18.12.2012

Dziennik Urzędowy Unii Europejskiej

C 391/127

Opinia Komitetu Regionów „Pakiet legislacyjny dotyczący ochrony danych”

2012/C 391/13

KOMITET REGIONÓW

—	Przyjmuje z zadowoleniem propozycje reformy unijnych ram prawnych w zakresie ochrony danych jako wkład Unii Europejskiej w ogólnoświatową debatę na temat odpowiedniej ochrony prywatności w cyfrowym świecie.

—

Sądzi, iż nieodzowne jest wyjaśnienie kluczowych aspektów ochrony danych osobowych w ramach zwykłej procedury ustawodawczej, która jako jedyna gwarantuje przejrzystość i demokratyczną legitymację dzięki pełnemu współstanowieniu prawa przez Radę Unii Europejskiej i Parlament Europejski, jak również dzięki zaangażowaniu przedstawicieli europejskich samorządów lokalnych i regionalnych.

—

Zwraca uwagę na fakt, iż niezależnie od nierozwiązanej kwestii zgodności głównej koncepcji rozporządzenia z zasadami pomocniczości i proporcjonalności, niektóre szczegółowe uregulowania są źródłem dalszych nieuzasadnionych ograniczeń dla ustawodawstwa państw członkowskich w dziedzinie przetwarzania danych przez organy administracji publicznej.

—

Uważa, że wskazane jest również, by omawiany projekt przepisów dawał większe pole manewru państwom członkowskim, a w odpowiednich przypadkach regionom, by – zgodnie z ustawodawstwem krajowym – przepisy te ustanawiały ogólne warunki dotyczące członków organu kontroli w celu zagwarantowania im niezależności podczas pełnienia obowiązków.

Sprawozdawca

Ursula MÄNNLE (DE/PPE), posłanka do parlamentu kraju związkowego Bawaria

Dokumenty źródłowe

Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Ochrona prywatności w połączonym świecie – europejskie ramy ochrony danych w XXI wieku”

COM(2012) 9 final

Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych

COM(2012) 10 final

Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych)

COM(2012) 11 final

I. ZALECENIA POLITYCZNE

W związku z wszechobecnością zjawiska przetwarzania danych we współczesnym społeczeństwie informacyjnym przepisy w zakresie ochrony danych mają kluczowe znaczenie dla rozwoju gospodarczego, właściwego i skutecznego funkcjonowania organów państwowych i dla osobistych swobód obywateli Europy. Dostosowanie ochrony danych do zmieniających się wymogów świata cyfrowego, w którym coraz więcej sfer życia jest powiązanych za pośrednictwem internetu, staje się jednym z zasadniczych zadań reformatorskich nie tylko dla Unii Europejskiej, ale także dla innych organizacji międzynarodowych, takich jak Rada Europy, czy też krajów, takich jak Stany Zjednoczone. Ochrona danych osobowych rodzi pytania odnoszące się do wszystkich obszarów polityki. Jako zagadnienie o charakterze przekrojowym ochrona danych dotyczy takich dziedzin, jak polityka w dziedzinie bezpieczeństwa i sprawiedliwości, a także gospodarka, komunikacja, szkolnictwo, ochrona zdrowia, administracja i ochrona konsumenta. Rozwój europejskiego prawa w zakresie ochrony danych ma zatem kluczowe znaczenie także dla regionów i gmin Europy, by mogły one zachować stabilność i dalej rozwijać się w czasach fundamentalnych przemian technologicznych i globalnej konkurencji.

KOMITET REGIONÓW

1.	Przyjmuje z zadowoleniem propozycje reformy unijnych ram prawnych w zakresie ochrony danych jako wkład Unii Europejskiej w ogólnoświatową debatę na temat odpowiedniej ochrony prywatności w cyfrowym świecie.

