26.7.2014

Dziennik Urzędowy Unii Europejskiej

C 244/15

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie pakietu środków legislacyjnych reformujących Eurojust oraz ustanawiających Prokuraturę Europejską („EPPO”)

(Niniejsza opinia jest dostępna w pełnym brzmieniu w języku angielskim, francuskim i niemieckim na stronie internetowej EIOD (www.edps.europa.eu))

2014/C 244/08

A. WPROWADZENIE

A.1. Kontekst opinii

W dniu 17 lipca 2013 r. Komisja przyjęła pakiet środków legislacyjnych ustanawiających Prokuraturę Europejską („EPPO”) i reformujących Eurojust. Wspomniany pakiet obejmuje:

—	komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego oraz Komitetu Regionów zatytułowany „Lepsza ochrona interesów finansowych Unii: ustanowienie Prokuratury Europejskiej i reforma Eurojustu” (1) (dalej „komunikat w sprawie EPPO i Eurojustu”),

—	wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie Agencji Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych (dalej „wniosek dotyczący Eurojustu”) (2),

—	wniosek dotyczący rozporządzenia Rady w sprawie ustanowienia Prokuratury Europejskiej (3) (dalej „wniosek dotyczący EPPO”), oraz

—

komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów zatytułowany: „Poprawa zarządzania OLAF oraz wzmocnienie gwarancji proceduralnych w dochodzeniach. Podejście stopniowe towarzyszące ustanowieniu Prokuratury Europejskiej” (4) (dalej „komunikat w sprawie OLAF”).

2.	Zanim przyjęto pakiet, EIOD miał możliwość przedstawienia swoich nieformalnych uwag. EIOD z zadowoleniem przyjmuje fakt uwzględnienia niektórych uwag przez Komisję.

3.	EIOD z zadowoleniem przyjmuje również to, że Komisja zasięgnęła jego opinii i że w preambule obu wniosków znalazły się odniesienia do konsultacji.

A.2. Cele pakietu

4.	Reforma Eurojustu oraz utworzenie Prokuratury Europejskiej mają na celu przeciwdziałanie nadużyciom finansowym, zwiększenie rozliczalności w zakresie prowadzenia postępowań na szczeblu UE oraz podniesienie poziomu ochrony osób objętych dochodzeniami (5).

Podstawą wniosku dotyczącego Eurojustu jest art. 85 TFUE. Wniosek ma następujące cele:

—	poprawa skuteczności Eurojustu poprzez zapewnienie mu nowej struktury zarządzania,

—	poprawa efektywności operacyjnej Eurojustu poprzez jednolite zdefiniowanie statusu i uprawnień przedstawicieli krajowych,

—	zapewnienie roli Parlamentowi Europejskiemu i parlamentom narodowym w ocenie działalności Eurojustu zgodnie z Traktatem z Lizbony,

—	dostosowanie ram prawnych Eurojustu do wspólnego podejścia przy pełnym poszanowaniu jego szczególnej roli w koordynacji trwających dochodzeń,

—	dopilnowanie, aby Eurojust mógł prowadzić ścisłą współpracę z Prokuraturą Europejską po jej utworzeniu.

Podstawą wniosku dotyczącego EPPO jest art. 86 TFUE. Wniosek ma następujące główne cele:

—

przyczynienie się do wzmocnienia ochrony interesów finansowych Unii i dalszego rozwoju w obszarze wymiaru sprawiedliwości, a także zwiększenie zaufania przedsiębiorców i obywateli UE do instytucji unijnych, przy jednoczesnym poszanowaniu wszystkich podstawowych praw zapisanych w Karcie praw podstawowych Unii Europejskiej („karta UE”),

—	ustanowienie spójnego europejskiego systemu prowadzenia dochodzeń i ścigania przestępstw przeciwko interesom finansowym Unii,

—	zapewnienie skuteczniejszego i sprawniejszego prowadzenia dochodzeń i ścigania przestępstw przeciwko interesom finansowym UE,

—	zwiększenie liczby prowadzonych postępowań karnych, a w rezultacie zwiększenie liczby wyroków skazujących i przypadków odzyskania środków unijnych uzyskanych w sposób nieuczciwy,

—	zapewnienie ścisłej współpracy i skutecznej wymiany informacji między właściwymi organami europejskimi i krajowymi,

—	wzmocnienie efektu odstraszającego w odniesieniu do przestępstw przeciwko interesom finansowym Unii.

7.	Oba wnioski mają zasadnicze znaczenie z punktu widzenia ochrony danych, ponieważ przetwarzanie danych mieści się w zakresie podstawowych czynności Eurojustu i będzie wchodzić w zakres podstawowych czynności EPPO.

A.3. Cel opinii

W niniejszej opinii skupiono się na tych zmianach przepisów regulujących działania Eurojustu, które są najistotniejsze z perspektywy ochrony danych. Przedstawiono w niej również zalecenia dotyczące przepisów podobnych do już istniejących, tak by jeszcze bardziej wzmocnić system ochrony danych mający zastosowanie w odniesieniu do Eurojustu.

Jeżeli chodzi o wniosek dotyczący EPPO, EIOD pragnie zauważyć, że pod względem ochrony danych wniosek ten w znacznej mierze opiera się na wniosku dotyczącym Eurojustu. W niniejszej opinii wspomniany wniosek poddano zatem analizie w związku z wnioskiem dotyczącym Eurojustu, podkreślając przy tym jego specyfikę, tam gdzie to istotne. EIOD podkreśla, że niniejsza analiza ogranicza się do aspektów związanych z ochroną danych. Jej przedmiotem nie jest zbadanie, czy przepisy zawarte we wniosku dotyczącym EPPO są zgodne z innymi prawami podstawowymi (6).

D. WNIOSKI

122.

EIOD z zadowoleniem przyjmuje przepisy dotyczące ochrony danych zawarte we wnioskach dotyczących Eurojustu i EPPO, ponieważ przetwarzanie danych należy do podstawowych czynności Eurojustu i będzie wchodzić w zakres podstawowych czynności EPPO. Za punkt odniesienia dla wniosków słusznie przyjęto rozporządzenie (WE) nr 45/2001, ponieważ rozporządzenie to przewiduje spójne i jednolite stosowanie zasad ochrony danych w odniesieniu do wszystkich organów UE, przy jednoczesnym uwzględnieniu specyfiki współpracy policyjnej i sądowej w sprawach karnych.

123.

Ponieważ działań Eurojustu i EPPO nie można porównywać do typowych działań organów wymiaru sprawiedliwości, przetwarzanie danych osobowych przez te organy powinno zostać objęte nadzorem niezależnego organu nadzoru. Uwzględniając zasadę, zgodnie z którą nadzór należy prowadzić na tym samym szczeblu co kontrolę, nadzór nad unijnymi organami kontroli Eurojust i EPPO powinien zostać powierzony jednemu z organów UE. W związku z tym należy w sposób logiczny i konsekwentny uznać, że rolę tę powinien wypełniać EIOD, czyli niezależny organ UE powołany do nadzorowania wszystkich instytucji i organów UE.

124.

Ponadto, ponieważ znaczna część danych przetwarzanych przez Eurojust i EPPO będzie pochodziła z państw członkowskich, niezbędne jest zapewnienie aktywnego zaangażowania krajowych organów ochrony danych poprzez ich ścisłą współpracę z EIOD, tak by zapewnić kompleksowy nadzór zarówno na szczeblu UE, jak i krajowym. Na szczeblu UE zapewnienie niezależnego i skutecznego nadzoru oznacza jednak przyjęcie na siebie pełnej i wyłącznej odpowiedzialności przez EIOD, z zastrzeżeniem kontroli TSUE.

125.

Istnieją jednak liczne przepisy, zarówno o charakterze ogólnym, jak i szczegółowym, których brzmienie należy skorygować lub poprawić. W związku z dużym znaczeniem wniosków z perspektywy ochrony danych EIOD określił szereg zaleceń mających na celu zapewnienie spełnienia przez wnioski niezbędnych standardów kompleksowej i skutecznej ochrony danych osobowych przez Eurojust i EPPO.

126.

EIOD zaleca:

—

zawarcie we wniosku dotyczącym Eurojustu wyraźnego rozróżnienia pojęciowego pomiędzy danymi operacyjnymi (danymi dotyczącymi sprawy) a danymi administracyjnymi (danymi niezwiązanymi ze sprawą) i zmianę brzmienia art. 27 ust. 5 wniosku dotyczącego Eurojustu w sposób uwzględniający sformułowane definicje,

—	zdefiniowanie we wnioskach dotyczących Eurojustu i EPPO następujących terminów: właściwe organy, organy Unii, państwa trzecie, organizacje międzynarodowe, strony prywatne i osoby fizyczne,

—	jasne i szczegółowe określenie zakresu kompetencji EPPO,

—	doprecyzowanie, czy dane osobowe mogą być przetwarzane w aktach sprawy poza systemem zarządzania sprawami (CMS),

—	zastąpienie brzmienia „dane osobowe związane ze sprawą” brzmieniem „operacyjne dane osobowe” w art. 22 ust. 6 wniosku dotyczącego EPPO w celu zapewnienia spójności z definicjami określonymi w art. 2 lit. e) wniosku dotyczącego EPPO,

—	objaśnienie we wnioskach dotyczących Eurojustu i EPPO celów przetwarzania danych osobowych w odniesieniu do indeksu, akt tymczasowych, a w stosownych przypadkach, wszelkich innych plików zawierających dane operacyjne obejmujące dane osobowe,

—

skreślenie z art. 24 ust. 2 lit. c) wniosku dotyczącego Eurojustu i art. 22 ust. 2 lit. c) wniosku dotyczącego EPPO propozycji, aby monitorowanie pod kątem legalności i zgodności z przepisami dotyczącymi przetwarzania danych osobowych odbywało się za pomocą systemu zarządzania sprawami (CMS), i ujęcie tej propozycji w osobnym ustępie,

—	wyjaśnienie w uzasadnieniu kategorii danych: „numery identyfikacji celnej i podatkowej” lub skreślenie tej kategorii z załącznika 2,

—

dodanie w art. 37 ust. 3 wniosku dotyczącego EPPO zapisu mówiącego o konieczności informowania inspektora ochrony danych o szczególnych okolicznościach uzasadniających przetwarzanie takich danych osobowych i zapisu w art. 27 ust. 3 wniosku dotyczącego Eurojustu i w art. 37 ust. 3 wniosku dotyczącego EPPO, że uzasadnienie to wymaga odpowiedniego udokumentowania,

—	a także dodanie osób poniżej 18 roku życia w ostatnim zdaniu art. 27 ust. 3 i 4 wniosku dotyczącego Eurojustu oraz w ostatnim zdaniu art. 37 ust. 4 wniosku dotyczącego EPPO,

—	skreślenie art. 28 ust. 4 wniosku dotyczącego Eurojustu oraz art. 38 ust. 4 wniosku dotyczącego EPPO, ponieważ obowiązek dokonania przeglądu danych jest już określony w innym ustępie, a przegląd powinien przeprowadzać organ kontroli (tj. Eurojust lub EPPO), a nie EIOD,

—

zawarcie w art. 28 wniosku dotyczącego Eurojustu i art. 38 wniosku dotyczącego EPPO ustępu dopuszczającego dalsze przechowywanie danych w następujących sytuacjach:

—	gdy jest to niezbędne do ochrony interesów osoby, której dane dotyczą i która wymaga ochrony,

—	w przypadku zakwestionowania dokładności danych przez osobę, której dane dotyczą – przez okres umożliwiający organowi kontroli zweryfikowanie dokładności danych,

—	gdy przechowywanie danych jest niezbędne do celów postępowania dowodowego,

—	gdy osoba, której dane dotyczą, sprzeciwia się ich usunięciu, domagając się zamiast tego zastrzeżenia ich użycia,

—	dodanie do wniosku dotyczącego Eurojustu osobnego przepisu wyszczególniającego wszystkie źródła, z których pochodzą informacje przetwarzane przez Eurojust,

—	zmianę art. 31 wniosku dotyczącego Eurojustu w sposób zapewniający wyznaczanie inspektora ochrony danych przez kolegium,

—	zastąpienie w art. 31 ust. 2 wniosku dotyczącego Eurojustu i w art. 41 ust. 2 wniosku dotyczącego EPPO brzmienia „W ramach wykonywania obowiązków określonych w art. 24 rozporządzenia (WE) nr 45/2001” brzmieniem „Oprócz wykonywania obowiązków określonych w art. 24 rozporządzenia (WE) nr 45/2001”,

—

zamieszczenie w art. 31 ust. 3 wniosku dotyczącego Eurojustu i art. 41 ust. 3 wniosku dotyczącego EPPO zapisu przewidującego pełny dostęp pracowników inspektora ochrony danych, podczas wykonywania ich obowiązków służbowych, do wszystkich danych przetwarzanych przez Eurojust i do wszystkich pomieszczeń Eurojustu, z zastrzeżeniem że dostęp ten jest możliwy o każdej porze i bez uprzedniej zgody,

—	określenie w art. 31 wniosku dotyczącego Eurojustu i art. 41 wniosku dotyczącego EPPO obowiązku prowadzenia ewidencji zdarzeń mających wpływ na operacyjne i administracyjne dane osobowe przetwarzane przez Eurojust,

—	skreślenie art. 32 ust. 4 wniosku dotyczącego Eurojustu i art. 42 ust. 4 wniosku dotyczącego EPPO, ponieważ przepisy te obejmuje już swym zakresem art. 20 rozporządzenia (WE) nr 45/2001, który ma zastosowanie do Eurojustu i EPPO,

—	skreślenie drugiego zdania art. 32 ust. 6 wniosku dotyczącego Eurojustu, w którym wspomniano o terminie, ponieważ jest ono zbędne w świetle art. 32 ust. 2 wniosku dotyczącego Eurojustu,

—	skreślenie art. 32 ust. 7 wniosku dotyczącego Eurojustu i art. 42 ust. 4 wniosku dotyczącego EPPO, ponieważ są one zbędne w świetle rozporządzenia (WE) nr 45/2001,

—	dodanie w tytule art. 33 wniosku dotyczącego Eurojustu i art. 43 wniosku dotyczącego EPPO następującego brzmienia „Warunki dotyczące”,

—	określenie zasad dotyczących poprawienia danych, ich usunięcia oraz ograniczenia przetwarzania danych przekazywanych przez organy UE w art. 33 wniosku dotyczącego Eurojustu,

—	zastąpienie obecnego brzmienia art. 34 ust. 1 wniosku dotyczącego Eurojustu i art. 44 ust. 1 wniosku dotyczącego EPPO następującym brzmieniem: „Eurojust zawsze przetwarza dane osobowe w sposób umożliwiający ustalenie ich źródła”,

—	w art. 34 ust. 3 wniosku dotyczącego Eurojustu i art. 44 ust. 2 wniosku dotyczącego EPPO, rozdzielenie dwóch zdań zawartych w tych przepisach i ujęcie ich w osobnych ustępach, ponieważ zdania te dotyczą różnych kwestii,

—	zmianę pierwszego zdania art. 34 ust. 3 wniosku dotyczącego Eurojustu i art. 44 ust. 3 wniosku dotyczącego EPPO w sposób doprecyzowujący zakres obowiązków,

—	zmianę brzmienia ostatniego zdania art. 36 ust. 1 wniosku dotyczącego Eurojustu i art. 46 ust. 1 wniosku dotyczącego EPPO w sposób zapewniający uwzględnienie przez EIOD w jak największym stopniu opinii właściwych krajowych organów nadzoru,

—

dodanie słowa „w tym” między „organizacjami międzynarodowymi” a „Międzynarodową Organizacją Policji Kryminalnej (Interpolem)” na końcu art. 38 ust. 1 wniosku dotyczącego Eurojustu i zastąpienie brzmienia „organizacje międzynarodowe lub Interpol” brzmieniem „organizacje międzynarodowe, w tym Interpol” w art. 40 ust. 1 oraz art. 45 ust. 2 wniosku dotyczącego Eurojustu,

—	usunięcie możliwości zakładania przez Eurojust zgody państw członkowskich poprzez skreślenie art. 38 ust. 4 lit. a) wniosku dotyczącego Eurojustu i dodanie w drugim zdaniu art. 38 ust. 4 wniosku dotyczącego Eurojustu wymogu uzyskania zgody „przed przekazaniem”,

—	dodatnie w art. 38 wniosku dotyczącego Eurojustu ustępu dopuszczającego przekazywanie danych tylko pod warunkiem zobowiązania się otrzymującego dane do ich użycia wyłącznie w celu, w jakim zostały przekazane,

—

dodanie w art. 38 wniosku dotyczącego Eurojustu ustępu wymagającego od Eurojustu prowadzenia szczegółowej ewidencji przypadków przekazywania danych osobowych i ich uzasadnienia, zgodnie z art. 31 ust. 2 lit. a) wniosku dotyczącego Eurojustu. Te same zalecenia dotyczą art. 56 wniosku dotyczącego EPPO,

—	doprecyzowanie tytułu sekcji II (Stosunki z partnerami) rozdziału V we wniosku dotyczącym Eurojustu i sekcji II rozdziału VIII we wniosku dotyczącym EPPO,

—	dodanie w art. 40 ust. 5 wniosku dotyczącego Eurojustu zapisu stanowiącego, że Eurojust udostępnia przedmiotowe informacje zgodnie z decyzją państwa członkowskiego, organu Unii, państwa trzeciego lub organizacji międzynarodowej, które przekazały te informacje Eurojustowi,

—	dodanie w jednym z motywów preambuły wniosków uzasadnienia potrzeby automatycznej i systematycznej wymiany informacji między Eurojustem a EPPO,

—	Przeniesienie art. 42 ust. 1 do art. 39, który dotyczy współpracy z europejską siecią sądową i innymi sieciami UE zaangażowanymi we współpracę w sprawach karnych,

