Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52008XX0410(01)

Mnenje evropskega nadzornika za varstvo podatkov o pobudi Zvezne republike Nemčije z namenom sprejetja sklepa Sveta o izvajanju Sklepa 2007/…/PNZ o okrepitvi čezmejnega sodelovanja, zlasti na področju boja proti terorizmu in čezmejnemu kriminalu

UL C 89, 10.4.2008, p. 1–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

10.4.2008   

SL

Uradni list Evropske unije

C 89/1


Mnenje evropskega nadzornika za varstvo podatkov o pobudi Zvezne republike Nemčije z namenom sprejetja sklepa Sveta o izvajanju Sklepa 2007/…/PNZ o okrepitvi čezmejnega sodelovanja, zlasti na področju boja proti terorizmu in čezmejnemu kriminalu

(2008/C 89/01)

EVROPSKI NADZORNIK ZA VARSTVO PODATKOV JE –

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti in zlasti člena 286 Pogodbe,

ob upoštevanju Listine o temeljnih pravicah Evropske unije in zlasti člena 8 Listine,

ob upoštevanju Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov,

ob upoštevanju Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov ter zlasti člena 41 Uredbe –

SPREJEL NASLEDNJE MNENJE:

I.   UVOD

1.

V Uradnem listu je bila 9. novembra 2007 objavljena pobuda Zvezne republike Nemčije o sklepu Sveta o izvajanju Sklepa 2007/…/PNZ o okrepitvi čezmejnega sodelovanja, zlasti na področju boja proti terorizmu in čezmejnemu kriminalu (1) (v nadaljnjem besedilu „pobuda“). Navedeno pobudo dopolnjuje priloga z dne 18. oktobra 2007 z dodatnimi podrobnostmi glede izvajanja Sklepa 2007/…/PNZ (2) (v nadaljnjem besedilu „priloga“).

2.

ENVP ni bil zaprošen za mnenje glede te pobude o izvedbenem sklepu, zato ga je pripravil na lastno pobudo, podobno kot mnenje glede pobude o sklepu Sveta z dne 4. aprila 2007 (3).

3.

Država članica, ki prevzame pobudo za zakonodajni ukrep v okviru naslova VI Pogodbe EU, sicer ni pravno zavezana zaprositi ENVP za nasvet, vendar pa postopek sam tega ne izključuje. ENVP je v mnenju z dne 4. aprila 2007 celo priporočil, naj se členu 34 omenjenega sklepa Sveta doda naslednji stavek: „Svet se bo pred sprejetjem takšnega izvedbenega ukrepa posvetoval z ENVP“. Priporočilo žal ni bilo upoštevano, kljub utemeljitvi, da bodo sicer v tem primeru izvedbeni ukrepi vplivali na obdelavo osebnih podatkov. Zadevna pobuda Zvezne republike Nemčije je nazoren primer te utemeljitve.

4.

ENVP v zvezi s tem ni sprejel nobenega vsebinskega sklepa. To je v skladu s pristopom Sveta, v skladu s katerim naj bi čim manj spreminjali pobudo in s tem zagotovili popolno združljivost z besedilom Prümske pogodbe, ki so jo pred tem podpisale številne države članice. ENVP bo o demokratičnem vplivu tega pristopa razpravljal v nadaljevanju tega mnenja.

II.   REFERENČNI IN PRAVNI OKVIR

5.

Prümsko pogodbo je maja 2005 zunaj okvira Pogodbe EU podpisalo sedem držav članic, ki so se jim kasneje pridružile še druge.

6.

Prümsko pogodbo dopolnjuje sporazum o njenem izvajanju, ki temelji na členu 44 Pogodbe in je bil sklenjen 5. decembra 2006. Navedeni sporazum je nujen za delovanje Prümske pogodbe.

7.

Glavni elementi Prümske pogodbe bodo v pravni okvir Evropske unije vključeni po sprejetju sklepa Sveta 2007/…/PNZ o pobudi petnajstih držav članic („prümska pobuda“), v zvezi s katerim je Svet že dosegel politični dogovor. Kot je potrjeno v preambuli Prümske pogodbe, so pogodbenice Pogodbe EU načrtovale to vključitev že od vsega začetka.

