PAOLA MENGOZZIEGO
przedstawiona w dniu 13 czerwca 2013 r. ( 1 )
Sprawa C‑291/12
Michael Schwarz
przeciwko
Stadt Bochum
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Gelsenkirchen (Niemcy)]
„Obszar wolności, bezpieczeństwa i sprawiedliwości — Normy zabezpieczeń i dane biometryczne włączone do paszportów i dokumentów podróży wydawanych przez państwa członkowskie — Artykuł 1 ust. 2 rozporządzenia (WE) nr 2252/2004 w brzmieniu zmienionym rozporządzeniem (WE) nr 444/2009 — Prawo do ochrony danych osobowych”
Spis treści
I – Wstęp |
|
II – Ramy prawne |
|
A – Prawo Unii |
|
B – Prawo niemieckie |
|
III – Postępowanie główne i pytanie prejudycjalne |
|
IV – Postępowanie przed Trybunałem |
|
V – Analiza prawna |
|
A – W przedmiocie zarzucanej niewystarczającej podstawy prawnej |
|
1. Treść i cel rozporządzenia nr 2252/2004 w brzmieniu zmienionym |
|
2. Odpowiedni charakter art. 62 pkt 2 lit. a) WE jako podstawy prawnej zaskarżonego rozporządzenia nr 2252/2004 w brzmieniu zmienionym |
|
B – W przedmiocie zarzucanego naruszenia obowiązku konsultacji z Parlamentem |
|
C – W przedmiocie podnoszonego naruszenia prawa podstawowego do ochrony danych osobowych |
|
1. Uwagi wstępne na temat miejsca praw podstawowych w kontekście rozporządzenia nr 2252/2004 w brzmieniu zmienionym |
|
2. Obowiązek zawarty w art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym stanowi naruszenie prawa podstawowego do ochrony danych osobowych przewidziane przez ustawę i które służy celowi leżącemu w interesie ogólnym, uznanemu przez Unię |
|
3. W przedmiocie proporcjonalnego charakteru naruszenia |
|
a) Ograniczenie jest odpowiednie do osiągnięcia celu interesu ogólnego, uznanego przez Unię |
|
b) Artykuł 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym jest niezbędny do realizacji celu interesu ogólnego, uznanego przez Unię |
|
c) Uwagi końcowe |
|
VI – Wnioski |
I – Wstęp
1. |
„Zastosowanie biometrii w systemach informatycznych nie jest wyborem bez znaczenia, zwłaszcza w sytuacji, w której system obejmuje tak wielką liczbę podmiotów […]. Zmienia ona w sposób nieodwracalny stosunek pomiędzy ciałem a tożsamością: cechy ciała ludzkiego stają się przedmiotem odczytu maszynowego i mogą być dalej wykorzystywane. Nawet jeżeli cechy biometryczne nie są rozpoznawalne dla ludzkiego oka, to można je zawsze odczytać i wykorzystać przy zastosowaniu odpowiednich narzędzi, bez względu na miejsce przebywania danej osoby”. |
2. |
Powyższe ostrzeżenie Europejskiego Inspektora Ochrony Danych ( 2 ) ma szczególne znaczenie obecnie, gdy do Trybunału zwrócono się o rozstrzygnięcie w sprawie ważności, zwłaszcza w świetle prawa podstawowego do ochrony danych osobowych, ustanowionego przez Kartę praw podstawowych Unii Europejskiej (zwanej dalej „kartą”), obowiązku, nałożonego na państwa członkowskie rozporządzeniem Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie ( 3 ), zmienionym rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 444/2009 z dnia 28 maja 2009 r. ( 4 ) (zwanym dalej „rozporządzeniem nr 2252/2004 w brzmieniu zmienionym”), wydawania paszportów swoim obywatelom tylko pod warunkiem pobrania od nich dwóch odcisków palców, których obraz jest ponadto przechowywany w samym paszporcie. |
II – Ramy prawne
A – Prawo Unii
3. |
Artykuł 1 ust. 2 rozporządzenia nr 2252/2004 stanowi, że „[p]aszporty oraz dokumenty podróży zawierają nośnik pamięci, w którym znajduje się obraz twarzy. Państwa członkowskie mogą również dołączyć odciski palców w interoperacyjnych formatach. Dane są zabezpieczane, a nośnik pamięci posiada wystarczającą pojemność i wydajność, aby zagwarantować integralność, autentyczność i poufność tych danych”. |
4. |
Artykuł 1 rozporządzenia nr 444/2009 zmienił treść art. 1 ust. 2 rozporządzenia nr 2252/2004, który obecnie brzmi następująco: „Paszporty oraz dokumenty podróży zawierają w wysokim stopniu zabezpieczony nośnik pamięci, w którym znajduje się obraz twarzy. Państwa członkowskie mogą również dołączyć dwa płaskie odciski palców w interoperacyjnych formatach. Dane są zabezpieczane, a nośnik pamięci posiada wystarczającą pojemność i wydajność, aby zagwarantować integralność, autentyczność i poufność tych danych”. |
B – Prawo niemieckie
5. |
Artykuł 4 ust. 3 Passgesetz (ustawy o paszportach) z dnia 19 kwietnia 1986 r., zmienionej po raz ostatni ustawą z dnia 30 lipca 2009 r. ( 5 ), stanowi: „Zgodnie z rozporządzeniem [nr 2252/2004] paszport, paszport służbowy i paszport dyplomatyczny powinien być wyposażony w elektroniczny nośnik pamięci, na którym zapisywane są zdjęcie, odciski palców, oznaczenie zarejestrowanych palców, informacje dotyczące jakości odcisków oraz informacje wymienione w ust. 2 zdanie drugie. Zapisane dane należy zabezpieczyć przed nieuprawnionym odczytaniem, zmianą i usunięciem. Nie tworzy się federalnej bazy danych zawierającej dane biometryczne, o których mowa w zdaniu pierwszym”. |
III – Postępowanie główne i pytanie prejudycjalne
6. |
M. Schwarz, posiadający obywatelstwo niemieckie, zwrócił się do właściwych służb Stadt Bochum (miasta Bochum) o wydanie paszportu, jednocześnie sprzeciwiając się obowiązkowemu pobraniu odcisków palców. W dniu 8 listopada 2007 r. służby te, uznawszy, że nie można wydać paszportu bez obowiązkowego pobrania odcisków palców, odmówiły wydania rzeczonego dokumentu, powołując się na przepisy art. 4 ust. 3 ustawy o paszportach z dnia 19 kwietnia 1986 r., zmienionej ostatnio ustawą z dnia 30 lipca 2009 r. |
7. |
W związku z tą decyzją skarżący w postępowaniu głównym złożył skargę zmierzającą do tego, aby sąd odsyłający nakazał Stadt Bochum wydanie mu paszportu bez pobierania odcisków palców. W tym celu podnosi on przede wszystkim fakt, że przepisy art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym, które stanowią źródło spoczywającego na państwach członkowskich obowiązku pobierania dwóch odcisków palców od każdej osoby występującej o wydanie paszportu, są nieważne. |
8. |
Sąd odsyłający, podzielając wątpliwości skarżącego w postępowaniu głównym, stawia pod znakiem zapytania charakter art. 62 pkt 2 lit. a) WE jako wystarczającej podstawy prawnej przyjęcia przepisów art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym. Ponadto zastanawia się nad tym, czy brak konsultacji z Parlamentem po przekształceniu przez Radę Unii Europejskiej uprawnienia do pobierania odcisków palców, pierwotnie figurującego w projekcie rozporządzenia, w obowiązek stanowi uchybienie proceduralne mogące mieć wpływ na ważność rzeczonego art. 1. Wreszcie zauważa on, że inną przesłankę nieważności tego artykułu można wywieść z faktu, że narusza on ustanowione na mocy art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, podpisanej w Rzymie w dniu 4 listopada 1950 r. (zwanej dalej „EKPC”) i potwierdzone w art. 8 karty prawo podstawowe do ochrony danych osobowych. |
9. |
W tych okolicznościach Verwaltungsgericht Gelsenkirchen postanowił zawiesić postępowanie i w postanowieniu odsyłającym, które wpłynęło do sekretariatu Trybunału w dniu 12 czerwca 2012 r., zwrócić się do niego na podstawie art. 267 TFUE z następującym pytaniem prejudycjalnym: „Czy art. 1 ust. 2 rozporządzenia [nr 2252/2004 zmienionego rozporządzeniem nr 444/2009] obowiązuje [jest ważny]?”. |
IV – Postępowanie przed Trybunałem
10. |
Skarżący w postępowaniu głównym, Stadt Bochum, rządy niemiecki i polski, Parlament, Rada oraz Komisja Europejska złożyły do Trybunału uwagi na piśmie. |
11. |
Na rozprawie, która odbyła się w dniu 13 marca 2013 r., swoje uwagi ustne przedstawili skarżący w postępowaniu głównym, rząd niemiecki, Parlament, Rada oraz Komisja. |
V – Analiza prawna
12. |
Zbadam kolejno trzy podniesione przesłanki nieważności, czyli niewystarczającą podstawę prawną, istnienie uchybienia proceduralnego przy przyjmowaniu rozporządzenia nr 2252/2004 w brzmieniu zmienionym, a także zarzucane naruszenie art. 8 karty. |
A – W przedmiocie zarzucanej niewystarczającej podstawy prawnej
13. |
Podstawę prawną rozporządzenia nr 2252/2004, tak jak rozporządzenia nr 444/2009, stanowi art. 62 pkt 2 lit. a) WE, zgodnie z którym „Rada, stanowiąc zgodnie z procedurą przewidzianą w artykule 67, przyjmuje […] 2) środki dotyczące przekraczania granic zewnętrznych państw członkowskich, które określają […] a) normy i procedury, których powinny przestrzegać państwa członkowskie przy wykonywaniu kontroli osób na tych granicach”. |
14. |
Skarżący w postępowaniu głównym podnosi, że ogólnie rzecz ujmując, art. 18 ust. 3 WE ( 6 ) zabrania instytucjom uchwalania prawa w dziedzinie paszportów obywateli europejskich. W każdym razie ustawodawstwo dotyczące paszportów obywateli Unii nie może w sposób ważny opierać się na rzeczonym art. 62, ponieważ pojęcie „kontroli osób na [zewnętrznych] granicach” w rozumieniu tego artykułu wyklucza środki dotyczące wyłącznie obywateli Unii. Ponadto paszporty wydawane obywatelom Unii nie służą zasadniczo do kontroli na jej zewnętrznych granicach. Wreszcie obowiązek pobierania odcisków palców, ustanowiony w art. 1 ust. 2 rozporządzenia 2252/2004 w brzmieniu zmienionym, nie należy do zakresu działania opisanego w art. 62 pkt 2 lit. a) WE, ponieważ nie mieści się on w pojęciu „normy” ani „procedury, których powinny przestrzegać państwa członkowskie przy wykonywaniu kontroli osób na tych granicach”. |
15. |
Należy z miejsca oddalić argument dotyczący art. 18 ust. 3 WE, którego jedynym skutkiem jest wyłączenie możliwości przyjęcia przepisów dotyczących paszportów na podstawie postanowień traktatu dotyczących obywatelstwa europejskiego, a dokładniej na podstawie art. 18 ust. 2 WE. Natomiast z postanowień art. 18 ust. 3 WE nie wynika ogólny zakaz wprowadzania przepisów dotyczących paszportów. |
16. |
Zakwestionowanie wykorzystania art. 62 pkt 2 lit. a) jako wyłącznej podstawy prawnej ma charakter bardziej poważny. Do Trybunału wpłynęła już skarga o stwierdzenie nieważności rozporządzenia nr 2252/2004 skierowana przez Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej ( 7 ). W ramach tej skargi kwestia podstawy prawnej została poruszona przez Trybunał w sposób ogólny ( 8 ). Wydaje się, że Trybunał nie miał wątpliwości co do tego, iż rozporządzenie nr 2252/2004 było oparte na prawidłowej podstawie prawnej. Niezależnie od tego, ponieważ rzeczona kwestia została w sposób wyraźny podniesiona przed Trybunałem w ramach obecnego odesłania prejudycjalnego, dotyczącego ważności art. 1 ust. 2 rozporządzenia 2252/2004 w brzmieniu zmienionym, zasługuje ona na głębsze zbadanie w ramach niniejszej opinii. |
17. |
Zatem, aby sprawdzić, czy art. 62 pkt 2 lit. a) WE może zasadnie stanowić podstawę prawną odnośnego aktu, należy przypomnieć, że Trybunał wielokrotnie orzekł, iż w ramach systemu kompetencji Unii Europejskiej „wybór podstawy prawnej aktu wspólnotowego musi opierać się na obiektywnych czynnikach, które mogą zostać poddane kontroli sądowej, takich jak w szczególności cel i treść aktu” ( 9 ). Aby upewnić się co do tego, że art. 62 pkt 2 lit. a) WE stanowi wystarczającą podstawę prawną rozporządzenia nr 2252/2004 w brzmieniu zmienionym, należy zatem, po pierwsze, ustalić cel i treść rzeczonego rozporządzenia, a następnie zbadać, czy rzeczona treść i rzeczony cel mogą zostać odpowiednio określone w ramach rozporządzenia przyjętego na rozpatrywanej podstawie prawnej. |
1. Treść i cel rozporządzenia nr 2252/2004 w brzmieniu zmienionym
18. |
Jeśli chodzi o realizowany cel, to z samego tytułu rozporządzenia nr 2252/2004 wynika, że jego zadaniem jest ustanowienie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach wydawanych przez państwa członkowskie. |
19. |
Umieszczenie w paszportach danych biometrycznych, w tym dwóch odcisków palców, służy, równolegle do harmonizacji zabezpieczeń, realizacji zadania w postaci zwiększenia wiarygodności związku pomiędzy paszportem a jego posiadaczem i jego ochrony przed fałszerstwami i bezprawnym użyciem ( 10 ), i zadanie to, jak orzekł Trybunał, stanowi cel rozporządzenia nr 2252/2004 ( 11 ). |
20. |
Ponadto harmonizacja norm dotyczących danych biometrycznych wprowadzanych do paszportów prowadzi do spójnego podejścia w ramach Unii w zakresie tych danych, szczególnie w odniesieniu do przepisów obowiązujących w dziedzinie wiz wystawianych dla obywateli państw trzecich ( 12 ), aby paszporty wydawane obywatelom Unii nie stanowiły „zabezpieczeń mniej zaawansowanych niż przewidziane w ramach właściwości technicznych wiz w jednolitym formacie i jednolitych wzorów dokumentów pobytowych dla obywateli państw trzecich” ( 13 ) [tłumaczenie nieoficjalne, podobnie jak wszystkie cytaty z tego rozporządzenia poniżej]. |
21. |
Wreszcie w motywie 9 rozporządzenia nr 2252/2004 wspomniany jest „cel wprowadzenia wspólnych norm dotyczących zabezpieczeń i interoperacyjnych identyfikatorów biometrycznych”, dla którego konieczne jest, zdaniem ustawodawcy Unii, określenie zasad obowiązujących wszystkie państwa członkowskie stosujące konwencję wykonawczą do układu z Schengen z dnia 14 czerwca 1985 r. ( 14 ). W konsekwencji rozporządzenie nr 2252/2004 w brzmieniu zmienionym realizuje również cel „uproszczenia kontroli granicznych” ( 15 ) w drodze harmonizacji wspólnych norm zabezpieczenia. |
22. |
Moim zdaniem istotny cel realizowany przez rozporządzenie nr 2252/2004 w brzmieniu zmienionym może zostać zrozumiany tylko wtedy, gdy rozpatrywany będzie w szerszym kontekście systemu, w ramach którego zostało ono przyjęte, przy czym szczególną uwagę należy zwrócić na jego relacje z systemem powstałym na gruncie układu z Schengen. Mówiąc bardziej precyzyjnie, motywy 10–14 stanowią przypomnienie, że rzeczone rozporządzenie ma stanowić rozwinięcie postanowień dorobku Schengen, co zresztą Trybunał już potwierdził ( 16 ). W ramach tego dorobku doprecyzowana została polityka zintegrowanego zarządzania granicami zewnętrznymi państw członkowskich uczestniczących w systemie Schengen, a w szczególności przepisy dotyczące przekraczania granic zewnętrznych. Poprzez harmonizację treści i właściwości technicznych dokumentów podróży, które obywatele Unii powinni posiadać w momencie przekraczania granic zewnętrznych, cel realizowany przez ustawodawcę w ramach rozporządzenia nr 2252/2004 w brzmieniu zmienionym przyczynia się w sposób oczywisty do realizacji szerszego celu zabezpieczenia rzeczonych granic. |
