1.5.2008   

SK

Úradný vestník Európskej únie

C 110/1

1.

Komisia predložila návrh rámcového rozhodnutia Rady o využívaní údajov z osobných záznamov o cestujúcich (PNR) na účely vynucovania práva (ďalej len „návrh“) EDPS v súlade s článkom 28 ods. 2 nariadenia (ES) č. 45/2001.

2.

Návrh sa týka spracúvania údajov PNR v rámci EÚ a úzko súvisí s inými systémami zhromažďovania a využívania údajov o cestujúcich, najmä s dohodou medzi EÚ a USA z júla 2007. EDPS sa o tieto systémy veľmi zaujíma a už mal možnosť predložiť predbežné vyjadrenie k dotazníku Komisie o zamýšľanom systéme PNR EÚ, zaslanému v decembri 2006 príslušným zainteresovaným stranám (3). EDPS víta konzultáciu Komisie. Na toto stanovisko by sa mal podľa EDPS uviesť odkaz v preambule uvedeného rozhodnutia Rady.

3.

Zámerom návrhu je harmonizácia ustanovení členských štátov o povinnosti leteckých dopravcov, ktorí prevádzkujú lety na územie aspoň jedného členského štátu, resp. z neho, postupovať údaje PNR príslušným orgánom na účely predchádzania teroristickým trestným činom a organizovanej trestnej činnosti a boja proti nim.

4.

Dojednania o postupovaní údajov PNR na porovnateľné účely boli uzavreté Európskou úniou s USA, ako aj s Kanadou. Prvú dohodu uzavretú s USA v máji 2004 nahradila nová dohoda z júla 2007 (4). Podobná dohoda sa uzavrela s Kanadou v júli 2005 (5). Okrem toho majú medzi EÚ a Austráliou začať rokovania o dohode o výmene údajov PNR a údaje PNR z letov na svoje územie vyžaduje aj Južná Kórea bez toho, aby sa v súčasnosti plánovali rokovania na európskej úrovni.

5.

V rámci EÚ je návrh doplnkom smernice Rady 2004/82/ES (6) o povinnosti dopravcov oznamovať údaje o cestujúcich, označované ako údaje API (Advanced Passenger Information), na účely boja proti nelegálnemu prisťahovalectvu a zlepšenia hraničných kontrol. Členské štáty mali túto smernicu transponovať do vnútroštátneho práva najneskôr 5. septembra 2006. Vykonávanie však zatiaľ nie zabezpečené vo všetkých členských štátoch.

6.

Na rozdiel od údajov API, ktoré majú pomáhať pri identifikácii jednotlivcov, údaje PNR uvedené v návrhu by prispeli k vykonávaniu posudzovania rizika osôb získavaním spravodajských informácií a zisťovaním prepojení medzi známymi a neznámymi osobami.

7.

Návrh obsahuje tieto hlavné prvky:

8.

Návrh, o ktorom sa s EDPS konzultovalo, je ďalším krokom v snahe o rutinné zhromažďovanie údajov o osobách, ktoré v zásade nie sú podozrivé zo žiadneho trestného činu. Ako sa už uviedlo, ide o vývoj na medzinárodnej i európskej úrovni.

9.

EDPS poznamenáva, že k návrhu predložili spoločné stanovisko aj pracovná skupina článku 29 a pracovná skupina pre políciu a spravodlivosť (8). EDPS s uvedeným stanoviskom súhlasí. Toto stanovisko zdôrazňuje a rozvíja ďalšie body.

10.

Hoci sa stanovisko EDPS bude zaoberať všetkými relevantnými aspektmi návrhu, sústredí sa na štyri hlavné otázky.

11.

Ďalšie dôležité body sa uvedú v poslednej časti, a to vrátane kladných krokov, pokiaľ ide o ochranu údajov, ale aj ďalších zdrojov obáv v návrhu.

12.

Na účely analýzy legitímnosti navrhovaných opatrení v súlade so základnými zásadami ochrany údajov, najmä článkom 8 Charty základných práv Európskej únie a článkami 5 až 8 Dohovoru Rady Európy č. 108 (9) je potrebné jasne určiť účel zamýšľaného spracúvania osobných údajov, posúdiť jeho nevyhnutnosť a proporcionalitu. Treba sa uistiť, že na dosiahnutie zamýšľaného cieľa neexistujú žiadne iné prostriedky, ktoré predstavujú menší zásah.

13.

Zo znenia návrhu a hodnotenia jeho vplyvu vyplýva, že cieľom nie je jednoducho identifikovať známych teroristov alebo zločincov zapojených do organizovanej trestnej činnosti porovnaním ich mien s menami na zoznamoch spravovaných orgánmi činnými v trestnom konaní. Účelom je zhromažďovať spravodajské informácie vo vzťahu k terorizmu alebo organizovanej trestnej činnosti, presnejšie „na posúdenie rizika, ktoré môžu predstavovať niektoré osoby, na získanie spravodajských informácií a na zistenie prepojení známych a neznámych osôb“ (10). Cieľom uvedeným v článku 3 ods. 5 návrhu je v súlade s tým v prvom rade „identifikácia osôb, ktoré sú alebo môžu byť zapojené do trestnej činnosti súvisiacej s terorizmom alebo organizovanou trestnou činnosťou, ako aj osôb, ktoré im pomáhajú“.

14.

Tento dôvod sa uvádza na vysvetlenie toho, že údaje API nepostačujú na dosiahnutie údajného cieľa. Ako sa už uviedlo, zatiaľ čo údaje API sú určené na to, aby pomohli pri identifikácii jednotlivcov, údaje PNR skutočne nie sú určené na identifikáciu, ale podrobnosti z PNR by prispeli k posúdeniu rizika osôb prostredníctvom získania spravodajských informácií a zistenia prepojení známych a neznámych osôb.

15.

Účel zamýšľaného opatrenia sa nevzťahuje len na zachytenie známych osôb, ale aj na lokalizáciu osôb, ktoré by mohli spĺňať kritériá návrhu.

Analýza rizika a zistenie zvyklostí na účely identifikácie takýchto osôb je v ústredí návrhu. V odôvodnení 9 návrhu sa výslovne uvádza, že údaje sa musia uchovávať „na dostatočne dlhú dobu a tak splnili svoj účel pri odhaľovaní možných rizík a zisťovaní cestovných zvyklostí a vlastností subjektu“.

16.

Účel sa tak opisuje na dvoch úrovniach: prvú úroveň predstavuje celosvetový cieľ boja proti terorizmu a organizovanej trestnej činnosti, pričom druhá úroveň zahŕňa prostriedky a opatrenia neodmysliteľné od dosiahnutia tohto cieľa. Zatiaľ čo cieľ boja proti terorizmu a organizovanej trestnej činnosti sa zdá byť dostatočne jasný a legitímny, prostriedky na jeho dosiahnutie sú diskutabilné.

17.

V návrhu sa neuvádza nič o spôsobe, ako sa budú zisťovať zvyklosti a posudzovať riziko. V posúdení vplyvu sa k spôsobu použitia údajov PNR uvádza toto upresnenie: porovnanie údajov o cestujúcich „s kombináciou charakteristík a profilmi správania zamerané na hodnotenie rizika. Ak cestujúci zapadá do určitého hodnotenia rizika, mohol by sa označiť za cestujúceho predstavujúceho vysoké riziko“ (11).

18.

Podozrivé osoby by sa mohli vybrať na základe konkrétnych prvkov podozrivosti obsiahnutých v ich údajoch PNR (napr. kontakt s podozrivou cestovnou kanceláriou, uvedenie odcudzenej kreditnej karty), ako aj na základe „zvyklostí“ alebo abstraktného profilu. Na základe cestovných zvyklostí by sa skutočne mohli vytvoriť rôzne štandardné profily „bežných cestujúcich“ alebo „podozrivých cestujúcich“. Tieto profily by umožnili ďalšie vyšetrovanie tých cestujúcich, ktorí nepatria do „kategórie bežných cestujúcich“, a to o to viac, ak je ich profil spojený s inými podozrivými prvkami ako napríklad odcudzenou kreditnou kartou.

19.

Hoci nemožno predpokladať, že by sa cestujúci stávali cieľmi na základe svojho náboženstva alebo iných citlivých údajov, zdá sa, že by stali predmetom vyšetrovania na základe kombinácie konkrétnych a abstraktných informácií vrátane štandardných zvyklostí a abstraktných profilov.

20.

Je diskutabilné, či tento typ vyšetrovania možno považovať za profilovanie. Profilovanie by predstavovalo „počítačovú metódu, ktorá využíva ‚dolovanie údajov‘ zo skladu údajov a umožňuje, alebo je určená na umožnenie klasifikácie – s určitou pravdepodobnosťou, a teda s určitou mierou odchýlky – jednotlivca v určitej kategórii na účely prijatia individuálnych rozhodnutí voči danej osobe“ (12).

21.

EDPS si uvedomuje, že v súčasnosti prebiehajú diskusie o vymedzení pojmu profilovanie. Bez ohľadu na to, či sa oficiálne uzná, že cieľom návrhu je profilovanie cestujúcich, v podstate problému nejde o vymedzenie pojmu. Ide o jeho dôsledky na jednotlivcov.

22.

Hlavná obava EDPS sa týka skutočnosti, že rozhodnutia o jednotlivcoch sa budú prijímať na základe zvyklostí a kritérií stanovených na základe použitia údajov o cestujúcich vo všeobecnosti. Rozhodnutia o jednom jednotlivcovi bude možné prijať na základe použitia (aspoň čiastočného) zvyklostí odvodených z údajov o iných jednotlivcoch. Rozhodnutia sa tak budú prijímať v abstraktných súvislostiach, čo môže mať závažné dôsledky na dotknuté osoby. Pre jednotlivcov je nesmierne ťažké brániť sa proti takýmto rozhodnutiam.

23.

Okrem toho sa má riziko posudzovať v stave, keď neexistujú jednotné normy pre identifikáciu podozrivých osôb. Vzhľadom na nedostatočne vymedzené kritériá, s ktorými bude každý cestujúci porovnávaný, EDPS vážne spochybňuje právnu istotu celého procesu filtrácie.

24.

EDPS pripomína judikatúru Európskeho súdu pre ľudské práva, podľa ktorej musí byť z vnútroštátneho práva občanom dostatočne jasné, za akých okolností a za akých podmienok sú orgány verejnej moci oprávnené evidovať a používať informácie o ich súkromnom živote. Informácie by mali byť dotknutej osobe prístupné a malo by byť možné predvídať ich dôsledky. Pravidlo je „predvídateľné“, ak je „formulované dostatočne jasne na to, aby každý jednotlivec – v prípade potreby s vhodným poradenstvom – mohol prispôsobiť svoje správanie“ (13).

25.

Dospelo sa k záveru, že najmä pre uvedené druhy rizík je potrebné tento návrh starostlivo zvážiť. Zatiaľ čo samotný cieľ boja proti terorizmu a organizovanej trestnej činnosti sa zdá byť dostatočne jasný a legitímny, podstata spracúvania, ktoré sa má zaviesť, sa nejaví ako dostatočne striktne vymedzená a opodstatnená. EDPS preto vyzýva zákonodarcu EÚ, aby sa touto otázkou jednoznačne zaoberal pred prijatím rámcového rozhodnutia.

26.

Ako sa už uviedlo, je zrejmé, že opatrenia majú zasahujúcu povahu. Na druhej strane nie je ich užitočnosť zďaleka preukázaná.

27.

Hodnotenie vplyvu návrhu sa viac sústreďuje na najlepší spôsob zavedenia PNR EÚ ako na jeho nevyhnutnosť. Odkazuje sa na posúdenie vplyvu (14) systémov PNR, ktoré existujú v iných krajinách, a to v USA a v Spojenom kráľovstve. Nedostatok presných faktov a čísel vo vzťahu k uvedeným systémom je však poľutovaniahodný. V semaforovom systéme Spojeného kráľovstva bolo hlásených „množstvo zatknutí“ v súvislosti s „rôznymi trestnými činmi“ bez toho, aby sa upresnilo, či existovalo spojenie s terorizmom alebo organizovanou trestnou činnosťou. V súvislosti s programom USA sa neuviedli žiadne podrobnosti, iba to, že „EÚ mohla posúdiť význam údajov PNR a uvedomiť si ich potenciál na účely vynucovania práva.“

28.

Nielenže je v návrhu nedostatok presných informácií o konkrétnych výsledkoch takýchto systémov PNR, ale účinnosť týchto opatrení v tomto štádiu nepotvrdzujú ani správy uverejnené inými agentúrami, ako napríklad GAO v Spojených štátoch (15).

29.

EDPS sa domnieva, že techniky spočívajúce v posudzovaní rizika, ktoré predstavujú jednotlivci, na základe nástrojov „dolovania údajov“ a profilov správania treba pred ich používaním v takom veľkom rozsahu ešte posúdiť a jasne zistiť ich užitočnosť v rámci boja proti terorizmu.

30.

Na účely zváženia rovnováhy medzi zasahovaním do súkromia jednotlivcov a nevyhnutnosti opatrenia (16) sa zohľadnili tieto prvky:

31.

Dodržanie zásady proporcionality vyžaduje nielen, aby navrhované opatrenie bolo účinné, ale aby cieľ zamýšľaný v návrhu nebolo možné dosiahnuť inými nástrojmi, ktoré predstavujú menší zásah do súkromia. Účinnosť navrhovaných opatrení nebola preukázaná. Pred zavedením ďalších/nových opatrení na spracovanie osobných údajov je potrebné starostlivo preskúmať existenciu alternatív. Podľa EDPS sa takéto komplexné preskúmanie neuskutočnilo.

32.

EDPS by rád pripomenul iné rozsiahle systémy monitorujúce pohyb jednotlivcov v rámci hraníc a na hraniciach EÚ, či už v prevádzke alebo pripravované, vrátane vízového informačného systému (17) a Schengenského informačného systému (18). Hoci hlavným cieľom týchto nástrojov nie je boj proti terorizmu alebo organizovanej trestnej činnosti, sú alebo budú v určitom rozsahu prístupné orgánom činným v trestnom konaní na širší rozsah boja proti trestnej činnosti (19).

33.

Ďalší príklad sa týka dostupnosti osobných údajov obsiahnutých vo vnútroštátnych policajných databázach, najmä pokiaľ ide o biometrické údaje, v rámci Prümskej zmluvy podpísanej v máji 2005, ktorej pôsobnosť sa v súčasnosti rozširuje na všetky členské štáty Európskej únie (20).

34.

Všetky tieto rôzne nástroje majú spoločné to, že umožňujú celkové sledovanie pohybu jednotlivcov, a to z rôznych perspektív. Spôsob, ktorým môžu prispievať k boju proti osobitným druhom trestnej činnosti vrátane terorizmu, by sa mal podrobne a komplexne preskúmať pred rozhodnutím o vytvorení novej formy systematického preverovania všetkých osôb odchádzajúcich z územia EÚ alebo vstupujúcich na územie EÚ lietadlom. EDPS odporúča Komisii, aby takúto analýzu vykonala ako nevyhnutný krok legislatívneho procesu.

35.

So zreteľom na uvedené EDPS dospel k tomuto záveru o legitímnosti navrhovaných opatrení: Budovanie na rôznych databázach bez celkového pohľadu na konkrétne výsledky a nedostatky:

36.

Boj proti terorizmu môže byť samozrejme legitímnym dôvodom na uplatnenie výnimiek zo základných práv na súkromie a ochranu údajov. Na to, aby boli platné, je však potrebné, aby sa nevyhnutnosť zásahu jasne a nepopierateľne odôvodnila a aby sa preukázala proporcionalita spracúvania údajov. To sa vyžaduje o to viac v prípade rozsiahleho zásahu do súkromia jednotlivcov, ako ho predpokladá návrh.

37.

Možno len poznamenať, že v návrhu takéto prvky odôvodnenia chýbajú a že návrh neobstál v teste nevyhnutnosti a proporcionality.

38.

EDPS trvá na zásadnej povahe testu nevyhnutnosti a proporcionality rozvinutej vyššie. Predstavujú condicio sine qua non nadobudnutia účinnosti predloženého návrhu. Akékoľvek vyjadrenie EDPS v tomto stanovisku sa musí chápať v súvislosti s touto predbežnou podmienkou.

39.

Nasledujúca analýza sa sústredí na tri body:

40.

V článku 11 návrhu sa uvádza, že „členské štáty zabezpečia, aby sa pri spracovaní osobných údajov na základe tohto rámcového rozhodnutia uplatňovalo rámcové rozhodnutie Rady o ochrane osobných údajov spracovaných v rámci policajnej a justičnej spolupráce v trestných veciach (…)“.

41.

Napriek uvedenému ustanoveniu však nie je jasné, do akej miery sa rámcové rozhodnutie o ochrane údajov – nástroj v rámci tretieho piliera Zmluvy o EÚ – bude uplatňovať na údaje spracúvané leteckými spoločnosťami, zhromaždené PIU a ďalej používané inými príslušnými orgánmi.

42.

Prvým stupňom spracovania osobných údajov ustanoveným v návrhu je spracovanie leteckými spoločnosťami, ktoré sú na základe zásady „pasívneho“ systému povinné sprístupniť údaje PNR vnútroštátnym PIU. Na základe znenia návrhu a hodnotenia vplyvu (22) sa zdá, že údaje by sa mohli hromadne odosielať aj sprostredkovateľom. Letecké spoločnosti sú predovšetkým činné v obchodnom prostredí a podliehajú vnútroštátnym právnym predpisom o ochrane údajov, ktorými sa vykonáva smernica 95/46/ES (23). Pri zhromažďovaní údajov na účely vynucovania práva vyvstávajú otázky o rozhodnom práve (24).

43.

Potom by údaje filtroval sprostredkovateľ (formátovanie a vyradenie údajov PNR, ktoré sa nenachádzajú na zozname údajov vyžadovaných v návrhu), alebo by sa odosielali priamo PIU. Sprostredkovateľmi by tiež mohli byť subjekty zo súkromného sektora, ako napríklad SITA, ktorá je tak činná v rámci dohody o PNR s Kanadou.

44.

Pokiaľ ide o PIU, ktoré sú zodpovedné za posúdenie rizika vo vzťahu k celému balíku údajov, nie je jasné, kto bude zodpovedný za spracovanie. Môžu doňho byť zapojené colné orgány a pohraničné orgány, a nie nevyhnutne orgány činné v trestnom konaní.

45.

Následné odosielanie filtrovaných údajov „príslušným“ orgánom by sa pravdepodobne uskutočňovalo v kontexte vynucovania práva. V návrhu sa uvádza, že „medzi príslušné orgány patria iba orgány zodpovedné za predchádzanie teroristickým trestným činom a organizovanej trestnej činnosti a boj proti nim“.

46.

Jednotlivými stupňami spracovania majú zúčastnené subjekty a sledovaný účel bližšie k policajnej a justičnej spolupráci v trestných veciach. V návrhu sa však výslovne neuvádza, kedy presne sa uplatňuje rámcové rozhodnutie o ochrane údajov. Jeho znenie môže dokonca viesť k domnienke, že sa vzťahuje na celý proces spracovania, ako aj na letecké spoločnosti (25). V samotnom rámcovom rozhodnutí o ochrane osobných údajov sa však nachádzajú určité obmedzenia.

47.

V tejto súvislosti EDPS zásadne spochybňuje skutočnosť, či hlava VI Zmluvy o EÚ môže byť právnym základom pre právne povinnosti rutinnej povahy a na účely vynucovania práva uložené subjektom súkromného sektora. Okrem toho je dôležitá otázka, či hlava VI Zmluvy o EÚ môže byť právnym základom pre právne povinnosti uložené orgánom verejnej moci, ktoré sú v zásade mimo rámca spolupráce v oblasti vynucovania práva. Tieto otázky sú v tomto stanovisku ďalej rozobrané.

48.

Text návrhu rámcového rozhodnutia Rady o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach obsahuje najmenej dve obmedzenia, ktoré sú dôležité vo vzťahu k rozsahu pôsobnosti.

49.

V prvom rade je rozsah pôsobnosti rámcového rozhodnutia o ochrane údajov dobre vymedzený v samotnom rámcovom rozhodnutí: vzťahuje sa „iba na údaje zhromažďované alebo spracúvané príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania a stíhania alebo na účely výkonu trestov“ (26).

50.

V druhom rade nie je rámcové rozhodnutie určené na to, aby sa vzťahovalo na údaje spracúvané výlučne na vnútroštátnej úrovni, ale jeho pôsobnosť je obmedzená na výmenu údajov medzi členskými štátmi a na ich ďalšie postupovanie tretím krajinám (27).

51.

V porovnaní so smernicou 95/46/ES obsahuje rámcové rozhodnutie o ochrane údajov tiež niektoré nedostatky, najmä rozsiahlu výnimku zo zásady obmedzenia účelu. So zreteľom na túto zásadu obmedzenia účelu návrh jasne obmedzuje účel spracovania na boj proti terorizmu a organizovanej trestnej činnosti. Rámcové rozhodnutie o ochrane údajov však umožňuje spracovanie údajov na širšie účely. V takom prípade by mal mať lex specialis (návrh) prednosť pred lex generalis (rámcové rozhodnutie o ochrane údajov) (28). Toto by sa malo v texte návrhu výslovne uviesť.

52.

EDPS preto odporúča doplniť do návrhu toto ustanovenie: „Osobné údaje, ktoré letecké spoločnosti odošlú v súlade s týmto rámcovým rozhodnutím, sa nesmú spracúvať na iné účely ako boj proti terorizmu a organizovanej trestnej činnosti. Výnimky zo zásady obmedzenia účelu v rámcovom rozhodnutí Rady o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach sa neuplatňujú“.

53.

Na záver EDPS konštatuje vážny nedostatok právnej istoty, pokiaľ ide o režim ochrany údajov, ktorý sa uplatňuje na jednotlivé subjekty zapojené do projektu, najmä na letecké spoločnosti a iné subjekty prvého piliera: či už ide o pravidlá ustanovené v návrhu, v rámcovom rozhodnutí o ochrane údajov alebo vo vnútroštátnych právnych predpisoch, ktorými sa vykonáva smernica 95/46/ES. Zákonodarca by mal jasne stanoviť, v ktorom momente spracovania presne sa budú tieto jednotlivé pravidlá uplatňovať.

54.

EDPS zásadne spochybňuje skutočnosť, že nástroje tretieho piliera ukladajú subjektom súkromného alebo verejného sektora, ktoré sú v zásade mimo rámca spolupráce v oblasti vynucovania práva, právne povinnosti rutinnej povahy a na účely vynucovania práva.

55.

Túto situáciu možno porovnať s dvoma inými prípadmi, keď sa súkromný sektor zapája do uchovávania alebo postupovania údajov v súvislosti s vynucovaním práva:

56.

Podľa súčasného návrhu o PNR v rámci EÚ sú letecké spoločnosti povinné systematicky sprístupňovať údaje PNR o všetkých cestujúcich. Tieto údaje sa však orgánom činným v trestnom konaní nepostupujú priamo a hromadne: pred tým, než sa vybrané informácie zašlú príslušným orgánom, môžu sa zaslať sprostredkovateľovi a posudzuje ich tretí subjekt, ktorého štatút zostáva nejasný.

57.

Hlavná časť spracovania sa uskutočňuje v šedej zóne, ktorá má podstatné prepojenie tak s prvým, ako aj s tretím pilierom. Ako bude ďalej rozvedené v kapitole IV, povaha subjektov spracúvajúcich údaje nie je jasná. Je zrejmé, že letecké spoločnosti nie sú orgánmi činnými v trestnom konaní, a sprostredkovateľmi môžu byť subjekty súkromného sektora. Aj pokiaľ ide o PIU, ktoré sú orgánmi verejnej moci, treba zdôrazniť, že nie všetky orgány verejnej moci majú bežne povahu a právomoci vykonávať úlohy v oblasti vynucovania práva.

58.

Pôvodne existovalo jasné oddelenie činností v oblasti vynucovania práva a súkromnom sektore, keď úlohy v trestnom konaní vykonávali osobitne určené orgány, najmä policajné sily, a od subjektov súkromného sektora sa v jednotlivých prípadoch vyžadovalo oznámenie osobných údajov týmto orgánom činným v trestnom konaní. V súčasnosti je tendencia uložiť subjektom súkromného sektora povinnosť systematicky spolupracovať na účely vynucovania práva, čo vyvoláva otázku, ktorý rámec ochrany údajov (prvý alebo tretí pilier) sa vzťahuje na podmienky tejto spolupráce: mali by to byť pravidlá založené na povahe správcu údajov (súkromný sektor) alebo na sledovanom účele (vynucovanie práva)?

59.

EDPS už pripomenul riziko „právnej medzery“ medzi činnosťami prvého a tretieho piliera (31). Naozaj nie je zďaleka jasné, či činnosti súkromných spoločností, ktoré nejakým spôsobom súvisia s vynucovaním trestného práva, patria do oblasti pôsobnosti zákonodarcu Európskej únie podľa článkov 30, 31 a 34 ZEÚ.

60.

Ak by sa neuplatňoval všeobecný rámec (prvý pilier), poskytovateľ služieb by mal komplikovane rozlišovať medzi svojimi databázami. Podľa súčasnej úpravy je zrejmé, že správca údajov musí voči dotknutým osobám dodržiavať rovnakú ochranu údajov bez ohľadu na účely, ktoré sú dôvodom uchovávania údajov. Treba sa preto vyhnúť stavu, keď by spracovanie údajov poskytovateľmi služieb podliehalo rôznym režimom ochrany údajov v závislosti od jednotlivých účelov.

61.

Rozdielne právne režimy, ktoré by sa uplatňovali na vnútroštátnej úrovni, by mali zásadný vplyv na výkon práv dotknutej osoby.

62.

V preambule návrhu sa uvádza, že „právo na informácie, prístup, opravu, vymazanie a zablokovanie údajov, ako aj právo na odškodnenie a súdny opravný prostriedok by mali byť rovnaké ako práva stanovené v rámcovom rozhodnutí o ochrane údajov“. Toto konštatovanie však nedáva odpoveď na otázku, kto je správcom údajov príslušným reagovať na žiadosti dotknutej osoby.

63.

Zatiaľ čo informácie o spracovaní by mali oznamovať letecké spoločnosti, prístup k údajom alebo ich oprava sú oveľa zložitejšie. Podľa rámcového rozhodnutia o ochrane údajov sú tieto práva v skutočnosti obmedzené. Ako sa už uviedlo, možno pochybovať o tom, že poskytovateľ služieb, ako napríklad letecká spoločnosť, by mohol byť povinný poskytovať rozdielne práva prístupu a opravy k údajom, ktorých je držiteľom, podľa toho, aký cieľ sa sleduje (obchodný alebo vynucovanie práva). Možno argumentovať tým, že tieto práva sa majú uplatňovať u PIU alebo inak určených príslušných orgánov. Návrh však v tomto ohľade neuvádza žiadne ďalšie podrobnosti a – ako sa už uviedlo – nie je jasné, či sú tieto orgány (aspoň PIU) orgánmi činnými v trestnom konaní, ktoré sú spravidla poverené postupmi obmedzeného (prípadne nepriameho) prístupu.

64.

Hrozí tiež, že jednotlivec bude konfrontovaný s viacerými prijímateľmi údajov, pokiaľ ide o PIU: údaje sa v skutočnosti postupujú PIU krajiny odletu/príletu, ale v jednotlivých prípadoch sa môžu odosielať aj PIU iných členských štátov. Okrem toho je možné, aby niekoľko členských štátov zriadilo alebo určilo jeden spoločný PIU. Dotknutá osoba môže v takom prípade požiadať o nápravu orgán iného členského štátu. Opätovne však nie je jasné, či sa uplatnia predpisy o ochrane údajov (ktoré by mali byť v rámci EÚ harmonizované), alebo sa majú zohľadniť osobitné predpisy v oblasti vynucovania práva (s vedomím nedostatku komplexnej harmonizácie v treťom pilieri na vnútroštátnej úrovni).

65.

Rovnaká otázka vyvstáva v prípade prístupu k údajom spracúvaným sprostredkovateľmi, ktorých štatút jej nejasný a ktorí by mohli byť spoloční pre letecké spoločnosti v rôznych krajinách EÚ.

66.

EDPS s poľutovaním konštatuje, že pretrváva nejasnosť, pokiaľ ide o výkon týchto základných práv dotknutej osoby. Zdôrazňuje, že táto situácia je spôsobená najmä skutočnosťou, že takáto zodpovednosť sa zveruje subjektom, ktorých hlavnou úlohou nie je vynucovanie práva.

67.

EDPS sa domnieva, že v návrhu by sa malo objasniť, aký právny režim sa uplatňuje na jednotlivé stupne spracovania, a určiť, voči ktorému subjektu alebo orgánu sa majú uplatňovať práva na prístup a nápravu. EDPS pripomína, že podľa článku 30 ods. 1 písm. b) ZEÚ by ustanovenia o ochrane údajov mali byť primerané a vzťahovať sa na všetky druhy spracúvania ustanovené v návrhu. Nepostačuje jednoduchý odkaz na rámcové rozhodnutie o ochrane údajov vzhľadom na jeho obmedzený rozsah pôsobnosti a na obmedzenie práv, ktoré obsahuje. Pokiaľ ide o zapojené orgány činné v trestnom konaní, normy rámcového rozhodnutia o ochrane údajov by sa mali vzťahovať aspoň na všetko spracúvanie ustanovené v návrhu, aby bolo zabezpečené jednotné uplatňovanie zásad ochrany údajov.

68.

EDPS konštatuje, že návrh neobsahuje žiadne ustanovenie, ktoré by bližšie určovalo povahu príjemcov osobných údajov zhromažďovaných leteckými spoločnosťami, či už sprostredkovateľov, útvarov zodpovedných za informácie o cestujúcich, alebo príslušných orgánov. Treba zdôrazniť, že s povahou príjemcu priamo súvisí kategória záruk ochrany údajov, ktoré sa vzťahujú na daného príjemcu. Už sa spomenul rozdiel medzi zárukami poskytovanými najmä normami prvého a tretieho piliera. Je nevyhnutné, aby všetkým zapojeným subjektom vrátane národných vlád, orgánov činných v trestnom konaní, orgánov ochrany údajov, ako aj správcov údajov, bolo jasné, ktorý režim sa uplatňuje.

