27.10.2007   

RO

Jurnalul Oficial al Uniunii Europene

C 255/13

1.

Propunerea de Decizie a Consiliului privind înființarea Biroului European de Poliție (EUROPOL) a fost trimisă de Comisie către AEPD pentru consultare, conform dispozițiilor articolului 28 alineatul (2) din Regulamentul (CE) nr. 45/2001. Conform AEPD, prezentul aviz ar trebui menționat în preambulul deciziei-cadru (3).

2.

Obiectivul propunerii nu vizează o schimbare majoră în mandatul activităților Europol, ci constă, în principal, în asigurarea unui cadru juridic nou și mai flexibil pentru Europol. Europol a fost creat în 1995, în temeiul unei Convenții între statele membre, astfel cum se menționează în articolul K.6 UE (în prezent: articolul 34) (4). Dezavantajul acestor convenții din punct de vedere al flexibilității și eficienței este că acestea trebuie ratificate de către toate statele membre, ceea ce, conform unor recente experiențe, poate dura câțiva ani. Așa cum se arată în expunerea de motive a prezentei propuneri, cele trei protocoale de modificare a Convenției Europol, adoptate în 2000, 2002 și 2003, încă nu intraseră în vigoare până la sfârșitul anului 2006 (5).

3.

Cu toate acestea, propunerea conține de asemenea schimbări substanțiale, în vederea îmbunătățirii continue a funcționării Europol. Aceasta extinde mandatul Europol și conține câteva propuneri noi, având ca scop facilitatea ulterioară a activității Europol. În acest context, schimbul de date dintre Europol și alte entități (cum ar fi organe ale Comunității Europene/Uniunii Europene, autorități ale statelor membre și țări terțe) devine o problemă importantă. Propunerea stipulează că Europol depune toate eforturile pentru a asigura interoperabilitatea între sistemele de prelucrare a datelor ale Europol și sistemele statelor membre și ale organelor Comunității Europene/Uniunii Europene [articolul 10 alineatul (5) din propunere]. Mai mult, aceasta asigură unităților naționale accesul direct la sistemul Europol.

4.

În continuare, poziția Europol în calitate de organ sub Titlul VI din Tratatul Uniunii Europene (al treilea pilon) are consecințe asupra legislației aplicabile privind protecția datelor, deoarece Regulamentul (CE) nr. 45/2001 se aplică numai în exercitarea activităților care intră în domeniul de aplicare al legislației comunitare și din acest motiv nu se aplică, în principiu, operațiunilor de prelucrare ale Europol. Capitolul V din propunere conține reglementări speciale privind protecția și securitatea datelor, care pot fi considerate drept lex specialis prevăzând norme suplimentare pentru lex generalis, cadrul juridic general privind protecția datelor. Cu toate acestea, acest cadru juridic general pentru pilonul al treilea nu a fost încă adoptat (a se vedea în continuare punctele 37-40).

5.

Un ultim punct care trebuie menționat este că modificări ulterioare vor apropia poziția Europol-ului de a altor organe ale Uniunii Europene, înființate prin Tratatul de instituire a Comunității Europene. Cu toate că poziția Europol nu se va modifica în mod esențial, acest lucru poate fi considerat ca o primă îmbunătățire încurajatoare. Europol va fi finanțat din bugetul comunitar, iar personalul Europol va intra sub incidența Statutul funcționarilor Comunităților Europene. Aceasta întărește controlul Parlamentului European (datorită poziției sale în procedura bugetară) și al Curții Europene de Justiție (în dezbaterile privind problemele bugetare și de personal). AEPD va avea competențe în legătură cu prelucrarea datelor cu caracter personal privind personalul comunitar (a se vedea în continuare punctul 47).

6.

Prezentul aviz va trata în mod succesiv modificările substanțiale (menționate la punctul 3), legislațiile aplicabile privind protecția datelor (menționate la punctul 4) și similitudinile dintre Europol și organele comunitare (menționate la punctul 5).

7.

Avizul va acorda o atenție deosebită importanței crescânde a schimbului de date dintre Europol și alte organe ale Uniunii Europene, schimb a cărui supraveghere, în majoritatea cazurilor, intră în competența AEPD. În acest context, articolele 22, 25 și 48 ale propunerii pot fi menționate în mod special. Complexitatea acestei probleme ridică preocupări atât în privința principiului limitării în funcție de scopul propus, cât și în privința legislațiilor aplicabile privind protecția datelor și a supravegherii în cazurile în care diferite organe de supraveghere sunt competente în ceea ce privește supravegherea diverselor organe comunitare, în funcție de pilonul în care se găsesc. Un alt punct care face obiectul preocupărilor este legat de interoperabilitatea sistemului informațional Europol cu alte sisteme informaționale.

8.

Mediul legislativ al prezentei propuneri se modifică în mod rapid.

9.

În primul rând, prezenta propunere este una dintr-un număr de activități legislative în domeniul cooperării polițienești și judiciare, care are ca scop facilitarea posibilităților de stocare și schimb de date cu caracter personal în vederea aplicării legii. Unele dintre aceste propuneri au fost adoptate de către Consiliu — cum ar fi Decizia-cadru a Consiliului din 18 decembrie 2006 privind schimbul de informații publice și secrete, de exemplu (6), în timp ce alte propuneri sunt încă în curs de aprobare.

