KOMISJA EUROPEJSKA
Bruksela, dnia 20.1.2021
COM(2021) 21 final
2021/0009(COD)
Wniosek
DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY
zmieniająca dyrektywę 2014/41/UE w zakresie jej dostosowania do przepisów UE dotyczących ochrony danych osobowych
This document is an excerpt from the EUR-Lex website
Document 52021PC0021
Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Directive 2014/41/EU, as regards its alignment with EU rules on the protection of personal data
Wniosek DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY zmieniająca dyrektywę 2014/41/UE w zakresie jej dostosowania do przepisów UE dotyczących ochrony danych osobowych
Wniosek DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY zmieniająca dyrektywę 2014/41/UE w zakresie jej dostosowania do przepisów UE dotyczących ochrony danych osobowych
COM/2021/21 final
KOMISJA EUROPEJSKA
Bruksela, dnia 20.1.2021
COM(2021) 21 final
2021/0009(COD)
Wniosek
DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY
zmieniająca dyrektywę 2014/41/UE w zakresie jej dostosowania do przepisów UE dotyczących ochrony danych osobowych
UZASADNIENIE
1.KONTEKST WNIOSKU
•Przyczyny i cele wniosku
Dyrektywa (UE) 2016/680 1 (dyrektywa o ochronie danych w sprawach karnych) weszła w życie w dniu 6 maja 2016 r., a państwa członkowskie miały czas do dnia 6 maja 2018 r. na jej transpozycję do prawa krajowego. Uchyliła ona i zastąpiła decyzję ramową Rady 2008/977/WSiSW 2 , ale jest o wiele bardziej wszechstronnym i ogólnym instrumentem ochrony danych. Co ważne, ma ona zastosowanie zarówno do krajowego, jak i transgranicznego przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (art. 1 ust. 1).
Art. 62 ust. 6 dyrektywy o ochronie danych w sprawach karnych nakłada na Komisję obowiązek dokonania do dnia 6 maja 2019 r. przeglądu innych aktów prawnych UE regulujących przetwarzanie danych osobowych przez właściwe organy do celów ścigania przestępstw, w celu oceny konieczności dostosowania ich do dyrektywy, i w razie potrzeby przedstawienia niezbędnych propozycji zmiany takich aktów dla zapewnienia spójnego podejścia do ochrony danych osobowych wchodzących w zakres stosowania dyrektywy.
Komisja przedstawiła wyniki swojego przeglądu w komunikacie zatytułowanym „Dalsze działania dotyczące dostosowania dotychczasowego dorobku w obszarze trzeciego filaru do przepisów o ochronie danych” (24 czerwca 2020 r.) 3 i określiła w nim dziesięć aktów prawnych, które należy dostosować do dyrektywy o ochronie danych w sprawach karnych, oraz harmonogram tych działań. Akty te obejmują dyrektywę Parlamentu Europejskiego i Rady 2014/41/UE w sprawie europejskiego nakazu dochodzeniowego w sprawach karnych 4 . Komisja zaznaczyła, że przedstawi ukierunkowane zmiany tej dyrektywy w ostatnim kwartale 2020 r. i to jest celem niniejszego wniosku.
Niniejsza inicjatywa nie jest częścią programu sprawności i wydajności regulacyjnej (REFIT).
•Spójność z przepisami obowiązującymi w tej dziedzinie polityki
Wniosek ma na celu dostosowanie przepisów dotyczących ochrony danych zawartych w dyrektywie 2014/41/UE do zasad i przepisów określonych w dyrektywie o ochronie danych w sprawach karnych w celu zapewnienia solidnych i spójnych ram ochrony danych w Unii.
•Spójność z innymi politykami Unii
Nie dotyczy
2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ
•Podstawa prawna
Podstawą niniejszego wniosku jest art. 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).
Pierwotny akt prawny opierał się na dawnym art. 34 ust. 2 lit. b) dawnego Traktatu o Unii Europejskiej, który odpowiada raczej art. 82 ust. 1 TFUE. Zarówno cel, jak i treść proponowanej zmiany są jednak wyraźnie ograniczone do ochrony danych osobowych.
W tym względzie najwłaściwszą podstawą prawną jest art. 16 ust. 2 TFUE. Umożliwia on przyjęcie przepisów dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez państwa członkowskie w ramach wykonywania działań na mocy prawa Unii oraz przepisów dotyczących swobodnego przepływu danych osobowych.
