η πρόσβαση στην οποία επιτυγχάνεται μέσω τερματικών που τοποθετούνται σε κάθε κράτος μέλος. Περιλαμβάνει, αποκλειστικά, τα δεδομένα, περιλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, τα οποία είναι αναγκαία για την εκπλήρωση του κατά το άρθρο 1 παράγραφος 2 σκοπού του και τα οποία κατατάσσονται στις ακόλουθες κατηγορίες:».

4)

Το άρθρο 4 τροποποιείται ως εξής:

5)

Η παράγραφος 2 του άρθρου 5 αντικαθίσταται από το ακόλουθο κείμενο:

6)

Το άρθρο 7 τροποποιείται ως εξής:

7)

Το άρθρο 8 τροποποιείται ως εξής:

8)

Στο άρθρο 13, η παράγραφος 5 αντικαθίσταται από το ακόλουθο κείμενο:

9)

Το άρθρο 14 αντικαθίσταται από το ακόλουθο κείμενο:

10)

Το άρθρο 15 τροποποιείται ως εξής:

11)

Το άρθρο 20 αντικαθίσταται από το ακόλουθο κείμενο:

(*2)  Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39)."

(*3)  Κανονισμός (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2016, για τον Οργανισμό της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (Ευρωπόλ) και την αντικατάσταση και κατάργηση των αποφάσεων του Συμβουλίου 2009/371/ΔΕΥ, 2009/934/ΔΕΥ, 2009/935/ΔΕΥ, 2009/936/ΔΕΥ και 2009/968/ΔΕΥ (ΕΕ L 135 της 24.5.2016, σ. 53)."

(*4)  Κανονισμός (ΕΕ) 2018/1727 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Νοεμβρίου 2018, σχετικά με τον οργανισμό της Ευρωπαϊκής Ένωσης για τη συνεργασία στον τομέα της ποινικής δικαιοσύνης (Eurojust) και την αντικατάσταση και την κατάργηση της απόφασης 2002/187/ΔΕΥ του Συμβουλίου (ΕΕ L 295 της 21.11.2018, σ. 138).»."

12)

Τα άρθρα 22, 23, 24 και 25 απαλείφονται.

13)

Το άρθρο 26 αντικαθίσταται από το ακόλουθο κείμενο:

14)

Στο άρθρο 27 παράγραφος 2, το στοιχείο α) αντικαθίσταται από το ακόλουθο κείμενο:

15)

Το άρθρο 28 τροποποιείται ως εξής:

16)

Το άρθρο 29 αντικαθίσταται από το ακόλουθο κείμενο:

17)

Στο άρθρο 30, η παράγραφος 1 διαγράφεται.