18.2.2012   

SL

Uradni list Evropske unije

C 48/2

1.

Komisija je 29. avgusta 2011 sprejela Predlog uredbe (v nadaljnjem besedilu: predlog ali predlagana uredba) Evropskega parlamenta in Sveta o upravnem sodelovanju prek informacijskega sistema za notranji trg (IMI) (3). Predlog je bil istega dne posredovan ENVP v posvetovanje.

2.

ENVP je pred sprejetjem predloga dobil možnost, da predloži neuradne pripombe k predlogu, še pred tem pa k sporočilu Komisije „Boljše upravljanje enotnega trga prek izboljšanega upravnega sodelovanja: Strategija za širitev in razvoj informacijskega sistema za notranji trg (‚IMI‘)“ (sporočilo o strategiji za IMI) (4), ki je bilo sprejeto pred predlogom. Številne od teh pripomb so bile v predlogu upoštevane in na podlagi tega so bili v predlogu okrepljeni zaščitni ukrepi za varstvo podatkov.

3.

ENVP pozdravlja dejstvo, da ga je Komisija uradno zaprosila za mnenje in da je sklicevanje na to mnenje vključeno v preambulo predloga.

4.

Sistem IMI je orodje informacijske tehnologije, ki pristojnim organom držav članic omogoča, da si pri izvajanju zakonodaje o notranjem trgu medsebojno izmenjujejo informacije. Nacionalnim, regionalnim in lokalnim organom v državah članicah EU omogoča, da hitro in enostavno komunicirajo z organi v drugih evropskih državah. To vključuje tudi obdelavo zadevnih osebnih podatkov, vključno z občutljivimi podatki.

5.

Sistem IMI je bil prvotno zasnovan kot komunikacijsko orodje za izmenjavo informacij med dvema stranema na podlagi direktive o poklicnih kvalifikacijah (5) in direktive o storitvah (6). Uporabniki si lahko s sistemom IMI pomagajo pri iskanju ustreznega organa v drugi državi, s katerim navežejo stik in z njim komunicirajo z vnaprej prevedenimi sklopi standardnih vprašanj in odgovorov (7).

6.

Sistem IMI naj bi bil kljub temu prožen, horizontalni sistem, ki lahko podpira številna področja zakonodaje o notranjem trgu. Predvideno je, da se bo njegova uporaba postopno širila, tako da bo v prihodnosti podpiral še več zakonodajnih področij.

7.

Načrtuje se tudi širitev funkcionalnosti sistema IMI. Poleg izmenjav informacij med dvema stranema so predvidene oziroma se že izvajajo tudi druge funkcionalnosti, kot so „postopki obveščanja, mehanizmi opozarjanja, dogovori o medsebojni pomoči in reševanje problemov“ (8) ter „podatkovne baze [zbirke] z informacijami, ki jih lahko udeleženci IMI uporabijo v prihodnosti“ (9). Številne, ne pa vse, te funkcionalnosti lahko vključujejo tudi obdelavo osebnih podatkov.

8.

Namen predloga je zagotoviti jasno pravno podlago in celovit okvir za varstvo podatkov v sistemu IMI.

9.

Komisija je spomladi leta 2007 zaprosila za mnenje Delovno skupino za varstvo podatkov iz člena 29 (v nadaljnjem besedilu: Delovna skupina iz člena 29), da bi proučila posledice sistema IMI za varstvo podatkov. Delovna skupina iz člena 29 je mnenje objavila 20. septembra 2007 (10). V mnenju je bilo priporočeno, naj Komisija zagotovi jasnejšo pravno podlago in posebne zaščitne ukrepe za izmenjavo podatkov v okviru sistema IMI. ENVP je dejavno sodeloval pri delu podskupine, ki se je ukvarjala s sistemom IMI, in podprl ugotovitve iz mnenja Delovne skupine iz člena 29.

10.

ENVP je tudi pozneje Komisiji zagotavljal nadaljnja navodila, kako naj postopoma zagotovi celovitejši okvir varstva podatkov za sistem IMI (11). V okviru tega sodelovanja in vse od objave mnenja o izvajanju sistema IMI 22. februarja 2008 (12) je vedno znova zagovarjal potrebo po novem pravnem instrumentu v okviru rednega zakonodajnega postopka, da bi se oblikoval celovitejši okvir varstva podatkov za sistem IMI in da bi se zagotovila pravna varnost. Predlog takega pravnega instrumenta je bil zdaj predložen (13).

11.

Splošno stališče ENVP o sistemu IMI je pozitivno. ENVP podpira cilje Komisije glede vzpostavitve elektronskega sistema za izmenjavo informacij in ureditve vidikov varstva podatkov, ki so povezani z njim. S takim racionaliziranim sistemom se ne bo le izboljšala učinkovitost sodelovanja, temveč bo pripomogel tudi k doslednemu spoštovanju veljavnih zakonov o varstvu podatkov, in sicer z vzpostavitvijo jasnega okvira, ki bo določal, katere informacije se lahko izmenjujejo, s kom in pod kakšnimi pogoji.

12.

ENVP pozdravlja tudi dejstvo, da Komisija predlaga horizontalni pravni instrument za sistem IMI z uredbo Sveta in Parlamenta. Zadovoljen je, da so v predlogu izčrpno izpostavljena najpomembnejša vprašanja varstva podatkov za sistem IMI. Njegove pripombe je treba razumeti znotraj tega pozitivnega okvira.

