Bruksela, dnia 20.7.2010

KOM(2010)385 wersja ostateczna

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY

Przegląd zarządzania informacjami w przestrzeni wolności, bezpieczeństwa i sprawiedliwości

KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO I RADY

Przegląd zarządzania informacjami w przestrzeni wolności, bezpieczeństwa i sprawiedliwości

WPROWADZENIE

Unia Europejska przebyła długą drogę od momentu, gdy w 1985 r. w Schengen przywódcy pięciu państw europejskich wyrazili zgodę na zniesienie kontroli na wspólnych granicach. Zawarty wówczas układ dał podstawę do podpisania w 1990 r. konwencji z Schengen, w której znalazły się podstawy wielu obecnie obowiązujących strategii zarządzania informacjami. Zniesienie kontroli na granicach wewnętrznych wiązało się z wprowadzeniem na granicach zewnętrznych wielu środków obejmujących przede wszystkim wydawanie wiz, koordynację polityki azylowej i imigracyjnej oraz wzmocnienie współpracy policyjnej, sądowej i celnej w zwalczaniu przestępczości transgranicznej. Strefa Schengen i rynek wewnętrzny UE nie mogłyby obecnie funkcjonować bez transgranicznej wymiany informacji.

Ataki terrorystyczne, które miały miejsce w Stanach Zjednoczonych w 2001 r., a także zamachy bombowe w Madrycie i Londynie w latach 2004 i 2005, spowodowały dalszy dynamiczny rozwój strategii zarządzania informacjami w Europie. W 2006 r. Rada i Parlament Europejski przyjęły dyrektywę w sprawie zatrzymywania danych, której celem było umożliwienie organom krajowym zwalczania poważnej przestępczości dzięki zachowywaniu danych o ruchu telekomunikacyjnym i lokalizacji połączeń[1]. Następnie Rada przyjęła inicjatywę szwedzką dotyczącą uproszczenia transgranicznej wymiany informacji w sprawach karnych i przy operacjach wywiadowczych. W 2008 r. zatwierdziła ona decyzję z Prüm, która miała umożliwić sprawniejszą wymianę profili DNA, odcisków palców i danych rejestracyjnych pojazdów w walce przeciwko terroryzmowi i innym formom przestępczości. Innymi narzędziami stosowanymi w walce przeciwko poważnej przestępczości w strefie Schengen są: współpraca transgraniczna między jednostkami analizy finansowej, biurami ds. odzyskiwania mienia i platformami walki z cyberprzestępczością oraz wykorzystanie przez państwa członkowskie zasobów Europolu i Eurojustu.

Bezpośrednio po atakach terrorystycznych z dnia 11 września 2001 r. rząd Stanów Zjednoczonych opracował Program śledzenia środków finansowych należących do terrorystów, którego celem było udaremnianie podobnych spisków poprzez monitorowanie podejrzanych transakcji finansowych. Parlament Europejski wydał niedawno zgodę na zawarcie Umowy między Unią Europejską a Stanami Zjednoczonymi o przetwarzaniu i przekazywaniu danych z komunikatów finansowych do celów Programu śledzenia środków finansowych należących do terrorystów (umowa UE-USA w sprawie TFTP)[2]. Także wymiana danych dotyczących przelotu pasażera (danych PNR) z państwami trzecimi pomaga UE w zwalczaniu terroryzmu i innych form poważnej przestępczości[3]. Po zawarciu umów w sprawie danych PNR ze Stanami Zjednoczonymi, Australią i Kanadą, Komisja ostatnio ponownie podjęła ten temat, aby na nowo rozważyć swoje podejście do ustanowienia systemu PNR w UE oraz udostępniania tych danych państwom trzecim.

Wyżej opisane środki pozwoliły na swobodne przemieszczanie się w strefie Schengen, przyczyniły się do zapobiegania i zwalczania ataków terrorystycznych i innych form poważnej przestępczości, a także przyspieszyły rozwój wspólnej polityki wizowej i azylowej.

W niniejszym komunikacie po raz pierwszy przedstawiono pełny obraz środków na poziomie UE, które obowiązują, są wdrażane lub rozważane, a które regulują proces gromadzenia, przechowywania lub transgranicznej wymiany danych osobowych do celów egzekwowania prawa i zarządzania migracją. Obywatele mają prawo wiedzieć, które z ich danych osobowych są przetwarzane i wymieniane, przez kogo i z jakiego powodu. Niniejszy dokument zawiera jasno sformułowane odpowiedzi na te pytania. Wyjaśniono w nim główny cel wspomnianych instrumentów, przedstawiono ich strukturę, rodzaje danych osobowych, których dotyczą, wykaz organów mających dostęp do tych danych oraz przepisy dotyczące ochrony i zatrzymywania danych. Niniejszy komunikat zawiera ponadto ograniczony wykaz przypadków ukazujących, jak instrumenty te działają w praktyce (zob. załącznik I). Wreszcie ustanawia on podstawowe zasady, jakimi należy się kierować przy opracowaniu i ocenie instrumentów wykorzystywanych do zarządzania informacjami w przestrzeni wolności, bezpieczeństwa i sprawiedliwości.

Niniejszy komunikat, w którym przedstawiono ogólny obraz środków na poziomie UE regulujących zarządzanie danymi osobowymi i zaproponowano szereg zasad dotyczących opracowania i oceny tych środków, wpisuje się w dialog z zainteresowanymi stronami, oparty na wiedzy i rzetelnych informacjach. Stanowi on jednocześnie pierwszą odpowiedź na wezwania formułowane przez państwa członkowskie do wypracowania bardziej „spójnego” podejścia do wymiany danych osobowych w celu egzekwowania prawa, o którym wspomniano niedawno w strategii UE w zakresie zarządzania informacjami[4] oraz w celu rozważenia ewentualnej potrzeby opracowania europejskiego modelu wymiany informacji opartego na istniejących środkach wymiany informacji[5].

W przypadku większości instrumentów przedstawionych w niniejszym komunikacie kluczową rolę odgrywa zasada celowości. Najwyższy poziom wymiany informacji zapewniłby jeden, nadrzędny system informacyjny UE, służący różnym celom. Stworzenie takiego systemu stanowiłoby jednak poważne i niezgodne z prawem ograniczenie prawa osób fizycznych do prywatności i ochrony danych; byłoby także ogromnym wyzwaniem z punktu widzenia jego rozwoju i funkcjonowania. W praktyce natomiast w przestrzeni wolności, bezpieczeństwa i sprawiedliwości pojawiła się duża liczba strategii, skutkująca powstaniem licznych systemów i instrumentów do przekazywania informacji, różniących się od siebie wielkością, zakresem i celem. Rozproszona struktura zarządzania informacjami, która dominuje w ostatnich dekadach, zapewnia wyższy stopień ochrony prawa obywateli do prywatności niż jakakolwiek jej scentralizowana alternatywa.

Niniejszy komunikat nie obejmuje środków dotyczących wymiany danych nieosobowych do celów strategicznych, takich jak ogólne analizy ryzyka lub oceny zagrożenia. Nie zawiera także szczegółowej analizy przepisów o ochronie danych występujących w omawianych instrumentach, ponieważ Komisja, na podstawie art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, przeprowadza obecnie ocenę nowych kompleksowych ram ochrony danych osobowych w UE. Rada rozważa obecnie projekt wytycznych negocjacyjnych dotyczących umowy między Unią Europejską a Stanami Zjednoczonymi o ochronie danych osobowych przekazywanych i przetwarzanych na potrzeby zapobiegania przestępstwom, w tym przestępstwom terrorystycznym, prowadzenia odnośnych dochodzeń, wykrywania lub ścigania tych zjawisk, w ramach współpracy policyjnej i współpracy między wymiarami sprawiedliwości w sprawach karnych. Jako że negocjacje te mają służyć przede wszystkim ustaleniu sposobów, dzięki którym dwie strony mogą zapewnić wysoki poziom ochrony praw i wolności podstawowych przy przekazywaniu lub przetwarzaniu danych osobowych, a samych treści podlegających przekazywaniu lub przetwarzaniu, niniejszy komunikat nie obejmuje tej inicjatywy[6].

INSTRUMENTY UE REGULUJąCE PROCES GROMADZENIA, PRZECHOWYWANIA LUB WYMIANY DANYCH OSOBOWYCH DO CELÓW EGZEKWOWANIA PRAWA I MIGRACJI

W niniejszej części omówiono instrumenty Unii Europejskiej regulujące proces gromadzenia, przechowywania lub transgranicznej wymiany danych osobowych do celów egzekwowania prawa lub zarządzania migracją. W części 2.1 skupiono się natomiast na środkach, które obowiązują, są wdrażane lub których wprowadzenie się rozważa. Cześć 2.2 dotyczy inicjatyw określonych w planie działań służącym realizacji programu sztokholmskiego[7]. Zawiera ona informacje dotyczące następujących aspektów każdego instrumentu:

- kontekstu (czy dany środek został zaproponowany przez państwa członkowskie czy przez Komisję)[8];

- celu(ów) gromadzenia, przechowywania lub wymiany danych;

- struktury (scentralizowany system informacyjny lub zdecentralizowana wymiana danych);

- zakresu danych osobowych objętych instrumentem;

- organów posiadających dostęp do danych;

- przepisów dotyczących ochrony danych;

- zasad zatrzymywania danych;

- etapu wdrażania;

- mechanizmu przeglądu.

Instrumenty stosowane, wdrażane lub rozważane

Instrumenty UE mające usprawnić funkcjonowanie strefy Schengen i unii celnej

System informacyjny Schengen (SIS) zrodził się z wyrażanej przez państwa członkowskie chęci stworzenia obszaru pozbawionego kontroli na granicach wewnętrznych, przy jednoczesnym ułatwieniu przepływu osób przez granice zewnętrzne tych państw[9]. Celem działającego od 1995 r. systemu jest utrzymanie bezpieczeństwa publicznego, w tym bezpieczeństwa narodowego, w strefie Schengen oraz ułatwienie przepływu osób w oparciu o informacje przekazywane za pośrednictwem tego systemu. SIS jest scentralizowanym systemem informacyjnym obejmującym część krajową w każdym państwie uczestniczącym oraz centralną jednostkę wsparcia technicznego we Francji. Państwa członkowskie mogą wprowadzać do niego wpisy dotyczące osób poszukiwanych w celu aresztowania i ekstradycji; obywateli państw trzecich, którym odmawia się prawa wjazdu; osób zaginionych; świadków lub osób poszukiwanych w związku z postępowaniem sądowym; osób lub pojazdów objętych monitorowaniem specjalnym w związku z zagrożeniem, jakie stanowią dla bezpieczeństwa publicznego lub narodowego; zaginionych lub skradzionych pojazdów i dokumentów oraz zaginionej lub skradzionej broni palnej; oraz podejrzanych banknotów. Dane wprowadzane do SIS obejmują imiona i nazwiska oraz pseudonimy, cechy fizyczne, datę i miejsce urodzenia, obywatelstwo oraz informacje, czy dana osoba jest uzbrojona i niebezpieczna. Dostęp do powyższych informacji mają, w granicach przysługujących im zgodnie z prawem kompetencji, organy policji, kontroli granicznej i celnej oraz organy sądowe. Organy imigracyjne i placówki konsularne mają dostęp do danych dotyczących obywateli państw trzecich figurujących w wykazie osób objętych zakazem wjazdu oraz wpisów dotyczących zaginionych i skradzionych dokumentów. Europol ma dostęp do niektórych kategorii danych SIS, w tym wpisów dotyczących osób poszukiwanych w celu aresztowania i ekstradycji oraz wpisów dotyczących osób objętych monitorowaniem specjalnym w związku z zagrożeniem, jakie stanowią dla bezpieczeństwa publicznego lub narodowego. Europol ma dostęp do wpisów dotyczących osób poszukiwanych w celu aresztowania i ekstradycji, dotyczących świadków oraz wpisów dotyczących osób poszukiwanych w związku z postępowaniem sądowym. Dane osobowe można wykorzystywać wyłącznie do celów konkretnych wpisów, w związku z którymi są podawane. Dane osobowe wprowadzane do SIS w celu śledzenia osób mogą być przechowywane jedynie przez okres konieczny do osiągnięcia celów, dla których zostały dostarczone, ale nie dłużej niż przez trzy lata od dnia wprowadzenia ich do systemu. Dane osób objętych monitorowaniem specjalnym w związku z zagrożeniem, jakie stanowią dla bezpieczeństwa publicznego lub narodowego, muszą być usuwane po upływie roku. Państwa członkowskie muszą przyjmować przepisy krajowe przewidujące poziom ochrony danych co najmniej równoważny poziomowi zapewnionemu przez konwencję Rady Europy z 1981 r.o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych oraz zalecenie Komitetu Ministrów Rady Europy z 1987 r. regulujące wykorzystanie danych osobowych przez policję[10]. Jako że konwencja z Schengen nie przewiduje mechanizmu przeglądu, sygnatariusze mogą proponować zmiany do konwencji. Po wprowadzeniu zmian tekst musi być jednomyślnie zatwierdzony i ratyfikowany przez parlamenty krajowe. SIS jest w pełni stosowany w 22 państwach członkowskich, a także w Szwajcarii, Norwegii i na Islandii. Zjednoczone Królestwo i Irlandia uczestniczą we współpracy policyjnej w ramach konwencji z Schengen i SIS, z wyjątkiem wpisów dotyczących obywateli państw członkowskich figurujących w wykazie osób objętych zakazem wjazdu. Cypr podpisał konwencję z Schengen, nie przystąpił jednak dotychczas do jej wdrażania. Liechtenstein ma rozpocząć jej wdrażania w 2010 r., zaś Bułgaria i Rumunia w 2011 r. Wynik przeszukiwania w SIS ma formę „trafienia”, jeśli informacje dotyczące poszukiwanej osoby lub poszukiwanego obiektu odpowiadają informacjom zawartym w istniejącym wpisie. Po uzyskaniu „trafienia” organy ścigania mogą, za pośrednictwem sieci biur SIRENE, zwrócić się o dodatkowe informacje na temat osób lub obiektów będących przedmiotem wpisu[11].

Z chwilą przystąpienia nowych państw członkowskich do strefy Schengen odpowiednio zwiększyła się baza danych SIS: między styczniem 2008 r. a 2010 r. całkowita liczba wpisów do SIS wzrosła z 22,9 do 31,6 milionów[12]. Przewidując taki wzrost ilości danych i zmiany potrzeb użytkowników, państwa członkowskie zdecydowały w 2001 r. o opracowaniu systemu informacyjnego Schengen drugiej generacji (SIS II) i powierzyły to zadanie Komisji[13]. Celem SIS II, będącego obecnie w fazie rozwoju, jest zapewnienie wysokiego poziomu bezpieczeństwa w przestrzeni wolności, bezpieczeństwa i sprawiedliwości poprzez usprawnienie funkcjonowania systemu pierwszej generacji i ułatwienie przepływu osób w oparciu o informacje przekazywane za pośrednictwem tego systemu. Poza pierwotnymi kategoriami danych występującymi w systemie pierwszej generacji, SIS II będzie w stanie przetwarzać dane o odciskach palców, fotografie, kopie europejskiego nakazu aresztowania, przepisy mające na celu ochronę interesów osób, których tożsamość została przywłaszczona oraz odsyłacze do innych wpisów. SIS II będzie na przykład umożliwiać odsyłanie między wpisami dotyczącymi osoby poszukiwanej za uprowadzenie, osoby uprowadzonej oraz pojazdu użytego do popełnienia tego przestępstwa. Zasady dotyczące praw dostępu do systemu oraz zatrzymywania danych są tożsame z zasadami dotyczącymi systemu pierwszej generacji. Dane osobowe można wykorzystywać wyłącznie do celów konkretnych wpisów, w związku z którymi są podawane. Dane osobowe w SIS II muszą być przetwarzane zgodnie z przepisami szczególnymi zawartymi w podstawowych aktach prawnych regulujących funkcjonowanie tego systemu (rozporządzenie (WE) nr 1987/2006 i decyzja Rady 2007/533/WSiSW), w których wyjaśniono zasady dyrektywy 95/46/WE, a także zgodnie z rozporządzeniem (WE) nr 45/2001, konwencją nr 108 Rady Europy i zaleceniem w sprawie wykorzystania danych osobowych przez policję[14]. SIS II będzie wykorzystywać platformę s-TESTA, bezpieczną sieć komunikacyjną Komisji[15]. System ten, z chwilą uruchomienia, będzie stosowany we wszystkich państwach członkowskich, w Szwajcarii, Liechtensteinie, Norwegii i na Islandii[16]. Na Komisji spoczywa obowiązek przesyłania Parlamentowi Europejskiemu i Radzie dwouletniego sprawozdania z tworzenia SIS II i potencjalnego przejścia na ten system z systemu pierwszej generacji[17].

Utworzenie EURODAC można powiązać ze zniesieniem granic wewnętrznych, co spowodowało konieczność ustalenia przejrzystych zasad rozpatrywania wniosków azylowych. EURODAC to scentralizowany automatyczny system identyfikacji odcisków palców, w którym znajdują się dane dotyczące odcisków palców niektórych obywateli państw trzecich. Celem działającego od stycznia 2003 r. systemu jest pomoc we wskazaniu państwa członkowskiego odpowiedzialnego, na mocy rozporządzenia dublińskiego, za rozpatrzenie konkretnego wniosku azylowego[18]. Od osób fizycznych w wieku 14 lat lub osób starszych, które składają wniosek azylowy w jednym z państw członkowskich, pobiera się odciski palców, podobnie jak czyni się to w stosunku do obywateli państw trzecich zatrzymanych w związku z nielegalnym przekroczeniem granicy zewnętrznej. Porównując odciski palców tych osób z zapisem w systemie EURODAC, organy krajowe pragną ustalić, gdzie dana osoba złożyła wniosek azylowy lub po raz pierwszy wjechała na terytorium Unii Europejskiej. Organy te mogą także porównywać z zapisem w systemie EURODAC odciski palców obywateli państw trzecich przebywających nielegalnie na ich terytorium. Każde państwo członkowskie musi podać wykaz organów, które mają dostęp do tej bazy danych. Wykaz ten obejmuje zazwyczaj władze odpowiedzialne za udzielanie azylu i władze migracyjne, straż graniczną i policję. Państwa członkowskie przesyłają właściwe dane do centralnej bazy danych za pośrednictwem swoich krajowych punktów dostępu. Z danych osobowych znajdujących się w EURODAC można korzystać wyłącznie po to, aby ułatwić stosowanie rozporządzenia dublińskiego; każde inne wykorzystanie danych podlega karze. Odciski palców osób ubiegających się o azyl są przechowywane przez 10 lat, zaś odciski palców nielegalnych migrantów przez dwa lata. Zapis dotyczący osoby ubiegającej się o azyl jest usuwany z chwilą uzyskania przez tę osobę obywatelstwa państwa członkowskiego, zaś zapis dotyczący nielegalnego migranta jest usuwany z chwilą uzyskania przez niego dokumentu pobytowego lub obywatelstwa, bądź opuszczenia terytorium danego państwa członkowskiego. Do przetwarzania danych osobowych w ramach tego instrumentu zastosowanie ma dyrektywa 95/46/WE[19]. EURODAC działa w oparciu o sieć s-TESTA Komisji i jest stosowany w każdym państwie członkowskim, a także w Norwegii, Szwajcarii i na Islandii. Na zawarcie czeka umowa, która umożliwi Liechtensteinowi podłączenie do systemu. Na Komisji spoczywa obowiązek przedkładania Parlamentowi Europejskiemu i Radzie corocznych sprawozdań z działalności jednostki centralnej EURODAC.

W obliczu ataków z 11 września 2001 r. państwa członkowskie podjęły decyzję o przyspieszeniu wdrożenia wspólnej polityki wizowej poprzez opracowanie pewnej formy wymiany danych dotyczących wiz krótkoterminowych[20]. Zniesienie granic wewnętrznych zwiększyło możliwości nadużyć w stosunku do systemów wizowych państw członkowskich. Wizowy system informacyjny (VIS) służy rozwiązaniu obu kwestii: ma on pomóc we wdrożeniu wspólnej polityki wizowej poprzez uproszczenie rozpatrywania wniosków wizowych oraz kontroli granic zewnętrznych, przyczyniając się jednocześnie do zapobiegania zagrożeniom dla bezpieczeństwa wewnętrznego państw członkowskich[21]. VIS będzie scentralizowanym systemem informacyjnym składającym się z elementu krajowego w każdym uczestniczącym państwie oraz centralnej jednostki wsparcia technicznego we Francji. Będzie on wykorzystywać system porównywania danych biometrycznych, co zapewni wiarygodne porównanie odcisków palców i sprawdzenie tożsamości posiadaczy wiz na granicach zewnętrznych. Znajdą się w nim dane o wnioskach wizowych, fotografie, odciski palców, powiązane decyzje organów wizowych oraz odsyłacze do powiązanych wniosków. Dostęp do tej bazy danych będą mieć organy wizowe, imigracyjne, odpowiedzialne za udzielenie azylu oraz organy kontroli granicznej, w celu sprawdzenia tożsamości posiadaczy wiz i autentyczności tych wiz. Policji i Europolowi przysługuje wgląd do tego systemu w celu zapobiegania przestępstwom terrorystycznym i innym formom poważnej przestępczości oraz ich zwalczania[22]. Dokumentacja wniosku wizowego może być przechowywana przez pięć lat. Dane osobowe w VIS muszą być przetwarzane zgodnie z przepisami szczególnymi zawartymi w podstawowych aktach prawnych regulujących funkcjonowanie tego systemu (rozporządzenie (WE) nr 767/2008 i decyzja Rady 2008/633/WSiSW), które uzupełniają przepisy dyrektywy 95/46/WE, rozporządzenia (WE) nr 45/2001, decyzji ramowej Rady 2008/977/WSiSW, konwencji nr 108 Rady Europy, protokołu dodatkowego nr 181 do konwencji i zalecenia w sprawie wykorzystania danych osobowych przez policję.[23] VIS będzie stosowany we wszystkich państwach członkowskich (z wyjątkiem Zjednoczonego Królestwa i Irlandii), a także w Szwajcarii, Norwegii i na Islandii. Będzie on działać w oparciu o sieć s-TESTA Komisji. Komisja dokona oceny systemu po upływie trzech lat od jego uruchomienia i będzie przeprowadzać taką ocenę w odstępach czteroletnich.

