12.1.2017   

PL

Dziennik Urzędowy Unii Europejskiej

C 9/3

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie pierwszego pakietu reform dotyczącego wspólnego europejskiego systemu azylowego (rozporządzenia Eurodac, EASO i dublińskie)

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu)

(2017/C 9/04)

Od kilku lat Europa boryka się z poważnym kryzysem migracyjnym i uchodźczym, który w 2015 r. stał się jeszcze większym wyzwaniem. Komisja zaproponowała zatem przeprowadzenie reformy rozporządzenia dublińskiego, aby dostosować jego przepisy do aktualnej sytuacji. Reforma jest powiązana z wnioskiem dotyczącym utworzenia Agencji Unii Europejskiej ds. Azylu, której zadaniem jest wsparcie państw członkowskich w wykonywaniu ich obowiązków w zakresie azylu.

Eurodac, od czasu jego utworzenia, dostarczał dowody daktyloskopijne w celu określania państwa członkowskiego odpowiedzialnego za rozpatrywanie wniosku o udzielenie azylu złożonego w UE.

Komisja złożyła również wniosek dotyczący przekształcenia rozporządzenia Eurodac. Główna zmiana w rozporządzeniu dotyczy rozszerzenia zakresu systemu Eurodac w celu rejestrowania obywateli państw trzecich nielegalnie przebywających w państwach członkowskich lub zatrzymanych w związku z nielegalnym przekroczeniem granicy pomiędzy państwem członkowskim a państwem trzecim.

Europejski Inspektor Ochrony Danych dostrzega potrzebę skuteczniejszego zarządzania migracją i sprawami w zakresie azylu w UE. Zaleca jednak wprowadzenie istotnych poprawek, aby w większym stopniu uwzględnić uzasadnione prawa i interesy poszczególnych osób, których dane osobowe są przetwarzane, w szczególności grup szczególnie wrażliwych wymagających szczególnej ochrony, takich jak migranci i uchodźcy.

W treści swojej opinii Europejski Inspektor Ochrony Danych zaleca, między innymi, następujące główne punkty:

zawarcie informacji w rozporządzeniu dublińskim, że unikalny identyfikator, który ma być stosowany w dublińskiej bazie danych, w żadnym wypadku nie może być wykorzystywany do celów innych niż określone w rozporządzeniu dublińskim,

przeprowadzenie pełnej oceny skutków w zakresie ochrony danych i prywatności wersji przekształconej rozporządzenia Eurodac z 2016 r. w celu zbadania skutków w zakresie ochrony danych nowej zaproponowanej treści i rozszerzenia zakresu bazy danych Eurodac,

przeprowadzenie oceny potrzeby gromadzenia i wykorzystywania wizerunków twarzy kategorii osób, o których mowa w wersji przekształconej rozporządzenia Eurodac 2016 r. oraz proporcjonalności ich gromadzenia na podstawie spójnej analizy i przy zastosowaniu podejścia opartego na dowodach,

przeprowadzenie szczegółowej oceny sytuacji małoletnich i równowagi pomiędzy zagrożeniami i szkodami związanymi z procedurą pobierania odcisków palców małoletnich a korzyściami, jakie z niej płyną, w uzupełnieniu uzasadnienia towarzyszącego wnioskowi.

W opinii wskazano ponadto inne uchybienia w poszczególnych wnioskach i przedstawiono dodatkowe zalecenia odnośnie do ochrony danych i prywatności, które należy uwzględnić w procesie legislacyjnym.

I.   WPROWADZENIE I KONTEKST

1.

W kwietniu 2016 r. Komisja przyjęła Komunikat zatytułowany „W kierunku reformy wspólnego europejskiego systemu azylowego i zwiększenia liczby legalnych sposobów migracji do Europy” (1), w którym określiła priorytety dotyczące wzmocnienia wspólnego europejskiego systemu azylowego (WESA). W tym kontekście w dniu 4 maja 2016 r. Komisja wystosowała trzy wnioski w ramach pierwszego pakietu reform WESA:

wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego kryteria i mechanizmy ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela kraju trzeciego lub bezpaństwowca (zwany dalej „wnioskiem dublińskim”) (2),

wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie Agencji Unii Europejskiej ds. Azylu i uchylającego rozporządzenie (UE) nr 439/2010 (zwany dalej „wnioskiem w sprawie Agencji Unii Europejskiej ds. Azylu” lub „wnioskiem AUEA”) (3), oraz

wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (UE) nr 603/2013 w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania [rozporządzenia (UE) nr 604/2013] w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego (wersja przekształcona z 2016 r.) (zwany dalej „wnioskiem dotyczącym przekształcenia rozporządzenia Eurodac z 2016 r.”) (4).