13.

ENVP kljub vsemu opozarja, da vzpostavitev enotnega centraliziranega elektronskega sistema za več področij upravnega sodelovanja prinaša tudi tveganja. Med drugim gre pri tem zlasti za tveganje, da bi se izmenjalo in širše uporabilo več podatkov, kot je to nujno potrebno za učinkovito sodelovanje, in da bi podatki, vključno z morebitnimi zastarelimi in netočnimi podatki, ostali v elektronskem sistemu dlje, kot je to potrebno. Občutljivo vprašanje je tudi varnost informacijskega sistema, ki bo dostopen v 27 državah članicah, saj bo celoten sistem varen le toliko, kolikor bo to dopuščal najšibkejši člen.

14.

ENVP v zvezi s pravnim okvirom za sistem IMI, ki naj bi bil določen v predlagani uredbi, opozarja na dva ključna izziva:

15.

Ta ključna izziva sta pomembni referenčni točki in v veliki meri določata pristop, ki ga je ENVP uporabil v tem mnenju.

16.

Prvič, IMI je sistem, ki se uporablja v 27 državah članicah. Glede na sedanjo usklajenost evropskih zakonodaj se nacionalni upravni postopki in nacionalni zakoni o varstvu podatkov precej razlikujejo med seboj. Sistem IMI je treba oblikovati tako, da bodo lahko uporabniki v vsaki od 27 držav članic pri izmenjavanju osebnih podatkov prek sistema IMI delovali v skladu s svojo nacionalno zakonodajo, vključno z nacionalno zakonodajo o varstvu podatkov. Hkrati je treba posameznikom, na katere se nanašajo osebni podatki, zagotoviti, da bodo njihovi podatki dosledno varovani, čeprav bodo prek sistema IMI preneseni v drugo državo članico. Doslednost ob hkratnem spoštovanju različnosti je ključni izziv pri oblikovanju tehnične in pravne infrastrukture sistema IMI. Treba se je izogniti pretirani zapletenosti in razdrobljenosti. Obdelava podatkov v sistemu IMI mora biti pregledna, pristojnosti za sprejemanje odločitev o zasnovi sistema, njegovem vsakodnevnem vzdrževanju in uporabi ter njegovem nadzoru pa morajo biti jasno dodeljene.

17.

Drugič, v nasprotju z nekaterimi drugimi obsežnimi informacijskimi sistemi, kot so schengenski informacijski sistem, vizumski informacijski sistem, carinski informacijski sistem ali sistem Eurodac, ki so usmerjeni v sodelovanje na posebnih, jasno opredeljenih področjih, je sistem IMI horizontalno orodje za izmenjavo informacij in omogoča lažjo izmenjavo informacij na zelo različnih področjih politike. Prav tako je predvideno, da se bo področje uporabe sistema IMI postopno razširilo še na druga področja politike, spremeniti pa je mogoče tudi njegove funkcionalnosti, tako da se vanj vključijo do tedaj neopredeljene vrste upravnega sodelovanja. Zaradi teh posebnih značilnosti sistema IMI je še težje jasno opredeliti funkcionalnosti sistema in izmenjave podatkov, do katerih lahko pride v sistemu. To pomeni, da je težje tudi jasno opredeliti ustrezne zaščitne ukrepe za varstvo podatkov.

18.

ENVP priznava potrebo po prožnosti in upošteva željo Komisije, da bi se uredba izvajala dolgoročno. Vendar to ne sme povzročiti pomanjkanja jasnosti ali pravne varnosti v smislu funkcionalnosti sistema in zaščitnih ukrepov za varstvo podatkov, ki jih je treba izvesti. Zato mora biti predlog, kjer je to mogoče, podrobnejši in ne sme samo povzemati glavnih načel varstva podatkov iz Direktive 95/46/ES in Uredbe (ES) št. 45/2001 (14).

19.

ENVP pozdravlja dejstvo, da je v predlogu jasno opredeljeno sedanje področje uporabe sistema IMI, pri čemer so v Prilogi I našteti vsi zadevni akti Unije, na podlagi katerih se lahko izmenjujejo informacije. Ti med drugim vključujejo sodelovanje na podlagi posebnih določb direktive o poklicnih kvalifikacijah, direktive o storitvah in direktive o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (15).

20.

Ker naj bi se področje uporabe sistema IMI razširilo, so morebitni cilji širitve našteti v Prilogi II. Postavke iz Priloge II je mogoče prenesti v Prilogo I na podlagi delegiranega akta, ki ga Komisija sprejme na podlagi ocene učinka (16).

21.

ENVP je zadovoljen s takim postopkom, saj (i) jasno zamejuje področje uporabe sistema IMI in (ii) zagotavlja preglednost, hkrati pa (iii) omogoča prožnost, če bi se ta sistem v prihodnosti uporabljal še za druge vrste izmenjave informacij. Prav tako zagotavlja, da izmenjava informacij prek sistema IMI ni mogoča brez (i) ustrezne pravne podlage v posebni zakonodaji o notranjem trgu, s katero se dovoli ali odredi izmenjava informacij (17), in brez (ii) sklicevanja na to pravno podlago v Prilogi I k uredbi.

22.

Vendar se še vedno pojavlja določena negotovost glede področja uporabe sistema IMI v zvezi s področji politike, na katera bi se lahko razširil, in v zvezi s funkcionalnostmi, ki so ali bi lahko bile vključene vanj.

