Sažetak Mišljenja Europskog nadzornika za zaštitu podataka o prijedlogu Uredbe o automatiziranoj razmjeni podataka za potrebe policijske suradnje („Prüm II”)

(Cjeloviti tekst ovog Mišljenja dostupan je na engleskom, francuskom i njemačkom jeziku na mrežnom mjestu Europskog nadzornika za zaštitu podataka www.edps.europa.eu)

(2022/C 225/04)

Europska komisija je 8. prosinca 2021. godine donijela Prijedlog uredbe Europskog parlamenta i Vijeća o automatiziranoj razmjeni podataka za potrebe policijske suradnje („Prüm II”), izmjeni odluka Vijeća 2008/615/PUP i 2008/616/PUP te uredaba (EU) 2018/1726, 2019/817 i 2019/818 Europskog parlamenta i Vijeća (takozvane „odluke iz Prüma”). Prijedlog je dio većeg zakonodavnog paketa pod imenom „Kodeks policijske suradnje EU-a”, koji obuhvaća još i Prijedlog direktive Europskog parlamenta i Vijeća o razmjeni informacija između tijela za izvršavanje zakonodavstva država članica (koja je predmet zasebnog mišljenja Europskog nadzornika za zaštitu podataka) te Prijedlog preporuke Vijeća o operativnoj policijskoj suradnji.

Cilj je Prijedloga poboljšati suradnju tijela za izvršavanje zakonodavstva te posebice razmjenu informacija između nadležnih tijela odgovornih za sprječavanje, otkrivanje i istragu kaznenih djela utvrđivanjem uvjeta i postupaka za automatsko pretraživanje profila DNK-a, daktiloskopskih podataka (podataka o otiscima prstiju), prikaza lica, policijskih evidencija i određenih podataka iz registra vozila, kao i razmjenu podataka u slučaju podudarnosti.

Iako Europski nadzornik za zaštitu podataka (EDPS) razumije potrebu tijela za izvršavanje zakonodavstva za korištenjem najboljih mogućih pravnih i tehničkih alata za otkrivanje, istraživanje i sprječavanje kaznenih djela, on ističe da novi predloženi okvir iz Prüma ne utvrđuje dovoljno jasno ključne elemente razmjene podataka, poput vrsta kaznenih djela kojima se može opravdati upit, te da opseg ispitanika na koje se odnosi automatizirana razmjena podataka nije dovoljno jasan, npr. sadrže li baze podataka za koje se stvaraju upiti isključivo podatke o osumnjičenicima i/ili osuđenim osobama ili sadrže i podatke drugih osoba, poput žrtava ili svjedoka.

Europski nadzornik za zaštitu podataka osobito smatra da bi automatsko pretraživanje profila DNK-a i prikaza lica trebalo biti omogućeno isključivo u slučaju pojedinačnih istraga teških kaznenih djela, a ne u slučaju bilo kojeg kaznenog djela, kako je predviđeno Prijedlogom. Nadalje, Europski nadzornik za zaštitu podataka smatra potrebnim u Prijedlog uključiti zajedničke zahtjeve i uvjete koji se odnose na podatke u nacionalnim bazama podataka koje su dostupne za automatska pretraživanja, uzimajući u obzir obvezu na temelju članka 6. Direktive 680/2016 o izvršavanju zakonodavstva (LED) da se učini razlika između kategorija ispitanika (tj. između osoba osuđenih za kazneno djelo, osumnjičenika, žrtava itd.).

Europski nadzornik za zaštitu podataka također je zabrinut za posljedice na temeljna prava predmetnih osoba zbog predloženog automatskog pretraživanja i razmjene policijskih evidencija. On smatra da potreba za predloženim automatskim pretraživanjem i razmjenom podataka iz policijskih evidencija nije dovoljno dokazana. Ako takva mjera ipak bude usvojena, čak i na dobrovoljnoj osnovi, bit će potrebno donijeti dodatne jake zaštitne mjere kako bi se zadovoljilo načelo proporcionalnosti. S obzirom na izazove u pogledu kvalitete podataka, budućom Uredbom trebalo bi, među ostalim, izričito utvrditi vrste i/ili ozbiljnost kaznenih djela kojima se može opravdati automatsko pretraživanje nacionalnih policijskih evidencija.