23. |
Z punktu widzenia treści, z zachowaniem pełnej spójności ze swoimi celami, rozporządzenie nr 2252/2004 w brzmieniu zmienionym zawiera zatem trzy typy przepisów. Po pierwsze, są to przepisy dotyczące obowiązku pobierania odcisków palców jako takiego, zwolnienia od tego obowiązku oraz przypadki, w których ich pobranie jest niemożliwe ( 17 ). Po drugie, są to przepisy poświęcone ogólnemu systemowi danych zawartych w paszportach ( 18 ). Pozostałe przepisy, a także załącznik do tego rozporządzenia poświęcone są czysto technicznym aspektom minimalnych norm dotyczących zabezpieczeń, które państwa członkowskie powinny respektować przy wydawaniu paszportów. Bez ambicji do wyczerpania zagadnienia ograniczę się tutaj do wymienienia właściwości technicznych dotyczących nośnika, do rodzaju zapisu, do postępowania przy pobieraniu odcisków, do warunków zabezpieczenia danych, do technik druku, a także sposobów odczytu i przechowywania danych ( 19 ). Rozporządzenie nr 2252/2004 w brzmieniu zmienionym dokonuje „harmonizacji i wzmocnienia minimalnych norm dotyczących zabezpieczeń, którym muszą odpowiadać paszporty […] wydawane przez państwa członkowskie, oraz przewiduje wprowadzenie w tych [paszportach] szeregu danych biometrycznych dotyczących ich właścicieli” ( 20 ). |
2. Odpowiedni charakter art. 62 pkt 2 lit. a) WE jako podstawy prawnej zaskarżonego rozporządzenia nr 2252/2004 w brzmieniu zmienionym
24. |
Czy elementy opisane powyżej mogły zostać przyjęte na podstawie art. 62 pkt 2 lit. a) WE? W mojej ocenie, tak. |
25. |
Z jednej strony elementy zharmonizowane w rozporządzeniu nr 2252/2004 w brzmieniu zmienionym służą ujednoliceniu treści i norm zabezpieczeń w odniesieniu do paszportów wydanych przez państwa członkowskie obywatelom europejskim. W przeciwieństwie do tego, co twierdzi skarżący w postępowaniu głównym, nie jest prawidłowe stwierdzenie, że art. 62 pkt 2 lit. a) WE może stanowić podstawę prawną tylko w przypadku środków, które dotyczyłyby kontroli na granicach zewnętrznych obywateli państw trzecich. Treść rzeczonego art. 62 nie zawiera takiego ograniczenia, ponieważ dotyczy wyłącznie „kontroli osób”. Ponadto z dorobku Schengen wynika jasno, że obywatele Unii także podlegają minimalnemu sprawdzeniu w momencie przekraczania granic zewnętrznych Unii ( 21 ). Kontrola ta, podobnie jak, mówiąc bardziej ogólnie, wzmocnienie gwarancji w odniesieniu do granic zewnętrznych, jest konieczną konsekwencją braku kontroli na wewnętrznych granicach Unii, a jednocześnie warunkiem wstępnym korzystania z prawa swobodnego przemieszczania się na terytorium Unii. Rozporządzenie nr 2252/2004 w brzmieniu zmienionym dotyczy zatem „kontroli osób na [zewnętrznych] granicach” w rozumieniu art. 62 pkt 2 lit. a) WE ( 22 ). |
26. |
Z drugiej strony rozporządzenie to zobowiązuje państwa członkowskie do wydawania paszportów, których treść i właściwości techniczne są zharmonizowane. Dzięki temu prawodawca Unii zyskuje pewność, że kontrola obywateli Unii na granicach zewnętrznych odbywa się na tej samej podstawie i że tożsamość obywateli jest sprawdzana przez organy krajowe na różnych przejściach na podstawie tych samych danych. W konsekwencji przyczynił się on do jeszcze większej integracji polityki zarządzania tymi granicami ( 23 ). Fakt udostępnienia policji na granicach Unii, w momencie kontroli paszportów obywateli Unii, jednolitego zbioru zabezpieczonych danych prowadzi do podwyższenia poziomu bezpieczeństwa kontroli przy jednoczesnym jej ułatwieniu. |
27. |
Oczywiście obowiązek pobrania dwóch odcisków palców przekłada się na czynność, która poprzedza samą kontrolę. Nie zmienia to faktu, że warunkuje ona oczywiście wykonywanie kontroli jako takiej. Wydaje mi się zatem, że nieco sztuczne jest utrzymywanie, iż przepisy dotyczące zawartych w paszportach danych, które powinny być kontrolowane z chwilą przekraczania granic zewnętrznych Unii, nie mogą być przyjęte na podstawie prawnej służącej kontrolom jako takim. Racjonalne podejście do treści i wykładni, jaką należy przypisać art. 62 pkt 2 lit. a) WE, wymaga uznania, że obowiązek pobrania dwóch odcisków palców na warunkach przewidzianych w art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym, w zakresie, w jakim stanowi on warunek wstępny, nierozerwalnie związany z wykonywaniem kontroli granicznych obywateli Unii na granicach zewnętrznych, mieści się w pojęciu „normy i [ …] procedury, których powinny przestrzegać państwa członkowskie przy wykonywaniu kontroli osób na tych granicach”. |
28. |
Ze względu na ogół powodów przedstawionych powyżej jestem zdania, że art. 62 pkt 2 lit. a) WE stanowi właściwą podstawę prawną dla przyjęcia rozporządzenia nr 2252/2004 w brzmieniu zmienionym. |
B – W przedmiocie zarzucanego naruszenia obowiązku konsultacji z Parlamentem
29. |
Środki, które mają za podstawę prawną art. 62 pkt 2 lit. a) WE, powinny zostać przyjęte przez Radę zgodnie z procedurą przewidzianą w art. 67 WE. W dniu, w którym zostało przyjęte rozporządzenie nr 2252/2004, rzeczona procedura przewidywała, że należy przeprowadzić konsultację z Parlamentem ( 24 ). Skarżący w sprawie głównej twierdzi, że procedura ta nie była przestrzegana, ponieważ miała miejsce konsultacja z Parlamentem w odniesieniu do projektu rozporządzenia, który przewidywał jedynie możliwość pobierania przez państwa członkowskie odcisków palców, podczas gdy możliwość ta została przekształcona w projekcie w wersji ostatecznej w obowiązek, przy czym Parlament nie zajął stanowiska w tym względzie. |
30. |
Należy od razu stwierdzić, że uchybienie proceduralne podniesione przez skarżącego w postępowaniu głównym dotyczy procedury prowadzącej do przyjęcia art. 1 ust. 2 rozporządzenia nr 2252/2004. Tymczasem pytanie na temat ważności, zadane przez sąd krajowy, odnosi się wyraźnie do ważności art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym ( 25 ). Bezsporne jest to, że ostatnie z tych rozporządzeń zostało przyjęte zgodnie z możliwością przysługującą na mocy art. 67 ust. 2 WE w ramach procedury określonej w art. 251 WE, czyli procedury współdecydowania. Uchybienie proceduralne podniesione przez skarżącego w postępowaniu głównym nie może zatem mieć wpływu na ważność art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym. |
31. |