8.

Med zakonodajnim postopkom sprejemanja sklepa Sveta naj ne bi več razpravljali o glavnih vprašanjih – njegov namen je bil namreč doseči dogovor glede pravnega reda Prümske pogodbe, kar je bilo še posebej pomembno, saj je hkrati v številnih državah članicah še naprej potekal proces ratifikacije Pogodbe, ta čas pa je zaznamoval tudi začetek njene veljavnosti.

III.   NAMEN IN OSREDNJI ELEMENTI TEGA MNENJA

9.

V tem mnenju bo poudarek na osnutku sklepa Sveta o izvedbenih pravilih. Argumenti iz prejšnjega mnenja ENVP o sklepu Sveta glede prümske pobude so še vedno utemeljeni in ne bodo ponovljeni, razen če bo treba izpostaviti tista vprašanja, ki bi jih zakonodajalec lahko še vedno obravnaval v okviru izvedbenih pravil.

10.

S tem v zvezi je treba poudariti, da so izvedbena pravila posebnega pomena, saj so v njih – poleg nekaterih upravnih in tehničnih določb – opredeljeni tudi bistveni vidiki in orodja, povezani s sistemom in njegovim delovanjem. V poglavju 1 izvedbenih pravil, na primer, so določene opredelitve izrazov iz sklepa Sveta o prümski pobudi. Izvedbena pravila poleg tega vsebujejo skupne določbe o izmenjavi podatkov (poglavje 2), v njih pa so opredeljene tudi posebne značilnosti izmenjave podatkov o DNK (poglavje 3), daktiloskopski podatki (poglavje 4) in podatki iz registrov vozil (poglavje 5). V končnih določbah poglavja 6 so pomembni predpisi o sprejetju/pravila za sprejetje nadaljnjih izvedbenih pravil v priročnikih ter oceni izvajanja sklepa.

11.

V mnenju bo poleg tega obravnavana tudi priloga, in sicer v zvezi s tem, v kakšni meri prispeva ali bi morala prispevati k opredelitvi značilnosti predlaganega sistema in zagotovil za posameznike, na katere se nanašajo osebni podatki.

IV.   SPLOŠNO

Omejen manevrski prostor

12.

ENVP ugotavlja, da se tudi v tem primeru zdi, da ima Svet zaradi že veljavnih izvedbenih pravil za Prümsko pogodbo dejansko precej manj manevrskega prostora. V uvodni izjavi 3 in členu 18 pobude je celo navedeno, da so podlaga za izvedbeni sklep in priročnike izvedbene določbe o upravnem in tehničnem izvajanju Prümske pogodbe, o katerih je bil dogovor dosežen 5. decembra 2006. V skladu s to pobudo bo moralo tako vseh 27 držav članic slediti poti, ki jo je prvotno začrtalo tistih sedem držav članic, ki so kot prve podpisale Prümsko pogodbo.

13.

Zakonodajni proces zaradi takšnega pristopa, ki močno zmanjšuje možnosti za široko razpravo, ne more biti resnično pregleden in demokratičen, nemogoče pa je tudi dejansko upoštevati zakonodajno vlogo Evropskega parlamenta oziroma svetovalno vlogo drugih institucij kot je ENVP. ENVP v zvezi s pobudo in prilogo k pobudi priporoča odprto razpravo, v kateri naj bi s prispevki sodelovali dejansko vsi institucionalni akterji, in pri čemer se upošteva vloga polnopravnega sozakonodajalca, ki jo bo Evropski parlament prevzel na tem področju, ko bo začela veljati Pogodba o reformi, podpisana 13. decembra 2007 v Lizboni.

Pravni okvir varstva podatkov in povezava z osnutkom okvirnega sklepa o varstvu podatkov v okviru tretjega stebra

14.