Z inicjatywy Hiszpanii Rada przyjęła w 2004 r. dyrektywę regulującą przesyłanie przez przewoźników lotniczych organom kontroli granicznej danych pasażerów przekazywanych przed podróżą (danych API)[24]. Celem wprowadzenia tego instrumentu jest poprawa kontroli granicznej i zwalczanie nielegalnej migracji. Przewoźnicy lotniczy są zobowiązani do przesyłania, na wniosek organów kontroli granicznej, informacji dotyczących imienia i nazwiska, daty urodzenia, obywatelstwa, miejsca wejścia na pokład i punktu kontroli granicznej pasażerów podróżujących do UE z państw trzecich. Takie dane osobowe pochodzą zazwyczaj z odczytywalnych maszynowo elementów paszportów pasażerów i są przekazywane tym organom po zakończeniu kontroli. Organy kontroli granicznej i przewoźnicy lotniczy mogą zatrzymywać dane pasażerów przez 24 godziny od przylotu. System API działa w sposób zdecentralizowany poprzez wymianę informacji między operatorami prywatnymi a organami publicznymi. Nie pozwala jednak na wymianę danych API między państwami członkowskimi; Organy ścigania inne niż straż graniczną mogą natomiast zwrócić się z wnioskiem o dostęp do tych informacji do celów egzekwowania prawa. Organy publiczne mogą korzystać z danych osobowych wyłącznie do celów kontroli granicznej i zwalczania nielegalnej imigracji. Przetwarzanie tych danych musi odbywać się zgodnie z dyrektywą 95/46/WE[25]. Z powyższego instrumentu korzysta jedynie niewielka liczba państw członkowskich, chociaż obowiązuje on w całej UE. Komisja dokona przeglądu tej dyrektywy w 2011 r.

Istotnym elementem programu Komisji z 1992 r., w ramach którego ustanowiono rynek wewnętrzny, było zniesienie wszelkich kontroli i formalności związanych z przepływem towarów we Wspólnocie[26]. Wyeliminowanie tych procedur na granicach wewnętrznych zwiększyło ryzyko wystąpienia oszustw, co spowodowało, że państwa członkowskie były zmuszone, z jednej strony, ustanowić mechanizm wzajemnej pomocy administracyjnej w celu wsparcia w zapobieganiu operacjom sprzecznym z przepisami wspólnotowego prawa celnego i rolnego, prowadzeniu odnośnych dochodzeń i ściganiu wykroczeń w tym zakresie, a z drugiej strony nawiązać współpracę celną mającą na celu umożliwienie wykrywania i ścigania naruszeń krajowych przepisów celnych, zwłaszcza poprzez usprawnienie transgranicznej wymiany informacji. Bez uszczerbku dla kompetencji Unii Europejskiej w ramach unii celnej[27], konwencja neapolitańska II w sprawie pomocy wzajemnej i współpracy między administracjami celnymi ma umożliwić krajowym organom celnym zapobieganie naruszeniom krajowych przepisów celnych i wykrywanie takich naruszeń, a także pomóc w ściganiu i karaniu naruszeń wspólnotowych i krajowych przepisów celnych[28]..Na mocy tego instrumentu kilka centralnych jednostek koordynujących zwraca się z pisemnym wnioskiem do swoich odpowiedników w innych państwach członkowskich o pomoc przy przeprowadzaniu dochodzeń dotyczących naruszeń krajowych i wspólnotowych przepisów celnych Jednostki te mogą przetwarzać dane osobowe jedynie w celach zgodnych z konwencją neapolitańską II. Mogą one przekazywać te informacje krajowym organom celnym, organom prowadzącym dochodzenie i organom sądowym, a także, z zastrzeżeniem uprzedniej zgody państwa członkowskiego dostarczającego informacje, innym organom. Dane można przechowywać jedynie przez okres niezbędny do realizacji celów, dla których zostały dostarczone. Danym osobowym w państwie członkowskim, które je otrzymuje zapewnia się co najmniej taki sam poziom ochrony, jak w państwie członkowskim, które je dostarcza, a ich przetwarzanie musi odbywać się zgodnie z przepisami dyrektywy 95/46/WE i konwencji nr 108 Rady Europy[29]. Konwencję neapolitańską II ratyfikowały wszystkie państwa członkowskie. Mają one prawo występować z propozycjami zmian do konwencji. Zmieniony tekst podlega natomiast przyjęciu przez Radę Ministrów i ratyfikowaniu przez państwa członkowskie.

Konwencję neapolitańską II uzupełnia konwencja CIS wprowadzająca system informacji celnej (CIS), który ma pomóc w zapobieganiu poważnym naruszeniom krajowych przepisów prawa, prowadzeniu odnośnych dochodzeń i ściganiu tych naruszeń poprzez zwiększenie, dzięki szybkiemu rozpowszechnianiu informacji, efektywności współpracy między administracjami celnymi państw członkowskich[30]. CIS, którym zarządza Komisja, jest scentralizowanym systemem informacyjnym dostępnym poprzez terminale znajdujące się w każdym państwie członkowskim, a także w Komisji, Europolu i Eurojuście. Obejmuje on dane osobowe dotyczące towarów, środków transportu, przedsiębiorstw i osób, a także dóbr i środków pieniężnych zatrzymanych, zajętych lub skonfiskowanych. Do tych danych osobowych należą imiona i nazwiska oraz pseudonimy, data i miejsce urodzenia, obywatelstwo, płeć, cechy fizyczne, dokumenty tożsamości, adres, informacje, czy dana osoba w przeszłości stosowała przemoc, powód wprowadzenia danych, proponowane działanie i numery rejestracyjne środków transportu. W przypadku zatrzymanych, zajętych lub skonfiskowanych dóbr i środków pieniężnych do CIS można wpisać jedynie dane biograficzne i adres. Z informacji tych można korzystać wyłącznie w celu obserwacji, składania sprawozdań lub prowadzania konkretnych inspekcji lub szczególnych kontroli, lub do celów analiz strategicznych lub operacyjnych dotyczących osób podejrzanych o naruszenie krajowych przepisów rolnych lub celnych. Dostęp do danych CIS mają krajowe organy celne, podatkowe, rolne, władze ds. zdrowia publicznego, policja, Europol i Eurojust[31]. Przetwarzanie danych osobowych musi odbywać się zgodnie z przepisami szczególnymi zawartymi w konwencji CIS oraz przepisami dyrektywy 95/46/WE, rozporządzenia (WE) nr 45/2001, konwencji nr 108 Rady Europy i zalecenia w sprawie wykorzystania danych osobowych przez policję[32]. Dane osobowe mogą być kopiowane z CIS do innych systemów przetwarzania danych jedynie w celu przeprowadzenia analiz zarządzania ryzykiem lub analiz operacyjnych, do których dostęp mają wyłącznie analitycy wskazani przez państwa członkowskie. Dane osobowe skopiowane z CIS zatrzymuje się jedynie przez okres niezbędny do osiągnięcia celu, w którym zostały skopiowane. Okres ten nie może być dłuższy niż dziesięć lat. W ramach CIS tworzona jest ponadto baza danych rejestru celnego dla celów identyfikacyjnych (FIDE), której celem jest pomoc w zapobieganiu poważnym naruszeniom krajowych przepisów prawa, prowadzeniu odnośnych dochodzeń i ściganiu tych naruszeń[33]. FIDE umożliwia organom krajowym odpowiedzialnym za prowadzenie dochodzeń celnych identyfikację, na etapie tworzenia akt dochodzenia, innych organów, które ewentualnie prowadziły dochodzenie względem danej osoby lub danego przedsiębiorstwa. Organy te mogą wprowadzać do FIDE dane pochodzące z ich dokumentacji dochodzeniowej, w tym dane biograficzne osób objętych przedmiotem dochodzenia oraz nazwę przedsiębiorstwa, nazwę handlową, numer identyfikacji podatkowej VAT oraz adres przedsiębiorstwa objętego dochodzeniem. Dane pochodzące z dokumentacji dochodzenia, w ramach którego nie wykryto oszustwa celnego, można przechowywać przez okres maksimum trzech lat. Dane pochodzące z dokumentacji dochodzenia, w ramach którego wykryto przypadek oszustwa, można przechowywać przez okres maksimum sześciu lat. Dane pochodzące z akt dochodzenia, w związku z którym zapadł wyrok skazujący lub nałożono karę, można natomiast przechowywać przez najwyżej dziesięć lat. CIS i FIDE działają w oparciu o wspólną sieć łączności, wspólny system połączeń lub bezpieczny dostęp do Internetu zapewniony przez Komisję. CIS obejmuje swoim zasięgiem wszystkie państwa członkowskie. Komisja, we współpracy z państwami członkowskimi, składa Parlamentowi Europejskiemu i Radzie coroczne sprawozdanie z funkcjonowania CIS.

Instrumenty UE mające na celu zapobieganie terroryzmowi i innym formom poważnej przestępczości transgranicznej oraz ich zwalczanie

Ataki terrorystyczne z marca 2004 r. w Madrycie uruchomiły szereg nowych inicjatyw na poziomie UE. Na wniosek Rady Europejskiej Komisja przedstawiła w 2005 r. wniosek dotyczący instrumentu regulującego wymianę informacji w ramach zasady dostępności[34]. Zamiast przyjąć ten wniosek Rada przyjęła w 2006 r. inicjatywę szwedzką , która ułatwia wymianę między państwami członkowskimi istniejących informacji lub danych wywiadowczych, jakie mogą być niezbędne do prowadzenia dochodzeń lub operacji wywiadowczych w sprawach karnych[35]. Instrument ten wywodzi się z zasady „równoważnego dostępu”, zgodnie z którą warunki mające zastosowane do transgranicznej wymiany danych nie powinny być surowsze niż warunki wynikające z krajowych przepisów o dostępie do danych. Inicjatywa szwedzka jest realizowana w sposób zdecentralizowany i pozwala policji, organom celnym i innym organom uprawnionym do ścigania przestępstw (z wyjątkiem służb wywiadowczych, które zazwyczaj wykonują operacje wywiadowcze związane z bezpieczeństwem narodowym lub bezpieczeństwem państwa) na wymianę informacji i danych wywiadowczych z odpowiednikami tych organów w całej UE. Państwa członkowskie wyznaczają krajowe punkty kontaktowe, które rozpatrują pilne wnioski o udzielenie informacji. Wspomniany środek wyznacza jasne ramy czasowe dla wymiany informacji i zobowiązuje państwa członkowskie występujące o udzielenie informacji do wypełnienia formularza. Państwa członkowskie mają obowiązek odpowiadać na wnioski o udzielenie informacji i przekazanie danych wywiadowczych w ciągu ośmiu godzin w pilnych sprawach, w ciągu tygodnia w sprawach nieuznanych za pilne oraz w ciągu 2 tygodni w pozostałych sprawach. Wykorzystanie informacji i danych wywiadowczych uzyskanych za pośrednictwem tego instrumentu podlega krajowym przepisom prawa w zakresie ochrony danych, przy czym państwa członkowskie nie mogą odmiennie traktować danych pochodzenia krajowego i danych pochodzących z innych państw członkowskich. Dostarczające państwo członkowskie może jednak określić warunki wykorzystania informacji lub danych wywiadowczych w innych państwach członkowskich. Dane osobowe muszą być przetwarzane zgodnie z krajowymi przepisami o ochronie danych osobowych, a także konwencją nr 108 Rady Europy, protokołem dodatkowym nr 181 do konwencji i zaleceniem w sprawie wykorzystania danych osobowych przez policję[36]. Dwunastu z 31 sygnatariuszy powyższego aktu (w tym państwa członkowskie UE, Norwegia, Islandia, Szwajcaria i Liechtenstein) przyjęło przepisy krajowe mające na celu jego wdrożenie. Pięć państw regularnie wypełnia formularze wniosków o udzielenie informacji, lecz tylko dwa państwa korzystają z nich często do wymiany informacji[37]. Komisja ma przedstawić Radzie stosowne sprawozdanie z oceny do końca 2010 r.

Decyzja z Prüm opiera się na umowie zawartej w 2005 r. przez Niemcy, Francję, Hiszpanię, państwa Beneluksu i Austrię w celu intensyfikacji współpracy w zwalczaniu terroryzmu, przestępczości transgranicznej i nielegalnej migracji. W odpowiedzi na zainteresowanie wyrażone przez kilka państw członkowskich pragnących przystąpić do umowy Niemcy zaproponowały, w trakcie swojej prezydencji w Radzie w 2007 r., aby przekształcić ją w instrument UE. Decyzja z Prüm z 2008 r., która ma być wdrożona do sierpnia 2011 r., określa zasady transgranicznej wymiany profili DNA, odcisków palców, danych rejestracyjnych pojazdów oraz informacji dotyczących osób fizycznych podejrzanych o planowanie ataków terrorystycznych[38]. Ma ona pomóc w zapobieganiu przestępstwom, zwłaszcza przestępstwom terrorystycznym i transgranicznym, a także utrzymaniu porządku publicznego w związku z istotnymi wydarzeniami. System ten będzie działać w sposób zdecentralizowany poprzez wzajemne połączenie, za pośrednictwem krajowych punktów kontaktowych, baz danych o DNA, odciskach palców i rejestracjach pojazdów państw uczestniczących. Korzystanie z sieci s-TESTA Komisji umożliwi rozpatrywanie, w punktach kontaktowych, przysyłanych i wysyłanych wniosków o transgraniczne porównywanie profili DNA, odcisków palców i danych rejestracyjnych pojazdów. Uprawnienia punktów kontaktowych do przesyłania takich danych użytkownikom końcowym podlegają prawu krajowemu. Począwszy od sierpnia 2011 r. porównywanie danych będzie w pełni zautomatyzowane. Jednak, aby uzyskać zezwolenie na rozpoczęcie zautomatyzowanej wymiany danych, państwa członkowskie muszą przejść rygorystyczny proces oceny (w trakcie którego sprawdza się w szczególności, czy przestrzegają one wymogów w zakresie ochrony danych i wymogów technicznych). Dane mogą być wymieniane na podstawie tego instrumentu dopiero wówczas, gdy państwo członkowskie zagwarantuje poziom ochrony danych, który będzie co najmniej równoważny z poziomem wynikającym z konwencji nr 108 Rady Europy, protokołu dodatkowego nr 181 do konwencji i zalecenia w sprawie wykorzystywania danych osobowych przez policję[39]. Rada jednomyślnie podejmie decyzję o tym, czy ten warunek został spełniony. Z danych osobowych można korzystać wyłącznie do celów, dla których zostały dostarczone, chyba że dostarczające państwo członkowskie wyrazi zgodę na ich wykorzystywanie do innych celów. Osoby fizyczne mogą ponadto zwracać się do krajowych inspektorów ochrony danych, wyznaczonych na mocy dyrektywy 95/46/WE, w celu egzekwowania swoich praw dotyczących przetwarzania danych osobowych na mocy wspomnianego instrumentu. Porównanie profili DNA i odcisków palców będzie przebiegać na (anonimowej) zasadzie „trafienie/brak trafienia”, przy czym organy będą mogły zwracać się o informacje osobowe dotyczące podmiotu danych tylko w przypadku, gdy pierwsze wyszukiwanie przyniosło trafienie. Takie wnioski o udzielenie informacji dodatkowych będą zazwyczaj przekazywane za pośrednictwem inicjatywy szwedzkiej. Decyzja z Prüm jest obecnie wdrażana we wszystkich państwach UE-27, zaś Norwegia i Islandia są na etapie przystępowania do niej[40]. Komisja przedstawi Radzie swój raport z oceny w 2012 r.

W odpowiedzi na zamachy bombowe z lipca 2005 r. w Londynie, Wielka Brytania, Irlandia, Szwecja i Francja zaproponowały przyjęcie instrumentu UE, który harmonizowałby przepisy krajowe w zakresie zatrzymywania danych. Dyrektywa w sprawie zatrzymywania danych z 2006 r. zobowiązuje dostawców usług telefonicznych i internetowych do zatrzymywania, w celu prowadzenia odnośnych dochodzeń, wykrywania i ścigania poważnych przestępstw, danych o ruchu telekomunikacyjnym i lokalizacji, a także informacji o abonentach (w tym numerów telefonów, adresów IP i identyfikatorów sprzętu przenośnego)[41]. Dyrektywa w sprawie zatrzymywania danych nie reguluje dostępu do danych zatrzymywanych przez organy krajowe ani korzystania z takich danych. Z jej zakresu wyraźnie wykluczono treść komunikatów elektronicznych; innymi słowy, na mocy tego instrumentu nie jest możliwe zakładanie podsłuchów. Środek ten pozostawia w gestii państw członkowskich zdefiniowanie znaczenia „poważnej przestępczości”. Państwa członkowskie wskazują ponadto, którym organom krajowym przysługuje dostęp do takich danych w poszczególnych przypadkach, a także określają procedury i warunki przyznawania dostępu do informacji. Okres zatrzymania danych może wynosić od sześciu do 24 miesięcy. Dyrektywa 95/46/WE i dyrektywa 2002/58/WE regulują zasady ochrony danych osobowych w ramach tego instrumentu[42]. Sześć państw członowskich nie dokonało jeszcze pełnej transpozycji tego środka a Trybunały Konstytucyjne w Niemczech i Rumunii orzekły, że odnośne krajowe przepisy wykonawcze są niezgodne z konstytucją. Niemiecki Trybunał Konstytucyjny uznał, że przepisy prawa krajowego dotyczące dostępu do danych i korzystania z nich są niezgodne z konstytucją[43]. Rumuński Trybunał Konstytucyjny uznał natomiast, że zatrzymywanie danych per se narusza art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności (europejskiej konwencji praw czlowieka), a zatem jest niezgodne z konstytucją[44]. Komisja prowadzi obecnie ocenę tego instrumentu i ma przedstawić Parlamentowi Europejskiemu i Radzie swoje sprawozdanie z tej oceny pod koniec 2010 r.

Obecnie tworzony europejski system przekazywania informacji z rejestrów karnych (ECRIS) ma swoje źródło w inicjatywie belgijskiej z 2004 r., której celem było uniemożliwienie osobom skazanym za przestępstwa seksualne podejmowania pracy z dziećmi w innych państwach członkowskich. W przeszłości państwa członkowskie opierały się, w zakresie wymiany informacji o wyrokach skazujących dotyczących obywateli tych państw, na konwencji Rady Europy o pomocy prawnej w sprawach karnych, lecz system ten okazał się nieskuteczny[45]. Pierwszym krokiem Rady w kierunku jego reformy było przyjęcie decyzji Rady 2005/876/WSiSW, w której zobowiązano wszystkie państwa członkowskie do ustanowienia organów centralnych, które miałyby regularnie przesyłać informacje o wyrokach skazujących dotyczących osób niebędących obywatelami tego państwa do państwa, którego obywatelstwo posiadają[46]. Dzięki temu instrumentowi państwa członkowskie mogły (po raz pierwszy i z zastrzeżeniem przepisów prawa krajowego) uzyskiwać informacje o uprzednich wyrokach skazujących wydanych wobec ich obywateli w innych państwach członkowskich. Mogły one zwracać się o udzielenie stosownych informacji na znormalizowanym formularzu, a nie musiały już korzystać z procedur wzajemnej pomocy prawnej. W latach 2006 i 2007 Komisja przedstawiła kompleksowy pakiet legislacyjny skladający się z trzech instrumentów: decyzji ramowej Rady 2008/675/WSiSW zobowiązującej państwa członkowskie do uwzględnienia uprzednich wyroków skazujących w nowym postępowaniu karnym, decyzji ramowej Rady 2009/315/WSiSW w sprawie organizacji wymiany informacji pochodzących z rejestrów karnych oraz treści tych informacji oraz decyzji Rady 2009/316/WSiSW w sprawie ustanowienia ECRIS jako technicznego środka wymiany informacji pochodzących z rejestrów karnych[47]. Decyzje ramowe Rady 2009/315/WSiSW i 2009/316/WSiSW, ktorych wdrożenie planuje się na kwiecień 2012 r., mają na celu zdefiniowanie sposobów przekazywania przez skazujące państwo członkowskie informacji dotyczących nowego wyroku skazującego państwu członkowkiemu, którego obywatelem jest skazany, obowiązku przechowywania informacji, a także ram skomputeryzowanego systemu wymiany informacji. ECRIS będzie zdecentralizowanym systemem informacyjnym, który łączy bazy danych rejestrów karnych państw członkowskich za pośrednictwem sieci s-TESTA Komisji. Organy centralne będą wymieniać dane na temat nowych wyroków skazujących wydanych wobec obywateli oraz informacje o ich karalności. Dane będą zaszyfrowane, uporządkowane według z góry ustalonego schematu i będą obejmować: dane biograficzne, informacje na temat przestępstwa i wyroku skazującego za jego popełnienie, a także informacje dodatkowe (w tym odciski palców, jeśli są dostępne). Od kwietnia 2012 r. wyciągi z rejestrów karnych muszą być dostarczane do celów trwających postępowań karnych i przesyłane organom sądowym lub właściwym organom administracyjnym, takim jak organy upoważnione do kontroli osób starających się o pracę na stanowiskach narażonych na korupcję lub o zezwolenie na posiadanie broni palnej. Dane osobowe dostarczone do celów postępowania karnego nie mogą być wykorzystywane w innych celach. Korzystanie z tych danych w innych celach wymaga zgody państwa członkowskiego dostarczającego informacje. Przetwarzanie danych osobowych musi odbywać się zgodnie z przepisami szczególnymi decyzji ramowej Rady 2009/315/WSiSW, do której włączono przepisy decyzji Rady 2005/876/WSiSW, a także decyzji ramowej Rady 2008/977/WSiSW i konwencji nr 108 Rady Europy[48]. Do wszystkich danych osobowych przetwarzanych przez instytucje UE korzystające z ECRIS, na przykład w celu zapewnienia bezpieczeństwa danych, zastosowanie ma rozporządzenie (WE) 45/2001[49]. Powyższy pakiet legislacyjny nie obejmuje przepisów dotyczących zatrzymywania danych, ponieważ przechowywanie informacji dotyczących wyroków skazujących w postępowaniu karnym jest regulowane na mocy prawa krajowego. W projekcie pilotażowym uczestniczy obecnie piętnaście państw członkowskich, z których dziewięć rozpoczęło już elektroniczą wymianę informacji pochodzących z rejestrów karnych. Na Komisji spoczywa obowiązek przedstawienia Parlamentowi Europejskiemu i Radzie dwóch sprawozdań z oceny funkcjonowania powyższego pakietu legislacyjnego: decyzja ramowa 2008/675/WSiSW ma zostać poddana przeglądowi w 2011 r., zaś przegląd decyzji ramowej 2009/315/WSiSW planuje się na 2015 r. Począwszy od 2016 r. Komisja jest także zobowiązana do publikowania okresowych sprawozdań z funkcjonowania ECRIS.

