This document is an excerpt from the EUR-Lex website
Document 52008XX0410(01)
Opinion of the European Data Protection Supervisor on the Initiative of the Federal Republic of Germany, with a view to adopting a Council Decision on the implementation of Decision 2007/…/JHA on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime
Opinia Europejskiego Inspektora Ochrony Danych na temat inicjatywy Republiki Federalnej Niemiec w sprawie przyjęcia decyzji Rady dotyczącej wdrożenia decyzji 2007/…/WSiSW w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej
Opinia Europejskiego Inspektora Ochrony Danych na temat inicjatywy Republiki Federalnej Niemiec w sprawie przyjęcia decyzji Rady dotyczącej wdrożenia decyzji 2007/…/WSiSW w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej
Dz.U. C 89 z 10.4.2008, p. 1–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
10.4.2008 |
PL |
Dziennik Urzędowy Unii Europejskiej |
C 89/1 |
Opinia Europejskiego Inspektora Ochrony Danych na temat inicjatywy Republiki Federalnej Niemiec w sprawie przyjęcia decyzji Rady dotyczącej wdrożenia decyzji 2007/…/WSiSW w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej
(2008/C 89/01)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41,
WYDAJE NASTĘPUJĄCĄ OPINIĘ:
I. WPROWADZENIE
1. |
W dniu 9 listopada 2007 r. w Dzienniku Urzędowym opublikowano inicjatywę (dalej zwaną „inicjatywą”) Republiki Federalnej Niemiec w sprawie przyjęcia decyzji Rady dotyczącej wdrożenia decyzji 2007/…/WSiSW w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej (1). Uzupełnieniem tej inicjatywy jest załącznik z dnia 18 października 2007 r. z dalszymi szczegółami na temat wdrażania decyzji 2007/…/WSiSW (dalej zwany „załącznikiem”) (2). |
2. |
O zaopiniowanie tej inicjatywy w sprawie decyzji wykonawczej nie występowano do EIOD. Dlatego EIOD wydaje niniejszą opinię z własnej inicjatywy, podobnie jak wydał w dniu 4 kwietnia 2007 r. opinię w sprawie inicjatywy dotyczącej decyzji Rady (3). |
3. |
Choć państwo członkowskie występujące z inicjatywą w sprawie aktu prawnego na mocy tytułu VI Traktatu UE nie ma prawnego obowiązku występować do EIOD o opinię, procedura inicjatywy nie wyklucza również jednak takiego wystąpienia o opinię. Ponadto EIOD w swojej opinii z dnia 4 kwietnia 2007 r. zalecił dodanie następującego zdania do art. 34 decyzji Rady: „Rada zasięga opinii EIOD w sprawie takiego aktu wykonawczego”. Niestety zalecenie to nie zostało wykonane, mimo swojej zasadności, która wynika z faktu, że przepisy wykonawcze będą w tym przypadku najczęściej dotyczyć przetwarzania danych osobowych. Omawiana inicjatywa Republiki Federalnej Niemiec jasno ilustruje tę zasadność. |
4. |
EIOD nie wyciąga z takiego wyniku żadnych daleko idących wniosków. Zgodnie z podejściem wybranym przez Radę nie należy zbytnio zmieniać inicjatywy, tak by zapewnić jej pełną zgodność z tekstem konwencji z Prüm, uprzednio podpisanej przez część państw członkowskich. Wpływ takiego podejścia na demokrację zostanie przez EIOD omówiony w dalszej części niniejszej opinii. |
II. TŁO I RAMY PRAWNE
5. |
Konwencja z Prüm została podpisana w maju 2005 roku przez siedem państw członkowskich, poza ramami Traktatu UE. Następnie do konwencji przyłączyły się kolejne państwa członkowskie. |
6. |
Uzupełnieniem konwencji z Prüm jest porozumienie wykonawcze, oparte na art. 44 konwencji i zawarte w dniu 5 grudnia 2006 r. To porozumienie wykonawcze jest konieczne, żeby konwencja z Prüm mogła działać. |
7. |
Gdy zostanie przyjęta decyzja Rady 2007/…/WSiSW w sprawie inicjatywy 15 państw członkowskich (dalej zwanej „inicjatywą prümską”), co do której Rada osiągnęła już porozumienie polityczne, główne elementy konwencji z Prüm zostaną włączone do porządku prawnego Unii Europejskiej. Od samego początku włączenie ich było zamiarem umawiających się stron Traktatu UE, co potwierdza preambuła konwencji z Prüm. |