Przypomina o decydującej roli władz lokalnych i regionalnych we wdrażaniu zaleceń Europejskiej agendy cyfrowej. Są one motorem wzrostu gospodarczego na poziomie lokalnym i regionalnym oraz tworzą, użytkują i odpowiadają za wiele produktów i usług informatycznych, które opierają się na bazach danych zawierających informacje sektora publicznego. Z tego względu samorządy muszą mieć możliwość pełnego i skutecznego kształtowania prawa, które wpłynie na ochronę danych w dziedzinach ich kompetencji. Rozporządzenie będzie się wiązało z nowymi obciążeniami administracyjnymi i finansowymi nakładanymi na gminy i regiony, zupełnie niewspółmiernymi, zdaniem Komitetu, do korzyści dla obywateli.

3.	Popiera określone w pakiecie reform ogólne cele dotyczące zapewnienia, zgodnie z art. 8 Karty praw podstawowych i art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, że ochrona osób w związku z przetwarzaniem danych osobowych zostanie zharmonizowana na poziomie UE.

Zwraca uwagę na fakt, iż harmonizacja prawnych wymogów ochrony danych za pomocą wiążących przepisów ogólnych skutkuje podporządkowaniem procedur przetwarzania danych przez przedsiębiorstwa, organy administracji i osoby prywatne tym samym wymogom pomimo z gruntu odmiennych poziomów ryzyka i różnych środowisk operacyjnych. Zdaniem Komitetu rozporządzenie nakłada na organy publiczne nadmierne obciążenia oraz niejednoznacznie określa ich kompetencje, a także ma nieproporcjonalnie silny wpływ na prawo pracy. Rozporządzenie przewiduje ponadto liczne wymogi wobec organów publicznych szczebla lokalnego i regionalnego (np. dotyczące obszerniejszej dokumentacji, obowiązku zapewniania przenoszalności danych itp.), mimo iż nie towarzyszą temu żadne dostrzegalne oznaki poprawy praw przysługujących podmiotom danych. Komitet zwraca uwagę, że z uwagi na poziom abstrakcji, proponowany akt prawny w formie rozporządzenia może sprzyjać nadużyciom w obszarze interpretacji zapisów artykułu 290 TFUE (który upoważnia Komisję do wydawania kolejnych przepisów, nawet w zasadniczych kwestiach) i dlatego nie da się go pogodzić z zasadami pomocniczości i proporcjonalności. Komitet domaga się więc, by przetwarzanie danych osobowych przez organy publiczne i kwestie dotyczące prawa pracy zostały wyłączone z zakresu stosowania rozporządzenia i w dalszym ciągu były regulowane przepisami dyrektywy.

Podkreśla kluczową odpowiedzialność niezależnych organów kontroli w dziedzinie zapewniania ochrony danych w obszarze ochrony danych osobowych. Ponieważ jednak wysokiego poziomu ochrony danych w połączonym świecie, gdzie przetwarzanie danych jest zjawiskiem wszechobecnym, nie da się zagwarantować samymi próbami wzmocnienia obowiązków ustawowych, należy zastosować dodatkowe instrumenty o charakterze motywacyjnym dla podmiotów przetwarzających dane, by wynagrodzić ich wysiłki podejmowane z myślą o ochronie danych. Chodzi głównie o ułatwienia związane z ciężarem dowodu dla podmiotów przetwarzających dane, które stosują się do wymagających standardów samoregulacyjnych, przestrzegają surowych zasad postępowania lub z własnej inicjatywy prowadzą oceny skutków ochrony danych.

7.	Uznaje zasadniczą potrzebę ustanowienia wiążących uregulowań w dziedzinie współpracy policji i wymiarów sprawiedliwości w celu ochrony danych osobowych w przypadku transnarodowej wymiany danych.

Przestrzega, by w ramach wysiłków na rzecz wzmocnionej ochrony danych osobowych nie ograniczyć nadmiernie prawa obywateli do kontroli informacji na swój temat, poprzez zlikwidowanie możliwości udzielenia zgody, szczególnie wobec organów publicznych zarówno w zakresie obowiązywania ogólnego rozporządzenia o ochronie danych osobowych, jak i dyrektywy o ochronie danych.

