4.2.2014   

PL

Dziennik Urzędowy Unii Europejskiej

C 32/25

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosków w sprawie rozporządzenia w sprawie utworzenia systemu wjazdu/wyjazdu (EES) oraz rozporządzenia w sprawie utworzenia programu rejestrowania podróżnych (RTP)

(Niniejsza opinia jest dostępna w pełnym brzmieniu w języku angielskim, francuskim i niemieckim na stronie internetowej EIOD: http://www.edps.europa.eu)

2014/C 32/12

I.   Wprowadzenie

I.1.   Konsultacja przez EIOD

1.

W dniu 28 lutego 2013 r. Komisja przyjęła następujące wnioski (zwane dalej „wnioskami”):

wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie utworzenia systemu wjazdu/wyjazdu (EES) w celu rejestrowania danych dotyczących wjazdu i wyjazdu obywateli państw trzecich przekraczających granice zewnętrzne państw członkowskich Unii Europejskiej (zwany dalej „wnioskiem w sprawie EES”) (1),

wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie utworzenia programu rejestrowania podróżnych (RTP) (zwany dalej „wnioskiem w sprawie RTP”) (2),

wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (WE) nr 562/2006 w związku ze stosowaniem systemu wjazdu/wyjazdu (EES) oraz programu rejestrowania podróżnych (RTP) (zwany dalej „wnioskiem w sprawie zmiany”) (3).

2.

W tym samym dniu wnioski zostały przekazane EIOD do konsultacji. Przed przyjęciem wniosków umożliwiono EIOD przedstawienie Komisji nieformalnych uwag.

3.

Inspektor z uznaniem przyjmuje fakt, iż w preambule wniosku w sprawie EES i wniosku w sprawie RTP umieszczono odniesienie do konsultacji przez EIOD.

I.2.   Kontekst

4.

W komunikacie Komisji z 2008 r. zatytułowanym „Przygotowanie kolejnych etapów rozwoju zarządzania granicami w Unii Europejskiej” zaproponowano nowe narzędzia dla potrzeb przyszłego zarządzania europejskimi granicami, w tym system wjazdu/wyjazdu (ang. entry/exit system) (zwany dalej „EES”), umożliwiający rejestrowanie dat wjazdu i wyjazdu obywateli państw, oraz program rejestrowania podróżnych (ang. registered traveller programme), ułatwiający przekraczanie granic osobom podróżującym w dobrej wierze (zwany dalej „RTP”). W komunikacie rozważono również możliwość wprowadzenia elektronicznego systemu zezwoleń na podróż (ang. Electronic System of Travel Authorisation – ESTA) dla obywateli państw trzecich niepodlegających obowiązkowi wizowemu.

5.

Przedmiotowe wnioski zostały zatwierdzone przez Radę Europejską w grudniu 2009 r. w ramach programu sztokholmskiego (4). W komunikacie z 2011 r. w sprawie inteligentnych granic (5) Komisja stwierdziła jednak, iż aktualnie należy wykluczyć możliwość ustanowienia systemu ESTA, ponieważ „ewentualny wkład w zwiększenie bezpieczeństwa państw członkowskich nie usprawiedliwiałby ani gromadzenia danych osobowych na taką skalę, ani kosztu finansowego i wpływu na stosunki międzynarodowe” (6). Ponadto Komisja ogłosiła, iż zamierza przedstawić wnioski w sprawie EES i RTP w pierwszej połowie 2012 r.

6.

Następnie Rada Europejska z czerwca 2011 r. wniosła o szybką realizację prac nad „inteligentnymi granicami” oraz poprosiła o wdrożenie EES i RTP (7).

7.

Grupa Robocza Art. 29 przedstawiła uwagi na temat komunikatu Komisji w sprawie inteligentnych granic, którego ogłoszenie poprzedziło przyjęcie przedmiotowych wniosków, w piśmie do komisarz Malmström z dnia 12 czerwca 2012 r. (8). Ostatnio, w dniu 6 czerwca 2013 r., Grupa Robocza przyjęła opinię, w której zakwestionowano konieczność przyjęcia pakietu w sprawie inteligentnych granic (9).

8.