Zgodnie z art. 2a protokołu nr 22 Dania nie będzie związana przepisami ustanowionymi na podstawie art. 16 TFUE, które odnoszą się do przetwarzania danych osobowych w ramach wykonywania działań wchodzących w zakres części trzeciej tytuł IV rozdziały 4 i 5 TFUE. To samo dotyczy Irlandii zgodnie z art. 6a protokołu nr 21.
•Pomocniczość (w przypadku kompetencji niewyłącznych)
Wyłącznie Unia może przyjąć akt ustawodawczy zmieniający dyrektywę 2014/41/UE.
•Proporcjonalność
Niniejszy wniosek ogranicza się do tego, co jest konieczne do dostosowania dyrektywy 2014/41/UE do prawodawstwa Unii w zakresie ochrony danych osobowych (w szczególności do dyrektywy o ochronie danych w sprawach karnych), bez jakiejkolwiek zmiany zakresu tej dyrektywy. Niniejsza dyrektywa nie wykracza poza to, co jest konieczne do osiągnięcia założonych celów, zgodnie z art. 5 ust. 4 Traktatu o Unii Europejskiej.
•Wybór instrumentu
Najwłaściwszym instrumentem do zmiany dyrektywy 2014/41/UE jest dyrektywa.
3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW
•Oceny ex post/oceny adekwatności obowiązującego prawodawstwa
Niniejszy wniosek jest następstwem przeglądu przeprowadzonego przez Komisję na podstawie art. 62 ust. 6 dyrektywy o ochronie danych w sprawach karnych, przedstawionego w komunikacie zatytułowanym „Dalsze działania dotyczące dostosowania dotychczasowego dorobku w obszarze trzeciego filaru do przepisów o ochronie danych”. W komunikacie tym wymieniono kwestie, w których konieczne jest dostosowanie. W szczególności wskazano w nim potrzebę doprecyzowania, że wszelkie przetwarzanie danych osobowych na podstawie dyrektywy 2014/41/UE podlega albo dyrektywie o ochronie danych w sprawach karnych, albo rozporządzeniu (UE) 2016/679 5 (ogólne rozporządzenie o ochronie danych – RODO), w zależności od tego, czy odbywa się ono w kontekście postępowania karnego, czy innego postępowania. Zmiana powinna służyć doprecyzowaniu, że dane uzyskane na podstawie dyrektywy 2014/41/UE mogą być przetwarzane do celów innych niż te, do których są gromadzone, wyłącznie jeśli spełnione są warunki określone w dyrektywie o ochronie danych w sprawach karnych (art. 4 ust. 2 lub art. 9 ust. 1) albo w RODO (art. 6).
Niniejszy wniosek dotyczy uchylenia art. 20 dyrektywy 2014/41/UE i tym samym ogranicza się do tego, co jest konieczne do rozwiązania powyższych kwestii.
•Konsultacje z zainteresowanymi stronami
Nie dotyczy
•Gromadzenie i wykorzystanie wiedzy eksperckiej
W swoim przeglądzie Komisja uwzględniła badanie przeprowadzone w ramach projektu pilotażowego dotyczącego przeglądu instrumentów i programów UE w zakresie gromadzenia danych pod kątem przestrzegania praw podstawowych 6 . W badaniu przedstawiono wykaz aktów Unii objętych art. 62 ust. 6 dyrektywy o ochronie danych w sprawach karnych oraz określono przepisy potencjalnie wymagające dostosowania w kwestiach dotyczących ochrony danych.
•Ocena skutków
Wpływ niniejszego wniosku ogranicza się do przetwarzania danych osobowych przez właściwe organy w konkretnych przypadkach regulowanych dyrektywą 2014/41/UE. Wpływ nowych obowiązków wynikających z dyrektywy o ochronie danych w sprawach karnych oceniono już w kontekście prac przygotowawczych do przyjęcia tej dyrektywy. W związku z tym szczegółowa ocena skutków niniejszego wniosku jest zbędna.
•Sprawność regulacyjna i uproszczenie
Nie dotyczy
•Prawa podstawowe
Prawo do ochrony danych osobowych określono w art. 8 Karty praw podstawowych Unii Europejskiej oraz w art. 16 TFUE. Jak podkreślił Trybunał Sprawiedliwości Unii Europejskiej 7 , prawo do ochrony danych osobowych nie jest prawem absolutnym, lecz powinno być rozpatrywane w kontekście funkcji, jaką pełni w społeczeństwie 8 . Ochrona danych jest również ściśle powiązana z poszanowaniem życia prywatnego i rodzinnego chronionego przez art. 7 karty.