Z inicjatywy fińskiej Rada przyjęła w 2000 r. instrument umożliwiający wymianę informacji między jednostkami analityki finansowej (FIU) państw członkowskich w celu zwalczania zjawiska prania pieniędzy, a w drugiej kolejności także finansowania terroryzmu[50]. FIU są zazwyczaj tworzone w ramach organów ścigania, organów sądowych lub organów administracyjnych podległych organom finansowym. Do obowiązków FIU należy wymiana niezbędnych danych finansowych lub dotyczących egzekwowania prawa, w tym informacji szczegółowych na temat transakcji finansowych, z ich odpowiednikami unijnymi, z wyjątkiem przypadków, w których takie ujawnienie byłoby niewspółmierne do interesów osób fizycznych lub prawnych. Z informacji dostarczanych w celu analizowania lub badania zjawiska prania pieniędzy lub finansowania terroryzmu można także korzystać w trakcie prowadzenia dochodzeń w sprawach karnych lub ścigania przestępstw, o ile dostarczające państwo członkowskie nie wyda zakazu takiego ich wykorzystania. Przetwarzanie danych osobowych musi odbywać się z poszanowaniem przepisów dyrektywy ramowej Rady 2008/977/WSiSW, konwencji nr 108 Rady Europy oraz wydanego przez nią zalecenia w sprawie wykorzystania danych osobowych przez policję[51]. W 2002 r. kilka państw członkowskich utworzyło FIU.net, zdecentralizowaną apikację sieciową, która obsługuje wymianę danych między FIU i działa w oparciu o sieć s-TESTA Komisji[52] Inicjatywą tą objętych jest dwadzieścia FIU. Obecnie prowadzone są dyskuje na temat wprowadzenia bezpiecznej aplikacji SIENA Europolu, do celów obsługi FIU.net[53]. Po dokonaniu oceny przestrzegania przez państwa członkowskie przepisów tego instrumentu, Rada upoważniła FIU, w trzeciej dyrektywie w sprawie przeciwdziałania praniu pieniędzy, do otrzymywania, analizowania i rozpowszechniania sprawozdań z transakcji podejrzanych dotyczących prania pieniędzy i finansowania terroryzmu[54]. W ramach swojego planu działania w zakresie usług finansowych Komisja prowadzi od 2009 r. przegląd wykonania dyrektywy w sprawie przeciwdziałania praniu pieniędzy.[55]

Podejmując inicjatywę zaproponowaną przez Austrię, Belgię i Finlandię, Rada przyjęła w 2007 r. instrument, którego celem jest zacieśnienie współpracy między biurami ds. odzyskiwania mienia w dziedzinie wykrywania i identyfikacji korzyści pochodzących z przestępstwa[56]. Współpraca miedzy biurami ds. odzyskiwania mienia, podobnie jak między FIU, odbywa się na płaszczyźnie zdecentralizowanej, aczkolwiek bez wykorzystania platformy online. Oczekuje się, że przy wymianie informacji biura będą korzystać z incjatywy szwedzkiej, podając szczegóły poszukiwanego mienia, takie jak rachunki bankowe, nieruchomości i pojazdy, a także dane poszukiwanych osób fizycznych lub prawnych, w tym imina i nazwiska, adresy, daty urodzenia oraz informacje na temat udziałowców lub spółek. Wykorzystanie informacji wymienianych w oparciu o ten instrument podlega krajowym przepisom prawa w zakresie ochrony danych, zaś państwa członkowskie nie mogą odmiennie traktować danych pochodzenia krajowego i danych pochodzących z innych państw członkowskich. Przetwarzanie danych osobowych musi odbywać się zgodnie z przepisami konwencji nr 108 Rady Europy, protokołu dodatkowego nr 181 do konwencji oraz zalecenia w sprawie wykorzystania danych osobowych przez policję[57]. Do chwili obecnej biura ds. odzyskiwania mienia powstały w ponad dwudziestu państwach członkowskich. Ze względu na szczególny charakter wymienianych informacji trwają dyskusje na temat wykorzystania aplikacji SIENA Europolu do wymiany danych między biurami ds. odzyskiwania mienia. W ramach projektu pilotażowego uruchomionego w maju 2010 r. dwanaście biur ds. odzyskiwania mienia zaczęło korzystać z aplikacji SIENA do wymiany informacji przydatnych do odszukiwania mienia. Na Komisji spoczywa obowiązek przekazania Radzie w 2010 r. stosownego sprawozdania z oceny.

W 2008 r. francuska prezydencja Rady zaprosiła państwa członkowskie do tworzenia krajowych platform ostrzegania przed cyberprzestępstwami , zaś Europol do utworzenia europejskiej platfromy ostrzegania przed przestępstwami. Celem tej idei jest gromadzenie, analizowanie i wymiana informacji na temat przestępstw popełnionych w Internecie[58]. Obywatele mogą przekazywać do swoich platform krajowych informacje na temat niezgodnych z prawem treści lub zachowań wykrytych w Internecie. Europejska platforma walki z cyberprzestępczością, zarządzana przez Europol, miałaby pełnić rolę węzła informacyjnego, który umożliwiałby analizowanie i wymianę informacji związanych z cybeprzestępczością objętą mandatem Europolu z krajowymi organami ścigania[59]. Do chwili obecnej prawie wszystkie państwa członkowskie utworzyły krajowe platformy ostrzegania przed cyberprzestępstwami. Europol prowadzi prace nad technicznymi aspektami wdrożenia europejskiej platformy walki z cyberprzestępczością i wkrótce może zacząć wykorzystywać aplikację SIENA do skuteczniejszej wymiany danych z platformami krajowymi. W zakresie, w jakim taka wymiana informacji dotyczy przetwarzania danych osobowych przez Europol, zastosowanie mają zasady szczególne dotyczące ochrony danych zawarte w decyzji o Europolu (decyzja Rady 2009/371/WSiSW), a także rozporządzeniu (WE) 45/2001, konwencji nr 108 Rady Europy, protokole dodatkowym nr 181 do konwencji oraz zaleceniu w sprawie wykorzystania danych osobowych przez policję[60]. Przepisy decyzji ramowej Rady 2008/977/WSiSW regulują wymianę danych osobowych między państwami czlonkowskimi a Europolem[61]. Z powodu braku instrumentu prawnego nie istnieje mechanizm formalnego przeglądu platform ostrzegania przed przestępstwami. Jednak już w chwili obecnej Europol obejmuje ten istotny obszar swoimi działaniami, a w przyszłości będzie informować o funkcjonowaniu europejskiej platformy walki z przestępczością w corocznym sprawozdaniu przekazywanym Radzie w celu zatwierdzenia i Parlamentowi Europejskiemu do wiadomości.

Agencje i organy UE, którym powierzono zadanie udzielenia pomocy państwom członkowskim w zapobieganiu i zwalczaniu poważnej przestępczości transgranicznej.

Powołany w 1995 r. Europejski Urząd Policji (Europol) działa od 1999 r. W styczniu 2010 r. uzyskał status agencji UE[62]. Jego celem jest wsparcie państw członkowskich w zapobieganiu przestępczości zorganizowanej, terroryzmowi i innym formom poważnej przestępczości, które dotyczą co najmniej dwóch państw członkowskich, oraz zwalczanie tych zjawisk. Do głównych zadań Europolu należy gromadzenie, przechowywanie, przetwarzanie, analizowanie i wymiana informacji, w tym danych wywiadowczych, pomoc w dochodzeniach oraz zapewnianie państwom członkowskim wsparcia wywiadowczego i analitycznego. Głównym organem pośredniczącym w kontaktach między Europolem a państwami członkowskimi są jednostki krajowe, które oddelegowują oficerów łącznikowych do Europolu. Szefowie jednostek krajowych spotykają się regularnie, by wspierać Europol w kwestiach operacyjnych, podczas gdy nad funkcjonowaniem agencji czuwają zarząd i dyrektor. Europol zarządza informacjami za pośrednictwem następujących narzędzi: systemu informacyjnego Europolu, plików roboczych do celów analizy (AWF) i aplikacji SIENA. W systemie informacyjnym Europolu znajdują się dane osobowe, w tym między innymi identyfikatory biometryczne, wyroki skazujące za przestępstwa i informacje o powiązaniach z przestępczością zorganizowaną, dotyczące osób podejrzanych o popełnienie przestępstw objętych mandatem Europolu. Dostęp do niego mają wyłącznie jednostki krajowe, oficerowie łącznikowi, upoważnieni pracownicy Europolu oraz dyrektor. Pliki robocze do celów analizy, utworzone w celu pomocy przy prowadzeniu dochodzeń, obejmują dane dotyczące osób fizycznych oraz inne informacje, o dodaniu których decydują jednostki krajowe. Dostęp do tych baz przysługuje oficerom łącznikowym, lecz dane wprowadzać mogą wyłącznie analitycy Europolu. System indeksowy umożliwia jednostkom krajowym i oficerom łącznikowym sprawdzenie, czy w pliku roboczym do celów analizy znajdują się informacje istotne dla danego państwa członkowskiego. Aplikacja SIENA Europolu jest coraz częściej wykorzystywana przez państwa członkowskie do wymiany danych szczególnie chronionych do celów egzekwowania prawa. Europol może przetwarzać informacje i dane wywiadowcze, w tym dane osobowe, do celów realizacji swoich zadań. Państwa członkowskie mogą korzystać wyłącznie z informacji pobranych z plików z danymi Europolu w celu zapobiegania i zwalczania poważnej przestępczości o charakterze transgranicznym. Wszelkie ograniczenia w wykorzystaniu informacji nałożone przez dostarczające państwo członkowskie mają także zastosowanie do użytkowników, którzy pobierają takie dane z plików z danymi Europolu. Europol może także wymieniać dane osobowe z państwami trzecimi, które zawarły z Europolem umowy operacyjne i gwarantują odpowiedni poziom ochrony danych. Może zatrzymać dane jedynie na okres niezbędny do wykonania powierzonych mu zadań. Pliki robocze do celów analizy można zatrzymać na okres co najwyżej trzech lat, z możliwością przedłużenia o kolejne trzy lata. Przetwarzanie danych osobowych przez Europol musi odbywać się zgodnie z przepisami szczególnymi dotyczącymi ochrony danych zawartymi w instrumencie prawnym regulującym jego funkcjonowanie (decyzja Rady 2009/371/WSiSW), a także w rozporządzeniu (WE) 45/2001, konwencji nr 108 Rady Europy, protokole dodatkowym nr 181 do konwencji oraz zaleceniu w sprawie wykorzystania danych osobowych przez policję[63]. Do wymiany danych osobowych między państwami członkowskimi a Europolem mają zastosowanie przepisy decyzji ramowej Rady 2008/977/WSiSW[64]. Wspólny organ nadzorczy, złożony z członków krajowych organów nadzorczych, monitoruje przetwarzanie danych osobowych przez Europol, a także przekazywanie przez Europol danych osobowych innym osobom. Przekłada on regularne raporty Parlamentowi Europejskiemu i Radzie. Ponadto Europol sporządza roczne sprawozdanie ze swej działalności, które przekazuje Radzie do zatwierdzenia i Parlamentowi Europejskiemu do wiadomości.

Poza wpływem na kilka wyżej wskazanych instrumentów prawnych, ataki terrorystyczne z 11 września 2001 r. przyczyniły się do utworzenia, w 2002 r., Zespołu ds. Współpracy Sądowej w Unii Europejskiej (Eurojust)[65]. Eurojust jest organem UE, który ma służyć lepszej koordynacji prowadzenia odnośnych dochodzeń i ścigania przestępstw w państwach członkowskich oraz wzmocnieniu współpracy między właściwymi organami krajowymi. Jego uprawnienia obejmują te same rodzaje przestępczości i te same przestępstwa, co uprawnienia Europolu. W ramach tego mandatu i w celu wykonania swoich zadań 27 przedstawicieli krajowych Eurojustu, którzy tworzą Kolegium, ma dostęp do danych osobowych podejrzanych i przestępców. Dane te między innymi obejmują: dane biograficzne, dane teleadresowe, dane rejestracyjne pojazdów, profile DNA, zdjęcia, odciski palców, a także dane o połączeniach, lokalizacji oraz dane abonenta przekazane przez dostawców usług telekomunikacyjnych. Oczekuje się, że państwa członkowskie będą wymieniać wspomniane informacje z Eurojustem. Od tego zależy możliwość wykonania powierzonych mu zadań. Wszystkie dane osobowe związane z daną sprawą podlegają wprowadzeniu do zautomatyzowanego systemu zarządzania sprawami Eurojustu, który działa w oparciu o sieć s-TESTA Komisji. System indeksowy umożliwia przechowanie danych osobowych i nieosobowych istotnych dla prowadzonych dochodzeń. Eurojust może przetwarzać dane osobowe w celu wykonania powierzonych mu zadań, jednak operacje takie muszą być prowadzone zgodnie z przepisami szczególnymi o ochronie danych zawartymi w instrumencie prawnym regulującym jego funkcjonowanie (decyzja Rady 2009/426/WSiSW), a także w konwencji nr 108 Rady Europy, protokole dodatkowym nr 181 do konwencji oraz zaleceniu w sprawie wykorzystania danych osobowych przez policję. Do wymiany danych osobowych między państwami członkowskimi a Eurojustem mają zastosowanie przepisy decyzji ramowej Rady 2008/977/WSiSW[66]. Eurojust może wymieniać dane z organami krajowymi i państwami trzecimi, z którymi zawarł stosowne umowy, pod warunkiem, że przedstawiciel krajowy, który dostarczył dane, wyrazi zgodę na ich przekazanie a państwo trzecie zagwarantuje odpowiedni poziom ochrony danych. Europol może zatrzymać dane osobowe jedynie na okres niezbędny do wykonania powierzonych mu zadań, jednak musi usunąć te dane w chwili zamknięcia sprawy. Państwa członkowskie mają obowiązek wprowadzić w życie zmienioną podstawę prawną Eurojustu do czerwca 2011 r. Natomiast do czerwca 2014 r. Komisja ma dokonać przeglądu i zaproponować zmiany, jakie uzna za konieczne, w zakresie wymiany informacji między krajowymi Eurojustu. Do czerwca 2013 r. Eurojust ma przekazać Radzie i Komisji sprawozdanie z doświadczeń związanych z zapewnieniem dostępu, na poziomie krajowym, do jego systemu zarządzania sprawami. Na tej podstawie państwa członkowskie będą mogły dokonać przeglądu krajowych praw dostępu. Wspólny organ nadzorczy, złożony z sędziów mianowanych przez państwa członkowskie, monitoruje przetwarzanie danych osobowych przez Eurojust i przekłada Radzie roczne sprawozdania. Przewodniczący Kolegium przedkłada Radzie roczne sprawozdanie z działalności Eurojustu, które Rada przekazuje Parlamentowi Europejskiemu.

Umowy międzynarodowe mające na celu zapobieganie terroryzmowi i innym formom poważnej przestępczości transgranicznej oraz zwalczanie tych zjawisk

W wyniku ataków terrorystycznych z 11 września 2001 r. Stany Zjednoczone przyjęły przepisy, zgodnie z którymi przewoźnicy lotniczy oferujący loty do, z lub przez terytorium Stanów Zjednoczonych, zobowiązani są do przekazywania władzom amerykańskim danych dotyczących przelotu pasażera (danych PNR) przechowywanych w należących do nich systemach automatycznej rezerwacji. Wkrótce potem Kanada i Australia postanowiły pójść w ich ślady. Jako że odpowiednie przepisy unijne wymagają uprzedniej oceny poziomu ochrony danych gwarantowanego przez państwa trzecie, Komisja podjęła wysiłki na rzecz wykonania tego zadania i przystąpiła do negocjowania umów dotyczących danych PNR z tymi państwami[67]. W lipcu 2007 r. podpisała umowę z USA, w czerwcu 2008 r. umowę z Australią a w październiku 2005 r. umowę dotyczącą danych pasażera przekazywanych przed podróżą (danych API)/danych PNR z Kanadą[68]. Umowa z USA i umowa z Australią są stosowane tymczasowo, podczas gdy umowa z Kanadą nadal obowiązuje, pomimo wygaśnięcia we wrześniu 2009 r. decyzji Komisji w sprawie adekwatności norm ochrony danych osobowych w Kanadzie[69]. Parlament Europejski, krytyczny wobec treści wspomnianych umów, wezwał Komisję do renegocjowania wszystkich trzech umów w oparciu o jasno sformułowane zasady[70]. Dane PNR, przesyłane na długo przed odlotem, mają pomóc organom ścigania w kontroli pasażerów pod kątem ich potencjalnych powiązań z terroryzmem i innymi formami poważnej przestępczości. Celem wszystkich wspomnianych umów jest zatem zapobieganie i zwalczanie terroryzmu oraz innych transgranicznych form poważnej przestępczości. W zamian za dane PNR pochodzące z UE Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) wymienia „istotne informacje” pochodzące z analizy PNR z organami ścigania UE, Europolem i Eurojustem. Zarówno Kanada jak i Stany Zjednoczone zobowiązały się natomiast w podpisanych przez siebie umowach, że będą współpracować z UE nad utworzeniem jej własnego systemu PNR. Umowa ze Stanami Zjednoczonymi i umowa z Australią zawierają 19 kategorii danych, które obejmują dane biograficzne, dotyczące rezerwacji, informacje o płatnościach a także informacje dodatkowe. Umowa z Kanadą zawiera 25 podobnych pozycji danych. Dane dodatkowe obejmują między innymi informacje na temat biletów w jedną stronę, biletów typu standby oraz informacje o lotach, na które pasażer nie stawił się w przeszłości. Umowa ze Stanami Zjednoczonymi dopuszcza ponadto, w sytuacjach wyjątkowych, wykorzystanie informacji szczególnie chronionych. DHS może przetwarzać takie informacje w przypadku zagrożenia życia osoby, której dane dotyczą, lub innych osób, musi jednak je usunąć w ciągu 30 dni. Dane PNR są przesyłane do jednostek centralnych w DHS, do Agencji Służb Granicznych Kanady oraz australijskiej służby celnej, które mogą przekazywać te dane innym organom krajowym odpowiedzialnym za egzekwowanie prawa i zwalczanie terroryzmu. W ramach umowy ze Stanami Zjednoczonymi DHS oczekuje, że poziom ochrony danych, jaki zobowiązany jest zapewnić przy przetwarzaniu danych PNR pochodzących z UE, nie będzie bardziej rygorystyczny, niż stosowany przez organy UE w ich krajowych systemach PNR. W przypadku niewypełnienia tego warunku ma prawo zawiesić wykonywanie niektórych elementów umowy. UE uzna, że Kanada i Australia zapewniają „odpowiedni” poziom ochrony danych PNR pochodzących z UE, jeśli będą one przestrzegać warunków podpisanych przez siebie umów. W Stanach Zjednoczonych dane PNR pochodzące z UE są zatrzymywane przez okres siedmiu lat w aktywnej bazie danych, a przez kolejne osiem lat w archiwalnej bazie danych. W Australii natomiast dane najpierw trafiają do aktywnej bazy danych na trzy i pół roku, a następnie do archiwalnej bazy danych na kolejne dwa lata. W obu państwach dostęp do archiwalnej bazy danych przysługuje jedynie na podstawie specjalnego zezwolenia. W Kanadzie dane są przechowywane przez trzy i pół roku, zaś po upływie 72 godzin informacje otrzymują charakter anonimowy. Każda umowa przewiduje przeprowadzanie okresowych przeglądów, zaś w umowach zawartych z Kanadą i Australią występują ponadto klauzule umożliwiające ich wypowiedzenie. Jedynym państwem w ramach UE, które posiada system PNR, jest Zjednoczone Królestwo. Francja, Dania, Belgia, Szwecja i Holandia bądź wydały odpowiednie przepisy, bądź są obecnie w fazie testowania wykorzystania danych PNR w ramach przygotowań do utworzenia systemów PNR. Kilka innych państw członkowskich rozważa obecnie utworzenie systemów PNR. Wszystkie państwa członkowskie korzystają natomiast, w poszczególnych przypadkach, z danych PNR do celów egzekwowania prawa.