23.

Prvič, ni mogoče izključiti, da bi se lahko področje uporabe sistema IMI razširilo onkraj področij politike, naštetih v prilogah I in II. To bi se lahko zgodilo, če bi se uporaba sistema IMI določila za nekatere vrste izmenjav informacij, ki niso navedene v delegiranem aktu Komisije, temveč v aktu, ki sta ga sprejela Parlament in Svet, če to ni bilo predvideno v Prilogi II (18).

24.

Drugič, medtem ko bi razširitev področja uporabe na nova področja politike v nekaterih primerih zahtevala malo ali nobenih sprememb obstoječih funkcionalnosti sistema (19), pa bi lahko druge razširitve zahtevale nove in drugačne funkcionalnosti ali precejšnje spremembe obstoječih funkcionalnosti:

25.

ENVP za odpravo te negotovosti predlaga dvojni pristop. Prvič, predlaga, da je treba funkcionalnosti, ki so že predvidene, pojasniti in natančneje obravnavati ter, drugič, da je treba uporabiti ustrezna postopkovna jamstva za zagotovitev, da se bo varstvo podatkov skrbno upoštevalo tudi ob nadaljnjem razvoju sistema IMI.

26.

ENVP priporoča, naj bo v uredbi navedenih več podrobnosti o funkcionalnostih, ki so že poznane, kot je bilo to navedeno v primeru izmenjav informacij iz prilog I in II.

27.

Na primer, podrobnejše in jasnejše ukrepe bi bilo mogoče predvideti za vključitev mreže SOLVIT (22) v sistem IMI (določbe za „zunanje udeležence“ in „reševanje problemov“) in za imenike strokovnjakov in izvajalcev storitev (določbe za „podatkovne zbirke“).

28.

Dodatna pojasnila so potrebna tudi v zvezi z „opozarjanjem“, ki se že izvaja v okviru direktive o storitvah in bi ga bilo prav tako mogoče uvesti še na druga področja politike. Zlasti „opozarjanje“ kot funkcionalnost bi bilo treba jasno opredeliti v členu 5 (skupaj z drugimi funkcionalnostmi, kot so izmenjave informacij med dvema stranema in podatkovne zbirke). Pojasniti bi bilo treba tudi pravice dostopa in obdobja hranjenja za opozarjanje (23).

29.

Če naj bi se uredba izvajala dolgoročno v smislu dodatnih funkcionalnosti, ki bi lahko bile nujne na daljši rok, in naj bi tako omogočala dodatne funkcionalnosti, ki v uredbi še niso določene, bi morala to spremljati ustrezna postopkovna jamstva za zagotovitev, da bodo sprejete ustrezne določbe, zato da se pred uvedbo nove funkcionalnosti izvedejo potrebni zaščitni ukrepi za varstvo podatkov. Enako bi moralo veljati za širitve na nova področja politike, kadar to vpliva na varstvo podatkov.

30.

ENVP priporoča jasen mehanizem, ki bo zagotovil, da bodo pred vsako razširitvijo funkcionalnosti ali širitvijo na nova področja politike skrbno proučeni pomisleki glede varstva podatkov in da bodo v arhitekturo sistema IMI po potrebi uvedeni dodatni zaščitni ali tehnični ukrepi. Zlasti:

31.

Ti postopkovni jamstvi (ocena učinka na varstvo podatkov in posvetovanje) bi morali veljati tudi za razširitev na podlagi delegiranega akta Komisije (prenos postavke iz Priloge II v Prilogo I) in na podlagi uredbe Parlamenta in Sveta, ki vključuje postavko, ki ni navedena v Prilogi II.

32.

Nazadnje, ENVP priporoča, naj se v uredbi pojasni, ali bo področje uporabe delegiranih aktov, ki jih bo lahko Komisija sprejela na podlagi člena 23, poleg prenosa postavk iz Priloge II v Prilogo I vključevalo še kaj drugega. Če je mogoče, bi Komisija morala biti v uredbi pooblaščena za sprejetje posebnih izvedbenih ali delegiranih aktov, s katerimi bi se nadalje opredelile morebitne dodatne funkcionalnosti sistema ali odpravili kakršni koli pomisleki glede varstva podatkov, ki bi se lahko pojavili v prihodnje.

33.

ENVP pozdravlja dejstvo, da je celotno poglavje (poglavje II) posvečeno pojasnitvi nalog in odgovornosti različnih udeležencev v sistemu IMI. Določbe bi bilo mogoče nadalje krepiti na naslednji način.

34.

V členu 9 so opisane pristojnosti Komisije kot nadzornika. ENVP poleg tega priporoča vključitev dodatne določbe, ki bi se sklicevala na vlogo Komisije pri zagotavljanju, da je sistem zasnovan po načelih vgrajene zasebnosti, in njeno usklajevalno vlogo pri vprašanjih varstva podatkov.

35.

ENVP je zadovoljen, da naloge koordinatorjev sistema IMI, naštete v členu 7, zdaj izrecno vključujejo usklajevalne naloge v zvezi z varstvom podatkov, vključno z nalogo, da koordinatorji delujejo kot oseba za stike s Komisijo. Priporoča, naj se nadalje pojasni, da te usklajevalne naloge obsegajo tudi stike z nacionalnimi organi za varstvo podatkov.

36.

Člen 10 določa zaščitne ukrepe v zvezi s pravicami dostopa. ENVP pozdravlja dejstvo, da so bile te določbe na podlagi njegovih pripomb bistveno okrepljene.