8. |
Chodziło o to, by w procedurze legislacyjnej prowadzącej do przyjęcia decyzji Rady nie dyskutować już istotnych spraw, tylko osiągnąć porozumienie co do gotowego tekstu konwencji z Prüm. Zamiar ten miał tym większą wagę, że w czasie tej procedury legislacyjnej trwała ratyfikacja konwencji w niektórych państwach członkowskich, a sama konwencja weszła w życie. |
III. PRZEDMIOT NINIEJSZEJ OPINII I JEGO UJĘCIE
9. |
Niniejsza opinia skupi się na projekcie decyzji Rady w sprawie przepisów wykonawczych. Uwagi poczynione w poprzedniej opinii EIOD na temat decyzji Rady w sprawie inicjatywy prümskiej zachowują aktualność, i nie będą tu powtarzane, chyba że będzie to konieczne do uwypuklenia kwestii, które prawodawca mógłby jeszcze rozwiązać dzięki przepisom wykonawczym. |
10. |
Przy okazji należy zaznaczyć, że przepisy wykonawcze są szczególnie ważne, gdyż oprócz niektórych kwestii administracyjnych i technicznych określają kluczowe aspekty i narzędzia samego systemu i jego działania. Na przykład w rozdziale 1 przepisów wykonawczych ustala się definicje terminów stosowanych w decyzji Rady w sprawie Prüm. Ponadto w przepisach wykonawczych ustanawia się wspólne przepisy dotyczące wymiany danych (rozdział 2), a potem określa się konkretne cechy wymiany danych DNA (rozdział 3), danych daktyloskopijnych (rozdział 4) i danych rejestracyjnych pojazdów (rozdział 5). Końcowe przepisy rozdziału 6 zawierają istotne dyspozycje na temat przyjmowania kolejnych przepisów wykonawczych w instrukcjach oraz na temat oceny stosowania decyzji. |
11. |
Ponadto omówiony zostanie załącznik w stopniu, w jakim pomaga on — lub powinien pomóc — określić cechy proponowanego systemu oraz gwarancje przysługujące osobom, których dane dotyczą. |
IV. UWAGI OGÓLNE
Niewielki margines swobody
12. |
EIOD zwraca uwagę, że także w tym przypadku wcześniejsze istnienie już obowiązujących przepisów wykonawczych do konwencji z Prüm najwyraźniej ogranicza faktyczny margines swobody pozostający Radzie. Sam motyw 3 oraz art. 18 inicjatywy mówią, że decyzja wykonawcza oraz instrukcje będą oparte na przepisach wykonawczych z dnia 5 grudnia 2006 r. dotyczących administracyjnego i technicznego wdrożenia konwencji z Prüm. Dlatego, jak wynika z obecnej inicjatywy, wszystkie 27 państw członkowskich będzie musiało pójść ścieżka już wytyczoną przez 7 państw członkowskich, które podpisały konwencję z Prüm. |
13. |
Takie podejście krępuje rozwój prawdzie przejrzystego i demokratycznego toku legislacyjnego, ponieważ poważnie ogranicza możliwość szerokiej debaty oraz znacznie redukuje legislacyjną rolę Parlamentu Europejskiego i doradczą rolę innych instytucji, takich jak EIOD. EIOD zaleca, żeby inicjatywa oraz załącznik do niej zostały poddane otwartej dyskusji, z możliwością owocnego współudziału wszystkich zaangażowanych instytucji oraz z uwagi na status pełnego współprawodawcy, jakim w tej dziedzinie stanie się Parlament Europejski, gdy traktat reformujący — podpisany w Lizbonie w dniu 13 grudnia 2007 r. — wejdzie w życie. |
Ogół przepisów o ochronie danych i związek z projektem decyzji ramowej w sprawie ochrony danych w trzecim filarze
14. |
Ogół odnośnych przepisów o ochronie danych ma złożoną i zmienną postać. I tak: rozdział 6 prümskiej inicjatywy zawiera pewne gwarancje i konkretne zasady ochrony danych. Jednak te konkretne zasady nie istnieją w próżni i, aby właściwie działać, muszą opierać się na w pełni rozwiniętym, ogólnym zbiorze przepisów o ochronie danych osobowych przetwarzanych przez organy policyjne i sądowe. Obecnie art. 25 konwencji z Prüm nawiązuje do konwencji nr 108 Rady Europy. Jednakże EIOD nie raz podkreślał, że zasady zawarte w konwencji nr 108 należy doprecyzować i przez to zapewnić wysoki, jednolity poziom ochrony danych, gwarantujący obywatelom ich prawa, a organom ochrony porządku publicznego — skuteczność w przestrzeni wolności, bezpieczeństwa i sprawiedliwości (4). |