W następstwie ataków z 11 września 2001 r. Departament Skarbu USA opracował Program śledzenia środków finansowych należących do terrorystów (TFTP), którego celem jest identyfikacja, namierzanie i śledzenie terrorystów i ich popleczników finansowych. W ramach wspomnianego programu Departament Skarbu zażądał, w drodze nakazów administracyjnych, aby amerykański oddział belgijskiej spółki przekazał mu pewną ilość danych z komunikatów finansowych przekazywanych w ramach sieci spółki. W styczniu 2010 r. spółka zmieniła strukturę swojego systemu, co obniżyło o ponad połowę ilość danych podlegających jurysdykcji USA, zwyczajowo objętych nakazami Departamentu. W listopadzie 2009 r. prezydencja Rady Unii Europejskiej i rząd Stanów Zjednocznonych podpisały umowę przejściową w sprawie przetwarzania danych z komunikatów finansowych i ich przekazywania z Unii Europejskiej do Stanów Zjednoczonych do celów Programu śledzenia środków finansowych należących do terrorystów, której Parlament Europejski nie zatwierdził[71]. Na podstawie nowego mandatu Komisja Europejska rozpoczęła negocjacje w sprawie nowego projektu umowy ze Stanami Zjednoczonymi i w dniu 18 czerwca 2010 r. przedstawiła Radzie wniosek dotyczący decyzji Rady w sprawie zawarcia umowy między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu z Unii Europejskiej do Stanów Zjednoczonych danych z komunikatów finansowych do celów Programu śledzenia środków finansowych należących do terrorystów (umowa UE-USA w sprawie TFTP)[72]. Parlament Europejski wyraził zgodę na zawarcie powyższej umowy w dniu 8 lipca 2010 r.[73] Rada ma obecnie przyjąć decyzję w sprawie zawarcia umowy, w wyniku czego miałaby ona wejść w życie w drodze wymiany listów między stronami. Celem umowy UE-USA w sprawie TFTP jest zapobieganie terroryzmowi lub jego finansowaniu, prowadzenie odnośnych dochodzeń, wykrywanie lub ściganie tych zjawisk. Zobowiązuje ona wyznaczonych dostawców usług w zakresie komunikatów finansowych do przekazywania Departamentowi Skarbu USA, w oparciu o geograficzne analizy zagrożenia i wnioski dostosowane do potrzeb, pewnej ilości danych z komunikatów finansowych obejmujących, między innymi, imię, nazwisko, numer rachunku, adres i numer identyfikacyjny inicjatora i odbiorcy(-ów) transakcji finansowych. Departament może wyszukiwać takie dane wyłącznie na potrzeby programu TFTP i wyłącznie w przypadku uzasadnionego przypuszczenia, że podmiot, którego dane są wyszukiwane, jest powiązany z terroryzmem lub jego finansowaniem. Zakazuje się eksploracji i przekazywania danych dotyczących transakcji w ramach Jednolitego Europejskiego Obszaru Płatniczego. USA przekazuje państwom członkowskim UE, Europolowi i Eurojustowi „istotne informacje” dotyczące potencjalnych zamachów terrorystycznych w UE i zobowiązuje się pomóc UE w ustanowieniu jej własnego systemu, który byłby odpowiednikiem programu TFTP. Jeśli UE podejmie decyzję o ustanowieniu takiego systemu, strony będą mogły odpowiednio dostosować warunki tej umowy. Przed przekazaniem jakichkolwiek danych Europol dokonuje sprawdzenia każdego wniosku USA o udzielenie informacji, aby upewnić się, że wniosek ten spełnia warunki tej umowy. Informacje pochodzące z komunikatów finansowych mogą być zatrzymywane nie dłużej niż to konieczne w związku z konkretnymi dochodzeniami lub ściganiem przestępstw. Dane niepobrane mogą być przechowywane najwyżej przez pięć lat. Jeśli będzie to konieczne w związku z zapobieganiem terroryzmowi lub jego finansowaniu, prowadzeniem odnośnych dochodzeń lub ściganiem tych zjawisk, Departament Skarbu może przekazać amerykańskim organom ścigania, bezpieczeństwa publicznego lub zwalczania terroryzmu, państwom członkowskim UE, Europolowi lub Eurojustowi dowolne dane osobowe pochodzące z komunikatów finansowych. Może także wymieniać z państwami trzecimi wszelkie istotne informacje dotyczące obywateli i mieszkańców UE, z zastrzeżeniem zgody danego państwa członkowskiego. Przestrzeganie przez strony ograniczeń dotyczących przetwarzania (danych) jedynie do celów zwalczania terroryzmu, jak również (przestrzeganie) innych zabezpieczeń określonych w umowie podlega monitorowaniu przez niezależne organy nadzorcze, w tym osobę niezależną wskazaną przez Komisję. Umowę zawiera się na okres pięciu lat. Każda ze stron może ją wypowiedzieć lub zawiesić jej stosowanie. Unijny zespół ds. oceny, działający pod nadzorem Komisji, w którego skład wejdą przedstawiciele dwóch organów ochrony danych oraz osoba z doświadczeniem w wymiarze sprawiedliwości, dokona przeglądu tej umowy po upływie sześciu miesięcy od jej wejścia w życie. Przegląd będzie w szczególności dotyczyć wykonania przez strony postanowień umowy w zakresie zasad celowości i proporcjonalności, a także dopełnienia odnośnych obowiązków w zakresie ochrony danych. Komisja przedstawi Parlamentowi Europejskiemu i Radzie sprawozdanie z przeglądu.

Inicjatywy w ramach planu działań służącego realizacji programu sztokholmskiego

Wnioski ustawodawcze, które przedstawi Komisja

W programie sztokholmskim Rada Europejska wezwała Komisję do przedłożenia trzech wniosków o bezpośrednim znaczeniu dla niniejszego komunikatu, dotyczących odpowiednio: unijnego systemu PNR, do celów zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, a także wykrywaniu i ściganiu tych zjawisk; systemu wjazdu/wyjazdu; oraz programu rejestrowania podróżnych. Rada Europejska podkreśliła, że dwa ostatnie wnioski należy przedłożyć „jak najszybciej”. Komisja włączyła wszystkie trzy wnioski do planu działań służącego realizacji programu sztokholmskiego[74]. Będzie teraz dążyć do realizacji tych wniosków oraz dokonania, w przyszłości, oceny tych instrumentów na podstawie zasad rozwoju polityki określonych w części 4.

W listopadzie 2007 r. Komisja przedstawiła wniosek dotyczący decyzji ramowej Rady w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu egzekwowania prawa[75]. Inicjatywę tę, popartą przez Radę, następnie zmodyfikowano w celu uwzględniania zmian zaproponowanych przez Parlament Europejski oraz opinii Europejskiego Inspektora Ochrony Danych. Wraz z wejściem w życie Traktatu z Lizbony, prace nad decyzją zawieszono. Jak wskazano w planie działania działań służącym realizacji programu sztokholmskiego, Komisja pracuje obecnie nad przedstawieniem, na początku 2011 r., pakietu w zakresie danych dotyczących przelotu pasażera , składającego się z: komunikatu dotyczącego strategii zewnętrznej UE w zakresie PNR, który przedstawia w zarysie zasady rządzące negocjowaniem umów z państwami trzecimi; wytycznych negocjacyjnych dotyczących renegocjacji umów w sprawie PNR z USA i Australią; oraz wytycznych negocjacyjnych dotyczących nowej umowy z Kanadą. Komisja pracuje ponadto nad przygotowaniem nowego wniosku dotyczącego danych PNR w UE.

W 2008 r. Komisja przedstawiła szereg propozycji rozwoju unijnej zintegrowanej polityki zarządzania granicami poprzez ułatwienie obywatelom państw trzecich podróżowania przy jednoczesnym zwiększeniu bezpieczeństwa wewnętrznego[76]. Zważywszy na fakt, że osoby nadmiernie przedłużające pobyt stanowiły największą grupę nielegalnych migrantów w UE, zaproponowała ona wprowadzenie systemu wjazdu/wyjazdu (EES) dla obywateli państw trzecich wjeżdżających na teren UE z zamiarem pobytu nie dłuższym niż trzy miesiące. System ten obejmowałby rejestrowanie czasu i miejsca wjazdu oraz dozwolonej długości pobytu, a także automatycznie przekazywałby informacje identyfikujące dane osoby jako nadmiernie przedłużające swój pobyt. Działając w oparciu o dane biometryczne wykorzystywałby on system porównywania danych biometrycznych oraz wyposażenie operacyjne stosowane w ramach SIS II i VIS. Komisja prowadzi obecnie ocenę skutków i zamierza, jak wskazano w planie działań służącym realizacji programu sztokholmskiego, przedstawić wniosek ustawodawczy w 2011 r.

Trzeci przewidziany do rozważenia wniosek obejmował program rejestrowania podróżnych [77]. Program ten umożliwiałby pewnym grupom obywateli państw trzecich, którzy często podróżują, wjazd do UE na podstawie uproszczonej odprawy granicznej przy przechodzeniu przez automatyczne bramki, z zastrzeżeniem poddania się odpowiedniej procedurze kontroli wstępnej. Program ten opierałby się ponadto na weryfikacji tożsamości na podstawie danych biometrycznych i umożliwiałby stopniowe odchodzenie od obecnej ogólnej kontroli granicznej w kierunku kontroli bardziej zindywidualizowanej. Komisja przeprowadziła ocenę skutków i planuje, zgodnie z planem działań służącym realizacji programu sztokholmskiego, przedstawić wniosek ustawodawczy w 2011 r.

Inicjatywy, które będą przedmiotem analizy Komisji

W programie sztokholmskim Rada Europejska wezwała Komisję do dokonana analizy trzech inicjatyw istotnych dla niniejszego komunikatu: możliwości śledzenia środków finansowych należących do terrorystów w UE, możliwości i przydatności opracowania europejskiego systemu zezwoleń na podróż, a także potrzeby stworzenia europejskiego systemu przekazywania informacji z akt policyjnych i wartości dodanej takiego przedsięwzięcia. Komisja włączyła te trzy inicjatywy do swojego planu działań służącego realizacji programu sztokholmskiego. W najbliższym czasie zbada ich wykonalność i na podstawie zasad rozwoju polityki omówionych w części 4 zdecyduje, czy i jak je kontynuować

W umowie UE-USA w sprawie TFTP wezwano Komisję Europejską do przeprowadzenia badania dotyczącego możliwości wprowadzenia równorzędnego unijnego systemu śledzenia środków finansowych należących do terrorystów , pozwalającego na bardziej ukierunkowane przekazywanie danych z UE do USA. W projekcie decyzji Rady w sprawie zawarcia wspomnianej umowy wezwano ponadto Komisję do przedstawienia Parlamentowi Europejskiemu i Radzie, nie później niż po upływie roku od wejścia w życie umowy UE-USA w sprawie TFTP, prawnych i technicznych ram pobierania danych na terenie UE[78]. W ciągu trzech lat od wejścia w życie tej umowy Komisja przedstawi sprawozdanie z postępu prac w zakresie opracowania równorzędnego systemu unijnego. Jeśli nie uda się wprowadzić takiego systemu w ciągu pięciu lat od wejścia w życie umowy, UE może podjąć decyzję o jej rozwiązaniu. Umowa UE-USA w sprawie TFTP zobowiązuje ponadto Stany Zjednoczone do współpracy z UE i udzielania wsparcia i porad, jeśli Unia Europejska podejmie decyzję o ustanowieniu takiego systemu. Komisja rozważa już skutki praktycznie takiego przedsięwziecia oraz odnośne kwestie dotyczące zasobów i ochrony danych, co nie przesądza jednak o podjęciu ostatecznej decyzji. Jak wskazano w planie działań służącym realizacji programu sztokholmskiego, Komisja podejmie starania, aby w 2011 r. przedstawić komunikat z wykonalności utworzenia unijnego programu śledzenia środków finansowych należących do terrorystów (UE TFTP).

W komunikacie dotyczącym zintegrowanego zarządzania granicami z 2008 r. Komisja zaproponowała ewentualne ustanowienie elektronicznego systemu zezwoleń na podróż (ESTA) dla obywateli państw trzecich nie podlegających obowiązkowi wizowemu[79]. Zgodnie z tym programem, obywatele państw trzecich mieliby przed podróżą składać elektroniczny wniosek, przekazując dane potrzebne do ich identyfikacji oraz szczegółowe dane paszportowe i dotyczące podróży. W porównaniu do procedury wizowej system ESTA umożliwiałby szybsze i prostsze sprawdzenie, czy dana osoba spełnia warunki wjazdu. Komisja prowadzi obecnie badanie dotyczące zalet, wad i konsekwencji praktycznych wprowadzenia systemu ESTA. Jak wskazano w planie działań służącym realizacji programu sztokholmskiego, zamierza ona przedstawić w 2011 r. komunikat z wykonalności ustanowienia takiego programu.

W czasie swojej prezydencji w Radzie w 2007 r. Niemcy rozpoczęły dyskusję nad ewentualnym ustanowieniem europejskiego systemu przekazywania informacji z akt policyjnych (EPRIS)[80]. Celem EPRIS byłaby pomoc przedstawicielom organów ścigania w uzyskiwaniu informacji na terenie całej UE, zwłaszcza informacji dotyczących powiązań między osobami fizycznymi podejrzanymi o udział w przestępczości zorganizowanej. Komisja przedstawi Radzie w 2010 r. opracowany przez siebie projekt zakresu uprawnień w zakresie studium wykonalności dotyczącego EPRIS. Jak wskazano w planie działań służącym realizacji programu sztokholmskiego, zamierza ona przedstawić w 2012 r. komunikat dotyczący wykonalności utworzenia takiego systemu.

ANALIZA INSTRUMENTÓW OBOWIąZUJąCYCH, WDRAżANYCH LUB ROZWAżANYCH

Powyższy przegląd daje podstawę do sformułowania poniższych uwag wstępnych:

Struktura zdecentralizowana

Jedynie sześć spośród różnych obecnie obowiązujących, wdrażanych lub rozważanych instrumentów dotyczy gromadzenia lub przechowywania danych osobowych na poziomie UE. Są to: SIS (i SIS II), VIS, EURODAC, CIS, Europol i Eurojust. Pozostałe środki regulują zdecentralizowaną, transgraniczną wymianę lub zdecentralizowane, transgraniczne przekazywanie państwom trzecim informacji zgromadzonych na poziomie krajowym przez organy publiczne lub przedsiębiorstwa prywatne. Większość danych osobowych jest gromadzona i przechowywana na poziomie krajowym, UE stara się natomiast stworzyć wartość dodaną poprzez umożliwienie, pod pewnymi warunkami, wymiany tych informacji z partnerami UE i państwami trzecimi. Komisja przedstawiła ostatnio Parlamentowi Europejskiemu i Radzie zmieniony wniosek dotyczący ustanowienia agencji do spraw zarządzania operacyjnego wielkoskalowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości[81]. Zadaniem nowo tworzonej agencji ds. IT będzie zarządzanie operacyjne systemami SIS II, VIS i EURODAC, a także nowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości, tak aby zapewnić ciągłe działanie tych systemów, a dzięki temu nieprzerwany przepływ informacji.

Ograniczony cel

Większość powyżej przedstawionych instrumentów ma jeden, określony cel: EURODAC ma wspierać funkcjonowanie systemu dublińskiego; API ma wpłynąć na poprawę kontroli granicznej; celem inicjatywy szwedzkiej jest zwiększenie skuteczności dochodzeń w sprawach karnych i operacji wywiadowczych; konwencja neapolitańska II ma pomóc w zapobieganiu oszustwom celnym oraz w ich wykrywaniu, ściganiu i karaniu; CIS ma stanowić wsparcie w zapobieganiu poważnym naruszeniom przepisów krajowych, prowadzeniu odnośnych dochodzeń i ściganiu tych naruszeń poprzez zwiększenie skuteczności współpracy między krajowymi administracjami celnymi; ECRIS, FIU i biura ds. odzyskiwania mienia (ARO) mają ułatwiać transgraniczną wymianę informacji na poszczególnych obszarach; a decyzja z Prüm, dyrektywa w sprawie zatrzymywania danych, TFTP i PNR mają na celu zwalczanie terroryzmu i poważnej przestępczości. Systemy SIS, SIS II i VIS wydają się być głównymi wyjątkami od tej zasady: celem pierwotnym VIS było uproszczenie transgranicznej wymiany danych dotyczących wiz, jednak cel ten został następnie rozszerzony na zapobieganie i zwalczanie terroryzmu i poważnej przestępczości. SIS i SIS II mają natomiast zapewnić wysoki poziom bezpieczeństwa w przestrzeni wolności, bezpieczeństwa i sprawiedliwości, a także ułatwiać przepływ osób, w oparciu o informacje przekazywane za pośrednictwem tego systemu. Z wyjątkiem tych scentralizowanych systemów informacyjnych, zasada celowości wydaje się być jednym z kluczowych czynników branych pod uwagę przy opracowywaniu środków służących zarządzaniu informacjami na poziomie UE.

Możliwość pokrywania się funkcji

Te same informacje osobowe mogą być gromadzone w ramach kilku różnych instrumentów, lecz ich wykorzystywanie jest ograniczone do konkretnego celu i konkretnego instrumentu (nie dotyczy to VIS, SIS i SIS II). Na przykład dane biograficzne osoby fizycznej, w tym imię i nazwisko, data i miejsce urodzenia oraz obywatelstwo, mogą być przetwarzane w ramach SIS, SIS II, API, CIS, inicjatywy szwedzkiej, decyzji z Prüm, ECRIS, przez FIU, biura ds. odzyskiwania mienia, Europol, Eurojust, oraz w ramach umów dotyczących danych PNR i TFTP. Jednak wspomniane dane można przetwarzać wyłącznie do celów kontroli granicznej, w przypadku API; w celu zapobiegania oszustwom celnym, prowadzenia odnośnych dochodzeń i ścigania tych oszustw, w przypadku CIS; w celu prowadzenia dochodzeń w sprawach karnych i operacji wywiadowczych, jeśli chodzi o inicjatywę szwedzką; w celu zapobiegania terroryzmowi i przestępczości zorganizowanej, w przypadku decyzji z Prüm; w celu badania kryminalnej przeszłości danej osoby, jeśli chodzi o ECRIS; w celu badania powiązań danej osoby z przestępczością zorganizowaną i sieciami terrorystycznymi, w przypadku FIU; w celu odszukiwania mienia, jeśli chodzi o biura ds. odzyskiwania mienia; w celu prowadzenia odnośnych dochodzeń i pomocy w ściganiu poważnej przestępczości transgranicznej, w przypadku Europolu i Eurojustu; w celu zapobiegania terroryzmowi i innym formom poważnej przestępczości transgranicznej, w przypadku PNR; a także w celu identyfikacji i śledzenia terrorystów i ich popleczników finansowych, w przypadku TFTP. Dane biometryczne, takie jak odciski palców i fotografie, można przetwarzać w ramach SIS II, VIS, EURODAC, inicjatywy szwedzkiej, decyzji z Prüm, ECRIS; mogą je także przetwarzać Europol i Eurojust, jednak każdorazowo w związku z ograniczonym celem każdego z tych środków. Decyzja z Prüm stanowi jedyny instrument umożliwiający transgraniczną wymianę anonimowych profili DNA (choć dane te można także przesyłać do Europolu i Eurojustu). Inne środki służą do przetwarzania wysoce wyspecjalizowanych informacji osobowych, niezbędnych ze względu na wyjątkowe cele tych środków: systemy PNR służą do przetwarzania informacji dotyczących rezerwacji lotów przez pasażerów; FIDE, do przetwarzania danych związanych z dochodzeniami w sprawie oszustw celnych; dyrektywa w sprawie zatrzymywania danych, do przetwarzania adresów IP i identyfikatorów sprzętu przenośnego; ECRIS, do przetwarzania informacji z rejestrów karnych; biura ds. odzyskiwania mienia, do przetwarzania informacji dotyczących mienia prywatnego i spółek; platformy walki z cyberprzestępczością, do przetwarzania danych na temat przestępstw internetowych; Europol, do przetwarzania informacji na temat powiązań z sieciami przestępczymi; TFTP zaś, do przetwarzania danych z komunikatów finansowych. Transgraniczna wymiana informacji i danych wywiadowczych do celów prowadzenia dochodzeń w sprawach karnych stanowi jedyny przykład znaczącego pokrywania się funkcji. Z prawnego punktu widzenia inicjatywa szwedzka byłaby wystarczająca do wymiany każdego typu informacji istotnych dla takich dochodzeń (pod warunkiem, że wymiana takich danych osobowych jest dopuszczalna na mocy prawa krajowego). Z perspektywy operacyjnej jednak bardziej zalecane może być wykorzystanie decyzji z Prüm do wymiany danych na temat profili DNA i odcisków palców, ponieważ system „trafienie/brak trafienia” zapewnia natychmiastowe udzielenie odpowiedzi a metoda automatycznej wymiany danych, na której się opiera, gwarantuje wysoki poziom bezpieczeństwa danych[82]. Podobnie bardziej skuteczny dla FIU, biur ds. odzyskiwania mienia i platform walki z cyberprzestępczością może być bezpośredni kontakt z ich odpowiednikami z UE bez konieczności wypełniania formularzy wniosków o udzielenie informacji wymaganych w ramach inicjatywy szwedzkiej.

Kontrolowane prawa dostępu

Prawa dostępu do instrumentów opracowanych w celu zwalczania terroryzmu i poważnej przestępczości zawęża się zwykle tylko do niektórych organów ścigania, tj. policji, organów kontroli granicznej i organów celnych. Praw dostępu do środków wynikających z założeń układu z Schengen udziela się zwykle organom imigracyjnym i, pod pewnymi warunkami, policji, organom kontroli granicznej i organom celnym. Przepływ informacji podlega kontroli interfejsów krajowych, w przypadku scentralizowanych systemów typu SIS i VIS, oraz krajowych punktów kontaktowych lub centralnych jednostek koordynujących, w przypadku instrumentów zdecentralizowanych, takich jak decyzja z Prüm, inicjatywa szwedzka, konwencja neapolitańska II, ECRIS, TFTP, umowy w sprawie danych PNR, FIU, biura ds. odzyskiwania mienia i platformy walki z cyberprzestępczością.

Zróżnicowane zasady zatrzymywania danych

Okresy zatrzymywania danych różnią się od siebie istotnie w zależności od celów poszczególnych instrumentów. Umowa w sprawie danych PNR ze Stanami Zjednoczonymi przewiduje najdłuższy okres zatrzymywania danych, mianowicie 15 lat, zaś umowa w sprawie danych API przewiduje najkrótszy okres, który wynosi 24 godziny. Umowy w sprawie danych PNR wprowadzają ciekawe zróżnicowanie między danymi w aktywnych bazach danych a danymi w archiwalnych bazach danych: po upływie pewnego czasu informacje podlegają archiwizacji i można je „odblokować” wyłącznie na mocy specjalnego zezwolenia. Dobrym przykładem jest korzystanie z danych PNR UE przez Kanadę: informacji nadaje się charakter anonimowy po upływie 72 godzin, lecz upoważnieni urzędnicy mają do nich dostęp przez 3,5 roku.

Skuteczne zarządzanie tożsamością

Kilka powyżej przeanalizowanych środków, w tym SIS II i VIS, ma na celu umożliwienie sprawdzania tożsamości na podstawie danych biometrycznych. Wdrożenie SIS II ma zwiększyć bezpieczeństwo w przestrzeni wolności, bezpieczeństwa i sprawiedliwości, pomagając, na przykład, w identyfikacji osób, w stosunku do których wydano europejskie nakazy aresztowania, osób, które nie uzyskają zgody na wjazd do strefy Schengen oraz osób poszukiwanych w związku z prowadzonym dochodzeniem w konkretnej sprawie (takich jak osoby zaginione lub świadkowie w postępowaniu sądowym), niezależnie od dostępności lub autentyczności dokumentów tożsamości. Wdrożenie VIS powinno uprościć proces wydawania wiz i zarządzania nimi.

Bezpieczeństwo danych a rozwiązania UE

Do wymiany informacji szczególnie chronionych przez granice europejskie państwa członkowskie chętniej korzystają z rozwiązań UE. Podstawą wielu instrumentów, różniących się rozmiarem, strukturą i celem, jest stworzona przez Komisję sieć komunikacyjna s-TESTA, służąca do wymiany informacji szczególnie chronionych. Należą do nich systemy scentralizowane typu SIS II, VIS i EURODAC, a także instrumenty zdecentralizowane, czyli decyzja z Prüm, ECRIS i FIU, oraz Europol i Eurojust. CIS i FIDE działają w oparciu o wspólną sieć łączności, wspólny system połączeń lub bezpieczny dostęp do Internetu zapewniony przez Komisję. Tymczasem najczęściej obecnie wybieraną aplikacją do realizacji nowych inicjatyw, które opierają się na bezpiecznym przekazywaniu danych, jest SIENA, należąca do Europolu aplikacja sieci bezpiecznej wymiany informacji. Obecnie prowadzone są rozmowy nad tym, aby stała się ona podstawą działania FIU.net, biur ds. odzyskiwania mienia i platform ostrzegania przed cyberprzestępstwami.