37.

Glede na horizontalno in širitveno naravo sistema IMI je pomembno zagotoviti, da sistem uporablja informacijske pregrade (tako imenovanih kitajskih zidov), ki informacije, obdelane na enem področju politike, omejijo samo na to področje politike: Uporabniki sistema IMI bi morali imeti (i) samo dostop do informacij, ki jih resnično morajo poznati in (ii) ki so omejene na eno samo področje politike.

38.

Če se ni mogoče izogniti temu, da bi imel uporabnik sistema IMI pravico dostopa do informacij z več področij politike (kot se lahko zgodi na primer v nekaterih lokalnih vladnih pisarnah), bi moral sistem onemogočati vsaj združevanje informacij, ki izhajajo z različnih področij politike. Izjeme, če so potrebne, bi morale biti določene v izvedbenih zakonih ali aktu Unije, ob strogem upoštevanju načela omejitve namena.

39.

Ta načela so zdaj začrtana v besedilu uredbe, vendar bi jih bilo mogoče nadalje krepiti in uresničevati.

40.

ENVP v zvezi s pravicami dostopa Komisije pozdravlja dejstvo, da je v členu 9(2) in (4) v povezavi s členom 10(6) predloga podrobno določeno, da Komisija ne bo imela dostopa do osebnih podatkov, ki so izmenjani med državami članicami, razen če bo imenovana za udeleženko v upravnem sodelovanju.

41.

Podrobneje je treba določiti tudi pravice dostopa zunanjih udeležencev in pravice dostopa do opozoril (24). ENVP glede opozarjanja priporoča, naj se v uredbi določi, da se opozorila ne bi smela samodejno pošiljati vsem zadevnim pristojnim organom v vseh državah članicah, temveč samo organom, ki jih to zadeva glede na „potrebo po seznanitvi“. To ne izključuje pošiljanja opozoril vsem državam članicam v posebnih primerih ali na posebnih področjih politike, kadar to zadeva vse. Podobno je treba za vsak primer posebej proučiti, ali bi morala Komisija imeti dostop do opozoril.

42.

S členom 13 predloga je obdobje hranjenja podatkov v sistemu IMI s sedanjih šestih mesecev (ki se štejejo od zaključka primera) podaljšano na pet let, pri čemer se podatki po 18 mesecih „blokirajo“. V obdobju „blokiranja“ so podatki dostopni samo na podlagi posebnega postopka pridobitve, ki se lahko sproži le na zahtevo posameznika, na katerega se nanašajo osebni podatki, ali če so podatki potrebni „za namene zagotovitve dokaza o izmenjavi informacij s [sistemom] IMI“.

43.

V bistvu so podatki v sistemu IMI tako shranjeni v treh različnih obdobjih:

44.

Poleg teh splošnih pravil je v členu 13(2) dovoljeno hranjenje podatkov v „podatkovni zbirki“ toliko časa, kot je to potrebno za ta namen, s privolitvijo posameznika, na katerega se nanašajo osebni podatki, „ali če je to potrebno za izpolnitev zahteve iz akta Unije“. Dalje, člen 14 določa podoben mehanizem blokiranja zaradi hranjenje osebnih podatkov uporabnikov sistema IMI še pet let po tem, ko ti prenehajo biti uporabniki tega sistema.

45.

Drugih posebnih določb ni. Zato naj bi se splošna pravila domnevno uporabljala ne samo za izmenjave med dvema stranema, temveč tudi za opozarjanje, reševanje problemov (kot v mreži SOLVIT (26)) in za vse druge funkcionalnosti, ki vključujejo obdelavo osebnih podatkov.

46.

ENVP ima več pomislekov glede obdobij hranjenja v skladu s členom 6(1)(e) Direktive 95/46/ES in členom 4(1)(e) Uredbe (ES) št. 45/2001, v katerih se zahteva, da se podatki ne smejo hraniti dlje, kot je to potrebno za namene, za katere so bili podatki zbrani ali za katere se nadalje obdelujejo.

47.

ENVP je v zvezi s prvim obdobjem, tj. od naložitve informacij do zaključka primera, zaskrbljen, da se nekateri primeri ne bodo nikoli zaključili ali da se bodo zaključili šele po nesorazmerno dolgem času. To bi lahko privedlo do tega, da bi nekateri osebni podatki ostali v podatkovni zbirki dlje, kot je to potrebno, ali celo za nedoločen čas.

48.

ENVP razume, da je Komisija na praktični ravni dosegla napredek pri zmanjševanju zaostanka v sistemu IMI in da je bil vzpostavljen sistem za izmenjave med dvema stranema za spremljanje pravočasnega zaključevanja primerov in občasno opozarjanje tistih, ki zaostajajo. Poleg tega nova sprememba funkcionalnosti sistema na podlagi pristopa vgrajene zasebnosti omogoča, da se z enim samim pritiskom na gumb sprejme odgovor in hkrati zaključi primer. Prej sta bila za to potrebna dva ločena koraka, kar je lahko privedlo do tega, da so nekateri mirujoči primeri ostali v sistemu.

49.

ENVP pozdravlja ta prizadevanja na praktični ravni. Kljub temu priporoča, naj se v besedilu uredbe določijo jamstva, da bodo primeri v sistemu IMI zaključeni pravočasno in da bodo mirujoči primeri (primeri brez nedavne dejavnosti) izbrisani iz podatkovne zbirke.

50.

ENVP poziva k ponovnemu razmisleku o tem, ali obstaja upravičen razlog za podaljšanje trenutnega šestmesečnega obdobja na 18 mesecev od zaključka primera, in če je tako, ali se ta upravičeni razlog nanaša samo na izmenjave informacij med dvema stranema ali tudi na druge vrste funkcionalnosti. Sistem IMI deluje že več let, zato bi bilo treba izkoristiti praktične izkušnje, ki so bile pridobljene v zvezi s tem.

51.

Če se bo sistem IMI še naprej uporabljal kot orodje za izmenjavo informacij (v nasprotju s sistemom za upravljanje datotek, podatkovno zbirko ali sistemom arhiviranja) in če bo pristojnim organom omogočeno, da iz sistema pridobijo informacije, ki so jih prejeli (elektronsko ali v papirni obliki, v vsakem primeru pa tako, da lahko pridobljene informacije uporabijo kot dokaz (27)), se zdi, da ni velike potrebe po tem, da bi podatki po zaključku primera ostali v sistemu IMI.

52.

Pri izmenjavah informacij med dvema stranema bi bila lahko morebitna potreba po dodatnih vprašanjih tudi po prejetju odgovora, in torej po zaključku primera, upravičen razlog za (razumno kratko) obdobje hranjenja podatkov po zaključku primera. Sedanje šestmesečno obdobje se zato na prvi pogled zdi dovolj dolgo.

53.

ENVP meni, da Komisija prav tako ni dovolj utemeljila nujnosti in sorazmernosti hranjenja „blokiranih podatkov“ do preteka petih let.

54.

Obrazložitveni memorandum se na strani 8 sklicuje na odločitev Sodišča v zadevi Rijkeboer  (28). ENVP priporoča, naj Komisija ponovno razmisli, kakšne posledice ima ta zadeva za hranjenje podatkov v sistemu IMI. Po njegovem mnenju sodba Rijkeboer ne pomeni, da je treba sistem IMI konfigurirati tako, da bodo podatki shranjeni še pet let po zaključku primera.

55.

ENVP meni, da sklicevanje na sodbo Rijkeboer ali pravice posameznikov, na katere se nanašajo osebni podatki, do dostopa do svojih podatkov ni zadosten in upravičen razlog za to, da se podatki hranijo v sistemu IMI še pet let po zaključku primera. Manj vsiljiva možnost bi bila lahko hranjenje samo „dnevniških podatkov“ (strogo opredeljeno, da se med drugim izključijo vsakršna vsebina, priponke ali občutljivi podatki), ki bi bila vredna nadaljnjega razmisleka. Vendar ENVP ni prepričan, da bi bilo celo to na tej stopnji nujno ali ustrezno.

56.

Težava je tudi v tem, da ni dovolj jasno, kdo ima dostop do „blokiranih podatkov“ in za kakšne namene. Samo sklicevanje na uporabo „za namene zagotovitve dokaza o izmenjavi informacij“ (kot v členu 13(3)) ni dovolj. Če bo določba glede „blokiranja“ ohranjena, bi bilo treba vsekakor jasneje določiti, kdo lahko zaprosi za dokaz o izmenjavi informacij in v kakšnih okoliščinah. Bi lahko poleg posameznika, na katerega se nanašajo osebni podatki, za dostop zaprosili tudi drugi? Če to drži, bi bili to samo pristojni organi in le zaradi dokazovanja, da so bile izmenjane določene informacije z določeno vsebino (če bi pristojni organi, ki so sporočilo poslali ali prejeli, tako izmenjavo zanikali)? Ali so predvidene še druge možnosti uporabe „za namene zagotovitve dokaza o izmenjavi informacij“ (29)?

57.

ENVP priporoča, naj se uvede jasnejše razlikovanje med opozarjanjem in podatkovnimi zbirkami. Če se opozarjanje uporabi kot komunikacijsko orodje, da se pristojne organe opozori na določeno kršitev ali sum, je to povsem nekaj drugega, kot če se to opozorilo shrani v podatkovno zbirko za daljše ali celo nedoločeno časovno obdobje. Hranjenje informacij o opozorilu bi vzbudilo dodatne pomisleke in bi zahtevalo posebna pravila in dodatne zaščitne ukrepe za varstvo podatkov.

58.

ENVP zato priporoča, naj se v uredbi kot privzeto pravilo določi, da (i) se za opozorila uporablja šestmesečno obdobje hranjenja, če ni drugače določeno v vertikalni zakonodaji in če so zagotovljeni ustrezni zaščitni ukrepi, in, kar je še posebno pomembno, da (ii) se to obdobje šteje od trenutka pošiljanja opozorila.

59.

ENVP kot drugo možnost priporoča, naj se v predlagani uredbi izrecno določijo podrobni zaščitni ukrepi v zvezi z opozarjanjem. Če se bo upošteval ta drugi pristop, je ENVP Komisiji in zakonodajalcem pri tem pripravljen pomagati z nadaljnjim svetovanjem.

60.

ENVP pozdravlja razlikovanje med osebnimi podatki iz člena 8(1) Direktive 95/46/ES na eni strani in osebnimi podatki iz člena 8(5) na drugi strani. Prav tako pozdravlja dejstvo, da uredba jasno določa, da je obdelava posebnih vrst podatkov dovoljena samo na podlagi posebnega razloga iz člena 8 Direktive 95/46/ES.

61.

Po mnenju ENVP to pomeni, da bo v sistemu IMI obdelana precejšnja količina občutljivih podatkov, ki spadajo v okvir člena 8(2) Direktive 95/46/ES. Sistem IMI je bil že od vsega začetka, ko je bil prvič uveden v podporo upravnemu sodelovanju na podlagi direktiv o storitvah in poklicnih kvalifikacijah, resnično namenjen obdelavi takih podatkov, zlasti podatkov iz evidenc o kazenskih in upravnih kršitvah, ki lahko vplivajo na pravico strokovnjaka ali ponudnika storitve do opravljanja dela/storitev v drugi državi članici.

62.

Poleg tega bo v sistemu IMI verjetno obdelana precejšnja količina občutljivih podatkov v smislu člena 8(1) (večinoma zdravstveni podatki), ko se bo ta sistem razširil tudi na modul za mrežo SOLVIT (30). Nazadnje ni mogoče izključiti, da se bodo v prihodnje v sistemu IMI zbirali še drugi občutljivi podatki, na ad hoc ali sistematični podlagi.

63.

ENVP z zadovoljstvom ugotavlja, da je v členu 16 izrecno navedena obveznost Komisije, da upošteva svoja interna pravila, ki jih je sprejela za uskladitev s členom 22 Uredbe (ES) št. 45/2001, ter da sprejme in posodablja varnostni načrt za sistem IMI.

64.

Da bi te določbe še bolj okrepili, ENVP priporoča, naj se v uredbi zahteva, da se pred vsako razširitvijo sistema IMI na novo področje politike ali pred dodajanjem nove funkcionalnosti, ki vpliva na osebne podate, izvedeta ocena tveganja in pregled varnostnega načrta (31).

65.

Poleg tega ENVP opozarja, da se člen 16 in uvodna izjava 16 sklicujeta samo na obveznosti Komisije in nadzorno vlogo ENVP. Tako sklicevanje je lahko zavajajoče. Čeprav drži, da je Komisija kot upravljavka sistema odgovorna za pretežni del vzdrževanja varnosti v sistemu IMI, imajo obveznosti tudi pristojni organi, ki so pod nadzorom nacionalnih organov za varstvo podatkov. Člen 16 in uvodna izjava 16 bi se zato morala sklicevati tudi na obveznosti glede varnosti, ki veljajo za preostale udeležence v sistemu IMI na podlagi Direktive 95/46/ES, in na nadzorna pooblastila nacionalnih organov za varstvo podatkov.

66.

ENVP v zvezi s členom 17(1) priporoča, naj se v uredbo vključijo podrobnejše določbe za zagotovitev, da bodo posamezniki, na katere se nanašajo osebni podatki, v celoti obveščeni o obdelavi svojih podatkov v sistemu IMI. Glede na to, da sistem IMI uporabljajo različni pristojni organi, vključno z velikim številom malih lokalnih vladnih pisarn, ki nimajo zadostnih sredstev, je zelo priporočljivo, da se obveščanje usklajuje na nacionalni ravni.

67.

Komisija mora na podlagi člena 17(2)(a) zagotoviti obvestilo o varovanju zasebnosti v zvezi s svojimi dejavnostmi obdelave podatkov v skladu s členoma 10 in 11 Uredbe (ES) št. 45/2001. Poleg tega mora na podlagi člena 17(2)(b) zagotoviti informacije o „vidikih postopkov upravnega sodelovanja v [sistemu] IMI iz člena 12, ki zadevajo varstvo podatkov“. Nazadnje, na podlagi člena 17(2)(c) mora Komisija zagotoviti informacije o „izjemah ali omejitvah pravic posameznikov, na katere se nanašajo [osebni] podatki, iz člena 19“.

68.

ENVP z zadovoljstvom ugotavlja, da te določbe prispevajo k preglednosti dejavnosti obdelave podatkov v sistemu IMI. Kot je navedeno v razdelku 2.1 zgoraj, je v primeru informacijskega sistema, ki se uporablja v 27 različnih državah članicah, bistveno zagotoviti doslednost delovanja sistema, izvedenih zaščitnih ukrepov za varstvo podatkov in informacij, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki (32).

69.

Vendar bi bilo treba določbe člena 17(2) nadalje krepiti. Komisija lahko kot upravljavka sistema najbolje prevzame proaktivno vlogo pri objavi prve „plasti“ obvestila o varstvu podatkov in drugih zadevnih informacij posameznikom, na katere se nanašajo osebni podatki, na svoji večjezični spletni strani, tudi „v imenu“ pristojnih organov, ter tako zajame informacije, ki se zahtevajo na podlagi členov 10 ali 11 Direktive 95/46/ES. Tako bi pogosto zadoščalo, če bi se v obvestilih pristojnih organov v državah članicah preprosto navedlo sklicevanje na obvestilo Komisije, to pa bi se po potrebi dopolnilo samo z morebitnimi posebnimi dodatnimi informacijami, ki se izrecno zahtevajo z nacionalno zakonodajo.

70.

Poleg tega bi moralo biti v členu 17(2)(b) navedeno pojasnilo, da se bodo informacije, ki jih bo zagotovila Komisija, izčrpno nanašale na vsa področja politike, vse vrste postopkov upravnega sodelovanja in vse funkcionalnosti v sistemu IMI, izrecno pa bodo vključevale tudi vrste podatkov, ki se lahko obdelujejo. To bi moralo vključevati tudi objavo sklopov vprašanj, ki se uporabljajo pri sodelovanju med dvema stranema, na spletni strani sistema IMI, kot je trenutna praksa.

71.

ENVP bi rad še enkrat opozoril na dejstvo, navedeno v razdelku 2.1 zgoraj, da je zagotovitev doslednosti pri delovanju sistema in uporabi zaščitnih ukrepov za varstvo podatkov bistvenega pomena. ENVP bi zato uvedel podrobnejše določbe o pravicah do dostopa, popravka in izbrisa.

72.

V členu 18 bi bilo treba podrobno določiti, na koga naj se posamezniki, na katere se nanašajo osebni podatki, obrnejo s prošnjo za dostop. To bi moralo biti jasno glede dostopa do podatkov v različnih časovnih obdobjih:

73.

V uredbi bi se moralo tudi zahtevati, da pristojni organi sodelujejo v zvezi s prošnjami za dostop, če je to potrebno. Popravek in izbris bi se morala namesto „v 60 dneh“ izvesti „čim prej, vendar najpozneje v 60 dneh“. Navesti bi bilo treba tudi možnost oblikovanja modula za varstvo podatkov in možnost rešitev vgrajene zasebnosti za sodelovanje med organi v zvezi s pravicami do dostopa ter „krepitve vloge oseb, na katere se [nanašajo osebni] podatki“, na primer tako, da se jim zagotovi neposreden dostop do njihovih podatkov, če je to primerno in izvedljivo.

74.

V zadnjih letih se je razvil model „usklajenega nadzora“. Ta model nadzora, ki zdaj deluje v sistemu EURODAC in delih carinskega informacijskega sistema, bo kmalu razširjen na vizumski informacijski sistem (VIS) in schengenski informacijski sistem druge generacije (SIS II).

75.

Model ima tri plasti:

76.

Ta model se je izkazal kot uspešen in učinkovit, v prihodnje pa ga je treba predvideti še za druge informacijske sisteme.

77.

ENVP pozdravlja dejstvo, da člen 20 predloga izrecno določa usklajen nadzor med nacionalnimi organi za varstvo podatkov in ENVP, ki je – v širšem smislu – skladen z modelom iz uredbe VIS in uredbe SIS II (33).

78.

ENVP bi v nekaterih točkah okrepil določbe o usklajenem nadzoru in bi zato podprl podobne določbe, kot so na primer uvedene v okviru vizumskega informacijskega sistema (členi od 41 do 43 uredbe VIS), schengenskega informacijskega sistema druge generacije (členi od 44 do 46 uredbe SIS II) in kot so predvidene za sistem EURODAC (34). Zlasti bi bilo koristno, če bi se v uredbi:

79.

Vendar se ENVP zaveda sedanje majhnosti, različne vrste obdelovanih podatkov in spreminjajoče se narave sistema IMI. Zato priznava, da bi bila glede na pogostnost srečanj in revizij morda priporočljiva večja prožnost. Skratka, ENVP priporoča, naj bodo v uredbi navedena potrebna minimalna pravila za zagotovitev učinkovitega sodelovanja, ni pa treba ustvarjati nepotrebnih upravnih bremen.

80.

V členu 20(3) predloga se ne zahtevajo redna srečanja, temveč je samo določeno, da lahko ENVP „nacionalne nadzorne organe povabi na srečanje, če je to potrebno“. ENVP pozdravlja dejstvo, da se lahko na podlagi teh določb zadevne stranke same odločijo o pogostnosti in podrobnostih srečanj ter drugih postopkovnih pravilih svojega sodelovanja. Te je mogoče določiti v poslovniku, na katerega je že navedeno sklicevanje v predlogu.

81.

V zvezi z rednimi revizijami bi bilo prav tako morda učinkoviteje, če bi sodelujočim organom prepustili, da v svojem poslovniku določijo, kdaj in kako pogosto naj bi potekale take revizije. To je lahko odvisno od številnih dejavnikov, sčasoma pa se lahko tudi spremeni. ENVP zato podpira pristop Komisije, ki omogoča več prožnosti tudi v zvezi s tem.

82.

ENVP pozdravlja dejstvo, da predlog določa jasno pravno podlago za nacionalno uporabo sistema IMI in da za tako uporabo postavlja več pogojev, vključno s tem, da se je treba posvetovati z nacionalnim organom za varstvo podatkov in da mora biti uporaba v skladu z nacionalno zakonodajo.

83.

ENVP pozdravlja zahteve, ki jih člen 22(1) določa za izmenjavo informacij, in dejstvo, da je v členu 22(3) zagotovljena preglednost razširitve, tako da se v Uradnem listu objavi posodobljen seznam tretjih držav, ki uporabljajo sistem IMI (člen 22(3)).

84.

ENVP priporoča še, naj Komisija zoži sklicevanje na odstopanja na podlagi člena 26 Direktive 95/46/ES, tako da vključuje samo člen 26(2). Povedano drugače: pristojni organi ali drugi zunanji udeleženci v tretji državi, ki ne morejo zagotoviti ustreznega varstva, ne bi smeli imeti neposrednega dostopa do sistema IMI, razen če so uvedene ustrezne pogodbene klavzule. Pogajanja o teh klavzulah morajo potekati na ravni EU.

85.

ENVP poudarja, da z drugimi odstopanji, na primer če je „prenos potreben oziroma ga zahteva zakon na temelju pomembnega javnega interesa ali pa za uveljavitev, izvajanje ali obdržanje pravice do pravnih zahtevkov“, ne bi smeli utemeljevati prenosa podatkov tretjim državam, ki imajo neposreden dostop do sistema IMI (38).

86.

ENVP v skladu s pričakovano okrepitvijo ureditve za večjo odgovornost ob pregledu okvira EU za varstvo podatkov (39) priporoča, naj se v uredbi določi jasen okvir za ustrezne mehanizme notranjega nadzora, ki bi zagotovil skladnost z določbami o varstvu podatkov in dokaze o njej, vseboval pa bi vsaj spodaj navedene elemente.

87.

ENVP v teh okoliščinah pozdravlja zahtevo iz člena 26(2) uredbe, da mora Komisija ENVP vsaka tri leta poročati o vidikih v zvezi z varstvom osebnih podatkov, vključno z varnostjo podatkov. Priporočljivo bi bilo, da bi se v uredbi pojasnilo, da mora ENVP poročilo Komisije v okviru usklajenega nadzora iz člena 20 posredovati nacionalnim organom za varstvo podatkov. Prav tako bi bilo koristno pojasniti, da je treba v poročilu za vsako področje politike in vsako funkcionalnost proučiti, kako se ključna načela in pomisleki glede varstva podatkov (na primer obveščanje posameznikov, na katere se nanašajo osebni podatki, pravice dostopa, varnost) obravnavajo v praksi.

88.

Poleg tega bi bilo treba v uredbi pojasniti, da mora okvir mehanizmov notranjega nadzora vključevati tudi ocene zasebnosti (vključno z analizo tveganja glede varnosti), sprejetje politike varstva podatkov (vključno z varnostnim načrtom) na podlagi teh ocen ter redne preglede in revizije.

89.

ENVP pozdravlja dejstvo, da je v uvodni izjavi 6 uredbe navedeno sklicevanje na to načelo (40). Priporoča, da se poleg tega sklicevanja v uredbo vključijo tudi posebni zaščitni ukrepi glede vgrajene zasebnosti, kot so:

90.

Splošno stališče ENVP o sistemu IMI je pozitivno. ENVP podpira cilj Komisije glede vzpostavitve elektronskega sistema za izmenjavo informacij in ureditve vidikov varstva podatkov, ki so povezani z njim. Pozdravlja tudi dejstvo, da Komisija predlaga horizontalni pravni instrument za sistem IMI z uredbo Parlamenta in Sveta. Zadovoljen je, da so v predlogu izčrpno izpostavljena najpomembnejša vprašanja varstva podatkov za sistem IMI.

91.

ENVP v zvezi s pravnim okvirom za sistem IMI, ki naj bi bil določen v predlagani uredbi, opozarja na dva ključna izziva:

92.

Funkcionalnosti sistema IMI, ki so že predvidene, je treba pojasniti in natančneje obravnavati.

93.

Uvesti je treba ustrezna postopkovna jamstva za zagotovitev, da se bo varstvo podatkov skrbno upoštevalo tudi pri prihodnjem razvoju sistema IMI. To mora vključevati oceno učinka in posvetovanje z ENVP in nacionalnimi organi za varstvo podatkov pred vsako razširitvijo področja uporabe sistema IMI na novo področje politike in/ali nove funkcionalnosti.

94.

Podrobneje je treba določiti pravice dostopa zunanjih udeležencev in pravico dostopa do opozoril.

95.

V zvezi z obdobji hranjenja:

96.

V uredbi je treba pred vsako razširitvijo sistema IMI na novo področje politike ali pred dodajanjem nove funkcionalnosti, ki vpliva na osebne podatke, zahtevati oceno tveganja in pregled varnostnega načrta.

97.

Določbe o obveščanju posameznikov, na katere se nanašajo osebni podatki, in pravicah dostopa je treba okrepiti in spodbuditi bolj usklajen pristop.

98.

ENVP bi v nekaterih točkah okrepil določbe o usklajenem nadzoru in bi zato podprl podobne določbe, kot so na primer uvedene v okviru vizumskega informacijskega sistema, schengenskega informacijskega sistema druge generacije in kot so predvidene za sistem Eurodac. ENVP glede pogostnosti srečanj in revizij podpira prožen pristop iz predloga, s katerim naj bi se zagotovilo, da uredba določa potrebna minimalna pravila za zagotovitev učinkovitega sodelovanja brez ustvarjanja nepotrebnih upravnih bremen.

99.

Z uredbo je treba zagotoviti, da pristojni organi ali drugi zunanji udeleženci v tretji državi, ki ne zagotavljajo ustreznega varstva, nimajo neposrednega dostopa do sistema IMI, razen če so uvedene ustrezne pogodbene klavzule. Pogajanja o teh klavzulah morajo potekati na ravni EU.

100.

V uredbi je treba določiti jasen okvir za ustrezne mehanizme notranjega nadzora, ki zagotavlja skladnost z določbami o varstvu podatkov in dokaze o njej, vključno z ocenami zasebnosti (vključno z analizo tveganja glede varnosti), sprejetjem politike varstva podatkov (vključno z varnostnim načrtom) na podlagi rezultatov teh ocen ter redne preglede in revizije.

101.

Z uredbo je treba uvesti tudi posebne zaščitne ukrepe glede vgrajene zasebnosti.