Niezależnie od tego oraz aby zakończyć wszelkie w tym zakresie kontrowersje, chciałbym, mimo wszystko, sformułować kilka zwięzłych uwag w celu wykazania, że art. 1 ust. 2 rozporządzenia nr 2252/2004 – zatem w wersji oryginalnej – również nie był dotknięty uchybieniem proceduralnym. |
32. |
Po pierwsze, jak wynika z ustalonego orzecznictwa, „obowiązek przeprowadzenia konsultacji z Parlamentem w trakcie procedury legislacyjnej, w przypadkach przewidzianych w traktacie, obejmuje wymóg nowej konsultacji za każdym razem, gdy tekst ostatecznie przyjęty, jako całość, różni się w swej istocie od tego, w sprawie którego zwrócono się już do Parlamentu o konsultację” ( 26 ). Tymczasem, jeśli prawdą jest, że projekt rozporządzenia Rady złożony przez Komisję ustanawiał jedynie możliwość, aby państwa członkowskie dodały do danych przechowywanych w paszportach odciski palców ( 27 ), i że możliwość ta została przekształcona w obowiązek w ostatecznej wersji rozporządzenia, takie przekształcenie nie może stanowić istotnej zmiany w rozumieniu orzecznictwa Trybunału, która to zmiana wymagałaby nowej konsultacji z Parlamentem. Kwestia, czy pobranie było fakultatywne, czy obowiązkowe, nie była zatem kwestią zasadniczą, która wchodziłaby w grę, ponieważ Parlament w każdym razie powinien brać pod uwagę możliwość, że wszystkie państwa członkowskie mogą podjąć decyzję o skorzystaniu z tej możliwości. |
33. |
Po drugie, z informacji chronologicznych przedstawionych Trybunałowi wynika, że projekt rozporządzenia został przekazany do Parlamentu w dniu 25 lutego 2004 r. Porozumienie polityczne wewnątrz Rady w sprawie przekształcenia możliwości pobierania odcisków palców w obowiązek zostało osiągnięte w dniu 26 października 2004 r. Nowy dokument wraz z pismem informacyjnym został przesłany przez Radę do Parlamentu w dniu 24 listopada 2004 r. Opinia Parlamentu ( 28 ) została wydana w dniu 2 grudnia 2004 r., czyli – rzeczywiście – krótko po przesłaniu, ale istnienie odniesienia do nowych wytycznych Rady w zakresie wiz pozwala wykazać, że w chwili wydania opinii Parlament był w pełni poinformowany o zmianie w podejściu Rady, w odniesieniu do której nie było z jego strony żadnej reakcji. Parlament nie podniósł ponadto naruszenia obowiązku konsultacji ani nie zakwestionował w toku rozprawy informacji przekazanych na temat postępowania konsultacyjnego w odniesieniu do rozporządzenia nr 2252/2004. |
34. |
Z tych powodów, chociaż nadal jestem przekonany, że kwestia zgodności z prawem rozpatrywanej procedury przyjmowania art. 1 ust. 2 rozporządzenia nr 2252/2004 jest pozbawiona znaczenia dla postępowania głównego, należy uznać, że brak nowej konsultacji Parlamentu, po przekształceniu możliwości pobierania odcisków palców w celu ich przechowywania w paszportach w obowiązek, w konsekwencji nie spowodował uchybienia proceduralnego przy przyjmowaniu rzeczonych przepisów. |
C – W przedmiocie podnoszonego naruszenia prawa podstawowego do ochrony danych osobowych
35. |
Ponieważ wniosek o wydanie orzeczenia w trybie prejudycjalnym ogranicza się do wskazania, że art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym narusza również „prawo do swobodnego wjazdu i wyjazdu, art. 17 Międzynarodowego paktu praw obywatelskich i politycznych (MPPOP) oraz różne zasady równości i zakazy dyskryminacji”, bez wskazywania przyczyn, dla których ważność tego artykułu powinna zostać zbadana w świetle tych wolności i zasad, ani nawet zbadania, czy są one istotne w ramach takiej kontroli, oraz zważywszy, że zainteresowane strony, które brały udział w postępowaniu przed Trybunałem, włączając w to skarżącego w postępowaniu głównym, skoncentrowały swoje uwagi na naruszeniu prawa podstawowego do ochrony danych osobowych, przedstawione w dalszym ciągu rozumowanie dotyczyć będzie wyłącznie oceny ważności art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym w świetle tego prawa podstawowego. |
36. |
Artykuł 8 ust. 1 karty ustanawia prawo każdej osoby „do ochrony danych osobowych jej dotyczących”. Tymczasem odciski palców są, w sposób oczywisty, danymi osobowymi ( 29 ). W szczególności ust. 2 tego artykułu stanowi, że „[d]ane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania”. |
37. |
Każde ograniczenie tego prawa musi spełniać wymogi art. 52 ust. 1 karty. Powinno ono zatem być przewidziane ustawą, szanować istotę odnośnych praw i wolności oraz zasadę proporcjonalności, czyli powinno być konieczne i rzeczywiście odpowiadać celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób. |
38. |
Zanim przystąpię do weryfikacji, konkretnie, ważności art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym w świetle art. 8 karty, pragnę przypomnieć, że kwestia praw podstawowych bynajmniej nie jest obca zaskarżonemu rozporządzeniu. Następnie postaram się wykazać, że naruszenie prawa podstawowego do ochrony danych osobowych, jakie stanowi obowiązek pobrania i przechowywania, dla potrzeb sprawdzenia, obrazu dwóch odcisków palców, jest przewidziane przez ustawę i zmierza do celu leżącego w interesie ogólnym, uznanego przez Unię. Wreszcie zajmę stanowisko w przedmiocie proporcjonalnego charakteru tego naruszenia. |
1. Uwagi wstępne na temat miejsca praw podstawowych w kontekście rozporządzenia nr 2252/2004 w brzmieniu zmienionym
39. |
Tytułem wstępu należy stwierdzić, że jak przypomina motyw 8 rozporządzenia nr 2252/2004, w dziedzinie ochrony danych, które powinny być przetwarzane w ramach wydawania paszportów, zastosowanie ma dyrektywa 95/46. Dyrektywa ta, która była wzmiankowana w wyjaśnieniach na temat art. 8 karty, zawiera szereg zasad podstawowych, które zostały skądinąd także ustanowione przez Europejski Trybunał Praw Człowieka ( 30 ), takich jak przetwarzanie rzetelne i zgodne z prawem, jak również gromadzenie w celach określonych, jednoznacznych i uzasadnionych danych adekwatnych, właściwych i niewykraczających poza cele, dla których są przetwarzane, dokładnych, aktualizowanych i nieprzechowywanych w sposób stały. Ustanawia ona również zasadę konieczności zgody osoby na przetwarzanie jej danych, a jednocześnie przewiduje szereg wyjątków, jak realizacja zadania wykonywanego w interesie publicznym lub wykonywanie władzy publicznej lub też dla potrzeb wynikających z uzasadnionych interesów ( 31 ). Drugim istotnym elementem jest to, że dyrektywa ta ustanawia prawo dostępu osób, których dotyczy przetwarzanie danych osobowych, do całego szeregu informacji ( 32 ), prawo sprzeciwu, pod pewnymi warunkami ( 33 ), a także prawo do wniesienia skargi do sądu ( 34 ). |
40. |
Ponadto art. 1a rozporządzenia nr 2252/2004, wprowadzony przez rozporządzenie nr 444/2009, wyraźnie stanowi, że procedury krajowe pobierania danych biometrycznych muszą być zgodne z „gwarancjami określonymi w [EKPC] oraz w Konwencji Narodów Zjednoczonych o prawach dziecka”, i wymaga, aby procedury te gwarantowały poszanowanie godności danej osoby w sytuacji, gdy wystąpią problemy z pobraniem danych. |
41. |