Rozbieżne mechanizmy przeglądu

Instrumenty będące przedmiotem powyższej analizy zawierają szereg różnych mechanizmów przeglądu. W przypadku złożonych systemów informacyjnych, takich jak SIS II, VIS i EURODAC, Komisja musi przedkładać Parlamentowi i Radzie okresowe (roczne lub dwuletnie) sprawozdania z działania lub stanu wdrożenia tych systemów. Zdecentralizowane instrumenty wymiany informacji nakładają na Komisję obowiązek przedłożenia innym instytucjom, po kilku latach od wdrożenia, jednego sprawozdania z oceny: dyrektywa w sprawie zatrzymywania danych, inicjatywa szwedzka i środki dotyczące biur ds. odzyskiwania mienia należy poddać ocenie w 2010 r., decyzję z Prüm w 2012 r., a ECRIS w 2016 r. Trzy umowy w sprawie danych PNR przewidują przeprowadzanie przeglądów okresowych i przeglądów ad hoc ; w dwóch z nich zawarto ponadto klauzule wygaśnięcia. Europol i Eurojust przedkładają Radzie coroczne raporty, które Rada przekazuje Parlamentowi Europejskiemu do wiadomości. Niniejsze rozważania wskazują, że obecna struktura zarządzania informacjami w UE nie prowadzi do przyjęcia jednego mechanizmu oceny wszystkich instrumentów. Biorąc pod uwagę tę różnorodność istotne jest, aby przyszłe zmiany wszystkich instrumentów w dziedzinie zarządzania informacjami uwzględniały ich potencjalny wpływ na pozostałe środki, które regulują gromadzenie, przechowywanie lub wymianę danych osobowych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości.

ZASADY KSZTAłTOWANIA POLITYKI

W części 2 opisano szereg inicjatyw, które Komisja Europejska wdrożyła, przedstawiła lub których wprowadzenie rozważała na przestrzeni kilku ostatnich lat. Sama liczba nowych pomysłów i coraz obszerniejsze prawodawstwo w dziedzinie bezpieczeństwa wewnętrznego i zarządzania migracjami sprawiają, że niezbędne staje się zdefiniowanie szeregu zasad podstawowych, które będą stanowić punkt odniesienia dla opracowania i oceny wniosków dotyczących polityk realizowanej w tym zakresie w nadchodzących latach. Zasady te opierają się na zasadach ogólnych wskazanych w traktatach UE, orzecznictwie Europejskiego Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka, oraz odnośnych porozumieniach międzyinstytucjonalnych między Parlamentem Europejskim, Radą a Komisją Europejską, i uzupełniają te zasady. Komisja proponuje opracowanie i wdrożenie nowych inicjatyw, a także ocenę istniejących instrumentów , w oparciu o dwa poniższe zbiory zasad:

Zasady materialne

Ochrona praw podstawowych, zwłaszcza prawa do prywatności i ochrony danych

Ochrona praw podstawowych wszystkich ludzi, przewidziana w Karcie praw podstawowych Unii Europejskiej, zwłaszcza prawa do prywatności i ochrony danych osobowych, będzie stanowić dla Komisji cel nadrzędny przy opracowaniu nowych wniosków, które dotyczą przetwarzania danych osobowych w dziedzinie bezpieczeństwa wewnętrznego lub zarządzania migracjami. W art. 7 i 8 Karty podkreślono prawo każdego człowieka do „poszanowania życia prywatnego i rodzinnego” oraz „ochrony danych osobowych, które go dotyczą”[83]. W art. 19 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), który jest wiążący dla państw członkowskich, instytucji, agencji i organów unijnych, potwierdzono natomiast prawo każdej osoby do „ochrony danych osobowych jej dotyczących”[84]. Opracowując nowe instrumenty oparte na wykorzystaniu technologii informacyjnej, Komisja będzie kierować się podejściem znanym jako „poszanowanie prywatności od samego początku”. Oznacza to włączenie ochrony danych osobowych w podstawę techniczną proponowanego instrumentu, przy jednoczesnym ograniczeniu przetwarzania danych do tego, które jest niezbędne do osiągnięcia proponowanego celu i udzieleniu dostępu do danych jedynie wskazanym jednostkom, zgodnie z zasadą ograniczonego dostępu[85].

Konieczność

Ingerencja władzy publicznej w korzystanie z prawa do prywatności przysługującego każdej osobie fizycznej może być niezbędna z uwagi na bezpieczeństwo narodowe, bezpieczeństwo publiczne lub zapobieganie przestępstwom[86]. Orzecznictwo Europejskiego Trybunału Praw Człowieka ustanawia trzy warunki, na mocy których wspomniane ograniczenia mogą być usprawiedliwione: ingerencja musi być przewidziana przez ustawę, służyć osiągnięciu zgodnego z prawem celu i musi być konieczna w demokratycznym społeczeństwie. Ingerencję w prawo do prywatności uważa się za konieczną, jeśli jest ona uzasadniona pilną potrzebą społeczną, jest proporcjonalna do wyznaczonego celu oraz jeśli przyczyny podane przez władzę publiczną dla jej uzasadnienia są odpowiednie i wystarczające[87]. W kolejnych wnioskach dotyczących polityki realizowanej w tym zakresie Komisja oceni spodziewany wpływ inicjatywy na prawo do prywatności i ochrony danych osobowych osób fizycznych, a także określi, dlaczego wpływ ten jest konieczny i dlaczego proponowane rozwiązanie jest proporcjonalne do zgodnego z prawem celu utrzymania bezpieczeństwa wewnętrznego w Unii Europejskiej, zapobiegania przestępstwom lub zarządzania migracjami. Przestrzeganie przepisów w zakresie ochrony danych osobowych będzie każdorazowo podlegać kontroli niezależnego organu na poziomie krajowym i na poziomie UE.

Pomocniczość

Komisja podejmie działania zmierzające do uzasadnienia nowo przedstawionych przez siebie wniosków w świetle zasad pomocniczości i proporcjonalności, zgodnie z art. 5 protokołu nr 2 załączonego do Traktatu o Unii Europejskiej. W nowym wniosku ustawodawczym znajdzie się stwierdzenie umożliwiające dokonanie oceny zgodności z zasadą pomocniczości, jak wskazano w art. 5 Traktatu o Unii Europejskiej. Będzie ono obejmowało ocenę skutków finansowych, gospodarczych i społecznych takiego wniosku oraz, w przypadku dyrektywy, jej skutków dla regulacji wprowadzanych przez państwa członkowskie[88]. Podstawy założenia, że cel UE może zostać lepiej osiągnięty na poziomie UE, będą uzasadniane na podstawie wskaźników jakościowych. Wnioski ustawodawcze będą uwzględniać potrzebę zmniejszenia odpowiedzialności ciążącej na UE, rządach krajowych, władzach regionalnych, podmiotach gospodarczych i obywatelach, i dostosowania jej do zamierzonego celu. W przypadku wniosków wymagających podpisania nowych umów międzynarodowych stwierdzenie to będzie uwzględniać oczekiwany wpływ na stosunki z odnośnymi państwami trzecimi.

Właściwe zarządzanie ryzykiem

Informacje w przestrzeni wolności, bezpieczeństwa i sprawiedliwości wymienia się zazwyczaj w celu dokonania analizy zagrożeń dla bezpieczeństwa, określenia trendów działalności przestępczej lub przeprowadzenia oceny ryzyka w powiązanych obszarach polityki[89]. Ryzyko wiąże się często, choć nie zawsze, z osobami, których zachowanie lub wzorzec zachowania wskazuje na trwałe ryzyko powtarzania się takiego zachowania w przyszłości. Jednak ocena ryzyka powinna opierać się na dowodach, a nie hipotezach. Testy w zakresie konieczności oraz celowości stanowią niezbędne elementy każdego środka służącego zarządzaniu informacjami. Istotne jest zatem opracowanie profili ryzyka, których nie należy mylić z profilami rasowymi lub innymi równie dyskryminacyjnymi profilami, które są niezgodne z prawami podstawowymi. Wspomniane profile mogą pomóc w koncentracji posiadanych zasobów na konkretnych osobach fizycznych, w celu identyfikacji zagrożeń dla bezpieczeństwa i ochrony ofiar przestępstw.

Zasady zorientowane na proces [90]

Efektywność kosztowa

Infrastruktura publiczna oparta na technologii informacyjnej powinna umożliwiać świadczenie usług lepszej jakości i zapewniać podatnikom większą wartość dodaną. Zważywszy na obecną sytuację gospodarczą, wszelkie nowe wnioski, zwłaszcza te dotyczące wprowadzenia lub modernizacji systemów informacyjnych, mają być efektywne kosztowo w maksymalnym możliwym stopniu. Takie podejście będzie uwzględniać wcześniejsze rozwiązania, tak aby uniknąć pokrywania się funkcji i osiągnąć największą możliwą synergię. Komisja oceni możliwość osiągnięcia celu wyznaczonego we wniosku poprzez lepsze wykorzystanie istniejących instrumentów. Rozważy ponadto dodanie nowych funkcji do istniejących systemów informacyjnych przed zaproponowaniem nowych systemów.

Oddolne kształtowanie polityki

Opracowanie nowych inicjatyw musi, na możliwie wczesnym etapie, opierać się na udziale wszystkich istotnych zainteresowanych stron, w tym organów krajowych odpowiedzialnych za wdrożenie tych inicjatyw, podmiotów gospodarczych oraz społeczeństwa obywatelskiego. Opracowanie strategii uwzględniających interesy użytkowników końcowych wymaga podejścia przekrojowego i szeroko zakrojonych konsultacji[91]. Z tego względu Komisja podejmie starania, aby zapewnić stałe kontakty z przedstawicielami krajowymi i praktykami w ramach struktur Rady, komitetów zarządzających i grup tworzonych ad hoc .

Jasny podział obowiązków

Zważywszy na złożoność techniczną projektów dotyczących gromadzenia i wymiany informacji w przestrzeni wolności, bezpieczeństwa i sprawiedliwości, należy zwrócić szczególną uwagę na początkowy etap tworzenia struktur zarządzania. Doświadczenie zdobyte przy realizacji projektu SIS pokazuje, że brak zdefiniowania, na wczesnym etapie, jasnych i trwałych najistotniejszych celów, ról i obowiązków może prowadzić do znacznego przekroczenia kosztów i opóźnienia realizacji zadań. Z oceny początkowego etapu wdrażania decyzji z Prüm wynika, że zdecentralizowana struktura zarządzania także może nie stanowić panaceum, ponieważ państwom członkowskim brakuje kierującego projektem lidera, do którego można zwrócić się po radę dotyczącą finansowych lub technicznych aspektów realizacji projektu. Porad w sprawach technicznych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości może udzielać administratorom systemów informacyjnych nowo tworzona agencja ds. IT. Może ona także stanowić platformę zakrojonego na szeroką skalę zaangażowania zainteresowanych stron w zarządzanie operacyjne i rozwój systemów IT. Każdy nowy system informacyjny w przestrzeni wolności, bezpieczeństwa i sprawiedliwości, zwłaszcza oparty na wielkoskalowym systemie IT, zostanie opracowany dopiero z chwilą ostatecznego przyjęcia podstawowego instrumentu prawnego określającego cel, zakres, funkcje i szczegóły techniczne tego systemu. Podejście takie ma stanowić ewentualne zabezpieczenie przed przekroczeniem kosztów i opóźnieniami wynikającymi ze zmieniających się wymagań.

Przegląd i klauzule wygaśnięcia

Komisja przeprowadzi ocenę każdego instrumentu objętego niniejszym komunikatem. Ocena ta obejmie pełną gamę instrumentów istniejących w dziedzinie zarządzania informacjami. Powinna ona oddać rzetelny obraz stopnia dopasowania poszczególnych instrumentów do szerszego kontekstu bezpieczeństwa wewnętrznego i zarządzania migracjami. Przyszłe wnioski obejmą, w razie potrzeby, obowiązek składania rocznych sprawozdań, przeprowadzanie przeglądów okresowych i przeglądów ad hoc , oraz klauzulę wygaśnięcia. Istniejące instrumenty pozostaną, o ile nadal będą służyć zgodnemu z prawem celowi, w związku z którym zostały opracowane. W załączniku II podano datę i mechanizm przeglądu każdego instrumentu objętego niniejszym komunikatem.

KIERUNKI ROZWOJU

Niniejszy komunikat jest pierwszym tego typu dokumentem, w którym dokonano jasnego i kompleksowego podsumowania środków istniejących, wdrażanych lub rozważanych na poziomie UE, które regulują proces gromadzenia, przechowywania lub transgranicznej wymiany danych osobowych do celów egzekwowania prawa i zarządzania migracjami.

Dzięki niemu obywatele mogą zapoznać się z zakresem informacji na swój temat, które są gromadzone, przechowywane lub wymieniane, celem tych czynności i organami uprawnionymi do ich przeprowadzania. Stanowi on ponadto przejrzyste narzędzie odniesienia dla zainteresowanych stron, które pragną zaangażować się w debatę na temat przyszłych kierunków polityki UE w tym obszarze. Jednocześnie komunikat stanowi pierwszą odpowiedź na wezwanie Rady Europejskiej do opracowania instrumentów służących zarządzaniu informacjami na poziomie UE, zgodnie ze strategią UE w zakresie zarządzania informacjami[92], oraz rozważenia potrzeby opracowania europejskiego modelu wymiany informacji[93].

W następstwie niniejszego komunikatu w 2012 r. Komisja zamierza przedstawić komunikat w sprawie europejskiego modelu wymiany informacji.[94]. W związku z tym Komisja zainicjowała w styczniu 2010 r. badanie, które ma na celu lokalizację i przyporządkowanie informacji (ang. information mapping ) dotyczących podstaw prawnych i praktycznego funkcjonowania wymiany danych wywiadowczych i informacji do celów prowadzenia dochodzeń w sprawach karnych. Komisja pragnie przedstawić Radzie i Parlamentowi Europejskiemu wyniki tego badania w 2011 r.[95].

Wreszcie w niniejszym komunikacie po raz pierwszy ukazano wypracowany przez Komisję zbiór zasad ogólnych, którymi zamierza się ona kierować w przyszłości przy tworzeniu instrumentów do gromadzenia, przechowywania lub wymiany danych. Zasady te będą także wykorzystywane do oceny istniejących instrumentów. Przyjęcie takiego podejścia do kształtowania i oceny polityki w tym zakresie ma zagwarantować spójność i skuteczność istniejących i przyszłych instrumentów, przy pełnym poszanowaniu praw podstawowych przysługujących obywatelom.

ZAŁĄCZNIK I

Poniższe dane i przykłady ilustrują praktycznie działanie istniejących środków służących do zarządzania informacjami.

System informacyjny Schengen (SIS)

Całkowita liczba wpisów do SIS dokonanych w centralnej bazie SIS (C.SIS)[96] |

Kategorie wpisów | 2007 | 2008 | 2009 |

Banknoty | 177 327 | 168 982 | 134 255 |

Blankiety | 390 306 | 360 349 | 341 675 |

Broń palna | 314 897 | 332 028 | 348 353 |

Wydane dokumenty | 17 876 227 | 22 216 158 | 25 685 572 |

Pojazdy | 3 012 856 | 3 618 199 | 3 889 098 |

Osoby poszukiwane (pseudonimy) | 299 473 | 296 815 | 290 452 |

Osoby poszukiwane (imię i nazwisko) | 859 300 | 927 318 | 929 546 |

W tym: |

Osoby poszukiwane w celu aresztowania i ekstradycji | 19 119 | 24 560 | 28 666 |

Obywatele państw trzecich figurujący w wykazie osób objętych zakazem wjazdu | 696 419 | 746 994 | 736 868 |

Zaginione osoby dorosłe | 24 594 | 23 931 | 26 707 |

Zaginione osoby małoletnie | 22 907 | 24 628 | 25 612 |

Świadkowie lub osoby poszukiwane w związku z postępowaniem sądowym | 64 684 | 72 958 | 78 869 |

Osoby objęte monitorowaniem specjalnym w związku z zagrożeniem dla bezpieczeństwa publicznego | 31 568 | 34 149 | 32 571 |

Osoby objęte monitorowaniem specjalnym w związku z zagrożeniem dla bezpieczeństwa narodowego | 9 | 98 | 253 |

W sumie | 22 933 370 | 27 919 849 | 31 618 951 |

EURODAC – przemieszczanie się osób ubiegających się o azyl, które ponownie złożyły wniosek o azyl w tym samym lub innym państwie członkowskim (2008)

Państwo członkowskie, w którym złożono pierwszy wniosek azylowy[97] | Całkowita liczba ponownych wniosków |

Liczba podjętych interwencji w 2009 r. |

Istniejące akta (osoby, którym odmówiono wstępu) | 379 |

Zgubione, skradzione lub anulowane paszporty (dokumenty zatrzymane) | 56 |

System informacji celnej (CIS)

Całkowita liczba spraw zarejestrowanych w bazie CIS (2009)[99] |

Działanie | CIS (na podstawie konwencji CIS) |

Sprawy utworzone | 2 007 |

Sprawy otwarte | 274 |

Sprawy zakwestionowane | 11 920 |

Sprawy usunięte | 1 355 |

Inicjatywa szwedzka

Przykłady wykorzystania inicjatywy szwedzkiej w celu ścigania przestępstw[100] |

Zabójstwo | W 2009 r. miała miejsce próba zabójstwa w stolicy jednego z państw członkowskich. Policja zabezpieczyła próbkę materiału biologicznego ze szklanki, z której pił podejrzany. Na podstawie pochodzącego z próbki materiału genetycznego specjaliści sądowi stworzyli profil DNA. Przeprowadzono porównanie, jednak uzyskany profil nie zgadzał się z żadnym innym profilem referencyjnym z krajowej bazy danych DNA. W związku z tym prowadzące dochodzenie służby policyjne przesłały, poprzez punkt kontaktowy Prüm, wniosek o porównanie tego profilu z referencyjnymi profilami DNA znajdującymi się w bazach innych państw członkowskich, uprawnionych do wymiany tego rodzaju danych na podstawie decyzji z Prüm lub konwencji z Prüm. W wyniku porównania danych pochodzących z różnych państw uzyskano „trafienie”. W oparciu o inicjatywę szwedzką prowadzące śledztwo służby policyjne zwróciły się o przekazanie dalszych informacji na temat podejrzanego. W ciągu 36 godzin krajowy punkt kontaktowy otrzymał odpowiedź z kilku państw członkowskich, co pozwoliło zidentyfikować podejrzanego. |

Gwałt | W 2003 r. niezidentyfikowany podejrzany dokonał gwałtu na kobiecie. Policja zabezpieczyła próbki od ofiary, jednak uzyskany na tej podstawie profil DNA nie zgadzał się z żadnym profilem referencyjnym z krajowej bazy danych. Przesłanie wniosku o porównanie profilu DNA przez punkt kontaktowy Prüm do innych państw członkowskich, uprawnionych do wymiany informacji na temat profilów DNA na podstawie decyzji z Prüm lub konwencji z Prüm, przyniosło rezultaty. W oparciu o inicjatywę szwedzką prowadzące śledztwo służby policyjne zwróciły się o przekazanie dalszych informacji na temat podejrzanego. W ciągu ośmiu godzin krajowy punkt kontaktowy otrzymał odpowiedź, co pozwoliło zidentyfikować podejrzanego. |

Decyzja z Prüm

„Trafienia” uzyskane przez Niemcy w wyniku transgranicznego porównania profili DNA w rozbiciu na poszczególne kategorie przestępstw (2009)[101] |

Trafienia w podziale na rodzaje przestępstwa | Austria | Hiszpania | Luksemburg | Niderlandy | Słowenia |

Przestępstwa przeciwko interesom publicznym | 32 | 4 | 0 | 5 | 2 |

Przestępstwa przeciwko wolności osobistej | 9 | 3 | 5 | 2 | 0 |

Przestępstwa seksualne | 40 | 22 | 0 | 31 | 4 |

Przestępstwa przeciwko życiu i zdrowiu | 49 | 24 | 0 | 15 | 2 |

Pozostałe | 3 005 | 712 | 18 | 1 105 | 71 |

Dyrektywa w sprawie zatrzymywania danych

Przykłady spraw dotyczących poważnej przestępczości, rozwiązanych przez państwa członkowskie dzięki zatrzymywaniu danych[102] |

Morderstwo | Policji jednego z państw członkowskich udało się namierzyć grupę, odpowiedzialną za zamordowanie na tle rasowym sześć osób. Aby uniknąć policyjnego pościgu, sprawcy wymienili karty SIM w swoich telefonach. Zostali jednak zidentyfikowani na podstawie wykazów połączeń telefonicznych oraz identyfikatorów sprzętu przenośnego. |

Zabójstwo | Policji udało się udowodnić uczestnictwo dwóch podejrzanych w zabójstwie na podstawie analizy danych przesyłanych z telefonu komórkowego ofiary. Dane te umożliwiły śledczym rekonstrukcję trasy, pokonanej wspólnie przez ofiarę i obu podejrzanych. |

Kradzież z włamaniem | Władze wyśledziły sprawcę odpowiedzialnego za 17 włamań, dzięki analizie danych przesyłanych z anonimowej karty SIM typu prepaid. Dzięki zidentyfikowaniu przyjaciółki sprawcy policji udało się zlokalizować również jego samego. |

Oszustwo | Śledczym udało się rozwiązać sprawę dotyczącą oszustwa, w które uwikłany był gang reklamujący w Internecie drogie motocykle za gotówkę. Osoby, które pojawiały się we wskazanym miejscu, aby odebrać pojazd, były systematycznie okradane. Adres IP umożliwił policji zlokalizowanie abonenta i aresztowanie sprawców. |

Współpraca między jednostkami analityki finansowej (FIU)

Ogólna liczba wniosków o udzielenie informacji złożonych przez krajowe jednostki analityki finansowej za pośrednictwem FIU.net[103] |

Rok | Wnioski o udzielenie informacji | Aktywni użytkownicy |

2007 | 3 133 | 12 państw członkowskich |

2008 | 3 084 | 13 państw członkowskich |

2009 | 3 520 | 18 państw członkowskich |

Współpraca między biurami ds. odzyskiwania mienia (ARO)