9.	Uważa, że w świetle przedstawionych wyżej rozważań, na kolejnych etapach procedury ustawodawczej należy uwzględnić następujące kwestie:

Pomocniczość i proporcjonalność

10.	Jest zdania, że próba pełnej harmonizacji pewnych elementów europejskiego prawa o ochronie danych poprzez wprowadzenie rozporządzenia wymaga solidnych argumentów uzasadniających jej zastosowanie do sektora prywatnego.

11.

Zwraca jednak uwagę na fakt, iż w związku z utrzymaniem licznych europejskich i krajowych uregulowań w zakresie ochrony danych, zwłaszcza w dziedzinie telekomunikacji, cały pakiet składający się z ogólnego rozporządzenia o ochronie danych oraz dyrektywy odnoszącej się do policji i wymiaru sprawiedliwości spotkał się w procesie konsultacji z szeregiem podstawowych zastrzeżeń dotyczących zgodności z zasadami pomocniczości i proporcjonalności. Zgłaszane zastrzeżenia dotyczyły:

—

zakresu kompetencji ustawodawczych Unii Europejskiej na mocy art. 16 ust. 2 TFUE, którego przepisy ograniczają możliwości postulowanej pełnej harmonizacji w dziedzinie przetwarzania danych osobowych przez organy publiczne, a także – jeśli chodzi o projekt dyrektywy dotyczącej policji i wymiaru sprawiedliwości – wywołują wątpliwości co do rozszerzenia owej harmonizacji na zagadnienia o charakterze czysto krajowym;

—

poziomu abstrakcji rozporządzenia, który dorównuje dyrektywie Unii Europejskiej, jednak nie zapewnia wystarczającej pewności prawa ze względu na brak transpozycji w systemie prawnym państwa członkowskiego; uprawnienia Komisji Europejskiej do przyjmowania aktów delegowanych (zob. art. 86) w kwestiach, które bynajmniej nie dotyczą detali, są problematyczne;

—	braku jasności co do zakresu stosowania przepisów krajowych (Rozdział IX) w przypadku, gdy zaangażowane są przynajmniej dwa państwa członkowskie;

—	braku koordynacji między przyszłymi przepisami rozporządzenia oraz znaczną częścią uregulowań zawartych w dyrektywach w dziedzinie telekomunikacji o kluczowym znaczeniu dla korzystania z internetu (jak np. dyrektywa 2002/58/WE);

—	niezapewnienia skutecznej ochrony prawnej w przypadku ewentualnego naruszenia praw podstawowych, jako że w tym zakresie nie ma procedury, która umożliwiałaby wniesienie do Europejskiego Trybunału Sprawiedliwości skargi otwierającej prawo do bezpośredniej ochrony indywidualnej;

—	niedostatecznego zaradzenia konfliktom między interesami związanymi z ochroną danych a innymi interesami wynikającymi z praw podstawowych, takimi jak wolność wypowiedzi i zasada publicznego dostępu;

—	niejasnego rozgraniczenia zakresów stosowania proponowanego rozporządzenia i dyrektywy.

12.

Podkreśla, że zastrzeżenia te odzwierciedlają wątpliwości licznych europejskich samorządów lokalnych i regionalnych co do proponowanych uregulowań, które uniemożliwiają na przykład uwzględnienie krajowej specyfiki w przypadku ochrony danych w dziedzinie opieki społecznej lub obciążają organy administracji wymogami dotyczącymi ochrony danych, takimi jak prawo do przenoszenia danych, które wydaje się właściwe jedynie w przypadku procedur przetwarzania danych w obrocie gospodarczym oraz przewidują dotkliwe sankcje administracyjne z punktu widzenia zasobów finansowych, którymi dysponują władze lokalne.