Niniejszy wniosek gwarantuje, że przetwarzanie danych osobowych na podstawie dyrektywy 2014/41/UE będzie podlegało „horyzontalnym” zasadom i przepisom prawodawstwa UE w zakresie ochrony danych, a tym samym dodatkowo wdraża przepisy art. 8 Karty. Celem tych przepisów jest zapewnienie wysokiego poziomu ochrony danych osobowych, a wyjaśnienie, że zasady i przepisy dyrektywy 2016/680 mają zastosowanie do przetwarzania danych na podstawie tej dyrektywy, będzie miało pozytywny wpływ na podstawowe prawa do prywatności i ochrony danych.
4.WPŁYW NA BUDŻET
Nie dotyczy
5.ELEMENTY FAKULTATYWNE
•Plany wdrożenia i monitorowanie, ocena i sprawozdania
Nie dotyczy
•Dokumenty wyjaśniające (w przypadku dyrektyw)
Niniejszy wniosek nie wymaga dokumentów wyjaśniających dotyczących transpozycji, ponieważ wiąże się z uchyleniem jednego z artykułów dyrektywy 2014/41/UE.
•Szczegółowe objaśnienia poszczególnych przepisów wniosku
Art. 1 uchyla art. 20 dyrektywy 2014/41/UE. Tym samym niniejszy wniosek ogranicza się do tego, co jest konieczne do rozwiązania powyższych kwestii. Art. 20 zawiera wymóg, aby wszelkie przetwarzanie danych osobowych na podstawie dyrektywy było zgodne z decyzją ramową Rady 2008/977/WSiSW oraz z zasadami Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (28 stycznia 1981 r.) i protokołu dodatkowego do niej.
Dyrektywa o ochronie danych w sprawach karnych uchyliła tę decyzję ramową ze skutkiem od dnia 6 maja 2018 r. Zgodnie z art. 59 dyrektywy o ochronie danych w sprawach karnych odniesienia do decyzji ramowej należy rozumieć jako odniesienia do dyrektywy o ochronie danych w sprawach karnych.
Zgodnie z art. 2 ust. 1 dyrektywy o ochronie danych w sprawach karnych dyrektywa ta ma zastosowanie do przetwarzania danych osobowych przez właściwe organy do celów określonych w art. 1 ust. 1, tj. do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Dyrektywa 2014/41/UE ma jednak również zastosowanie do niektórych rodzajów postępowań innych niż karne – te są uregulowane w RODO.
Fakt, że art. 20 dyrektywy 2014/41/UE odnosi się do decyzji ramowej, może prowadzić do niejasności co do tego, czy dyrektywa o ochronie danych w sprawach karnych ma zastosowanie również do przetwarzania danych osobowych dotyczących europejskich nakazów dochodzeniowych w kontekście postępowań innych niż karne (które nie wchodzą w zakres dyrektywy o ochronie danych w sprawach karnych). Uchylenie art. 20 wystarczy, aby zaradzić tej sytuacji. Dyrektywa o ochronie danych w sprawach karnych nadal ma zastosowanie do przetwarzania danych osobowych na podstawie dyrektywy 2014/41/UE w zakresie jej stosowania.
Ponieważ dyrektywa o ochronie danych w sprawach karnych i ogólne rozporządzenie o ochronie danych (każde w swoim zakresie) mają zastosowanie do przetwarzania danych osobowych na podstawie dyrektywy 2014/41/UE, przetwarzanie takich danych do celów innych niż te, dla których są one gromadzone, będzie się odbywać zgodnie z dyrektywą o ochronie danych w sprawach karnych (art. 4 ust. 2 i art. 9 ust. 1) albo z RODO (art. 6 ust. 4). Nie jest do tego potrzebny żaden nowy przepis.
Art. 20 dyrektywy 2014/41/UE zawiera również wymóg, aby dostęp do danych osobowych był ograniczony, bez uszczerbku dla praw osób, których dane dotyczą, oraz aby dostęp do takich danych miały wyłącznie osoby upoważnione. Dyrektywa o ochronie danych w sprawach karnych i RODO ustanawiają kompleksowe ramy dotyczące praw osób, których dotyczą dane, oraz obowiązków administratora danych, w tym w odniesieniu do uwzględniania ochrony danych w fazie projektowania i domyślnie oraz w odniesieniu do bezpieczeństwa przetwarzania. Art. 20 akapit drugi jest zatem zbędny.
Ponieważ dyrektywa 2014/41/UE nie zawiera szczegółowych przepisów o ochronie danych, nie są konieczne dalsze zmiany związane z ochroną danych.
W art. 2 określono termin transpozycji proponowanej nowej dyrektywy.
W art. 3 określono datę wejścia w życie niniejszej dyrektywy.