Gwarancje oferowane przez rozporządzenie nr 2252/2004 w brzmieniu zmienionym muszą być zatem interpretowane łącznie z oferowanymi przez dyrektywę 95/46 oraz zawartymi w niej odniesieniami do EKPC i godności osoby. Badanie ważności art. 1 ust. 2 tego rozporządzenia musi zatem koniecznie zostać przeprowadzone z uwzględnieniem tych elementów. |
2. Obowiązek zawarty w art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym stanowi naruszenie prawa podstawowego do ochrony danych osobowych przewidziane przez ustawę i które służy celowi leżącemu w interesie ogólnym, uznanemu przez Unię
42. |
Z jednej strony bowiem obowiązkowe pobranie przez właściwe władze krajowe w okolicznościach opisanych w art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym, ich zapisanie i przechowywanie w paszportach oraz udostępniana policji na granicach możliwość sprawdzenia tych danych w braku zgody osoby zainteresowanej stanowią, w sposób oczywisty, naruszenie prawa uznanego w art. 8 karty. W istocie, z wyjątkiem rezygnacji z posiadania paszportu, a zatem z jakiegokolwiek przemieszczania się w większości państw trzecich, osoby występujące o paszport nie mogą sprzeciwić się pobraniu i przechowywaniu ich odcisków palców. |
43. |
Z drugiej strony należy wskazać, po pierwsze, że naruszenie wynikające z obowiązkowego pobrania odcisków palców należy postrzegać jako „przewidziane ustawą” w rozumieniu art. 52 ust. 1 karty, jako że jest ono wyraźnie przewidziane w art. 1 ust. 2 rozporządzenia nr 2252/2204 w brzmieniu zmienionym, które ponadto odpowiada również wymogom dostępności, jasności i przewidywalności zgodnie z orzecznictwem Europejskiego Trybunału Praw Człowieka ( 35 ). |
44. |
Po drugie, jak już wskazano powyżej ( 36 ), istotnym celem ogólnym realizowanym przez rozporządzenie nr 2252/2004 w brzmieniu zmienionym jest zabezpieczenie granic zewnętrznych, przez wprowadzenie zintegrowanej polityki zarządzania tymi granicami. Ponadto wprowadzenie odcisków palców przechowywanych na zabezpieczonym nośniku w paszporcie zmierza do zwiększenia wiarygodności związku pomiędzy paszportem a jego posiadaczem, a przez to utrudnia fałszerstwa i bezprawne użycie, w tym nielegalną imigrację. Co więcej, działanie prawodawcy było szczególnie istotne w perspektywie stopniowego ustanawiania przestrzeni wolności, bezpieczeństwa i sprawiedliwości ( 37 ) i, jak już wskazałem, z powodu braku kontroli na granicach wewnętrznych Unii |
45. |
Wydaje mi się jasne, że wszystkie te „cele cząstkowe” przyczyniają się do realizacji celu generalnego przywołanego powyżej. Należy więc stwierdzić, że art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym, wprowadzając obowiązkowe pobranie dwóch odcisków palców w celu ich zapisania i przechowywania w paszportach, zmierza do celu leżącego w interesie ogólnym, uznanego przez Unię. |
3. W przedmiocie proporcjonalnego charakteru naruszenia
46. |
Wprowadzone ograniczenie prawa podstawowego do ochrony danych osobowych powinno nadal być zgodne z zasadą proporcjonalności, to znaczy, konieczne i rzeczywiście odpowiadać realizowanemu celowi. |
a) Ograniczenie jest odpowiednie do osiągnięcia celu interesu ogólnego, uznanego przez Unię
47. |
W tym względzie skarżący w postępowaniu głównym kwestionuje twierdzenie, że obowiązkowe pobranie odcisków palców od obywateli Unii chcących otrzymać paszport stanowi środek odpowiedni do osiągnięcia określonego celu, i wątpi, czy pomaga ono w efektywny sposób w zabezpieczeniu granic zewnętrznych. Utrzymuje on zasadniczo, że wybrana metoda biometryczna jest szczególnie niesatysfakcjonująca i w każdym razie posiada ograniczoną użyteczność dla obywateli Unii, w przypadku których nie jest możliwe pobranie ze względu na chorobę, zranienie, czy też oparzenie. Metoda ta nie może zagwarantować realizacji zamierzonego celu z powodu typowej dla czipa delikatności, którego okres sprawności jest znacznie krótszy niż okres ważności paszportu. Wreszcie metoda ta charakteryzuje się wysokim współczynnikiem błędów i nie jest wystarczająco pewna w celu zagwarantowania istnienia doskonale wiarygodnego związku między prawowitym posiadaczem paszportu i samym dokumentem. |
48. |
Jednak wydaje się trudne do podważenia, że dodanie, samo w sobie, danych biometrycznych do paszportu powoduje w sposób konieczny, chociaż nie wyłączny, że podrobienie rzeczonego paszportu jest bardziej złożone, ale również że proces identyfikacji prawowitego posiadacza jest pewniejszy, ponieważ organy odpowiedzialne za kontrolę na granicach zewnętrznych Unii mają do dyspozycji odtąd dwie dane biometryczne, oprócz fotografii twarzy ( 38 ). Nie podlega również wątpliwości, że odnośne dane biometryczne stanowią, poza nielicznymi wyjątkami, dane mogące służyć zindywidualizowaniu i identyfikacji osób. |
49. |
Jeśli chodzi o argument dotyczący wiarygodności tej metody, prawidłowe jest stwierdzenie, że rozpoznawanie za pomocą porównania odcisków palców nie jest metodą identyfikacji pewną w 100% i że charakteryzuje ją w konsekwencji współczynnik błędu powyżej 0% ( 39 ). Nikt też nie zaryzykowałby twierdzenia, że paszport opisany w sensie technicznym przez rozporządzenie nr 2252/2004 w brzmieniu zmienionym jest dokumentem nie do podrobienia. Niemniej jednak jest oczywiste, że prawodawca Unii nie wykraczał poza swoją rolę, starając się utrudnić życie fałszerzom poprzez dodanie dwóch danych biometrycznych i pogłębienie hormonizacji zabezpieczeń. Innymi słowy, fakt, że wybrana metoda biometryczna jest zawodna i nie czyni z paszportu dokumentu całkowicie nie do podrobienia lub odpornego na każdą próbę zniszczenia, nie może powodować, że jest ona nieodpowiednia do osiągnięcia zamierzonego celu, ponieważ – przypomnę – do dnia dzisiejszego nie została opracowana żadna metoda niezawodna. Pod pewnymi względami zresztą zawodność ta jest zrekompensowana przez dostosowania obowiązku pobrania. Na przykład, jeżeli pobranie odcisków palców nie jest zadowalające z punktu widzenia identyfikacji, tak jak ma to miejsce w szczególności w przypadku dzieci, prawodawca Unii wprowadził system zwolnień ( 40 ). |
b) Artykuł 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym jest niezbędny do realizacji celu interesu ogólnego, uznanego przez Unię
50. |
W niniejszej sprawie należy ustalić, czy instytucje dokonały „odpowiedniego wyważenia interesu Unii” ( 41 ) w postaci konsolidacji bezpieczeństwa jej granic zewnętrznych i naruszenia ochrony danych osobowych obywateli Unii, którzy zamierzają otrzymać paszport. Tymczasem „odstępstwa i ograniczenia ochrony danych powinny ograniczać się do tego, co absolutnie konieczne” ( 42 ), to znaczy, że nie może istnieć żaden sposób równie skuteczny, ale mniej szkodliwy niż środek niezgodny z prawem podstawowym do ochrony danych osobowych. |
51. |
Pytanie, któremu poświęcono szczególnie dużo miejsca w dyskusji przed Trybunałem, dotyczyło zasadności dokonanego przez prawodawcę wyboru na rzecz metody biometrycznej porównania odcisków palców. Wedle skarżącego w postępowaniu głównym, prawodawca nie przedstawił i nie wyjaśnił, w szczególności z punktu widzenia statystycznego, powodów, dla których uznał za konieczne, w chwili wydania rozporządzeń nr 2252/2004 i nr 444/2009, nałożenia na państwa członkowskie obowiązku wprowadzenia dwóch odcisków palców do paszportów. W ostatecznym rozrachunku to właśnie posłużenie się metodą biometryczną, oprócz zdjęcia twarzy, a nawet samą konieczność zidentyfikowania w tak precyzyjny sposób obywateli Unii na jej granicach zewnętrznych kwestionuje skarżący w postępowaniu głównym ( 43 ). Obawiał się on zwłaszcza możliwości uzyskania, bez wiedzy ich posiadaczy, obrazów odcisków palców, które w ostatecznym rozrachunku stałyby się danymi zabezpieczonymi w bardzo małym stopniu ( 44 ), ponieważ każda czynność naszego życia codziennego daje wiele możliwości pozostawienia obrazów naszych odcisków palców. Ponadto niewystarczający poziom zabezpieczenia czipa nie pozwoliłby zapewnić, że dane biometryczne będą sprawdzane jedynie przez uprawnione organy. Wreszcie stopień naruszenia prawa podstawowego zagwarantowanego w art. 8 karty jest jego zdaniem nie do zaakceptowania, ponieważ po pierwsze, dotyczy ono wszystkich obywateli Unii na okres dziesięciu lat, czyli przez cały okres ważności paszportu; po drugie, naruszenie powtarzane jest przy każdej kontroli na granicach zewnętrznych; po trzecie, istnieje rzeczywiste ryzyko zachowania danych biometrycznych w zasobach; po czwarte, identyfikacja za pomocą odcisków palców może prowadzić do nieprawidłowości i wiąże się z ryzykiem stygmatyzacji niektórych kategorii osób. Z powyższych względów M. Schwarz uważa, że naruszenie prawa podstawowego nie ma związku z trudnościami napotykanymi w rzeczywistości podczas kontroli na granicach zewnętrznych Unii, czy to w kategoriach identyfikacji obywateli Unii, czy to w zakresie zwalczania nielegalnych prób wjazdu na terytorium Unii na podstawie podrobionego paszportu. |
52. |
O ile prawdą jest, że uzasadnienie rozporządzenia nr 2252 nie wskazuje w sposób szczególny powodów, dla których prawodawca dokonał wyboru na rzecz umieszczenia obrazów odcisków palców, o tyle wyraźnie przedstawia konieczność wypracowania spójnego podejścia przyjętego w odniesieniu do paszportów obywateli Unii w porównaniu z dokumentami podróży wydanymi obywatelom państw trzecich ( 45 ). Tymczasem w odniesieniu do tych ostatnich dokumentów wprowadzenie omawianych odcisków zostało już przewidziane ( 46 ). Ponadto uzasadnienie odwołuje się również do wyników prac Organizacji Międzynarodowego Lotnictwa Cywilnego (ICAO), która „także wybrała zdigitalizowaną fotografię jako podstawowy interoperacyjny element identyfikacji biometrycznej, wraz z odciskami palców lub obrazem tęczówki oka” ( 47 ). W każdym razie wszystkie opinie, które zostały wydane w przedmiocie problematyki umieszczania danych biometrycznych, innych niż fotografia twarzy, czy to przez Europejskiego Inspektora Ochrony Danych ( 48 ), czy przez Grupę Roboczą Artykułu 29 ( 49 ), ostrzegały instytucje przed wewnątrzpochodnymi zagrożeniami wiążącymi się z posługiwaniem biometrią w ogólności, lecz nigdy nie podważały samego wyboru obrazu odcisków palców. We wszystkich tych opiniach przypominano, że z definicji wrażliwy charakter danych biometrycznych wymaga gwarancji szczególnych, lecz nigdy nie stwierdzono, że wybór odcisków palców jako dodatkowych danych biometrycznych włączanych do dokumentów podróży był pozbawiony jakiegokolwiek znaczenia. Wreszcie, biorąc pod uwagę fakt, że co do zasady każda osoba fizyczna jest w stanie z łatwością dostarczyć obraz swoich odcisków palców oraz że te ostatnie są niepowtarzalne w tym sensie, że są specyficzne dla danej osoby, ustawodawca mógł, moim zdaniem słusznie, uznać, że odciski palców stanowią biometryczne dane identyfikacyjne właściwe w celu zwiększenia wiarygodności związku pomiędzy paszportem a jego posiadaczem i jednoczesnego utrudnienia prób jego fałszerstwa i bezprawnego użycia. |
53. |
Hipoteza oczywistego błędu prawodawcy Unii – jedyna, jaka mogłaby spotkać się z sankcją w przypadku, gdy, jak w niniejszej sprawie, dysponuje on „w złożonych sprawach dotyczących rozwoju technicznego […], w celu określenia charakteru i zakresu stosowania przyjmowanych przez niego przepisów, szerokim zakresem uznania w szczególności w odniesieniu do oceny wysoce złożonych faktów naukowych i technicznych” ( 50 ) – zostaje zatem, jak się wydaje, odrzucona, i to tym bardziej, że Trybunał nie może w tych okolicznościach zastąpić swoją oceną oceny prawodawcy, któremu traktat powierzył to zadanie. |
54. |
Odnośnie do istnienia alternatywnych środków, mniej szkodliwych dla prawa podstawowego do ochrony danych osobowych, skorzystanie z obrazu tęczówki oka nie może zostać uznane za mniej szkodliwe. Powoduje ono, co więcej, pewną liczbę niedogodności związanych zarówno z kosztem własnym tej metody – która jest opatentowana – jak i z ryzykiem dla zdrowia, jakie wiąże się z samą procedurą skanowania tęczówki, a także ze spowolnieniem, jakie weryfikacja zgodności obrazu tęczówki spowodowałaby w przypadku kontroli na granicach zewnętrznych Unii ( 51 ). Z kolei umieszczenie jedynie fotografii twarzy jest wprawdzie mniej szkodliwe, lecz biorąc pod uwagę zmiany w wyglądzie fizycznym, których ta nie jest w stanie oddać, nie okazuje się równie skuteczne w razie potrzeby potwierdzenia przez organy kontroli tożsamości osoby i jej prawowitego związku z paszportem, który okazuje. |
55. |
Odnośnie do argumentu opartego na możliwości uzyskania danych przez osoby trzecie lub państwa trzecie ( 52 ) ograniczę się do stwierdzenia, że w pierwszym przypadku nie wydaje mi się, aby ryzyko było mniejsze w przypadku systemu, w którym kontrola opiera się tylko na fotografii twarzy. W odniesieniu do państw trzecich nie podzielam opinii skarżącego, zgodnie z którą art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym jest przyczyną narażenia obywateli Unii na ryzyko nadużycia w tych państwach. W tym względzie wystarczy stwierdzić, że Unia nie ma wpływu na ustalanie formalności, które powinny zostać wykonane przez jej obywateli przy wjeździe na terytorium państw trzecich. |
c) Uwagi końcowe
56. |
Liczba odcisków palców, których obraz powinien zostać pobrany i przechowywany, jest ograniczona do dwóch. Obowiązek poddania się pobraniu spoczywa jedynie na obywatelach Unii, którzy pragną podróżować poza jej granicami wewnętrznymi. Dane te powinny być wykorzystywane w celach ściśle określonych: rozporządzenie nr 2252/2004 w brzmieniu zmienionym stanowi, że dane są wykorzystywane „wyłącznie w celu sprawdzania” autentyczności paszportu i tożsamości jego posiadacza ( 53 ). Dane zawarte są tylko na jedynym zabezpieczonym nośniku umieszczonym w paszporcie, co oznacza, że co do zasady obywatel Unii jest jedynym posiadaczem obrazu swoich odcisków. Rzeczone rozporządzenie nie może – i jest to sprawa zasadnicza – stanowić podstawy prawnej do utworzenia przez państwa członkowskie baz danych zawierających te informacje ( 54 ). Czas, przez który obraz odcisków palców jest przechowywany w paszporcie, wydaje się również ograniczony, ponieważ odpowiada on okresowi ważności paszportu. |
57. |
W każdym razie weryfikacja zgodności odcisków palców nie ma charakteru systematycznego, lecz dokonywana jest losowo, na przykład, jeśli kontrola wyłącznie na podstawie fotografii twarzy i danych zawartych w paszporcie nie wyeliminowała wszystkich wątpliwości co do autentyczności paszportu lub co do tożsamości osoby będącej w jego posiadaniu. Dane – zabezpieczone – są pobierane przez personel wykwalifikowany i upoważniony ( 55 ) i jedynie organy upoważnione i posiadające odpowiednie wyposażenie mają dostęp do danych ( 56 ). Osoba, której odciski palców zostały pobrane i są przechowywane, ma prawo weryfikacji, poprawienia i usunięcia ( 57 ). Wreszcie, aby ograniczyć niedogodności mogące wyniknąć z niedoskonałości i ograniczeń zarówno metody, jak i technologii, przewidziano, że „[s]am brak zgodności przy porównaniu nie ma wpływu na ważność paszportu […] do celów przekroczenia granic zewnętrznych” ( 58 ), oraz wprowadzono system zwolnień dla dzieci w wieku poniżej 12 lat, osób, od których pobranie odcisków palców jest fizycznie niemożliwe, lub też osób, u których jest to niemożliwe przejściowo ( 59 ). Ustanawiając takie odstępstwa lub zwolnienia, prawodawca Unii zapewnił ochronę godności osób. |
58. |
Zatem, tak – identyfikacja przez porównanie odcisków palców to technika podlegająca pewnym ograniczeniom, i nie – nie mogę stwierdzić, że rozporządzenie nr 2252/2004 w brzmieniu zmienionym wprowadziło system, który pozwala w sposób absolutny wykluczyć wszelkie rodzaje ryzyka, w tym dotyczące nadużyć i fałszerstw. Pomimo tego uważam, w świetle całości powyższych rozważań i środków ostrożności, które zostały podjęte, że prawodawca przyjął wszelkie niezbędne środki w celu zagwarantowania, w możliwie najszerszym zakresie, przetwarzania rzetelnego i zgodnego z prawem danych osobowych wymaganych do wydania paszportu. Nie można zaprzeczyć, że – dzięki swojemu ostrożnemu podejściu – dokonał odpowiedniego wyważenia wchodzących w grę interesów Unii. |
59. |
W konsekwencji oczywiste naruszenie przez art. 1 ust. 2 rozporządzenia nr 2252/2004 w brzmieniu zmienionym prawa podstawowego do ochrony danych osobowych powinno zostać uznane za proporcjonalne. |
VI – Wnioski
60. |
Biorąc pod uwagę powyższe rozważania, proponuję, aby Trybunał udzielił następującej odpowiedzi na pytanie prejudycjalne postawione przez Verwaltungsgericht Gelsenkirchen: Analiza przedłożonego pytania nie wykazała niczego, co mogłoby naruszać ważność art. 1 ust. 2 rozporządzenia Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie, zmienionego rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 444/2009 z dnia 28 maja 2009 r. |
( 1 ) Język oryginału: francuski.
( 2 ) Opinia z dnia 23 marca 2005 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie Systemu Informacji Wizowej (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych (Dz.U. C 181, s. 13).
( 3 ) Dz.U. L 385, s. 1.
( 4 ) Dz.U. L 142, s. 1.
( 5 ) BGBl. I, s. 2437.
( 6 ) Zgodnie z którym „[u]stępu 2 [artykułu 18] nie stosuje się do postanowień dotyczących paszportów, dowodów tożsamości, dokumentów pobytowych lub jakichkolwiek innych podobnych dokumentów […]”. Artykuł ten został uchylony traktatem z Lizbony.
( 7 ) Zobacz wyrok z dnia 18 grudnia 2007 r. w sprawie C-137/05 Zjednoczone Królestwo przeciwko Radzie, Zb.Orz. s. I-11593.
( 8 ) Wyżej wymieniony wyrok w sprawie Zjednoczone Królestwo przeciwko Radzie (pkt 54 i 56). Wystarczający charakter podstawy prawnej nie został poza tym podważony przez rzecznik generalną: zob. pkt 69 opinii rzecznika generalnego V. Trstenjak w sprawie, w której wydano ww. wyrok w sprawie Zjednoczone Królestwo przeciwko Radzie.
( 9 ) Zobacz między innymi wyrok z dnia 8 września 2009 r. w sprawie C-411/06 Komisja przeciwko Parlamentowi i Radzie, Zb.Orz. s. I-7585, pkt 45 i przytoczone tam orzecznictwo.
( 10 ) Zobacz motywy 2 i 3 rozporządzenia nr 2252/2004 i motyw 2 rozporządzenia nr 444/2009. Podczas gdy zgodnie z brzmieniem motywu 3 rozporządzenia nr 2252/2004 harmonizacja zabezpieczeń określona jest w sposób odrębny od wprowadzania identyfikatorów biometrycznych, w motywie 4 rzeczonego rozporządzenia mowa jest o „harmonizacji zabezpieczeń, z uwzględnieniem identyfikatorów biometrycznych”.
( 11 ) Wyżej wymieniony wyrok w sprawie Zjednoczone Królestwo przeciwko Radzie (pkt 58).
( 12 ) Zobacz motyw 1 rozporządzenia nr 2252/2004 i motyw 1 rozporządzenia nr 444/2009.
( 13 ) Zobacz uzasadnienie projektu rozporządzenia Rady w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach wydawanych obywatelom Unii [COM(2004) 116 wersja ostateczna z dnia 18 lutego 2004 r., s. 4].
( 14 ) Dorobek Schengen – Układ między rządami państw Unii Gospodarczej Beneluksu, Republiki Federalnej Niemiec i Republiki Francuskiej w sprawie stopniowego znoszenia kontroli na wspólnych granicach (Dz.U. 2000, L 239, s. 19, zwany dalej „układem z Schengen”).
( 15 ) Motyw 4 rozporządzenia nr 444/2009.
( 16 ) Wyżej wymieniony wyrok w sprawie Zjednoczone Królestwo przeciwko Radzie (pkt 67).
( 17 ) Zobacz art. 1 ust. 2, 2a i 2b rozporządzenia nr 2252/2004 w brzmieniu zmienionym.
( 18 ) Jak prawo do sprawdzania oraz warunki gromadzenia, przechowywania i kontroli danych: zob. art. 4 rozporządzenia nr 2252/2004 w brzmieniu zmienionym.
( 19 ) Zobacz art. 1 ust. 1 i 2, art. 2, art. 3 ust. 2, art. 4 ust. 2 i 3 oraz załącznik I do rozporządzenia nr 2252/2004 w brzmieniu zmienionym.
( 20 ) Wyżej wymieniony wyrok w sprawie Zjednoczone Królestwo przeciwko Radzie (pkt 59).
( 21 ) Zobacz art. 7 rozporządzenia (WE) nr 562/2006 Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. ustanawiającego wspólnotowy kodeks zasad regulujących przepływ osób przez granice (kodeks graniczny Schengen) (Dz.U. L 105, s. 1). U podstaw art. 7 leży art. 6 konwencji wykonawczej do układu z Schengen z dnia 14 czerwca 1985 r. (Dz.U. L 239, s. 19). Tymczasem Rada wskazała, że art. 62 pkt 2 lit. a) WE stanowi właściwą podstawę prawną art. 6 rzeczonej konwencji wykonawczej [zob. załącznik A decyzji Rady z dnia 20 maja 1999 r. określającej, zgodnie ze stosownymi postanowieniami Traktatu ustanawiającego Wspólnotę Europejską i Traktatu o Unii Europejskiej, podstawę prawną dla każdego z postanowień lub decyzji stanowiących dorobek Schengen (Dz.U. L 176, s. 17)].
( 22 ) Wyłączenie dowodów osobistych z zakresu stosowania rozporządzenia nr 2252/2004 potwierdza taki wniosek (zob. art. 1 ust. 3 rozporządzenia nr 2252/2004, który pozostał niezmieniony w następstwie przyjęcia rozporządzenia nr 444/2009).
( 23 ) Zobacz pkt 22 niniejszej opinii.
( 24 ) Artykuł 67 ust. 1 WE.
