23.6.2007   

RO

Jurnalul Oficial al Uniunii Europene

C 139/1

1.

La 19 decembrie 2005 și 29 noiembrie 2006, AEPD a emis două avize (3) cu privire la propunerea Comisiei de decizie-cadru a Consiliului privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală. În aceste avize, AEPD a subliniat importanța propunerii ca instrument eficient pentru protecția datelor cu caracter personal în domeniul reglementat de titlul VI din Tratatul UE. În special în al doilea aviz, AEPD și-a exprimat îngrijorarea că, în urma negocierilor purtate, nivelul de protecție a datelor cu caracter personal nu va fi doar inferior standardelor stabilite în Directiva 95/46/CE, ci și incompatibil cu principiile formulate în mod mai general în Convenția Consiliului Europei nr. 108 (4).

2.

În ianuarie 2007, președinția germană a stabilit o serie de puncte esențiale pentru revizuirea propunerii, în vederea eliminării rezervelor importante și a îmbunătățirii protecției datelor în cadrul pilonului al treilea (5). Proiectul revizuit de propunere (6) a fost prezentat Parlamentului European pentru a doua consultare la 13 aprilie 2007.

3.

Modificările esențiale cuprinse în propunerea revizuită, precum și importanța acesteia impun adoptarea unui nou aviz din partea AEPD. Avizul se va concentra asupra principalelor preocupări ale AEPD și nu va relua toate punctele tratate în avizele precedente, acestea rămânând valabile pentru prezenta propunere revizuită.

4.

AEPD salută faptul că președinția germană depune eforturi susținute în negocierile privind prezenta decizie-cadru a Consiliului. Este bine cunoscut că negocierile au fost blocate la nivelul Consiliului, din cauza unor diferențe fundamentale de opinie între statele membre asupra unor aspecte esențiale. Astfel, a fost o decizie înțeleaptă din partea președinției să dea acestor negocieri un nou impuls prezentând un text refăcut.

5.

Faptul că președinția germană a dat un nou impuls negocierilor este în sine un lucru pozitiv. Cu toate acestea, în urma unei examinări aprofundate a ultimului text, AEPD nu este mulțumită de conținutul acestuia. Textul prezentat de președinția germană nu atinge nivelul așteptărilor. Acest fapt se datorează următoarelor motive:

6.

AEPD cunoaște foarte bine dificultățile întâmpinate pentru atingerea unanimității în cadrul Consiliului. Cu toate acestea, procedura decizională nu poate justifica o abordare de tipul celui mai mic numitor comun, care ar afecta drepturile fundamentale ale cetățenilor UE și ar reduce eficiența aplicării legii. În acest context, ar fi de dorit să se țină seama în totalitate de expertiza în materie de protecția datelor și să se integreze în mod corespunzător recomandările făcute de Parlamentul European în rezoluțiile sale (9).

7.

O decizie-cadru privind protecția datelor cu caracter personal din cadrul pilonului al treilea este un element esențial pentru realizarea spațiului de libertate, securitate și justiție. Importanța crescândă a cooperării polițienești și judiciare în materie penală și acțiunile care decurg din Programul de la Haga (10) au evidențiat necesitatea unor standarde comune pentru protecția datelor cu caracter personal din cadrul pilonului al treilea.

8.

Din nefericire, în conformitate cu afirmațiile repetate ale AEPD și ale altor actori relevanți (11), instrumentele existente la nivel european nu sunt suficiente. Convenția Consiliului Europei nr. 108, care este obligatorie pentru statele membre, stabilește principiile generale fundamentale privind protecția datelor, însă, deși trebuie interpretată în temeiul jurisprudenței CEDO, aceasta nu prevede gradul de precizie necesar, în conformitate cu declarațiile AEPD formulate anterior în mai multe rânduri (12). Directiva 95/46/CE, în care s-au integrat și menționat principiile Convenției 108 în ceea ce privește piața internă, a fost deja adoptată în 1995. Directiva în cauză nu se aplică activităților care intră sub incidența celui de-al treilea pilon. Pentru activitățile din cadrul domeniului de aplicare a cooperării polițienești și judiciare, toate statele membre au subscris la Recomandarea nr. R (87) 15 (13), care menționează Convenția 108 într-o anumită măsură pentru sectorul polițienesc, însă aceasta nu reprezintă un instrument juridic obligatoriu.

9.

În acest context, articolul 30 alineatul (1) litera (b) din Tratatul UE impune ca acțiunile comune din domeniul cooperării polițienești care implică prelucrarea informațiilor de către autoritățile de aplicare a legii să se supună „unor dispoziții corespunzătoare privind protecția datelor cu caracter personal”. Aceste dispoziții corespunzătoare nu există, în absența unei decizii-cadru a Consiliului cu un conținut satisfăcător.

10.

Se poate face cu ușurință o paralelă cu dezvoltarea pieței interne, unde s-a considerat că un înalt nivel de protecție a datelor cu caracter personal în întreaga Comunitate este un element esențial pentru eliminarea obstacolelor în calea liberei circulații a bunurilor, serviciilor, capitalurilor și persoanelor, ceea ce a determinat adoptarea Directivei 95/46/CE. Prin analogie, un spațiu caracterizat prin libertate, securitate și justiție, în care informațiile ar trebui să circule liber între autoritățile de aplicare a legii atât la nivel național, cât și la nivel european necesită un nivel înalt și uniform de protecție a datelor cu caracter personal în toate statele membre.

11.

Aceste considerații sunt în contrast cu situația actuală, în care nu există un astfel de cadru general, iar dispozițiile privind protecția datelor cu caracter personal din cel de-al treilea pilon sunt „specifice fiecărui sector” și dispersate în diferite instrumente juridice (14). Unele propuneri recente (15) confirmă și sporesc fragmentarea deja existentă a dispozițiilor privind protecția datelor în acest domeniu și periclitează coerența acestor dispoziții. Mai mult, absența unui cadru general afectează adoptarea rapidă a multor propuneri în domeniul cooperării polițienești și judiciare.

12.

Din aceste motive, AEPD a susținut cu tărie propunerea Comisiei în avizele sale precedente și a prezentat recomandări corespunzătoare în vederea îmbunătățirii propunerii astfel încât să se asigure un nivel adecvat de protecție a cetățenilor. AEPD a afirmat în mod constant că un cadru general pentru protecția datelor în cadrul pilonului al treilea trebuie să asigure un standard înalt și coerent de protecție a datelor, având la bază principiile privind protecția datelor stabilite prin Convenția 108 și Directiva 95/46/CE și în același timp ținând seama, dacă este necesar, de specificitățile activităților de aplicare a legii.

13.

Concordanța acestui cadru general cu principiile protecției datelor din cadrul primului pilon este cu atât mai importantă într-un context în care implicarea tot mai intensă a sectorului privat în aplicarea legii determină ca datele cu caracter personal să fie transferate de la primul pilon la pilonul al treilea (ca în cazul PNR) sau de la pilonul al treilea la primul pilon. Se pot găsi ușor exemple relevante: utilizarea listelor „no fly” care cuprind persoanele cărora nu ar trebui să li se permită accesul în aeronave și care sunt întocmite în vederea aplicării legii de către companiile aeriene în scopuri caracteristice primului pilon (scopuri comerciale și securitatea zborului), precum și propunerea privind accesul autorităților de aplicare a legii la baza de date SIV, stabilită ca un instrument al unei politici comune a vizelor (16). Prin urmare, AEPD subliniază că principiile privind protecția datelor din cadrul primului pilon trebuie, de asemenea, să se aplice pilonului al treilea. Cu toate acestea, specificitățile activităților de aplicare a legii ar putea face necesare unele dispoziții suplimentare sau excepționale (17).

14.

Garanții adecvate, coerente și cu o aplicabilitate largă pentru protecția datelor în cadrul pilonului al treilea sunt esențiale nu numai pentru a asigura dreptul fundamental de protecție a datelor al persoanelor fizice, ci și pentru a favoriza eficiența în cadrul cooperării în materie de aplicare a legii în spațiul de libertate, securitate și justiție.

15.

Pe acest fond, prezentul aviz evaluează în ce măsură actuala propunere revizuită stabilește dispozițiile corespunzătoare privind protecția datelor cu caracter personal, în temeiul articolului 30 alineatul (1) litera (b) din Tratatul UE. În acest sens, AEPD va face trimitere la câteva dintre recomandările făcute în avizele precedente. De asemenea, prezentul aviz va evalua dacă propunerea revizuită respectă obligațiile internaționale ale statelor membre care decurg din Convenția Consiliului Europei nr. 108 și jurisprudența CEDO, precum și principiile stabilite în Recomandarea nr. R (87) 15 privind utilizarea datelor cu caracter personal în sectorul polițienesc. În plus, AEPD va analiza în ce măsură dispozițiile propunerii ar avea un impact asupra eficienței cooperării polițienești și judiciare.

16.

Propunerea conține acum un considerent conform căruia statele membre vor aplica normele instituite prin decizia-cadru pentru prelucrarea datelor la nivel național, astfel încât condițiile de transmitere a datelor să poată fi deja îndeplinite în momentul colectării datelor (considerentul 6a). Considerentul în cauză încearcă să abordeze problemele ridicate nu doar de AEPD în avizele sale precedente, ci și de multe alte părți interesate. Într-adevăr, Parlamentul European, Conferința autorităților pentru protecția datelor și chiar Comitetul consultativ al Consiliului Europei T-PD — format din reprezentanți ai guvernelor europene în materie de protecția datelor — au clarificat, în diferite ocazii, că aplicabilitatea deciziei-cadru în cazul prelucrării datelor cu caracter personal la nivel național este o condiție esențială nu numai pentru a asigura un nivel suficient de protecție a datelor cu caracter personal, ci și pentru a permite o cooperare eficientă între autoritățile de aplicare a legii (18).

17.

Cu toate acestea, considerentul în sine nu poate impune o obligație care nu este prevăzută în mod explicit în dispoziții. Din nefericire, articolul 1 (Obiectiv și domeniu de aplicare) limitează în mod explicit aplicabilitatea propunerii la schimbul de date între statele membre sau organismele UE, garantând „protecția deplină a drepturilor și libertăților fundamentale, în special a vieții private, ale persoanelor vizate, în cazul transmiterii de date cu caracter personal […]”.

18.

Prin urmare, actualul proiect de propunere lasă la totala discreție a statelor membre aplicarea unor principii uniforme privind protecția datelor în cazul prelucrării datelor cu caracter personal la nivel național și nu obligă statele membre să pună în aplicare aceleași standarde comune privind protecția datelor, toate acestea având loc într-un spațiu de cooperare polițienească și judiciară, unde granițele interne trebuie eliminate. Pe acest fundal, AEPD evidențiază din nou că posibilitatea de a exista diferite niveluri de protecție a datelor în diferite state membre în cadrul pilonului al treilea ar fi:

19.

AEPD recomandă în mod ferm organului legislativ să extindă domeniul de aplicare, obligând — nu doar invitând — statele membre să aplice decizia-cadru în cazul prelucrării datelor cu caracter personal la nivel național. În plus, nu există argumente juridice convingătoare care să susțină punctul de vedere conform căruia aplicarea în cazul datelor naționale nu ar fi permisă în temeiul articolului 34 din Tratatul UE.

20.

Principiul limitării scopului este unul dintre principiile fundamentale privind protecția datelor. În special, Convenția 108 prevede că datele personale sunt „stocate în scopuri specificate și legitime și nu sunt utilizate într-un mod incompatibil cu respectivele scopuri” [articolul 5 litera (b)]. Se permit derogări de la acest principiu numai în măsura în care sunt prevăzute prin lege și constituie o măsură necesară într-o societate democratică în vederea, inter alia, „eliminării infracțiunilor” (articolul 9). Jurisprudența Curții Europene a Drepturilor Omului a specificat că aceste derogări trebuie să fie proporționale, precise și previzibile, în temeiul articolului 8 alineatul (2) din Convenția Europeană a Drepturilor Omului (20).

21.

În prezenta propunere, dispozițiile privind limitarea scopului sunt stabilite în articolele 3 și 12. Articolul 3 permite o prelucrare suplimentară pentru scopuri compatibile cu cel în care s-au colectat datele, și astfel este, în această privință, în concordanță cu principiile fundamentale privind protecția datelor.

22.

Cu toate acestea, articolul 3 este prea general și nu reglementează o limitare corespunzătoare a scopurilor pentru stocare, impusă, de asemenea, prin articolul 5 litera (b) din Convenția 108 menționată anterior. Trimiterea generală la scopurile titlului VI din Tratatul UE nu poate reflecta scopuri specificate și legitime. Scopul cooperării polițienești și judiciare nu este, prin natura sa (21), legitim și, cu certitudine, nu este specificat.

23.

Articolul 3 nu conține nicio derogare care ar putea fi posibilă în temeiul articolului 9 din Convenția 108. Cu toate acestea, articolul 12 din propunere stabilește o serie de derogări, foarte generale și definite neclar, de la principiul limitării scopului în contextul datelor cu caracter personal primite de la un alt stat membru sau puse la dispoziție de acesta. În special, articolul nu prevede explicit că derogările sunt necesare. În al doilea rând, nu este clar care sunt „celelalte […] proceduri administrative” pentru care articolul 12 alineatul (1) litera (b) permite prelucrarea datelor cu caracter personal colectate și transmise pentru un scop diferit. În plus, articolul 12 alineatul (1) litera (d) permite prelucrarea în „orice alt scop”, numai cu acordul prealabil al autorității competente care a transmis date cu caracter personal. În acest context, se evidențiază că acordul autorității care a transmis datele nu se poate considera, în nicio circumstanță, că înlocuiește acordul persoanei vizate sau că furnizează temeiuri legale pentru derogarea de la principiul limitării scopului. Astfel, AEPD dorește să sublinieze că această derogare generală și deschisă nu îndeplinește cerințele de bază pentru o protecție adecvată a datelor și chiar contrazice principiile fundamentale ale Convenției 108. Prin urmare, AEPD recomandă organului legislativ să reformuleze dispozițiile relevante.

24.

O ultimă remarcă se referă la articolul 12 alineatul (2), care permite posibilitatea ca deciziile Consiliului din cadrul pilonului al treilea să aibă prioritate asupra alineatului (1), în cazul în care sunt prevăzute condiții corespunzătoare pentru prelucrarea datelor cu caracter personal. AEPD semnalează că formularea alineatului în cauză este foarte generală și nu recunoaște cum se cuvine natura deciziei-cadru a Consiliului ca lex generalis pentru cooperarea polițienească și judiciară. Respectiva lex generalis ar trebui să se aplice tuturor formelor de prelucrare a datelor cu caracter personal din acest domeniu.

25.

AEPD consideră că dispozițiile actuale privind prelucrarea suplimentară a datelor cu caracter personal afectează principiul fundamental al limitării scopului, ba chiar nu corespund standardului în vigoare stabilit prin Convenția 108. Prin urmare, AEPD recomandă organului legislativ să reformuleze dispozițiile relevante, ținând seama de normele privind protecția datelor în vigoare la nivel internațional și de jurisprudența relevantă.

26.

Convenția 108 se referă, de asemenea, la transferuri spre țări terțe. Protocolul suplimentar privind autoritățile de supraveghere și circulația transfrontalieră de date stabilește principiul general că — sub rezerva anumitor derogări — transferul datelor cu caracter personal terțelor părți este permis numai în cazul în care terța parte în cauză „asigură un nivel adecvat de protecție a transferului de date preconizat”. Principiul „protecției adecvate” a fost pus în aplicare și menționat în mai multe instrumente juridice ale Uniunii Europene, nu numai în instrumentele din cadrul primului pilon referitoare la protecția datelor, precum Directiva 95/46/CE (22), ci și în instrumente juridice din cadrul pilonului al treilea, precum instrumentele juridice de instituire a Europol și Eurojust.

27.

Considerentul 12 din propunerea actuală prevede că, în cazul transferului de date cu caracter personal către țări terțe sau organisme internaționale, „datele respective ar trebui să beneficieze, în principiu, de un nivel adecvat de protecție”. În plus, articolul 14 permite ca datele cu caracter personal transmise dintr-un alt stat membru să fie transferate unor țări terțe sau organisme internaționale numai în cazul în care autoritatea competentă care a transmis datele și-a dat acordul asupra transferului, în conformitate cu dreptul intern propriu. Astfel, dispozițiile propunerii nu stabilesc necesitatea unui nivel adecvat de protecție și nici nu prevăd criterii sau mecanisme comune de evaluare a adecvării. Aceasta înseamnă că fiecare stat membru va evalua la propria discreție nivelul de adecvare oferit de țara terță sau de organismul internațional. În consecință, lista țărilor și a organismelor internaționale adecvate — spre care se permite transferul — va varia considerabil de la un stat membru la altul.

28.

Acest cadru juridic ar împiedica, de asemenea, cooperarea polițienească și judiciară. Într-adevăr, autoritățile de aplicare a legii dintr-un stat membru, în momentul în care vor decide asupra unui anumit dosar la cererea unei țări terțe, nu vor trebui doar să ia în considerare măsura în care țara respectivă este adecvată, ci și să aibă în vedere dacă fiecare dintre celelalte (până la 26) state membre care au contribuit la dosar și-a dat acordul, în conformitate cu propria evaluare a adecvării țării terțe relevante.

29.

În acest context, articolul 27 din propunere, privind relațiile cu acordurile încheiate cu state terțe, sporește incertitudinea, precizând că decizia-cadru nu aduce atingere obligațiilor și angajamentelor care le revin statelor membre sau Uniunii Europene în temeiul unor acorduri bilaterale și/sau multilaterale cu state terțe. În conformitate cu AEPD, această dispoziție ar trebui să se limiteze în mod clar la acordurile existente și să prevadă că viitoarele acorduri vor respecta dispozițiile propunerii în cauză.

30.

AEPD consideră că dispozițiile actuale privind transferurile de date cu caracter personal către țări terțe și organisme internaționale nu ar fi adecvate pentru a proteja datele cu caracter personal și ar fi impracticabile pentru autoritățile de aplicare a legii. Astfel, AEPD reiterează (23) necesitatea de a asigura un nivel adecvat de protecție în ceea ce privește transferul de date cu caracter personal către țări terțe și organisme internaționale și de a se institui mecanisme pe baza cărora să se adopte standarde comune și decizii coordonate în ceea ce privește adecvarea. Parlamentul European și Comitetul T-PD al Consiliului Europei au exprimat anterior aceeași opinie.

31.

Articolul 5 din Convenția 108 stabilește principiile pentru asigurarea calității datelor cu caracter personal. Detalii suplimentare sunt furnizate în alte instrumente fără caracter obligatoriu precum Recomandarea nr. R (87) 15 și în cele trei evaluări ale acesteia efectuate până în prezent.

32.

În momentul în care se compară actuala propunere cu instrumentele juridice menționate anterior, este clar că unele garanții importante, în anumite cazuri deja prevăzute de propunerea Comisiei, lipsesc din versiunea revizuită:

33.

Pe acest fond, AEPD consideră că dispozițiile privind calitatea datelor din propunerea actuală nu sunt nici corespunzătoare, nici complete — în special, ținând seama de Recomandarea nr. R (87) 15 la care au subscris toate statele membre — și nici nu ating nivelul de protecție impus prin Convenția 108. De asemenea, este util să se reamintească încă o dată că acuratețea datelor cu caracter personal este atât în interesul aplicării legii, cât și în interesul individului (27).

34.

În conformitate cu principiul 5 (Comunicarea datelor) din Recomandarea nr. R (87) 15, ar trebui să se permită comunicarea unor date cu caracter personal de către autoritățile de aplicare a legii altor organisme publice sau părți private numai în condiții specifice și stricte. Asemenea dispoziții, prevăzute în propunerea inițială a Comisiei și întâmpinate pozitiv de AEPD și de Parlamentul European, au fost eliminate din versiunea revizuită. Prin urmare, noul text nu prevede garanții specifice pentru transferurile de date cu caracter personal către părți private sau autorități fără competență în aplicarea legii.

35.

Mai mult, se permite accesul autorităților de aplicare a legii la datele cu caracter personal controlate de părți private și utilizarea ulterioară a acestor date de către autoritățile în cauză numai pe baza unor condiții și restricții bine definite. În special, astfel cum AEPD a menționat deja în avizele sale precedente, accesul autorităților de aplicare a legii se permite doar de la caz la caz, în împrejurări specificate, în scopuri determinate și se află sub control judiciar în statele membre. Evoluțiile recente, precum Directiva 2006/24/CE privind stocarea datelor (28), acordul privind datele PNR cu Statele Unite (29) și accesul autorităților de aplicare a legii la datele deținute de SWIFT (30) confirmă importanța fundamentală a acestor garanții. Este regretabil că propunerea actuală nu oferă garanții specifice privind accesul autorităților de aplicare a legii la datele cu caracter personal colectate de părți private și utilizarea lor ulterioară de către autoritățile în cauză.

36.

Pe acest fond, AEPD semnalează că, în ceea ce privește schimburile de date cu caracter personal cu părți private și autorități necompetente, propunerea actuală nu este conformă cu principiile Recomandării nr. R (87) 15 și nu abordează problema fundamentală a accesului autorităților de aplicare a legii la datele cu caracter personal controlate de părți private și utilizarea lor ulterioară de către autoritățile în cauză.

37.

În afară de preocupările principale menționate anterior, AEPD dorește să atragă atenția organului legislativ asupra următoarelor puncte, care, în majoritatea cazurilor, au fost deja abordate mai detaliat în avizele sale precedente:

38.

Propunerea revizuită cuprinde un element complet nou în comparație cu propunerea Comisiei. Aceasta reglementează unele activități ale instituțiilor și organismelor europene din cadrul pilonului al treilea [articolul 1 alineatul (2) din propunere]. Conform considerentului 20, propunerea în cauză include prelucrarea datelor de către Europol, Eurojust și Sistemul informațional vamal din cadrul pilonului al treilea. Articolul 1 alineatul (2) nu menționează numai organisme europene, ci și instituții, ceea ce înseamnă că, de exemplu, prelucrarea datelor în cadrul Consiliului ar trebui să facă obiectul deciziei-cadru a Consiliului. Nu este clar dacă inițiatorii au intenționat să reglementeze un domeniu de aplicare atât de larg sau dacă au intenționat să limiteze aplicarea la cele trei organisme menționate la considerentul 20. În orice caz, ar trebui ca acest lucru să fie specificat în text, pentru a se evita incertitudinea juridică.

39.

Aceasta duce la o remarcă cu un caracter mai general. În conformitate cu AEPD, este extrem de important să se garanteze un nivel adecvat de protecție a datelor în cadrul pilonului al treilea în ansamblul său, întrucât numai în aceste condiții s-ar facilita suficient schimbul liber de informații într-un spațiu de libertate, securitate și justiție fără granițe interne. Acest lucru include aplicarea cadrului general privind protecția datelor organismelor europene din cadrul pilonului al treilea. AEPD a evidențiat această necesitate anterior în partea IV din avizul său privind propunerea de decizie a Consiliului privind Europol.

40.

Cu toate acestea, din rațiuni de legiferare eficientă, AEPD are îndoieli serioase în privința oportunității reglementării, prin prezenta decizie-cadru a Consiliului, a activităților organismelor europene care funcționează în cadrul pilonului al treilea. Primul argument împotriva acestui domeniu de aplicare extins se referă la politica legislativă. AEPD își exprimă temerea că includerea organismelor europene în prezentul text ar risca să ducă la axarea discuțiilor în Consiliu asupra acestui nou element și nu asupra dispozițiilor esențiale privind protecția datelor. Acest lucru ar complica procesul legislativ. Al doilea argument este de natură juridică. La prima vedere, se pare că o decizie-cadru a Consiliului — un instrument comparabil cu o directivă în temeiul Tratatului CE — nu este un instrument juridic corespunzător pentru reglementarea drepturilor și obligațiilor organismelor europene. Articolul 34 din Tratatul UE introduce acest instrument pentru apropierea actelor cu putere de lege și a normelor administrative ale statelor membre. În orice caz, există un risc ridicat ca baza juridică să fie pusă în discuție în cadrul procesului legislativ sau ulterior.

41.

AEPD are o optică similară, tot în ceea ce privește instrumentul juridic ales, asupra articolului 26 din proiect, care prevede instituirea unei noi autorități comune de supraveghere care înlocuiește autoritățile existente care supraveghează prelucrarea datelor în cadrul organismelor pilonului al treilea. În sine, intenția de a înființa o asemenea autoritate poate părea logică. Ar putea duce la un sistem de supraveghere și mai eficient și ar asigura ulterior coerența nivelului de protecție în cadrul organismelor instituite în cadrul pilonului al treilea.

42.

Cu toate acestea, în acest moment noul organism de supraveghere nu reprezintă o necesitate stringentă. Supravegherea funcționează în mod satisfăcător. Mai mult, președintele Eurojust și-a exprimat unele obiecții împotriva aplicării acestui sistem de supraveghere agenției Eurojust. Fără a pătrunde în esența acestor obiecții, este clar că introducerea aspectului supravegherii organismelor UE în decizia-cadru a Consiliului ar îngreuna și mai mult procesul legislativ. În plus, această abordare nu ar fi în concordanță cu alte propuneri din acest domeniu care se dezbat în prezent (31) sau s-au adoptat recent (32).

43.

Pe scurt, AEPD recomandă ca dispozițiile privind prelucrarea datelor de către organismele UE să nu fie adăugate textului deciziei-cadru a Consiliului. AEPD face această recomandare în scopul unei legiferări eficiente. Este important ca toate eforturile Consiliului să se concentreze asupra dispozițiilor esențiale privind protecția datelor pentru ca cetățeanul să beneficieze de protecția necesară.

44.

AEPD salută noul impuls dat de președinția germană. Este esențial să se adopte un cadru general pentru protecția datelor în pilonul al treilea, în conformitate cu observațiile deja făcute în mai multe rânduri de către AEPD și alți participanți relevanți, pentru a susține dezvoltarea unui spațiu de libertate, securitate și justiție în care dreptul cetățenilor la protecția datelor cu caracter personal este garantat în mod uniform și cooperarea între autoritățile de aplicare a legii poate avea loc indiferent de frontierele naționale.

45.

Cu toate acestea, propunerea revizuită nu îndeplinește niciunul dintre aceste obiective. Într-adevăr, în absența unui înalt nivel de protecție a datelor cu o aplicabilitate largă, propunerea încă supune schimburile de informații diferitelor „reguli de origine” și „standarde duble” naționale care afectează puternic eficacitatea cooperării în domeniul aplicării legii și, în același timp, nu îmbunătățește protecția datelor cu caracter personal.

46.

Pentru a oferi un exemplu concret, acest lucru ar însemna că un organism de aplicare a legii la nivel național sau european, în momentul în care instrumentează un dosar penal — constând din informații care provin de la diferite autorități naționale, autorități ale altor state membre și ale UE — ar trebui să aplice norme de prelucrare diferite pentru diferitele informații, luând în considerare următoarele aspecte: datele cu caracter personal au fost colectate la nivel național sau nu; fiecare dintre organismele care au transmis datele și-a dat acordul pentru scopul preconizat; stocarea îndeplinește termenele fixate prin legile aplicabile ale fiecărui organism care transmite date; restricțiile de prelucrare suplimentară cerute de fiecare organism care transmite date nu interzic prelucrarea; în cazul unei cereri din partea unei țări terțe, fiecare organism care transmite date și-a dat acordul în conformitate cu propria evaluare a adecvării și/sau cu angajamentele internaționale. În plus, protecția și drepturile cetățenilor vor varia enorm și se vor supune unor derogări generale diferite în funcție de statul membru în care are loc prelucrarea.

47.

Mai mult, AEPD regretă calitatea legislativă nesatisfăcătoare a textului și faptul că propunerea conferă dosarului un caracter și mai complex, extinzând aplicabilitatea deciziei-cadru la Europol, Eurojust și Sistemul informațional vamal din cadrul pilonului al treilea, precum și propunând crearea unui organism comun de supraveghere pe baza unui instrument juridic necorespunzător.

48.

AEPD își exprimă îngrijorarea că textul actual elimină dispoziții esențiale pentru protecția datelor cu caracter personal care erau incluse în propunerea Comisiei. În acest mod, se diminuează semnificativ nivelul de protecție a cetățenilor. În primul rând, textul în cauză nu furnizează valoarea adăugată Convenției 108 care ar face ca dispozițiile acesteia să fie adecvate din punctul de vedere al protecției datelor, în conformitate cu articolul 30 alineatul (1) din Tratatul UE. În al doilea rând, textul nu conferă, în multe aspecte, nivelul de protecție impus prin Convenția 108. Astfel, AEPD consideră că prezenta propunere ar avea nevoie de îmbunătățiri substanțiale înainte de a putea reprezenta baza de discuție a unui cadru general adecvat privind protecția datelor în cadrul pilonului al treilea. Aceste îmbunătățiri ar trebui să asigure că acest cadru general:

49.

AEPD cunoaște foarte bine dificultățile întâmpinate pentru atingerea unanimității în cadrul Consiliului. Cu toate acestea, procedura decizională nu poate justifica o abordare de tipul celui mai mic numitor comun care ar afecta drepturile fundamentale ale cetățenilor UE și ar reduce eficiența aplicării legii.