U pogledu uključivanja Europola u okvir iz Prüma, Europski nadzornik za zaštitu podataka smatra da su njegovi komentari i prijedlozi izneseni u Mišljenju br. 4/2021 o Prijedlogu izmjene Uredbe o Europolu i dalje u potpunosti valjani u kontekstu suradnje iz Prüma, pogotovo oni povezani s tzv. „izazovom velike količine podataka”, tj. obradom velikih i kompleksnih skupova podataka u Agenciji. Europski nadzornik za zaštitu podataka želio bi podsjetiti na dvije ključne poruke iz Mišljenja o Europolu: s većim ovlastima uvijek bi trebao doći jači nadzor, a ono što smatra jednako važnim jest da nikakve primjenjive iznimke u obliku odstupanja ne bi smjele postati pravilom.

Prijedlogom se predviđa složena arhitektura za automatska pretraživanja i razmjenu podataka unutar okvira iz Prüma s tri odvojena tehnička rješenja, koja bi razvila i održavala tri različita tijela. Europski nadzornik za zaštitu podataka smatra da bi Prijedlog trebao biti jasniji u pogledu odgovornosti za obradu osobnih podataka, pogotovo u Europskom informacijskom sustavu prometnih i vozačkih dozvola (EUCARIS), koji se ne temelji na pravu EU-a, već je međuvladine prirode. Nadalje, Europski nadzornik za zaštitu podataka mišljenja je da, s obzirom na opsežnost i osjetljivost obrade osobnih podataka, horizontalni model upravljanja predložen okvirom iz Prüma nije prikladan te da bi ga trebalo dodatno ojačati, npr. dodjeljivanjem uloge glavnog koordinatora nekom od tijela EU-a, npr. Komisiji.

Nadalje, radi pravne sigurnosti, Europski nadzornik za zaštitu podataka smatra da bi trebalo izričito pojasniti odnos između pravila za zaštitu podataka sadržanih u Prijedlogu i postojećeg zakonskog okvira za zaštitu podataka u EU-u, odnosno Direktive o izvršavanju zakonodavstva (LED) i Uredbe (EU) 1725/2018 (Uredbe o zaštiti podataka, EUDPR), .

U Mišljenju se također analiziraju i nude preporuke za mnogobrojna druga konkretna pitanja, poput poveznice između okvira iz Prüma i okvira za interoperabilnost, prijenosa podataka trećim zemljama i međunarodnim organizacijama te nadzora nad postupcima obrade za potrebe suradnje iz Prüma.

1. UVOD I KONTEKST

Prijedlog je dio većeg zakonodavnog paketa pod nazivom „Kodeks policijske suradnje EU-a”, koji također obuhvaća:

—	Prijedlog direktive Europskog parlamenta i Vijeća o razmjeni informacija između tijela za izvršavanje zakonodavstva država članica i o stavljanju izvan snage Okvirne odluke Vijeća 2006/960/PUP (2) i

—	Prijedlog preporuke Vijeća o operativnoj policijskoj suradnji (3).

Kao što je naglasila Komisija, cilj je Kodeksa policijske suradnje EU-a poboljšati suradnju tijela za izvršavanje zakonodavstva u državama članicama, a pogotovo razmjenu informacija između nadležnih tijela (4). U tom pogledu, Prijedlogom se utvrđuju uvjeti i postupci za automatsko pretraživanje profila DNK-a, daktiloskopskih podataka (podataka o otiscima prstiju), prikaza lica, policijskih evidencija i određenih podataka iz registra vozila, kao i za razmjenu podataka u slučaju podudarnosti između tijela vlasti odgovornih za sprječavanje, otkrivanje i istragu kaznenih djela.

Prijedlog, kao i općenito govoreći Kodeks policijske suradnje EU-a, povezani su s ciljevima politike nekoliko strateških dokumenata EU-a u području pravosuđa i unutarnjih poslova, odnosno Strategije EU-a za sigurnosnu uniju (5), Strategije EU-a za borbu protiv organiziranog kriminala za razdoblje 2021. - 2025 (6). i Strategije za schengensko područje iz 2021 (7). Štoviše, prijedlozi kojima se utvrđuje Kodeks policijske suradnje trebali bi se razmatrati s obzirom na trenutačnu reformu Europola i sve važniju ulogu Agencije kao središta Unije za podatke o kaznenim djelima, gdje se prikupljaju i obrađuju stalno rastuće količine podataka (8).

Komisija se 5. siječnja 2022. savjetovala s Europskim nadzornikom za zaštitu podataka o prijedlogu Uredbe „Prüm II”, u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725. Komentari i preporuke iznesene u ovom Mišljenju ograničene su na odredbe Prijedloga koje su najrelevantnije iz perspektive zaštite podataka.

4. ZAKLJUČCI

73.

Novim predloženim okvirom iz Prüma ne utvrđuju se dovoljno jasno ključni elementi razmjene podataka, poput vrsta kaznenih djela koja mogu opravdati upit (pretraživanje), pogotovo profila DNK-a, tj. jesu li pretraživanja opravdana u slučaju bilo kojeg kaznenog djela ili samo u slučaju teških kaznenih djela. Osim toga, Prijedlog nije jasan u pogledu obuhvata ispitanika na koje se odnosi automatska razmjena podataka, tj. sadrže li baze podataka koje se pretražuju isključivo podatke o osumnjičenicima i/ili osuđenim osobama ili sadrže i podatke o drugim osobama, poput žrtava ili svjedoka.

74.

Da bi se osigurala nužnost i proporcionalnost zadiranja u temeljno pravo na zaštitu osobnih podataka, s obzirom na članak 52. stavak 1. Povelje, od ključne je važnosti razjasniti osobno i materijalno područje primjene mjera, tj. kategorije ispitanika na koje će to izravno utjecati, kao i objektivne uvjete pod kojima se može opravdati automatizirani upit u odgovarajuću bazu podataka drugih država članica ili Europola.

75.

Europski nadzornik za zaštitu podataka osobito smatra da bi automatsko pretraživanje profila DNK-a i prikaza lica trebalo biti omogućeno isključivo u slučaju pojedinačnih istraga teških kaznenih djela, a ne bilo kojeg kaznenog djela, kako je predviđeno Prijedlogom. Nadalje, u skladu s obvezom iz članka 6. Direktive o izvršavanju zakonodavstva (LED) u pogledu razlikovanja kategorija ispitanika, Prijedlog bi trebao sadržavati ograničenje kategorija ispitanika čiji bi profili DNK-a i prikazi lica pohranjeni u nacionalnim bazama podataka trebali biti dostupni za automatska pretraživanja, uzimajući posebno u obzir ograničenje namjene podataka iz onih kategorija kojima nisu obuhvaćene osobe osuđene za kaznena djela ili osumnjičenici.

76.

Europski nadzornik za zaštitu podataka smatra da potreba za predloženim automatskim pretraživanjem i razmjenom informacija iz policijskih evidencija nije dovoljno dokazana. Ako takva mjera ipak bude usvojena, čak i na dobrovoljnoj osnovi, bit će potrebno donijeti dodatne jake zaštitne mjere kako bi se zadovoljilo načelo proporcionalnosti. S obzirom na izazove u pogledu kvalitete podataka, što se ne može riješiti tehničkim mjerama poput samo pseudonimizacije, budućom bi Uredbom, u najmanju ruku, trebalo utvrditi vrste i/ili ozbiljnost kaznenih djela kojima se može opravdati automatsko pretraživanje nacionalnih policijskih evidencija.

77.

U pogledu uključenja Europola u okvir iz Prüma, Europski nadzornik za zaštitu podataka smatra da njegovi komentari i preporuke izneseni u Mišljenju br. 4/2021 o Prijedlogu izmjene Uredbe o Europolu ostaju u potpunosti valjani u kontekstu suradnje iz Prüma, pogotovo oni povezani s obradom velikih skupova podataka u Agenciji. Nadalje, Europski nadzornik za zaštitu podataka preporučuje razjašnjenje obuhvata osoba, tj. određivanje kategorija ispitanika na koje se odnose upiti u skladu s člankom 49. i člankom 50., kao i usklađivanje razdoblja čuvanja zapisa, kako bi se osigurala dosljednost s Uredbom o Europolu.

78.

Prijedlogom je predviđena složena arhitektura za automatsko pretraživanje i razmjenu podataka unutar okvira iz Prüma s tri različita tehnička rješenja, koja bi razvila i održavala tri različita tijela. Štoviše, jedno od njih – EUCARIS – ne temelji se na pravnom aktu EU-a, već je međuvladine prirode. Stoga Europski nadzornik za zaštitu podataka smatra da bi u Prijedlogu posebnu pozornost trebalo pridati odgovornosti za obradu osobnih podataka u EUCARIS-u. Nadalje, Europski nadzornik za zaštitu podataka smatra da, s obzirom na opsežnost i osjetljivost obrade osobnih podataka, trenutačni horizontalni model upravljanja na temelju okvira iz Prüma nije prikladan te da bi ga trebalo dodatno ojačati, npr. dodjeljivanjem uloge glavnog koordinatora nekom od tijela EU-a, npr. Komisiji.

79.

Još jedan bitan element Prijedloga, koji zahtijeva pažljivu analizu u pogledu utjecaja na temeljna prava, jest usklađivanje okvira iz Prüma s okvirom interoperabilnosti informacijskih sustava EU-a u području pravosuđa i unutarnjih poslova. Europski nadzornik za zaštitu podataka poziva suzakonodavca da razmotri potrebu za dodatnim pravilima u tom pogledu, npr. u obliku provedbenog ili delegiranog akta u kojem bi trebalo razmotriti konkretne izazove poput kvalitete i izvedbe podudarnih algoritama za prikaze lica.

80.

Uzimajući u obzir činjenicu da pravna osnova Prijedloga uključuje, među ostalim, članak 16. UFEU-a, Europski nadzornik za zaštitu podataka preporučuje da se, u interesu jasnoće i sigurnosti, u Prijedlogu odredi da odredbe o zaštiti osobnih podataka u Poglavlju 6. ne dovode u pitanje provedbu Direktive o izvršavanju zakonodavstva (LED) i Uredbe o zaštiti podataka (EUDPR) u pogledu obrade osobnih podataka u kontekstu suradnje tijela za izvršavanje zakonodavstva na temelju okvira iz Prüma.

81.

Nadalje, Europski nadzornik za zaštitu podataka smatra da bi obveza redovitih revizija postupaka obrade osobnih podataka za potrebe Uredbe „Prüm II” trebala biti proširena te da bi trebala obuhvaćati i postupke obrade osobnih podataka na nacionalnoj razini. U tom kontekstu, Europski nadzornik za zaštitu podataka preporučuje da se članak 60. stavak 2. Prijedloga odnosi općenito na ovlasti Europskog nadzornika za zaštitu podataka, u skladu s člankom 58. Uredbe o zaštiti podataka (EUDPR), a ne samo na neke od njih.

U Bruxellesu 2. ožujka 2022.

Wojciech Rafał WIEWIÓROWSKI

(1) COM(2021) 784 final.

(2) COM(2021) 782 final.

(3) COM(2021) 780 final.

(4) https://ec.europa.eu/home-affairs/news/boosting-police-cooperation-across-borders-enhanced-security-2021-12-08_en

(5) Komunikacija Komisije o strategiji EU-a za sigurnosnu uniju, COM/2020/605 final.

(6) Komunikacija Komisije o Strategiji EU-a za suzbijanje organiziranog kriminala za razdoblje 2021. - 2025., COM/2021/170 final.

(7) Komunikacija Komisije „Strategija za potpuno funkcionalno i otporno schengensko područje”, COM/2021/277 final.

(8) Za više informacija vidjeti Mišljenje Europskog nadzornika za zaštitu podataka br. 4/2021, https://edps.europa.eu/system/files/2021-03/21-03-08_opinion_europol_reform_en.pdf