13.

Jest zdania, że we wniosku dotyczącym rozporządzenia o ochronie danych należy wyraźniej stwierdzić, iż podane w art. 83 ograniczenia w zakresie przetwarzania danych osobowych do celów dokumentacji, statystyki i badań naukowych nie mogą zawężać możliwości przechowywania danych przez organy publiczne zgodnie z krajowymi przepisami o archiwizacji i udostępnianiu dokumentów administracyjnych.

14.

Uważa zatem za konieczne, by na dalszych etapach procedury ustawodawczej jeszcze raz dokładniej przeanalizować decyzję dotyczącą formy prawnej i rozgraniczenia zakresów stosowania proponowanego rozporządzenia i dyrektywy, z myślą o ewentualnych rozwiązaniach alternatywnych, które byłyby bardziej zgodne z zasadami pomocniczości i proporcjonalności, niż ma to miejsce w przypadku przedstawionego pakietu. Do tych rozwiązań można zaliczyć opcję, w której przetwarzanie danych przez organy publiczne i kwestie dotyczące prawa pracy nadal byłyby regulowane przepisami dyrektywy i tym samym zostały wyłączone z zakresu stosowania ogólnego rozporządzenia.

Międzynarodowa spójność zamiast zasady miejsca wykonywania

15.	Popiera cel, jakim jest zastosowanie europejskich norm ochrony danych do usług informacyjnych oferowanych przez dostawców z całego świata.

16.

Sądzi, że przedstawiona równocześnie przez rząd Stanów Zjednoczonych inicjatywa na rzecz ram prawnych ochrony prywatności w globalnej gospodarce informatycznej jest szansą, by w kluczowych dziedzinach międzynarodowego przepływu danych połączyć wysiłki reformatorskie na rzecz wspólnych standardów ochrony i w ten sposób nie tylko wprowadzić skuteczne uregulowania w zakresie ochrony danych, lecz także skuteczniej eliminować różnice pod względem warunków konkurencji, niż można by to osiągnąć poprzez trudną do zastosowania w praktyce zasadę miejsca wykonywania.

Trwałość reformy

17.

Zwraca uwagę na fakt, iż wniosek dotyczący ogólnego rozporządzenia o ochronie danych opiera się zasadniczo na zasadach zapisanych w dyrektywie o ochronie danych 95/46/WE, które zostały rozwinięte tylko w pojedynczych przypadkach, jak np. zasada „uwzględnienia ochrony danych już w fazie projektowania”, w pozostałych zaś przypadkach zostały co najwyżej zmodyfikowane. Inaczej niż podczas prac nad dyrektywą o ochronie danych, ryzyko związane z przetwarzaniem danych osobowych w społeczeństwie informacyjnym, zarówno przez podmioty prywatne, jak i organy publiczne, nie charakteryzuje się już dwubiegunowością relacji. Digitalizacja i sieci powodują raczej powstanie systemów, w których wiele podmiotów uczestniczy w przetwarzaniu danych, np. przy porównywaniu danych lub wymianie informacji pomiędzy organami.

18.

Podkreśla, że wynikających stąd kwestii dotyczących ochrony danych osobowych praktycznie nie można już należycie wyjaśnić za pomocą tradycyjnych, dwubiegunowych kategorii, takich jak pojęcia „administrator”, „prawo […] do bycia zapomnianym” czy zasada zakazu opracowana na potrzeby stosunków między państwem a obywatelem (art. 6 i art. 9 wniosku dotyczącego rozporządzenia). Poszczególne zmiany w stosunku do przepisów dyrektywy, jak np. na nowo zdefiniowane „dane osobowe” czy „warunki udzielenia zgody”, przyczyniają się raczej do pogłębienia niejasności natury prawnej niż do ich wyjaśnienia.

19.

