Γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το Σύστημα Πληροφοριών για τις Θεωρήσεις (VIS) και την ανταλλαγή δεδομένων μεταξύ των κρατών μελών για τις θεωρήσεις μικρής διάρκειας [COM(2004) 835 τελικό]

(2005/C 181/06)

Ο ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

Έχοντας υπόψη:

τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο 286,

το Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 8,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών,

τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, και ιδίως το άρθρο 41,

την αίτηση της Επιτροπής για διατύπωση γνώμης σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 η οποία παραλήφθηκε στις 25 Ιανουαρίου 2005,

ΕΞΕΔΩΣΕ ΤΗΝ ΑΚΟΛΟΥΘΗ ΓΝΩΜΗ:

1.   ΕΙΣΑΓΩΓΗ

1.1.   Προκαταρκτικές παρατηρήσεις

Η σύσταση του Συστήματος Πληροφοριών για τις Θεωρήσεις (VIS) συνιστά σημαντικό μέρος της ενωσιακής κοινής πολιτικής για τις θεωρήσεις, έχουν δε εκδοθεί πολυάριθμες αλληλένδετες σχετικές νομικές πράξεις.

Το Δεκέμβριο του 2004, η Επιτροπή ενέκρινε πρόταση κανονισμού σχετικά με το VIS και την ανταλλαγή δεδομένων μεταξύ των κρατών μελών για τις θεωρήσεις μικρής διάρκειας (4) (εφεξής καλούμενη «η πρόταση») η οποία και αποτελεί το αντικείμενο της ανά χείρας γνώμης. Στην πρόταση, επισυνάπτεται μελέτη για την εκτεταμένη αξιολόγηση επιπτώσεων (5) (εφεξής καλούμενη «ΕΑΕ»).

Ωστόσο, όπως αναφέρεται στην αιτιολογική έκθεση, θα χρειαστούν και άλλες νομικές πράξεις για να συμπληρωθεί ο κανονισμός αυτός, ιδίως δε:

Όπως αποφάσισε το Συμβούλιο Δικαιοσύνης και Εσωτερικών Υποθέσεων της 5ης και 6ης Ιουνίου 2003 και όπως περιγράφεται στο άρθρο 1 παράγραφος 2 της προαναφερόμενης απόφασης του Συμβουλίου, του Ιουνίου του 2004, το VIS θα βασίζεται σε κεντρική αρχιτεκτονική που θα περιλαμβάνει βάση δεδομένων στην οποία θα αποθηκεύονται οι φάκελοι αιτήσεων θεώρησης: το «Κεντρικό Σύστημα Πληροφοριών για τις Θεωρήσεις» (CS-VIS), και μια «εθνική διεπαφή» (NI-VIS) που θα είναι εγκατεστημένη στα κράτη μέλη. Τα κράτη μέλη ορίζουν (6) μια κεντρική εθνική αρχή η οποία θα συνδέεται με την εθνική διεπαφή και μέσω της οποίας οι αντίστοιχες αρμόδιες αρχές θα έχουν πρόσβαση στο CS-VIS.

1.2.   Κύρια στοιχεία της πρότασης όσον αφορά την προστασία των δεδομένων

Η πρόταση αποσκοπεί στη διαχείριση της κοινής πολιτικής για τις θεωρήσεις, διευκολύνοντας την ανταλλαγή δεδομένων μεταξύ κρατών μελών χάρη στη σύσταση κεντρικής βάσης δεδομένων. Ο κανονισμός προβλέπει την εισαγωγή βιομετρικών δεδομένων (φωτογραφία και δακτυλικά αποτυπώματα) κατά τη διαδικασία αίτησης, καθώς και την αποθήκευση των δεδομένων αυτών στην κεντρική βάση δεδομένων.

Τα βιομετρικά δεδομένα θα μπορούν επίσης να χρησιμοποιούνται και στην αυτοκόλλητη θεώρηση, όπως προβλέπεται σε ένα τροποποιητικό κανονισμό που προτείνει η Επιτροπή για τη θεώρηση ενιαίου τύπου με την εισαγωγή της φωτογραφίας και των δακτυλικών αποτυπωμάτων, αποθηκευμένων σε μικροτσίπ (αναμένεται σχετική απόφαση του Συμβουλίου βάσει των αποτελεσμάτων της διεξαγόμενης ανάλυσης).

Στην πρόταση περιγράφονται αναλυτικά οι διάφορες επεξεργασίες των δεδομένων (εισαγωγή, τροποποίηση, διαγραφή και ανάγνωση) καθώς και των διαφόρων δεδομένων που θα καταχωρούνται στο VIS ανάλογα με την κατάσταση της αίτησης (αποδοχή, απόρριψη κ.λπ.).

Η πρόταση προβλέπει ότι τα δεδομένα που αφορούν κάθε αίτηση διατηρούνται επί πέντε έτη.

Η πρόταση αναφέρει, κατά περιοριστικό τρόπο, τις αρμόδιες αρχές, πλην των αρχών που είναι αρμόδιες για τη χορήγηση θεώρησης, οι οποίες θα έχουν πρόσβαση στο VIS, και καθορίζει τα δικαιώματα πρόσβασης που τους παρέχονται:

Στην περιγραφή της λειτουργίας του VIS και των συναφών αρμοδιοτήτων, η πρόταση τονίζει ότι η Επιτροπή επεξεργάζεται τα δεδομένα του VIS εξ ονόματος των κρατών μελών, περιγράφεται δε η ανάγκη να χρησιμοποιούνται τα αρχεία της επεξεργασίας δεδομένων προκειμένου να εξασφαλίζεται η ασφάλειά τους· παράλληλα, περιγράφονται αναλυτικά οι αντίστοιχες αρμοδιότητες για να εξασφαλίζεται αυτό το επίπεδο ασφαλείας.

Η πρόταση περιλαμβάνει κεφάλαιο για την προστασία των δεδομένων στο οποίο περιγράφεται αναλυτικά ο ρόλος των εθνικών αρχών καθώς και του Eυρωπαίου Eπόπτη Προστασίας Δεδομένων (EEΠΔ).

Σύμφωνα με την πρόταση, η τεχνική υλοποίηση του VIS και η επιλογή της απαιτούμενης τεχνολογίας ανατίθεται σε επιτροπή που συγκροτείται δυνάμει του άρθρου 5 παράγραφος 1 του κανονισμού (ΕΚ) αριθ. 2424/2001 σχετικά με την ανάπτυξη του Συστήματος Πληροφοριών Σένγκεν δεύτερης γενιάς (SIS II).

Στην πρόταση, επισυνάπτεται μια εκτεταμένη αξιολόγηση επιπτώσεων του VIS, η οποία πραγματοποιήθηκε από την EPEC κατ' εντολή της Επιτροπής. Στην αξιολόγηση αυτήν τονίζεται ότι η επιλογή ενός VIS που θα στηρίζεται στη χρήση βιομετρικών δεδομένων είναι η καλύτερη διαθέσιμη λύση για τη βελτίωση της κοινής πολιτικής για τις θεωρήσεις.

2.   ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ

Η πρόταση θα έχει σημαντικές επιπτώσεις στην ιδιωτική ζωή και σε άλλα θεμελιώδη δικαιώματα των ατόμων και, γι' αυτό, θα πρέπει να ελεγχθεί βάσει των αρχών για την προστασία των δεδομένων. Τα κυριότερα σημεία στα οποία βασίστηκε η εξέτασή μας είναι τα ακόλουθα:

Σήμερα, στη νομοθεσία της ΕΕ, οι βασικοί κανόνες προστασίας των δεδομένων καθορίζονται στις εξής πράξεις:

Η οδηγία 95/46/ΕΚ και ο κανονισμός 45/2001 πρέπει να εξετάζονται σε συνδυασμό με άλλες πράξεις. Δηλαδή, η οδηγία και ο κανονισμός, στο βαθμό που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία ενδέχεται να παραβιάζει θεμελιώδεις ελευθερίες, ιδίως δε το δικαίωμα ιδιωτικής ζωής, πρέπει να ερμηνεύονται υπό το πρίσμα των θεμελιωδών δικαιωμάτων. Αυτό προκύπτει και από τη νομολογία του Ευρωπαϊκού Δικαστηρίου (7).

3.   ΑΝΑΛΥΣΗ ΤΗΣ ΠΡΟΤΑΣΗΣ

3.1.   Γενικά

Ο ΕΕΠΔ αναγνωρίζει ότι η περαιτέρω ανάπτυξη μιας κοινής πολιτικής θεωρήσεων απαιτεί την ουσιαστική ανταλλαγή των σχετικών δεδομένων. Ένας μηχανισμός με τον οποίον είναι δυνατή η απρόσκοπτη ανταλλαγή πληροφοριών είναι το VIS. Ωστόσο, το μέσο αυτό θα πρέπει να περιορίζεται στη συλλογή και την ανταλλαγή δεδομένων, στο βαθμό που αυτή η συλλογή ή ανταλλαγή είναι αναγκαία για την ανάπτυξη μιας κοινής πολιτικής θεωρήσεων και είναι ανάλογη προς το στόχο αυτόν.

Η σύσταση του VIS ενδέχεται να έχει θετικές επιπτώσεις για άλλα νόμιμα δημόσια συμφέροντα, αλλά το γεγονός αυτό δεν μεταβάλλει το σκοπό του VIS. Ο περιορισμένος σκοπός του συστήματος διαδραματίζει μείζονα ρόλο στον καθορισμό του θεμιτού περιεχομένου και της θεμιτής χρήσης του συστήματος και, συνεπώς, και στην παροχή, στις αρχές των κρατών μελών, δικαιώματος πρόσβασης στο VIS (ή σε μέρη των δεδομένων) για νόμιμα δημόσια συμφέροντα.

Εξάλλου, η πρόταση εισάγει τη χρήση βιομετρικών δεδομένων στο VIS. Ο ΕΕΠΔ αναγνωρίζει τα πλεονεκτήματα της χρήσης βιομετρικών δεδομένων, αλλά τονίζει ότι η χρήση των δεδομένων αυτών θα έχει μείζονες επιπτώσεις, και προτείνει να εισαχθούν αυστηρές διασφαλίσεις όσον αφορά τη χρήση βιομετρικών δεδομένων.

Η παρούσα γνώμη πρέπει να ερμηνεύεται υπό το πρίσμα των μελημάτων αυτών. Σημειωτέον ότι η παρούσα γνώμη θα πρέπει να μνημονεύεται στο προοίμιο του κανονισμού πριν από το αιτιολογικό («Έχοντας υπόψη τη γνώμη …»).

3.2.   Σκοπός

Ο σκοπός του VIS έχει ζωτική σημασία, τόσο υπό το πρίσμα του άρθρου 8 ΕΣΑΔ όσο και στο γενικό πλαίσιο προστασίας των δεδομένων. Σύμφωνα με το άρθρο 6 της οδηγίας 95/46/ΕΚ, τα δεδομένα προσωπικού χαρακτήρα πρέπει «να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και η μεταγενέστερη επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς». Μόνον ένας σαφής καθορισμός σκοπών θα επιτρέψει την ορθή αξιολόγηση της αναλογικότητας και της καταλληλότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία έχει καίρια σημασία λόγω της φύσης των δεδομένων (συμπεριλαμβανομένων των βιομετρικών δεδομένων) και της έκτασης της προτεινόμενης επεξεργασίας.

Ο σκοπός του VIS δηλώνεται σαφώς στο άρθρο 1 παράγραφος 2 της πρότασης:

Συνεπώς, όλα τα στοιχεία του VIS πρέπει να είναι αναγκαία και ανάλογα μέσα για την επίτευξη αυτού του στόχου πολιτικής προς το συμφέρον της κοινής πολιτικής θεωρήσεων.

Στο άρθρο 1 παράγραφος 2 της πρότασης αναφέρονται επίσης και άλλα οφέλη της βελτίωσης της πολιτικής θεωρήσεων, όπως:

Ο ΕΕΠΔ κρίνει ότι τα στοιχεία αυτά αποτελούν παραδείγματα θετικών επιπτώσεων της σύστασης του VIS και της βελτίωσης της κοινής πολιτικής θεωρήσεων, όχι όμως αυτοσκοπούς.

Εν προκειμένω, πρέπει να εξεταστούν δύο κύριες επιπτώσεις:

3.3.   Ποιότητα δεδομένων

Σύμφωνα με το άρθρο 6 της οδηγίας 95/46/ΕΚ, τα δεδομένα προσωπικού χαρακτήρα πρέπει επίσης να είναι «κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται και υφίστανται επεξεργασία». Η διάταξη αυτή σχετίζεται με την αναλογικότητα του VIS αυτού καθεαυτού, αλλά και με τα δεδομένα που θα συλλέγονται και θα αποθηκεύονται σε αυτό και με τη μελλοντική τους χρήση, καθώς και με τις πρόσθετες διασφαλίσεις που ισχύουν εν προκειμένω. Τα στοιχεία αυτά είναι εξ ίσου σημαντικά για την αξιολόγηση της πρότασης υπό το πρίσμα του άρθρου 8 ΕΣΑΔ.

Η σύσταση του VIS αντιπροσωπεύει αναμφιβόλως σημαντική επέμβαση στην άσκηση του δικαιώματος ιδιωτικής ζωής, αν μη τι άλλο λόγω της έκτασης και των κατηγοριών δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Συνεπώς, η Ομάδα του άρθρου 29 ερώτησε, στη γνώμη της αριθ. 7/2004, «από ποιές μελέτες της έκτασης και της σοβαρότητας των φαινομένων αυτών προκύπτουν επιτακτικοί λόγοι δημόσιας ασφάλειας ή δημόσιας τάξης που θα αιτιολογούσαν την προσέγγιση αυτήν».

Ο ΕΕΠΔ σημείωσε με προσοχή τα στοιχεία που περιέχονται στην ΕΑΕ. Μολονότι τα στοιχεία αυτά δεν επιτρέπουν τη συναγωγή πλήρως αναμφισβήτητων συμπερασμάτων, φαίνεται ότι υπάρχουν επαρκείς λόγοι που αιτιολογούν τη σύσταση του VIS με σκοπό τη βελτίωση της κοινής πολιτικής θεωρήσεων.

Εν προκειμένω, φαίνεται ότι εμπίπτει στο πεδίο διακριτικής ευχέρειας του νομοθέτη να αποφασίσει τη σύσταση του VIS ως μέσου για τη βελτίωση των όρων έκδοσης θεωρήσεων από τα κράτη μέλη. Το σύστημα αυτό, αφ' εαυτού, θα συνάδει και θα ενισχύει την προοδευτική δημιουργία ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης όπως προβλέπεται από τη Συνθήκη ΕΚ.

Ωστόσο, η σύσταση και η χρήση του VIS δεν θα πρέπει ποτέ να έχουν ως αποτέλεσμα να μην διασφαλίζεται πλέον ένα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα στον τομέα αυτόν. Ανήκει πλέον στα συμβουλευτικά καθήκοντα του ΕΕΠΔ να εξετάσει κατά πόσον το VIS θα επηρεάσει το υφιστάμενο επίπεδο προστασίας των δεδομένων των ενδιαφερόμενων υποκειμένων των δεδομένων.

Κατόπιν των ανωτέρω, η γνώμη του ΕΕΠΔ θα εστιαστεί τα εξής θέματα:

Εκτός από τις ακόλουθες παραγράφους, η πρόταση δεν δίνει λαβή για σημαντικά σχόλια όσον αφορά τις κατηγορίες δεδομένων που θα εισάγονται στο VIS και τη χρήση τους. Οι σχετικές διατάξεις είναι προσεκτικά διατυπωμένες και φαίνεται να είναι, εν γένει, συνεπείς και κατάλληλες.

3.4.   Βιομετρία

3.4.1.   Επιπτώσεις της χρήσης της βιομετρίας

Η χρήση της βιομετρίας σε συστήματα πληροφορικής δεν είναι ποτέ ασήμαντη επιλογή, ιδίως όταν το συγκεκριμένο σύστημα αφορά τεράστιο αριθμό ατόμων. Η βιομετρία δεν είναι απλώς άλλη μια τεχνολογία των πληροφοριών, αλλά μεταβάλλει αμετάκλητα τη σχέση μεταξύ σώματος και ταυτότητας, στο μέτρο που επιτρέπει την «ανάγνωση» των χαρακτηριστικών του ανθρώπινου σώματος από μια μηχανή καθώς και την περαιτέρω χρήση τους. Ακόμη και εάν τα βιομετρικά χαρακτηριστικά δεν είναι δυνατόν να αναγνωσθούν από το ανθρώπινο μάτι, μπορούν να αναγνωσθούν και να χρησιμοποιηθούν με τα κατάλληλα εργαλεία, πάντοτε, όπου και εάν ευρίσκεται το άτομο.

Όσο χρήσιμη και αν είναι η βιομετρία για ορισμένους σκοπούς, η εκτεταμένη χρήση της θα έχει μείζονες επιπτώσεις στην κοινωνία και πρέπει να αποτελεί αντικείμενο ευρείας και ανοικτής συζήτησης. Ο ΕΕΠΔ είναι υποχρεωμένος να δηλώσει ότι η συζήτηση αυτή δεν έχει πραγματικά γίνει πριν εκπονηθεί η πρόταση. Το γεγονός αυτό καθιστά ακόμη επιτακτικότερη την ανάγκη για αυστηρές διασφαλίσεις όσον αφορά τη χρήση βιομετρικών δεδομένων και για προβληματισμό και συζήτηση κατά τη διάρκεια της νομοθετικής διαδικασίας.

3.4.2.   Ιδιαιτερότητα της βιομετρίας

Όπως τονίζεται ήδη σε πολλές γνώμες της Ομάδας του άρθρου 29 (11), η εισαγωγή και η επεξεργασία βιομετρικών δεδομένων για έγγραφα ταυτότητας πρέπει να υποστηρίζεται από ιδιαίτερα συνεπείς και σοβαρές διασφαλίσεις. Όντως, τα βιομετρικά δεδομένα είναι ιδιαίτερα ευαίσθητα, λόγω ορισμένων συγκεκριμένων χαρακτηριστικών τους.

Είναι αλήθεια ότι, εν αντιθέσει προς ένα σύνθημα ή μια κλείδα, η απώλεια βιομετρικών δεδομένων είναι σχεδόν αδύνατη για τον ενδιαφερόμενο. Τα δεδομένα αυτά προσφέρουν μια σχεδόν απόλυτη ιδιαιτερότητα, δηλαδή κάθε άτομο έχει μοναδικά βιομετρικά δεδομένα, τα οποία δεν μεταβάλλονται ποτέ καθ' όλη τη διάρκεια ζωής του, γεγονός που προσδίδει μονιμότητα στα χαρακτηριστικά αυτά. Όλοι μας έχουμε τα ίδια φυσικά «στοιχεία», γεγονός που προσδίδει στα βιομετρικά δεδομένα μια διάσταση καθολικότητας.

Ωστόσο, η ανάκληση των βιομετρικών δεδομένων είναι σχεδόν αδύνατη: είναι αδύνατον να αλλάξουμε ένα δάχτυλο ή το πρόσωπό μας. Το χαρακτηριστικό αυτό, θετικό μεν από ορισμένες απόψεις, οδηγεί σε ένα μείζον μειονέκτημα σε περίπτωση κλοπής ταυτότητας: η αποθήκευση των δακτυλικών αποτυπωμάτων και της φωτογραφίας σε μια βάση δεδομένων, σε συνδυασμό με την κλοπή του δελτίου ταυτότητας, θα μπορούσε να οδηγήσει σε μείζονα και μόνιμα προβλήματα για τον πραγματικό κάτοχο της ταυτότητας αυτής. Εξάλλου, ακριβώς λόγω της φύσεώς τους, τα βιομετρικά δεδομένα δεν είναι μυστικά και μπορούν μάλιστα να αφήνουν ίχνη (δακτυλικά αποτυπώματα, DNΑ) που επιτρέπουν τη συλλογή των δεδομένων αυτών εν αγνοία του κατόχου τους.

Λόγω των κινδύνων αυτών, οι οποίοι είναι εγγενείς στη φύση της βιομετρίας, θα πρέπει να εφαρμόζονται σημαντικές διασφαλίσεις (ιδίως όσον αφορά τη τήρηση της αρχής οριοθετημένου σκοπού, τον περιορισμό της πρόσβασης, και τα μέτρα ασφαλείας).

3.4.3.   Τεχνικές ατέλειες των δακτυλικών αποτυπωμάτων

Τα κυριότερα πλεονεκτήματα της βιομετρίας, όπως περιγράφονται ανωτέρω (καθολικότητα των δεδομένων, ιδιαιτερότητα, μονιμότητα, δυνατότητα χρησιμοποίησης κ.λπ.) δεν είναι ποτέ απόλυτα. Το γεγονός αυτό επηρεάζει άμεσα την αποτελεσματικότητα των διαδικασιών καταχώρησης και ελέγχου των βιομετρικών δεδομένων που προβλέπονται από τον κανονισμό.

Υπολογίζεται (12) ότι είναι αδύνατη η καταχώρηση των δακτυλικών αποτυπωμάτων ορισμένων ατόμων των οποίων το ποσοστό φθάνει το 5 % του πληθυσμού (είτε διότι τα άτομα αυτά δεν έχουν αναγνώσιμα δακτυλικά αποτυπώματα είτε διότι δεν έχουν καν αποτυπώματα). Στην ΕΑΕ που επισυνάπτεται στην πρόταση, προβλέπεται ότι, το 2007, θα υπάρχουν περίπου 20 εκατομμύρια άτομα που θα υποβάλουν αίτηση θεώρησης, πράγμα που σημαίνει ότι μέχρι και 1 εκατομμύριο άτομα δεν θα είναι σε θέση να ακολουθήσουν την «κανονική» διαδικασία καταχώρησης, με προφανείς επιπτώσεις στην αίτηση θεώρησης και στους ελέγχους στα σύνορα.

Επίσης, ο βιομετρικός προσδιορισμός της ταυτότητας είναι, εξ ορισμού, στατιστική διαδικασία. Ποσοστό σφάλματος 0,5 έως 1 % είναι φυσιολογικό (13), πράγμα που σημαίνει ότι το σύστημα ελέγχου στα εξωτερικά σύνορα θα εμφανίζει ποσοστό εσφαλμένης απόρριψης (FRR) μεταξύ 0,5 και 1 %. Το ποσοστό αυτό μετατρέπεται σε κατώτατο όριο βάσει της πολιτικής κινδύνου των αρμόδιων αρχών (αντιστοιχεί στον καθοριζόμενο λόγο του αριθμού ατόμων που απορρίπτονται ενώ δεν θα έπρεπε και εκείνων που γίνονται δεκτά ενώ δεν θα έπρεπε). Συνεπώς, είναι υπερβολικό να θεωρείται ότι οι τεχνολογίες αυτές θα προσφέρουν «ακριβή προσδιορισμό της ταυτότητας» του υποκειμένου των δεδομένων, όπως αναφέρεται στην 9η αιτιολογική παράγραφο της πρότασης κανονισμού.

Σύμφωνα με μια πρόσφατη διερευνητική μελέτη (14) που πραγματοποιήθηκε κατ' εντολήν της Επιτροπής LIBE του Ευρωπαϊκού Κοινοβουλίου, θα πρέπει να υπάρχουν εναλλακτικές διαδικασίες οι οποίες θα συνιστούν ουσιαστικές διασφαλίσεις για την εισαγωγή της βιομετρίας, δεδομένου ότι η βιομετρία δεν είναι ούτε προσιτή σε όλους ούτε πλήρως ακριβής. Οι διαδικασίες αυτές θα πρέπει να εφαρμόζονται και να χρησιμοποιούνται προκειμένου να γίνεται σεβαστή η αξιοπρέπεια των ατόμων που δεν μπορούν να ακολουθήσουν επιτυχώς τη διαδικασία καταχώρησης και να μην μετακυλίεται σε αυτά το βάρος των ατελειών του συστήματος (15).

Συνεπώς, ο ΕΕΠΔ συνιστά να εκπονηθούν εναλλακτικές διαδικασίες και να ενσωματωθούν στην πρόταση. Οι διαδικασίες αυτές δεν θα πρέπει ούτε να μειώνουν το επίπεδο ασφαλείας της πολιτικής θεωρήσεων ούτε να στιγματίζουν τα άτομα με μη αναγνώσιμα δακτυλικά αποτυπώματα.

3.5.   Ειδικές κατηγορίες δεδομένων

Ορισμένες κατηγορίες δεδομένων (πέραν των βιομετρικών δεδομένων) πρέπει να εξεταστούν ιδιαίτερα: δεδομένα που αφορούν τους λόγους απόρριψης της θεώρησης (3.4.1), και δεδομένα που αφορούν άλλα μέλη μιας ομάδας (3.4.2).

3.5.1   Λόγοι απόρριψης της θεώρησης

Το άρθρο 10 παράγραφος 2 της πρότασης προβλέπει την επεξεργασία δεδομένων που αφορούν τους λόγους απόρριψης της θεώρησης, όταν έχει ληφθεί απόφαση να απορριφθεί η έκδοση θεώρησης. Αυτοί οι λόγοι απόρριψης είναι πλήρως τυποποιημένοι.

Όλοι οι λόγοι απόρριψης πρέπει να εφαρμόζονται πολύ προσεκτικά, λόγω των συνεπειών του για το άτομο. Εξάλλου, ορισμένοι από αυτούς, και συγκεκριμένα οι λόγοι των σημείων γ) και δ), θα οδηγήσουν στην επεξεργασία «ευαίσθητων δεδομένων» κατά την έννοια του άρθρου 8 της οδηγίας 95/46/ΕΚ.

Ο ΕΕΠΔ επιθυμεί να τονίσει ιδιαίτερα τον όρο που αφορά τη δημόσια υγεία, ο οποίος φαίνεται ασαφής και συνεπάγεται την επεξεργασία ιδιαίτερα ευαίσθητων δεδομένων. Σύμφωνα με το σχολιασμό των άρθρων που επισυνάπτεται στην πρόταση, η αναφορά της απειλής για τη δημόσια υγεία βασίζεται στην «πρόταση κανονισμού του Συμβουλίου για τη θέσπιση του κοινοτικού κώδικα σχετικά με το καθεστώς διέλευσης των συνόρων από τα πρόσωπα» [COM(2004)391τελικό].

Ο ΕΕΠΔ γνωρίζει ότι ένα κριτήριο «δημόσιας υγείας» χρησιμοποιείται ευρέως στην κοινοτική νομοθεσία για την ελεύθερη κυκλοφορία των προσώπων και ότι εφαρμόζεται πολύ αυστηρά, όπως καταδεικνύεται από την οδηγία 2004/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Απριλίου 2004, σχετικά με το δικαίωμα των πολιτών της Ένωσης και των μελών των οικογενειών τους να κυκλοφορούν και να διαμένουν ελεύθερα στην επικράτεια των κρατών μελών. Στο άρθρο 29 της οδηγίας αυτής, καθορίζονται οι όροι σύμφωνα με τους οποίους λαμβάνεται υπόψη μια απειλή για τη δημόσια υγεία: «Οι μόνες ασθένειες που δικαιολογούν μέτρο περιοριστικό της ελευθερίας κυκλοφορίας, είναι οι ασθένειες που εγκλείουν κίνδυνο επιδημίας, όπως ορίζονται στις οικείες διατάξεις της Παγκόσμιας Οργάνωσης Υγείας, καθώς και άλλες λοιμώδεις νόσοι ή μεταδοτικές παρασιτικές ασθένειες, εφόσον αποτελούν, στο κράτος μέλος υποδοχής, αντικείμενο διατάξεων προστασίας εφαρμοστέων στους ημεδαπούς:»

Συνεπώς, ο ΕΕΠΔ συνιστά να περιληφθεί, στο κείμενο της πρότασης, παραπομπή στο άρθρο 29 της οδηγίας 2004/58/ΕΚ προκειμένου να διασφαλιστεί ότι η «απειλή για τη δημόσια υγεία» ερμηνεύεται βάσει της διάταξης αυτής. Εν πάση περιπτώσει, λόγω της ευαισθησίας τους, τα δεδομένα θα πρέπει να υποβάλλονται σε επεξεργασία μόνον εάν η απειλή για τη δημόσια υγεία είναι πραγματική, ενεστώσα και αρκούντως σοβαρή.

3.5.2.   Δεδομένα για άλλα μέλη μιας ομάδας

Στο άρθρο 2 παράγραφος 7, τα «μέλη της ομάδας» ορίζονται ως «οι λοιποί αιτούντες με τους οποίους ο αιτών ταξιδεύει, συμπεριλαμβανομένου/ης του/της συζύγου και των τέκνων που συνοδεύουν τον αιτούντα». Στο σχολιασμό των άρθρων αναφέρεται ότι οι ορισμοί του άρθρου 2 της πρότασης παραπέμπουν στη Συνθήκη ή το κεκτημένο του Σένγκεν για την πολιτική θεωρήσεων, πλην ορισμένων όρων, στους οποίους συγκαταλέγονται τα «μέλη της ομάδας», οι οποίοι ορίζονται συγκεκριμένα για τους σκοπούς του εν λόγω κανονισμού. Συνεπώς, μπορεί να θεωρηθεί ότι ο ορισμός αυτός δεν παραπέμπει στον ορισμό της «ομαδικής θεώρησης» ο οποίος περιέχεται στο άρθρο 2.1.4 της Κοινής Προξενικής Εγκυκλίου. Στο σχολιασμό των άρθρων αναφέρονται οι «αιτούντες που ταξιδεύουν ως ομάδα μαζί με άλλους αιτούντες, π.χ. στο πλαίσιο συμφωνίας ΚΕΠ, ή μαζί με μέλη της οικογένειάς τους».

Ο ΕΕΠΔ τονίζει ότι ο κανονισμός πρέπει να περιέχει ακριβή και πλήρη ορισμό των «μελών της ομάδας». Στη σημερινή πρόταση, επειδή δεν υπάρχει ακριβής παραπομπή στη Συνθήκη ή στο κεκτημένο του Σένγκεν, ο ΕΕΠΔ είναι υποχρεωμένος να επισημάνει ότι ο ορισμός είναι πολύ ασαφής. Σύμφωνα με τον ορισμό αυτόν, τα «μέλη της ομάδας» θα μπορούσαν να είναι συνάδελφοι, άλλοι πελάτες του ίδιου ταξιδιωτικού πρακτορείου που συμμετέχουν σε ένα οργανωμένο ταξίδι, κ.λπ. Οι συνέπειες είναι όντως σοβαρότατες: σύμφωνα με το άρθρο 5

του σχεδίου κανονισμού, ο φάκελος αίτησης ενός αιτούντος θα συνδέεται με τους φακέλους αίτησης των άλλων μελών της ομάδας.

3.6.   Διατήρηση των δεδομένων

Το άρθρο 20 του σχεδίου κανονισμού προβλέπει ότι κάθε φάκελος αίτησης διατηρείται επί πέντε έτη. Αποτελεί επιλογή πολιτικής της κοινοτικής νομοθεσίας να προβλέπει εύλογο χρονικό όριο.

Δεν υπάρχουν στοιχεία — και οπωσδήποτε όχι βάσει των λόγων που αναφέρονται στο σχολιασμό των άρθρων — για να συναχθεί το συμπέρασμα ότι η επιλογή πολιτικής στο πλαίσιο της υπό εξέταση πρότασης δεν είναι εύλογη ή ότι θα έχει απαράδεκτες επιπτώσεις, υπό την προϋπόθεση ότι υπάρχουν όλοι οι απαιτούμενοι διορθωτικοί μηχανισμοί. Αυτό σημαίνει ότι η διόρθωση ή η διαγραφή των δεδομένων πρέπει να διασφαλίζεται όταν τα δεδομένα δεν είναι πλέον ακριβή, ιδίως δε όταν ένα άτομο έχει πολιτογραφηθεί σε ένα κράτος μέλος ή έχει αποκτήσει χαρακτηρισμό που δεν απαιτεί την εγγραφή του στο σύστημα.

Εξάλλου, όταν τα δεδομένα υπάρχουν ακόμη στο σύστημα, δεν πρέπει επ' ουδενί να προδικάζουν νέα απόφαση. Ορισμένοι λόγοι άρνησης (ιδίως, προειδοποίηση σχετικά με τον αιτούντα προκειμένου να μην του επιτραπεί η είσοδος, ή απειλή για τη δημόσια υγεία) έχουν περιορισμένη χρονική ισχύ. Το γεγονός ότι υπήρξαν βάσιμοι λόγοι για την άρνηση εισόδου σε μια συγκεκριμένη στιγμή δεν θα πρέπει να επηρεάζει νέες αποφάσεις. Η κατάσταση πρέπει να επανεξετάζεται εξ ολοκλήρου για κάθε νέα αίτηση θεώρησης, αυτή δε η επιταγή πρέπει να διατυπώνεται ρητά στον κανονισμό, όπου χρειάζεται.

3.7.   Πρόσβαση στα δεδομένα και χρήση των δεδομένων

3.7.1.   Προκαταρκτικές παρατηρήσεις

Κατ' αρχάς, ο ΕΕΠΔ αναγνωρίζει ότι το ρυθμιστικό σύστημα για την πρόσβαση στα δεδομένα VIS και για τη χρήση τους εκπονήθηκε με ιδιαίτερη επιμέλεια. Κάθε αρχή έχει πρόσβαση σε διαφορετικά δεδομένα για διαφορετικούς σκοπούς. Ο ΕΕΠΔ δεν μπορεί παρά να επικροτήσει την προσέγγιση αυτήν. Οι παρατηρήσεις που ακολουθούν αποσκοπούν στην πληρέστερη δυνατή εφαρμογή της προσέγγισης αυτής.

3.7.2.   Έλεγχοι θεωρήσεων στα σημεία διέλευσης των εξωτερικών συνόρων και εντός της επικράτειας

Για τους ελέγχους στα εξωτερικά σύνορα, το άρθρο 16 της πρότασης κανονισμού αναφέρει σαφώς τους δύο σκοπούς:

Οι δύο αυτοί σκοποί μπορούν να επιτευχθούν πολύ καλά με τη μοναδική πρόσβαση των αρμόδιων αρχών στο προστατευμένο μικροτσίπ για τη διενέργεια ελέγχων σχετικά με τις θεωρήσεις. Συνεπώς, η πρόσβαση στην κεντρική βάση δεδομένων του VIS θα ήταν υπερβολική στην περίπτωση αυτήν και θα σήμαινε ότι πολλές αρχές θα συνδέονται με το VIS, πράγμα που ενδέχεται να αυξήσει τον κίνδυνο αναρμόδιας χρήσης. Ενδέχεται επίσης να είναι και δαπανηρότερη επιλογή, δεδομένου ότι θα αυξηθούν τόσο ο αριθμός των ασφαλών και ελεγχόμενων προσβάσεων στο VIS, όσο και η ανάγκη για ειδική εκπαίδευση για την πρόσβαση αυτήν.

Εξάλλου, υπάρχουν αμφιβολίες όσον αφορά την καταλληλότητα της πρόσβασης στα δεδομένα όπως προβλέπεται στο δεύτερο σημείο του άρθρου 16. Όντως, στο σημείο α) της παραγράφου 2 αναφέρεται ότι εάν, ύστερα από την πρώτη έρευνα, κρίνεται ότι τα δεδομένα για τον αιτούντα είναι καταχωρημένα στο VIS (πράγμα το οποίο πρέπει να συμβαίνει κατ' αρχήν), η αρμόδια αρχή μπορεί να συμβουλεύεται άλλα δεδομένα, πάντοτε για την εξακρίβωση της ταυτότητας. Τα δεδομένα αυτά αφορούν όλες τις πληροφορίες που σχετίζονται με την αίτηση, τις φωτογραφίες, τα δακτυλικά αποτυπώματα, καθώς και με οποιαδήποτε προηγουμένως εκδοθείσα, ακυρωθείσα, ανακληθείσα ή παραταθείσα θεώρηση.

Εάν η εξακρίβωση της ταυτότητας υπήρξε επιτυχής, δεν είναι καθόλου σαφής ο λόγος για τον οποίον χρειάζονται τα άλλα αυτά δεδομένα. Αντίθετα, τα δεδομένα αυτά θα πρέπει να είναι προσιτά μόνον, και υπό περιορισμούς, εάν η διαδικασία εξακρίβωσης υπήρξε ανεπιτυχής. Στην περίπτωση αυτήν, τα δεδομένα που αναφέρονται στην παράγραφο 2 του άρθρου 16 θα συνέβαλαν καταλλήλως στην εφαρμογή μιας εναλλακτικής διαδικασίας για την εξακρίβωση της ταυτότητας του ατόμου. Συνεπώς, τα δεδομένα αυτά δεν θα πρέπει να είναι προσιτά σε κάθε υπάλληλο του σημείου διέλευσης των συνόρων, αλλά μόνον, και υπό περιορισμούς, στους υπαλλήλους που είναι αρμόδιοι για τις δυσχερείς περιπτώσεις.

Τέλος, ο ορισμός των αρχών που διαθέτουν πρόσβαση θα πρέπει να είναι ακριβέστερος. Συγκεκριμένα, δεν είναι σαφές ποιές είναι οι «αρμόδιες αρχές που είναι επιφορτισμένες με τους ελέγχους στο έδαφος του κράτους μέλους». Ο ΕΕΠΔ πιστεύει ότι η έκφραση αυτή σημαίνει τις αρμόδιες αρχές που είναι επιφορτισμένες με τους ελέγχους θεωρήσεων, και ότι το άρθρο 16 θα πρέπει να τροποποιηθεί ανάλογα.

3.7.3.   Χρήση των δεδομένων για την εξακρίβωση της ταυτότητας και την επιστροφή λαθρομεταναστών, και για τις διαδικασίες παροχής ασύλου

Στις περιπτώσεις που περιγράφονται στα άρθρα 17, 18 και 19 (επιστροφή λαθρομεταναστών και διαδικασία παροχής ασύλου), το VIS χρησιμοποιείται για την εξακρίβωση της ταυτότητας. Στα δεδομένα που μπορούν να χρησιμοποιούνται για την εξακρίβωση της ταυτότητας συγκαταλέγονται οι φωτογραφίες. Ωστόσο, με την υπάρχουσα τεχνολογία αυτόματης αναγνώρισης προσώπου για τόσο μεγάλα μηχανοργανωμένα συστήματα, οι φωτογραφίες δεν μπορούν να χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας (ένα προς πολλά) δεν παρέχουν αξιόπιστα αποτελέσματα. Συνεπώς, οι φωτογραφίες δεν θεωρούνται ως δεδομένα κατάλληλα για την εξακρίβωση της ταυτότητας.

Κατά συνέπεια, ο ΕΕΠΔ τονίζει ότι ο όρος «φωτογραφίες» πρέπει να διαγραφεί από το πρώτο μέρος των άρθρων αυτών και να διατηρηθεί στο δεύτερο μέρος τους (οι φωτογραφίες μπορούν να χρησιμοποιούνται για τον έλεγχο της ταυτότητας ενός προσώπου, αλλά όχι για την εξακρίβωση της ταυτότητας σε μια μεγάλη βάση δεδομένων).

Μια άλλη δυνατότητα συνίσταται στην τροποποίηση του άρθρου 36 ώστε οι λειτουργίες επεξεργασίας φωτογραφιών για την εξακρίβωση της ταυτότητας να ενεργοποιηθούν μόνον όταν κρίνεται ότι η σχετική τεχνολογία είναι αξιόπιστη (ενδεχομένως ύστερα από γνωμοδότηση της τεχνικής επιτροπής).

3.7.4.   Δημοσιοποίηση των αρχών που διαθέτουν πρόσβαση

Σύμφωνα με το άρθρο 4 του σχεδίου κανονισμού, τα ονόματα των αρμόδιων αρχών που ορίζονται σε κάθε κράτος μέλος για να έχουν πρόσβαση στο VIS δημοσιεύονται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. Η δημοσίευση αυτή πρέπει να είναι τακτική (ετήσια), ώστε να γίνονται γνωστές οι αλλαγές στην κατάσταση των διαφόρων κρατών. Ο ΕΕΠΔ τονίζει ότι η δημοσίευση αυτή αποτελεί σημαντικό μέσο ελέγχου, τόσο σε ευρωπαϊκό όσο και σε εθνικό ή τοπικό επίπεδο.

3.8.   Αρμοδιότητες

Υπενθυμίζεται εν προκειμένω ότι το VIS θα βασίζεται, αφενός μεν, σε κεντρική αρχιτεκτονική με κεντρική βάση δεδομένων όπου θα αποθηκεύονται όλες οι πληροφορίες για τις θεωρήσεις, αφετέρου δε, σε εθνικές διεπαφές οι οποίες θα είναι εγκατεστημένες στα κράτη μέλη και θα παρέχουν, στις αρμόδιες αρχές τους, πρόσβαση στο κεντρικό σύστημα. Σύμφωνα με τις αιτιολογικές παραγράφους 14 και 15 του σχεδίου κανονισμού, η μεν οδηγία 95/46/ΕΚ θα εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατ' εφαρμογήν του κανονισμού, ο δε κανονισμός 45/2001 θα εφαρμόζεται στις δραστηριότητες της Επιτροπής που έχουν σχέση με την προστασία δεδομένων προσωπικού χαρακτήρα. Όπως αναφέρεται στη συνάρτηση αυτήν σε αυτές τις αιτιολογικές παραγράφους, η πρόταση αποσκοπεί στη διευκρίνιση ορισμένων σημείων, μεταξύ άλλων, σχετικά με την αρμοδιότητα για τη χρήση των δεδομένων και την εποπτεία της προστασίας των δεδομένων.

Όντως, τα σημεία αυτά φαίνεται να σχετίζονται με ορισμένες ζωτικής σημασίας λεπτομέρειες, χωρίς τις οποίες το σύστημα διασφαλίσεων της οδηγίας 95/46/ΕΚ και του κανονισμού 45/2001 δεν θα μπορούσε να εφαρμοστεί ή δεν θα ήταν εντελώς σύμφωνο με την πρόταση. Κανονικά, η δυνατότητα εφαρμογής του εθνικού δικαίου δυνάμει της οδηγίας προϋποθέτει έναν υπεύθυνο εγκατεστημένο στο οικείο κράτος μέλος (άρθρο 4), ενώ η δυνατότητα εφαρμογής του κανονισμού εξαρτάται από την επεξεργασία δεδομένων προσωπικού χαρακτήρα από κοινοτικό όργανο ή οργανισμό στα πλαίσια της άσκησης δραστηριοτήτων που εμπίπτουν, εν όλω ή εν μέρει, στο πεδίο εφαρμογής του κοινοτικού δικαίου (άρθρο 3).

Σύμφωνα με την παράγραφο 2 του άρθρου 23 του σχεδίου κανονισμού, τα δεδομένα «υφίστανται επεξεργασία από το VIS για λογαριασμό των κρατών μελών». Σύμφωνα με την παράγραφο 3 του άρθρου 23, τα κράτη μέλη διορίζουν την αρχή που θα θεωρείται αρμόδια για την επεξεργασία, σύμφωνα με το άρθρο 2 στοιχείο δ) της οδηγίας 95/46/ΕΚ. Η διάταξη αυτή φαίνεται να σημαίνει ότι, σύμφωνα με το σύστημα της οδηγίας, η Επιτροπή θα πρέπει να θεωρείται ως «εκτελών την επεξεργασία», πράγμα που επιβεβαιώνεται από το σχολιασμό των άρθρων (16).

Η διατύπωση αυτή φαίνεται να υποβαθμίζει το σημαντικότατο και μάλιστα ζωτικό ρόλο της Επιτροπής, τόσο στην φάση ανάπτυξης του συστήματος όσο και κατά τη συνήθη λειτουργία του. Είναι δύσκολο να συνδεθεί με ακρίβεια ο ρόλος της Επιτροπής με την έννοια του «υπευθύνου της επεξεργασίας» ή του «εκτελούντος την επεξεργασία» πρόκειται, είτε για «εκτελούντα την επεξεργασία» με ασυνήθεις εξουσίες (μεταξύ άλλων, σχεδιασμός του συστήματος), είτε για «υπεύθυνο επεξεργασίας» με περιορισμένες εξουσίες (αφού τα δεδομένα εισάγονται και χρησιμοποιούνται από τα κράτη μέλη). Όντως, ο ρόλος της Επιτροπής όσον αφορά το VIS μπορεί κάλλιστα να χαρακτηριστεί ως sui generis (17).

Ο σημαντικός αυτός ρόλος θα πρέπει να αναγνωρίζεται με γενική περιγραφή των καθηκόντων της Επιτροπής, και όχι με διατύπωση η οποία δεν αντιστοιχεί πλήρως προς την πραγματικότητα, διότι είναι πολύ περιοριστική, δεν μεταβάλλει τίποτα στη λειτουργία του VIS και μόνον σύγχυση προκαλεί. Αυτό είναι επίσης σημαντικό για να υπάρχει συνεπής και ουσιαστική εποπτεία του VIS (βλ. και παράγραφο 3.11). Συνεπώς, ο ΕΕΠΔ συνιστά να διαγραφεί η παράγραφος 2 του άρθρου 23.

Ο ΕΕΠΔ επιθυμεί να τονίσει ότι μια πλήρης περιγραφή των καθηκόντων της Επιτροπής όσον αφορά το VIS έχει μεγάλη σημασία εάν η Επιτροπή σκοπεύει να αναθέσει τα διαχειριστικά καθήκοντα σε άλλο φορέα. Στο Δημοσιονομικό Δελτίο που επισυνάπτεται στην πρόταση αναφέρεται η δυνατότητα μεταβίβασης των καθηκόντων αυτών στον Οργανισμό Εξωτερικών Συνόρων. Στη συνάρτηση αυτήν, η Επιτροπή δεν πρέπει επ' ουδενί να αφήσει αβεβαιότητα όσον αφορά το πεδίο των αρμοδιοτήτων της, ώστε ο διάδοχός της να γνωρίζει τα όρια εντός των οποίων θα μπορεί να ενεργεί.

3.9.   Ασφάλεια

Η διαχείριση και τήρηση βέλτιστου επιπέδου ασφαλείας για το VIS συνιστά προϋπόθεση προκειμένου να εξασφαλιστεί η αναγκαία προστασία των δεδομένων προσωπικού χαρακτήρα που αποθηκεύονται στη βάση δεδομένων του. Για να επιτευχθεί αυτό το ικανοποιητικό επίπεδο ασφάλειας, θα πρέπει να τεθούν σε εφαρμογή οι δέουσες διασφαλίσεις για τον χειρισμό των εν δυνάμει κινδύνων που έχουν να κάνουν με την υποδομή του συστήματος και με τους ενδιαφερομένους. Το θέμα αυτό συζητείται ήδη στα πλαίσια των διαφόρων τμημάτων της πρότασης και θα έπρεπε να βελτιωθεί κάπως.

Τα άρθρα 25 και 26 της πρότασης περιλαμβάνουν διάφορα μέτρα για την ασφάλεια των δεδομένων και προσδιορίζουν ποιό είδος αναρμόδιας χρήσης θα πρέπει να προλαμβάνεται. Αυτές οι διατάξεις θα μπορούσαν ωστόσο να συμπληρώνονται από μέτρα για τη συστηματική παρακολούθηση και υποβολή εκθέσεων όσον αφορά την αποτελεσματικότητα των προαναφερομένων μέτρων ασφαλείας. Ο ΕΕΠΔ συνιστά ειδικότερα να προστεθούν στα άρθρα αυτά διατάξεις για συστηματικό (αυτο-) έλεγχο των μέτρων ασφάλειας.

Αυτό έχει σχέση με το άρθρο 40 της πρότασης, το οποίο προβλέπει παρακολούθηση και αξιολόγηση, πράγμα που δεν θα πρέπει να αφορά μόνον τις πτυχές των αποτελεσμάτων, της αποδοτικότητας και της ποιότητας υπηρεσιών, αλλά και τη συμμόρφωση προς τις νομοθετικές προδιαγραφές, και δη στον τομέα της προστασίας των δεδομένων. Ο ΕΕΠΔ συνιστά ως εκ τούτου να επεκταθεί το πεδίο εφαρμογής του άρθρου 40 στην παρακολούθηση και υποβολή εκθέσεων σχετικά με τη νομιμότητα της επεξεργασίας.

Επιπλέον, θα πρέπει να προστεθεί, προς συμπλήρωση του άρθρου 24 παρ. 4 στοιχείο γ) ή του άρθρου 26 παρ. 2 στοιχείο ε) περί του δεόντως εξουσιοδοτημένου προσωπικού που έχει πρόσβαση στα δεδομένα, ότι τα κράτη μέλη θα πρέπει να μεριμνούν ώστε να υπάρχουν τα συγκεκριμένα χαρακτηριστικά των χρηστών (που θα πρέπει να φυλάσσονται στη διάθεση των εθνικών εποπτικών αρχών για ελέγχους επαλήθευσης). Πέραν των χαρακτηριστικών αυτών θα πρέπει να καταρτιστεί ένας πλήρης κατάλογος ταυτοτήτων των χρηστών, ο οποίος και να ενημερώνεται συνεχώς από τα κράτη μέλη. Το αυτό ισχύει για την Επιτροπή: ως εκ τούτου το άρθρο 25 παρ. 2 στοιχείο β) θα πρέπει να συμπληρωθεί με τον ίδιο τρόπο.

Αυτά τα μέτρα ασφαλείας συμπληρώνονται με διασφαλίσεις για την παρακολούθηση και την οργάνωση. Το άρθρο 28 της πρότασης εκθέτει τις προϋποθέσεις και τους σκοπούς για τους οποίους πρέπει να τηρούνται τα αρχεία όλων των πράξεων επεξεργασίας δεδομένων. Τα αρχεία αυτά όχι μόνο θα αποθηκεύονται χάριν παρακολούθησης της προστασίας των δεδομένων και κατοχύρωσης της ασφάλειάς τους, αλλά και για τη διενέργεια τακτικών αυτοελέγχων του VIS. Οι εκθέσεις σχετικά με τον αυτοέλεγχο θα συντελέσουν στην ουσιαστική εκτέλεση των καθηκόντων των αρχών ελέγχου, οι οποίες θα είναι σε θέση να εντοπίζουν τα ασθενέστερα σημεία και να συγκεντρώνουν την προσοχή τους σε αυτά κατά τη διάρκεια της οικείας διαδικασίας ελέγχου.

3.10.   Δικαιώματα του υποκειμένου των δεδομένων

3.10.1.   Πληροφόρηση του υποκειμένου των δεδομένων

Η παροχή πληροφοριών προς το υποκείμενο των δεδομένων προκειμένου να εξασφαλίζεται αμερόληπτη επεξεργασία έχει υπέρτατη σημασία συνιστά απαραίτητη διασφάλιση των δικαιωμάτων του ατόμου. Το άρθρο 30 της πρότασης ακολουθεί κατά βάση στα θέμα αυτό το άρθρο 10 της οδηγίας 95/46/ΕΚ.

Η διάταξη αυτή θα μπορούσε ωστόσο να υποστεί κάποιες τροποποιήσεις ούτως ώστε να αρμόζει περισσότερο στο πλαίσιο του VIS. Πέραν του ότι προβλέπει την παροχή ορισμένων πληροφοριών, η οδηγία επιτρέπει να παρέχονται περισσότερες πληροφορίες εφ'όσον κρίνεται αναγκαίο (18). Κατά συνέπεια, το άρθρο 30 θα πρέπει να τροποποιηθεί ούτως ώστε να συμπεριλάβει τα ακόλουθα σημεία:

3.10.2.   Δικαιώματα πρόσβασης, διόρθωσης και διαγραφής

Το άρθρο 31 παρ. 1, τελευταία πρόταση, δηλώνει ότι «αυτή η πρόσβαση στα δεδομένα μπορεί να χορηγείται μόνο από το κράτος μέλος». Αυτό σημαίνει κατά τεκμήριο ότι η πρόσβαση στα δεδομένα (ή η κοινοποίησή τους) μπορεί να παρέχεται όχι από την κεντρική μονάδα αλλά από οποιοδήποτε κράτος μέλος. Ο ΕΕΠΔ συνιστά να καθίσταται σαφές ότι η κοινοποίηση αυτή μπορεί να ζητείται σε οποιοδήποτε κράτος μέλος.