Art. 4 stanowi, że dyrektywa jest skierowana do państw członkowskich.
2021/0009 (COD)
Wniosek
DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY
zmieniająca dyrektywę 2014/41/UE w zakresie jej dostosowania do przepisów UE dotyczących ochrony danych osobowych
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 ust. 2,
uwzględniając wniosek Komisji Europejskiej,
po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,
stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,
a także mając na uwadze, co następuje:
(1)Zgodnie z art. 62 ust. 6 dyrektywy (UE) 2016/680 9 Komisja dokonuje przeglądu innych aktów prawa Unii regulujących przetwarzanie danych osobowych przez właściwe organy do celów określonych w art. 1 ust. 1 tej dyrektywy w celu oceny konieczności dostosowania tych aktów do tej dyrektywy i w razie potrzeby przedstawia niezbędne propozycje zmiany takich aktów dla zapewnienia spójnego podejścia do ochrony danych osobowych wchodzących w zakres stosowania tej dyrektywy. Przegląd ten doprowadził do uznania dyrektywy 2014/41/UE 10 za jeden z tych innych aktów, które mają zostać zmienione.
(2)Z myślą o spójności i skutecznej ochronie danych osobowych przetwarzanie danych osobowych na podstawie dyrektywy 2014/41/UE powinno w stosownych przypadkach odbywać się z poszanowaniem zasad określonych w dyrektywie (UE) 2016/680. Rozporządzenie (UE) 2016/679 11 powinno mieć zastosowanie do przetwarzania danych osobowych w związku z postępowaniami, o których mowa w art. 4 lit. b), c) i d) dyrektywy 2014/41/UE, w przypadkach nieobjętych dyrektywą (UE) 2016/680.
(3)Zgodnie z art. 1, 2 i art. 4a ust. 1 Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, załączonego do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, bez uszczerbku dla art. 4 tego protokołu, Irlandia nie uczestniczy w przyjęciu niniejszej dyrektywy i nie jest nią związana ani jej nie stosuje.
(4)Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie uczestniczy w przyjęciu niniejszej dyrektywy i nie jest nią związana ani jej nie stosuje.
(5)Należy zatem odpowiednio zmienić dyrektywę 2014/41/UE.
(6)Zgodnie z art. 42 rozporządzenia (UE) 2018/1725 12 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia XX XXXX r. 13 ,
PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ:
Artykuł 1
Zmiany w dyrektywie 2014/41/UE
Uchyla się art. 20 dyrektywy 2014/41/UE.
Artykuł 2
1.Państwa członkowskie wprowadzają w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy najpóźniej do [roku po jej przyjęciu]. Niezwłocznie przekazują Komisji tekst tych przepisów.
Przepisy przyjęte przez państwa członkowskie zawierają odniesienie do niniejszej dyrektywy lub odniesienie takie towarzyszy ich urzędowej publikacji. Metody dokonywania takiego odniesienia określane są przez państwa członkowskie.
2.Państwa członkowskie przekazują Komisji tekst podstawowych przepisów prawa krajowego, przyjętych w dziedzinie objętej niniejszą dyrektywą.
Artykuł 3
Niniejsza dyrektywa wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Artykuł 4
Niniejsza dyrektywa skierowana jest do państw członkowskich zgodnie z Traktatami.
Sporządzono w Brukseli dnia […] r.
W imieniu Parlamentu Europejskiego W imieniu Rady
Przewodniczący Przewodniczący
Projekt pilotażowy przeprowadzono na zlecenie Parlamentu Europejskiego; zarządzała nim Komisja, a jego realizację powierzono wykonawcy (grupie niezależnych ekspertów). Komisja wybrała wykonawcę na podstawie kryteriów określonych przez Parlament. Wyniki projektu odzwierciedlają wyłącznie poglądy i opinie wykonawcy, a Komisja nie odpowiada za ewentualne wykorzystanie informacji zawartych w dokumentacji projektu. Wyniki opublikowano na stronie internetowej http://www.fondazionebrodolini.it/en/projects/pilot-project-fundamental-rights-review-eu-data-collectioninstruments-and-programmes
TSUE, 9 listopada 2010 r., Volker und Markus Schecke oraz Eifert, sprawy połączone C-92/09 i C-93/09 (ECLI:EU:C:2009:284, pkt 48).
Zgodnie z art. 52 ust. 1 Karty można ograniczyć korzystanie z prawa do ochrony danych, o ile takie ograniczenia są przewidziane ustawą, szanują istotę tych praw i wolności oraz (z zastrzeżeniem zasady proporcjonalności) są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób.