10.2.2012   

RO

Jurnalul Oficial al Uniunii Europene

C 37/1

1.

La 8 aprilie 2011, Comisia a adoptat Regulamentul de punere în aplicare (UE) nr. 404/2011 al Comisiei de stabilire a normelor de aplicare a Regulamentului (CE) nr. 1224/2009 de stabilire a unui sistem comunitar de control pentru asigurarea respectării normelor politicii comune în domeniul pescuitului (denumit în continuare „regulamentul de punere în aplicare”) (3).

2.

AEPD nu a fost consultată în temeiul articolului 28 alineatul (2) din Regulamentul (CE) nr. 45/2001, în pofida faptului că inițiativa legislativă era inclusă în inventarul AEPD al priorităților în materie de consultare legislativă (4). Prin urmare, temeiul prezentului aviz este articolul 41 alineatul (2) din regulament.

3.

Obiectivul Regulamentului (CE) nr. 1224/2009 al Consiliului din 20 noiembrie 2009 de stabilire a unui sistem comunitar de control pentru asigurarea respectării normelor politicii comune în domeniul pescuitului (denumit în continuare „regulamentul privind controlul”) (5) este instituirea unui sistem european de control, inspecție și aplicare, pentru a asigura respectarea tuturor normelor politicii comune în domeniul pescuitului.

4.

Regulamentul privind controlul obliga Comisia să adopte normele detaliate și măsurile necesare pentru punerea în aplicare a unora dintre dispozițiile acestuia. Regulamentul de punere în aplicare stabilește aceste norme detaliate cu privire la următoarele domenii: condiții generale pentru accesul la ape și resurse (titlul II), controlul pescuitului (titlul III), controlul introducerii pe piață (titlul IV), supraveghere (titlul V), inspecție (titlul VI), executare (titlul VII), măsuri de asigurare a conformității cu statele membre (titlul VIII), date și informații (titlul IX) și punere în aplicare (titlul X).

5.

În martie 2009, AEPD a emis un aviz privind regulamentul privind controlul (6). Avizul sublinia că propunerea implică prelucrarea mai multor categorii de date, care în anumite cazuri ar putea fi considerate date cu caracter personal. În mod normal, ar exista o prelucrare de date cu caracter personal în orice situație în care comandantul navei sau armatorul sau orice pescar ori membru al echipajului este sau poate fi identificat. Din acest motiv, AEPD a formulat o serie de recomandări privind unele dintre dispozițiile prevăzute în propunere.

6.

AEPD a subliniat, de asemenea, că mai multe articole din regulamentul propus fac referire la o procedură de comitologie pentru adoptarea normelor de punere în aplicare și că unele dintre aceste norme implică și aspecte legate de protecția datelor (7). Având în vedere impactul acestor norme asupra protecției datelor, AEPD a recomandat, prin urmare, Comisiei să consulte autoritatea înainte de a adopta aceste norme detaliate. Regulamentul de punere în aplicare a fost adoptat la 8 aprilie 2011, însă AEPD nu a fost consultată înainte de adoptare.

7.

AEPD își exprimă regretul că nu i s-a prezentat regulamentul de punere în aplicare în vederea unei consultări prealabile, în conformitate cu recomandarea din avizul din 2009. Totuși, AEPD dorește să atragă atenția Comisiei cu privire la o serie de aspecte din regulamentul de punere în aplicare în cazul cărora există probabilitatea unor motive de îngrijorare din perspectiva protecției datelor. Din acest motiv, AEPD a hotărât să emită prezentul aviz succint. Observațiile AEPD vor viza, în special, următoarele aspecte: 1. monitorizarea activităților navelor de pescuit și protecția datelor; 2. sistemele de monitorizare la distanță a navelor; 3. păstrarea datelor cu caracter personal de către Comisie și autoritățile competente; și 4. aplicabilitatea Regulamentului (CE) nr. 45/2001.

8.

Considerentul 31 prevede că prelucrarea datelor cu caracter personal în temeiul regulamentului de punere în aplicare este reglementată de Directiva 95/46/CE și de Regulamentul (CE) nr. 45/2001 „mai ales în legătură cu cerințele privind confidențialitatea și securitatea prelucrării, transferul de date cu caracter personal din sistemele naționale ale statelor membre către Comisie, legalitatea prelucrării, drepturile persoanelor vizate la informare, la acces și la rectificarea propriilor date cu caracter personal”. AEPD salută trimiterea la legislația în materie de protecția datelor.

9.

Activitățile navelor de pescuit se supun unei monitorizări sistematice și detaliate prin mijloace tehnologice avansate, inclusiv dispozitive de urmărire prin satelit și baze de date informatizate (8). Poziția geografică, ruta și viteza navelor de pescuit sunt monitorizate regulat prin sistemul de monitorizare a navelor (Vessel Monitoring System, VMS) (9) și, după caz, prin sistemul de identificare automată (Automatic Identification System, AIS) (10) sau sistemul de detectare a navelor (Vessel Detection System, VDS) (11). Toate aceste date sunt comparate, analizate și verificate sistematic prin algoritmi și mecanisme informatizate destinate detectării inconsecvențelor sau încălcărilor suspectate. Astfel cum se prevede la articolul 145 alineatul (3) din regulamentul de punere în aplicare, această prelucrare poate recurge, după caz, la activități de extragere de date și creare de profile (12).

10.

În măsura în care aceste date pot fi asociate cu persoane identificate sau identificabile (de exemplu, comandantul navei, armatorul sau membrii echipajului, această monitorizare implică prelucrarea de date cu caracter personal. Prin urmare, este important ca sistemul de control să fie echilibrat și să se instituie și să se pună în aplicare măsuri de protecție adecvate pentru a evita îngrădirea neîntemeiată a drepturilor persoanelor implicate. Aceasta presupune, de exemplu, o delimitare clară a scopurilor pentru care pot fi prelucrate datele relevante, minimizarea datelor (cu caracter personal) care fac obiectul prelucrării și stabilirea unor perioade maxime de păstrare a acestor date. Aceste măsuri sunt importante în special în cazul de față, în care operațiile de prelucrare pot implica date referitoare la infracțiuni comise sau suspectate, care vor fi probabil asociate datelor cu caracter personale ale armatorului și/căpitanului navei.

11.

Având în vedere domeniul de aplicare și sfera activităților de monitorizare, se pare că regulamentul de punere în aplicare nu reușește întotdeauna să păstreze echilibrul între obiectivul de asigurare a conformității și respectarea confidențialității și protecției datelor persoanelor vizate. Întrucât regulamentul de punere în aplicare a fost deja adoptat, AEPD consideră importantă o clarificare ex post din partea Comisiei, în măsura în care este posibil, cu privire la domeniul de aplicare și limitele activităților de prelucrare, precum și prevederea unor măsuri de protecție specifice, după caz. Aceasta se poate realiza, de exemplu, prin adoptarea unor orientări sau norme interne generale sau specifice care urmăresc clarificarea anumitor aspecte ale activităților de prelucrare în ceea ce privește protecția datelor cu caracter personal sau în cadrul verificărilor prealabile cu AEPD, în temeiul articolului 27 din Regulamentul (CE) nr. 45/2001.

12.

Principalele aspecte care, în opinia AEPD, trebuie să fie specificate în mai mare detaliu sunt discutate în continuare.

13.

Unul dintre principiile de bază ale dreptului fundamental la protecția datelor este acela că datele cu caracter personal sunt prelucrate doar în scopuri specificate, explicite și legitime (13). Principiul limitării la scopul specific stabilește o responsabilitate specială pentru operatorii de date, însă prevede și o cerință pentru legislator, solicitând ca dispozițiile legislative să nu fie formulate într-un mod atât de general încât să justifice utilizarea datelor cu caracter personal în scopuri care nu sunt suficient definite. Sunt posibile derogări de la principiul limitării la scopul specific, cu condiția ca acestea să fie necesare și proporționale și ca celelalte cerințe prevăzute la articolul 52 din Carta drepturilor fundamentale a Uniunii Europene să fie respectate.

14.

Astfel cum s-a menționat anterior, regulamentul privind controlul și regulamentul de punere în aplicare prevăd monitorizare sistematică și detaliată a activităților de pescuit prin intermediul VMS, AIS și VDS. În temeiul articolului 12 din regulamentul privind controlul, datele provenite din VMS, AIS și VDS pot fi transmise agențiilor UE și autorităților competente din statul membru angajat în operațiuni de supraveghere în scopul „siguranței și securității maritime, efectuării controalelor la frontieră, protejării mediului marin și asigurării respectării legii în general”. Articolul 27 din regulamentul de punere în aplicare specifică în continuare că statele membre utilizează datele VMS „pentru monitorizarea eficientă a activităților navelor de pescuit” și că acestea „iau măsurile necesare pentru a garanta că datele respective sunt utilizate exclusiv în scopuri oficiale”.

15.

Având în vedere principiul limitării la un scop specific, AEPD consideră că articolul 12 din regulamentul privind controlul și articolul 27 din regulamentul de punere în aplicare sunt formulate într-un mod prea general. Dacă nu sunt interpretate în mod restrictiv, expresiile „respectarea legii în general”, „monitorizarea activităților navelor de pescuit” și „scopuri oficiale” sunt susceptibile să acopere o gamă prea largă de activități de prelucrare, care nu au nici măcar o legătură depărtată cu scopurile prevăzute în regulamentul privind controlul. Această abordare deschisă generează motive de îngrijorare în legătură cu principiul limitării la un scop specific.

16.

Având în vedere considerentele de mai sus, AEPD recomandă Comisiei să furnizeze orientări concrete privind interpretarea articolului 27 din regulamentul de punere în aplicare. În special, Comisia ar trebui să clarifice sensul, și să limiteze domeniul de aplicare al prelucrării datelor VMS, AIS și VDS la „respectarea legii în general” sau alte obiective neasociate politicii comune în domeniul pescuitului.

17.

Un alt principiu fundamental al legislației privind protecția datelor este că datele cu caracter personal ar trebui să fie păstrate într-o formă care să permită identificarea persoanelor care fac obiectul datelor pe o perioadă nu mai lungă decât este necesar pentru scopul în care au fost colectate datele (14). Acest principiu este, de asemenea, asociat în mod direct cu limitarea la scopul specific. Dacă datele cu caracter personal nu mai sunt necesare pentru scopul inițial, păstrarea acestora nu mai este admisibilă, întrucât ar constitui o prelucrare incompatibilă cu scopul inițial.

18.

Regulamentul de punere în aplicare stabilește o perioadă de păstrare minimă de trei ani în legătură cu o serie de date. În ceea ce privește datele VMS, de exemplu, articolul 27 alineatul (2) litera (a) prevede că statele membre se asigură că datele sunt înregistrate în format electronic și stocate în siguranță în baze de date informatizate „pentru o perioadă de cel puțin trei ani”. În mod similar, articolul 92 alineatul (3) prevede ca datele asociate rapoartelor de supraveghere să fie disponibile în baza de date „cel puțin trei ani”. De asemenea, articolul 118 stabilește ca datele din rapoartele de inspecție să fie disponibile în baza de date „cel puțin trei ani”.

19.

În general, AEPD consideră că perioada de stocare ar fi trebuit să fie stabilită mai precis, prin precizarea unei perioade maxime de păstrare (nu doar a unei perioade minime de păstrare). În orice caz, AEPD este de părere că dispozițiile menționate mai sus ar trebui să fie interpretate în conformitate cu articolul 6 alineatul (1) litera (b) din Directiva 95/46/CE și cu articolul 4 alineatul (1) litera (e) din Regulamentul (CE) nr. 45/2001. Aceasta presupune că perioada de păstrare de trei ani ar trebui interpretată în principiu ca perioadă maximă de păstrare, în afara cazului în care necesitatea păstrării datelor pentru o perioadă mai lungă poate fi demonstrată în mod corespunzător pe baza unor dovezi convingătoare.

20.

Articolul 164 din regulamentul de punere în aplicare reglementează schimburile de informații cu țările terțe. Articolul 164 alineatul (2), în special, vizează schimburile de informații de la stat membru către o țară terță sau o organizație regională de gestionare a pescuitului în cadrul unui acord bilateral încheiat cu acea țară sau în conformitate cu normele respectivei organizații. Articolul 164 alineatul (3) vizează schimburile de informații referitoare la nerespectarea normelor politicii comune în domeniul pescuitului, de la Comisie sau organismul desemnat de aceasta, în cadrul acordurilor în domeniul pescuitului încheiate între Uniune și țările terțe sau în cadrul organizației regionale de gestionare a pescuitului sau al unor acorduri similare.

21.

Deși articolul 164 alineatul (2) specifică faptul că schimbul de informații de la statele membre către țările trebuie să se efectueze „în conformitate cu legislația UE și cu legislația națională privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal”, alineatul (3) nu conține o trimitere similară cu privire la schimbul de informații care provin de la Comisie. În temeiul alineatului (3), schimbul de informații face doar obiectul acordului statului membru care a furnizat informațiile.

22.

În acest sens, AEPD subliniază că datele cu caracter personal nu pot fi comunicate de către Comisie sau alte instituții sau organisme europene către țări terțe în temeiul articolului 164 decât în cazul în care sunt respectate cerințele prevăzute în Regulamentul (CE) nr. 45/2001, în special articolul 9.

23.

Regulamentul privind controlul și regulamentul de punere în aplicare pot implica prelucrarea de date cu caracter personal de către Comisie sau alte organisme comunitare, ceea ce determină aplicabilitatea Regulamentului (CE) nr. 45/2001 în cazul operațiunilor de prelucrare. În măsura în care există probabilitatea ca aceste operațiuni să prezinte riscuri specifice cu privire la drepturile și libertățile persoanelor vizate, acestea fac obiectul unei verificări prealabile a AEPD în temeiul articolului 27 din Regulamentul (CE) nr. 45/2001.

24.

În special, se pare că operațiunile de prelucrare desfășurate în temeiul regulamentului de control și al regulamentului de punere în aplicare pot implica prelucrarea de date în legătură cu infracțiunile comise sau suspectate în cazul unei nave. Există probabilitatea ca aceste date să fie asociate datelor cu caracter personal ale armatorului sau căpitanului navei (sau ale unui membru al echipajului) în legătură cu încălcări ale normelor aplicabile.

25.

În consecință, AEPD invită Comisia (și alte organisme europene vizate) să ia în considerare necesitatea unei verificări prealabile a operațiunilor de prelucrare desfășurate în temeiul regulamentului de control și al regulamentului de punere în aplicare și să prezinte notificările necesare în urma acestei evaluări (15).

26.

AEPD își exprimă regretul că nu i s-a notificat textul regulamentului de punere în aplicare, în vederea consultării legislative în temeiul articolului 28 alineatul (2) din Regulamentul (CE) nr. 45/2001, astfel cum s-a recomandat în avizul din 2009. Deși salută trimiterea la legislația aplicabilă în materie de protecția datelor de la considerentul 31 din regulamentul de punere în aplicare, AEPD consideră că anumite dispoziții specifice regulamentului menționat sunt susceptibile să provoace îngrijorare în ceea ce privește protecția datelor.

27.

Întrucât regulamentul de punere în aplicare a fost deja adoptat, AEPD recomandă Comisiei să clarifice ex post, în măsura în care este posibil, domeniul de aplicare și limitele activităților de prelucrare și să prevadă măsuri de protecție specifice, după caz. Aceasta se poate realiza prin adoptarea unor orientări sau norme interne generale sau specifice sau în cadrul verificărilor prealabile cu AEPD, în temeiul articolului 27 din Regulamentul (CE) nr. 45/2001.

28.

În special, AEPD recomandă Comisiei și altor organisme UE vizate: