1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/1

1.

W dniu 20 września 2010 r. Komisja Europejska przyjęła wniosek dotyczący rozporządzenia w sprawie wprowadzania do obrotu i używania prekursorów materiałów wybuchowych (3) (zwany dalej „wnioskiem”). W dniu 11 listopada 2010 r. wniosek przyjęty przez Komisję przekazano EIOD do konsultacji zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. EIOD z zadowoleniem przyjął fakt, że Komisja się z nim skonsultowała i że odniesienie do tej konsultacji znajduje się w motywach wniosku.

2.

Głównym celem zaproponowanych środków jest ograniczenie ryzyka ataków terrorystów lub innych przestępców za pomocą wytworzonych domowym sposobem urządzeń wybuchowych. W tym celu rozporządzenie ogranicza dostęp przeciętnych użytkowników do niektórych substancji chemicznych, które mogą być niewłaściwe używane jako prekursory wytwarzanych domowym sposobem materiałów wybuchowych. Ponadto wniosek obejmuje sprzedaż takich substancji chemicznych ściślejszą kontrolą poprzez zgłaszanie podejrzanych transakcji i kradzieży.

3.

W niniejszej opinii EIOD zwraca uwagę prawodawców na kilka istotnych kwestii ochrony danych i przedstawia zalecenia, których celem jest zapewnienie prawa podstawowego do ochrony danych osobowych.

4.

Wniosek dotyczy problemów związanych z niewłaściwymi używaniem niektórych substancji chemicznych, które są szeroko dostępne na rynku dla przeciętnych użytkowników, jako prekursory wytwarzanych domowym sposobom materiałów wybuchowych. Art. 4 i 5 wniosku odnosi się zakazu sprzedaży przeciętnym użytkownikom niektórych substancji, który powiązany jest z systemem koncesji i wymogiem odnotowania w ewidencji wszystkich koncesjonowanych transakcji. Art. 6 wymaga od podmiotów gospodarczych zgłaszania podejrzanych transakcji i kradzieży. W końcu art. 7 dotyczy konieczności ochrony danych.

5.

Zakazana jest powszechna sprzedaż niektórych substancji chemicznych w stężeniach przekraczających określone progi. Substancje te w wyższych stężeniach można byłoby sprzedawać wyłącznie użytkownikom, którzy mogą udokumentować, że potrzebują ich w zgodnych z prawem celach.

6.

Zakres wniosku ogranicza się do krótkiego wykazu substancji chemicznych i ich mieszanin (zobacz załącznik I do wniosku) oraz do ich sprzedaży przeciętnym użytkownikom. Ograniczenia te nie znajdują zastosowania wobec użytkowników specjalistycznych ani między przedsiębiorstwami. Ponadto dostępność dla przeciętnych użytkowników substancji chemicznych z krótkiego wykazu zostaje ograniczona wyłącznie wtedy, gdy substancje te przekraczają określone progi stężenia. Substancje można nadal nabyć za okazaniem koncesji wydanej przez organ publiczny (dokumentującej, że są one wykorzystywane w zgodnych z prawem celach). Wyjątek stosuje się także do rolników, którzy mogą nabyć azotan amonowy w celu wykorzystania jako nawóz bez koncesji, niezależnie od poziomu stężenia.

7.

Koncesja będzie również wymagana, gdy przeciętny użytkownik zamierza sprowadzić do Unii Europejskiej substancje wyszczególnione w krótkim wykazie.

8.

Podmiot gospodarczy udostępniający substancję lub mieszaninę koncesjonowanemu przeciętnemu użytkownikowi musi sprawdzić koncesję oraz odnotowuje transakcję w ewidencji.

9.

Od każdego państwa członkowskiego wymaga się ustanowienia przepisów dotyczących udzielania koncesji. Właściwy organ w państwie członkowskim odmawia udzielenia wnioskodawcy koncesji, jeżeli istnieją zasadne powody, by wątpić w zgodność z prawem zamierzonego użycia. Udzielone koncesje są ważne we wszystkich państwach członkowskich. Komisja sporządza wytyczne na temat szczegółowych aspektów technicznych koncesji, by pomóc w ich wzajemnym uznawaniu.

10.

Sprzedaż odnośnych substancji chemicznych w szerszym zakresie (substancji wymienionych w załączniku II, obok wszystkich substancji wymienionych w załączniku I, które podlegają już wymogowi koncesjonowania) podlega zgłoszeniu podejrzanych transakcji i kradzieży.

11.

Wniosek wymaga od każdego państwa członkowskiego ustanowienia krajowego punktu kontaktowego (wyraźnie podając jego numer telefonu i adres poczty internetowej) na potrzeby zgłaszania podejrzanych transakcji i kradzieży. Od podmiotów gospodarczych wymaga się niezwłocznego zgłoszenia podejrzanych transakcji i kradzieży, z podaniem w miarę możliwości tożsamości klienta.

12.

Komisja sporządza i aktualizuje wytyczne, by wspomóc podmioty gospodarcze w rozpoznawaniu i zgłaszaniu podejrzanej transakcji. Wytyczne będą obejmować również regularnie aktualizowany wykaz dodatkowych substancji niezawartych w załączniku I ani II, w przypadku których zachęca się do dobrowolnego zgłaszania podejrzanych transakcji i kradzieży.

13.

Motyw 11 i art. 7 zawierają wyraźny wymóg, by przetwarzanie danych osobowych na mocy rozporządzenia odbywało się zawsze zgodnie z unijnymi przepisami o ochronie danych, w szczególności z dyrektywą 95/46/WE (4) oraz krajowymi przepisami o ochronie danych przyjętymi w celu wdrożenia tej dyrektywy. Wniosek nie zawiera innych przepisów w zakresie ochrony danych.

14.

Zgłaszanie podejrzanych transakcji i kradzieży oraz system koncesjonowania i ewidencji przewidziane w rozporządzeniu wymagają przetwarzania danych osobowych. Oba wiążą się z – zawsze w pewnym stopniu – zakłóceniem życia prywatnego i prawem do ochrony danych osobowych, przez co wymagają odpowiednich zabezpieczeń.

15.

EIOD z zadowoleniem przyjmuje fakt, że wniosek zawiera oddzielny przepis (art. 7) dotyczący ochrony danych. Ten pojedynczy – i bardzo ogólny – przepis przewidziany we wniosku jest jednak niewystarczający dla odpowiedniego potraktowania kwestii ochrony danych, z jakimi wiążą się zaproponowane środki. Ponadto właściwe artykuły wniosku (art. 4, 5 i 6) również nie opisują dostatecznie szczegółowo specyfiki przewidzianych operacji przetwarzania danych.

16.

Dla przykładu, w zakresie koncesji rozporządzenie wymaga od podmiotu gospodarczego odnotowania w ewidencji koncesjonowanych transakcji, jednak bez określenia, jakie dane osobowe ewidencja ta powinna zawierać, jak długo należy ją zatrzymywać, komu i na jakich warunkach można ją ujawnić. Nie określono również, jakie dane będę gromadzone przy przetwarzaniu wniosków o koncesję.

17.

Jeśli chodzi o wymóg zgłaszania podejrzanych transakcji i kradzieży, wniosek ustanawia wymóg zgłaszania, nie określając jednak, co stanowi podejrzaną transakcję, jakie dane osobowe należy zgłosić, jak długo zgłoszone informacje powinny być zatrzymywane, komu i na jakich warunkach można je ujawnić. Wniosek nie opisuje także szczegółowo „krajowych punktów kontaktowych”, które należy ustanowić, ani bazy danych, jaką te punkty kontaktowe mogą ustanowić dla swoich państw członkowskich, ani ewentualnej bazy danych, jaka może powstać na poziomie UE.

18.

Z punktu widzenia ochrony danych gromadzenie danych dotyczących podejrzanych transakcji to najdelikatniejsza kwestia we wniosku. Właściwe przepisy należy ująć wyraźnie w taki sposób, by zapewnić proporcjonalność przetwarzania danych i zapobiec naruszeniom. W tym celu należy wyraźnie określić warunki przetwarzania danych i zastosować odpowiednie zabezpieczenia.

19.

Co ważniejsze, danych nie powinno się wykorzystywać do żadnego innego celu niż zwalczanie terroryzmu (i innych przestępstw związanych z niewłaściwym używaniem substancji chemicznych jako wytwarzanych domowym sposobem materiałów wybuchowych). Danych nie powinno się również zatrzymywać w dłuższych okresach, szczególnie jeśli liczba potencjalnych i faktycznych odbiorców miałaby być duża lub jeśli dane miałyby być wykorzystane do eksploracji danych. Jest to jeszcze ważniejsze w przypadkach, w których można wykazać, że początkowe podejrzenie był bezpodstawne. W takich przypadkach musi istnieć konkretne uzasadnienie dla dalszego zatrzymywania danych. Dla przykładu EIOD odwołuje się w tym kontekście do orzeczenia Europejskiego Trybunału Praw Człowieka w sprawie S i Marper przeciwko Zjednocznemu Królestwu (2008 r.) (5), zgodnie z którym długoterminowe zatrzymywanie DNA osób nieskazanych za przestępstwo było naruszeniem ich prawa do prywatności zgodnie z art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności.

20.

Z tych względów EIOD zaleca, by art. 5, 6 i 7 wniosku zawierały więcej bardziej szczegółowych przepisów, aby odpowiednio potraktować te kwestie. Bardziej szczegółowe zalecenia przedstawiono poniżej.

21.

Ponadto należy również rozważyć, czy można przygotować właściwe, bardziej szczegółowe przepisy w decyzji wykonawczej Komisji zgodnie z art. 10, 11 i 12 wniosku w celu objęcia dodatkowych kwestii ochrony danych na poziomie praktycznym.

22.

EIOD zaleca również, by wytyczne Komisji na temat podejrzanych transakcji i szczegółowych aspektów technicznych koncesji zawierały więcej szczegółowych przepisów dotyczących przetwarzania danych i ochrony danych. Zarówno wytyczne, jak i ewentualna decyzja wykonawcza w dziedzinie ochrony danych, powinny zostać przyjęte po konsultacji z EIOD i – gdy w grę wchodzi wdrażanie na poziomie krajowym – z grupą roboczą art. 29 ds. ochrony danych. Należy przewidzieć to wyraźnie w samym rozporządzeniu i należy wyraźnie wymienić w nim główne kwestie, jakie należy objąć wytycznymi/decyzją wdrażającą.

23.

EIOD zaleca, by art. 5 rozporządzenia określał maksymalny okres zatrzymywania danych (prima facie nieprzekraczający dwóch lat) oraz kategorie danych osobowych, które należy odnotować w ewidencji (niewykraczające poza nazwisko, numer koncesji i zakupione artykuły). Zalecenia te wynikają z zasady konieczności i proporcjonalności: gromadzenie i zatrzymywanie danych osobowych powinno ograniczać się do tego, co ściśle niezbędne do zamierzonych celów (zobacz art. 6 lit. c) i e) dyrektywy 95/46/WE). Jeśli takie szczegóły zostawi się prawu krajowemu lub praktyce, będzie to prawdopodobnie prowadzić do niepotrzebnych wątpliwości i nierównego traktowania podobnych sytuacji w praktyce.

24.

Ponadto art. 5 rozporządzenia powinien również wyraźnie zakazać – w powiązaniu z procedurą koncesjonowania – gromadzenia i przetwarzania „szczególnych kategorii danych” (określonych w art. 8 dyrektywy 95/46/WE), takich jak m.in. danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub światopoglądowe.

25.

To powinno również ułatwić dopilnowanie, by wnioskodawcy nie byli traktowani w dyskryminujący sposób, na przykład ze względu na ich rasę, narodowość, przynależność polityczną lub religijną. W tym kontekście EIOD podkreśla, że zapewnienie wysokiego poziomu ochrony danych jest również środkiem przyczyniającym się do zwalczania rasizmu, ksenofobii i dyskryminacji, co z kolei może przyczynić się do zapobiegania radykalizacji postaw i werbowaniu terrorystów.

26.

Rozporządzenie stanowi, że wnioski o koncesję należy odrzucić, jeżeli istnieją zasadne powody, by wątpić w zgodność z prawem zamierzonego użycia. W tym względzie dobrze by było, gdyby wytyczne lub decyzja wykonawcza określały/a dane, które organy udzielające koncesji mogą gromadzić w związku z wnioskiem o koncesję.

27.

Wytyczne lub decyzja wykonawcza powinny stanowić, że ewidencję należy ujawnić wyłącznie właściwym organom ścigania badającym działalność terrorystyczną lub inne podejrzane zastosowania prekursorów materiałów wybuchowych o charakterze przestępczym. Informacji nie należy wykorzystywać do dodatkowych celów (zobacz art. 6 lit. b) dyrektywy 95/46/WE).

28.

EIOD zaleca ponadto, by wytyczne lub decyzja wykonawcza precyzowały, że organ udzielający koncesji – który najlepiej nadaje się do dostarczenia takiego pisma bezpośrednio osobom, których dane dotyczą – powinien poinformować posiadaczy koncesji o tym, że ich transakcje będę przedmiotem ewidencji i mogą być przedmiotem zgłoszenia, jeśli okażą się „podejrzane” (zobacz art. 10 i 11 dyrektywy 95/46/WE).

29.

EIOD zaleca, by we wniosku wyraźnie określono rolę i charakter krajowych punktów kontaktowych. Ocena wpływu w pkt 6.33 odnosi się do możliwości, zgodnie z którą te punkty kontaktowe mogą być nie tylko „organami ścigania”, ale również „stowarzyszeniami”. Akty prawne nie zawierają żadnych innych informacji w tym względzie. Należy to w szczególności wyjaśnić w art. 6 ust. 2 wniosku. Zasadniczo dane powinny być zatrzymywane przez organy ścigania – jeśli nie, należy bardzo wyraźnie podać powody takie sytuacji.

30.

Ponadto art. 6 rozporządzenia powinien określać dane osobowe podlegające ewidencji (niewykraczające poza nazwisko, numer koncesji, nabywane artykuły i powody powstania podejrzenia). Zalecenia te wynikają z zasady konieczności i proporcjonalności: gromadzenie danych osobowych powinno ograniczać się do tego, co ściśle niezbędne do zamierzonych celów (zobacz art. 6 lit. c) dyrektywy 95/46/WE). W tym kontekście zastosowanie mają analogiczne rozważania jak w pkt 23.

31.

Art. 6 rozporządzenia powinien również wyraźnie zakazać – w powiązaniu z procedurą koncesjonowania – gromadzenia i przetwarzania „szczególnych kategorii danych” (określonych w art. 8 dyrektywy 95/46/WE), takich jak m.in. danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub światopoglądowe (zobacz również pkt 24–25).

32.

Art. 6 powinien również określać maksymalny okres zatrzymywania danych, z uwzględnieniem celów przechowywania danych. EIOD zaleca, by – chyba że dana podejrzana transakcja lub kradzież doprowadziły do konkretnego dochodzenia i dochodzenie jest nadal w toku – wszystkie zgłaszane podejrzane transakcje i przypadki kradzieży usuwać z bazy danych po upływie określonego czasu (prima facie najpóźniej po dwóch latach od daty zgłoszenia). To powinno ułatwić dopilnowanie, by w przypadkach braku potwierdzenia podejrzenia (lub umorzenia dochodzenia) niewinne osoby nie znajdowały się na „czarnej liście” lub nie były „podejrzane” przez nadmiernie długi okres (zobacz art. 6 lit. e) dyrektywy 95/46/WE). Należy uniknąć zbyt dużych rozbieżności w tym względzie na poziomie krajowym.

33.

Ograniczenie to jest również konieczne w celu zapewnienia przestrzegania zasady jakości danych (zobacz art. 6 lit. d) dyrektywy 95/46/WE) oraz innych ważnych zasad prawa, takich jak domniemanie niewinności. Dzięki temu można uzyskać nie tylko bardziej odpowiedni poziom ochrony osób fizycznych, ale jednocześnie powinno to umożliwić organom ścigania bardziej skuteczne skoncentrowanie się na tych poważniejszych sprawach, w których podejrzenie prawdopodobnie zostanie ostatecznie potwierdzone.

34.

We wniosku nie określono, jaką transakcję można uznać za „podejrzaną”. Art. 6 ust. 6 lit. a) wniosku przewiduje jednak, że Komisja „sporządza i aktualizuje wytyczne” i dostarcza informacje, „w jaki sposób rozpoznać i zgłosić podejrzaną transakcję”.

35.

EIOD z zadowoleniem przyjmuje fakt, że wniosek wymaga od Komisji sporządzenia wytycznych. Powinny być one dostatecznie wyraźne i konkretne oraz zapobiegać zbyt szerokiej wykładni, by ograniczyć do minimum przekazywanie danych osobowych organom ścigania i zapobiec arbitralnym lub dyskryminacyjnym praktykom, np. ze względu na rasę, narodowość, przynależność polityczną lub religijną.

36.

Wytyczne lub przepisy wykonawcze powinny ponadto stanowić, że informacje należy zatrzymywać w bezpieczny i poufny sposób oraz należy je ujawnić wyłącznie właściwym organom ścigania badającym działalność terrorystyczną lub inne podejrzane zastosowania prekursorów materiałów wybuchowych o charakterze przestępczym. Informacji nie należy wykorzystywać do dodatkowych celów, np. do ścigania przez organy podatkowe lub imigracyjne niepowiązanych spraw.

37.

Wytyczne/decyzja wykonawcza powinny/a dalej określać, kto ma dostęp do danych uzyskanych (i przechowywanych) przez krajowe punkty kontaktowe. Dostęp/ujawnianie powinien/powinno być ściśle zgodne z zasadą ograniczonego dostępu. Należy rozważyć publikację wykazu ewentualnych odbiorców.

38.

Wytyczne/decyzja wykonawcza powinny/a zapewniać prawa dostępu dla osób, których dane dotyczą, w tym w stosownych przypadkach – poprawienie lub usuwanie danych (zobacz art. 12–14 dyrektywy 95/46/WE). Istnienie tego prawa – lub ewentualnych wyjątków zgodnie z art. 13 – może mieć poważne skutki. Na przykład, zgodnie z ogólnymi przepisami osoba, której dane dotyczą, ma również prawo wiedzieć, czy jej transakcja została zgłoszona jako podejrzana. (Ewentualne) wykonanie tego prawa mogłoby jednak zniechęcić sprzedawcę prekursorów materiałów wybuchowych do zgłaszania podejrzanych transakcji nabywcy. Stąd wyjątki należy wyraźnie uzasadnić i szczegółowo określić, najlepiej w rozporządzeniu, lub ewentualnie w wytycznych/decyzji wykonawczej. Należy przewidzieć również mechanizm odwoławczy, z zaangażowaniem krajowych punktów kontaktowych.

39.

EIDO z zadowoleniem przyjął fakt, że art. 16 wniosku ustanawia przegląd rozporządzenia [po pięciu latach od daty przyjęcia]. EIOD jest bowiem zdania, iż w odniesieniu do wszystkich nowych instrumentów powinno się wykazać w okresowych przeglądach, że nadal stanowią skuteczne środki zwalczania terroryzmu (i innej działalności przestępczej). EIOD zaleca, by rozporządzenie wyraźnie stanowiło, że w trakcie takiego przeglądu uwzględniono również skuteczność rozporządzenia, jak i jego wpływ na prawa podstawowe, w tym ochronę danych.

40.

EIOD zaleca dodanie do wniosku nowych, bardziej szczegółowych informacji w celu odpowiedniego potraktowania kwestii ochrony danych. Ponadto wytyczne Komisji na temat podejrzanych transakcji i szczegółowych aspektów technicznych koncesji – i ewentualna decyzja wykonawcza w sprawie ochrony danych – powinny również zawierać więcej szczegółowych przepisów dotyczących przetwarzania danych i ochrony danych. Wytyczne (i ewentualnie decyzja wykonawcza) powinny zostać przyjęte po konsultacji z EIOD i – w stosownym przypadku – z grupą roboczą art. 29 z przedstawicielami organów ochrony danych w państwach członkowskich.

41.

Art. 5 rozporządzenia powinien określać maksymalny okres zatrzymywania danych (prima facie nieprzekraczający dwóch lat) dla odnotowanych w ewidencji transakcji oraz kategorie danych osobowych, które należy odnotować w ewidencji (niewykraczające poza nazwisko, numer koncesji i zakupione artykuły). Należy wyraźnie zakazać przetwarzania szczególnych kategorii danych.

42.

W art. 6 wniosku należy wyraźnie określić rolę i charakter krajowych punktów kontaktowych. Przepis ten powinien również określać maksymalny okres zatrzymywania danych dla danych zgłoszonych do podejrzanych transakcji (prima facie nieprzekraczający dwóch lat) oraz dane osobowe, które należy odnotować w ewidencji (niewykraczające poza nazwisko, numeru koncesji, nabywane artykuły i powody powstania podejrzenia). Należy wyraźnie zakazać przetwarzania szczególnych kategorii danych.

43.

Ponadto wytyczne/decyzja wykonawcza powinny/a określać dane, które organy udzielające koncesji mogą gromadzić w związku z wnioskiem o koncesję. Powinny one także wyraźnie wydzielać cele, dla których dane można wykorzystać. Podobne przepisy powinny również mieć zastosowanie do ewidencji podejrzanych transakcji. Wytyczne/decyzja wykonawcza powinny/a precyzować, że organ udzielający koncesji powinien poinformować posiadaczy koncesji o tym, że ich transakcje będę przedmiotem ewidencji i mogą być przedmiotem zgłoszenia, jeśli okażą się „podejrzane”. Wytyczne/decyzja wykonawcza powinny/a dalej określać, kto ma dostęp do danych uzyskanych (i przechowywanych) przez krajowe punkty kontaktowe. Dostęp/ujawnianie powinien/powinno być ściśle zgodne z zasadą ograniczonego dostępu. Wytyczne powinny również zapewniać odpowiednie prawa dostępu osobom, których dane dotyczą, i wyraźnie określać i uzasadniać wyjątki.

44.

Skuteczność przewidzianych środków powinna podlegać okresowemu przeglądowi przy jednoczesnym uwzględnieniu ich wpływu na prywatność.

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/6

1.

Dnia 22 listopada 2010 r. Komisja przyjęła komunikat zatytułowany „Strategia bezpieczeństwa wewnętrznego UE w działaniu: pięć kroków w kierunku bezpieczniejszej Europy” (zwany dalej „Komunikatem”) (3). Został on przekazany do EIOD do konsultacji.

2.

EIOD z zadowoleniem przyjmuje fakt, że Komisja się z nim skonsultowała. Jeszcze przed przyjęciem komunikatu EIOD przedstawił nieformalne uwagi do jego projektu. Niektóre z nich uwzględniono w wersji ostatecznej komunikatu.

3.

Strategia bezpieczeństwa wewnętrznego UE (zwana dalej „strategią ISS” – ang. Internal Security Strategy), której dotyczy komunikat, przyjęta została dnia 23 lutego 2010 r. w czasie hiszpańskiej prezydencji (4). Opisuje ona europejski model bezpieczeństwa, który łączy w sobie m.in. działania w zakresie współpracy policyjnej i sądowej, zarządzanie granicami i ochronę ludności oraz poszanowanie wspólnych wartości europejskich, takich jak prawa podstawowe. Jej głównymi celami są:

4.

Celem strategii ISS jest zwalczanie najbardziej naglących zagrożeń i wyzwań dla bezpieczeństwa UE, takich jak poważna i zorganizowana przestępczość, terroryzm i cyberprzestępczość, zarządzanie zewnętrznymi granicami UE oraz budowanie odporności na klęski żywiołowe i katastrofy wywołane przez działalność człowieka. Strategia zapewnia ogólne wytyczne, zasady i kierunki dotyczące tego, jak Unia powinna reagować na wspomniane kwestie i wzywa Komisję do zaproponowania określonych czasowo działań mających na celu jej wdrożenie.

5.

Ponadto ważne jest, aby w tym kontekście odnieść się do najnowszych konkluzji Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych w sprawie opracowania i realizacji cyklu polityki unijnej dotyczącej poważnej i zorganizowanej przestępczości międzynarodowej przyjętych w dniach 8-9 listopada 2010 r. (5) (zwanych dalej „konkluzjami z listopada 2010 r.”). Dokument ten następuje po konkluzjach Rady w sprawie architektury bezpieczeństwa wewnętrznego z 2006 r. (6). Wzywa on Radę i Komisję do zdefiniowania kompleksowej strategii ISS opartej na wspólnych wartościach i zasadach UE potwierdzonych przez Kartę praw podstawowych Unii Europejskiej (7).

6.

Spośród kierunków i celów, które powinny być motorami wdrażania strategii ISS, konkluzje z listopada 2010 r. odnoszą się do refleksji nad podejściem proaktywnym i opartym na informacjach, ścisłej współpracy pomiędzy unijnymi agencjami, łącznie z dalszą poprawą jakości wymiany informacji, oraz do celu, jakim jest uświadamianie obywatelom istotności pracy wykonywanej przez Unię celem zapewnienia im ochrony. Konkluzje wzywają także Komisję do utworzenia Wieloletniego Planu Strategicznego (dalej: WPS) dla każdego z priorytetów, definiującego najbardziej odpowiednią strategię podejścia do problemu, we współpracy z ekspertami z odpowiednich agencji i państw członkowskich. Wzywają one także Komisję do stworzenia niezależnego mechanizmu oceny wdrażania WPS w drodze konsultacji z państwami członkowskimi i ekspertami z agencji unijnych. EIOD porusza te kwestie w dalszej części niniejszej opinii, gdyż są one ściśle powiązane z ochroną danych osobowych, prywatnością i innymi związanymi z nimi prawami i wolnościami podstawowymi lub też mają na nie znaczący wpływ.

7.

W komunikacie zawarto 5 celów strategicznych, które związane są z prywatnością i ochroną danych:

8.

Proponowana w ramach komunikatu realizacja strategii bezpieczeństwa wewnętrznego UE w działaniu obejmuje wspólny program dla państw członkowskich, Parlamentu Europejskiego, Komisji, Rady, agencji i innych organów, łącznie z organizacjami społeczeństwa obywatelskiego i władzami lokalnymi; sugeruje również, iż wszystkie te organy powinny w najbliższych 4 latach współpracować, by osiągnąć cele strategii ISS.

9.

Komunikat bazuje na traktacie lizbońskim i uznaje wytyczne zawarte w programie sztokholmskim (oraz planie działań), które w rozdziale 4.1 podkreślają potrzebę kompleksowej strategii ISS opartej na poszanowaniu praw podstawowych, ochronie międzynarodowej i praworządności. Ponadto zgodnie z programem sztokholmskim tworzenie, monitorowanie i wdrażanie strategii bezpieczeństwa wewnętrznego powinno stać się jednym z priorytetowych zadań Stałego Komitetu Współpracy Operacyjnej w zakresie Bezpieczeństwa Wewnętrznego (COSI) utworzonego na mocy art. 71 TFUE. Aby zagwarantować skuteczne egzekwowanie strategii ISS, powinna ona obejmować również zagadnienia związane z bezpieczeństwem zintegrowanego zarządzania granicami, a także (w odpowiednich przypadkach) ze współpracą w sprawach kryminalnych podlegających współpracy operacyjnej w dziedzinie bezpieczeństwa wewnętrznego. Należy w tym kontekście wspomnieć również, że program sztokholmski wzywa do zastosowania zintegrowanego podejścia do strategii ISS, które powinno również uwzględniać strategię bezpieczeństwa zewnętrznego stworzoną przez UE, a także inne kierunki polityki unijnej, zwłaszcza dotyczące rynku wewnętrznego.

10.

Komunikat odnosi się do rozmaitych obszarów polityki, które składają sie na „bezpieczeństwo wewnętrzne” Unii Europejskiej w szerokim ujęciu lub też mają na nie wpływ.

11.

Celem niniejszej opinii nie jest analiza wszystkich obszarów polityki wraz z poszczególnymi tematami ujętymi w komunikacie, lecz:

12.

EIOD pragnie osiągnąć wspomniane cele zwłaszcza poprzez podkreślanie powiązań pomiędzy strategią ISS a strategią w zakresie zarządzania informacjami i pracę nad pełnymi ramami ochrony danych. Ponadto EIOD odnosił się będzie do takich pojęć jak najlepsze dostępne techniki, „uwzględniania ochrony prywatności w fazie projektowania”, prywatność i ocena wpływu ochrony danych, a także prawa osoby, której dotyczą dane, które mają bezpośredni wpływ na projektowanie i wdrażanie strategii ISS. W niniejszej opinii zawarto również komentarze dotyczące niektórych wybranych obszarów polityki, takich jak zintegrowane zarządzanie granicami, łącznie z EUROSUR i przetwarzaniem danych osobowych przez FRONTEX, jak również innych dziedzin, takich jak cyberprzestrzeń czy Program śledzenia środków finansowych należących do terrorystów.

13.

Rozmaite strategie unijne opierające się na traktacie lizbońskim i programie sztokholmskim, mające bezpośredni lub pośredni wpływ na ochronę danych, są obecnie omawiane i proponowane na poziomie UE. Strategia ISS jest jedną z nich. Jest ona bezpośrednio powiązana z innymi strategiami (tymi, o których mowa w najnowszych komunikatach Komisji, lub przewidywanymi na najbliższą przyszłość), takimi jak strategia UE w zakresie zarządzania informacjami, europejski model wymiany informacji, strategia wdrażania Karty praw podstawowych Unii Europejskiej, kompleksowa strategia ochrony danych czy unijna polityka przeciwdziałania terroryzmowi. W niniejszej opinii EIOD zwraca szczególną uwagę na powiązania ze strategią w zakresie zarządzania informacjami i kompleksowymi ramami ochrony danych opartymi na art. 16 TFUE, które mają najbardziej oczywiste powiązania ze strategią ISS z punktu widzenia ochrony danych.

14.

Wszystkie te strategie tworzą skomplikowaną „mozaikę” powiązanych ze sobą wytycznych dotyczących polityki, programów i planów działań wzywających do stworzenia kompleksowego i zintegrowanego podejścia na poziomie UE.

15.

Bardziej ogólnie można stwierdzić, że jeżeli podejście zakładające „łączenie strategii” zostanie włączone do przyszłych działań, to okaże się, że istnieje na poziomie UE wizja strategii UE, oraz że strategie te, a także niedawno przyjęte komunikaty je rozszerzające, są ze sobą ściśle powiązane, co jest prawdą, ponieważ program sztokholmski stanowi dla nich wszystkich punkt odniesienia. Skutkowałoby to również pozytywną synergią pomiędzy różnymi kierunkami polityki dotyczącymi obszaru wolności, bezpieczeństwa i sprawiedliwości, pozwoliłoby także uniknąć potencjalnego dublowania prac i wysiłków w tej dziedzinie. Co równie ważne, podejście to prowadziłoby także do bardziej skutecznego i spójnego stosowania zasad ochrony danych w kontekście wszystkich powiązanych ze sobą strategii.

16.

EIOD pragnie podkreślić, że jednym z filarów strategii ISS jest skuteczne zarządzanie informacją w Unii Europejskiej, które powinno opierać się na gruncie zasad konieczności i proporcjonalności, aby uzasadnić potrzebę wymiany informacji.

17.

Ponadto, jak wspomniano w opinii EIOD dotyczącej komunikatu w sprawie zarządzania informacją (8), EIOD podkreśla, że każdy nowy środek ustawodawczy ułatwiający przechowywanie i wymianę danych osobowych powinien być proponowany wyłącznie w oparciu o konkretne dowody potwierdzające jego niezbędność (9). Wymóg natury prawnej powinien zostać przy wdrażaniu strategii ISS przekształcony w proaktywne podejście dotyczące polityki. Potrzeba kompleksowego podejścia do strategii ISS wiąże się również w sposób nieunikniony z koniecznością dokonania oceny wszystkich istniejących instrumentów i narzędzi z dziedziny bezpieczeństwa wewnętrznego zanim zaproponowane zostaną nowe.

18.

W tym kontekście EIOD pragnąłby zasugerować częstsze stosowanie klauzul gwarantujących okresową ocenę istniejących instrumentów, takich jak te zastosowane w dyrektywie w sprawie zatrzymywania danych, która obecnie podlega ocenie (10).

19.

Komunikat odwołuje się do ochrony danych osobowych w ustępie „Polityka bezpieczeństwa oparta na wspólnych wartościach”, który mówi, że instrumenty i działania na rzecz realizacji strategii ISS muszą opierać się na wspólnych wartościach, do których należą praworządność i poszanowanie praw podstawowych, jak to zostało określone w Karcie praw podstawowych Unii Europejskiej. W tym kontekście stanowi on, że „[w] przypadkach, gdy ma miejsce wymiana informacji służąca egzekwowaniu prawa w UE, musimy zadbać także o ochronę sfery prywatnej osób i ich podstawowego prawa do ochrony danych osobowych”.

20.

Inspektor przyjmuje tę deklarację z zadowoleniem, lecz w obecnej formie nie może być ona postrzegana jako wystarczająca z punktu widzenia kwestii ochrony danych w ramach strategii ISS. Komunikat nie omawia kwestii ochrony danych w sposób bardziej szczegółowy (11), nie objaśnia też w jaki sposób poszanowanie prywatności i ochrona danych osobowych zagwarantowane zostaną w praktyce w ramach działań wdrażających strategię ISS.

21.

W opinii EIOD realizacja strategii bezpieczeństwa wewnętrznego UE w działaniu powinna jako jeden z celów obrać sobie ochronę w szerokim znaczeniu tego słowa, aby zagwarantować odpowiednią równowagę pomiędzy – z jednej strony – ochroną obywateli przed istniejącymi zagrożeniami, a – z drugiej strony – ochroną ich prywatności i prawa do ochrony danych osobowych. Innymi słowy kwestie bezpieczeństwa i prywatności muszą być traktowane z taką samą powagą w ramach tworzenia strategii ISS, co pozostawałoby w zgodzie z programem sztokholmskim i konkluzjami Rady.

22.

Krótko mówiąc, zapewnianie bezpieczeństwa przy pełnym poszanowaniu prywatności i ochrony danych powinno samo w sobie stanowić cel strategii bezpieczeństwa wewnętrznego UE. Powinno to zostać odzwierciedlone w ramach wszystkich działań podejmowanych przez państwa członkowskie i instytucje unijne celem realizacji tej strategii.

23.

W tym kontekście EIOD pragnie odnieść się do komunikatu (2010) 609 dotyczącego całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej (12). EIOD wyda wkrótce opinię dotyczącą tego komunikatu, lecz pragnie w tym miejscu podkreślić, że skuteczna strategia ISS nie może zostać ustanowiona bez wsparcia, jakim byłby uzupełniający ją solidny system ochrony danych, który gwarantowałby wzajemne zaufanie i wyższą skuteczność.

24.

Oczywistym jest, że niektóre działania wynikające z celów strategii ISS mogą wpłynąć na zwiększenie ryzyka z punktu widzenia prywatności i ochrony danych osób fizycznych. Aby ryzyko to zrównoważyć, EIOD pragnie zwłaszcza zwrócić uwagę na pojęcia takie jak „uwzględnianie ochrony prywatności w fazie projektowania”, prywatność i ocena wpływu ochrony danych, prawa osoby, której dotyczą dane, oraz najlepsze dostępne techniki. Wszystkie z nich należy wziąć pod uwagę w procesie wdrażania strategii ISS, gdyż mogą one wnieść użyteczny wkład w tworzenie kierunków polityki w tej dziedzinie, które bardziej sprzyjałyby prywatności i ochronie danych.

25.

EIOD przy różnych okazjach i w ramach rozmaitych opinii wyrażał swoje poparcie dla koncepcji „uwzględniania ochrony prywatności w fazie projektowania” (ang. privacy by design lub privacy by default). Jest ona obecnie rozwijana zarówno dla sektora prywatnego jak i publicznego, tym samym musi odgrywać istotną rolę w kontekście bezpieczeństwa wewnętrznego UE obszarze policji i wymiaru sprawiedliwości (13).

26.

W komunikacie nie ma jednak o niej mowy. EIOD sugeruje więc, aby koncepcja ta została włączona do działań, które będą proponowane i podejmowane celem wdrożenia strategii ISS, zwłaszcza w kontekście celu 4 „Poprawa bezpieczeństwa poprzez zarządzanie granicami”, który mówi wprost o szerszym zastosowaniu nowych technologii do celów kontroli granicznych i ochrony granic.

27.

W ramach przyszłych prac nad projektem i wdrażaniem strategii ISS na bazie komunikatu, EIOD zachęca Komisję do głębszej refleksji nad tym, co oznacza rzeczywista „ocena skutków dla prywatności i ochrony danych” (PIA) w obszarze wolności, bezpieczeństwa i wymiaru sprawiedliwości, zwłaszcza dla strategii ISS.

28.

Komunikat mówi o zagrożeniach o ocenie ryzyka, co Inspektor przyjmuje z zadowoleniem, nie wspomina się jednak w ogóle o ocenach skutków dla prywatności i ochrony danych. EIOD jest przekonany, że prace nad implementacją komunikatu dotyczącego strategii ISS stanowią możliwość szczegółowego omówienia ocen skutków dla prywatności i ochrony danych w kontekście bezpieczeństwa wewnętrznego. EIOD zauważa, że ani komunikat ani wytyczne Komisji dotyczące oceny skutków (14) nie omawiają tego aspektu, ani nie czynią z niego wymogu dotyczącego polityki.

29.

W związku z tym EIOD zaleca, by w ramach wdrażania przyszłych instrumentów przeprowadzano bardziej szczegółową i dokładną ocenę skutków dla prywatności i ochrony danych, albo w postaci odrębnej oceny, albo w ramach ogólnej oceny skutków dla praw podstawowych przeprowadzanej przez Komisję. Ocena skutków powinna zawierać nie tylko ogólne zasady czy analizować opcje dotyczące polityki, jak to ma miejsce obecnie, lecz także zalecać określone i konkretne zabezpieczenia.

30.

Należy zatem opracować szczegółowe wskaźniki i charakterystyki w celu zapewnienia gruntownej refleksji nad każdym wnioskiem, który ma wpływ na ochronę prywatności i danych w obszarze bezpieczeństwa wewnętrznego UE, wraz z takimi aspektami jak zasada proporcjonalności, konieczności czy celowości.

31.

Ponadto przydatne mogłoby się tu okazać odniesienie do art. 4 zalecenia RFID (15), w którym Komisja wezwała państwa członkowskie do zapewnienia przez sektor, we współpracy z odpowiednimi zainteresowanymi stronami społeczeństwa obywatelskiego ram do ocen skutków w zakresie ochrony danych i prywatności. Również przyjęta w listopadzie 2009 r. w Madrycie rezolucja Międzynarodowej Konferencji Komisarzy ds. Ochrony Danych i Prywatności zachęcała do wdrożenia PIA przed wdrożeniem nowych systemów i technologii informatycznych do przetwarzania danych osobowych lub istotnych zmian w obecnym przetwarzaniu.

32.

EIOD zauważa, że komunikat nie odnosi się konkretnie do istotnej kwestii praw podmiotów danych, które stanowią znaczący element ochrony danych i powinny mieć wpływ na projekt strategii ISS. Kluczowe jest zapewnienie, by w różnych systemach i instrumentach, które wiążą się z bezpieczeństwem wewnętrznym UE, osoby im podlegające miały podobne prawa w zakresie przetwarzania ich danych osobowych.

33.

Wiele systemów, o których mowa w komunikacie, ustanawia szczególne zasady dotyczące praw podmiotów danych (dla takich kategorii osób jak poszkodowani, podejrzani czy migranci), jednak istnieje wiele nieuzasadnionych różnic pomiędzy systemami i instrumentami.

34.

Dlatego też EIOD zachęca Komisję do bliższego przyjrzenia się kwestii dostosowania praw podmiotów danych w UE w niedalekiej przyszłości w kontekście strategii ISS i strategii w zakresie zarządzania informacjami.

35.

Szczególny nacisk należy położyć na mechanizmy dochodzenia zadośćuczynienia. Strategia ISS powinna gwarantować, że w przypadku, gdy prawa danej osoby nie są w pełni przestrzegane, administratorzy danych zapewnią łatwo dostępne, skuteczne i przystępne procedury wnoszenia skarg.

36.

Wdrożenie strategii ISS będzie w sposób nieunikniony związane z wykorzystanie infrastruktury informatycznej wspierającej działania przewidziane w komunikacie. Najlepsze dostępne techniki należy rozumieć jako mechanizmy służące osiągnięciu odpowiedniej równowagi pomiędzy celami strategii ISS a poszanowaniem praw jednostki. W tym kontekście EIOD pragnąłby powtórzyć zalecenie zawarte we wcześniejszych opiniach (16) dotyczące konieczności, aby Komisja zdefiniowała i promowała wraz z zainteresowanymi przedstawicielami przemysłu konkretne działania mające na celu stosowanie najlepszych dostępnych technik. Oznaczałyby to najskuteczniejszy i najbardziej zaawansowany etap tworzenia działań oraz metod ich stosowania, które wskazują praktyczną przydatność poszczególnych technik z punktu widzenia skutecznego osiągania planowanych wyników, zgodnie z unijnymi ramami ochrony prywatności i danych. Podejście to jest w pełni zgodne ze wspomnianą już koncepcją uwzględniania ochrony prywatności w fazie projektowania.

37.

Gdy jest to przydatne i możliwe, dokumenty referencyjne dotyczące najlepszych dostępnych technik należy rozszerzyć celem zapewnienia wytycznych i większej pewności prawnej co do rzeczywistego wdrożenia działań w ramach strategii ISS. Wpłynęłoby to również na zwiększenie harmonizacji tego typu działań w poszczególnych państwach członkowskich. Zdefiniowanie najlepszych dostępnych technik sprzyjających prywatności i bezpieczeństwu ułatwiłoby także sprawowanie nadzoru organom ochrony danych, gdyż otrzymałyby one w ten sposób odniesienia techniczne zgodne z polityką prywatności i ochrony danych przyjęte przez administratorów danych.

38.

EIOD pragnie również podkreślić znaczenie prawidłowego dostosowania strategii ISS do działań już podjętych w ramach siódmego programu ramowego w zakresie badań, rozwoju technologicznego i demonstracji i programu ramowego na rzecz bezpieczeństwa i ochrony swobód. Wspólna wizja drogi do stosowania najlepszych dostępnych technik umożliwi wprowadzenie innowacji w zakresie wiedzy i możliwości wymaganych, by chronić obywateli przy poszanowaniu praw podstawowych.

39.

EIOD podkreśla wreszcie rolę, jaką odegrać mogłaby Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) przy rozszerzaniu wytycznych i ocenie możliwości w zakresie bezpieczeństwa wymaganych, by zagwarantować integralność i dostępność systemów informatycznych, także w ramach promocji najlepszych dostępnych technik. W tym względzie EIOD z zadowoleniem przyjmuje włączenie Agencji jako kluczowego gracza w proces poprawy zdolności do reagowania na ataki cybernetyczne i zwalczania cyberprzestępczości (17).

40.

W tym kontekście trzeba bardziej precyzyjnie określić podmioty, które tworzą architekturę strategii ISS lub biorą w niej udział. W komunikacie mowa jest o rozmaitych podmiotach i zainteresowanych stronach, takich jak obywatele, wymiar sprawiedliwości, agencje UE, agencje krajowe, policja czy sektor biznesu. Ich konkretne role i kompetencje należałoby lepiej zdefiniować w odniesieniu do konkretnych działań proponowanych w ramach wdrażania strategii ISS.

41.

W komunikacie mowa jest o tym, że po wejściu w życie traktatu lizbońskiego łatwiej jest Unii Europejskiej zadbać o synergię pomiędzy różnymi podejściami do zarządzania granicami w odniesieniu do przepływu osób i towarów. W dziedzinie przepływu osób mówi on, że „UE może traktować zarządzanie migracjami i walkę z przestępczością jako dwa bliźniacze cele zintegrowanej strategii zarządzania granicami”. Dokument sugeruje, że zarządzanie granicami stanowi potencjalnie potężny oręż w walce z poważną i zorganizowaną przestępczością (18).

42.

EIOD pragnie także zauważyć, że w komunikacie zidentyfikowano 3 strategiczne filary: 1) szersze zastosowanie nowych technologii do celów kontroli granicznych (SIS II, VIS, system wjazdu/wyjazdu i programu rejestrowania podróżnych); 2) szersze zastosowanie nowych technologii do ochrony granic (europejskiego systemu nadzoru granic, EUROSUR); oraz 3) usprawnienie koordynacji działań państw członkowskich poprzez Frontex.

43.

EIOD pragnie przy okazji pisania niniejszej opinii przypomnieć prośby zawarte w wielu wcześniejszych opiniach – mianowicie by ustanowić na poziomie UE klarowną politykę dotyczącą zarządzania granicami, z pełnym poszanowaniem zasad ochrony danych. EIOD uważa, że bieżące prace nad strategią ISS i zarządzaniem informacjami stanowią znakomitą okazję, by podjąć bardziej konkretnie działania mające na celu stworzenie spójnego podejścia politycznego do tych obszarów.

44.

EIOD pragnie zauważyć, że w komunikacie mowa jest nie tylko o istniejących systemach zakrojonych na dużą skalę oraz tych, które mogłyby zostać uruchomione w najbliższej przyszłości (takich jak SIS, SIS II czy VIS), lecz w tych samych wierszach mowa jest także o systemach, które mogą zostać zaproponowane przez Komisję w przyszłości, lecz co do których decyzji jeszcze nie podjęto (tj. o programie rejestrowania podróżnych (RTP) oraz systemie wjazdu/wyjazdu). Należy w tym kontekście przypomnieć, że cele i zasadność wprowadzenia tych systemów należy objaśnić i wykazać, również w świetle wyników konkretnych ocen wpływu przeprowadzonych przez Komisję. Jeżeli tak się nie stanie, komunikat odczytany zostanie jako zapowiedź procesu decyzyjnego bez wzmianki, że ostateczna decyzja o tym, czy w Unii Europejskiej należy stworzyć program rejestrowania podróżnych i system wjazdu/wyjazdu, nie została jeszcze podjęta.

45.

EIOD proponuje więc, by w przyszłej pracy nad wdrożeniem strategii ISS unikać tego typu zapowiedzi. Jak już wcześniej wspomniano, podejmowanie jakichkolwiek decyzji dotyczących tworzenia nowych naruszających prywatność systemów zakrojonych na dużą skalę powinno mieć miejsce po dokonaniu adekwatnej oceny wszystkich istniejących systemów, z uwzględnieniem zasady konieczności i proporcjonalności.

46.

W komunikacie wspomniano, że Komisja przedstawi w 2011 r. wniosek ustawodawczy w sprawie ustanowienia EUROSUR jako wkładu w bezpieczeństwo wewnętrzne i zwalczanie przestępczości. Mowa jest również, że EUROSUR będzie korzystać z nowych technologii rozwijanych w ramach projektów badawczych finansowanych ze środków UE, takich jak obrazy satelitarne do wykrywania i śledzenia celów na granicach morskich, np. do śledzenia szybkich łodzi przewożących narkotyki do UE.

47.

W tym kontekście EIOD pragnie zauważyć, że nie ma pewności, czy i w jakim zakresie wniosek ustawodawczy w sprawie EUROSUR, który ma zostać przedstawiony Komisji w 2011 r., będzie również obejmował kwestię przetwarzania danych osobowych w kontekście EUROSUR. Komisja nie przedstawia w komunikacie swojego stanowiska w tej sprawie. Kwestia ta jest jeszcze bardziej istotna, gdyż w komunikacie wyraźnie wspomina się o powiązaniach EUROSUR z agencją FRONTEX na płaszczyźnie taktycznej, operacyjnej i strategicznej (patrz uwaga na temat FRONTEX poniżej) i wnosi o ścisłą współpracę tych organów.

48.

EIOD wydał w dniu 17 maja 2010 r. opinię dotyczącą przeglądu rozporządzenia w sprawie agencji FRONTEX (19). Wzywa w niej do prawdziwej debaty i głębokiej refleksji nad kwestią ochrony danych w kontekście wzmocnienia istniejących zadań agencji FRONTEX i wyznaczenia jej nowych obowiązków.

49.

W komunikacie mowa jest o potrzebie zwiększenia wkładu agencji Frontex w zwalczanie przestępczości na granicach zewnętrznych w ramach celu 4 „Poprawa bezpieczeństwa poprzez zarządzanie granicami”. W tym kontekście komunikat mówi, że w oparciu o dotychczasowe doświadczenia i w kontekście ogólnego podejścia UE do zarządzania informacjami Komisja jest zdania, że umożliwienie agencji FRONTEX przetwarzania i wykorzystywania tych informacji – w ograniczonym zakresie i zgodnie z jasno sprecyzowanymi przepisami w zakresie zarządzania danymi osobowymi – będzie stanowiło znaczący wkład w rozbijanie organizacji przestępczych. Jest to nowe podejście w porównaniu do propozycji Komisji dotyczącej przeglądu rozporządzenia w sprawie FRONTEX, które jest obecnie dyskutowane w Parlamencie Europejskim i Radzie i nie wspomina o przetwarzaniu danych osobowych.

50.

W tym kontekście EIOD z zadowoleniem przyjmuje fakt, że w komunikacie zawarto pewne wskazówki co do okoliczności, gdy przetwarzanie danych może okazać się konieczne (np. analiza ryzyka, większa skuteczność wspólnych operacji lub wymiany informacji z Europolem). W komunikacie wyjaśniono, że informacji na temat członków grup przestępczych działających w siatkach przemytniczych, na które natrafia Frontex, nie można jednak obecnie wykorzystać do analizy ryzyka lub lepszego ukierunkowania przyszłych wspólnych operacji. Odpowiednie informacje na temat domniemanych przestępców nie docierają poza tym do właściwych organów krajowych ani do Europolu, gdzie mogłyby posłużyć do dalszych działań śledczych.

51.

EIOD pragnie mimo to zauważyć, że w komunikacie nie ma mowy o trwającej obecnie dyskusji na temat przeglądu ram prawnych dotyczących agencji FRONTEX, która – jak już wspomniano – ma na celu stworzenie rozwiązań ustawodawczych. Brzmienie komunikatu podkreślające ponadto rolę agencji FRONTEX w kontekście celu, jakim jest rozbijanie organizacji przestępczych, może być odczytane jako rozszerzające mandat tej agencji. EIOD sugeruje, by wziąć tę kwestię pod uwagę zarówno w ramach przeglądu rozporządzenia w sprawie FRONTEX, jak w wdrożenia strategii ISS.

52.

EIOD pragnie również podkreślić potrzebę zagwarantowania, że zadania Europolu i agencji FRONTEX nie będą się pokrywać. W tym kontekście EIOD z zadowoleniem przyjmuje wzmiankę Komisji, że powielanie się zadań wykonywanych przez FRONTEX i Europol nie powinno mieć miejsca. Jednak kwestia ta powinna zostać wyraźniej zaakcentowana w ramach rozporządzenia w sprawie agencji FRONTEX po przeglądzie, a także działań wdrażających strategię ISS, które zakładają ścisłą współpracę pomiędzy agencją FRONTEX a EUROPOLEM. Jest to szczególnie istotne z punktu widzenia zasady celowości i jakości danych. Uwaga ta odnosi się również do przyszłej współpracy z takimi agencjami jak Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) czy Europejski Urząd Wsparcia w dziedzinie Azylu.

53.

Komunikat nie odnosi się konkretnie do obecnego zjawiska szerszego stosowania danych biometrycznych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości, w tym systemów informatycznych zakrojonych na dużą skalę i innych narzędzi zarządzania granicami.

54.

EIOD pragnie więc skorzystać z tej okazji, by przypomnieć swoją propozycję (20), aby kwestia ta – niewątpliwie bardzo istotna z punktu widzenia ochrony danych – została wzięta poważnie pod uwagę przy wdrażaniu strategii ISS, zwłaszcza w kontekście zarządzania granicami.

55.

EIOD zaleca również opracowanie jasnej i restrykcyjnej polityki w sprawie stosowania rozwiązań biometrycznych w obszarze wolności, bezpieczeństwa i sprawiedliwości, w oparciu o poważną ewaluację i ocenę jednostkową konieczności stosowania danych biometrycznych w kontekście strategii ISS, z pełnym poszanowaniem takich podstawowych zasad ochrony danych jak proporcjonalność, konieczność i celowość.

56.

W komunikacie ogłoszono, że Komisja opracuje w 2011 r. politykę UE w zakresie pozyskiwania i analizy danych z komunikatów finansowych zarejestrowanych na terenie UE. W tym kontekście EIOD pragnie przywołać swoją opinię z dnia 22 czerwca 2010 r. dotyczącą przetwarzania i przekazywania danych z komunikatów finansowych z Unii do Stanów Zjednoczonych do celów Programu śledzenia środków finansowych należących do terrorystów (TFTP II) (21). Wszystkie uwagi krytyczne wyrażone w ramach tej opinii są także zasadne i stosowne w kontekście planowanych prac nad unijnymi ramami dla danych z komunikatów finansowych, należy je więc uwzględnić w dyskusjach nad tą kwestią. Szczególną uwagę należy zwrócić na proporcjonalność pozyskiwania i przetwarzania dużej liczby danych dotyczących osób, które nie są podejrzanymi, a także na kwestię skutecznego nadzoru sprawowanego przez niezależne organy i wymiar sprawiedliwości.

57.

EIOD z zadowoleniem przyjmuje wagę, jaką przykłada się w komunikacie do działań zapobiegawczych na poziomie UE. Inspektor stoi na stanowisku, że poprawa bezpieczeństwa sieci informatycznych jest jednym z zasadniczych warunków dobrze funkcjonującego społeczeństwa informacyjnego. EIOD popiera również konkretne działania mające na celu poprawę zdolności do reagowania na ataki cybernetyczne, budowę zdolności w zakresie egzekwowania prawa i sądownictwa oraz tworzenie partnerstw z przemysłem w celu wzmacniania pozycji obywateli i ich ochrony. Z zadowoleniem przyjmowana jest też rola, jaką odgrywa ENISA, jako katalizator wielu działań w ramach wspomnianego celu.

58.

Strategia bezpieczeństwa wewnętrznego UE w działaniu nie zawiera jednak rozwinięcia działań w cyberprzestrzeni, nie mówi w jaki sposób działania te zagrażają prawom jednostki ani jakie należałoby wprowadzić zabezpieczenia. EIOD sugeruje wdrożenie bardziej ambitnego podejścia do odpowiednich zabezpieczeń. Podejście to powinno mieć na celu ochronę podstawowych praw jednostki, łącznie z tymi, które mogą zostać naruszone przez działania mające przeciwdziałać potencjalnej działalności przestępczej w tym obszarze.

59.

EIOD zwraca się o powiązanie rozmaitych strategii i komunikatów UE w procesie wdrażania strategii ISS. Podejście to powinno zostać powiązane z konkretnym planem działań wraz z rzeczywistą oceną potrzeb, której wynikiem powinna być pełna, zintegrowana i dobrze ustrukturyzowana polityka UE dotycząca strategii ISS.

60.

Korzystając z okazji, EIOD pragnie podkreślić także znaczenie wymogu prawnego dotyczącego rzeczywistej oceny wszystkich istniejących instrumentów, z których będzie się korzystać w kontekście strategii ISS i wymiany informacji, przed zaproponowaniem nowych. W tym kontekście zaleca się dodanie zapisów dotyczących regularnej oceny skuteczności odpowiednich instrumentów.

61.

EIOD sugeruje, aby w procesie tworzenia wieloletniego planu strategicznego, o który domagają się konkluzje Rady z listopada 2010 r., uwzględniono bieżące prace nad kompleksowymi ramami ochrony danych w oparciu o art. 16 TFUE, a zwłaszcza komunikat (2009) 609.

62.

EIOD wysuwa pewna liczbę propozycji co do pojęć istotnych z punktu widzenia ochrony danych, które należałoby uwzględnić podczas realizacji strategii ISS, takich jak uwzględnianie ochrony prywatności w fazie projektowania, ocena skutków dla prywatności i ochrony danych czy najlepsze dostępne techniki.

63.

EIOD zaleca, by w ramach wdrażania przyszłych instrumentów przeprowadzano ocenę skutków dla prywatności i ochrony danych, albo w postaci odrębnej oceny, albo w ramach ogólnej oceny skutków dla praw podstawowych przeprowadzanej przez Komisję.

64.

Zachęca on również Komisję do opracowania bardziej spójnej i jednolitej polityki w odniesieniu do wymogów wstępnych dotyczących stosowania rozwiązań biometrycznych w dziedzinie strategii ISS i lepszego dostosowania na poziomie UE w kwestii praw osób, których dotyczą dane.

65.

EIOD przedstawia wreszcie pewną liczbę uwag dotyczących przetwarzania danych osobowych w kontekście zarządzania granicami, zwłaszcza przez agencję FRONTEX, a także potencjalnie w kontekście EUROSUR.

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/14

1.

W dniu 11 października 2010 r. Komisja Europejska przyjęła zmieniony wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (WE) nr (…/…) (ustanawiającego kryteria i mechanizmy ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca) (zwany dalej „wnioskiem”) (3). Tego samego dnia wniosek przyjęty przez Komisję przesłano EIOD do konsultacji zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. EIOD z zadowoleniem przyjmuje fakt, że Komisja pragnie się z nim skonsultować i prosi, aby odniesiono się do wspomnianych konsultacji w motywach wniosku.

2.

Eurodac ustanowiono rozporządzeniem (WE) nr 2725/2000 dotyczącym ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania konwencji dublińskiej (4). Komisja przyjęła wniosek dotyczący przekształcenia zmierzający do zmiany rozporządzenia Eurodac w grudniu 2008 r. (5) (zwany dalej „wnioskiem z grudnia 2008 r.”). EIOD przedstawił opinię w sprawie tego wniosku w lutym 2009 r. (6).

3.

Wniosek z grudnia 2008 r. miał zapewnić skuteczniejsze wspieranie stosowania rozporządzenia dublińskiego oraz odpowiednie zaradzenie problemom związanym z ochroną danych. We wniosku dostosowano także strukturę zarządzania aspektami informacyjno-komunikacyjnymi do rozwiązań przyjętych w rozporządzeniach dotyczących SIS II i VIS, przewidując przejęcie zadań związanych z zarządzaniem operacyjnym systemu Eurodac przez mającą powstać agencję do spraw zarządzania operacyjnego wielkoskalowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości (7) (zwaną dalej „agencją ds. TI”) (8).

4.

We wrześniu 2009 r. Komisja przyjęła zmieniony wniosek, aby umożliwić organom ścigania państw członkowskich oraz Europolowi dostęp do centralnej bazy danych Eurodac na potrzeby prewencji, wykrywania i dochodzenia przestępstw terrorystycznych oraz innych poważnych przestępstw kryminalnych.

5.

W szczególności we wniosku wprowadzono klauzulę pomostową umożliwiającą taki dostęp na potrzeby ochrony porządku publicznego wraz z niezbędnymi przepisami towarzyszącymi oraz zmieniono wniosek z grudnia 2008 r. Został on przedstawiony jednocześnie z wnioskiem dotyczącym decyzji Rady w sprawie składania przez organy ścigania państw członkowskich oraz Europol wniosków o porównanie z danymi Eurodac na potrzeby ochrony porządku publicznego (9) (zwanej dalej „decyzją Rady”), określającym dokładnie tryby takiego dostępu. EIOD przedstawił opinię w sprawie tego wniosku w grudniu 2009 r. (10).

6.

Wskutek wejścia w życie traktatu lizbońskiego oraz zniesienia systemu filarów wniosek dotyczący decyzji Rady stracił ważność; musiał on zostać formalnie wycofany i zastąpiony nowym wnioskiem, by uwzględnić nowe ramy TFUE.

7.

W uzasadnieniu wniosku stwierdzono, że aby uzyskać postępy w negocjacjach dotyczących pakietu azylowego (11) oraz ułatwić zawarcie porozumienia w sprawie rozporządzenia Eurodac, Komisja uznaje za właściwsze wycofanie z rozporządzenia Eurodac tych przepisów, które dotyczą dostępu do celów ochrony porządku publicznego.

8.

Komisja jest zdania, że wycofanie tej (dość kontrowersyjnej) części wniosku i umożliwienie w ten sposób szybszego przyjęcia nowego rozporządzenia Eurodac ułatwi także szybkie ustanowienie agencji do spraw zarządzania operacyjnego wielkoskalowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości, ponieważ planuje się, że agencja ta odpowiadać będzie także za zarządzanie systemem Eurodac.

9.

Wskutek tego obecny zmieniony wniosek wprowadza dwa przepisy techniczne, jednak jego głównym celem jest zmiana poprzedniego wniosku (tzn. z września 2009 r.) poprzez skreślenie w nim wariantu dotyczącego dostępu do celów ochrony porządku publicznego. Dlatego też uznano, ze nie ma potrzeby przeprowadzenia nowej oceny skutków na potrzeby niniejszego wniosku.

10.

Jak wspomniano powyżej, EIOD wydał już kilka opinii w tej sprawie. Celem niniejszej opinii jest przedstawienie zalecanych poprawek do wniosku, które oparte są na bieżących zmianach sytuacji lub też na wcześniejszych zaleceniach, których nie wzięto pod uwagę, lecz EIOD uznał, że jego argumenty nie spotkały się z dostatecznym zrozumieniem lub ma na ich poparcie nowe argumenty.

11.

Niniejsza opinia koncentruje się na następujących kwestiach:

12.

EIOD z zadowoleniem przyjmuje fakt, że możliwość udzielenia wymiarowi sprawiedliwości dostępu do systemu EURODAC została z bieżącego wniosku usunięta. Choć EIOD nie kwestionuje faktu, że rządy potrzebują odpowiednich narzędzi by zagwarantować obywatelom bezpieczeństwo, miał on wiele zastrzeżeń co do zasadności tego wniosku, opartych na poniższych kwestiach.

13.

Działania mające na celu zwalczanie przestępstw o charakterze terrorystycznym i innych poważnych przestępstw mogą stanowić przesłankę uzasadniającą zgodę na przetwarzanie danych osobowych – nawet jeśli byłoby to niezgodne z celem, w jakim dane te były gromadzone – pod warunkiem jednak, że konieczność ta zostanie poparta jasnymi i niedającymi się podważyć argumentami oraz wykazana zostanie proporcjonalność ich przetwarzania. Jest to niezbędne tym bardziej, że wnioski dotyczą grupy szczególnie podatnej, wymagającej większej ochrony ze względu na to, iż osoby te uciekają przed prześladowaniami. Ich niepewna sytuacja musi zostać uwzględniona przy dokonywaniu oceny konieczności i proporcjonalności proponowanych działań. EIOD w sposób bardziej konkretny podkreślił, że konieczność musi zostać udowodniona poprzez wskazanie solidnych dowodów na istnienie powiązań pomiędzy osobą ubiegającą się o azyl a terroryzmem lub poważnym przestępstwem. Wnioski pomijają tę kwestię.

14.

Na wyższym poziomie ogólności EIOD podkreśla potrzebę oceny wszystkich istniejących narzędzi wymiany informacji przed zaproponowaniem nowych w ramach licznych opinii i uwag, zwłaszcza w wydanej niedawno opinii zatytułowanej „Przegląd zarządzania informacjami w przestrzeni wolności, bezpieczeństwa i sprawiedliwości” (12) oraz „Unijna polityka przeciwdziałania terroryzmowi: najważniejsze osiągnięcia i nadchodzące wyzwania” (13).

15.

Ocena skuteczności istniejących działań w kontekście wpływu nowych planowanych środków na prywatność jest kwestią zasadniczą, powinna też odgrywać istotną rolę w działaniach Unii Europejskiej w tej dziedzinie, zgodnie z podejściem postulowanym w ramach programu sztokholmskiego. W tym przypadku szczególną uwagę należy poświęcić na przykład wdrożeniu wymiany danych w ramach mechanizmu wprowadzonego na mocy konwencji z Prüm. W tym kontekście przewidywana jest wymiana odcisków palców, należy więc wspomnieć o poważnych niedociągnięciach systemu, co uzasadnia dostęp do takiej bazy danych jak np. Eurodac.

16.

W bieżących opiniach, jak i w wielu wcześniejszych, EIOD zaleca zwrócenie szczególnej uwagi na wnioski, wskutek których powstają zbiory danych osobowych szerokich grup obywateli, nie tylko osób podejrzanych. Szczególnej rozwagi i uzasadnienia wymagają te przypadki, w których przetwarzanie danych osobowych przewiduje się do celów innych niż te, w których dane zostały zebrane, jak choćby Eurodac.

17.

Konkludując EIOD z zadowoleniem przyjmuje usunięcie tego elementu z bieżącego wniosku.

18.

Pobieranie i dalsze przetwarzanie odcisków palców zajmuje centralne miejsce w systemie Eurodac. Należy podkreślić, że przetwarzanie danych biometrycznych, takich jak odciski palców, wiąże się z określonymi wyzwaniami i stwarza pewne rodzaje ryzyka, wobec których należy podjąć działania. W kontekście wniosku EIOD pragnie szczególnie podkreślić problem tzw. „niepowodzenia rejestracji”, czyli sytuacji, w której znajduje się osoba, której odcisków palców z jakiegoś powodu nie można wykorzystać.

19.

Niepowodzenie rejestracji może nastąpić, gdy dana osoba ma tymczasowo lub trwale zniszczone opuszki palców lub dłonie wskutek działania rozmaitych czynników, takich jak choroba, niepełnosprawność, rany czy oparzenia. W niektórych przypadkach może się to wiązać z pochodzeniem etnicznym lub wykonywanym zawodem. Zwłaszcza duża liczba robotników rolnych i budowlanych ma odciski palców tak zniszczone, że nie są one czytelne. W innych przypadkach, których częstotliwość trudno jest ocenić, uchodźcy mogą dokonywać samookaleczenia celem uniknięcia pobrania odcisków palców.

20.

EIOD przyznaje, że trudno jest odróżnić przypadki obywateli państw trzecich, którzy z własnej woli dokonali zniszczenia odcisków palców celem utrudnienia procesu ustalania ich tożsamości, od tych, których odciski palców są rzeczywiście nieczytelne.

21.

Bardzo ważne jest jednak by zagwarantować, aby sam fakt niepowodzenia rejestracji nie prowadził do odmowy przyznania praw osobom ubiegającym się o azyl. Byłoby to nie do zaakceptowania, gdyby na przykład niepowodzenie rejestracji było interpretowane przez system jako próba oszustwa i prowadziło do odmowy rozpatrzenia wniosku o azyl lub nieudzielenie dalszej pomocy osobie starającej się o przyznanie azylu. Gdyby tak się stało, oznaczałoby to, że możliwość zdjęcia odcisków palców stanowi jedno z kryteriów ustalenia statusu osoby ubiegającej się o azyl. Celem systemu Eurodac jest ułatwienie stosowania postanowień konwencji dublińskiej, a nie ustanowienie dodatkowego kryterium („posiadanie odcisków palców, które można wykorzystać”) w ramach przyznawania statusu osoby ubiegającej się o azyl. Stanowiłoby to naruszenie zasady celowości, a przede wszystkim sprzeniewierzenie się idei prawa do azylu.

22.

EIOD podkreśla również, że niniejszy wniosek powinien być zgodny z innymi odnośnymi dyrektywami. Zwłaszcza dyrektywa dotycząca kwalifikowania wymaga, aby każdy wniosek rozpatrywany był indywidualnie, i nie wspomina o tym, aby nieudany wpis do systemu miał stanowić jedno z kryteriów oceny (14).

23.

Bieżący wniosek częściowo obejmuje już kwestię niepowodzenia rejestracji w art. 6.1 i 6.2 (15).

24.

Postanowienia te jednak uwzględniają jedynie hipotezę o tymczasowym niepowodzeniu rejestracji, podczas gdy w znacznej liczbie przypadków niemożność dokonania wpisu do systemu będzie trwała. Artykuł 1 rozporządzenia zmieniającego wspólne instrukcje konsularne (16) przewiduje tego typu przypadki. Stanowi on, że: (...) Państwa członkowskie zapewniają wprowadzenie odpowiednich procedur gwarantujących poszanowanie godności osoby ubiegającej się o wizę w sytuacji, gdy wystąpią problemy z pobraniem danych. Fakt, że pobranie odcisków palców jest fizycznie niemożliwe, nie ma wpływu na przyznanie lub odmowę przyznania wizy.

25.

Aby rozwiązać ten problem w kontekście systemu Eurodac, EIOD zaleca dodanie w art. 6 zapisu inspirowanego powyższym, który mógłby brzmieć następująco: „Czasowa lub trwała niemożność pobrania odcisków palców, które można wykorzystać, nie wpływa negatywnie na sytuację prawną danej osoby. W żadnym razie nie może to stanowić wystarczającej przesłanki do odmowy rozpatrzenia ani do odrzucenia wniosku o udzielenie azylu”.

26.

EIOD pragnie zwrócić uwagę, że skuteczna realizacja prawa do informacji jest kluczowa z punktu widzenia poprawnego funkcjonowania systemu Eurodac. Należy przede wszystkim zagwarantować, aby informacje udzielane były w taki sposób, by osoba ubiegająca się o azyl mogła w pełni zrozumieć swoją sytuację jak i prawa jej przysługujące, łącznie z krokami proceduralnymi, jakie może podjąć, gdy zostaną w jej sprawie wydane decyzje administracyjne. EIOD przypomina również, że prawo dostępu stanowi fundament ochrony danych, o którym mowa zwłaszcza w art. 8 Karty praw podstawowych Unii Europejskiej.

27.

EIOD podkreślił tę kwestię w poprzedniej opinii dotyczącej systemu Eurodac. Ponieważ proponowana zmiana nie została przyjęta, EIOD pragnie podkreślić wagę tej kwestii.

28.

Artykuł 24 wniosku brzmi:

Państwo członkowskie pochodzenia podaje osobie objętej zakresem niniejszego rozporządzenia na piśmie lub w odpowiednich przypadkach ustnie, w języku, który ta osoba rozumie lub co do którego można w uzasadniony sposób przypuszczać, że jest dla niej zrozumiały następujące informacje:

(…)

29.

EIOD proponuje zmianę brzmienia art. 24 celem objaśnienia praw przysługujących wnioskującemu. Proponowane brzmienie jest niejasne, gdyż może zostać zinterpretowane jako „prawo do otrzymywania informacji o procedurach korzystania z tych praw (...)” oprócz prawa dostępu do danych lub prawa do żądania poprawienia nieprawidłowych danych (...). Ponadto zgodnie z aktualnym brzmieniem wspomnianego zapisu, państwa członkowskie muszą informować osobę podlegającą rozporządzeniu nie o treści ich praw, lecz o ich „istnieniu”. Ponieważ to ostatnie zagadnienie wydaje się jedynie kwestią stylistyczną, EIOD sugeruje, aby art. 24 otrzymał następujące brzmienie: Państwo członkowskie pochodzenia podaje osobie objętej zakresem niniejszego rozporządzenia (...) informacje o (...) g) prawie do dostępu do danych dotyczących tej osoby oraz do ich sprostowania oraz prawie do żądania poprawienia nieprawidłowych danych dotyczących tej osoby lub usunięcia danych dotyczących tej osoby przetwarzanych niezgodnie z prawem.

30.

Artykuł 4 ust. 1 wniosku mówi: Po okresie przejściowym odpowiedzialność za zarządzanie operacyjne systemem Eurodac spoczywać będzie na organie zarządzającym, finansowanym z budżetu ogólnego Unii Europejskiej. Organ zarządzający zapewnia, we współpracy z państwami członkowskimi, by w systemie centralnym stosowane były zawsze, gdy przemawiają za tym wyniki analizy kosztów i korzyści, najlepsze z dostępnych technologii. Choć EIOD z zadowoleniem przyjmuje wymóg ustanowiony na mocy art. 4 ust. 1, pragnie jednak podkreślić, że występujące we wspomnianym zapisie wyrażenie „najlepsze z dostępnych technologii” należy zastąpić sformułowaniem „najlepsze z dostępnych technik”, co obejmuje zarówno zastosowaną technologię, jak i sposób, w jaki instalacja jest zaprojektowana, zbudowana, utrzymywana i obsługiwana.

31.

Kwestia ta jest istotna, ponieważ sformułowanie „najlepsze z dostępnych technik” jest szersze i obejmuje różne czynniki mające wkład w „uwzględnienie ochrony prywatności w fazie projektowania”, które uważane jest za kluczową zasadę w ramach przeglądu unijnych ram prawnych dotyczących ochrony danych. Podkreśla to, że ochronę danych można wdrażać w różny sposób, nie tylko za pomocą technologii. Ważne jest, aby badać nie tylko technologię, lecz również sposób, w jaki jest ona używana jako narzędzie do osiągnięcia celu, czyli przetwarzania danych na miejscu. Procesy biznesowe muszą być zorientowane na osiągnięcie tego celu, który przekłada się na procedury i struktury organizacyjne.

32.

W tym celu i na bardziej ogólnym poziomie EIOD pragnie powtórzyć zalecenie zawarte we wcześniejszych opiniach (17) dotyczące konieczności, aby Komisja zdefiniowała i promowała wraz z zainteresowanymi przedstawicielami przemysłu „najlepsze z dostępnych technik” w oparciu o tę samą procedurę, jaka została zastosowana przez Komisję w dziedzinie ochrony środowiska (18). „Najlepsze z dostępnych technik” oznaczałyby najskuteczniejszy i najbardziej zaawansowany etap rozwoju technologii oraz metody stosowania, które wskazują praktyczną przydatność poszczególnych technik z punktu widzenia zdefiniowanej granicy wykrywalności, zgodnie z unijnymi ramami ochrony prywatności i danych. „Najlepsze z dostępnych technik” będą zaprojektowane tak, by zapobiegać różnym rodzajom ryzyka związanego z bezpieczeństwem przetwarzania danych, gdy nie jest to możliwe – ograniczać ryzyko do odpowiedniego poziomu oraz w jak najwyższym stopniu minimalizować wpływ ryzyka na prywatność.

33.

W procesie tym dostępne powinny być również dokumenty referencyjne dotyczące „najlepszych z dostępnych technik”, oferujące przydatne wytyczne co do zarządzania innymi unijnymi wielkoskalowymi systemami informatycznymi. Wpłynęłoby to również na zwiększenie harmonizacji tego typu działań w całej UE. Zdefiniowanie „najlepszych z dostępnych technik” sprzyjających prywatności i bezpieczeństwu ułatwiłoby także sprawowanie nadzoru organom ochrony danych, gdyż otrzymałyby one w ten sposób odniesienia techniczne zgodne z polityką prywatności i ochrony danych przyjęte przez administratorów danych.

34.

EIOD pragnie zauważyć, że Wniosek nie obejmuje kwestii zlecania podwykonania części zadań Komisji (19) innym organizacjom lub podmiotom (np. firmom prywatnym). Pomimo to zlecanie podwykonawstwa jest często wykorzystywane przez Komisję przy tworzeniu systemu i infrastruktury komunikacyjnej oraz zarządzaniu nimi. Choć zlecanie podwykonawstwa samo w sobie nie stoi w sprzeczności z wymogami ochrony danych, należy stworzyć istotne zabezpieczenia celem zagwarantowania, że podwykonawstwo nie będzie miało żadnego negatywnego wpływu na stosowanie rozporządzenia (WE) nr 45/2001, łącznie z nadzorowaniem ochrony danych przez EIOD. Należy ponadto wprowadzić dodatkowe zabezpieczenia o charakterze technicznym.

35.

W tym względzie EIOD sugeruje, że zabezpieczenia podobne do istniejących w ramach instrumentów prawnych SIS II należałoby wprowadzić mutatis mutandis w ramach przeglądu rozporządzenia w sprawie Eurodac. Gdy Komisja zleca podwykonawstwo części swoich zadań innemu organowi lub organizacji, musi ona zagwarantować inspektorowi prawo i możliwość pełnej realizacji jego zadań, w tym również przeprowadzenia kontroli na miejscu i skorzystania z wszelkich innych uprawnień nadanych mu na mocy art. 47 rozporządzenia (WE) nr 45/2001.

36.

EIOD z zadowoleniem przyjmuje fakt, że Komisja pragnie się z nim skonsultować i prosi, aby w motywach wniosku odniesiono się do wspomnianych konsultacji.

37.

EIOD z zadowoleniem przyjmuje fakt, że możliwość udzielenia wymiarowi sprawiedliwości dostępu do systemu Eurodac została z bieżącego wniosku usunięta.

38.

Pobieranie i dalsze przetwarzanie odcisków palców zajmuje centralne miejsce w systemie Eurodac. EIOD podkreśla, że przetwarzanie danych biometrycznych, takich jak odciski palców, wiąże się z określonymi wyzwaniami i stwarza pewne rodzaje ryzyka, wobec których należy podjąć działania. EIOD pragnie zwłaszcza podkreślić problem tzw. nieudanego wpisu do systemu, czyli sytuacji, w której znajduje się osoba, której odcisków palców z jakiegoś powodu nie można wykorzystać. Sam fakt nieudanego wpisu do systemu nie powinien prowadzić do odmowy przyznania praw osobom ubiegającym się o azyl.

39.

EIOD zaleca dodanie w art. 6a wniosku zapisu, który mógłby brzmieć następująco: „Czasowa lub trwała niemożność pobrania odcisków palców, które można wykorzystać, nie wpływa negatywnie na sytuację prawną danej osoby. W żadnym razie nie może to stanowić wystarczającej przesłanki do odmowy rozpatrzenia ani do odrzucenia wniosku o udzielenie azylu”.

40.

EIOD stoi na stanowisku, że skuteczna realizacja prawa do informacji jest kwestią zasadniczą z punktu widzenia poprawnego funkcjonowania systemu Eurodac, należy więc zagwarantować, aby informacje udzielane były w taki sposób, by osoba ubiegająca się o azyl mogła w pełni zrozumieć swoją sytuację jak i prawa jej przysługujące, łącznie z krokami proceduralnymi, jakie może podjąć, gdy zostaną w jej sprawie podjęte decyzje administracyjne. EIOD proponuje zmianę brzmienia art. 24 wniosku celem objaśnienia praw przysługujących osobie wnioskującej o azyl.

41.

EIOD zaleca zmianę art. 4 ust. 1 wniosku i użycie sformułowania „najlepsze z dostępnych technik” zamiast „najlepsze z dostępnych technologii”. Wyrażenie „najlepsze z dostępnych technik” obejmuje zarówno zastosowaną technologię, jak i sposób, w jaki instalacja jest zaprojektowana, zbudowana, utrzymywana i obsługiwana.

42.

Co się tyczy zlecania podwykonania części zadań Komisji innym organizacjom lub podmiotom (np. firmom prywatnym), EIOD zaleca stworzenie zabezpieczeń celem zagwarantowania, że podwykonawstwo nie będzie miało żadnego negatywnego wpływu na stosowanie rozporządzenia (WE) nr 45/2001, łącznie z nadzorowaniem ochrony danych przez EIOD. Należy ponadto wprowadzić dodatkowe zabezpieczenia o charakterze technicznym.

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/20

1.

W dniu 30 września 2010 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) (3).

2.

ENISA powołano do życia w marcu 2004 r. na wstępny okres pięciu lat na mocy rozporządzenia (WE) nr 460/2004 (4). W 2008 r. rozporządzenie (WE) nr 1107/2008 (5) przedłużyło mandat do marca 2012 r.

3.

Jak wynika z art. 1 ust. 1 rozporządzenia (WE) nr 460/2004, Agencję ustanowiono w celu zapewnienia wysokiego i skutecznego poziomu bezpieczeństwa sieci i informacji w Unii oraz zapewnienia płynnego funkcjonowania rynku wewnętrznego.

4.

Wniosek Komisji ma na celu modernizację Agencji, zwiększenie jej uprawnień oraz ustanowienie nowego mandatu na okres pięciu lat, który pozwoli zachować ciągłość Agencji po marcu 2012 r. (6).

5.

Podstawą prawną zaproponowanego rozporządzenia jest art. 114 TFUE (7), który nadaje Unii kompetencje w zakresie przyjmowania środków, które mają na celu ustanowienie lub zapewnienie funkcjonowania rynku wewnętrznego. Artykuł 114 TFUE zastąpił dawny 95 art. wcześniejszego Traktatu WE, na którym były oparte poprzednie przepisy dotyczące ENISA (8).

6.

Uzasadnienie dołączone do wniosku odnosi się do faktu, że po wejściu w życie traktatu lizbońskiego zapobieganie przestępczości i zwalczanie jej stało się kompetencją dzieloną. Jest to szansa dla ENISA, żeby odegrać rolę platformy dla kwestii bezpieczeństwa sieci i informacji pojawiających się przy zwalczaniu cyberprzestępczości, a także platformy do wymiany opinii i najlepszych praktyk z organami obrony przed atakami cybernetycznymi, organami ścigania i organami ochrony danych.

7.

Z kilku opcji Komisja postanowiła zaproponować rozszerzenie zadań ENISA oraz dodać organy ścigania i ochrony danych jako pełnoprawnych członków do stałej grupy stron zainteresowanych. Nowa lista zadań nie obejmuje zadań operacyjnych, jedynie aktualizuje i przeformułowuje obecne zadania.

8.

W dniu 1 października 2010 r. wniosek został przesłany do EIOD do konsultacji zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. EIOD z zadowoleniem przyjął fakt, że się z nim skonsultowano w tej kwestii i polecił zamieścić odniesienie do tej konsultacji w motywach wniosku, zgodnie z przyjętą praktyką wobec aktów ustawodawczych, w sprawie których skonsultowano się z EIOD zgodnie z rozporządzeniem (WE) nr 45/2001.

9.

Przed przyjęciem wniosku skonsultowano się nieoficjalnie z EIOD, który poczynił kilka nieoficjalnych uwag. Żadna z tych uwag nie została jednak uwzględniona w ostatecznej wersji wniosku.

10.

EIOD podkreśla, że bezpieczeństwo przetwarzania danych to kluczowy element ochrony danych (9). W tym względzie z zadowoleniem przyjmuje cel wniosku, jakim jest wzmocnienie kompetencji Agencji, by mogła ona skuteczniej wykonywać swoje obecne zadania i obowiązki, jednocześnie rozszerzając zakres swojej działalności. Ponadto EIOD wyraża zadowolenie z powodu dołączenia organów ochrony danych i organów ścigania jako pełnoprawnych stron zainteresowanych. Przedłużenie mandatu ENISA uznaje za sposób na promowanie na poziomie europejskim profesjonalnego i usprawnionego zarządzania środkami bezpieczeństwa w systemach informacyjnych.

11.

Ogólna ocena wniosku jest pozytywna. W kilku kwestiach jednak zaproponowane rozporządzenie jest niejasne i niepełne, co budzi obawy z punktu widzenia ochrony danych. Kwestie te zostaną wyjaśnione i omówione w kolejnym rozdziale niniejszej opinii.

12.

Rozszerzone zadania Agencji, które odnoszą się do zaangażowania organów ścigania i organów ochrony danych, zostały sformułowane w art. 3 wniosku w bardzo ogólny sposób. Uzasadnienie jest bardziej bezpośrednie w tym względzie. Odnosi się do ENISA jako Agencji współpracującej z organami ścigania cyberprzestępczości i wykonującej pozaoperacyjne zadania w walce z cyberprzestępczością. Zadania te nie zostały jednak zawarte, jeśli nawet, to ujęto je w bardzo ogólny sposób w art. 3.

13.

W celu uniknięcia niepewności prawa zaproponowane rozporządzenie powinno jasno i jednoznacznie określać zadania ENISA. Jak stwierdzono, bezpieczeństwo przetwarzania danych to kluczowy element ochrony danych. ENISA będzie odgrywać coraz ważniejszą rolę w tym obszarze. Dla obywateli i organów powinno być jasne, w jakiego rodzaju działalność ENISA może się zaangażować. Wymiar ten byłby jeszcze ważniejszy, gdyby rozszerzone zadania ENISA obejmowały przetwarzanie danych osobowych (zobacz pkt 17–20 poniżej).

14.

Artykuł 3 ust. 1 lit. k) wniosku stanowi, że Agencja wykonuje wszelkie inne zadania powierzone jej na mocy innego aktu ustawodawczego Unii. EIOD ma obawy co do tej otwartej klauzuli, biorąc pod uwagę, że stanowi ona potencjalną lukę, która może zaburzyć spójność instrumentu prawnego i prowadzić do „rozpłynięcia funkcji” Agencji.

15.

Jedno z zadań, o których mowa w art. 3 ust. 1 lit. k) wniosku, jest zawarte w dyrektywie 2002/58/WE (10). Przepis stanowi, że Komisja musi skonsultować się z Agencją w zakresie technicznych środków wykonawczych mających zastosowanie do powiadomień w kontekście naruszeń danych. EIOD zaleca, by ta działalność Agencji została opisana bardziej szczegółowo przy jednoczesnym ograniczeniu jej do obszaru bezpieczeństwa. Biorąc pod uwagę potencjalny wpływ, jaki ENISA może mieć na rozwój polityki w tym obszarze, działalność ta powinna zajmować bardziej wyraźną i znaczącą pozycję w obrębie zaproponowanego rozporządzenia.

16.

Ponadto EIOD zaleca włączenie odniesienia do dyrektywy 1999/5/WE do motywu 21 (11), biorąc pod uwagę specjalne zadanie ENISA, o którym mowa w art. 3 ust. 1 lit. c) obecnego wniosku, polegające na wspieraniu państw członkowskich oraz instytucji i organów europejskich w gromadzeniu, analizie i rozpowszechnianiu danych na temat bezpieczeństwa sieci i informacji. To powinno napędzić działania ENISA promujące najlepsze praktyki i techniki w zakresie bezpieczeństwa sieci i informacji, będzie to bowiem lepiej odzwierciedlało możliwe konstruktywne interakcje pomiędzy Agencją a organami normalizacyjnymi.

17.

Wniosek nie określa, czy zadania przypisane Agencji mogą obejmować przetwarzanie danych osobowych. Wniosek nie zawiera więc odrębnej podstawy prawnej dla przetwarzania danych osobowych, w rozumieniu art. 5 rozporządzenia (WE) nr 45/2001.

18.

Niektóre z zadań powierzonych Agencji mogą jednak obejmować (przynajmniej w pewnym zakresie) przetwarzanie danych osobowych. Nie sposób, na przykład, wykluczyć, czy analiza przypadków naruszenia bezpieczeństwa i naruszenia danych lub pełnienie nieoperacyjnych funkcji w walce z cyberprzestępczością nie będą wiązały się z gromadzeniem i analizą danych osobowych.

19.

Motyw 9 wniosku odnosi się do przepisów zawartych w dyrektywie 2002/21/WE (12), która stanowi, że w stosownych przypadkach krajowe organy regulacyjne powiadamiają Agencję o przypadkach naruszenia bezpieczeństwa. EIDO zaleca, by wniosek bardziej szczegółowo określał, jakie powiadomienia mają być wysyłane do ENISA i jak ENISA ma na nie odpowiadać. Podobnie wniosek powinien obejmować skutki przetwarzania danych osobowych, jakie może mieć (ewentualna) analiza tych powiadomień.

20.

EIOD zachęca ustawodawcę do wyjaśnienia, czy działania wymienione w art. 3 będą obejmować przetwarzanie danych osobowych, a jeśli tak – których z nich to dotyczy.

21.

Choć ENISA odgrywa ważną rolę w dyskusji na temat bezpieczeństwa sieci i informacji w Europie, wniosek właściwie milczy na temat ustanowienia środków bezpieczeństwa dla samej Agencji (zarówno związanych, jak i niezwiązanych z przetwarzaniem danych osobowych).

22.

EIOD jest zdania, że Agencja będzie w stanie w jeszcze większym stopniu promować dobre praktyki w zakresie bezpieczeństwa przetwarzania danych, jeśli takie środki bezpieczeństwa będą w sposób zdecydowany stosowane wewnętrznie przez samą Agencję. To umożliwi nie tylko uznanie Agencji za centrum wiedzy specjalistycznej, ale również za punkt odniesienia przy praktycznym wdrażaniu najlepszych dostępnych technik (BAT) w dziedzinie bezpieczeństwa. Dążenie do perfekcji we wdrażaniu praktyk z zakresu bezpieczeństwa powinno więc zostać wpisane do rozporządzenia regulującego procedury pracy Agencji. EIOD zaleca więc dodanie przepisu w tym duchu do wniosku, na przykład poprzez wprowadzenie wymogu stosowania przez Agencję najlepszych dostępnych technik, co oznacza najbardziej skuteczne i zaawansowane procedury bezpieczeństwa oraz metody ich funkcjonowania.

23.

Podejście to umożliwi Agencji oferowanie doradztwa w zakresie praktycznej przydatności poszczególnych technik zapewniania wymaganych gwarancji bezpieczeństwa. Ponadto wdrożenie tych BAT powinno traktować priorytetowo te techniki, które umożliwiają zapewnienie bezpieczeństwa przy jednoczesnym możliwie najmocniejszym minimalizowaniu wpływu na prywatność. Należy postawić na techniki, które bardziej odpowiadają podejściu „uwzględnienia ochrony prywatności w fazie projektowania”.

24.

Nawet przy bardziej niejednoznacznym podejściu EIOD zaleca jako minimum, by rozporządzenie zawierało następujące wymogi: (i) stworzenie wewnętrznej polityki bezpieczeństwa po ogólnej ocenie ryzyka i uwzględnieniu międzynarodowych norm i najlepszych praktyk w państwach członkowskich; (ii) wyznaczenie urzędnika ds. bezpieczeństwa odpowiedzialnego za wdrożenie polityki, o odpowiednich zasobach i uprawnieniach; (iii) zatwierdzenie tej polityki po dokładnej ocenie pozostałego ryzyka i kontrole zaproponowane przez zarząd; oraz (iv) okresowy przegląd polityki z wyraźnym określeniem wybranych odstępów czasowych i celów przeglądu.

25.

Jak już stwierdzono, EIOD z zadowoleniem przyjął przedłużenie mandatu Agencji i wierzy, że organy ochrony danych mogą czerpać znaczne korzyści z istnienia Agencji (a Agencja ze specjalistycznej wiedzy tych organów). Ze względu na naturalną i logiczną zbieżność między bezpieczeństwem a ochroną danych wzywa się Agencję i organy ochrony danych do ścisłej współpracy.

26.

Motywy 24 i 25 zawierają odniesienie do zaproponowanej dyrektywy UE w sprawie cyberprzestępczości i stwierdzają, że Agencja powinna współpracować z organami ścigania i organami ochrony danych w zakresie kwestii bezpieczeństwa danych w walce z cyberprzestępczością (13).

27.

Wniosek powinien również zapewniać konkretne kanały i mechanizmy współpracy, które (i) zapewnią spójność działalności Agencji z działalnością organów ochrony danych i (ii) umożliwią ścisłą współpracę pomiędzy Agencją a organami ochrony danych.

28.

W odniesieniu do spójności motyw 27 wyraźnie odnosi się do faktu, że zadania Agencji nie powinny kolidować z zadaniami organów ochrony danych państw członkowskich. EIOD z zadowoleniem przyjmuje to odniesienie, ale zauważa, że brak jest odniesienia do EIOD i grupy roboczej art. 29. EIOD zaleca ustawodawcy, by włączył również podobne przepisy o niedublowaniu prac do wniosku w odniesieniu do tych dwóch instytucji. Stworzy to wyraźniejsze warunki pracy dla wszystkich stron i opracuje mechanizmy współpracy, które umożliwią Agencji wspieranie poszczególnych organów ochrony danych i grupy roboczej art. 29.

29.

Podobnie, w odniesieniu do ścisłej współpracy, EIOD z zadowoleniem przyjmuje włączenie przedstawicielstwa organów ochrony danych do stałej grupy stron zainteresowanych, która będzie służyć poradą Agencji w jej działalności. Zaleca, by wyraźnie określić, że takie przedstawicielstwo krajowych organów ochrony danych powinno być wyznaczane przez Agencję w oparciu o wniosek od grupy roboczej art. 29. Również dobrze byłoby, żeby włączyć odniesienie do obecności EIOD na tych spotkaniach, na których mają być omawiane kwestie istotne z punktu widzenia współpracy z EIOD. Ponadto EIOD zaleca, by Agencja (po konsultacji ze stałą grupą stron zainteresowanych i po zatwierdzeniu przez zarząd) ustanowiła grupy robocze ad hoc do różnych zagadnień, w których ochrona i bezpieczeństwo danych pokrywają się, w celu stworzenia ram dla tej ścisłej współpracy.

30.

W końcu, w celu uniknięcia możliwych nieporozumień EIDO zaleca stosowanie wyrażenia „organy ochrony danych” zamiast „organy ochrony prywatności” oraz wyjaśnienie, co to za organy poprzez włączenie odniesienia do art. 28 dyrektywy 95/46/WE i EIOD, zgodnie z rozdziałem V rozporządzenia (WE) nr 45/2001.

31.

EIOD zauważa niespójność w zaproponowanym rozporządzeniu w odniesieniu do tych osób, które mogą zwrócić się o pomoc do ENISA. Z motywów 7, 15, 16, 18 i 36 wniosku wynika, że ENISA ma możliwość wspierania organów państw członkowskich i Unii jako całości. Artykuł 2 ust. 1 odnosi się jednak wyłącznie do Komisji i państw członkowskich, podczas gdy art. 14 ogranicza możliwość składania wniosków o pomoc do: (i) Parlamentu Europejskiego; (ii) Rady; (iii) Komisji i (iv) właściwego organu wyznaczonego przez państwo członkowskie, wykluczając pewne instytucje, organy, agencje i urzędy Unii.

32.

Artykuł 3 wniosku jest bardziej dokładny i uwzględnia poszczególne rodzaje pomocy w zależności od typu beneficjentów: (i) gromadzenie i analiza danych bezpieczeństwa informacji (w przypadku państw członkowskich oraz europejskich instytucji i organów); (ii) analiza stanu bezpieczeństwa sieci i informacji w Europie (w przypadku państw członkowskich i instytucji europejskich); (iii) promowanie korzystania z dobrych praktyk z zakresu bezpieczeństwa i zarządzania ryzykiem (w całej Unii i państwach członkowskich); (iv) utworzenie środków wykrywania bezpieczeństwa sieci i informacji (w europejskich instytucjach i organach) i (v) współpraca w dialogu i współpraca z państwami trzecimi (w przypadku Unii).

33.

EIOD zachęca ustawodawcę do usunięcia tej niespójności i do dostosowania wspomnianych powyżej przepisów. W tym względzie EIOD zaleca, by art. 14 zmienić tak, by faktycznie zawierał wszystkie instytucje, organy, urzędy i agencje Unii i by było jasne, jakiego rodzaju pomocy mogą wymagać poszczególne podmioty w obrębie Unii (w przypadku uwzględnienia takiego rozróżnienia przez ustawodawcę). W tym samym kierunku zaleca się, by określone podmioty prywatne i publiczne mogły zwrócić się do Agencji o pomoc, jeśli wsparcie, o które się ubiegają, stanowi wyraźny potencjał z perspektywy europejskiej i jest zgodne z celami Agencji.

34.

Uzasadnienie określa większe kompetencje zarządu w zakresie jego nadzorczej roli. EIOD z zadowoleniem przyjmuje tę zwiększoną rolę i zaleca, by kilka aspektów odnoszących się do ochrony danych włączono do funkcji zarządu. Ponadto EIOD zaleca, by rozporządzenie określało jednoznacznie, kto jest uprawniony do: (i) ustanawiania środków w celu wykonania rozporządzenia (WE) nr 45/2001 przez Agencję, w tym środków dotyczących wyznaczenia inspektora ochrony danych; (ii) zatwierdzenia polityki bezpieczeństwa i późniejszych okresowych przeglądów oraz; (iii) opracowania protokołu w sprawie współpracy z organami ochrony danych i organami ścigania.

35.

Choć wymaga tego już rozporządzenie (WE) nr 45/2001, EIOD zaleca włączenie do art. 27 wyznaczania inspektora danych osobowych, ponieważ ma to ogromne znaczenie i powinno wiązać się z natychmiastowym ustanowieniem przepisów wykonawczych dotyczących zakresu uprawnień i zadań powierzonych inspektorowi ochrony danych zgodnie z art. 24 ust. 8 rozporządzenia (WE) nr 45/2001. W szczególności art. 27 mógłby mieć następujące brzmienie:

36.

W przypadku konieczności specjalnej podstawy prawnej dla przetwarzania danych osobowych, jak omówiono w pkt 17–20 powyżej, powinien on również określać niezbędne i właściwe zabezpieczenia, ograniczenia i warunki, w ramach których takie przetwarzanie miałoby miejsce.

37.

Ogólna ocena wniosku jest pozytywna i EIOD z zadowoleniem przyjmuje przedłużenie mandatu Agencji oraz rozszerzenie jej zadań poprzez dołączenie organów ochrony danych i organów ścigania jako pełnoprawnych stron zainteresowanych. EIOD uważa, że ciągłość Agencji będzie promować na poziomie europejskim profesjonalne i usprawnione zarządzanie środkami bezpieczeństwa w systemach informacyjnych.

38.

EIOD zaleca, by w celu uniknięcia niepewności prawa wniosek został wyraźniej sformułowany w kwestii rozszerzenia zadań Agencji, a w szczególności zadań dotyczących zaangażowania organów ścigania i organów ochrony danych. EIOD zwraca również uwagę na potencjalną lukę, jaką tworzy włączenie przepisu do wniosku, który umożliwia dodawanie nowych zadań Agencji na mocy innych aktów ustawodawczych Unii bez dodatkowych ograniczeń.

39.

EIOD zachęca ustawodawcę do wyjaśnienia, czy działania ENISA będą obejmować przetwarzanie danych osobowych, a jeśli tak – których z nich to dotyczy.

40.

EIOD zaleca włączenie przepisów dotyczących utworzenia polityki bezpieczeństwa dla samej Agencji w celu wzmocnienia roli Agencji jako instytucji wspierającej doskonalenie praktyk z zakresu bezpieczeństwa i jako promotora podejścia uwzględniania ochrony prywatności w fazie projektowania poprzez włączenie stosowania najlepszych dostępnych technik w bezpieczeństwie w odniesieniu do praw ochrony danych osobowych.

41.

Należy dokładnie określić kanały współpracy z organami ochrony danych (w tym z EIOD) i grupą roboczą art. 29, w celu zapewnienia spójności i ścisłej współpracy.

42.

EIOD zachęca ustawodawcę do pozbycia się niespójności w zakresie ograniczeń wyrażonych w art. 14 dotyczących możliwości ubiegania się o pomoc od Agencji. W szczególności EIOD zaleca, by znieść te ograniczenia i umożliwić wszystkim instytucjom, organom, agencjom i urzędom Unii ubieganie się o pomoc od Agencji.

43.

W końcu EIOD zaleca, by rozszerzone kompetencje zarządu obejmowały kilka konkretnych aspektów, które mogłyby zwiększyć pewność, że w obrębie Agencji stosuje się dobre praktyki w odniesieniu do bezpieczeństwa i ochrony danych. Między innymi proponuje włączyć wyznaczanie inspektora ochrony danych i zatwierdzanie środków mających na celu prawidłowe stosowanie rozporządzenia (WE) nr 45/2001.

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/25

—

w dziale dotyczącym połączeń przedsiębiorstw na stronie internetowej Komisji poświęconej konkurencji: (http://ec.europa.eu/competition/mergers/cases/). Powyższa strona została wyposażona w różne funkcje pomagające odnaleźć konkretną decyzję w sprawie połączenia, w tym indeksy wyszukiwania według nazwy przedsiębiorstwa, numeru sprawy, daty i sektora,

—

w formie elektronicznej na stronie internetowej EUR-Lex jako numerem dokumentu 32011M6076 Strona EUR-Lex zapewnia internetowy dostęp do europejskiego prawa. (http://eur-lex.europa.eu/en/index.htm).

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/26

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/27

European Court of Auditors

Communication and Reports Unit

12, rue Alcide De Gasperi

1615 Luxembourg

LUXEMBOURG

Tel. +352 4398-1

E-mail: euraud@eca.europa.eu

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/28

1)

koncesję i certyfikat przewoźnika lotniczego (AOC), chyba że dokumenty te wydano w Belgii;

2)

zaświadczenie ubezpieczeniowe;

3)

dokumenty potwierdzające zgodność z prawem wspólnotowym prowadzonej przez przewoźnika lotniczego w Belgii działalności gospodarczej;

4)

elementy potwierdzające zdolność operacyjną i finansową w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1008/2008 z dnia 24 września 2008 r. w sprawie wspólnych zasad wykonywania przewozów lotniczych na terenie Wspólnoty;

5)

następujące informacje dotyczące planowanych regularnych przewozów lotniczych:

6)

ewentualna zgoda ze strony wnioskodawcy na udostępnienie, w szczególnych okolicznościach, zdolności przewozowej niezbędnej do zaspokojenia krajowych lub międzynarodowych potrzeb Belgii.

1)

zażądać od przewoźnika wspólnotowego uzupełnienia informacji o dodatkowe elementy; i/lub

2)

zorganizować przesłuchania wszystkich wnioskodawców.

1)

ani liczby przewoźników lotniczych, których można wyznaczyć;

2)

ani liczby lotów, które można wykonywać na określonych trasach.

1)

liczbę przewoźników lotniczych, których można wyznaczyć; lub

2)

liczbę lotów, które można wykonywać na określonych trasach;

1)

w razie istnienia takich uwag, minister podejmuje, w terminie 15 dni roboczych począwszy od daty otrzymania uwag, ostateczną decyzję dotyczącą przyznania praw przewozowych lub wyznaczenia, o której powiadamia wnioskodawców listem poleconym i którą publikuje na stronie internetowej SPF Mobilité et Transports;

2)

w razie braku uwag projekt decyzji staje się ostateczną decyzją ministra w sprawie przyznania praw przewozowych lub wyznaczenia, o której wnioskodawca (wnioskodawcy) jest (są) informowany (informowani) listem poleconym i która jest publikowana na stronie internetowej SPF Mobilité et Transports.

1)

dokumenty, o których mowa w art. 4, przedstawione przez wspólnotowego przewoźnika lotniczego;

2)

oferowane gwarancje dotyczące ciągłości obsługi i jej włączenia w spójny plan operacyjny;

3)

optymalne wykorzystanie ograniczonych praw przewozowych;

4)

priorytetowy charakter operacji wykonywanych przez wspólnotowego przewoźnika lotniczego przy użyciu statków powietrznych (będących jego własnością lub dzierżawionych) w porównaniu z operacjami, w ramach których wspólnotowy przewoźnik lotniczy ogranicza się do odpłatnego zlecania wykonywania lotów przez innych przewoźników lotniczych, w ramach wspólnej obsługi połączeń;

5)

interesy wszystkich kategorii użytkowników;

6)

ułatwiony dostęp do nowych tras, rynków i regionów, bądź dzięki nowym połączeniom, bądź dzięki połączeniom rozpoczynającym się lub kończącym się w różnych belgijskich portach lotniczych;

7)

wkład w tworzenie oferty na zadawalającym poziomie konkurencyjności;

8)

możliwy wpływ obsługi połączeń na tworzenie nowych miejsc pracy bezpośrednio w sektorze transportu lotniczego lub w sektorach pośrednich;

9)

ewentualnie – kolejność zgłoszonej przez przewoźnika lotniczego w sposób aktywny i powtarzający się woli otrzymania praw przewozowych będących przedmiotem wniosku.

1)

rozpocząć wykonywanie odpowiednich przewozów lotniczych najpóźniej pod koniec sezonu IATA następującego po sezonie, podczas którego powiadomiono go o decyzji dotyczącej wyznaczenia lub przyznania praw przewozowych;

2)

wykonywać odpowiednie przewozy lotnicze zgodnie z dokumentacją, o której mowa w art. 4. Różnica pomiędzy projektem wstępnym a praktycznym wykonywaniem przewozów nie może być na tyle istotna, aby mogło to doprowadzić do wyboru innego przewoźnika lotniczego niż ten, który został wybrany podczas początkowego przydzielania praw;

3)

spełniać ewentualne warunki określone przez dyrektora generalnego, przestrzegać decyzji i zezwoleń wydanych przez władze lotnicze państw spoza Wspólnoty zainteresowane wykonywaniem odpowiednich przewozów lotniczych, jak również przestrzegać wszelkich przepisów międzynarodowych w tym zakresie;

4)

powiadamiać niezwłocznie dyrektora generalnego o zaprzestaniu lub przerwaniu wykonywania odpowiednich przewozów lotniczych. Jeśli taka przerwa trwa dłużej niż dwa sezony lotnicze, decyzja o przyznaniu praw przewozowych lub wyznaczeniu traci automatycznie ważność z końcem drugiego sezonu lotniczego, chyba że przewoźnik może udowodnić istnienie okoliczności nadzwyczajnych niezależnych od jego woli.

1)

bądź o nierozpatrywaniu wniosku;

2)

bądź o rozpoczęciu nowej procedury przyznania praw.

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/34

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/36

1.

W dniu 23 marca 2011 r., zgodnie z art. 4 rozporządzenia Rady (WE) nr 139/2004 (1), Komisja otrzymała zgłoszenie planowanej koncentracji, w wyniku której przedsiębiorstwo Giesecke & Devrient GmbH („G&D”, Niemcy) oraz przedsiębiorstwo BEB Industrie-Elektronik AG („BEB”, Szwajcaria), kontrolowane przez przedsiębiorstwo Wincor Nixdorf International GmbH („WNI”, Niemcy) należące do grupy przedsiębiorstw Wincor Nixdorf Aktiengesellschaft (Niemcy), przejmują w rozumieniu art. 3 ust. 1 lit. b) rozporządzenia w sprawie kontroli łączenia przedsiębiorstw, wspólną kontrolę nad przedsiębiorstwem CI Tech Components AG (Szwajcaria) w drodze przeniesienia aktywów lub zakupu udziałów w nowo utworzonej spółce będącej wspólnym przedsiębiorcą.

2.

Przedmiotem działalności gospodarczej przedsiębiorstw biorących udział w koncentracji jest:

3.

Po wstępnej analizie Komisja uznała, że zgłoszona koncentracja może wchodzić w zakres rozporządzenia WE w sprawie kontroli łączenia przedsiębiorstw. Jednocześnie Komisja zastrzega sobie prawo do podjęcia ostatecznej decyzji w tej kwestii. Należy zauważyć, iż zgodnie z obwieszczeniem Komisji w sprawie uproszczonej procedury stosowanej do niektórych koncentracji na mocy rozporządzenia WE w sprawie kontroli łączenia przedsiębiorstw (2), sprawa ta może kwalifikować się do rozpatrzenia w ramach procedury określonej w tym obwieszczeniu.

4.

Komisja zwraca się do zainteresowanych osób trzecich o zgłaszanie ewentualnych uwag na temat planowanej koncentracji.

Komisja musi otrzymać takie uwagi w nieprzekraczalnym terminie dziesięciu dni od daty niniejszej publikacji. Można je przesyłać do Komisji faksem (+32 22964301), pocztą elektroniczną na adres: COMP-MERGER-REGISTRY@ec.europa.eu lub listownie, podając numer referencyjny: COMP/M.6144 – Giesecke & Devrient/Wincor Nixdorf International/BEB Industrie-Elektronik, na poniższy adres Dyrekcji Generalnej ds. Konkurencji Komisji Europejskiej:

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/38

1.

W dniu 21 marca 2011 r., zgodnie z art. 4 rozporządzenia Rady (WE) nr 139/2004 (1), Komisja otrzymała zgłoszenie planowanej koncentracji, w wyniku której przedsiębiorstwo MAN Truck & Bus AG („MAN Truck & Bus”, Niemcy) kontrolowane przez przedsiębiorstwo MAN SE („MAN”, Niemcy) przejmuje, w rozumieniu art. 3 ust. 1 lit. b) rozporządzenia w sprawie kontroli łączenia przedsiębiorstw, wyłączną kontrolę nad całymi przedsiębiorstwami MAN Camions et Bus S.A.S. („MAN Camions et Bus”, Francja) oraz MAN Truck and Bus N.V./S.A. („MAN Truck and Bus Belgium”, Belgia) w drodze zakupu udziałów/akcji.

2.

Przedmiotem działalności gospodarczej przedsiębiorstw biorących udział w koncentracji jest:

3.

Po wstępnej analizie Komisja uznała, że zgłoszona koncentracja może wchodzić w zakres rozporządzenia WE w sprawie kontroli łączenia przedsiębiorstw. Jednocześnie Komisja zastrzega sobie prawo do podjęcia ostatecznej decyzji w tej kwestii. Należy zauważyć, iż zgodnie z obwieszczeniem Komisji w sprawie uproszczonej procedury stosowanej do niektórych koncentracji na mocy rozporządzenia WE w sprawie kontroli łączenia przedsiębiorstw (2), sprawa ta może kwalifikować się do rozpatrzenia w ramach procedury określonej w tym obwieszczeniu.

4.

Komisja zwraca się do zainteresowanych osób trzecich o zgłaszanie ewentualnych uwag na temat planowanej koncentracji.

Komisja musi otrzymać takie uwagi w nieprzekraczalnym terminie dziesięciu dni od daty niniejszej publikacji. Można je przesyłać do Komisji faksem (+32 22964301), pocztą elektroniczną na adres: COMP-MERGER-REGISTRY@ec.europa.eu lub listownie, podając numer referencyjny: COMP/M.6182 – MAN/MAN Camions et Bus/MAN Truck & Bus Belgium, na poniższy adres Dyrekcji Generalnej ds. Konkurencji Komisji Europejskiej:

1.4.2011   

PL

Dziennik Urzędowy Unii Europejskiej

C 101/39

1.

We wspólnym stanowisku 2002/402/WPZiB (1) wzywa się Unię do zamrożenia funduszy oraz innych zasobów gospodarczych Osamy bin Ladena, członków organizacji Al-Kaida i talibów oraz innych osób fizycznych, grup, przedsiębiorstw i podmiotów z nimi powiązanych, wymienionych w wykazie sporządzonym zgodnie z rezolucją Rady Bezpieczeństwa ONZ 1267(1999) i 1333(2000) i systematycznie aktualizowanym przez komitet ONZ powołany na podstawie rezolucji Rady Bezpieczeństwa ONZ 1267(1999).

Wykaz sporządzony przez komitet ONZ obejmuje:

Działania lub czynności wskazujące na to, że dana osoba, grupa, przedsiębiorstwo lub podmiot są „powiązane” z Al-Kaidą, Osamą bin Ladenem lub talibami, obejmują:

2.

W dniu 23 marca 2011 r. komitet ONZ zdecydował o dodaniu Ibrahima Hassana Taliego Al-Asiriego do właściwego wykazu. Może on w każdej chwili złożyć wniosek do rzecznika praw obywatelskich ONZ o ponowną weryfikację decyzji o dodaniu go do wymienionego wyżej wykazu ONZ, wraz z dokumentami uzupełniającymi. Taki wniosek należy przesłać na poniższy adres rzecznika praw obywatelskich ONZ:

Więcej informacji można znaleźć na stronie http://www.un.org/sc/committees/1267/delisting.shtml

3.

W następstwie decyzji ONZ, o której mowa w pkt 2, Komisja przyjęła rozporządzenie (UE) nr 317/2011 (2), zmieniające załącznik I do rozporządzenia Rady (WE) nr 881/2002 wprowadzającego niektóre szczególne środki ograniczające skierowane przeciwko niektórym osobom i podmiotom związanym z Osamą bin Ladenem, siecią Al-Kaida i talibami (3). Zmiana wprowadzona na mocy art. 7 ust. 1 lit. a) oraz art. 7a ust. 1 rozporządzenia (WE) nr 881/2002 polega na dodaniu Ibrahima Hassana Taliego Al-Asiriego do wykazu w załączniku I do tego rozporządzenia („załącznik I”).

Do osób oraz podmiotów wpisanych do załącznika I mają zastosowanie następujące środki określone w rozporządzeniu (WE) nr 881/2002:

4.

Artykuł 7a rozporządzenia (WE) nr 881/2002 (5) przewiduje dokonanie procesu weryfikacji, w ramach którego osoby ujęte w wykazie mają możliwość zgłoszenia uwag dotyczących powodów ich umieszczenia na liście. Osoby i podmioty, dodane do załącznika I rozporządzeniem (UE) nr 317/2011, mogą zwrócić się do Komisji z wnioskiem o uzasadnienie umieszczenia ich w wykazie. Wniosek należy przesłać na poniższy adres służb Komisji Europejskiej zajmujących się środkami ograniczającymi:

5.

Ponadto zwraca się uwagę zainteresowanych osób i podmiotów na fakt, że istnieje możliwość zaskarżenia rozporządzenia (UE) nr 317/2011 do Sądu Unii Europejskiej, zgodnie z postanowieniami art. 263 akapit czwarty i szósty Traktatu o funkcjonowaniu Unii Europejskiej.

6.

Dane osobowe będą przetwarzane zgodnie z przepisami rozporządzenia (WE) nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe (obecnie unijne) i o swobodnym przepływie takich danych (6). Wszelkie wnioski np. z prośbą o dodatkowe informacje lub niezbędne dla skorzystania z praw przysługujących na mocy rozporządzenia (WE) nr 45/2001 (np. dostęp do danych osobowych lub ich korygowanie) należy przesłać do Komisji, na adres wymieniony w punkcie 4 powyżej.

7.

Dla zachowania należytego porządku zwraca się uwagę osób i podmiotów wymienionych w załączniku I na możliwość zwrócenia się z wnioskiem do właściwych władz odpowiedniego państwa członkowskiego (państw członkowskich), zgodnie z załącznikiem II do rozporządzenia (WE) nr 881/2002, w celu uzyskania zezwolenia na wykorzystanie zamrożonych funduszy i zasobów gospodarczych na podstawowe potrzeby lub szczególne płatności, zgodnie z art. 2a tego rozporządzenia.