15. |
W tym duchu Komisja już październiku 2005 r. zaproponowała ogólny instrument — projekt ramowej decyzji Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (zwany dalej „projektem decyzji ramowej o ochronie danych w trzecim filarze”). Wniosek ten nie został jeszcze przyjęty przez Radę, nadal więc możliwe są dyskusja nad nim i ewentualne zmiany, a nawet dalsza zwłoka w jego przyjęciu i wdrożeniu. Już teraz jest jednak jasne, że wspomniana decyzja ramowa będzie w swoim obecnym brzmieniu mieć zastosowanie tylko do danych osobowych przekazywanych innym państwom członkowskim, a nie do danych przetwarzanych w kraju (5). |
16. |
Ponadto obecny tekst projektu decyzji ramowej o ochronie danych w trzecim filarze, mimo że ma zapewniać wysoki poziom ochrony danych, oferuje tylko minimalną harmonizację i minimalne gwarancje. Oznacza to, że niektóre akty, takie jak omawiana inicjatywa, które mogłyby skorzystać na istnieniu kompleksowego zbioru przepisów o ochronie danych, muszą teraz zapełniać luki pozostawione przez projekt decyzji ramowej o ochronie danych w trzecim filarze. |
17. |
Dlatego z jednej strony EIOD powtarza, że decyzja Rady w sprawie konwencji z Prüm nie powinna wejść w życie, dopóki państwa członkowskie nie wdrożą ogólnej decyzji ramowej o ochronie danych w trzecim filarze. Warunek ten powinien wyraźnie figurować w inicjatywie i zależeć od stosowanej uprzedniej weryfikacji pokazującej, czy właściwie działają gwarancje ochrony danych w systemie wymiany tych danych. Należy tu także zagwarantować, że związki między aktami prawnymi są sprecyzowane tak, by decyzja ramowa o ochronie danych w trzecim filarze stanowiła lex generalis, a równocześnie nie wykluczała zastosowania innych konkretnych gwarancji i specjalnych ostrzejszych standardów określonych w prümskiej inicjatywie (6). |
18. |
Z drugiej strony prawodawca powinien sprecyzować, że szczegółowe przepisy o ochronie danych dotyczące DNA, odcisków palców i danych rejestracyjnych pojazdów ujęte w rozdziale 6 prümskiej inicjatywy mają zastosowanie nie tylko do wymiany tych danych, ale też do ich gromadzenia, przechowywania i przetwarzania do celów krajowych oraz do dostarczania dalszych danych osobowych w ramach wspomnianej decyzji Rady. Sprecyzowanie to byłoby zgodne z art. 24 ust. 2 prümskiej inicjatywy, a także wynikałoby logicznie ze spoczywającego na państwach członkowskich obowiązku gromadzenia, przechowywania i przekazywania wyżej wymienionych danych. |
19. |
Wagę takiego sprecyzowania widać jeszcze lepiej, gdy uwzględni się fakt, że zakres stosowania projektu decyzji ramowej o ochronie danych w trzecim filarze prawdopodobnie nie będzie obejmował przetwarzania danych osobowych do celów krajowych. Podejmując taką decyzję, Rada określiła, że mimo takiego wyboru nadal istnieje możliwość, by podstawa prawna objęła również ten rodzaj operacji przetwarzania. W związku z tym ponieważ omawiany pakiet inicjatyw — w tym prümska inicjatywa i przepisy wykonawcze — nakłada obowiązek utworzenia i prowadzenia określonych baz danych, takich jak baza DNA, powinien również zawierać gwarancje co do operacji przetwarzania — zwłaszcza gromadzenia i przechowywania profili DNA — związanych z gromadzeniem i przechowaniem danych. W przeciwnym przypadku, jeżeli te akty prawne będą mieć zastosowanie wyłącznie do przekazywanych danych, nie będą zawierać odpowiednich przepisów o ochronie danych osobowych, którym to przepisom muszą podlegać wszelkie działania oparte na art. 30 ust. 1 lit. b) Traktatu UE. |
20. |