69.

V návrhu sa neuvádza nič o povahe sprostredkovateľov (32). Rovnako nie je bližšie určená úloha sprostredkovateľov ako správcov údajov a spracovateľov. Zo skúsenosti vyplýva, že úlohu zhromažďovať údaje PNR priamo od leteckých spoločností a zasielať ich PIU možno bez problémov zveriť subjektu súkromného sektora, či už počítačovému rezervačnému systému alebo inému subjektu. V skutočnosti sa takto spracúvajú údaje podľa dohody o PNR s Kanadou. Spoločnosťou zodpovednou za spracúvanie informácií je SITA (33). Úloha sprostredkovateľa je rozhodujúca, pretože môže byť zodpovedný za filtrovanie/ preformátovanie údajov, ktoré letecké spoločnosti postupujú hromadne (34). Aj keby sprostredkovatelia boli povinní vymazať spracované informácie po ich zaslaní PIU, samotné spracovanie je vysoko citlivé: dôsledkom zásahu sprostredkovateľov je vytvorenie ďalšej databázy obsahujúcej nesmierne množstvo údajov a v zmysle návrhu dokonca citlivé údaje (pričom sprostredkovatelia sú potom povinní tieto citlivé údaje vymazať). EDPS preto odporúča, aby sa do spracúvania údajov o cestujúcich nezapájali sprostredkovatelia, pokiaľ ich povaha a úlohy nie sú prísne vymedzené.

70.

PIU majú rozhodujúcu úlohu pri identifikácii osôb, ktoré sa podieľajú alebo by sa mohli podieľať na terorizme alebo organizovanej trestnej činnosti, alebo s nimi byť prepojené. V zmysle návrhu budú zodpovedné za vytvorenie rizikových ukazovateľov a poskytovanie spravodajských informácií o cestovných zvyklostiach (35). V prípadoch, keď je posudzovanie rizika založené na štandardizovaných cestovných zvyklostiach, a nie na dôkazoch spojených s konkrétnym prípadom, možno analýzu považovať za proaktívne vyšetrovanie. EDPS zdôrazňuje, že takýto spôsob spracúvania je v zásade prísne upravený právnymi predpismi členských štátov (ak nie je zakázaný) a je úlohou osobitných orgánov verejnej moci, ktorých fungovanie je tiež prísne upravené.

71.

PIU je tak zverené veľmi citlivé spracúvanie informácií bez toho, aby sa v návrhu uviedli akékoľvek podrobnosti o ich povahe a podmienkach, za akých by túto právomoc vykonávali. Hoci je veľmi pravdepodobné, že túto úlohu bude vykonávať štátny orgán, možno colný orgán alebo orgán hraničnej kontroly, návrh členským štátom výslovne nebráni, aby jej vykonávaním poverili spravodajské služby alebo akéhokoľvek iného spracovateľa. EDPS zdôrazňuje skutočnosť, že transparentnosť a záruky, ktoré sa vzťahujú na spravodajské služby, nie sú vždy identické s transparentnosťou a zárukami, ktoré sa vzťahujú na tradičné orgány činné v trestnom konaní. Podrobnosti o povahe PIU sú rozhodujúce, keďže budú mať priame následky na uplatnený právny rámec a podmienky dohľadu. EDPS sa domnieva, že návrh musí obsahovať dodatočné ustanovenie s podrobnosťami o osobitnej povahe PIU.

72.

Z článku 4 návrhu vyplýva, že údaje môže získať každý orgán zodpovedný za predchádzanie trestným činom terorizmu alebo organizovanej trestnej činnosti, alebo za boj proti nim. Hoci je jasne vymedzený účel, chýba vymedzenie povahy orgánu. Návrh neustanovuje žiadne obmedzenie príjemcov na orgány činné v trestnom konaní.

Ako sa už uviedlo vyššie v súvislosti s PIU, je rozhodujúce, aby sa dotknuté citlivé údaje spracúvali v prostredí s jasným právnym rámcom. To je napríklad dôležitejšie v prípade orgánov činných v trestnom konaní ako spravodajských služieb. Vzhľadom na prvky „dolovania“ údajov a proaktívne vyšetrovanie obsiahnuté v návrhu nemožno vylúčiť, že do spracúvania údajov budú zapojené spravodajské služby, bez toho, aby boli vylúčené iné druhy orgánov.

73.

EDPS uvádza ako všeobecnú poznámku, že vynucovanie systému PNR EÚ je ťažšie vzhľadom na orgány činné v trestnom konaní, ktoré majú rozdielne právomoci v závislosti od vnútroštátneho práva členských štátov, vrátane alebo s vylúčením spravodajstva, daní, prisťahovalectva alebo polície. Toto je však ďalším dôvodom na odporúčanie, aby bol návrh presnejší, pokiaľ ide o povahu uvedených subjektov a záruk kontroly výkonu ich úloh. Do návrhu by sa mali zaradiť ďalšie ustanovenia s cieľom presne vymedziť právomoci a právne povinnosti sprostredkovateľov, PIU a iných príslušných orgánov.

74.

Návrh ustanovuje určité záruky vo vzťahu k postupovaniu údajov PNR do tretích krajín (36). Najmä výslovne ustanovuje, že na postupovanie údajov sa vzťahuje rámcové rozhodnutie o ochrane údajov, ustanovuje obmedzenie na určitý účel a pre prípad ďalšieho postupovania uvádza potrebu súhlasu členského štátu. Prenos by mal byť v súlade s vnútroštátnymi právnymi predpismi dotknutého členského štátu, ako aj s akoukoľvek príslušnou medzinárodnou zmluvou.

75.

Naďalej však zostáva množstvo otvorených otázok, najmä pokiaľ ide o povahu súhlasu, podmienky uplatňovania rámcového rozhodnutia o ochrane údajov, a otázka vzájomnosti pri prenose údajov do tretích krajín.

76.

Členský štát pôvodu musí dať výslovný súhlas s ďalším postúpením údajov z tretej krajiny do ďalšej tretej krajiny. V návrhu sa neuvádza, za akých podmienok a kto má dať súhlas a či sa na rozhodovaní majú podieľať vnútroštátne orgány na ochranu údajov. EDPS sa domnieva, že spôsob, akým sa vydá súhlas, by mal byť aspoň v súlade s vnútroštátnymi zákonmi stanovujúcimi podmienky postupovania osobných údajov do tretích krajín.

77.

Okrem toho by súhlas členského štátu nemal mať prednosť pred zásadou, podľa ktorej musí byť pre zamýšľané spracovanie v prijímajúcej krajine zabezpečená primeraná miera ochrany. Tieto podmienky by mali byť kumulatívne, ako je tomu v rámcovom rozhodnutí o ochrane údajov (článok 14). EDPS preto navrhuje doplniť v článku 8 ods. 1 písmeno c), ktoré by znelo: „a c) tretí štát zabezpečí primeranú mieru ochrany zamýšľaného spracovania údajov“. EDPS v tejto súvislosti pripomína, že je potrebné zaviesť mechanizmy na zabezpečenie spoločných noriem a koordinované rozhodnutia (37).

78.

Návrh odkazuje na podmienky a záruky uvedené v rámcovom rozhodnutí o ochrane údajov, pričom výslovne určuje niektoré podmienky, najmä uvedený súhlas dotknutého členského štátu, a obmedzenie účelu na predchádzanie teroristickým trestnými činom a organizovanej trestnej činnosti a na boj proti nim.

79.

Samotné rámcové rozhodnutie o ochrane údajov ustanovuje podmienky prenosu osobných údajov do tretích krajín, a to v súvislosti s obmedzením účelu, povahou príjemcov, súhlasom členské štátu a zásadou primeranosti. Tiež však ustanovuje výnimky z týchto podmienok prenosu: prevažujúce legitímne dôvody, najmä dôležitý verejný záujem, môžu byť základom pre prenos aj bez toho, aby boli splnené uvedené podmienky.

80.

Ako sa už uviedlo v kapitole III tohto stanoviska, EDPS sa domnieva, že v texte návrhu treba jasne uviesť, že presnejšie záruky návrhu majú prednosť pred všeobecnými podmienkami – a výnimkami – rámcového rozhodnutia o ochrane údajov v prípade, keď sa uplatňuje rámcové rozhodnutie.

81.

Návrh sa zaoberá otázkou možných „odvetných žiadostí“ krajín, ktoré môžu žiadať EÚ o údaje PNR pre lety z EÚ na ich územie. Keď EÚ žiada o údaje z databáz leteckých spoločností takýchto tretích krajín, pretože prevádzkujú lety na územie EÚ alebo z územia EÚ, takáto tretia krajina by mohla žiadať to isté od leteckých spoločností nachádzajúcich sa v EÚ, a to vrátane údajov o občanoch EÚ. Hoci Komisia považuje túto možnosť za „veľmi nepravdepodobnú“, pripúšťa ju. Návrh v tejto súvislosti odkazuje na skutočnosť, že dohoda so Spojenými štátmi a Kanadou počíta s takýmto recipročným postupom, „ktorý je uplatniteľný automaticky“ (38). EDPS spochybňuje význam takejto automatickej vzájomnosti a uplatňovanie záruk na takéto postupovanie, najmä vzhľadom na existenciu primeranej úrovne ochrany v dotknutej krajine.

82.

Treba rozlišovať medzi tretími krajinami, ktoré už uzavreli dohodu s EÚ, a krajinami, ktoré takúto dohodu ešte nemajú.

83.

EDPS konštatuje, že vzájomnosť môže viesť k postupovaniu osobných údajov do krajín, v ktorých nie sú žiadne záruky, pokiaľ ide o demokratické normy a primeranú úroveň ochrany údajov.

84.

V hodnotení vplyvu sú uvedené ďalšie prvky, pokiaľ ide o podmienky postupovania údajov do tretích krajín: zdôrazňuje sa výhoda systému PNR EÚ, kde údaje filtrujú PIU. Príslušným orgánom členských štátov, prípadne aj tretím krajinám, by sa zasielali iba vybrané údaje o podozrivých osobách (nie hromadné údaje) (39). EDPS odporúča vyjasniť túto otázku v texte návrhu. Jednoduché tvrdenie v hodnotení vplyvu neposkytuje potrebnú ochranu.

85.

Hoci by výber údajov prispel k minimalizácii vplyvu na súkromie cestujúcich, treba pripomenúť, že zásady ochrany údajov idú ďaleko za minimalizáciu a obsahujú také zásady ako nevyhnutnosť, transparentnosť a výkon práva dotknutej osoby – všetko zásady, ktoré sa musia zohľadniť pri rozhodovaní o tom, či tretia krajina poskytuje primeranú úroveň ochrany.

86.

Hodnotenie vplyvu poukazuje na to, že takéto spracúvanie poskytne EÚ možnosť „trvať na určitých normách a zabezpečiť súlad medzi takýmito dvojstrannými dohodami s tretími krajinami. Tiež poskytne možnosť žiadať recipročný postup od tretích krajín, s ktorými má EÚ dohodu, niečo, čo v súčasnosti nie je možné“ (40).

87.

Z týchto konštatovaní vyplýva otázka vplyvu návrhu na platné dohody s Kanadou a USA. Podmienky prístupu k údajom sú v týchto dohodách naozaj oveľa širšie, pretože sa na ne nevzťahuje podobný výber pred ich postupovaním týmto tretím krajinám.

88.

V hodnotení vplyvu sa uvádza, že „v prípadoch, keď má EÚ medzinárodnú dohodu s treťou krajinou na účely výmeny/postupovania údajov PNR do danej tretej krajiny, musí sa takáto dohoda náležite zohľadniť. Dopravcovia by mali údaje PNR zasielať útvarom zodpovedným za informácie o cestujúcich v súlade s bežným postupom podľa súčasného nástroja. PIU, ktorému sa takéto údaje zašlú, ich postúpi príslušnému orgánu tretej krajiny, s ktorou existuje takáto dohoda“ (41).

89.

Zatiaľ čo na jednej strane sa zdá, že cieľom návrhu je postupovanie iba vybraných údajov akémukoľvek príslušnému orgánu v rámci alebo mimo EÚ, na druhej strane hodnotenie vplyvu, preambula návrhu (odôvodnenie 21) a samotný článok 11 pripomínajú, že existujúce dohody sa musia náležite zohľadniť. Toto môže viesť k záveru, že filtrovanie môže byť platným opatrením len v prípade dohôd, ktoré sa uzavrú v budúcnosti. Z tohto pohľadu by sa dalo predpokladať, že hromadný prístup bude naďalej pravidlom, pokiaľ ide o prístup k údajom PNR napr. orgánov USA v súlade s ustanoveniami dohody medzi EÚ a USA, ale zároveň a v jednotlivých prípadoch by sa vo vzťahu k určitým údajom identifikovaných PIU, vrátane, ale nielen týkajúcich sa letov do USA, mohlo vyskytnúť postúpenie údajov Spojeným štátom.

90.

EDPS s poľutovaním konštatuje nejasnosť návrhu, pokiaľ ide o túto rozhodujúcu otázku. Mimoriadnu dôležitosť pripisuje vzájomnému súladu podmienok postupovania údajov PNR tretím krajinám a harmonizovanej úrovni ich ochrany. Okrem toho by sa z dôvodov právnej istoty mali podrobnosti o zárukách vzťahujúcich sa na postupovanie údajov zaradiť do návrhu, a nie iba do hodnotenia vplyvu, ako je tomu v súčasnosti.

91.

EDPS poznamenáva, že návrh výslovne vylučuje, aby útvary zodpovedné za informácie o cestujúcich a príslušné orgány členských štátov prijímali opatrenia na vynucovanie práva, opierajúce sa iba o automatizované spracovanie údajov PNR alebo o rasový alebo etnický pôvod, náboženské alebo filozofické presvedčenie, politické názory či sexuálnu orientáciu dotknutej osoby (42).

92.

Takéto upresnenie je vítané, pretože obmedzuje riziko svojvoľných opatrení voči jednotlivcom. EDPS však poznamenáva, že rozsah jeho pôsobnosti je obmedzený na opatrenia vynucovania práva PIU alebo príslušných orgánov. Jeho súčasné znenie nevylučuje automatické filtrovanie jednotlivcov podľa štandardných profilov ani nebráni automatizovanej tvorbe zoznamov podozrivých osôb a prijímanie opatrení, ako napríklad rozšírené sledovanie, pokiaľ sa tieto opatrenia nepovažujú za opatrenia vynucovania práva.

93.

EDPS sa domnieva, že pojem opatrenia vynucovania práva je príliš vágny a v zásade by sa voči jednotlivcom nemali prijímať žiadne rozhodnutia len na základe automatizovaného spracovania ich údajov (43). EDPS odporúča, aby sa návrh podľa toho upravil.

94.

V článku 5 ods. 2 návrhu sa uvádza dôležité upresnenie, ktorým sa objasňuje, že leteckým spoločnostiam sa neukladá žiadna povinnosť zhromažďovať alebo uchovávať ďalšie údaje okrem údajov zhromaždených na pôvodný obchodný účel.

95.

Niektoré aspekty spracúvania týchto údajov si však zaslúžia komentár:

EDPS podporuje pripomienky pracovnej skupiny článku 29 v tejto súvislosti.

96.

Od leteckých dopravcov usadených mimo EÚ sa vyžaduje, aby poskytovali PIU alebo sprostredkovateľom („pasívny“ spôsob), pokiaľ na to majú technické prostriedky. Ak takýmito prostriedkami nedisponujú, budú musieť umožniť prístup k údajom v rámci „aktívneho“ spôsobu.

97.

Umožnenie rôznych spôsobov poskytovania údajov v závislosti od dotknutej leteckej spoločnosti len spôsobí ďalšie ťažkosti, pokiaľ ide o kontrolu dodržiavania pravidiel na ochranu údajov pri postupovaní údajov PNR. Môže to tiež viesť k narušeniu hospodárskej súťaže medzi leteckými spoločnosťami EÚ a mimo EÚ.

98.

EDPS pripomína, že „pasívny“ spôsob, ktorý leteckým spoločnostiam ponecháva kontrolu nad kvalitou postupovaných údajov a okolnosťami postupovania, je jediný prípustný spôsob vo vzťahu k primeranosti spracovania. Okrem toho musí byť „pasívny“ spôsob efektívny, t. j. údaje nesmú byť zasielané hromadne sprostredkovateľovi, ale filtrované na prvom stupni spracovania. Nie je prípustné, aby sa údaje, ktoré nie sú potrebné, a údaje, ktoré nie sú uvedené v prílohe 1 návrhu, zasielali tretej strane, aj keď ich táto tretia strana bezodkladne vymaže.

99.

V článku 9 návrhu sa ustanovuje päťročné obdobie uchovávania údajov PNR a ďalšie osemročné obdobie, počas ktorého sa údaje uchovávajú v nevyužívanej databáze, ktorá bude prístupná za obmedzených podmienok.

100.

EDPS spochybňuje rozdiel medzi uvedenými dvoma druhmi databáz: je otázne, či nevyužívaná databáza predstavuje skutočný archív s odlišnými spôsobmi ukladania a vyhľadávanie údajov. V skutočnosti väčšina podmienok prístupu k nevyužívanej databáze predstavuje bezpečnostné požiadavky, ktoré by sa mohli uplatňovať aj na databázu určenú na uchovávanie údajov počas piatich rokov.

101.

Celkové trvanie uchovávania – 13 rokov – je každopádne neprimerane dlhé. V hodnotení vplyvu je odôvodnené potrebou vývoja ukazovateľov rizika a zistením cestovných zvyklostí a správania (46), ktorých efektívnosťou je vhodné sa zaoberať. Hoci je zrejmé, že údaje sa môžu uchovávať tak dlho, ako je to potrebné v jednotlivom prípade, pokiaľ vyšetrovanie prebieha, nemožno podporiť uchovávanie údajov o všetkých cestujúcich počas 13 rokov, keď neexistuje žiadne podozrenie.

102.

EDPS ďalej poznamenáva, že túto dobu uchovávania nepodporujú odpovede členských štátov na dotazník Komisie, podľa ktorých by priemerná požadovaná doba uchovávania bola 3,5 roka (47).

103.

Okrem toho je doba 13 rokov porovnateľná s 15-ročnou dobou uchovávania v najnovšej dohode so Spojenými štátmi. EDPS sa vždy domnieval, že táto dlhá doba uchovávania bola dohodnutá iba v dôsledku silného tlaku zo strany vlády USA, ktorá chcela oveľa dlhšiu dobu ako 3,5 roka, nie preto, že by ju v niektorom štádiu hájila Rada alebo Komisia. Neexistuje žiaden dôvod transponovať tento kompromis, ktorý možno odôvodniť iba ako nevyhnutný výsledok rokovaní, do právneho nástroja v rámci samotnej EÚ.

104.

Výbor členských štátov zriadený článkom 14 návrhu bude príslušný pre otázky bezpečnosti vrátane protokolu a kódovania údajov PNR, ale tiež pre usmerňovanie vo vzťahu k spoločným všeobecným kritériám, spôsobom a postupom posudzovania rizika.

105.

Okrem tohto návrh neobsahuje žiadne prvky alebo kritériá, pokiaľ ide o konkrétne podmienky a rámec posudzovania rizika. V hodnotení vplyvu sa spomína, že kritériá budú v zásade závisieť od spravodajských informácií, ktoré majú k dispozícii jednotlivé členské štáty, čo je predmetom neustálych zmien. Riziko sa má posudzovať v stave, keď neexistujú jednotné normy pre identifikáciu podozrivých osôb. Preto je otázne, akú úlohu bude môcť v tejto súvislosti zohrávať výbor členských štátov.

106.

V návrhu sa podrobne uvádza viacero bezpečnostných opatrení (48), ktoré majú na ochranu údajov prijať PIU, sprostredkovatelia a iné príslušné orgány. Vzhľadom na význam databázy a citlivosť spracúvania údajov sa EDPS domnieva, že okrem ustanovených opatrení by mali byť subjekty spracúvajúce údaje povinné oficiálne oznámiť každé narušenie bezpečnosti.

107.

EDPS je známy projekt zavedenia takéhoto oznamovania v oblasti elektronických komunikácií na európskej úrovni. Odporúča zahrnúť do predloženého návrhu takúto záruku a v tejto súvislosti odkazuje na systém pre narušenie bezpečnosti, ktorý funguje v Spojených štátoch (49). K incidentom narušenia bezpečnosti môže dochádzať v ktorejkoľvek oblasti činnosti, tak v súkromnom, ako aj vo verejnom sektore, ako to dokazuje nedávna strata celej databázy údajov o občanoch patriaca britskej správe (50). Databázy veľkého rozsahu, akou je aj databáza predpokladaná v návrhu, by mali byť prioritne zabezpečené takýmto systémom varovania.

108.

EDPS berie na vedomie, že rámcové rozhodnutie sa má preskúmať do troch rokov od nadobudnutia účinnosti na základe správy vypracovanej Komisiou. Berie tiež na vedomie skutočnosť, že toto preskúmanie, založené na údajoch poskytnutých členskými štátmi, sa bude osobitne zaoberať zárukami ochrany údajov a zahŕňať vykonávanie „pasívneho“ spôsobu, uchovávanie údajov a kvalitu posudzovania rizík. Aby bolo takéto preskúmanie komplexné, malo by zahŕňať výsledky analýzy štatistických údajov predložených na základe spracovania informácií PNR. Takéto štatistiky by okrem prvkov uvedených v článku 18 návrhu mali obsahovať podrobné štatistické údaje o identifikácii vysokorizikových osôb, ako napríklad kritériá takejto identifikácie a konkrétne výsledky akýchkoľvek opatrení vynucovania práva vyplývajúcich z identifikácie.

109.

EDPS v tomto stanovisku už poukazoval na nedostatok konkrétnych prvkov na zistenie, či je navrhovaný systém nevyhnutný. Domnieva sa však, že v prípade nadobudnutia účinnosti tohto rámcového rozhodnutia by malo obsahovať aspoň doložku o skončení platnosti. Rámcové rozhodnutie by sa malo po uplynutí trojročného obdobia zrušiť, pokiaľ nebudú predložené skutočnosti v prospech jeho ponechania v platnosti.

110.

V záverečných ustanoveniach návrhu sa nachádza podmienka ďalšieho uplatňovania existujúcich dvojstranných a mnohostranných dohôd alebo dojednaní. Tieto nástroje sa môžu uplatňovať, iba pokiaľ sú v súlade s cieľmi navrhovaného rámcového rozhodnutia.

111.

EDPS spochybňuje pôsobnosť tohto ustanovenia. Ako už bolo uvedené v kapitole V o vzájomnosti, nie je jasné, aký vplyv bude mať toto ustanovenie na obsah dohôd s tretími krajinami, ako napríklad na dohodu s USA. Z iného pohľadu nie je jasné ani to, či by ustanovenie mohlo mať vplyv na podmienky uplatňovania nástrojov so širším rozsahom pôsobnosti, ako napríklad na dohovor Rady Európy č. 108. Hoci sa to môže zdať nepravdepodobné so zreteľom na rozdielne inštitucionálne súvislosti a zapojené subjekty, bolo by vhodné vyhnúť sa akémukoľvek riziku nesprávneho výkladu a v návrhu by sa malo jasne uviesť, že ním nie sú žiadnym spôsobom dotknuté nástroje so širším rozsahom pôsobnosti, najmä tie, ktorých cieľom je ochrana základných práv.

112.

EDPS zdôrazňuje významný vplyv tohto návrhu na ochranu údajov. Vo svojej analýze sa sústredil na štyri základné témy, ktorých sa návrh týka, a trvá na tom, že vyzdvihnutými problémami je potrebné sa dôsledne zaoberať. Za súčasných okolností nie je návrh v súlade so základnými právami, najmä s článkom 8 Charty základných práv únie, a nemal by sa prijať.

113.

Ak sa má uviesť do súladu s uvedenými pripomienkami, najmä s testom legitimity, mal by zákonodarca sa zohľadniť návrhy znenia uvedené v tomto stanovisku. Odkazuje sa najmä na body 67, 73, 77, 80, 90, 93, 106, 109 a 111 stanoviska.

114.

Zatiaľ čo samotný cieľ boja proti terorizmu a organizovanej trestnej činnosti je dostatočne jasný a legitímny, podstata spracúvania, ktoré sa má zaviesť, sa nejaví ako dostatočne striktne vymedzená a opodstatnená.

115.

EDPS sa domnieva, že techniky spočívajúce v posudzovaní rizika, ktoré predstavujú jednotlivci, na základe nástrojov „dolovania údajov“ a profilov správania treba pred ich používaním v takom veľkom rozsahu ešte posúdiť a jasne zistiť ich užitočnosť v rámci boja proti terorizmu.

116.

Budovanie na rôznych databázach bez celkového pohľadu na konkrétne výsledky a nedostatky:

117.

Boj proti terorizmu môže byť samozrejme legitímnym dôvodom na uplatnenie výnimiek zo základných práv na súkromie a ochranu údajov. Na to, aby boli platné, je však potrebné, aby sa nevyhnutnosť zásahu jasne a nepopierateľne odôvodnila a aby sa preukázala proporcionalita opatrenia spracúvania údajov. O to viac je to potrebné v prípade rozsiahleho zásahu do súkromia jednotlivcov, ako ho predpokladá návrh.

118.

Tieto prvky odôvodnenia v návrhu chýbajú a nie sú splnené testy nevyhnutnosti a proporcionality.

119.

EDPS trvá na zásadnej povahe testov nevyhnutnosti a proporcionality rozvinutej vyššie. Predstavujú condicio sine qua non nadobudnutia účinnosti návrhu.

120.

EDPS konštatuje vážny nedostatok právnej istoty, pokiaľ ide o režim, ktorý sa uplatňuje na jednotlivé subjekty zapojené do projektu, najmä na letecké spoločnosti a iné subjekty prvého piliera: či už ide o pravidlá ustanovené v návrhu, pravidlá v rámcovom rozhodnutí o ochrane údajov alebo vnútroštátne právne predpisy, ktorými sa vykonáva smernica 95/46/ES. Zákonodarca by mal jasne stanoviť, v ktorom štádiu spracovania sa budú tieto jednotlivé pravidlá uplatňovať.

121.

Súčasná tendencia uložiť subjektom súkromného sektora povinnosť systematicky spolupracovať v oblasti vynucovania práva vyvoláva otázku o tom, ktorý rámec ochrany údajov (prvý alebo tretí pilier) sa vzťahuje na podmienky tejto spolupráce: nie je jasné, či by to mali byť pravidlá založené na povahe subjektu, pod kontrolou ktorého sa údaje nachádzajú, (súkromný sektor) alebo na sledovanom účele (oblasť vynucovania práva).

122.

EDPS už zdôraznil riziko „právnej medzery“ medzi činnosťami prvého a tretieho piliera (51). Naozaj nie je zďaleka jasné, či činnosti súkromných spoločností, ktoré nejakým spôsobom súvisia s vynucovaním trestného práva, patria do oblasti pôsobnosti zákonodarcu Európskej únie podľa článkov 30, 31 a 34 ZEÚ.

123.

Treba sa vyhnúť výsledku, pri ktorom by sa spracúvanie poskytovateľmi služieb na iné účely spravovalo rôznymi rámcami na ochranu údajov, najmä so zreteľom na ťažkosti, ktoré by to spôsobilo pri výkone práv dotknutých osôb.

124.

V návrhu by sa mala bližšie určiť povaha príjemcov osobných údajov zhromažďovaných leteckými spoločnosťami, či už sprostredkovateľov, útvarov zodpovedných za informácie o cestujúcich, alebo príslušných orgánov.

125.

S povahou príjemcov, ktorými môžu byť v niektorých prípadoch subjekty súkromného sektora, priamo súvisí kategória záruk ochrany údajov, ktoré sa na príjemcu vzťahujú. Je nevyhnutné, aby všetkým zapojeným subjektom vrátane zákonodarcu, orgánov ochrany údajov, ako aj správcov údajov, bolo jasné, ktorý režim sa uplatňuje.

126.

EDPS zdôrazňuje potrebu zabezpečiť, aby bola v prijímajúcej krajine zabezpečená primeraná úroveň ochrany. Tiež spochybňuje význam zásady vzájomnosti uvedenej v návrhu a jej uplatňovanie v krajinách, ktoré sú už viazané dohodou s EÚ, ako Kanada a USA. Mimoriadnu dôležitosť pripisuje vzájomnému súladu podmienok postupovania údajov PNR tretím krajinám a harmonizovanej úrovni ich ochrany.

127.

EDPS upozorňuje zákonodarcu na osobitné aspekty návrhu, ktoré je potrebné spresniť alebo pri ktorých je potrebné lepšie zohľadniť zásadu ochrany údajov. Ide najmä o tieto aspekty:

128.

EDPS konštatuje, že návrh bol predložený v čase, keď sa má podstatne zmeniť inštitucionálny rámec Európskej únie. Lisabonská zmluva bude mať zásadný vplyv na rozhodovací proces, najmä pokiaľ ide o úlohu parlamentu.

129.

Vzhľadom na bezprecedentný vplyv návrhu na základné práva EDPS odporúča neprijať návrh v súčasnom rámci zmlúv, ale zabezpečiť, aby sa o ňom rozhodovalo v rámci spolurozhodovacieho postupu podľa novej zmluvy. Tým by sa posilnil právny základ, na akom by mali byť prijaté rozhodujúce opatrenia ustanovené v návrhu.

1.

ochranu bezpečnosti štátu, verejnej bezpečnosti, menových záujmov štátu alebo potláčanie trestnej;

2.

činnosti, ochranu dotknutej osoby alebo práv a slobôd iných.“