( 25 ) Niezależnie od tego, że pytanie zadane przez sąd krajowy odnosi się w sposób wyraźny i jasny do wersji zmienionej art. 1 ust. 2 rozporządzenia nr 2252/2004, Trybunał zwrócił się w trakcie rozprawy z pytaniem do rządu niemieckiego, który potwierdził, że chociaż przeciwko decyzji o odmowie wydania M. Schwarzowi paszportu odwołanie zostało złożone w 2007 r. – czyli przed wejściem w życie rzeczonej zmienionej wersji – prawem istotnym dla rozstrzygnięcia sporu przed sądem odsyłającym jest, według krajowych zasad postępowania właściwych dla rodzaju skargi wniesionej przez skarżącego w postępowaniu przed sądem odsyłającym, prawo właściwe w chwili wydania orzeczenia przez ten sąd.
( 26 ) Zobacz, pośród obszernego orzecznictwa, wyrok z dnia 10 czerwca 1997 r. w sprawie C-392/95 Parlament przeciwko Radzie, Rec. s. I-3213, pkt 15 i przytoczone tam orzecznictwo.
( 27 ) Zobacz art. 1 ust. 2 ww. projektu rozporządzenia.
( 28 ) Rezolucja legislacyjna Parlamentu Europejskiego w sprawie projektu Komisji dotyczącego rozporządzenia Rady [P6 _TA(2004)0073].
( 29 ) Zgodnie z definicją zawartą w art. 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz.U. L 281, s. 31) i z ustaleniem Europejskiego Trybunału Praw Człowieka (zob. wyrok Europejskiego Trybunału Praw Człowieka w sprawie S. i Marper przeciwko Zjednoczonemu Królestwu z dnia 4 grudnia 2008 r., skarga nr 30562/04 i 30566/04 (§ 81)].
( 30 ) W celu przypomnienia zasad ogólnych, stosowanych przez Europejski Trybunał Praw Człowieka w tej dziedzinie zob. wyrok Europejskiego Trybunału Praw Człowieka w sprawie M.K. przeciwko Francji z dnia 18 kwietnia 2013 r., skarga nr 19522/09 (§ 33 i nast.).
( 31 ) Odpowiednio, art. 6 i 7 dyrektywy 95/46.
( 32 ) Artykuł 12 dyrektywy 95/46.
( 33 ) Artykuł 14 dyrektywy 95/46.
( 34 ) Artykuł 22 dyrektywy 95/46.
( 35 ) W przedmiocie tych wymogów zob. wyrok Europejskiego Trybunału Praw Człowieka w sprawie M.K. przeciwko Francji, § 30 i przytoczone tam orzecznictwo. Jako przykład naruszenia uznanego przez ten trybunał za nieprzewidziane przez ustawę zob. wyrok Europejskiego Trybunału Praw Człowieka w sprawie Shimovolos przeciwko Rosji z dnia 21 czerwca 2011 r., skarga nr 30194/09, § 67 i nast.
( 36 ) Zobacz pkt 22 niniejszej opinii.
( 37 ) Zobacz art. 61 WE.
( 38 ) Ponieważ okres ważności każdego paszportu wynosi, co do zasady, dziesięć lat, można łatwo przyznać, że ze względu na potencjalne zmiany w wyglądzie prawowitego posiadacza paszportu fotografia ta nie stanowi elementu kontroli bardzo wiarygodnego lub przynajmniej wystarczającego.
( 39 ) „Normalny” współczynnik błędu był szacowany w 2005 r. między 0,5% i 1% (zob. pkt 3.4.3 ww. opinii Europejskiego Inspektora Ochrony Danych z dnia 23 marca 2005 r.).
( 40 ) Artykuł 1 ust. 2a lit. a) rozporządzenia nr 2252/2004 w brzmieniu zmienionym.
( 41 ) Wyrok z dnia 9 listopada 2010 r. w sprawach połączonych C-92/09 i C-93/09 Volker und Markus Schecke i Eifert, Zb.Orz. s. I-11063, pkt 77.
( 42 ) Ibidem, pkt 77 i przytoczone tam orzecznictwo.
( 43 ) Po wskazaniu w swoich pismach, że obraz tęczówki oka stanowiłby środek w mniejszym stopniu naruszający prawo podstawowe ustanowione w art. 8 karty, M. Schwarz doprecyzował swoje stanowisko w toku rozprawy i poinformował Trybunał, że jedyną obowiązkową metodą biometryczną, którą można tolerować w celu identyfikacji osób, byłoby zdjęcie twarzy. Wskazał też, że podczas kontroli na granicach zewnętrznych Unii ważne jest jedynie sprawdzenie przynależności państwowej osoby i że weryfikacja jej pełnej tożsamości nie jest potrzebna.
( 44 ) Michael Schwarz przedstawił ryzyko związane z uzyskaniem danych przez fałszerzy, jak i przez państwa trzecie, które wykorzystałyby kontrolę paszportową na swoich granicach w celu uzyskania obrazów odcisków palców obywateli Unii, zawartych w paszportach, dla użytku nieobjętego żadną kontrolą.
( 45 ) Zobacz s. 4 i 8 ww. projektu rozporządzenia i pkt 20 niniejszej opinii.
( 46 ) Zobacz s. 8 ww. projektu rozporządzenia.
( 47 ) Ibidem, s. 8.
( 48 ) Wyżej wymieniona opinia z dnia 23 marca 2005 r.; opinie: z dnia 19 października 2005 r. w sprawie wniosku dotyczącego decyzji Rady w sprawie utworzenia, działania i wykorzystania Systemu Informacyjnego Schengen drugiej generacji (SIS II), wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie utworzenia, eksploatacji i wykorzystania Systemu Informacyjnego Schengen (SIS II) drugiej generacji oraz wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie dostępu służb odpowiedzialnych w państwach członkowskich za wydawanie świadectw rejestracji pojazdów do Systemu Informacyjnego Schengen drugiej generacji (SIS II) (Dz.U. 2006, C 91, s. 38); z dnia 27 października 2006 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady zmieniającego wspólne instrukcje konsularne dla misji dyplomatycznych i urzędów konsularnych dotyczące wiz w związku z wprowadzeniem technologii biometrycznych, łącznie z przepisami dotyczącymi organizacji przyjmowania i rozpatrywania wniosków wizowych (Dz.U. C 321, s. 38); z dnia 26 marca 2008 r. w sprawie wniosku dotyczącego rozporządzenia nr 444/2009 (Dz.U. C 200, s. 1).
( 49 ) Opinia 3/2005 z dnia 30 września 2005 r. Grupy Roboczej ds. Ochrony Danych w sprawie wprowadzenia w życie rozporządzenia [nr 2252/2004].
( 50 ) Wyrok Trybunału z dnia 8 lipca 2010 r. w sprawie C-343/09 Afton Chemical, Zb.Orz. s. I-7027, pkt 28.
( 51 ) Nie mówiąc już o tym, że w każdym razie metoda obrazu tęczówki oka nie zapewnia zerowego współczynnika błędu.
( 52 ) W tym względzie skarżący w postępowaniu przed sądem krajowym powtórzył w trakcie rozprawy obawy wyrażone przez Bundesverfassungsgericht w postanowieniu wydanym w dniu 30 grudnia 2012 r. (1BvR 502/09).
( 53 ) Artykuł 4 ust. 3.
( 54 ) Zobacz motyw 5 rozporządzenia nr 444/2009. Jeśli państwa członkowskie postanowią utworzyć takie bazy danych, zgodność z prawem podstawowym do ochrony danych osobowych może zostać w razie potrzeby skontrolowana przez sądy krajowe, w tym konstytucyjne, oraz przez Europejski Trybunał Praw Człowieka.
( 55 ) Artykuł 1a rozporządzenia nr 2252/2004 w brzmieniu zmienionym.
( 56 ) Które są chronione przez klucz infrastruktury publicznej.
( 57 ) Artykuł 4 ust. 1 rozporządzenia nr 2252/2004 w brzmieniu zmienionym.
( 58 ) Artykuł 4 ust. 3 rozporządzenia nr 2252/2004 w brzmieniu zmienionym.
( 59 ) Artykuł 1 ust. 2a i 2b rozporządzenia nr 2252/2004 w brzmieniu zmienionym.