10.

Principiul director pentru aceste activități legislative este principiul disponibilității, care a fost introdus ca un nou principiu legislativ important în Programul de la Haga din noiembrie 2004. Acesta presupune faptul că informațiile cerute în lupta împotriva crimei ar trebui să traverseze frontierele interne ale UE fără obstacole.

11.

Principiul disponibilității nu este suficient în sine. Măsuri legislative suplimentare sunt necesare pentru a permite autorităților polițienești și judiciare să schimbe informații în mod efectiv. În unele cazuri, instrumentul ales pentru a facilita acest schimb include crearea sau îmbunătățirea unui sistem informațional la nivel european. Un astfel de sistem este sistemul informațional Europol. AEPD a tratat aspectele de bază ale acestor sisteme în raport cu Sistemul Informațional Schengen și va trata unele dintre aceste aspecte și din perspectiva prezentei propuneri. Aceste aspecte includ condițiile de acordare a accesului la sistem, de interconexiune și de interoperabilitate, respectiv normele aplicabile privind protecția și supravegherea datelor (7).

12.

În continuare, propunerea ar trebui să fie examinată din punctul de vedere al celor mai recente evoluții, cum ar fi inițiativa prezentată de președinția germană a Uniunii Europene pentru a transpune Tratatul Prüm în cadrul juridic al UE.

13.

În al doilea rând, cadrul pentru protecția datelor în pilonul al treilea — condiție necesară pentru schimbul de date cu caracter personal — încă nu este (așa cum s-a menționat mai sus) adoptat. Dimpotrivă, dezbaterile în Consiliu cu privire la propunerea de Decizie-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală au devenit dificile. Președinția germană a Consiliului a anunțat că va fi propus un nou text (8), cu unele diferențe esențiale față de abordarea luată în propunerea Comisiei.

14.

În al treilea rând, propunerea este în legătură directă cu evoluțiile privind Tratatul de instituire a unei Constituții pentru Europa. Articolul III-276 din Tratatul Constituțional este considerat a fi un pas important în procesul în care, pe de o parte, rolul și sarcinile Europol sunt lărgite în mod progresiv, iar pe de altă parte, Europol este în mod progresiv inclus în cadrul instituțional european. Așa cum se menționează în expunerea de motive a prezentei propuneri, acest articol include viziunea care se conturează în privința viitorului Europol. Prezenta decizie face parte din această viziune, ținând cont de nesiguranța în privința intrării în vigoare a dispozițiilor Tratatului Constituțional și a datei la care ar putea intra eventual în vigoare.

15.

Articolele 4 și 5 și Anexa I din propunere stabilesc mandatul Europol. Acest mandat s-a extins în prezent la infracțiunile care nu sunt legate neapărat de crima organizată și cuprinde aceeași listă de infracțiuni grave ca cea inclusă în Decizia-cadru a Consiliului privind mandatul de arestare european (9). A doua extindere a rolului Europol constă în faptul că baza de date a acestuia va include acum informații publice și secrete transmise de entități private.

16.

În privința acestei prime extinderi, acesta este un pas logic în dezvoltarea cooperării polițienești în materie penală. AEPD recunoaște că aceasta are ca rezultat o armonizarea mai bună a instrumentelor juridice, având ca scop facilitarea cooperării polițienești. Armonizarea este folositoare, nu numai pentru că îmbunătățește condițiile pentru o cooperare mai bună, dar și pentru că întărește siguranța juridică a cetățenilor, respectiv face posibil un control mai eficient al cooperării polițienești, deoarece domeniul de aplicare al tuturor diferitelor instrumente se aplică acelorași categorii de infracțiuni. AEPD presupune că această extindere a mandatului este propusă luându-se în considerare principiul proporționalității.

17.

În privința celei de-a doua extinderi, aceasta se încadrează în tendința recentă din cooperarea polițienească conform căreia utilizarea datelor colectate de companii private în scopul aplicării legii devine din ce în ce mai importantă. AEPD recunoaște că o asemenea utilizare poate fi necesară. Accesul la toate informațiile pertinente, inclusiv informațiile deținute de părți private, poate fi necesar în aplicarea legii în special pentru combaterea terorismului și a altor infracțiuni grave (10). Cu toate acestea, având în vedere natura informațiilor și a informațiilor secrete provenind de la părți private, sunt necesare garanții suplimentare, inter alia, pentru a asigura exactitatea acestor informații, deoarece acestea sunt date personale care au fost colectate în scopuri comerciale într-un mediu comercial. Ar trebui să se asigure de asemenea faptul că informațiile au fost colectate și prelucrate în mod legal înainte de a fi transmise către Europol, conform legislației naționale de punere în aplicare a Directivei 95/46/CE și că acest acces din partea Europol este permis numai în condiții și cu restricții bine definite: accesul ar trebui permis numai de la caz la caz, pentru scopuri speciale și sub controlul judiciar al statelor membre (11). Astfel, AEPD recomandă includerea acestor condiții și restricții în textul deciziei.

18.

Articolul 6 din Convenția Europol abordează restrictiv prelucrarea și colectarea de informații de către Europol. Această prelucrare se limitează la trei componente: sistemul informațional Europol, fișierele de lucru pentru analiză și un sistem de index. Articolul 10 alineatul (1) al propunerii înlocuiește această abordare printr-o dispoziție generală care permite Europol-ului să prelucreze informațiile publice și secrete în scopul realizării obiectivelor sale. Cu toate acestea, articolul 10 alineatul (3) al propunerii menționează că prelucrarea datelor cu caracter personal în afara sistemului informațional Europol și a fișierelor de lucru pentru analiză face obiectul condițiilor enumerate într-o decizie a Consiliului după consultarea Parlamentului European. Conform AEPD, această dispoziție este elaborată într-o modalitate suficient de precisă pentru a proteja interesele legitime ale persoanelor interesate. Consultarea autorităților însărcinate cu protecția datelor anterior adoptării unei asemenea decizii de către Consiliu, astfel cum se prevede la punctul 55, ar trebui adăugată articolului 10 alineatul (3).

19.

La articolul 10 alineatul (2), posibilitatea pentru Europol de a „prelucra datele cu caracter personal pentru a stabili dacă aceste date sunt pertinente sau nu pentru sarcinile sale” pare a fi contrară principiului proporționalității. Această formulare nu este foarte precisă și include în practică riscul de prelucrare pentru toate formele de scopuri nedefinite.

20.

AEPD înțelege necesitatea prelucrării datelor cu caracter personal într-o etapă în care nu a fost încă stabilită relevanța acestora pentru îndeplinirea unei sarcini a Europol. Cu toate acestea, ar trebui să se asigure faptul că prelucrarea datelor cu caracter personal a căror pertinență nu a fost încă evaluată se limitează în mod strict la scopul stabilirii pertinenței acestora, că această evaluare se efectuează într-o perioadă de timp rezonabilă și că, atât timp cât pertinența nu a fost stabilită, datele nu se prelucrează în scopuri de aplicare a legii. O altă soluție nu numai că ar leza drepturile persoanelor interesate, ci ar împiedica și aplicarea eficientă a legii.

Astfel, în interesul conformării cu principiul proporționalității, AEPD propune adăugarea unei dispoziții la articolul 10 alineatul (2), care să stabilească obligația de a stoca datele în baze de date separate, până în momentul în care se stabilește competența Europol în ceea ce privește o anumită sarcină. În continuare, perioada de timp pentru care aceste date pot fi prelucrate trebuie limitată în mod strict și în nici un caz nu trebuie să depășească 6 luni (12).

21.

Conform articolului 10 alineatul (5) din propunere, se depun toate eforturile pentru a se asigura interoperabilitatea cu sistemele de prelucrare a datelor din statele membre, respectiv cu sistemele folosite de organele Comunității și ale Uniunii. Această abordare este opusă abordării Convenției Europol [articolul 6 alineatul (2)], care interzice interconexiunea cu alte sisteme de prelucrare automate.

22.

În comentariile sale referitoare la Comunicarea Comisiei privind interoperabilitatea bazelor de date europene (13), AEPD se opune punctului de vedere conform căruia interoperabilitatea este în primul rând un concept tehnic. În cazul în care bazele de date devin interoperabile din punct de vedere tehnic — ceea ce înseamnă că accesul la date și schimbul de date sunt posibile — va exista o presiune în sensul utilizării efective a acestor posibilități. Acest lucru prezintă anumite riscuri în privința principiului limitării în funcție de scopul propus, deoarece datele pot fi folosite cu ușurință pentru un alt scop decât cel al colectării. AEPD insistă în aplicarea condițiilor și garanțiilor stricte, în momentul în care interconexiunea cu baza de date este pusă efectiv în aplicare.

23.

Prin urmare, AEPD recomandă adăugarea la propunere a unei dispoziții conform căreia interconexiunea să fie permisă numai după luarea unei decizii care stabilește condițiile și garanțiile pentru interconexiune, în special în privința necesității interconexiunii și a scopurilor pentru care datele cu caracter personal vor fi folosite. Această decizie ar trebui adoptată după consultarea AEPD și a organismului comun de supraveghere. O asemenea dispoziție poate fi legată de articolul 22 al propunerii, privind relațiile cu alte organe sau agenții.

24.

AEPD menționează, în conformitate cu articolul 11 alineatul (1), că restricția existentă privind accesul de către o unitate națională la datele cu caracter personal referitoare la eventualii infractori care nu au comis (încă) o infracțiune a fost suprimată. Această restricție este acum stabilită la articolul 7 alineatul (1) din Convenție și limitează accesul direct la detaliile privind identitatea persoanelor în cauză.

25.

Conform punctului de vedere al AEPD, nu există nici o justificare pentru modificări substanțiale. Dimpotrivă, garanțiile specifice pentru această categorie de persoane sunt în totalitate conforme cu abordarea propunerii Comisiei de Decizie-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală. AEPD recomandă asigurarea de alte garanții pentru accesul la datele acestor persoane care nu au comis (încă) o infracțiune și în niciun caz nu recomandă reducerea protecției asigurate prin Convenția Europol.

26.

Conform textului modificat al articolului 21 alineatul (3) din Convenția Europol (14), necesitatea stocării continue a datelor cu caracter personal referitoare la persoane fizice astfel cum se menționează la articolul 10 alineatul (1)este revizuită anual și această revizuire este documentată. Cu toate acestea, articolul 20 alineatul (1) din propunere prevede numai revizuirea în termen de trei ani după introducerea datelor. AEPD nu este convinsă că o astfel de flexibilitate sporită este necesară și din acest motiv recomandă inserarea în propunere a unei obligații de revizuire anuală. Modificarea propunerii este chiar mai importantă, deoarece propunerea ar trebui să conțină o obligație de revizuire periodică a stocării, nu numai o dată la trei ani.

27.

Articolul 21 este o dispoziție generală permițând Europol-ului accesul computerizat și obținerea de date de la alte sisteme informaționale naționale sau internaționale. Acest acces ar trebui acordat numai de la caz la caz și în condiții stricte. Cu toate acestea, articolul 21 permite accesul mult mai larg, care nu este absolut necesar pentru sarcinile Europol. În acest context, AEPD face referire la avizul său din 20 ianuarie 2006 privind accesul la SIV de către autoritățile responsabile pentru securitatea internă (15). AEPD recomandă modificarea corespunzătoare a textului propunerii.

28.

Este important de reținut faptul că dispoziția, în măsura în care privește accesul la bazele de date naționale, are un sens mai larg decât comunicarea informațiilor între Europol și unitățile naționale, care este tratată, inter alia, în articolul 12 alineatul (4) din propunere. Acest acces nu va face numai obiectul dispozițiilor prezentei decizii a Consiliului, ci va fi de asemenea reglementat de legi naționale privind accesul la date și utilizarea acestora. AEPD apreciază deosebit noțiunea inclusă în articolul 21, în privința aplicării unor reguli mai stricte. Mai mult decât atât, importanța comunicării de date cu caracter personal între Europol și bazele de date naționale, inclusiv accesul Europol la aceste baze de date naționale, reprezintă un motiv suplimentar pentru adoptarea Deciziei-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală, oferind un nivel de protecție adecvat.

29.

Articolul 24 alineatul (1) stabilește două condiții pentru comunicarea de date către autorități publice din țări terțe și organizații internaționale: (a) comunicarea poate avea loc dacă este necesar în cazuri individuale pentru combaterea criminalității și (b) în baza acordurilor internaționale care garantează că organul terț prezintă un nivel adecvat de protecție a datelor. Articolul 24 alineatul (2) permite derogări în cazuri excepționale, luând în considerare nivelul de protecție a datelor al organului primitor. AEPD înțelege necesitatea acestor excepții și subliniază necesitatea aplicării stricte a excepțiilor, de la caz la caz, în situații deosebite. Textul articolului 24 alineatul (2) reflectă aceste condiții în mod corespunzător.

30.

Articolul 29 tratează dreptul de acces la datele cu caracter personal. Acesta este unul dintre drepturile fundamentale ale persoanelor vizate, care este enunțat în articolul 8 alineatul (2) din Carta Drepturilor Fundamentale a Uniunii Europene, și este garantat de asemenea de către Convenția 108 a Consiliului Europei din 28 ianuarie 1981 și de Recomandarea nr. R (87) 15 a Comitetului de Miniștri al Consiliului Europei din 17 septembrie 1987. Acest drept face parte din principiul prelucrării corecte și legale a datelor cu caracter personal și este destinat să protejeze interesele esențiale ale persoanelor vizate. Cu toate acestea, condițiile stabilite la articolul 29 limitează acest drept într-un mod care nu este acceptabil din punctul de vedere al celor de mai sus.

31.

În primul rând, articolul 29 alineatul (3) stabilește că cererea de acordare a accesului — depusă într-un stat membru conform articolului 29 alineatul (2) — va fi tratată în conformitate cu articolul 29 și în conformitate cu legile și procedurile statului membru în care s-a făcut cererea. Drept rezultat, legea națională poate limita domeniul de aplicare și fondul dreptului de acces și poate impune restricții procedurale. Acest rezultat ar putea fi nesatisfăcător. De exemplu, cererile de acces la date cu caracter personal pot de asemenea fi făcute de persoane ale căror date nu sunt prelucrate de către Europol. Este esențial ca drepturile de acces să cuprindă și aceste cereri. Astfel, trebuie să se asigure că legislațiile naționale care prevăd un drept de acces mai limitat nu se aplică.

32.

Conform AEPD, referirea la legislațiile naționale din articolul 29 alineatul (3), ar trebui suprimată și înlocuită cu norme armonizate privind domeniul de aplicare, fondul și procedura preferabile în Decizia-cadru a Consiliului privind protecția datelor cu caracter personal sau, dacă este cazul, în decizia Consiliului.

33.

În continuare, articolul 29 alineatul (4) enumără motivele de refuzare a accesului la datele cu caracter personal, în cazul în care persoanele interesate vor să-și exercite dreptul de acces la datele lor cu caracter personal, care sunt prelucrate de Europol. Conform articolului 29 alineatul (4), accesul este refuzat în cazul în care aceasta „ar putea periclita” anumite interese specifice. Această formulare este mult mai largă decât formularea din articolul 19 alineatul (3) din Convenția Europol, care permite refuzul accesului numai „în cazul în care acest refuz este necesar”.

34.

AEPD recomandă menținerea formulării mai stricte a textului din Convenția Europol. Trebuie să se asigure de asemenea faptul că operatorul de date este obligat să enunțe motivele refuzului, astfel încât utilizarea acestei excepții să poată fi controlată efectiv. Acest principiu este enunțat în mod expres în Recomandarea nr. R (87) 15 a Comitetului de Miniștri a Consiliului Europei. Formularea din propunerea Comisiei nu este acceptabilă deoarece nu ia în considerare caracterul fundamental al dreptului de acces. Excepțiile de la acest drept pot fi acceptate numai în măsura în care acest lucru este necesar pentru a proteja un alt interes fundamental, în cazul în care, cu alte cuvinte, accesul ar submina celălalt interes.

35.

În sfârșit, dar nu în cele din urmă, dreptul de acces este puternic limitat de mecanismul de consultare menționat la articolul 29 alineatul (5). Acest mecanism condiționează accesul prin consultarea tuturor autorităților competente interesate și, având în vedere documentele de analiză, prin consensul Europol și al tuturor statelor membre participante la procesul de analizare sau interesate în mod direct. Acest mecanism de facto bulversează caracterul fundamental al dreptului de acces. Accesul ar trebui acordat ca un principiu general și nu poate fi limitat decât în circumstanțe speciale. În schimb, conform textului propunerii, accesul s-ar acorda numai după efectuarea consultării și obținerea consensului.

36.

Europol va fi un organ al Uniunii Europene, dar nu va fi o instituție sau un organ comunitar astfel cum se menționează la articolul 3 din Regulamentul (CE) nr. 45/2001. Astfel, în mod normal regulamentul nu se aplică prelucrării de date cu caracter personal de către Europol, cu excepția unor situații speciale. Capitolul V din propunere include, din acest motiv, un regim de protecție a datelor sui generis, care se bazează pe cadrul juridic general privind protecția datelor.

37.

Propunerea admite necesitatea existenței unui cadru juridic general privind protecția datelor. Conform articolului 26 din propunere, Europol aplică la modul lex generalis principiile Deciziei-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală. Această referire la decizia-cadru a Consiliului (propusă) înlocuiește referirea de la articolul 14 alineatul (3) din Convenția Europol la Convenția 108 a Consiliului Europei din 28 ianuarie 1981 și la Recomandarea nr. R (87) 15 a Comitetului de Miniștri al Consiliului Europei din 17 septembrie 1987.

38.

AEPD apreciază în mod deosebit articolul 26 din propunere. Această dispoziție este crucială pentru eficacitatea protecției datelor, respectiv din motive de coerență, deoarece facilitează schimbul de date cu caracter personal inclusiv în beneficiul aplicării legii. Cu toate acestea, compatibilitatea între cele două instrumente ar trebui garantată, fapt care nu este evident dacă avem în vedere următoarele:

În funcție de rezultatul dezbaterilor în Consiliu privind această decizie-cadru, probabil bazată pe propunerea germană, garanții suplimentare pot fi necesare în propunerea prezentă. Acest punct trebuie evaluat într-o etapă ulterioară, în care va fi mult mai clar rezultatul dezbaterilor privind decizia-cadru a Consiliului.

39.

AEPD subliniază faptul că prezenta decizie a Consiliului ar trebui adoptată înaintea adoptării de către Consiliu a cadrului privind protecția datelor, garantând un nivel adecvat de protecție a datelor în conformitate cu concluziile AEPD din cele două avize ale sale privind propunerea Comisiei de decizie-cadru a Consiliului (16).

40.

În acest context, AEPD subliniază două elemente specifice ale propunerii Comisiei de decizie-cadru a Consiliului, care sunt adecvate în special pentru întărirea protecției acordate persoanelor vizate în cazul în care datele acestora sunt prelucrate de către Europol. În primul rând, propunerea oferă posibilitatea diferențierii prelucrării datelor conform gradului acestora de exactitate și de soliditate. Datele bazate pe opinii sunt diferențiate de datele bazate pe fapte. Această diferență clară dintre „datele ușoare” și „datele grele” este o metodă importantă de conformare cu principiul calității datelor. În al doilea rând, propunerea face distincție între date pe categorii de persoane, bazată pe implicarea lor posibilă în comiterea unei infracțiuni.

41.

Acestea au legătură cu aplicabilitatea Regulamentului (CE) nr. 45/2001 la activitățile Europol. Regulamentul (CE) nr. 45/2001 se aplică, în primul rând, personalului Europol care este tratat la punctul 47. În al doilea rând, acesta fiind și obiectul Părții IV a prezentului aviz, regulamentul se aplică schimburilor de date cu organele comunitare, cel puțin în măsura în care datele sunt trimise de aceste organe către Europol. Exemple importante de organe comunitare sunt organele menționate la articolul 22 alineatul (1) din propunere.

42.

Ne putem aștepta ca aceste organe să fie solicitate să trimită date cu caracter personal către Europol în mod regulat. Procedând astfel, instituțiile și organele comunitare vor face obiectul tuturor obligațiilor menționate în Regulamentul (CE) nr. 45/2001, în special în privința legalității prelucrării (articolul 5 al regulamentului), verificării prealabile (articolul 27) și consultării cu AEPD (articolul 28). Acestea vor ridica întrebări în privința aplicabilității articolelor 7, 8 și 9 din Regulamentul (CE) nr. 45/2001. Europol, nefiind „instituție sau organ comunitar” și nefăcând obiectul Directivei 95/46/CE, poate foarte ușor intra sub incidența articolului 9. În acest caz, măsura în care protecția oferită de Europol este adecvată ar trebui evaluată conform articolului 9 alineatul (2) din Regulamentul (CE) nr. 45/2001 în același fel ca aceea a altor organizații internaționale sau țări terțe. Această soluție ar crea nesiguranță și ar fi mai mult neconformă cu ideea de bază din propunere, de a face ca poziția Europol să fie mai compatibilă cu instituțiile și organele aflate sub Tratatul CE. O soluție mai bună ar fi tratarea Europol-ului ca un organ comunitar, atât timp cât prelucrează date provenite de la organe comunitare. AEPD recomandă adăugarea unui alineat articolului 22 cu următorul conținut: „În cazul în care datele personale sunt transmise de instituții sau organe comunitare, Europol este considerat ca un organ comunitar, în sensul articolului 7 din Regulamentul (CE) nr. 45/2001”.

43.

O atenție specială trebuie acordată schimbului de date cu caracter personal cu Oficiul European Antifraudă (OLAF). În prezent, schimbul de informații între Europol și OLAF se efectuează în baza unui acord administrativ între cele două organe. Acest acord prevede schimbul de informații strategice și tehnice, dar exclude schimbul de date cu caracter personal.

44.

Propunerea de decizie a Consiliului este de natură diferită. Articolul 22 alineatul (3) prevede schimbul de informații, inclusiv datele cu caracter personal, în același mod în care datele sunt schimbate între OLAF și autoritățile statelor membre (17). Scopul acestui schimb este de a limita frauda, corupția activă și pasivă și spălarea banilor. Atât OLAF cât și Europol iau în considerare, în fiecare caz specific, cerințele privind caracterul secret al investigațiilor și protecția datelor. Pentru OLAF aceasta înseamnă, în orice caz, asigurarea unui nivel de protecție astfel cum este stabilit în Regulamentul (CE) nr. 45/2001.

45.

Mai mult, articolul 48 din propunere stabilește că Regulamentul (CE) nr. 1073/1999 (18) se aplică Europol-ului. OLAF are competența de a efectua anchete administrative în cadrul Europol și prin urmare are dreptul de acces imediat și neanunțat la orice informație deținută de Europol (19). Conform AEPD, domeniul de aplicare al acestei dispoziții nu este clar:

46.

Cu toate acestea, dispoziția nu se referă și nici nu ar trebui să facă referire la investigații sau neregularități în afara Europol, asupra cărora datele prelucrate de Europol ar putea aduce anumite clarificări. Dispozițiile privind schimbul de informații, inclusiv datele cu caracter personal, ale articolului 22 alineatul (3) ar putea fi suficiente pentru aceste cazuri. AEPD recomandă clarificarea domeniului de aplicare al articolului 48 al propunerii în acest sens.

47.

Personalul Europol va intra în domeniul de aplicare al Statutului funcționarilor. În cazul prelucrării de date referitoare la personalul Europol, se aplică atât regulile de fond cât și cele de supraveghere din Regulamentul (CE) nr. 45/2001, din motive de coerență și de nediscriminare. Al 12-lea considerent al propunerii menționează aplicabilitatea regulamentului privind prelucrarea de date cu caracter personal, în special în privința datelor cu caracter personal referitoare la personalul Europol. Conform AEPD, nu este suficient să se clarifice această noțiune în considerente. Considerentele unui act comunitar nu sunt de natură obligatorie și nu conțin dispoziții normative (20). Pentru a asigura în totalitate aplicarea Regulamentului (CE) nr. 45/2001, ar trebui adăugat un alineat în textul deciziei — de exemplu în articolul 38 — care să prevadă că Regulamentul (CE) nr. 45/2001 se aplică prelucrării de date cu caracter personal privind personalul Europol.

48.

Propunerea nu are ca scop o schimbare fundamentală în sistemul de supraveghere asupra Europol cu un rol central pentru un organism comun de supraveghere. În baza cadrului juridic propus, organismul de supraveghere va fi înființat în conformitate cu articolul 33 din propunere. Cu toate acestea, unele schimbări în statutul și activitățile Europol vor conduce la o implicare limitată a AEPD, cu excepția sarcinilor sale legate de personalul Europol. Din acest motiv, articolul 33 alineatul (6) din propunere stabilește faptul că organismul comun de supraveghere trebuie să coopereze cu AEPD, precum și cu alte autorități de supraveghere. Această dispoziție oglindește obligația AEPD de a coopera cu organismul comun de supraveghere în baza articolului 46 litera (f) liniuța (ii) din Regulamentul (CE) nr. 45/2001. AEPD apreciază în mod deosebit această dispoziție, ca fiind un instrument util în promovarea unei abordări coerente privind datele supravegheate în întreaga UE, indiferent de pilon.

49.

După cum s-a menționat mai sus, prezenta propunere nu prevede nicio schimbare fundamentală în sistemul de supraveghere. Cu toate acestea, având în vedere contextul mai larg al propunerii ar putea fi necesară o reflecție mai aprofundată asupra sistemului viitor de supraveghere a Europol. Pot fi menționate două evoluții specifice. În primul rând, articolele 44-47 din Regulamentul (CE) nr. 1987/2006 (21) prevăd o nouă structură de supraveghere asupra SIS II. În al doilea rând, în baza Deciziei-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală, președinția germană a anunțat că are în vedere o nouă structură pentru supravegherea sistemelor de informații europene aflate sub al treilea pilon, inclusiv Europol.

50.

Conform AEPD, acest aviz nu reprezintă ocazia potrivită pentru a discuta schimbări fundamentale în sistemul de supraveghere. Sistemul de supraveghere asupra SIS II, ca sistem de rețea, este cuprins în pilonul I și nu ar fi adecvat pentru Europol în calitate de organ aflat sub pilonul III, cea ce atrage după sine competențe limitate ale instituțiilor comunitare, în special ale Comisiei și ale Curții de Justiție. În lipsa garanțiilor în cadrul pilonului III, un sistem de supraveghere special este totuși necesar. De exemplu, articolul 31 se referă la recursurile persoanelor fizice. Mai mult, ideile privind o nouă structură pentru supravegherea sistemelor de informații europene, astfel cum a anunțat președinția germană, sunt încă într-un stadiu timpuriu. În cele din urmă, prezentul sistem funcționează bine.

51.

Prin urmare, AEPD își va axa observațiile asupra rolului său în legătură cu schimbul de date cu caracter personal între Europol și alte organe la nivelul Uniunii Europene. Dispozițiile privind acest schimb sunt un element nou și important al propunerii. Articolul 22 alineatul (1) menționează Agenția Europeană pentru Managementul Cooperării Operaționale la Frontierele Externe ale statelor membre din Uniunea Europeană (Frontex), Banca Centrală Europeană, OEDT (22), respectiv OLAF. Toate aceste organe intră în domeniul de aplicare al supravegherii de către AEPD. Articolul 22 alineatul (2) stabilește că Europol poate încheia acorduri de lucru cu aceste organe, care pot include schimbul de date cu caracter personal. În privința OLAF, acest schimb poate avea loc chiar și fără acorduri de lucru [articolul 22 alineatul (3)]. De asemenea, articolul 48 al propunerii — dezbătut la punctele 45 și 46 — este relevant în acest sens.

52.

Ar trebui asigurat faptul că AEPD își poate exercita competențele care i-au fost conferite în baza Regulamentului (CE) nr. 45/2001, în legătură cu datele comunicate de către organele comunitare. Acest lucru este foarte important în cazurile de transfer de date cu caracter personal în care Europol este considerat drept organ comunitar, în sensul articolului 7 din Regulamentul (CE) nr. 45/2001, astfel cum s-a propus în prealabil. Aceasta face chiar mai importantă cooperarea strânsă cu organismul comun de supraveghere în baza articolului 33.

53.

AEPD are două recomandări suplimentare de făcut, în legătură cu drepturile persoanelor vizate privind datele acestora:

54.

În baza argumentelor de mai sus, AEPD ar trebui să coopereze strâns cu organismul comun de supraveghere, cel puțin odată ce măsurile privind schimbul de date cu organele comunitare sunt puse în aplicare. Acesta este unul dintre domeniile principale în care obligațiile reciproce de a coopera vor deveni efective.

55.

Articolul 10 alineatul (3) prevede existența unei decizii a Consiliului care determină condițiile de creare a anumitor sisteme pentru prelucrarea datelor cu caracter personal de către Europol. AEPD recomandă adăugarea obligației de consultare a AEPD și a organismului comun de supraveghere înaintea adoptării unei asemenea decizii.

56.

Articolul 22 tratează relațiile dintre Europol și alte organe și agenții ale Comunității sau Uniunii. Relațiile cooperative menționate în acest articol pot fi puse în aplicare prin intermediul aranjamentelor de lucru și se pot referi la schimbul de date cu caracter personal. Din acest motiv, AEPD și organismul comun de supraveghere ar trebui să fie consultate în privința adoptării unor măsuri în baza articolului 22, în măsura în care aceste măsuri sunt relevante pentru protecția datelor cu caracter personal prelucrate de către instituțiile și organele comunitare. AEPD recomandă modificarea adecvată a textului propunerii.

57.

Articolul 25 alineatul (2) menționează că sunt stabilite normele de aplicare pentru schimburile cu alte organe și agenții ale Comunității sau Uniunii. AEPD recomandă ca nu numai organismul comun de supraveghere, ci și AEPD să fie consultată înaintea adoptării unor asemenea norme, conform practicii din dreptul comunitar conform căreia, în baza articolului 28 alineatul (1) din Regulamentul (CE) nr. 45/2001, organele comunitare consultă AEPD.

58.

AEPD apreciază în mod deosebit articolul 27, care conține o dispoziție privind Responsabilul pentru Protecția Datelor (RPD) care va avea sarcina, inter alia, de a asigura, într-o manieră independentă, legalitatea și conformarea cu dispozițiile privind prelucrarea datelor cu caracter personal. Această funcție a fost introdusă cu succes la nivel comunitar prin Regulamentul (CE) nr. 45/2001, în interiorul instituțiilor și organelor comunitare. În cadrul Europol, funcția RPD este de asemenea exercitată, dar, până în prezent, fără o bază juridică adecvată.

59.

Pentru succesul funcționării RPD, este esențial ca independența acestuia să fie garantată în mod efectiv prin lege. Din acest motiv, articolul 24 din Regulamentul (CE) nr. 45/2001 conține câteva dispoziții care garantează acest obiectiv. RPD este numit pentru o anumită perioadă și nu poate fi demis decât în circumstanțe absolut deosebite. I se asigură personalul și bugetul necesar. RPD nu primește instrucțiuni în exercitarea sarcinilor sale.

60.

Din nefericire, aceste dispoziții nu sunt incluse în propunerea prezentă, cu excepția dispozițiilor privind primirea instrucțiunilor. Astfel, AEPD recomandă cu insistență includerea garanțiilor privind independența RPD, cum ar fi garanții speciale pentru numirea și demiterea RPD, respectiv independența sa față de Consiliul de Administrație. Aceste dispoziții sunt necesare pentru a asigura independența RPD. Mai mult, aceste dispoziții vor alinia poziția RPD al Europol cu poziția RPD al instituțiilor comunitare. În final, AEPD subliniază că articolul 27 alineatul (5) din propunere, care recomandă Consiliului de Administrație să adopte normele de punere în aplicare privind anumite aspecte ale funcționării RPD, nu reprezintă, prin natura sa, o garanție pentru independența RPD. Trebuie reținut faptul că necesitatea cea mai importantă este independența față de administrația Europol.

61.

Mai există un motiv pentru armonizarea dispozițiilor privind RPD din decizia Consiliului cu articolul 24 din Regulamentul (CE) nr. 45/2001. Acest regulament se aplică în legătură cu datele cu caracter personal ale personalului Europol (a se vedea punctul 47), ceea ce înseamnă că din acest punct de vedere RPD va intra sub incidența regulamentului. În orice caz, RPD ar trebui numit în conformitate cu cerințele regulamentului.

62.

Mai mult, AEPD recomandă aplicarea în cazul Europol a sistemului de control prealabil, astfel cum prevede articolul 27 din Regulamentul nr. 45/2001 pentru organele comunitare. Sistemul controlului prealabil s-a dovedit a fi un instrument eficient și joacă un rol esențial în protecția datelor în cadrul instituțiilor și organelor comunitare.

63.

În sfârșit, ar putea fi folositor pentru RPD al Europol să participe într-o rețea RPD existentă în cadrul primului pilon, chiar și în afara activităților RPD în privința personalului Europol. Aceasta ar asigura în continuare o abordare privind problematica protecției datelor comună organelor comunitare și ar fi în conformitate deplină cu obiectivele formulate în considerentul al 16-lea al propunerii, și anume cooperarea cu organele și agențiile europene, asigurând un nivel adecvat de protecție a datelor în conformitate cu Regulamentul (CE) nr. 45/2001. AEPD recomandă adăugarea unei teze la considerentele propunerilor în care este stabilit obiectivul acestei abordări comune. Această teză poate avea următorul conținut: „În îndeplinirea sarcinilor sale, Responsabilul pentru Protecția Datelor va coopera cu Responsabilii pentru Protecția Datelor numiți în baza legislației comunitare”.

64.

AEPD înțelege necesitatea unei baze juridice noi și mai flexibile pentru Europol, dar acordă o atenție deosebită schimbărilor de fond, legislației aplicabile privind protecția datelor și similitudinilor crescânde dintre Europol și organele comunitare.

65.

În privința schimbărilor de fond, AEPD recomandă:

66.

Prezenta Decizie a Consiliului nu ar trebui adoptată înaintea adoptării de către Consiliu a unui cadru privind protecția datelor, care garantează un nivel adecvat de protecție a datelor, în conformitate cu concluziile AEPD din cele două avize ale sale privind propunerea Comisiei de decizie-cadru a Consiliului. Datele bazate pe opinii trebuie să fie diferențiate de datele bazate pe fapte. O distincție ar trebui făcută între datele pe categorii de persoane, bazată pe implicarea lor posibilă într-o infracțiune.

67.

AEPD recomandă adăugarea unui alineat la articolul 22, după cum urmează: „În cazul în care datele cu caracter personal sunt transmise de către instituții sau organe comunitare, Europol este considerat drept organ comunitar, în sensul articolului 7 din Regulamentul (CE) nr. 45/2001”.

68.

Articolul 48 din propunere privind investigațiile OLAF, nu ar trebui să includă investigațiile asupra neregularităților din afara Europol-ului, asupra cărora datele prelucrate de Europol pot aduce clarificări suplimentare. AEPD recomandă clarificarea domeniului de aplicare al articolului 48 din propunere.

69.

Pentru a asigura pe deplin aplicarea Regulamentului (CE) nr. 45/2001, ar trebui adăugat un alineat la textul deciziei, care prevede că Regulamentul (CE) nr. 45/2001 se aplică la prelucrarea de date cu caracter personal privind personalul Europol.

70.

Domeniul de aplicare al celor două dispoziții privind drepturile persoanelor vizate [articolul 30 alineatul (2) și articolul 32 alineatul (2)] ar trebui extins la datele comunicate de un organ comunitar supravegheat de AEPD, pentru a asigura că Europol și acest organ comunitar reacționează similar.

71.

Articolele 10 alineatul (3), 22 și 25 alineatul (2) ar trebui să conțină dispoziții (mai precise) privind consultarea autorităților însărcinate cu protecția datelor.

72.

AEPD recomandă în mod insistent includerea garanțiilor privind independența RPD, cum ar fi garanțiile speciale pentru numirea și demiterea RPD și independența sa față de Consiliul de Administrație, în conformitate cu Regulamentul (CE) nr. 45/2001.