Uważa więc, że gdyby Komisja obstawała przy zamiarze wprowadzenia rozporządzenia, to w rozporządzeniu tym należałoby wyraźnie zaznaczyć, że pracodawca może przetwarzać dane za zgodą pracownika. To samo dotyczy organów publicznych zarówno w zakresie obowiązywania ogólnego rozporządzenia o ochronie danych osobowych, jak i dyrektywy o ochronie danych; zgodnie z rozporządzeniem państwa członkowskie mogą regulować za pomocą przepisów prawnych przetwarzanie danych osobowych pracowników w kontekście zatrudnienia.

20.

Uważa zatem, że ponieważ na dalszych etapach procedury ustawodawczej nie da się już wprowadzić zasadniczych zmian koncepcyjnych, należy dokonać przeglądu mechanizmów egzekwowania, które jak dotąd zbyt mocno skupiają się na równie dwubiegunowych instrumentach regulacyjnych, takich jak nakazy czy sankcje. Z perspektywy samorządów lokalnych i regionalnych, które pozostają w najbliższej styczności z podmiotami danych, szczególne znaczenie mogą mieć tutaj:

—	środki na rzecz uwrażliwiania wszystkich pokoleń i wszelkich grup społecznych na kwestie ochrony danych;

—	mechanizmy wymiany sprawdzonych i zaawansowanych technicznie koncepcji ochrony danych, jak np. w ramach znaków jakości;

—	znormalizowane oraz zrozumiałe informacje i wyjaśnienia, zgodnie z zasadą „sygnalizacji świetlnej”;

—	wiążące procedury certyfikacji;

—	procedury uregulowanej samoregulacji zainteresowanych podmiotów.

21.

Podkreśla w związku z tym, że wspomnianym zadaniom – przewidzianym zasadniczo do realizacji przez organy nadzorcze – nadaje się we wniosku dotyczącym ogólnego rozporządzenia o ochronie danych osobowych jak dotąd jedynie drugorzędną rangę, np. w ramach ogólnego obowiązku działania na rzecz pogłębiania świadomości w społeczeństwie, o którym mowa w art. 52 ust. 2 projektu rozporządzenia, czy w ramach przepisów dotyczących kodeksów postępowania (art. 38 projektu rozporządzenia).

Zachowanie marginesu swobody dla ustawodawcy krajowego

22.

23.	Jest więc zdania, że przetwarzanie danych przez organy publiczne i kwestie związane z prawem pracy w dalszym ciągu powinny być regulowane przepisami dyrektywy.

24.

Uważa w związku z tym, że gdyby Komisja obstawała przy zamiarze wprowadzenia rozporządzenia, które obowiązywałoby także w odniesieniu do organów publicznych i aspektów związanych z prawem pracy, to:

—

nie należy dodatkowo zaostrzać warunków regulowania przez państwa członkowskie podstaw obowiązków w zakresie przetwarzania danych, o których mowa w art. 6 ust. 3 projektu rozporządzenia ogólnego, poprzez powoływanie się na ograniczenia ustanowione w art. 52 Karty praw podstawowych w sposób wykraczający poza ich zakres stosowania;

—

to samo dotyczy nadawania uprawnień Komisji, by w ramach aktów delegowanych doprecyzowywała granice obszarów regulacyjnych pozostawianych w gestii państw członkowskich, takich jak przetwarzanie danych dotyczących zdrowia lub zatrudnienia czy też do celów dokumentacji, statystyki lub badań naukowych;

—	należy wyraźnie wspomnieć o dopuszczeniu możliwości udzielenia zgody w obu tych dziedzinach; organów publicznych dotyczy to także w zakresie obowiązywania dyrektywy o ochronie danych;

—

w odniesieniu do wszystkich aktów delegowanych (art. 86), w trosce m.in. o zagwarantowanie poszanowania zasady proporcjonalności i zasady pomocniczości, Komisja powinna obowiązkowo dokonywać kompleksowej oceny skutków i konsultować się z Radą, parlamentami państw członkowskich oraz z odpowiednimi środowiskami społecznymi, a także z Komitetami, których udział w przypadku aktów ustawodawczych przewiduje TFUE, oraz z Europejską Radą Ochrony Danych; również w odniesieniu do aktów wykonawczych należy wybierać taką procedurę, która gwarantować będzie kompleksowe zaangażowanie we właściwym czasie wszystkich zainteresowanych stron;

—

oprócz prawa do ustanawiania wyjątków, przewidzianego w art. 21 projektu rozporządzenia ogólnego, przepisy rozporządzenia powinny zapewniać państwom członkowskim przynajmniej pewien margines swobody ustanawiania przepisów krajowych, które podporządkowywałyby przetwarzanie danych w ramach wykonywania zadań władz publicznych, zgodnie z celami zapisanymi w art. 8 Karty praw podstawowych, bardziej zróżnicowanym wymogom ochronnym, niż przewidziano w obecnym projekcie rozporządzenia;

—

już w definicji zakresu stosowania należy ponadto wyjaśnić, że przepisy rozporządzenia dotyczą wyłącznie takich czynności „w zakresie prawa Unii”, w odniesieniu do których Unia Europejska posiada kompetencje do wydawania wiążących uregulowań, natomiast nie dotyczą takich obszarów, w których państwa członkowskie nadal zachowują wyłączne kompetencje regulacyjne bądź w odniesieniu do których przepisy traktatowe wyraźnie wykluczają kompetencje UE w zakresie harmonizacji przepisów prawnych i administracyjnych, jak np. w przypadku systemu kształcenia (art. 165 ust. 4 TFUE);

—	w art. 82 rozporządzenia należy wyraźnie zaznaczyć możliwość przyjmowania drogą rokowań zbiorowych konkretnych przepisów dotyczących przetwarzania danych osobowych w kontekście zatrudnienia;

—	w rozporządzeniu należy zapewnić, że nie zostanie ograniczone prawo wydawania poleceń, np. w odniesieniu do zatrudnienia czy zwolnienia pracownika odpowiedzialnego za przetwarzanie danych;

—

w uprawnieniach do karania naruszeń ochrony danych osobowych należy zapewnić wyraźne rozróżnienie między podmiotami prywatnymi, których celem jest generowanie zysku, a innymi organami, zwłaszcza w administracji publicznej, w wypadku których pozbawienie zysku jest bezcelowe, natomiast skuteczniejsze są polityczne mechanizmy kontroli.

Wzmocnienie odpowiedzialności demokratycznej

25.

Jest głęboko zaniepokojony faktem, że wraz z wejściem w życie rozporządzenia dalsze doprecyzowywanie i rozwój prawnych wymogów w zakresie ochrony danych stanie się przedmiotem procedur, które – w przeciwieństwie do ustawodawstwa państw członkowskich i Unii Europejskiej czy też wykonywania przepisów prawa krajowego i europejskiego przez organy administracji państw członkowskich podlegające kontroli parlamentarnej – nie gwarantują ani przejrzystości, ani wystarczającej legitymacji demokratycznej.

26.