Wnioski w sprawie odszukania mienia złożone przez państwa członkowskie, którymi zajął się Europol[104] |

Rok | 2004 | 2005 | 2006 | 2007 |

Wnioski | 5 | 57 | 53 | 133 |

W tym: |

Sprawy dotyczące oszustw | 29 |

Sprawy dotyczące prania pieniędzy | 26 |

Sprawy dotyczące narkotyków | 25 |

Sprawy dotyczące pozostałych przestępstw | 18 |

Sprawy dotyczące narkotyków i prania pieniędzy | 19 |

Sprawy dotyczące oszustw i prania pieniędzy | 7 |

Sprawy dotyczące kilku kategorii przestępstw | 9 |

Sprawy dotyczące konfiskaty mienia prowadzone przez Eurojust (2006-2007)[105] |

Rodzaj sprawy | Inicjator |

Sprawy dotyczące przestępstw przeciwko środowisku naturalnemu | 1 | Niemcy | 27 % |

Sprawy dotyczące udziału w organizacji przestępczej | 5 | Niderlandy | 21 % |

Sprawy dotyczące handlu narkotykami | 15 | Zjednoczone Królestwo | 15 % |

Sprawy dotyczące oszustw podatkowych | 8 | Finlandia | 13 % |

Sprawy dotyczące oszustw | 8 | Francja | 8 % |

Sprawy dotyczące nadużyć finansowych w zakresie podatku VAT | 1 | Hiszpania | 6 % |

Sprawy dotyczące prania pieniędzy | 9 | Portugalia | 4 % |

Sprawy dotyczące korupcji | 1 | Szwecja | 2 % |

Sprawy dotyczące przestępstw przeciwko mieniu | 2 | Dania | 2 % |

Sprawy dotyczące nielegalnego handlu bronią | 1 | Łotwa | 2 % |

Sprawy dotyczące podrabiania produktów i piractwa | 2 |

Sprawy dotyczące wyłudzeń | 2 |

Sprawy dotyczące fałszowania dokumentów urzędowych | 1 |

Sprawy dotyczące przestępstw związanych z pojazdami | 1 |

Sprawy dotyczące terroryzmu | 1 |

Sprawy dotyczące fałszerstw | 2 |

Sprawy dotyczące handlu ludźmi | 1 |

Platformy ostrzegania przed cyberprzestępstwami

Przykład: francuska platforma Pharos[106] poświęcona dochodzeniom w sprawach związanych z cyberprzestępstwami |

Pornografia dziecięca | Użytkownik Internetu powiadomił Pharos o blogu, na którym opublikowano zdjęcia i rysunki przedstawiające niegodziwe traktowanie w celach seksualnych. Autor blogu, który na jednym ze zdjęć figurował nago, wykorzystywał również blog do nawiązywania kontaktu z dziećmi. Jako głównego podejrzanego śledczy zidentyfikowali pewnego nauczyciela matematyki. W wyniku rewizji domu podejrzanego znaleziono 49 nagrań wideo z pornografią dziecięcą. Ujawniono również, że podejrzany zamierzał prowadzić w domu kursy przygotowawcze. Pozwany został uznany winnym i skazany na karę pozbawienia wolności w zawieszeniu. |

Niegodziwe traktowanie w celach seksualnych | Francuska policja została poinformowana o osobie, która przez Internet oferowała pieniądze za seks z udziałem dzieci. Jeden ze śledczych Pharos, podając się za osobę nieletnią, nawiązał kontakt z podejrzanym, który zaproponował mu pieniądze za seks. Czat internetowy umożliwił Pharos identyfikację adresu IP komputera podejrzanego, który zlokalizowany był w mieście o wysokim wskaźniku przestępstw związanych z niegodziwym traktowaniem w celach seksualnych. Pozwany został uznany winnym i skazany na karę pozbawienia wolności w zawieszeniu. |

Europol

Udział Europolu w zwalczaniu poważnej przestępczości transgranicznej - przykłady[107] |

Operacja Andromeda | W grudniu 2009 r. Europol pomógł w realizacji dużej transgranicznej operacji policyjnej skierowanej przeciwko sieci handlarzy narkotyków, mającej kontakty w 42 państwach. Kierowana z Belgii i Norwegii sieć przemycała narkotyki z Peru, poprzez Niderlandy, do Belgii, Zjednoczonego Królestwa i innych państw członkowskich. Europol koordynował współpracę policyjną, natomiast Eurojust – współpracę sądową. Uczestniczące w operacji służby stworzyły mobilne biuro w Pizie, natomiast Europol miał swoje centrum dowodzenia w Hadze. Europol określił powiązania pomiędzy podejrzanymi i przygotował sprawozdanie na temat sieci przestępczej. |

Uczestnicy | Włochy, Niderlandy, Niemcy, Belgia, Zjednoczone Królestwo, Litwa, Norwegia i Eurojust |

Rezultaty | Uczestniczące w operacji siły policyjne przechwyciły 49 kg kokainy, 10 kg heroiny, 6000 pigułek ecstasy, dwie sztuki broni palnej, pięć sfałszowanych dokumentów tożsamości, a także 43 000 EUR w gotówce. Aresztowano 15 osób. |

Operacja Typhon | Między kwietniem 2008 r. a lutym 2010 r. Europol udzielił pomocy w zakresie wsparcia analitycznego siłom policyjnym z 20 państw zaangażowanym w operację Typhon. W ramach tej dużej operacji skierowanej przeciwko sieci pedofilów dystrybuującej wizerunki pornografii dziecięcej poprzez austriacką stronę internetową Europol udzielał wsparcia technicznego oraz analizował dane wywiadu kryminalnego w oparciu o wizerunki otrzymane z Austrii. Zanim przygotował własny materiał wywiadowczy, ocenił wiarygodność przekazanych danych oraz je uporządkował. Dzięki skojarzeniu tych danych z informacjami z pliku roboczego do celów analizy opracował 30 raportów wywiadowczych, które dały podstawę, aby rozpocząć dochodzenia w kilku państwach. |

Uczestnicy | Austria, Belgia, Bułgaria, Dania, Francja, Hiszpania, Niemcy, Kanada, Litwa, Luksemburg, Malta, Niderlandy, Polska, Rumunia, Słowacja, Słowenia, Szwajcaria, Węgry, Włochy, i Zjednoczone Królestwo. |

Rezultaty | Biorące udział w operacji służby zidentyfikowały 286 podejrzanych, aresztowały 118 podejrzanych oraz uratowały pięć ofiar przestępstwa z czterech państw. |

Eurojust

Przykłady transgranicznych operacji sądowych przeciwko poważnej przestępczości koordynowanych przez Eurojust[108] |

Handel ludźmi i finansowanie terroryzmu | W maju 2010 r. Eurojust koordynował transgraniczną operację, w wyniku której aresztowano pięciu członków sieci przestępczości zorganizowanej, działającej na terenie Afganistanu, Pakistanu, Rumunii, Albanii i Włoch. Grupa przemycała obywateli afgańskich i pakistańskich przez Iran, Turcję, Grecję do Włoch i dostarczała im w tym celu sfałszowane dokumenty. Po przyjeździe do Włoch imigranci byli przerzucani dalej do Niemiec, Szwecji, Belgii, Zjednoczonego Królestwa i Norwegii. Dochody z tego procederu były przeznaczone na finansowanie terroryzmu. |

Oszustwo dotyczące kart bankowych | Dzięki koordynacji transgranicznej współpracy policyjnej i sądowej Europol i Eurojust pomogły w wykryciu sieci zajmującej się oszustwami dotyczącymi kart bankowych, działającej na terenie Irlandii, Włoch, Niderlandów, Belgii oraz Rumunii. Członkowie sieci wykradli dane identyfikacyjne około 15 000 kart płatniczych, powodując straty w wysokości 6,5 mln EUR. Zanim przeprowadzono opisywaną operację, w wyniku której w lipcu 2009 r. aresztowano 24 osoby, sądy belgijskie, irlandzkie, włoskie, holenderskie i rumuńskie wydały w odniesieniu do aresztowanych europejskie nakazy aresztowania oraz wnioski o założenie podsłuchu. |

Handel ludźmi i narkotykami | W następstwie spotkania koordynacyjnego zorganizowanego prze Eurojust w marcu 2009 r. władze włoskie, niderlandzkie i kolumbijskie aresztowały 62 osoby podejrzane o handel ludźmi i przemyt narkotyków. Sieć przemycała bezbronne kobiety z Nigerii do Niderlandów. Kobiety były zmuszane do prostytucji we Włoszech, Francji i Hiszpanii. Dochody z prostytucji sieć przeznaczała na finansowanie zakupów kokainy w Kolumbii, którą następnie transportowano do UE. |

Dane dotyczące przelotu pasażera (dane PNR)

Przykłady analiz danych PNR, w wyniku których uzyskano informacje na potrzeby dochodzenia w sprawach dotyczących poważnej przestępczości transgranicznej[109] |

Handel dziećmi | Analiza danych PNR ujawniła, że troje pozbawionych opieki dzieci podróżowało z państwa członkowskiego UE do państwa trzeciego. Brakowało informacji, kto miałby je odebrać z docelowego miejsca podróży. Władze państwa trzeciego powiadomione przez policję państwa członkowskiego aresztowały osobę, która chciała odebrać dzieci: była to osoba skazana za przestępstwa seksualne, figurująca w rejestrze państwa członkowskiego. |

Handel ludźmi | Analiza danych PNR doprowadziła do wykrycia grupy handlarzy ludźmi, podróżującej zawsze tą samą trasą. Handlarze posługiwali się fałszywymi dokumentami, aby dokonać odprawy na lot wewnątrz UE, i równocześnie dokonywali odprawy na lot do trzeciego państwa, wykorzystując autentyczne dokumenty. Po przejściu do sali odlotów, wchodzili na pokład samolotu odbywającego lot wewnątrz UE. |

Oszustwo dotyczące kart kredytowych | Kilka rodzin podróżowało do jednego z państw członkowskich, wykorzystując bilety kupione przy użyciu skradzionych kart kredytowych. Badania wykazały, że grupa przestępcza posługiwała się tymi kartami do zakupu biletów, które następnie były sprzedawane nielegalnie w odległych centrach telefonicznych (call centres). To właśnie dane PNR pozwoliły na ustalenie związku pomiędzy podróżnymi, kartami kredytowymi i sprzedającymi bilety. |

Handel narkotykami | Policja jednego z państw członkowskich otrzymała informację, zgodnie z którą pewien mężczyzna była zamieszany w handel narkotykami, które przemycał z państwa trzeciego. Kontrole straży granicznej, przeprowadzane przy wjeździe na teren UE, nigdy nie wykazały jednak, by posiadał przy sobie narkotyki. Analiza danych PNR wykazała, że ów mężczyzna zawsze podróżował z osobą towarzyszącą. W wyniku rewizji osoby towarzyszącej znaleziono duże ilości narkotyków. |

Program śledzenia środków finansowych należących do terrorystów (TFTP)

Informacje uzyskane dzięki TFTP wykorzystane do wykrycia spisków terrorystycznych[110] |

Spisek terrorystyczny w Barcelonie w 2008 r. | W styczniu 2008 r. w Barcelonie aresztowano dziesięciu podejrzanych w związku z nieudaną próbą ataku na miejski system komunikacji publicznej. Dane TFTP wykorzystano w celu określenia powiązań podejrzanych z Azją, Afryką i Ameryką Północną. |

Próby ataków z wykorzystaniem ciekłych bomb dotyczące transatlantyckich lotów w 2006 | Informacje TFTP wykorzystano w celu przeprowadzenia dochodzenia i skazania osób uwikłanych w nieudaną próbę ataków bombowych na samoloty, przeprowadzoną w sierpniu 2006 r. w odniesieniu do dziesięciu transatlantyckich lotów ze Zjednoczonego Królestwa do Stanów Zjednoczonych i Kanady. |

Ataki bombowe w Londynie w 2005 r. | Dane TFTP dostarczyły nowych tropów, potwierdziły tożsamość i ujawniły związki między osobami odpowiedzialnymi za atak. |

Ataki bombowe w Madrycie w 2004 r. | Dane TFTP zostały udostępnione kilku państwom członkowskim UE w celu wsparcia dochodzeń wszczętych na skutek przeprowadzonego ataku. |

ZAŁĄCZNIK II

Tabelaryczny przegląd stosowanych, wdrażanych lub rozważanych instrumentów |

Instrument | Geneza | Cel(e) | Struktura | Zakres danych osobowych | Dostęp do danych | Ochrona danych | Zatrzymywanie danych | Etap wdrażania | Przegląd | | System informacyjny Schengen (SIS) |Z inicjatywy państw członkowskich |Utrzymanie bezpieczeństwa publicznego, w tym bezpieczeństwa narodowego, w strefie Schengen oraz ułatwienie przepływu osób, z wykorzystaniem informacji przekazywanych za pośrednictwem tego systemu. |Zcentralizowany: N.SIS (jednostki krajowe) połączone za pomocą interfejsu z C.SIS (jednostką centralną). |Imiona i nazwiska oraz pseudonimy, data i miejsce urodzenia, obywatelstwo oraz informacje, czy dana osoba jest uzbrojona i niebezpieczna. Wpisy dokonywane w SIS dotyczą szeregu różnych grup osób. |Organy policji, kontroli granicznej i celnej oraz sądownictwa mają dostęp do wszystkich danych; organy imigracyjne i placówki konsularne – do wykazu osób objętych zakazem wjazdu oraz wpisów dotyczących zaginionych i skradzionych dokumentów. Europol i Eurojust mają dostęp do niektórych danych. |Konwencja nr 108 Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy). |Dane osobowe wpisywane do SIS w celu śledzenia osób mogą być przechowywane jedynie przez okres konieczny dla osiągnięcia celów, dla których zostały dostarczone, ale nie dłużej niż przez trzy lata. Dane osób objętych monitorowaniem specjalnym w związku z zagrożeniem jakie stanowią dla bezpieczeństwa publicznego lub narodowego muszą być usuwane po upływie roku. |SIS jest w pełni stosowany w 22 państwach członkowskich, a także w Szwajcarii, Norwegii i Islandii. Uczestnictwo Zjednoczonego Królestwa i Irlandii w SIS nie obejmuje wpisów dotyczących obywateli państw trzecich figurujących w wykazie osób objętych zakazem wjazdu. Oczekuje się, że instrument wdrożą wkrótce: Bułgaria, Rumunia i Liechtenstein. |Sygnatariusze mogą proponować wprowadzenie zmian do konwencji z Schengen. Po wprowadzeniu zmian tekst musi być jednomyślnie zatwierdzony i ratyfikowany przez parlamenty krajowe. | | System informacyjny Schengen II

(SIS II) |Z inicjatywy Komisji |Zapewnienie wysokiego poziomu bezpieczeństwa w przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz ułatwienie przepływu osób dzięki informacjom przekazywanym za pośrednictwem tego systemu. |Zcentralizowany: N.SIS II (jednostki krajowe) połączone za pomocą interfejsu z CS.SIS (jednostką centralną). SIS II będzie działał w oparciu o bezpieczną platformę s-TESTA. |Kategorie danych objętych SIS oraz dane o odciskach palców, fotografie, kopie europejskiego nakazu aresztowania, wpisy dotyczące osób, których tożsamość została przywłaszczona oraz odsyłacze do innych wpisów. Wpisy dokonywane w SIS II dotyczą szeregu różnych grup osób. |Organy policji, kontroli granicznej i celnej oraz sądownictwa będą miały dostęp do wszystkich danych; organy imigracyjne i placówki konsularne – do wykazu osób objętych zakazem wjazdu oraz wpisów dotyczących zaginionych i skradzionych dokumentów. Europol i Eurojust będą miały dostęp do wybranych danych. |Szczegółowe zasady ustanowione w podstawowych aktach prawnych regulujących funkcjonowanie SIS II oraz dyrektywa 95/46/WE, rozporządzenie (WE) 45/2001, decyzja ramowa Rady 2008/977/WSiSW, rozporządzenie (WE) 45/2011, konwencja nr 108 Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy) |Dane osobowe wpisywane do SIS w celu śledzenia osób mogą być przechowywane jedynie przez okres konieczny dla osiągnięcia celów, dla których zostały dostarczone, ale nie dłużej niż przez trzy lata. Dane osób objętych monitorowaniem specjalnym w związku z zagrożeniem, jakie stanowią dla bezpieczeństwa publicznego lub narodowego muszą być usuwane po upływie roku. |SIS II jest właśnie wdrażany System ten, z chwilą uruchomienia, będzie wykorzystywany w UE-27, Szwajcarii, Liechtensteinie, Norwegii i Islandii. Uczestnictwo Zjednoczonego Królestwa i Irlandii w SIS II nie będzie obejmować wpisów dotyczących obywateli państw trzecich figurujących w wykazie osób objętych zakazem wjazdu. |Co dwa lata Komisja zobowiązana jest przedstawić Parlamentowi Europejskiemu (PE) oraz Radzie okresowe sprawozdania z postępów w zakresie rozwoju SIS II oraz potencjalnego przejścia z SIS na nowy system. | | EURODAC |Z inicjatywy Komisji |Pomoc we wskazaniu państwa członkowskiego odpowiedzialnego za rozpatrzenie konkretnego wniosku azylowego. |Zcentralizowany: krajowe punkty dostępu połączone za pomocą interfejsu z centralną jednostką EURDAC. EURODAC działa oparciu o bezpieczną platformę s-TESTA. |Dane o odciskach palców, płeć, miejsce i data złożenia wniosku o azyl, numer referencyjny nadany przez państwo członkowskie oraz data pobrania odcisków palców, ich przekazania i wprowadzenia do systemu. |Każde państwo członkowskie musi podać wykaz organów, które mają dostęp do tych danych. Wykaz ten obejmuje zazwyczaj władze odpowiedzialne za udzielanie azylu oraz władze migracyjne, straż graniczną i policję. |Dyrektywa 95/46/WE. |10 lat w przypadku osób ubiegających się o azyl; 2 lata w przypadku obywateli państw trzecich zatrzymanych w związku z nielegalnym przekroczeniem granicy zewnętrznej. |Rozporządzenie EURODAC obowiązuje we wszystkich państwach członkowskich, a także w Norwegii, Szwajcarii i na Islandii. Na zawarcie czeka umowa, która umożliwi Liechtensteinowi podłączenie do systemu. |Komisja jest zobowiązana przedłożyć PE i Radzie coroczne sprawozdanie z działania jednostki centralnej EURODAC. | | Wizowy system informacyjny (VIS) |Z inicjatywy Komisji |Pomoc we wdrożeniu wspólnej polityki wizowej i zapobieganiu zagrożeniom dla bezpieczeństwa wewnętrznego. |Zcentralizowany: jednostki krajowe połączone za pomocą interfejsu z jednostką centralną. VIS będzie działać oparciu o bezpieczną platformę s-TESTA. |Dane o wnioskach o wydanie wizy, odciski palców, zdjęcia, powiązane decyzje wizowe oraz odsyłacze do powiązanych wniosków. |Organy wizowe, imigracyjne, odpowiedzialne za udzielenie azylu oraz organy kontroli granicznej będą miały dostęp do wszystkich danych. Policji i Europolowi przysługuje wgląd do VIS w celu zapobiegania poważnym przestępstwom i prowadzenia dochodzeń. |Szczegółowe zasady ustanowione w podstawowych aktach prawnych regulujących funkcjonowanie VIS oraz dyrektywa 95/46/WE, rozporządzenie (WE) 45/2001, decyzja ramowa Rady 2008/977/WSiSW, konwencja nr 108 Rady Europy, protokół dodatkowy nr 181 do konwencji Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy) |5 lat. |VIS jest obecnie wdrażany. Będzie stosowany we wszystkich państwach członkowskich (z wyjątkiem Zjednoczonego Królestwa i Irlandii), a także w Norwegii, Szwajcarii i na Islandii. |Trzy lata po uruchomieniu systemu Komisja jest zobowiązana przedstawić PE oraz Radzie sprawozdanie z działania VIS , a następnie – okresowe sprawozdania co cztery lata. | | System danych pasażera przekazywanych przed podróżą (API) |Z inicjatywy Hiszpanii. |Poprawa kontroli granic i zwalczanie nielegalnej imigracji. |Zdecentralizowany |Dane osobowe z paszportów, miejsce wejścia na pokład i punkt kontroli granicznej przy wjeździe do UE. |Organy kontroli granicznej oraz, po złożeniu wniosku, krajowe organy ścigania. |Dyrektywa 95/46/WE. |Dane należy usunąć w ciągu 24 godzin od wylądowania samolotu na terytorium UE. |Mimo że system API obowiązuje we wszystkich państwach członkowskich, wykorzystują go jedynie niektóre z nich. |Komisja dokona oceny systemu API w 2011 r. | | Konwencja neapolitańska II |Z inicjatywy państw członkowskich |Wsparcie krajowych organów celnych w zakresie zapobiegania naruszeniom krajowych przepisów celnych i wykrywania takich naruszeń, a także pomoc w ściganiu i karaniu naruszeń wspólnotowych i krajowych przepisów celnych. |Struktura zdecentralizowana; działa w oparciu o centralne jednostki koordynujące. |Wszelkie informacje dotyczące osób zidentyfikowanych, lub których identyfikacja jest możliwa. |Centralne jednostki koordynujące mogą przekazywać informacje krajowym organom celnym, organom prowadzącym dochodzenie i organom sądowym, a także, z zastrzeżeniem uprzedniej zgody państwa członkowskiego dostarczającego informacje, innym organom. |Dyrektywa 95/46/WE oraz konwencja nr 108 Rady Europy. Danym osobowym w państwie członkowskim, które je otrzymuje, zapewnia się co najmniej taki sam poziom ochrony, jak w państwie członkowskim, które je dostarcza. |Dane można przechowywać jedynie przez okres niezbędny do realizacji celów, dla których zostały dostarczone. |Konwencję neapolitańską II ratyfikowały wszystkie państwa członkowskie. |Sygnatariusze mogą proponować wprowadzenie zmian do konwencji neapolitańskiej II. Po wprowadzeniu zmian tekst musi być jednomyślnie przyjęty przez Radę i ratyfikowany przez państwa członkowskie. | | System informacji celnej (CIS) |Z inicjatywy państw członkowskich |Wsparcie uprawnionych organów w zapobieganiu poważnym naruszeniom krajowych przepisów celnych, prowadzeniu odnośnych dochodzeń oraz ściganiu tych zjawisk. |Zcentralizowany, dostęp za pomocą terminali w państwach członkowskich i w Komisji. CIS i FIDE działają w oparciu o system AFIS, wykorzystujący wspólną sieć łączności, wspólny system połączeń lub bezpieczny dostęp do Internetu zapewniony przez Komisję. |Imiona i nazwiska oraz pseudonimy, data i miejsce urodzenia, obywatelstwo, płeć, cechy fizyczne, dokumenty tożsamości, adres, ewentualne informacje, czy dana osoba w przeszłości stosowała przemoc, powód wprowadzenia danych do CIS, proponowane działanie i numery rejestracyjne środków transportu. |Dostęp do danych przysługuje krajowym organom celnym, oraz Europolowi i Eurojustowi. |Szczegółowe zasady ustanowione w konwencji CIS oraz dyrektywa 95/46/WE, rozporządzenie (WE) 45/2001, konwencja nr 108 Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy). |Dane osobowe skopiowane z CIS w celu dokonania analiz zarządzania ryzykiem lub analiz operacyjnych zatrzymuje się jedynie przez okres niezbędny do osiągnięcia celu, w którym zostały skopiowane. Okres ten nie może być dłuższy niż 10 lat. |Obowiązuje we wszystkich państwach członkowskich. |Komisja, we współpracy z państwami członkowskimi, składa PE i Radzie coroczne sprawozdanie z funkcjonowania CIS. | | Inicjatywa szwedzka |Z inicjatywy Szwecji. |Ułatwienie wymiany informacji w trakcie dochodzeń w sprawach karnych i przy operacjach wywiadowczych. |Struktura zdecentralizowana: państwa członkowskie wyznaczają krajowe punkty kontaktowe, które rozpatrują wnioski o udzielenie informacji. |Wszelkie informacje lub dane wywiadowcze dostępne organom ścigania. |Policja, służby celne i inne organy uprawnione do ścigania przestępstw (z wyjątkiem służb wywiadowczych). |Krajowe przepisy w zakresie ochrony danych oraz konwencja nr 108 Rady Europy, protokół dodatkowy nr 181 do konwencji Rady Europy i zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy). |Informacje i dane wywiadowcze udostępniane w ramach tego instrumentu mogą być wykorzystane jedynie do celów, do jakich zostały udostępnione, i na konkretnych warunkach określonych przez państwo członkowskie udostępniające dane. |12 z 31sygnatariuszy tego aktu (państw UE i EFTA) przyjęło przepisy krajowe mające na celu wdrożenie tego instrumentu; pięć wypełnia formularze wniosków o udzielenie informacji, dwa państwa często wykorzystują ten instrument w celu wymiany informacji. |W 2010 r. Komisja ma przekazać Radzie stosowne sprawozdanie z oceny. | | Decyzja z Prüm |Z inicjatywy państw członkowskich |Zapobieganie przestępczości, zwłaszcza terroryzmowi, oraz utrzymanie porządku publicznego. |Struktura zdecentralizowana, wzajemne połączenia poprzez platformę s-TESTA. Krajowe punkty kontaktowe rozpatrują przychodzące i wychodzące wnioski o porównanie danych. |Anonimowe profile DNA i odciski palców, dane rejestracyjne pojazdów oraz informacje na temat osób podejrzanych o powiązania terrorystyczne. |Wnioski przekazywane są przez punkty kontaktowe, dostęp krajowy regulowany jest przez prawo krajowe. |Szczegółowe zasady ustanowione w decyzji z Prüm, konwencja nr 108 Rady Europy, protokół dodatkowy nr 181 do konwencji Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy). Poszczególne osoby mogą zwrócić się do krajowego inspektora ochrony danych w celu wyegzekwowania swoich praw w zakresie przetwarzania danych osobowych. |Dane osobowy muszą zostać usunięte, jak tylko przestaną być niezbędne do celów, do jakich zostały udostępnione. Państwo otrzymujące dane zobowiązane jest przestrzegać maksymalnego okresu zatrzymywania danych, jaki obowiązuje w państwie je udostępniającym. |Wdrażanie decyzji z Prüm jest w toku. Dziesięć państw członkowskich jest już uprawnionych do wymiany profili DNA, pięć – wymiany odcisków palców, siedem – wymiany danych rejestracyjnych pojazdów. Do instrumentu przystąpić mają wkrótce Norwegia i Islandia. |W 2012 r. Komisja ma przekazać Radzie stosowne sprawozdanie z oceny. | | Dyrektywa w sprawie zatrzymywania danych |Z inicjatywy państw członkowskich |Wsparcie działań w zakresie dochodzenia, wykrywania i ścigania w odniesieniu do poważnej przestępczości poprzez zatrzymywanie danych o ruchu i lokalizacji połączeń. |Struktura zdecentralizowana; niniejszy instrument nakłada na dostawców usług komunikacyjnych obowiązek zatrzymywania danych. |Numery telefonów, adresy IP oraz identyfikatory sprzętu przenośnego |Na poziomie krajowym ustala się, które organy uprawnione są do dostępu do danych. |Dyrektywa 95/46/WE i dyrektywa 2002/58/WE. |Od 6 do 24 miesięcy. |Do tej pory sześć państw członkowskich nie dokonało jeszcze transpozycji tej dyrektywy; ponadto Trybunały Konstytucyjne w Niemczech i Rumunii orzekły niezgodność przepisów wykonawczych z konstytucją. |W 2010 r. Komisja ma przekazać PE i Radzie stosowne sprawozdanie z oceny. | | Europejski system przekazywania informacji z rejestrów karnych (ECRIS) |Z inicjatywy Belgii; wniosek w tej sprawie przedstawiła Komisja. |Usprawnienie transgranicznej wymiany danych z rejestrów karnych dotyczących obywateli UE. |Zdecentralizowany; wzajemne połączenia dzięki organom centralnym, które będą wymieniać informacje pochodzące z rejestrów karnych za pośrednictwem platformy s-TESTA. |Dane osobowe, informacje na temat przestępstwa i wyroku skazującego za jego popełnienie; a także informacje dodatkowe (w tym odciski palców, jeśli są dostępne). |Organy sądowe i uprawnione organy administracyjne. |Szczegółowe przepisy decyzji ramowej Rady 2009/315/WSiSW, do której włączono przepisy decyzji Rady 2005/876/WSiSW, oraz decyzja ramowa Rady 2008/977/WSiSW, konwencja nr 108 Rady Europy i rozporządzenie (WE) nr 45/2001. |Jako że niniejszy instrument reguluje wyłącznie wymianę danych, zastosowanie mają krajowe przepisy dotyczące zatrzymywania danych. |ECRIS jest w trakcie wdrażania. Dziewięć państw członkowskich zaczęło już wymieniać dane w drodze elektronicznej. |Komisja powinna przekazać Radzie dwa sprawozdanie z oceny: w 2011 r. sprawozdanie dotyczące decyzji ramowej 2008/675/WSiSW, a w 2015 r. – decyzji ramowej 2009/315/WSiSW. Począwszy od 2016 r. Komisja będzie zobowiązana publikować regularne sprawozdania dotyczące funkcjonowania decyzji Rady 2009/316/WSiSW (ECRIS). | | Współpraca między jednostkami analityki finansowej (FIU.net) |Z inicjatywy Niderlandów. |Wymiana informacji potrzebnych do działań analitycznych i dochodzeniowych w sprawach dotyczących prania pieniędzy oraz finansowania terroryzmu. |Struktura zdecentralizowana. Poszczególne jednostki analityki finansowej będą wymieniać dane za pomocą sieci FIU.net, działającej w oparciu o platformę s-TESTA. Działanie FIU.net może zostać wkrótce wzmocnione dzięki należącej do Europolu aplikacji SIENA. |Wszelkie dane istotne dla działań analitycznych i dochodzeniowych w sprawach dotyczących prania pieniędzy i finansowania terroryzmu. |Jednostki analityki finansowej (w ramach policji, organów sądowych lub organów administracyjnych podległym organom finansowym). |Decyzja ramowa Rady 2008/977/WSiSW, konwencja nr 108 Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy). |Jako że niniejszy instrument reguluje wyłącznie wymianę danych, zastosowanie mają krajowe przepisy dotyczące zatrzymywania danych. |Dwadzieścia państw członkowskich korzysta z FIU.net, aplikacji służącej do wymiany danych online, działającej w oparciu o platformę s-TESTA. |W ramach swojego planu działania w zakresie usług finansowych Komisja dokonuje przeglądu wykonania dyrektywy 2005/60/WE od 2009 r. | | Współpraca między biurami ds. odzyskiwania mienia (ARO) |Z inicjatywy państw członkowskich |Wymiana informacji niezbędnych do wykrywania i identyfikacji korzyści pochodzących z przestępstw. |Struktura zdecentralizowana; przy wymianie informacji biura ARO będą korzystać z inicjatywy szwedzkiej. Współpraca ARO może zostać wkrótce wzmocnione dzięki należącej do Europolu aplikacji SIENA. |Szczegóły dotyczące poszukiwanego mienia, takie jak rachunki bankowe, nieruchomości i pojazdy, a także dane poszukiwanych osób, w tym imion i nazwisk, adresów, informacje na temat udziałowców lub spółek. |Biura ds. odzyskiwania mienia. |Konwencja nr 108 Rady Europy, protokół dodatkowy nr 181 do konwencji Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy). |Jako że niniejszy instrument reguluje wyłącznie wymianę danych, zastosowanie mają krajowe przepisy dotyczące zatrzymywania danych. |Ponad dwadzieścia państw członkowskich utworzyło biura ds. odzyskiwania mienia; dwanaście uczestniczy w projekcie pilotażowym z wykorzystaniem należącej do Europolu aplikacji SIENA w celu wymiany danych potrzebnych do śledzenia mienia. |W 2010 r. Komisja ma przekazać Radzie stosowne sprawozdanie z oceny. | | Krajowe i unijne platformy walki z cyberprzestępczością |Z inicjatywy Francji. |Gromadzenie, wymiana i analiza danych dotyczących przestępstw popełnianych w Internecie. |System zdecentralizowany, obejmujący krajowe platformy ostrzegania przed przestępstwami oraz unijną platformę Europolu do walki z cyberprzestępczością. Wymiana danych pomiędzy poszczególnymi platformami może zostać wkrótce wzmocniona dzięki należącej do Europolu aplikacji SIENA. |Informacje o niezgodnych z prawem treściach lub zachowaniach wykrytych w Internecie. |Platformy krajowe uzyskują informacje dzięki doniesieniom obywateli; unijna platforma Europolu do walki z cyberprzestępczością otrzymuje sprawozdania na temat poważnych przypadków transgranicznej cyberprzestępczości od organów ścigania. |Szczegółowe zasady ustanowione w decyzji o Europolu oraz decyzja ramowa Rady 2008/977/WSiSW, konwencja nr 108 Rady Europy, protokół dodatkowy nr 181 do konwencji Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy), rozporządzenie (WE) 45/2001. |Jako że niniejszy środek reguluje wyłączenie wymianę informacji, zastosowanie mają krajowe przepisy dotyczące zatrzymywania danych. |Niemal wszystkie państwa członkowskie utworzyły krajowe platformy ostrzegania; Europol prowadzi prace nad unijną platformą walki z cyberprzestępczością. |Europol obejmuje swoimi działaniami cyberprzestępczość a w przyszłości będzie informować o funkcjonowaniu unijnej platformy walki z cyberprzestępczością w corocznym sprawozdaniu przekazywanym Radzie w celu zatwierdzenia i Parlamentowi Europejskiemu do wiadomości. | | Europol |Z inicjatywy państw członkowskich |Wsparcie państw członkowskich w zakresie zapobiegania przestępczości zorganizowanej, terroryzmowi i innym formom poważnej przestępczości, które dotyczą co najmniej dwóch państw członkowskich, oraz zwalczanie tych zjawisk. |Europol jest unijną agencją z siedzibą w Hadze. Pracuje nad własną aplikacją sieci bezpiecznej wymiany informacji, SIENA. |W systemie informacyjnym Europolu (EIS) znajdują się dane osobowe, w tym identyfikatory biomedyczne, informacje o wyrokach skazujących i powiązaniach z przestępczością zorganizowaną, dotyczące osób podejrzanych o popełnienie przestępstw objętych mandatem Europolu. Pliki robocze do celów analizy (AWF) zawierają wszelkie istotne dane osobowe. |Dostęp do EIS mają jednostki krajowe Europolu, oficerowie łącznikowi, upoważnieni pracownicy Europolu oraz dyrektor. Dostęp do plików roboczych do celów analizy (AWF) mają oficerowie łącznikowi. Dane osobowe podlegają wymianie z państwami trzecimi, posiadającymi odpowiednie umowy z Europolem. |Szczegółowe zasady ustanowione w decyzji o Europolu oraz decyzja ramowa Rady 2008/977/WSiSW, konwencja nr 108 Rady Europy, protokół dodatkowy 181 do konwencji Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy), rozporządzenie (WE) 45/2001. |Pliki robocze do celów analizy mogą być zatrzymywane na okres co najwyżej trzech lat, z możliwością przedłużenia na kolejne trzy lata. |Wszystkie państwa członkowskie aktywnie korzystają ze wsparcia Europolu, jak również państwa trzecie, które zwarły z Europolem umowy operacyjne Wszystkie państwa członkowskie wdrożyły nową podstawę prawną Europolu. |Wspólny organ nadzorczy monitoruje przetwarzanie danych osobowych przez Europol, a także przekazywanie przez Europol danych osobowych innym osobom. Przekłada on regularne sprawozdania PE i Radzie. Europol przedkłada Radzie (w celu zatwierdzenia) i PE (do wiadomości) roczne sprawozdanie ze swojej działalności. | | Eurojust |Z inicjatywy państw członkowskich |Poprawa koordynacji dochodzenia i ścigania przestępstw w państwach członkowskich oraz zacieśnienie współpracy między właściwymi organami państwowymi. |Eurojust jest unijnym organem z siedzibą w Hadze. Do wymiany danych wykorzystuje platformę s-TESTA. |Dane podejrzanych i przestępców w przypadku poważnych przestępstw dotyczących dwu lub więcej państw członkowskich, w tym dane osobowe, dane teleadresowe, profile DNA, odciski palców, a także dane o ruchu telekomunikacyjnym i lokalizacji połączeń. |27 przedstawicieli krajowych Eurojustu może wymieniać informacje z organami krajowymi i państwami trzecimi, o ile udostępniający dane (źródło informacji) wyrazi na to zgodę. |Szczegółowe zasady ustanowione w decyzji w sprawie Eurojustu oraz decyzja ramowa Rady 2008/977/WSiSW, konwencja nr 108 Rady Europy, protokół dodatkowy nr 181 do konwencji Rady Europy oraz zalecenie nr R (87) 15 w sprawie wykorzystania danych osobowych przez policję (dokument Rady Europy). |Przekazane informacje należy usunąć niezwłocznie po osiągnięciu celu, któremu miały służyć i po zamknięciu sprawy. |Wdrażanie przez państwa członkowskie zmienionej podstawy prawnej Eurojustu jest w toku. |Do czerwca 2014 r. Komisja powinna dokonać przeglądu wymiany danych pomiędzy krajowymi przedstawicielami Eurojustu. Do czerwca 2013 r. Eurojust ma przekazać Radzie i Komisji sprawozdanie dotyczące zapewniania dostępu, na poziomie krajowym, do swojego systemu zarządzania sprawami. Wspólny organ nadzorczy monitoruje przetwarzanie danych osobowych przez Eurojust i przekłada Radzie coroczne sprawozdania. Przewodniczący Kolegium Eurojustu przedkłada Radzie roczne sprawozdanie z działalności Eurojustu, które Rada przekazuje PE. | | Umowy w sprawie danych PNR ze Stanami Zjednoczonymi i Australią, umowa w sprawie danych API/PNR z Kanadą |Z inicjatywy Komisji |Zapobieganie terroryzmowi i innym formom poważnej przestępczości transgranicznej oraz ich zwalczanie. |Umowy międzynarodowe. |Umowa ze Stanami Zjednoczonymi i umowa z Australią zawierają 19 kategorii danych PNR, obejmujących dane biograficzne, dane dotyczące rezerwacji i płatności, a także informacje dodatkowe; umowa z Kanadą obejmuje 25 podobnych kategorii danych. |Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Agencja Służb Granicznych Kanady oraz australijskie służby celne mogą wymieniać dane z krajowym organami ścigania i odpowiedzialnymi za zwalczanie terroryzmu. |Zasady dotyczące ochrony danych określono w odrębnych porozumieniach międzynarodowych. |Stany Zjednoczone: siedem lat w aktywnych bazach danych, kolejne osiem lat w archiwalnych bazach danych; Australia: 3,5 roku w aktywnych bazach danych, kolejne 2 lata w archiwalnych bazach danych; Kanada: 72 godziny w aktywnych bazach danych i 3,5 roku dostępu pasywnego. |Umowy ze Stanami Zjednoczonymi i Australia stosowane są tymczasowo; umowa z Kanadą jest w mocy. Komisja będzie ponownie negocjowała wspomniane umowy. Sześć państw członkowskich wprowadziło przepisy umożliwiające użycie danych PNR do celów egzekwowania prawa. |W każdej z umów przewidziano przeprowadzanie ich okresowych przeglądów, zaś w umowach zawartych z Kanadą i Australią zawarto klauzule umożliwiające ich wypowiedzenie. | | Umowa UE-USA w sprawie TFTP |Z inicjatywy Komisji |Zapobieganie terroryzmowi i finansowaniu terroryzmu, prowadzenie odnośnych dochodzeń oraz wykrywanie lub ściganie tych zjawisk. |Umowa międzynarodowa. |Dane z komunikatów finansowych, zawierające m.in. imię i nazwisko, numer rachunku, adres, numer identyfikacyjny inicjatora i adresatów transakcji finansowych. |Departament Skarbu Stanów Zjednoczonych może udostępniać dane osobowe pochodzące z komunikatów finansowych amerykańskim organom ścigania oraz organom odpowiedzialnym za bezpieczeństwo publiczne i zwalczenie terroryzmu, a także państwom członkowskim, Europolowi lub Eurojustowi. Dalsze przekazanie danych państwom trzecim uzależnione jest od udzielenia zgody przez państwo członkowskie. |Umowa zawiera rygorystyczne klauzule dotyczące zasady proporcjonalności oraz celowości. |Dane osobowe wyodrębnione z komunikatów finansowych mogą być przechowywane nie dłużej niż to konieczne do celów poszczególnych dochodzeń lub postępowań przygotowawczych; dane, których nie wyodrębniono mogą być przechowywane jedynie przez 5 lat. |Parlament Europejski wyraził zgodę na zawarcie umowy UE-USA w sprawie TFTP w dniu 8 lipca 2010 r. Rada ma obecnie przyjąć decyzję w sprawie zawarcia wspomnianej umowy, w wyniku czego miałaby ona wejść w życie w drodze wymiany listów między stronami |Komisja zobowiązana jest dokonać przeglądu umowy po sześciu miesiącach od jej wejścia w życie. Należy przedłożyć stosowne sprawozdanie z oceny PE i Radzie. | |

[1] W chwili obecnej nie ma zharmonizowanej unijnej definicji „poważnej przestępczości”. Na przykład w decyzji Rady upoważniającej Europol do przeglądania VIS (decyzja Rady 2008/633/WSiSW, Dz.U. L 218 z 13.8.2008, s. 129) „poważną przestępczość” zdefiniowano poprzez odniesienie do przestępstw wymienionych w europejskim nakazie aresztowania (decyzja Rady 2002/584/WSiSW, Dz.U. L 190 z 18.7.2002, s. 1). Dyrektywa w sprawie zatrzymywania danych (dyrektywa 2002/58/WE, Dz.U. L 105 z 13.4.2006, s. 54) pozostawia w gestii państw członkowskich zdefiniowanie „poważnej przestępczości”. Decyzja o Europolu (decyzja Rady 2009/371/WSiSW, Dz.U. L 121 z 15.5.2009, s. 37) zawiera inny wykaz przestępstw zdefiniowanych jako wchodzące w zakres „poważnej przestępczości”. Wykaz ten jest bardzo podobny do wykazu przewidzianego przez europejski nakaz aresztowania, ale nie jest z nim tożsamy.

[2] Rezolucja Parlamentu Europejskiego P7 TA-PROV(2010)0279 z 8.7.2010.

[3] W odróżnieniu od poważnej przestępczości, „przestępstwa terrorystyczne” zostały jasno zdefiniowane w decyzji ramowej Rady w sprawie zwalczania terroryzmu (decyzja ramowa Rady 2002/475/WSiSW, Dz.U. L 164 z 22.6.2002, s. 3, zmieniona decyzją ramową Rady 2008/919/WSiSW, Dz.U. L 330 z 9.12.2008, s. 21).

[4] Konkluzje Rady na temat strategii zarządzania informacjami do celów ochrony bezpieczeństwa wewnętrznego UE, Rada ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych, 30.11.2009 (strategia UE w zakresie zarządzania informacjami); „Wolność, bezpieczeństwo, prywatność – europejskie sprawy wewnętrzne w otwartym świecie” – sprawozdanie nieformalnej grupy doradczej wysokiego szczebla ds. przyszłości europejskiej polityki spraw wewnętrznych (tzw. grupy ds. przyszłości), czerwiec 2008 r.

[5] Program sztokholmski – otwarta i bezpieczna Europa dla dobra i ochrony obywateli, dokument Rady 5731/10 z 3.3.2010, sekcja 4.2.2.

[6] COM(2010) 252 z 26.5.2010.

[7] COM(2010)171 z 20.4.2010 (Plan działań służący realizacji programu sztokholmskiego).

[8] W poprzednim trzecim filarze Unii Europejskiej dotyczącym współpracy policyjnej i wymiarów sprawiedliwości w sprawach karnych prawo inicjatywy ustawodawczej przysługiwało państwom członkowskim i Komisji. Na mocy Traktatu Amsterdamskiego do (pierwszego) filaru wspólnotowego przeniesiono dziedziny dotyczące kontroli granic zewnętrznych, polityki wizowej, azylowej i imigracyjnej. Wyłączna inicjatywa ustawodawcza.w tym zakresie przysługiwała Komisji. Traktat z Lizbony wyeliminował filarową strukturę Unii Europejskiej, potwierdzając prawo inicjatywy Komisji. W dziedzinie współpracy policyjnej i wymiarów sprawiedliwości w sprawach karnych (w tym współpracy administracyjnej) inicjatywa ustawodawcza nadal przysługuje jednej czwartej państw członkowskich.

[9] Konwencja wykonawcza do układu z Schengen z dnia 14 czerwca 1985 r. między Rządami Państw Unii Gospodarczej Beneluksu, Republiki Federalnej Niemiec oraz Republiki Francuskiej w sprawie stopniowego znoszenia kontroli na wspólnych granicach, Dz.U. L 239 z 22.9.2000, s. 19.

[10] Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy); zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[11] SIRENE jest akronimem angielskiej nazwy Supplementary Information Request at the National Entry (czyli „wniosek o informacje uzupełniające na wejściach krajowych ”).

[12] Dokument Rady 5441/08 z 30.1.2008; dokument Rady 6162/10 z 5.2.2010.

[13] Rozporządzenie (WE) nr 1986/2006, Dz.U. L 381 z 28.12.2006, s. 1; rozporządzenie (WE) nr 1987/2006, Dz.U. L 381 z 28.12.2006, s. 4; decyzja 2007/533/WSiSW, Dz.U. L 205 z 7.8.2007, s. 63.

[14] Rozporządzenie (WE) nr 1987/2006, Dz.U. L 381 z 28.12.2006, s. 4; decyzja 2007/533/WSiSW, Dz.U. L 205 z 7.8.2007, s. 63; dyrektywa 95/46/WE, Dz.U. L 281 z 23.11.1995, s. 31; rozporządzenie (WE) nr 45/2001, Dz.U. L 8 z 12.1.2001, s. 1; Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 (konwencja nr 108 Rady Europy); zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[15] S-TESTA, czyli bezpieczne ogolnoeuropejskie usługi telematyczne między administracjami, to finansowana przez Komisję sieć teleinformatyczna umożliwiająca bezpieczną i zaszyfrowaną wymianę informacji między administracjami krajowymi, instytucjami UE, agencjami i organami.

[16] Uczestnictwo Zjednoczonego Krolestwa i Irlandii w SIS II nie będzie obejmować wpisów dotyczących obywateli państw trzecich figurujacych w wykazie osób objętych zakazem wjazdu.

[17] Rozporządzenie Rady (WE) nr 1104/2008, Dz.U. L 299 z 8.11.2008, s. 1; decyzja Rady 2008/839/WSiSW, Dz.U. L 299 z 8.11.2008, s. 43.

[18] Rozporządzenie Rady (WE) nr 343/2003, Dz.U. L 50 z 25.2.2003, s. 1 (rozporządzenie dublińskie), rozporządzenie Rady (WE) 2725/2000, Dz.U. L 316 z 15.12.2000, s. 1 (rozporządzenie EURODAC). Instrumenty te powstały w oparciu o konwencję dublińską z 1990 r. (Dz.U. 254 z 19.8.1997, s. 1), w której po raz pierwszy podjęto próbę określenia, które państwo członkowskie jest odpowiedzialne za rozpatrywanie wniosków azylowych. System rozpatrywania wniosków azylowych znany jest pod nazwą „systemu dublińskiego”.

[19] Dyrektywa 95/46/WE, Dz.U. L 281 z 23.11.1995, s. 31.

[20] Nadzwyczajne posiedzenie Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych w dniu 20.9.2001 r.

[21] Decyzja Komisji 2004/512/WE (Dz.U. L 213 z 15.6.2004, s. 5); rozporządzenie (WE) nr 767/2008, Dz.U. L 218 z 13.8.2008, s. 60; decyzja Rady 2008/633/WSiSW, Dz.U. L 218 z 13.8.2008, s. 129. Zob. także: deklaracja w sprawie zwalczania terroryzmu, Rada Europejska, 25.3.2004 r.

[22] Decyzja Rady 2008/633/WSiSW, Dz.U. L 218 z 13.8.2008, s. 129.

[23] Rozporządzenie (WE) nr 767/2008, Dz.U. L 218 z 13.8.2008, s. 60; decyzja Rady 2008/633/WSiSW, Dz.U. L 218 z 13.8.2008, s. 129; dyrektywa 95/46/WE, Dz.U. L 281 z 23.11.1995, s. 31; rozporządzenie (WE) nr 45/2001, Dz.U. L 8 z 12.1.2001, s. 1; decyzja ramowa Rady 2008/977/WSiSW, Dz.U. L 350 z 30.12.2008, s. 60; Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy). Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, dotyczący organów nadzorczych i transgranicznych przepływów danych (ETS nr 181), Rada Europy, 8.11.2001 r. (protokół dodatkowy nr 181); zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[24] Dyrektywa Rady 2004/82/WE (Dz.U. L 261 z 6.8.2004, s. 24).

[25] Dyrektywa 95/46/WE, Dz.U. L 281 z 23.11.1995, s. 31.

[26] Rozporządzenie Rady (EWG) 2913/92, Dz.U. L 302 z 19.10.2992.

[27] Rozporządzenie Rady (WE) nr 515/97 z dnia 13 marca 1997 w sprawie wzajemnej pomocy między organami administracyjnymi państw członkowskich i współpracy między państwami czlonkowskimi a Komisją w celu zapewnienia prawidłowego stosowania przepisów prawa celnego i rolnego, Dz.U. L 82 z 22.3.1997, s. 1, zmienione rozporządzeniem (WE) nr 766/2008, Dz.U. L 218 z 13.8.2008, s. 48.

[28] Konwencja sporządzona na podstawie art. K.3 Traktatu o Unii Europejskiej w sprawie pomocy wzajemnej i współpracy między administracjami celnymi, Dz.U. C 24/2 z 23.1.1998 (konwencja neapolitańska II).

[29] Dyrektywa 95/46/WE, Dz.U. L 281 z 23.11.1995, s. 31; Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 (konwencja nr 108 Rady Europy).

[30] Konwencja sporządzona na podstawie art. K.3 Traktatu o Unii Europejskiej w sprawie wykorzystania technologii informatycznych do celów odpraw celnych, Dz.U. C 316 z 27.11.1995, s. 34, zmieniona decyzją Rady 2009/917/WSiSW, Dz.U. L 323 z 10.12.2009, s. 20.

[31] Od maja 2011 r., na podstawie decyzji Rady 2009/917/WSiSW (Dz.U. L 323 z 10.12.2009, s. 20), Europolowi i Eurojustowi przysługuje możliwość czytania zapisów w CIS.

[32] Konwencja sporządzona na podstawie art. K.3 Traktatu o Unii Europejskiej w sprawie wykorzystania technologii informatycznych do celów odpraw celnych, Dz.U. C 316 z 27.11.1995, s. 34, zmieniona decyzją Rady 2009/917/WSiSW, Dz.U. L 323 z 10.12.2009, s. 20; dyrektywa 95/46/WE, Dz.U. L 281 z 23.11.1995, s. 31; rozporządzenie (WE) nr 45/2001, Dz.U. L 8 z 12.1.2001, s. 1; Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 (konwencja nr 108 Rady Europy). zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[33] Akronim FIDE oznacza Fichier d’Identification des Dossiers d’Enquêtes douanières i wywodzi się z rozporządzenia Rady (WE) nr 766/2008 i Protokołu sporządzonego zgodnie z art. 34 Traktatu o Unii Europejskiej, zmieniającego, w zakresie utworzenia bazy danych rejestru celnego dla celów identyfikacyjnych, konwencję o wykorzystaniu technologii informatycznej do potrzeb celnych, Dz.U. C 139 z 13.6.2003, s. 1.

[34] COM(2005) 490 z 12.10.2005; Konkluzje prezydencji – program haski, 4/5.11.2004. Zob. także deklaracja w sprawie zwalczania terroryzmu, Rada Europejska, 25.3.2004 r.

[35] Decyzja ramowa Rady 2006/960/WSiSW, Dz.U. L 386 z 29.12.2006, s. 89.

[36] Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy); Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, dotyczący organów nadzorczych i transgranicznych przepływów danych (ETS nr 181), Rada Europy, 8.11.2001 r. (protokół dodatkowy nr 181); zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[37] Niniejsze informacje oparte są na analizie odpowiedzi na kwestionariusz, której podsumowanie przedstawiła hiszpańska prezydencja UE podczas posiedzenia doraźnej grupy roboczej Rady ds. wymiany informacji w dniu 22 czerwca 2010 r.

[38] Decyzja Komisji 2008/615/WSiSW, Dz.U. L 210 z 6.8.2008, s. 1; decyzja Rady 2008/616/WSiSW, Dz.U. L 210 z 6.8.2008, s. 12.

[39] Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy); Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, dotyczący organów nadzorczych i transgranicznych przepływów danych (ETS nr 181), Rada Europy, 8.11.2001 r. (protokół dodatkowy nr 181); zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[40] Do chwili obecnej dziesięć państw członkowskich uzyskało zezwolenie na rozpoczęcie zautomatyzowanej wymiany profili DNA, pięć uzyskało stosowne zezwolenie w odniesieniu do odcisków palców, a siedem w odniesieniu do danych rejestracyjnych pojazdów. Niemcy, Austria, Hiszpania i Niderlandy przekazały Komisji niepełne dane statystyczne dotyczące korzystania z tego instrumentu.

[41] Dyrektywa 2006/24/WE, Dz.U. L 105 z 13.4.2006, s. 54.

[42] Dyrektywa 95/46/WE, Dz.U. L 281 z 23.11.1995, s. 31; dyrektywa 2002/58/WE, Dz.U. L 201 z 31.7.2002, s. 37 (dyrektywa o prywatności i łączności elektronicznej).

[43] Orzeczenie niemieckiego Trybunału Konstytucyjnego, Bundesverfassunggericht 1 BvR 256/08 z 11.3.2008.

[44] Orzeczenie nr 1258 rumuńskiego Trybunału Konstytucyjnego z 8.10.2009 r.

[45] Europejska konwencja o pomocy prawnej w sprawach karnych (ETS nr 30), Rada Europy, 20.4.1985 r. Zob. również COM(2005) 10 z 25.1.2005.

[46] Decyzja Rady 2005/876/WSiSW, Dz.U. L 322 z 9.12.2005, s. 33.

[47] Decyzja ramowa Rady 2008/675/WSiSW, Dz.U. L 220 z 15.8.2008, s. 32; decyzja ramowa Rady 2009/315/WSiSW, Dz.U. L 93 z 7.4.2009, s. 23; decyzja Rady 2009/316/WSiSW, Dz.U. L 93 z 7.4.2009, s. 33. Zob. także COM(2005) 10 z 25.1.2005.

[48] Decyzja ramowa Rady 2009/315/WSiSW, Dz.U. L 93 z 7.4.2009, s. 23; decyzja Rady 2005/876/WSiSW, Dz.U. L 322 z 9.12.2005, s. 33; decyzja ramowa Rady 2008/977/WSiSW, Dz.U. L 350 z 30.12.2008, s. 60; Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy).

[49] Rozporządzenie (WE) nr 45/2001, Dz.U. L 8 z 12.1.2001, s. 1.

[50] Decyzja Rady 2000/642/WSiSW, Dz.U. L 271 z 24.10.2000, s. 4.

[51] Decyzja ramowa Rady 2008/977/WSiSW, Dz.U. L 350 z 30.12.2008, s. 60; Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy); zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[52] http://www.fiu.net/

[53] Akronim SIENA oznacza aplikację sieci bezpiecznej wymiany informacji.

[54] Dyrektywa 2005/60/WE, Dz.U. L 309 z 25.11.2005, s. 15 (trzecia dyrektywa w sprawie przeciwdziałania praniu pieniędzy).

[55] Zob. na przykład Evaluation of the economic impacts of the Financial Services Action Plan — Final report („Ocena wpływu gospodarczego planu działania w zakresie usług finansowych – sprawozdanie końcowe”) (DG MARKT dla Komisji Europejskiej), CRA International, marzec 2009 r.

[56] Decyzja Rady 2007/845/WSiSW, Dz.U. L 332 z 18.12.2007, s. 103.

[57] Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy); Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, dotyczący organów nadzorczych i transgranicznych przepływów danych (ETS nr 181), Rada Europy, 8.11.2001 r. (protokół dodatkowy nr 181); zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[58] Konkluzje Rady w sprawie tworzenia krajowych platform ostrzeżeń i europejskiej platformy ostrzeżeń o przestępstwach zauważonych w Internecie, Rada ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych, 24.10.2008 r.; konkluzje Rady na temat planu wdrażania zorganizowanej strategii walki z przestępczością, Rada ds. Spraw Ogólnych, 26.4.2010 r. Europol zmienił nazwę projektu na: „europejska platforma walki z cybeprzestępczością”.

[59] Celem Europolu jest zapobieganie przestępczości zorganizowanej, terroryzmowi i innym formom poważnej przestępczości, które dotyczą co najmniej dwóch państw członkowskich, oraz zwalczanie tych zjawisk. Zob. decyzja Rady 2009/371/WSiSW, Dz.U. L 121 z 15.5.2009, s. 37.

[60] Decyzja Komisji 2009/371/WSiSW, Dz.U. L 121 z 15.5.2009, s. 37; rozporządzenie (WE) nr 45/2001, Dz.U. L 8 z 12.1.2001, s. 1; Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy); Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, dotyczący organów nadzorczych i transgranicznych przepływów danych (ETS nr 181), Rada Europy, 8.11.2001 r. (protokół dodatkowy nr 181); zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[61] Decyzja ramowa Rady 2008/977/WSiSW, Dz.U. L 350 z 30.12.2008, s. 60.

[62] Decyzja Rady 2009/371/WSiSW, Dz.U. L 121 z 15.5.2009, s. 37, zastępująca opartą na art. K.3 Traktatu o Unii Europejskiej Konwencję w sprawie ustanowienia Europejskiego Urzędu Policj,. Dz.U. C 316 z 27.11.1995, s. 2.

[63] Decyzja Rady 2009/371/WSiSW, Dz.U. L 121 z 15.5.2009, s. 37; rozporządzenie (WE) nr 45/2001, Dz.U. L 8 z 12.1.2001, s. 1; Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108), Rada Europy, 28.1.1981 r. (konwencja nr 108 Rady Europy); Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, dotyczący organów nadzorczych i transgranicznych przepływów danych (ETS nr 181), Rada Europy, 8.11.2001 r. (protokół dodatkowy nr 181).; zalecenie nr R (87) 15 Komitetu Ministrów regulujące wykorzystanie danych osobowych przez policję, Rada Europy, 17.9.1987 r. (zalecenie w sprawie wykorzystania danych osobowych przez policję).

[64] Decyzja ramowa Rady 2008/977/WSiSW, Dz.U. L 350 z 30.12.2008, s. 60.

[65] Decyzja Rady 2002/187/WSiSW, Dz.U. L 63 z 6.3.2002, s. 1, zmieniona decyzją Rady 2009/426/WSiSW, Dz.U. L 138 z 4.6.2009, s. 14. Zob. także nadzwyczajne posiedzenie Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych w dniu 20.9.2001 r.

[66] Decyzja ramowa Rady 2008/977/WSiSW, Dz.U. L 350 z 30.12.2008 r., s. 60.

[67] Dyrektywa 95/46/WE (dyrektywa o ochronie danych), Dz.U. L 281 z 23.11.1995, s. 31.

[68] Pakiet kanadyjski składa się ze zobowiązania kanadyjskiego dotyczącego posługiwania się danymi API/PNR, decyzji Komisji o odpowiedniej ochronie danych osobowych w Kanadzie oraz umowy miedzynarodowej (zob. Dz.U. L 91 z 29.3.2006, s. 49; Dz.U. L 82 z 21.3.2006 r., s. 14). Teskt umowy ze Stanami Zjednoczonymi znajduje się w Dz.U. L 204 z 4.8.2007, s. 16, natomiast tekst umowy z Australią w Dz.U. L 213 z 8.8.2008, s. 47.

[69] W 2009 r. Kanada zobowiązała się wobec Komisji, prezydencji Rady i państw czlonkowskich UE, że będzie stosować swoje wcześniejsze zobowiązanie z 2005 r. dotyczące korzystania z unijnych danych PNR. Decyzja o odpowiedniej ochronie danych osobowych wydana przez Komisję opierała się na tym wcześniejszym zobowiązaniu.

[70] Rezolucja Parlamentu Europejskiego, P7_TA(2010)0144 z 5.5.2010.

[71] Rezolucja Parlamentu Europejskiego, P7_TA(2010)0029 z 11.2.2010.

[72] COM(2010) 316 wersja ostateczna/2 z 18.6.2010.

[73] Rezolucja Parlamentu Europejskiego, P7_TA-PROV(2010)0279 z 8.7.2010.

[74] Program sztokholmski – otwarta i bezpieczna Europa dla dobra i ochrony obywateli, dokument Rady 5731/10 z 3.3.2010; COM(2010)171 z 20.4.2010 (Plan działań służący realizacji programu sztokholmskiego).

[75] COM(2007) 654 z 6.11.2007.

[76] COM (2008) 69 z 13.2.2008.

[77] COM (2008) 69 z 13.2.2008.

[78] Dokument Rady 11222/1/10 REV 1 z 24.6.2010; dokument Rady 11222/1/10 REV1 COR1 z 24.6.2010.

[79] COM (2008) 69 z 13.2.2008.

[80] Zob. dokument Rady 15526/1/09 z 2.12.2009.

[81] COM (2010) 93 z 19.3.2010.

[82] Do decyzji z Prüm (decyzja Rady 2008/615/WSiSW, Dz.U. L 210 z 6.8.2008, s. 1) wydano decyzję wykonawczą (decyzja Rady 2008/616/WSiSW, Dz.U. L 210 z 6.8.2008, s. 12), która ma na celu zagwarantowanie wykorzystania najnowocześniejszych środków technicznych w celu zapewnienia ochrony i bezpieczeństwa danych, a także procedur dotyczących szyfrowania i autoryzacji do celów uzyskania dostępu do tych danych, i zawiera przepisy regulujące dopuszczalność przeszukań.

[83] Karta praw podstawowych Unii Europejskiej, Dz.U. C 83 z 30.3.2010 r., s. 389.

[84] Wersje skonsolidowane Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dz.U. C 83 z 30.3.2010, s. 1.

[85] Pełna definicja terminu „poszanowanie prywatności od samego początku” znajduje się w opinii Europejskiego Inspektora Ochrony Danych w sprawie promowania zaufania w społeczeństwie informacyjnym poprzez promowanie ochrony danych i prywatności, Europejski Inspektor Ochrony Danych, 18.3.2010 r.

[86] Zob. art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności (ETS nr 5), Rada Europy, 4.11.1950 r.

[87] Zob. orzeczenie Europejskiego Trybunału Praw Człowieka Marper przeciwko Zjednoczonemu Królestwu , Strasburg, 4.12.2008 r.

[88] Podstawowe zasady przeprowadzania ocen skutków wskazano w wydanych przez Komisję wytycznych dotyczących oceny skutków regulacji (SEC(2009)92 z 15.1.2009).

[89] Do praktycznych przykładów sprawnego zarządzania ryzykiem należy uniemożliwienie osobie wydalonej, która popełniła poważne przestępstwo w jednym z państw członkowskich, ponownego wjazdu do strefy Schengen przez inne państwo członkowskie (SIS) lub uniemożliwienie danej osobie ubiegania się o azyl w kilku państwach członkowskich (EURODAC).

[90] Zasady te bazują na konkluzjach Rady w sprawie strategii w zakresie zarządzania informacjami z dziedziny bezpieczeństwa wewnętrznego UE, Rada ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych, 30.11.2009.

[91] Zasady ogólne i standardy minimalne dotyczące konsultacji społecznych znajdują się w COM(2002)704 z 11.12.2002.

[92] Konkluzje Rady w sprawie strategii w zakresie zarządzania informacjami z dziedziny bezpieczeństwa wewnętrznego UE, Rada ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych, 30.11.2009 r. (strategia UE w zakresie zarządzania informacjami).

[93] Program sztokholmski – otwarta i bezpieczna Europa dla dobra i ochrony obywateli, dokument Rady 5731/10 z 3.3.2010, sekcja 4.2.2.

[94] Zgodnie z planem działań służącym realizacji programu sztokholmskiego (COM(2010)171 z 20.4.2010).

[95] Badanie to jest prowadzone w ścisłej współpracy z zespołem projektowym ds. lokalizacji i przyporządkowania informacji (ang. information mapping ), składającym się z przedstawicieli państw członkowskich UE i EFTA, Europolu, Eurojustu, Frontexu i Europejskiego Inspektora Ochrony Danych.

[96] Dokument Rady 6162/10 z 5.2.2010; dokument Rady 5764/09 z 28.1.2009; dokument Rady 5441/08 z 30.1.2008.

[97] COM(2009)494 z 25.9.2009. Kategoria „Trafienia w ramach tego samego państwa” obejmuje ponowne wnioski azylowe złożone w tym samym państwie członkowskim, w którym złożono poprzedni wniosek.

[98] Agencja ochrony granic Zjednoczonego Królestwa przekazała Komisji powyższe informacje do celów niniejszego komunikatu.

[99] Informacja udostępniona przez Komisję.

[100] Policja jednego z państw członkowskich przekazała Komisji powyższe informacje do celów niniejszego komunikatu.

[101] Odpowiedź rządu niemieckiego na zapytanie posłów Ulli Jelpke, Inge Höger i Jana Kortego (nr referencyjny 16/14120), Bundestag, 16 posiedzenie, nr ref. 16/14150 z 22.10.2009. Powyższe dane odnoszą się do okresu od momentu rozpoczęcia wymiany danych między państwami członkowskimi a Niemcami do dnia 30 września 2009 r.

[102] Anonimowe przykłady opierają się na odpowiedziach państw członkowskich udzielonych w 2009 r. na kwestionariusz Komisji dotyczący transpozycji dyrektywy 2006/24/WE (dyrektywy w sprawie zatrzymywania danych).

[103] Biuro FIU.net udostępniło Komisji powyższe informacje do celów niniejszego komunikatu.

[104] Assessing the effectiveness of EU Member States’ practices in the identification, tracing, freezing and confiscation of criminal assets – Final Report, sprawozdanie przygotowane dla Komisji (DG JLS) przez Matrix Insight, 6.2009.

[105] Ibid.

[106] Fr. plate-forme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements .

[107] Europol udostępnił Komisji powyższe informacje do celów niniejszego komunikatu. Dalsze informacje na temat operacji Andromeda można znaleźć na stronie: http://www.eurojust.europa.eu/.

[108] Przykłady pochodzą ze strony http://www.eurojust.europa.eu/.

[109] Powyższe informacje podane zostały jako anonimowe, w celu ochrony ich źródła.

[110] Second report on the processing of EU-originating personal data by the United Stated Treasury Department for counter-terrorism purposes, sędzia Jean-Louis Bruguière, styczeń 2010 r.