Niniejsza opinia opiera się na powyższych stanowiskach, a także na wcześniejszej opinii EIOD (10) w sprawie komunikatu Komisji z 2011 r. w sprawie migracji (11) oraz na uwagach wstępnych EIOD (12) w sprawie trzech komunikatów w sprawie zarządzania granicami (2008) (13). Wykorzystano w niej również materiał przedstawiony w trakcie obrad okrągłego stołu EIOD na temat pakietu w sprawie inteligentnych granic oraz implikacji z zakresu ochrony danych (14).

I.3.   Cel wniosków

9.

Cel wniosku w sprawie EES określono w jego art. 4. Jest nim udoskonalenie zarządzania granicami zewnętrznymi UE oraz walka z nielegalną imigracją, realizacja polityki w dziedzinie zintegrowanego zarządzania granicami oraz współpraca i konsultacje między organami granicznymi i imigracyjnymi. Przewidziano stworzenie systemu mającego na celu:

a)

wzmocnienie kontroli na przejściach na granicach zewnętrznych oraz zwalczanie nielegalnej imigracji;

b)

obliczanie i monitorowanie obliczeń czasu trwania dozwolonego pobytu obywateli państw trzecich, którym zezwolono na pobyt krótkoterminowy;

c)

pomoc w identyfikacji osób, które mogą nie spełniać warunków wjazdu lub pobytu na terytorium państw członkowskich lub też przestały spełniać te warunki;

d)

umożliwienie organom krajowym państw członkowskich identyfikowania osób nadmiernie przedłużających pobyt oraz podejmowania właściwych środków;

e)

gromadzenie danych statystycznych dotyczących wjazdów i wyjazdów obywateli państw trzecich na potrzeby analizy.

10.

System miałby ułatwić monitorowanie dozwolonego pobytu poprzez zapewnienie funkcjonariuszom straży granicznej i podróżnym szybkiego dostępu do dokładnych informacji. Zastąpiłby on dotychczasowy system ręcznego stemplowania paszportów, określony jako powolny i zawodny, a także poprawiłby skuteczność zarządzania granicami (15).

11.

Dzięki przechowywaniu danych biometrycznych system powinien również być pomocny przy identyfikacji osób, które nie spełniają warunków wjazdu lub pobytu na terytorium UE, w szczególności w przypadku braku dokumentów identyfikacyjnych. Ponadto EES pozwoliłby na uzyskanie dokładnego obrazu przepływu podróżnych oraz liczby osób nadmiernie przedłużających pobyt, umożliwiając kształtowanie polityki w oparciu o dowody, np. w kwestii obowiązku wizowego. Do tego ostatniego celu służą dane statystyczne, o których mowa w art. 4.

12.

EES stanowiłby podstawę dla RTP, którego celem jest ułatwienie przekraczania granicy często podróżującym obywatelom państw trzecich, którzy przeszli wstępne weryfikacje. Zarejestrowani podróżni otrzymywaliby token z niepowtarzalnym identyfikatorem, który byłby odczytywany w automatycznych bramkach na granicy z chwilą przyjazdu i odjazdu. Dane z tokena, odciski palców oraz, w odpowiednich przypadkach, numer naklejki wizowej byłyby porównywane z danymi przechowywanymi w centralnym repozytorium i innych bazach danych. W przypadku udanego przeprowadzenia wszystkich kontroli podróżny mógłby przejść przez automatyczną bramkę. W przeciwnym wypadku podróżny uzyskałby pomoc funkcjonariusza straży granicznej.

13.

Celem wniosku w sprawie zmiany jest natomiast dostosowanie rozporządzenia (WE) nr 562/2006 ustanawiającego wspólnotowy kodeks zasad regulujących przepływ osób przez granice (zwany dalej „kodeksem granicznym Schengen”) do nowych wniosków w sprawie EES i RTP.

I.4.   Kontekst i struktura niniejszej opinii

14.

Projekt utworzenia elektronicznego systemu kontroli wjazdu i wyjazdu z terytorium UE nie jest nowy, a grunt dla analizowanych obecnie wniosków przygotowało kilka komunikatów Komisji, o których mowa powyżej. To w perspektywie tych właśnie faktów należy zatem oceniać pakiet w sprawie inteligentnych granic. W szczególności należy wziąć pod uwagę elementy, o których mowa w dalszym ciągu.