EIOD apeluje do prawodawcy o dopilnowanie zgodnie z art. 30 ust. 1 lit. b) Traktatu UE, by zanim omawiana inicjatywa wejdzie w życie, działał już jasny, skuteczny i kompleksowy zbiór przepisów o ochronie danych, łączący różne akty prawne z przepisami ogólnymi i gwarancjami szczegółowymi. |
21. |
Dlatego w niniejszej opinii EIOD będzie w stosownych miejscach nawiązywać do tych kwestii, które nie znalazły (pełnego) rozwiązania w projekcie decyzji ramowej o ochronie danych w trzecim filarze, więc powinny zostać uwzględnione podczas wdrażania systemu określonego w omawianej inicjatywie. |
Przejrzystość procesu decyzyjnego i przepisów wykonawczych
22. |
EIOD podkreśla, że przejrzystość jest zasadniczym elementem samego procesu decyzyjnego, jak i realizacji przepisów. Przejrzystość przemawia też z jednej strony za tym, by umożliwić wszystkim zaangażowanym instytucjom pełny i faktyczny udział, a z drugiej strony by promować debatę publiczną i odpowiednie informowanie obywateli. |
23. |
Niestety w tym przypadku przejrzystość ucierpiała pod kilkoma względami: brak jest noty wyjaśniającej, co przemawia za proponowanymi przepisami, jaka będzie ich skuteczność i jakie są możliwe warianty politycznego działania; tekst załącznika jest wciąż niepełny — nie pojawił się on jeszcze np. w Dzienniku Urzędowym, nie ma tłumaczenia na wszystkie języki urzędowe, odesłania do artykułów oraz terminy są często niedokładne, a oświadczenia państw członkowskich co do zawartości baz DNA nie są dostępne; sama inicjatywa nie określa wymogów ani mechanizmów służących odpowiedniemu informowaniu obywateli o przyjmowanych przepisach i ich zmianach. |
24. |
Dlatego EIOD zaleca zwiększyć przejrzystość przepisów, a w tym celu: jak najszybciej dostarczyć ostateczną wersję załącznika oraz określić mechanizmy informowania obywateli o cechach samego systemu, prawach obywateli i trybie korzystania z tych praw. Odnośne kampanie informacyjne powinny być jednoznacznie ujęte w samej inicjatywie lub w załączniku do niej. |
Skala systemu
25. |
Omawiana inicjatywa dość dokładnie odwzorowuje przepisy wykonawcze do konwencji z Prüm. Jak już jednak zaznaczono w opinii na temat prümskiej inicjatywy Rady (§ 33–35), mechanizmy stworzone do wymiany informacji między kilkoma państwami członkowskimi niekoniecznie będą się nadawać — i dlatego mogą wymagać adaptacji — do stosowania w systemie o znacznie większej skali, takim jak wymiana informacji między 27 państwami członkowskimi. |
26. |
System małej skali sprzyja bowiem bliskim kontaktom między zaangażowanymi państwami członkowskimi — zarówno pod względem ochrony porządku publicznego, jak i pod względem monitorowania ryzyka, które zagraża ochronie danych osobowych odnośnych osób. Zgoła inaczej jest w większym systemie, w którym rozwiązania krajowe i systemy prawne wykazują duże rozbieżności co do gromadzenia, przechowywania i przetwarzania danych, zwłaszcza pod względem profili DNA i odcisków palców. Ponadto używanie różnych języków i różnych pojęć prawnych może negatywnie odbić się na dokładności w wymianie danych między państwami o różnych tradycjach prawnych. Dlatego EIOD sugeruje prawodawcy, aby w dalszych dyskusjach nad omawianą inicjatywą odpowiednio uwzględnił skalę systemu, i dopilnował, by wzrost liczby uczestniczących państw członkowskich nie spowodował spadku skuteczności. W przepisach wykonawczych należy w szczególności ustanowić konkretne formaty przekazywania danych, z uwzględnieniem różnic językowych; należy też stale monitorować dokładność wymienianych danych. |
Zaangażowanie organów ochrony danych
27. |
Inicjatywa powinna przyznawać niezależnym organom nadzorczym ważną rolę do odegrania w ramach transgranicznej wymiany danych na dużą skalę oraz powinna umożliwić im skuteczne wykonywanie swoich zadań. |
28. |
Po pierwsze obecne przepisy nie przewidują zasięgania opinii ani angażowania odnośnych organów nadzorczych podczas zmian przepisów wykonawczych i załączników do nich (art. 18 inicjatywy), podczas wdrażania przepisów o ochronie danych przez państwa członkowskie (art. 20) ani podczas oceny wymiany danych (art. 21). Szczególnie niefortunnie złożyło się, że rozdział IV załącznika, szczegółowo określający zasady oceny wdrożenia przepisów, nie mówi nic o właściwych organach ochrony danych. EIOD zaleca, żeby jednoznacznie stwierdzić we wspomnianych artykułach, że te organy mają do odegrania zasadniczą rolę doradczą. |
29. |
Po drugie inicjatywa powinna stanowić, że państwa członkowskie mają zapewnić organom ochrony danych (dodatkowe) środki potrzebne im do wykonywania zadań nadzorczych w związku z wdrażaniem proponowanego systemu. |
30. |
Po trzecie inicjatywa powinna stanowić, że właściwe organy ochrony danych zbierają się regularnie na szczeblu UE, by koordynować swoje działania i ujednolicać stosowanie tych instrumentów. Taka możliwość powinna zostać wyraźnie ujęta w inicjatywie, jeżeli decyzja ramowa o ochronie danych w trzecim filarze nie stwarza organom ochrony danych szerszego forum na szczeblu UE. |
V. KWESTIE SZCZEGÓŁOWE
Definicje
31. |
Artykuł 2 inicjatywy zawiera serię definicji, które częściowo odzwierciedlają definicje z decyzji Rady. Po pierwsze należy podkreślić, że definicje w art. 2 inicjatywy nie odpowiadają dokładnie definicjom z decyzji Rady, a zwłaszcza art. 24. Prawodawca powinien ujednolicić sformułowania w obu tekstach, aby zapobiec problemom w ich wdrażaniu. |
32. |
Po drugie EIOD już w swojej opinii na temat prümskiej inicjatywy wyraził żal, że brakuje jasnej definicji danych osobowych (§ 41–43). Brak ten razi jeszcze bardziej w przepisach wykonawczych, które proponuje się, gdy już wiadomo, że projektowana decyzja o ochronie danych w trzecim filarze nie będzie miała zastosowania do gromadzenia i przetwarzania danych osobowych, a zwłaszcza profili DNA, do celów krajowych. Dlatego EIOD powtórnie apeluje do prawodawcy o wprowadzenie jasnej i wyczerpującej definicji danych osobowych. |
33. |
W tym względzie przepisy wykonawcze powinny też wyjaśnić, jak przepisy o ochronie danych stosuje się do niezidentyfikowanych profili DNA, czyli profili nieprzypisanych jeszcze do zidentyfikowanej osoby. A przecież dane te gromadzi się, wymienia i porównuje, aby przypisać je do osoby, od której pochodzą. Dlatego skoro system ma służyć identyfikacji tych osób i skoro dane te mają zasadniczo być tylko tymczasowo „niezidentyfikowane”, należy także je objąć większością — jeżeli nie ogółem — przepisów i gwarancji mających zastosowanie do danych osobowych (7). |
34. |
Także co do definicji niekodującej części DNA (art. 2 lit. e)) EIOD ponownie przypomina (8), że dzięki rozwojowi nauki może zwiększyć się możliwość wykorzystywania niektórych części chromosomów do wykrywania genetycznych cech organizmu podlegających ochronie. Dlatego definicja części niekodującej powinna być dynamiczna, tzn. powinna zakazywać dalszego wykorzystywania tych markerów genetycznych, które dzięki postępowi nauki mogą dostarczać informacji o konkretnych cechach genetycznych (9). |
Dokładność zautomatyzowanego przeszukiwania i porównywania
35. |
Artykuł 8 omawianej inicjatywy reguluje zautomatyzowane przeszukiwanie i porównywanie profili DNA, i w tym celu stanowi, że zautomatyzowane powiadomienie o zgodności „jest przekazywane jedynie pod warunkiem, że wynikiem zautomatyzowanego przeszukiwania lub porównywania jest zgodność minimalnej liczby loci”. Ta minimalna liczba jest podana w rozdziale I załącznika: każde państwo członkowskie dopilnowuje, by udostępniane profile DNA zawierały przynajmniej 6 z 7 loci uznanych w UE za standardowe (załącznik rozdział I § 1.1); przedmiotem porównania są wartości porównywanych loci zwykle zawartych w obu — referencyjnym i docelowym — profilach DNA (§ 1.2); zgodność zachodzi, gdy wszystkie wartości porównywanych loci są takie same („pełna zgodność”) lub gdy różna jest tylko jedna wartość („niemal pełna zgodność”) (§ 1.2); informuje się zarówno o pełnej, jak i o niemal pełnej zgodności (§ 1.3). |
36. |
Co do tego mechanizmu EIOD stwierdza, że zasadniczym warunkiem jest dokładność zgodności. Im więcej loci się zgadza, tym mniej prawdopodobne jest błędne przyporządkowanie porównywanych profili DNA. Obecnie w Unii Europejskiej występują różnice między państwami pod względem istnienia i struktury baz danych DNA. Różne państwa stosują różną liczbę i różne zestawy loci. Zgodnie z załącznikiem minimalna liczba loci potrzebna do ustalenia zgodności wynosi 6, ale brak jest tam informacji o przewidywanym marginesie błędu w takim systemie. W tym względzie EIOD stwierdza, że aby zwiększyć dokładność przyporządkowania i zredukować ryzyko błędnych trafień, wiele państw stosuje większą liczbę loci (10). Dlatego żeby właściwie ocenić stopień dokładności projektowanego systemu, ważne byłoby otrzymanie informacji o marginesie błędu przewidywanym dla każdej liczby porównywanych loci. |
37. |
Oznacza to również, że minimalna liczba loci jest kwestią zasadniczą i dlatego powinna zostać ustalona w tekście omawianej inicjatywy, a nie w załączniku (który zgodnie z art. 18 inicjatywy Rada może zmieniać, stanowiąc większością kwalifikowaną i nie zasięgając opinii Parlamentu), tak aby zmniejszenie liczby loci nie wpłynęło na dokładność. Należy odpowiednio uwzględnić możliwość błędu i błędnych trafień i w tym celu ustalić, że przypadki niemal pełnej zgodności muszą być zgłaszane (organy otrzymujące wynik będą wówczas świadome, że zgodność ta nie jest tak wiarygodna jak pełna zgodność). |
38. |
Ponadto sama inicjatywa dopuszcza możliwość, że przeszukiwanie i porównywanie przyniesie więcej trafień niż jedno, o czym wyraźnie mówi art. 8 inicjatywy w odniesieniu do profili DNA oraz rozdział 3 (pkt 1.2) załącznika — w odniesieniu do pojazdów. W takich przypadkach, przed dalszą wymianą danych osobowych na podstawie takiej zgodności, powinno się przeprowadzić dalsze kontrole i weryfikacje, by ustalić, dlaczego doszło do wielu trafień i które z nich jest właściwe. |
39. |
Z tych samych powodów EIOD zaleca uczulić zwłaszcza pracowników organów ochrony porządku publicznego prowadzących porównywanie i przeszukiwanie DNA na fakt, że profile DNA nie są jedynymi kryteriami identyfikacji: nawet pełna zgodność określonej liczby loci nie wyklucza możliwości błędnego trafienia, czyli możliwości błędnego przyporządkowania osoby do profilu DNA. Zresztą na wynik porównywania i przeszukiwania profili DNA mogą wpływać błędy na różnych etapach: niska jakość próbek DNA w chwili pobrania, ewentualne błędy techniczne podczas analizy DNA, błędy we wprowadzanych danych lub po prostu przypadkowa zgodność określonego porównywanego loci. Co do ostatniej kwestii margines błędu będzie prawdopodobnie tym większy, im mniejsza będzie liczba loci, a baza danych większa. |
40. |
Podobne rozumowanie można przeprowadzić co do dokładności porównywania odcisków palców. Artykuł 12 inicjatywy stanowi, że nadawanie danym daktyloskopijnym formy cyfrowej i ich przekazywanie odbywa się zgodnie z ujednoliconym formatem danych określonym w rozdziale II załącznika. Ponadto państwa członkowskie zapewniają odpowiednią jakość danych daktyloskopijnych, umożliwiającą ich porównanie za pomocą zautomatyzowanego systemu identyfikacji odcisków palców (AFIS: Automated Fingerprint Identification System). Rozdział 2 załącznika podaje nieco szczegółów na temat wymaganego formatu. W tym względzie EIOD stwierdza, że aby zapewnić dokładność porównywania, inicjatywa i załącznik muszą maksymalnie ujednolicić różne systemy AFIS stosowane w państwach członkowskich oraz sposób korzystania z tych systemów, szczególnie pod kątem odsetka błędnych odrzuceń. Zdaniem EIOD informacja ta powinna być zawarta w instrukcji sporządzonej na mocy art. 18 ust. 2 inicjatywy. |
41. |
Inną zasadniczą kwestią jest to, że bazy danych DNA (i odcisków palców) powinny być precyzyjnie opisane, gdyż mogą one zawierać — zależnie od państwa członkowskiego — profile DNA lub odciski palców różnych grup osób (przestępców, podejrzanych, innych osób obecnych na miejscu przestępstwa itd.). Mimo że te różnice istnieją, omawiana inicjatywa nie opisuje, jakiego rodzaju bazy danych będą używane przez każde z państw członkowskich, a załącznik nie zawiera jeszcze żadnych oświadczeń w tym względzie. A przecież może wystąpić zgodność między danymi DNA i odciskami palców pochodzącymi od osób z różnych, często nie mających związku, grup. |
42. |
Zdaniem EIOD inicjatywa powinna określać, jakich grup osób będzie dotyczyć wymiana danych i jak o ich różnym statusie będą powiadamiane inne państwa członkowskie przy okazji porównania lub przeszukania. Na przykład inicjatywa mogłaby zawierać wymóg, by w sprawozdaniu o zgodności podawać, do jakiej grupy należy osoba wyłoniona w wyniku z porównania danych DNA czy odcisków palców — o ile informacje takie są dostępne zapytywanym organom. |
Ocena wymiany danych
43. |
Dobrze, że uwzględniono ocenę wymiany danych, o której mówi art. 21 inicjatywy oraz rozdział 4 załącznika. Jednak przepisy te skupiają się tylko na administracyjnej, technicznej i finansowej stronie zautomatyzowanej wymiany danych, natomiast nawet nie wspominają o ocenie stosowania przepisów o ochronie danych. |
44. |
Dlatego EIOD proponuje szczególnie podkreślić ocenę wymiany danych prowadzoną pod kątem ich ochrony, uwzględniającą zwłaszcza: cele, do jakich dane zostały przekazane, sposoby informowania o osobie, której dane dotyczą, dokładność wymienianych danych i błędne trafienia, wnioski o dostęp do danych osobowych, długość okresów przechowywania oraz skuteczność środków bezpieczeństwa. I tu należy odpowiednio zaangażować odnośne organy ochrony danych i odnośnych ekspertów, i w tym celu np. określić, że eksperci w dziedzinie ochrony danych uczestniczą w wizytach oceniających, o których mowa w rozdziale 4 załącznika, oraz że odnośne organy ochrony danych otrzymują sprawozdanie z oceny, o którym mowa w art. 20 inicjatywy i w rozdziale 4 załącznika. |
Sieć łączności i techniczna strona systemu
45. |
Artykuł 4 inicjatywy stanowi, że cała elektroniczna wymiana danych opiera się na sieci łączności „TESTA II”. W tym względzie załącznik podaje na stronie 76, w pkt 54, że „system odpowiada standardom ochrony danych określonym w rozporządzeniu (WE) nr 45/2001 (art. 21, 22 i 23) oraz w dyrektywie 95/46/WE”. EIOD zaleca doprecyzowanie tej informacji, także pod kątem roli instytucji wspólnotowych w tym systemie. I tu uwzględnić należy obie role EIOD — nadzorczą i doradczą — wynikające z rozporządzenia (WE) nr 45/2001. |
46. |
Ponadto, gdy załącznik przybierze ostateczną formę i będzie zawierał wszystkie szczegóły i oświadczenia wyjaśniające cechy tego systemu, EIOD rozważy, czy konieczne są jego dalsze rady co do bardziej technicznych aspektów systemu. |
VI. WNIOSKI
— |
EIOD zaleca, żeby inicjatywa oraz załącznik do niej zostały poddane otwartej dyskusji, z możliwością owocnego współudziału wszystkich zaangażowanych instytucji oraz z uwagi na status pełnego współprawodawcy, jakim w tej dziedzinie stanie się Parlament Europejski, gdy traktat reformujący — podpisany w Lizbonie w dniu 13 grudnia 2007 r. — wejdzie w życie. |
— |
EIOD apeluje do prawodawcy o dopilnowanie zgodnie z art. 30 ust. 1 lit. b) Traktatu UE, by zanim omawiana inicjatywa wejdzie w życie, działał już jasny, skuteczny i kompleksowy zbiór przepisów o ochronie danych, łączący różne akty prawne z przepisami ogólnymi i gwarancjami szczegółowymi.