—	skreślenie w art. 43 wniosku dotyczącego Eurojustu odniesienia do art. 38 ust. 1 i zamiast tego wyszczególnienie podmiotów, z którymi Eurojust może dokonywać uzgodnień roboczych (państw trzecich i organizacji międzynarodowych),

—	wyjaśnienie w art. 43 wniosku dotyczącego Eurojustu, że artykuł ten nie narusza warunków przekazywania danych osobowych państwom trzecim i organizacjom międzynarodowym określonych w sekcji IV wniosku dotyczącego Eurojustu,

—	dodanie w art. 44 wniosku dotyczącego Eurojustu zapisu stanowiącego, że stosowanie tego artykułu nie narusza art. 40–42,

—	określenie w art. 44 wniosku dotyczącego Eurojustu i art. 61 wniosku dotyczącego EPPO obowiązku publikowania przez Eurojust/EPPO na ich stronach internetowych regularnie aktualizowanego wykazu instytucji i organów, którym Eurojust/EPPO udostępniają informacje,

—	skreślenie w art. 45 wniosku dotyczącego Eurojustu i w art. 61 wniosku dotyczącego EPPO odniesienia do dyrektywy 95/46/WE i określenie we wniosku kryteriów i trybu przyjmowania przez Komisję decyzji stwierdzającej odpowiedni poziom ochrony,

—

dodanie w art. 45 ust. 1 wniosku dotyczącego Eurojustu i w art. 61 ust. 1 wniosku dotyczącego EPPO wymogu przeprowadzenia, odpowiednio wcześniej, konsultacji z EIOD w toku negocjowania każdej umowy międzynarodowej między UE a państwem trzecim lub organizacją międzynarodową, w szczególności przed przyjęciem mandatu negocjacyjnego oraz finalizacją umowy,

—

dodanie w art. 45 ust. 1 wniosku dotyczącego Eurojustu i art. 61 ust. 1 wniosku dotyczącego EPPO przejściowego przepisu o istniejących umowach o współpracy regulującego przekazywanie danych osobowych przez Eurojust, który przewidywałby ponowną ocenę tych umów w celu zapewnienia ich zgodności z wymogami wniosku dotyczącego Eurojustu w terminie nie dłuższym niż dwa lata od wejścia w życie wniosku dotyczącego Eurojustu,

—

uwzględnienie w art. 45 ust. 1 wniosku dotyczącego Eurojustu i art. 61 ust. 1 wniosku dotyczącego EPPO obowiązku publikowania przez Eurojust i EPPO na ich stronach internetowych regularnie aktualizowanego wykazu zawartych przez nie umów międzynarodowych i o współpracy z państwami trzecimi i organizacjami międzynarodowymi,

—

dodanie w art. 45 ust. 2 wniosku dotyczącego Eurojustu i art. 61 ust. 2 wniosku dotyczącego EPPO wyraźnego zapisu stanowiącego, że odstępstwa mają zastosowanie w odniesieniu do sporadycznych przypadków przekazywania danych, a nie częstego, masowego lub strukturalnego przekazywania danych (przekazywania zbiorów danych),

—	skreślenie art. 45 ust. 2 lit. a) wniosku dotyczącego Eurojustu/art. 61 ust. 2 lit. a) wniosku dotyczącego EPPO i zastąpienie ich odpowiednio art. 45 ust. 2 lit. c) wniosku dotyczącego Eurojustu/art. 61 ust. 2 lit. c) wniosku dotyczącego EPPO w ramach pierwszej derogacji,

—	zmianę art. 45 ust. 3 wniosku dotyczącego Eurojustu i art. 61 ust. 3 wniosku dotyczącego EPPO,

—	określenie w art. 45 wniosku dotyczącego Eurojustu oraz w art. 61 wniosku dotyczącego EPPO wymogu szczegółowego udokumentowania przekazywania danych w ramach odstępstwa.

Sporządzono w Brukseli dnia 5 marca 2014 r.

Giovanni BUTTARELLI

Zastępca Europejskiego Inspektora Ochrony Danych

(1) COM(2013) 532 final.

(2) COM(2013) 535 final.

(3) COM(2013) 534 final.

(4) COM(2013) 533 final.

(5) Komunikat w sprawie EPPO i Eurojustu, pkt 1.

(6) Analizę dotyczącą innych praw podstawowych można znaleźć zwłaszcza w opinii Agencji Praw Podstawowych Unii Europejskiej („FRA”) w sprawie wniosku dotyczącego ustanowienia Prokuratury Europejskiej, Wiedeń, 4 lutego 2014 r., dostępnej na stronie internetowej FRA: http://fra.europa.eu/en.