Επίσης, η διάταξη αυτή όπως έχει διατυπωθεί φαίνεται να υπονοεί ότι η πρόσβαση δεν είναι δυνατόν να απορρίπτεται και ότι χορηγείται δίχως την άδεια του υπεύθυνου κράτους μέλους. Αυτό εξηγεί γιατί οι εθνικές αρχές οφείλουν να συνεργάζονται για την κατοχύρωση των δικαιωμάτων που ορίζονται στο άρθρο 31 παράγραφοι 2, 3 και 4, όχι όμως και των δικαιωμάτων του άρθρου 31 παρ. 1 (19).

3.10.3.   Επικουρία από τις αρχές ελέγχου

Το άρθρο 33 παρ. 2 ορίζει ότι η υποχρέωση των εθνικών εποπτικών αρχών να επικουρούν και να συμβουλεύουν το ενδιαφερόμενο πρόσωπο υφίσταται άνευ (δικαστικής) διαδικασίας. Η έννοια αυτής της παραγράφου δεν είναι σαφής. Οι εθνικές εποπτικές αρχές έχουν διαφορετικές αντιλήψεις περί του ρόλου τους στα πλαίσια δικαστικών διαδικασιών. Η παράγραφος δίνει την εντύπωση ότι οφείλουν να παίζουν ρόλο δικηγόρου του ενάγοντος, πράγμα που σε πολλές χώρες δεν είναι δυνατόν.

3.11.   Εποπτεία

Η πρόταση επιμερίζει τα εποπτικά καθήκοντα στις εθνικές εποπτικές αρχές και στον ΕΕΕΠΔ, πράγμα που συνάδει με την προσέγγιση της πρότασης όσον αφορά την εφαρμοστέα νομοθεσία και τις αρμοδιότητες για τη λειτουργία και χρήση του VIS, καθώς και με την ανάγκη ουσιαστικής εποπτείας. Κατά συνέπεια ο ΕΕΠΔ επικροτεί την προσέγγιση αυτή στα άρθρα 34 και 35.

Οι εθνικές εποπτικές αρχές ελέγχουν τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, συμπεριλαμβανομένης της διαβίβασής τους προς και από το VIS. Ο ΕΕΠΔ παρακολουθεί τις δραστηριότητες της Επιτροπής (...). Ελέγχει επιπλέον τη νομιμότητα της διαβίβασης των δεδομένων προσωπικού χαρακτήρα μεταξύ των εθνικών διεπαφών και του κεντρικού συστήματος πληροφοριών για τις θεωρήσεις. Αυτό ενδέχεται να οδηγήσει σε αλληλεπικάλυψη αρμοδιοτήτων, καθότι αρμόδιοι για τον έλεγχο της νομιμότητας της διαβίβασης δεδομένων μεταξύ των Εθνικών Διεπαφών και του Κεντρικού Συστήματος Πληροφοριών για τις Θεωρήσεις είναι συγχρόνως και η εθνική εποπτική αρχή και ο ΕΕΠΔ.

Ως εκ τούτου, ο ΕΕΠΔ προτείνει τροποποίηση του άρθρου 34 ούτως ώστε να διευκρινίζεται ότι οι εθνικές εποπτικές αρχές ελέγχουν τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από το κράτος μέλος και της διαβίβασής τους από και προς την Εθνική Διεπαφή του VIS.

Όσο για την εποπτεία του VIS, έχει σημασία να τονιστεί ότι οι εποπτικές δραστηριότητες της εθνικής εποπτικής αρχής και του ΕΕΠΔ θα πρέπει μέχρις ορισμένου βαθμού να συντονίζονται, ούτως ώστε να εξασφαλίζεται ικανοποιητικό επίπεδο συνοχής και γενικής αποτελεσματικότητας. Χρειάζεται όντως η εναρμονισμένη εφαρμογή του κανονισμού και η συνεργασία για μια κοινή μεθόδευση κοινών προβλημάτων. Επίσης, καθόσον αφορά την ασφάλεια μπορούμε να προσθέσουμε ότι το επίπεδο ασφαλείας του VIS θα καθοριστεί σε τελική ανάλυση από το επίπεδο ασφαλείας του ασθενέστερου κρίκου του. Από αυτή την άποψη θα πρέπει επίσης να συγκροτηθεί και να ενισχυθεί η συνεργασία μεταξύ του ΕΕΠΔ και των εθνικών αρχών. Το άρθρο 35 θα πρέπει λοιπόν να περιλαμβάνει σχετική διάταξη που να ορίζει ότι ο ΕΕΠΔ συγκαλεί συνεδρίαση με τις εθνικές εποπτικές αρχές τουλάχιστον μία φορά τον χρόνο.

3.12.   Εφαρμογή

Το άρθρο 36 παρ. 2 της πρότασης προβλέπει τα εξής: «Τα απαραίτητα μέτρα για την τεχνική εφαρμογή των λειτουργιών που αναφέρονται στην παράγραφο 1 θεσπίζονται σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 39 παράγραφος 2». Το άρθρο 39 αναφέρεται σε επιτροπή για την επικουρία της Επιτροπής, η οποία συγκροτήθηκε τον Δεκέμβριο του 2001 (20) και έχει χρησιμοποιηθεί σε διάφορες νομοθετικές πράξεις.

Η τεχνική εφαρμογή των λειτουργιών του VIS (επικοινωνία με τις εθνικές αρχές και θεώρηση ενιαίου τύπου) παρουσιάζει το ενδεχόμενο ορισμένων κρίσιμων επιπτώσεων στην προστασία των δεδομένων. Επί παραδείγματι, το αν θα ενσωματωθεί στη θεώρηση μικροτσίπ ή όχι, επιλογή που θα έχει επίπτωση στον τρόπο χρησιμοποίησης της κεντρικής βάσης δεδομένων, καθώς και επιλογή του μορφοτύπου που θα χρησιμοποιείται για την ανταλλαγή βιομετρικών δεδομένων θα διέπει την εφαρμογή ή τον σχεδιασμό της συναφούς πολιτικής προστασίας των δεδομένων (21).

Οι τεχνολογίες που θα επιλεγούν θα έχουν καθοριστικές συνέπειες για την ορθή εφαρμογή των αρχών της σκοπιμότητας και της αναλογικότητας, και συνεπώς θα πρέπει να υπάρχει εποπτεία τους. Ως εκ τούτου οι τεχνολογικές επιλογές με ουσιαστικό αντίκτυπο στην προστασία των δεδομένων θα πρέπει κατά προτίμηση να γίνουν μέσω κανονισμού και με τη διαδικασία συναπόφασης. Μόνο τότε θα μπορεί να πραγματοποιείται ο απαραίτητος πολιτικός έλεγχος. Σε όλες τις λοιπές περιπτώσεις με επίπτωση στην προστασία των δεδομένων, θα πρέπει να δοθεί στον ΕΕΠΔ η δυνατότητα να δίνει συμβουλή για τις επιλογές στις οποίες θα προβαίνει η προαναφερόμενη επιτροπή.

3.13.   Διαλειτουργικότητα

Η διαλειτουργικότητα αποτελεί καίρια και ζωτική προϋπόθεση για την αποδοτικότητα μεγάλων μηχανοργανωμένων συστημάτων όπως το VIS. Δίνει τη δυνατότητα να μειωθεί το συνολικό κόστος με συνεπή τρόπο και να αποφεύγεται η εκ των πραγμάτων σύμπτωση ετερογενών στοιχείων. Η διαλειτουργικότητα μπορεί επίσης να συμβάλει στον στόχο της κοινής πολιτικής θεωρήσεων χάρη στην εφαρμογή των ίδιων διαδικαστικών προδιαγραφών σε όλα τα συστατικά στοιχεία της πολιτικής αυτής. Έχει ωστόσο νευραλγική σημασία να γίνεται διάκριση μεταξύ δύο επιπέδων διαλειτουργικότητας:

Από τις υπάρχουσες διασφαλίσεις που χρησιμοποιούνται για να οριοθετείται ο σκοπός του συστήματος και να προλαμβάνεται η υφέρπουσα διεύρυνση των λειτουργιών, εκείνη που μπορεί να συντελέσει σε αυτό είναι η χρησιμοποίηση διαφορετικών τεχνολογικών προτύπων. Ακόμη, κάθε μορφή διεπαφής μεταξύ δύο διαφορετικών συστημάτων θα πρέπει να τεκμηριώνεται διεξοδικά. Η διαλειτουργικότητα δεν θα πρέπει ποτέ να οδηγεί σε κατάσταση όπου μια αρχή μη εξουσιοδοτημένη για την πρόσβαση ή τη χρήση κάποιων δεδομένων να μπορεί να έχει πρόσβαση σε αυτά μέσω άλλου μηχανοργανωμένου συστήματος.

Στα πλαίσια αυτά ο ΕΕΔΠ επιθυμεί να παραπέμψει στη δήλωση του Συμβουλίου της 25ης Μαρτίου 2004 για την καταπολέμηση της τρομοκρατίας, στην οποία ζητείται από την Επιτροπή να υποβάλει προτάσεις για την ενίσχυση της διαλειτουργικότητας και των συνεργειών μεταξύ μηχανοργανωμένων συστημάτων (SIS, VIS, και Eurodac).

Ο ΕΕΠΔ θα ήθελε επίσης να αναφερθεί στην ήδη διεξαγόμενη συζήτηση σχετικά με το ποιός θα είναι ο φορέας που θα επιφορτιστεί τη διαχείριση των διαφόρων μεγάλων συστημάτων στο μέλλον (ίδε επίσης παράγραφο 3.8 της ανά χείρας γνώμης).

Ο ΕΕΠΔ επιθυμεί να τονίσει ξανά ότι η διαλειτουργικότητα των συστημάτων δεν μπορεί να εφαρμοστεί κατά παράβαση της αρχής του οριοθετημένου σκοπού, και ότι οποιαδήποτε σχετική πρόταση θα πρέπει να υποβληθεί στον ίδιο.

4.   ΣΥΜΠΕΡΑΣΜΑΤΑ

4.1.   Γενικότητες

4.2.   Άλλα σημεία

(1)  Σύστημα Πληροφοριών για τις Θεωρήσεις, τελική έκθεση, Απρίλιος 2003· μελέτη διεξαχθείσα από την Trasys κατ' εντολήν της Ευρωπαϊκής Επιτροπής.

(2)  COM(2003) 558 τελικό — με 2003/0217 (CNS) και 2003/0218 (CNS).

(3)  2004/512/ΕΚ, ΕΕ L 213, 15.6.2004, σ. 5.

(4)  COM(2004)835 τελικό — με 2004/0287 (COD).

(5)  Μελέτη για την εκτεταμένη αξιολόγηση επιπτώσεων του Συστήματος Πληροφοριών για τις Θεωρήσεις, τελική έκθεση της EPEC, Δεκέμβριος 2004.

(6)  Άρθρο 24 παράγραφος 2 της πρότασης.

(7)  Είναι χρήσιμο, εν προκειμένω, να αναφερθεί η απόφαση του Δικαστηρίου στην υπόθεση «Österreichischer Rundfunk και άλλοι» (συνεκδικαζόμενες υποθέσεις C-465/00, C-138/01, C-139/00, απόφαση της 20ής Μαΐου 2003, Ολομέλεια, (2003) Συλλογή Ι-4989). Το Δικαστήριο ασχολήθηκε με έναν αυστριακό νόμο ο οποίος προβλέπει τη μεταφορά στοιχείων μισθοδοσίας δημοσίων υπαλλήλων στο Αυστριακό Ελεγκτικό Συνέδριο και τη μετέπειτα δημοσίευσή τους. Στην απόφασή του, το Δικαστήριο καθορίζει ορισμένα κριτήρια τα οποία βασίζονται στο άρθρο 8 της Ευρωπαϊκής Σύμβασης Ανθρώπινων Δικαιωμάτων και τα οποία θα πρέπει να χρησιμοποιούνται κατά την εφαρμογή της οδηγίας 95/46/ΕΚ στο βαθμό που η οδηγία αυτή επιτρέπει ορισμένους περιορισμούς του δικαιώματος ιδιωτικής ζωής.

(8)  Η Ομάδα αυτή είναι ανεξάρτητη συμβουλευτική ομάδα, απαρτιζόμενη από αντιπροσώπους των αρχών προστασίας δεδομένων των κρατών μελών, τον ΕΕΠΔ και την Επιτροπή, και έχει συσταθεί με την οδηγία 95/46/ΕΚ.

(9)  Στην ΕΑΕ, το σημείο αυτό αναφέρεται πολύ καθαρά (σ. 6, § 27): «η αναποτελεσματικότητα της καταπολέμησης της άγρας θεωρήσεων και της διενέργειας ελέγχων προκαλεί αναποτελεσματικότητα και σε σχέση με την εσωτερική ασφάλεια των κρατών μελών». Αυτό σημαίνει ότι οι απειλές κατά της ασφάλειας οφείλονται εν μέρει στην αναποτελεσματική πολιτική θεωρήσεων. Το πρώτο μέτρο που πρέπει να ληφθεί εν προκειμένω είναι η βελτίωση της πολιτικής θεωρήσεων, κυρίως με την καταπολέμηση της απάτης και τη διενέργεια καλύτερων ελέγχων. Αυτή η βελτίωση της πολιτικής θεωρήσεων θα οδηγήσει σε βελτίωση της ασφάλειας.

(10)  «Απόφαση-πλαίσιο του Συμβουλίου, της 13ης Ιουνίου 2002, για την καταπολέμηση της τρομοκρατίας (2002/475/ΔΕΥ)», ΕΕ L 164 της 22.6.2002, σ. 3.

(11)  Γνώμη 7/2004 σχετικά με την ενσωμάτωση βιομετρικών στοιχείων στις άδειες διαμονής και τις θεωρήσεις, λαμβάνοντας υπόψη την καθιέρωση του ευρωπαϊκού συστήματος πληροφοριών για τις θεωρήσεις (VIS) (Markt/11487/04EN — WP 96) και έγγραφο εργασίας για τη βιομετρία (MARKT/10595/03EN — WP 80).

(12)  A. Sasse, Cybertrust and CrimePrevention:Usability and Trust in Information Systems, στο«Foresight cybertrust and crime prevention project». 04/1151, 10 Ιουνίου 2004, σ. 7, και Technology Assessment, «Using Biometrics for Border Security», United States General Accounting Office, GAO-03-174, Νοέμβριος 2002.

(13)  A. K. Jain et al., Biometrics: A grand Challenge, Proceedings of International Conference on Pattern Recognition, Cambridge, UK., Αύγουστος 2004.

Biometrics: A grand Challenge

(14)  Biometrics at the frontiers: assessing the impact on Society, Φεβρουάριος 2005, Ινστιτούτο Διερευνητικών Τεχνικών Μελετών, ΓΔ Κοινό Κέντρο Ερευνών, EΚ.

(15)  Progress report on the application of the principles of Convention 108 to the collection and processing of biometric data, Συμβούλιο της Ευρώπης, 2005, σ. 11.

(16)  Βλ. σ. 37 της πρότασης.

(17)  Αν και ο ορισμός του υπευθύνου επεξεργασίας στην οδηγία 95/46/ΕΚ και στον κανονισμό 45/2001 προβλέπει και τη δυνατότητα περισσότερων του ενός υπευθύνων επεξεργασίας με διαφορετικές αρμοδιότητες.

(18)  Το εν λόγω άρθρο αναφέρει «οποιαδήποτε περαιτέρω πληροφορία (.....) εφόσον οι πληροφορίες αυτές είναι αναγκαίες, λόγω των ειδικών συνθηκών υπό τις οποίες συλλέγονται τα δεδομένα, ώστε να εξασφαλίζεται η θεμιτή επεξεργασία έναντι του προσώπου στο οποίο αναφέρονται τα δεδομένα.»

(19)  Συνεπώς το άρθρο 31 παρ. 3 που αφορά τη συνεργασία μεταξύ εθνικών αρχών κατά την άσκηση των δικαιωμάτων διόρθωσης ή διαγραφής θα μπορούσε να τροποποιηθεί χάριν μεγαλύτερης σαφήνειας ως ακολούθως: «Εάν η αίτηση που αναφέρεται στο άρθρο 31 παράγραφος 2». Οι αιτήσεις για τις οποίες γίνεται λόγος στο άρθρο 31 παρ. 1 (πρόσβαση) δεν συνεπάγονται συνεργασία μεταξύ αρχών.

(20)  Κανονισμός αριθ. 2424/2001, της 6ης Δεκεμβρίου 2001, σχετικά με την ανάπτυξη του Συστήματος Πληροφοριών Σένγκεν δεύτερης γενιάς (SIS II).

(21)  Η πρόταση κανονισμού του Συμβουλίου για την τροποποίηση του (ΕΚ) 1683/95 (θεώρηση ενιαίου τύπου) του Σεπτεμβρίου 2003 περιείχε ανάλογο άρθρο.