|
— |
EIOD zaleca zwiększyć przejrzystość przepisów, a w tym celu: jak najszybciej dostarczyć ostateczną wersję załącznika oraz określić mechanizmy informowania obywateli o cechach samego systemu, prawach obywateli i trybie korzystania z tych praw. |
— |
Dlatego EIOD nakłania prawodawcę, aby w dalszych dyskusjach nad omawianą inicjatywą odpowiednio uwzględnił skalę systemu, i dopilnował, by wzrost liczby uczestniczących państw członkowskich nie spowodował spadku skuteczności. W przepisach wykonawczych należy w szczególności ustanowić konkretne formaty przekazywania danych, z uwzględnieniem różnic językowych; należy też stale monitorować dokładność wymienianych danych. |
— |
EIOD zaleca, aby w artykułach mówiących o zmianie przepisów wykonawczych i załączników do nich (art. 18 inicjatywy), o wdrażaniu przepisów o ochronie danych przez państwa członkowskie (art. 20) i o ocenie wymiany danych (art. 21) jednoznacznie ująć istotną rolę doradczą, jaką odgrywają odnośne organy nadzorcze. Ponadto inicjatywa powinna stanowić, że państwa członkowskie mają zapewnić organom ochrony danych (dodatkowe) środki potrzebne im do wykonywania zadań nadzorczych w związku z wdrażaniem proponowanego systemu oraz że właściwe organy ochrony danych zbierają się regularnie na szczeblu UE, by koordynować swoje działania i ujednolicać stosowanie tych instrumentów. |
— |
Dlatego EIOD powtórnie apeluje do prawodawcy o wprowadzenie jasnej i wyczerpującej definicji danych osobowych. W tym względzie przepisy wykonawcze powinny też wyjaśnić, jak przepisy o ochronie danych stosuje się do niezidentyfikowanych profili DNA, czyli profili nieprzypisanych jeszcze do zidentyfikowanej osoby. EIOD ponownie przypomina, że definicja części niekodującej powinna być dynamiczna, tzn. powinna zakazywać dalszego wykorzystywania tych markerów genetycznych, które dzięki postępowi nauki mogą dostarczać informacji o konkretnych cechach genetycznych. |
— |
EIOD zaleca, żeby w ramach zautomatyzowanego przeszukiwania i porównywania należycie uwzględnić dokładność wyników.
|
— |
EIOD proponuje podkreślić szczególnie ocenę wymiany danych prowadzoną pod kątem ich ochrony, uwzględniającą zwłaszcza: cele, do jakich dane zostały przekazane, sposoby informowania o osobie, której dane dotyczą, dokładność wymienianych danych i błędne trafienia, wnioski o dostęp do danych osobowych, długość okresów przechowywania oraz skuteczność środków bezpieczeństwa. W ocenę tę należy odpowiednio zaangażować odnośne organy ochrony danych oraz odnośnych ekspertów. |
— |
EIOD zaleca dookreślić stosowanie sieci łączności „TESTA II” i jej zgodność z rozporządzeniem (WE) nr 45/2001, także pod kątem roli instytucji wspólnotowych w tym systemie. |
Sporządzono w Brukseli, dnia 19 grudnia 2007 r.
Peter HUSTINX
Europejski inspektor ochrony danych
(1) Dz.U. C 267 z 9.11.2007, str. 4.
(2) Załącznik nie został jeszcze opublikowany w Dzienniku Urzędowym, ale jest ogólnie dostępny w rejestrze Rady jako dok. 11045/1/07 REV 1 ADD 1.
(3) Dz.U. C 169 z 21.7.2007, str. 2.
(4) Zob. niedawną opinię EIOD w sprawie konwencji z Prüm, § 57–76, oraz trzecią opinię EIOD z dnia 27 kwietnia 2007 r. na temat wniosku dotyczącego ramowej decyzji Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej I sądowej w sprawach karnych, § 14 (Dz.U. C 139 z 23.6.2007, str. 1).
(5) Najnowsza wersja tego projektu jest dostępna w rejestrze Rady jako dokument nr 16397/07.
(6) Pod kątem tego punktu należy uważnie przemyśleć i przedyskutować art. 27b najnowszego projektu decyzji ramowej o ochronie danych w trzecim filarze.
(7) Na temat zastosowania przepisów o ochronie danych do profili DNA zob. opinię Grupy Roboczej art. 29 nr 4/2007 z dnia 20 czerwca 2007 r. o pojęciu danych osobowych, WP136 str. 8–9; ta sama opinia wyjaśnia analogiczną kwestię dotyczącą zastosowania przepisów o ochronie danych do dynamicznych adresów IP, str. 16–17.
(8) Zob. też opinię EIOD z dnia 28 lutego 2006 r. na temat wniosku dotyczącego ramowej decyzji Rady w sprawie wymiany informacji w ramach zasady dostępności (COM(2005) 490 wersja ostateczna), § 58–60 (Dz.U. C 116 z 17.5.2006).
(9) Zob. w tej samej kwestii załącznik I do rezolucji Rady z dnia 25 czerwca 2001 r. w sprawie wymiany wyników analiz DNA (Dz.U. C 187, 3.7.2001, str. 1).
(10) Np. w Zjednoczonym Królestwie Krajowa Baza Danych DNA zwiększyła liczbę loci w profilach DNA z 6 do 10, m.in. po to by zwiększyć wiarygodność trafień.