Uzasadnia swoje zaniepokojenie, powołując się na fakt, iż w oparciu o wysoce abstrakcyjne uregulowania wniosek dotyczący rozporządzenia ma stworzyć wiążące i jednocześnie ujednolicone, obwarowane sankcjami obowiązki w dziedzinie, która ma kluczowe znaczenie z perspektywy urzeczywistniania różnych aspektów praw podstawowych, a która już obecnie cechuje się niemal całkowicie nieprzejrzystą rozmaitością przypadków zastosowania, sięgających od prywatnych spisów adresów, poprzez publiczne rejestry mieszkańców, aż po dane gromadzone przez serwisy społecznościowe lub wyszukiwarki internetowe. Przy tym niemal nieuniknione braki w kwestiach jednoznaczności norm, pewności prawa i egzekwowalności mają być, z jednej strony, skompensowane licznymi uprawnieniami do wydawania aktów delegowanych, które często dotyczyć mają istotnych elementów przyjętego podejścia regulacyjnego, o czym świadczy uprawnienie przewidziane w art. 6 ust. 5 projektu rozporządzenia ogólnego, a z drugiej strony niezależnym organom nadzorczym przyznaje się kompetencje, które dalece wykraczają poza klasyczne zadania wykonawcze i obejmują wydawanie w praktyce równie abstrakcyjnych i ogólnych przepisów w ramach ogólnych wytycznych dotyczących wykładni rozporządzenia o ochronie danych. Ponadto organy te w ramach tzw. mechanizmu zgodności zostały podporządkowane nieuzasadnionym uprawnieniom interwencyjnym Komisji, co podaje w wątpliwość niezależność gwarantowaną tym organom na mocy art. 16 ust. 2 drugie zdanie TFUE.

27.

Uważa zatem, że należy gruntownie zmienić zasady udziału Komisji w ramach mechanizmu zgodności w celu zachowania niezależności organów nadzorczych w zakresie ochrony danych, a zwłaszcza uprawnienia Komisji na mocy art. 60 i art. 62 ust. 1 lit. a) projektu rozporządzenia ogólnego, należy także zmienić definicję pojęcia „poważne wątpliwości”, o których jest mowa w tych samych artykułach, i które stanowią podstawę interwencji Komisji.

28.

29.

Sądzi ponadto, że należy bardziej rozbudować instrumenty kontroli nad niezależnymi organami nadzorczymi, uznane również przez Trybunał Sprawiedliwości, np. w ramach sprawozdań i innych procedur regularnych konsultacji z organami ustawodawczymi, tak aby również Parlament i Rada, a także Komitet Regionów, w ramach przysługującego mu prawa do udziału, miały możliwość regularnego wglądu w stosowanie unijnych przepisów w zakresie ochrony danych oraz aby mogły podejmować inicjatywy zmierzające do dalszego rozwoju tych przepisów. Dodatkowo, zgodnie z zasadą kontradyktoryjności, należy wprowadzić procedury uzupełniające, które zobowiązywałyby zarówno organy nadzorcze, jak i Europejską Radę Ochrony Danych do włączania – np. poprzez procedurę wysłuchań lub konsultacji – stowarzyszeń i przedstawicieli grup interesu, których dotyczą podejmowane decyzje o fundamentalnym znaczeniu (np. na mocy art. 58 ust. 2 projektu rozporządzenia ogólnego), w przejrzysty proces doprecyzowywania i dalszego rozwoju przepisów w zakresie ochrony danych.

Granice harmonizacji ochrony danych w przypadku policji i wymiaru sprawiedliwości

30.

Ma wątpliwości, czy stanowienie – w ramach dyrektywy mającej zastosowanie do policji i wymiaru sprawiedliwości – regulacji odnoszących się również do przetwarzania danych wyłącznie na poziomie krajowym wchodzi w zakres kompetencji ustawodawczych Unii Europejskiej, a także czy jest zgodne z zasadami pomocniczości i proporcjonalności. Poza zadaniami dotyczącymi walki z terroryzmem, zorganizowaną przestępczością czy cyberprzestępczością policja i organy ścigania nadal gromadzą rozległe zasoby danych, które przetwarzane są wyłącznie na szczeblu krajowym i nie wymagają zatem żadnych regulacji ochronnych na poziomie europejskim. Należy ponadto uwzględnić fakt, że przepisy w zakresie ochrony danych oddziałują bezpośrednio na pozostałe przepisy dotyczące policji i na przepisy prawa karnego procesowego, a zatem wymuszają pośrednio harmonizację owych uregulowań, chociaż w tym wypadku Unia Europejska nie dysponuje wystarczającymi kompetencjami.