2.

Przed publikacją wniosku dotyczącego przekształcenia rozporządzenia Eurodac i EASO zwrócono się do EIOD o nieformalne konsultacje, a EIOD przekazał Komisji nieformalne uwagi dotyczące obu tekstów.

3.

Europejski Inspektor Ochrony Danych dostrzega potrzebę, aby UE sprostała wyzwaniom kryzysu migracyjnego i uchodźczego, który rozpoczął się w 2015 r., jak również potrzebę opracowania skutecznej i zharmonizowanej polityki UE na rzecz zapobiegania nielegalnej imigracji zarówno do UE, jak i w obrębie jej terytorium. W pełnym poszanowaniu roli prawodawcy w kontekście oceny konieczności i proporcjonalności proponowanych środków, w niniejszej opinii EIOD, działając w charakterze doradcy, określi zalecenia w zakresie ochrony danych i prywatności, aby udzielić prawodawcy wsparcia w realizacji wymogów przewidzianych w art. 7 i 8 Karty praw podstawowych odnośnie do praw do ochrony prywatności i danych i art. 16 Traktatu o funkcjonowaniu Unii Europejskiej.

4.

W pierwszej kolejności EIOD odniesie się do głównych zaleceń dotyczących trzech wspomnianych wniosków. W treści głównych zaleceń EIOD przedstawia najważniejsze zaobserwowane przez niego kwestie, które w każdym przypadku powinny zostać uwzględnione w procesie legislacyjnym. W dodatkowych zaleceniach EIOD określa punkty wymagające wyjaśnienia, przedstawienia dodatkowych informacji lub wprowadzenia drobnych zmian. Takie rozróżnienie powinno ułatwić prawodawcy nadanie priorytetów istotnym kwestiom omówionym w niniejszej opinii.

IV.   WNIOSKI

68.

Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje wysiłki w zakresie ochrony danych zawarte w poszczególnych tekstach. Zauważa, że kultura ochrony danych staje się częścią procesu legislacyjnego i jest widoczna na etapie tworzenia projektów wniosków.

69.

W pełnym poszanowaniu roli prawodawcy w kontekście oceny konieczności i proporcjonalności proponowanych środków, w niniejszej opinii EIOD, działając w charakterze doradcy, przedstawia zalecenia w zakresie ochrony danych i prywatności dotyczące trzech wniosków poddanych analizie.

70.

W odniesieniu do wniosku dublińskiego EIOD wyraża zaniepokojenie, że unikalny identyfikator może być wykorzystywany do innych celów, na przykład w celu identyfikacji osób w innych bazach danych, co sprawi, że porównanie baz danych będzie proste i łatwe. Europejski Inspektor Ochrony Danych zaleca wskazanie, że wykorzystanie identyfikatora do innych celów powinno być zabronione.

71.

W odniesieniu do wniosku dotyczącego przekształcenia rozporządzenia Eurodac EIOD jest zdania, że rozszerzenie zakresu systemu Eurodac budzi wątpliwości co do poszanowania zasady celowości zawartej w art. 7 Karty praw podstawowych Unii Europejskiej. Europejski Inspektor Ochrony Danych zaleca również dookreślenie rodzajów środków, innych niż wydalanie i repatriacja, które mogłyby być stosowane przez państwa członkowskie w oparciu o dane Eurodac. Europejski Inspektor Ochrony Danych zaleca, aby Komisja udostępniła pełną ocenę skutków w zakresie ochrony danych i prywatności wersji przekształconej rozporządzenia Eurodac z 2016 r. w celu zbadania skutków w zakresie prywatności proponowanego tekstu.

72.

Europejski Inspektor Ochrony Danych jest także zaniepokojony gromadzeniem wizerunków twarzy: w rozporządzeniu nie ma odniesienia do oceny potrzeby gromadzenia i wykorzystywania wizerunków twarzy kategorii osób, o których mowa we wniosku dotyczącym przekształcenia rozporządzenia Eurodac. Ponadto EIOD uważa, że we wniosku powinno się sprecyzować przypadki, w których porównuje się odciski palców lub wizerunki twarzy, ponieważ z projektu wniosku dotyczącego przekształcenia wynika, że takie porównanie powinno odbywać się w sposób systematyczny.

73.

Europejski Inspektor Ochrony Danych zaleca, aby w uzupełnieniu uzasadnienia towarzyszącego wnioskowi udostępniono szczegółową ocenę sytuacji małoletnich oraz równowagi pomiędzy zagrożeniami i szkodami związanymi z taką procedurą dotyczącą małoletnich a korzyściami, jakie z niej płyną. W tym kontekście w rozporządzeniu należy doprecyzować (tj. w motywie) rozumienie pobierania odcisków palców małoletnich w sposób przyjazny dziecku.

74.

Jeżeli chodzi o okres zatrzymywania danych, który z zasady będzie wynosić pięć lat, EIOD zaleca podanie szczegółów i wyjaśnienie, dlaczego i w jaki sposób pięcioletni okres zatrzymywania danych został uznany za niezbędny w tym kontekście do osiągnięcia nowych celów bazy danych Eurodac. Ponadto EIOD zaleca ograniczenie okresu zatrzymywania danych do faktycznego okresu trwania zakazu wjazdu nałożonego na daną osobę. EIOD zaleca również określenie we wniosku terminu rozpoczęcia okresu zatrzymywania danych, jako daty przetworzenia po raz pierwszy odcisków palców przez państwo członkowskie.

75.

Co więcej EIOD zaleca zablokowanie wszelkich danych na potrzeby ochrony porządku publicznego po upływie trzech lat i zaprzestanie rozróżniania w tym względzie kategorii obywateli państw trzecich.

76.

Oprócz podstawowych niedociągnięć wniosku wskazanych powyżej zalecenia EIOD w niniejszej opinii dotyczą następujących kwestii:

w odniesienia do wniosku dotyczącego przekształcenia rozporządzenia Eurodac,

Europejski Inspektor Ochrony Danych zaleca określenie w treści wniosku, że ostateczną odpowiedzialność za przetwarzanie danych osobowych ponoszą państwa członkowskie, które uznaje się za administratorów w rozumieniu dyrektywy 95/46/WE.

Należy zmienić treść art. 37, aby określał przypadki, w których przesyłanie danych między państwami jest dozwolone a w których zabronione, w szczególności w odniesieniu do przesyłania informacji do kraju pochodzenia wnioskodawcy.

W art. 38 ust.1 powinno się określić, że państwa członkowskie mogą przesyłać wyłącznie dane niezbędne na potrzeby powrotu.

Nie należy zezwalać na stosowanie środków przymusu w celu pobierania odcisków palców. Powinno się to uwzględnić w treści rozporządzenia Eurodac.

W tym kontekście EIOD zaleca doprecyzowanie, że zatrzymania nie należy uznawać za sankcję z tytułu niewykonania obowiązku złożenia odcisków palców.

Wykorzystywanie rzeczywistych danych przez eu-LISA do celów testowania budzi poważne zastrzeżenia i nie powinno być dozwolone na podstawie rozporządzenia Eurodac. Prawodawca powinien rozważyć i ocenić możliwość wykorzystywania danych nierzeczywistych, biorąc pod uwagę ryzyko naruszenia prywatności odnośnych osób. W każdym razie w tekście nie powinno się uwzględniać możliwości anonimizacji danych biometrycznych, ponieważ takie dane zawsze dotyczą konkretnej osoby, są zatem uznawane za dane osobowe.

Odnośnie do przetwarzania informacji przez eu-LISA EIOD zaleca określenie konieczności włączenia przepisów wymagających stosowania odpowiednich zabezpieczeń dostępu zewnętrznych wykonawców do danych.

Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje starania, aby dostęp organów ścigania podlegał ocenie niezależnego organu. Jednakże wyznaczone organy i organy weryfikujące nie powinny być częścią tej samej organizacji, aby utrzymać niezależność organu weryfikującego.

w odniesieniu do wniosku AUEA

Europejski Inspektor Ochrony Danych zaleca określenie we wniosku, że eksperci Agencji powinni mieć dostęp do baz danych wyłącznie w zakresie zgodnym z przepisami aktów prawnych regulujących takie bazy i przepisami dotyczącymi ochrony danych.

Europejski Inspektor Ochrony Danych zaleca dookreślenie, co oznaczają cele administracyjne w treści art. 30 ust. 3, ponieważ pod tym pojęciem może kryć się każdy cel realizowany przez administrację.

Europejski Inspektor Ochrony Danych zaleca wyjaśnienie zakresu obowiązków dotyczących zabezpieczenia sprzętu wykorzystywanego przez Agencję, który powinien obejmować wszystkie etapy cyklu życia sprzętu, a mianowicie od momentu jego nabycia, przez przechowywanie i wykorzystywanie, do jego zbycia.

Bruksela, dnia 21 września 2016 r.

Giovanni BUTTARELLI

Europejski Inspektor Ochrony Danych

(1)  COM(2016) 197 final.

(2)  COM(2016) 270 final.

(3)  COM(2016) 271 final.

(4)  COM(2016) 272 final.