15.

W programie sztokholmskim Komisja przyjęła strategiczne podejście w kwestii oceny potrzeby opracowania europejskiego modelu wymiany informacji w oparciu o ocenę obecnych instrumentów. Podstawą ma być m.in. sprawny system ochrony danych, dobrze ukierunkowane gromadzenie danych oraz racjonalizacja różnych narzędzi, w tym przyjęcie biznesplanu dla dużych systemów informatycznych. W programie sztokholmskim przypomniano o potrzebie zapewnienia spójności wdrażania różnych narzędzi gromadzenia informacji i zarządzania nimi ze strategią na rzecz ochrony danych osobowych i biznesplanem dla wielkoskalowych systemów informatycznych (16).

16.

Potrzeba kompleksowej analizy jest tym większa, jeśli wziąć pod uwagę istnienie oraz dalszy rozwój i wdrażanie wielkoskalowych systemów informatycznych, takich jak Eurodac (17), VIS (18) i SIS II (19). System inteligentnych granic jest dodatkowym narzędziem umożliwiającym masowe gromadzenie danych osobowych w kontekście kontroli granicznej. Takie globalne podejście zostało niedawno zatwierdzone przez Radę ds. WSiSW, która podkreśliła potrzebę wyciągnięcia wniosków z doświadczeń związanych z SIS, w szczególności w odniesieniu do eskalacji kosztów (20). EIOD wyraził również pogląd, iż „europejski model informacji nie może być postrzegany przez pryzmat kwestii technicznych”, w kontekście niemal nieograniczonych możliwości, które dają nowe technologie. Informacje powinny być przetwarzane wyłącznie na podstawie konkretnych potrzeb w zakresie bezpieczeństwa (21).

17.

Analiza EES i RTP pod kątem ochrony prywatności i danych musi zostać przeprowadzona w kontekście Karty praw podstawowych Unii Europejskiej (22) (zwanej dalej „Kartą”), w szczególności jej art. 7 i 8. Artykuł 7, który jest podobny do art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (23) (EKPC), określa ogólne prawo do poszanowania życia prywatnego i rodzinnego oraz chroni osobę fizyczną przed ingerencją ze strony organów publicznych, natomiast art. 8 Karty nadaje osobie fizycznej prawo określające, iż jej dane osobowe mogą być przetwarzane wyłącznie pod pewnymi szczególnymi warunkami. Są to dwa różne i uzupełniające się wzajemnie podejścia. Pakiet w sprawie inteligentnych granic będzie oceniany z obydwu tych perspektyw.

18.

Niniejsza opinia w znacznym stopniu koncentruje się na wniosku w sprawie EES – który jest najistotniejszy z punktu widzenia ochrony prywatności i danych – i ma następującą strukturę:

rozdział II zawiera ogólną ocenę systemu wjazdu/wyjazdu ze szczególnym uwzględnieniem zgodności z art. 7 i 8 Karty,

rozdział III zawiera uwagi na temat bardziej szczegółowych przepisów dotyczących EES z zakresu przetwarzania danych biometrycznych i dostępności dla organów ścigania,

rozdział IV zawiera uwagi na temat innych kwestii związanych z EES,

rozdział V dotyczy RTP,

rozdział VI dotyczy potrzeby dodatkowych gwarancji bezpieczeństwa danych,

rozdział VII zawiera wnioski.

VII.   Wnioski

102.

Celem pakietu w sprawie inteligentnych granic jest stworzenie nowego wielkoskalowego systemu informatycznego uzupełniającego dotychczasowe mechanizmy kontroli granicznej. Zgodność systemu z prawem należy ocenić pod kątem zasad określonych w Karcie, w szczególności jej art. 7 dotyczącego prawa do poszanowania życia prywatnego i rodzinnego oraz art. 8 dotyczącego ochrony danych osobowych, przy czym ocena powinna dotyczyć nie tylko tego, czy nowy system nie narusza praw podstawowych, ale również tego, jakie gwarancje ochrony danych zostały przewidziane we wnioskach.

103.

W tym kontekście EIOD potwierdza, iż proponowany system EES stanowi naruszenie prawa do poszanowania życia prywatnego i rodzinnego. Przyjmując z uznaniem gwarancje przewidziane we wnioskach oraz uznając starania podjęte przez Komisję w tej kwestii, Inspektor stwierdza jednocześnie, że aspektem kluczowym pozostaje konieczność: problemem jest opłacalność systemu – nie tylko w wymiarze finansowym, ale również w odniesieniu do praw podstawowych, postrzeganych w globalnym kontekście dotychczasowych systemów i polityki zarządzania granicami.

104.

W związku z EES EIOD zaleca, co następuje:

Jednoznaczne wykazanie konieczności i proporcjonalności systemu w sposób zgodny z art. 7 Karty byłoby możliwe dopiero po ustanowieniu przejrzystej polityki europejskiej w kwestii zarządzania osobami nadmiernie przedłużającymi pobyt oraz po poddaniu samego systemu ocenie w bardziej globalnym kontekście dotychczasowych wielkoskalowych systemów informatycznych.

Zasady ochrony danych należy ulepszyć zgodnie z art. 8 w następujący sposób:

należy ograniczyć cele systemu, a jego projekt nie powinien uniemożliwiać przeprowadzania w przyszłości oceny wszelkich przypadków dostępu organów ścigania do danych EES,

należy wzmocnić prawa osób, których dane dotyczą, zwłaszcza w zakresie prawa do informacji oraz możliwości naprawienia szkód, przy uwzględnieniu potrzeby szczegółowych gwarancji dotyczących automatycznych decyzji podejmowanych w ramach obliczania czasu pobytu,

nadzór należy uzupełnić o jednoznaczny obraz podziału kompetencji na poziomie krajowym w celu zapewnienia osobom, których dane dotyczą, możliwości wykonywania przysługujących im praw w relacjach z właściwymi organami,

wykorzystanie danych biometrycznych powinno podlegać ukierunkowanej ocenie skutków, a w razie konieczności przetwarzanie takich danych powinno być objęte szczególnymi gwarancjami dotyczącymi procesu wciągania do akt, poziomu dokładności oraz konieczności procedury rezerwowej. Ponadto EIOD zdecydowanie kwestionuje potrzebę pobierania dziesięciu odcisków palców zamiast dwóch lub czterech, co w każdym przypadku byłoby wystarczające dla potrzeb weryfikacji,

należy uzasadnić, dlaczego przekazywanie danych z EES do państw trzecich jest konieczne dla powrotu obywateli państw trzecich.

105.

Choć w związku z RTP nie pojawiają się te same zasadnicze pytania dotyczące naruszenia praw podstawowych, co w przypadku EES, EIOD zwraca ustawodawcy uwagę na następujące aspekty:

Uznając dobrowolny charakter systemu, należy jednak stwierdzić, że zgodę można traktować jako faktyczną podstawę prawną dla przetwarzania danych wyłącznie wówczas, gdy zostaje ona udzielona z własnej woli, co oznacza, że RTP nie powinien stać się jedyną faktyczną alternatywą dla długich kolejek i obciążeń administracyjnych.

Należy zapobiec ryzyku dyskryminacji: znaczna liczba podróżnych, którzy nie podróżują wystarczająco często, by poddano ich rejestracji, lub takich, których odciski palców nie dają się odczytać, nie powinna w praktyce być zaliczana do kategorii podróżnych o „wyższym poziomie ryzyka”.

Proces weryfikacji poprzedzający rejestrację powinien być oparty na wybiórczym dostępie do jednoznacznie określonych baz danych.

106.

W kwestii aspektów bezpieczeństwa EIOD uznaje, iż dla potrzeb oceny i ustalenia priorytetów zagrożeń należy opracować w związku z EES i RTP plan ciągłości działania oraz praktyki zarządzania ryzykiem w bezpieczeństwie informacji. Ponadto należy zapewnić ścisłą współpracę pomiędzy Agencją a państwami członkowskimi.

Sporządzono w Brukseli dnia 18 lipca 2013 r.

Peter HUSTINX

Europejski Inspektor Ochrony Danych

(1)  COM(2013) 95 final.

(2)  COM(2013) 97 final.

(3)  COM(2013) 96 final.

(4)  „Otwarta i bezpieczna Europa dla dobra i ochrony obywateli” (Dz.U. C 115 z 4.5.2010, s. 1).

(5)  Komunikat Komisji z dnia 25 października 2011 r. dla Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów zatytułowany „Inteligentne granice – możliwe warianty i kierunki” (COM(2011) 680 wersja ostateczna).

(6)  Komunikat Komisji w sprawie inteligentnych granic, patrz powyżej, s. 7.

(7)  EUCO 23/11.

(8)  W skład Grupy Roboczej Art. 29, utworzonej na podstawie dyrektywy 95/46/WE, wchodzi jeden przedstawiciel każdego z krajowych organów ochrony danych oraz przedstawiciel Komisji Europejskiej. Pełni ona rolę doradczą i działa niezależnie. Tekst pisma Grupy Roboczej z dnia 12 czerwca 2012 r. do komisarz Cecilii Malmström w sprawie inteligentnych granic dostępny jest pod adresem: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2012/20120612_letter_to_malmstrom_smart-borders_en.pdf

(9)  Grupa Robocza Art. 29, opinia 05/2013 w sprawie inteligentnych granic, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp206_en.pdf

(10)  Opinia EIOD z dnia 7 lipca 2011 r., dostępna pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-07-07_Migration_PL.pdf

(11)  Komunikat Komisji z dnia 4 maja 2011 r. dla Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie migracji (COM(2011) 248/3).

(12)  Uwagi wstępne EIOD z dnia 3 marca 2008 r., dostępne pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2008/08-03-03_Comments_border_package_EN.pdf

(13)  Komunikaty Komisji dla Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów zatytułowane „Przygotowanie kolejnych etapów rozwoju zarządzania granicami w Unii” (COM(2008) 69 wersja ostateczna), „Analiza projektu stworzenia europejskiego systemu nadzorowania granic (Eurosur)” (COM(2008) 68 wersja ostateczna) oraz „Sprawozdanie w sprawie oceny i przyszłego rozwoju agencji Frontex” (COM(2008) 67 wersja ostateczna).

(14)  Okrągły stół EIOD na temat pakietu w sprawie inteligentnych granic i implikacji z zakresu ochrony danych, Bruksela, dnia 10 kwietnia 2013 r., miejsce: Budynek EIOD, Rue Montoyer 30, Bruksela. Zob. podsumowanie: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Events/2013/13-04-10_Summary_smart_borders_final_EN.pdf

(15)  Zob. uzasadnienie wniosku w sprawie EES.

(16)  Program sztokholmski – otwarta i bezpieczna Europa dla dobra i ochrony obywateli (Dz.U. C 115 z 4.5.2010, s. 1).

(17)  Zob. rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 603/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (Dz.U. L 180 z 29.6.2013, s. 1).

(18)  Zob. rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 767/2008 z dnia 9 lipca 2008 r. w sprawie Wizowego Systemu Informacyjnego (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych (rozporządzenie w sprawie VIS) (Dz.U. L 218 z 13.8.2008, s. 60).

(19)  Zob. rozporządzenie (WE) nr 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) (Dz.U. L 381 z 28.12.2006, s. 4).

(20)  Zob. dokument Rady nr 8018/13, nota prezydencji dla Strategicznego Komitetu ds. Imigracji, Granic i Azylu/Komitetu Mieszanego (UE–Islandia/Liechtenstein/Norwegia/Szwajcaria) z dnia 28 marca 2013 r. w sprawie pakietu w sprawie inteligentnych granic, http://www.statewatch.org/news/2013/apr/eu-council-smart-borders-8018-13.pdf

(21)  Opinia EIOD z dnia 10 lipca 2009 r. w sprawie komunikatu Komisji do Parlamentu Europejskiego i Rady dotyczącego przestrzeni wolności, bezpieczeństwa i sprawiedliwości w służbie obywateli (Dz.U. C 276 z 17.11.2009, s. 8).

(22)  Dz.U. C 83 z 30.3.2010, s. 389.

(23)  Rada Europy, ETS nr 5 z 4.11.1950.