31.	Wyraża zdziwienie w związku z tym, że instytucje i organy europejskie, na czele z Eurojustem i Europolem, są wyłączone z zasięgu omawianej dyrektywy.

32.

Apeluje, niezależnie od przedstawionych zasadniczych zastrzeżeń, by na dalszych etapach procedury ustawodawczej zbadać:

—	w jakim stopniu rozległe obowiązki w zakresie dokumentacji i powiadamiania mogą prowadzić do opóźnień na etapie ścigania i postępowania karnego;

—	czy zapisy art. 7 lit. b), c) i d) projektu dyrektywy są zgodne z art. 1 ust. 1, w którym określa się przedmiot i cele dyrektywy;

—	czy wprowadzono odpowiednie zabezpieczenia odnośnie do odstępstw związanych z międzynarodowym przekazywaniem danych osobowych w indywidualnych przypadkach (art. 36), chociaż nie należy nadmiernie ograniczać lub utrudniać sprawdzonych form wymiany informacji z państwami trzecimi;

—	z których uprawnień Komisji do wydawania aktów delegowanych i przepisów wykonawczych można by zrezygnować na rzecz przepisów precyzujących przewidzianych w samym akcie prawnym bądź na rzecz regulacji państw członkowskich na podstawie odpowiedniej klauzuli otwartej.

33.	Zastrzega sobie możliwość przedstawienia kolejnej opinii, w której proponowałby zwłaszcza konkretne poprawki, gdy tylko znane będą – na dalszym etapie procedury ustawodawczej – stanowiska Rady Unii Europejskiej i Parlamentu Europejskiego w poruszonych tutaj kwestiach.

II. ZALECANE POPRAWKI

Poprawka 1

Art. 36

Tekst zaproponowany przez Komisję

Poprawka KR-u

W drodze odstępstwa od art. 34 i 35 państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej wyłącznie pod warunkiem, że:

a)	przekazanie jest niezbędne dla ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

a)	przekazanie jest niezbędne dla ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

b)	przekazanie jest niezbędne dla zabezpieczenia słusznych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi; lub

b)	przekazanie jest niezbędne dla zabezpieczenia słusznych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi; lub

c)	przekazanie danych jest konieczne dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; lub

c)	przekazanie danych jest konieczne dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; lub

d)	przekazanie jest konieczne w indywidualnych przypadkach do zapobiegania przestępstwom, prowadzenia śledztw i dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; lub

d)	przekazanie jest konieczne w indywidualnych przypadkach do zapobiegania przestępstwom, prowadzenia śledztw i dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; lub

e)	przekazanie jest konieczne w indywidualnych przypadkach dla ustalenia, wykonania lub obrony roszczeń prawnych dotyczących zapobieżenia konkretnemu przestępstwu, prowadzenia dochodzenia w jego sprawie, wykrycia go lub ścigania albo wykonania konkretnej kary kryminalnej.

e)	przekazanie jest konieczne w indywidualnych przypadkach dla ustalenia, wykonania lub obrony roszczeń prawnych dotyczących zapobieżenia konkretnemu przestępstwu, prowadzenia dochodzenia w jego sprawie, wykrycia go lub ścigania albo wykonania konkretnej kary kryminalnej.

Uzasadnienie

Termin „jest konieczne” jest zbyt niejasny i zostawia pole do nieograniczonego stosowania odstępstw, co jest sprzeczne z duchem tego artykułu.

Poprawka 2

Art. 86 ust. 6

Tekst zaproponowany przez Komisję	Poprawka KR-u

Uzasadnienie

Zobowiązanie Komisji do konsultowania się z Europejską Radą Ochrony Danych (EROD) w odniesieniu do wszystkich aktów delegowanych i wykonawczych jest istotnym zabezpieczeniem.

Bruksela, 10 października 2012 r.

Przewodniczący Komitetu Regionów

Ramón Luis VALCÁRCEL SISO