Veljavni pravni okvir za varstvo podatkov je zapleten in se hitro spreminja. V poglavju 6 prümske pobude Sveta so sicer določena nekatera zagotovila in posebna pravila v zvezi z varstvom podatkov, vendar niso samostojna, pač pa se mora kot osnova za njihovo pravilno izvajanje uporabiti popolnoma oblikovan splošen okvir za varstvo osebnih podatkov, ki se obdelujejo v organih policije in pravosodnih organih. Člen 25 prümske pobude Sveta se sedaj sklicuje na Konvencijo Sveta Evrope št. 108. Toda ENVP je že večkrat poudaril, da je treba načela iz navedene konvencije podrobneje opredeliti, in s tem zagotoviti visoko in usklajeno raven varstva podatkov, ki na območju svobode, varnosti in pravice omogoča uveljavljanje pravic državljanov hkrati pa tudi učinkovitost kazenskega pregona (4).

15.

Komisija je tako že oktobra 2005 predlagala splošni instrument, tj. okvirni sklep Sveta o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah (v nadaljnjem besedilu „okvirni sklep o varstvu podatkov v okviru tretjega stebra“). Svet tega predloga še ni sprejel; o njem se še vedno razpravlja, možne pa so tudi spremembe, kar pomeni še nadaljnjo zamudo pri sprejemanju in izvajanju. Kljub temu pa je sedaj jasno, da bi se navedeni okvirni sklep v sedanji obliki lahko uporabljal le za osebne podatke, ki jih med seboj izmenjujejo države članice, ne pa tudi za podatke, ki se obdelujejo izključno na nacionalni ravni (5).

16.

Kljub temu, da je cilj osnutka okvirnega sklepa o varstvu podatkov v okviru tretjega stebra zagotoviti visoko raven varstva podatkov, ta v sedanji obliki ponuja le minimalno usklajenost in zagotovila. To pomeni, da je treba pomanjkljivosti iz osnutka okvirnega sklepa o varstvu podatkov v okviru tretjega stebra sedaj obravnavati v nekaterih drugih instrumentih, kot je sedanja pobuda, ki pa bi sami potrebovali celovit splošni okvir za varstvo podatkov.

17.

ENVP zato po eni strani znova ponavlja, da sklepi Sveta o prümski pobudi ne bi smeli začeti veljati, preden države članice ne začnejo uporabljati splošnega okvirnega sklepa o varstvu podatkov v okviru tretjega stebra. Ta pogoj bi bilo treba posebej določiti v navedeni pobudi, predhodno pa bi bilo treba preveriti tudi, ali zagotovila za varstvo podatkov v okviru sistema izmenjave podatkov služijo svojemu namenu. S tem v zvezi je nadvse pomembno tudi, da se zagotovijo jasna razmerja med pravnimi instrumenti, in sicer zato, da se bo okvirni sklep o varstvu podatkov v okviru tretjega stebra uporabljal kot splošen predpis (lex generalis), hkrati pa bo mogoče uporabljati tudi druga posebna zagotovila in prilagojene strožje standarde iz prümske pobude Sveta (6).

18.

Po drugi strani pa bi moral zakonodajalec pojasniti, da se posebna pravila o varstvu podatkov iz poglavja 6 prümske pobude Sveta v zvezi z DNK, prstnimi odtisi in podatki iz registrov vozil uporabljajo pri izmenjavi teh podatkov, pa tudi pri njihovem zbiranju, hrambi in obdelavi na nacionalni ravni ter pri pošiljanju nadaljnjih osebnih podatkov v okviru področja uporabe sklepa Sveta. To pojasnilo bi bilo v skladu s členom 24(2) prümske pobude Sveta, hkrati pa bi bilo tudi logična posledica obveznosti držav članic, da zbirajo, shranjujejo in si med sabo izmenjujejo navedene vrste podatkov.

19.

To je toliko bolj pomembno glede na to, da področje uporabe osnutka okvirnega sklepa o varstvu podatkov v okviru tretjega stebra verjetno ne bo veljalo za obdelavo osebnih podatkov na nacionalni ravni. Svet je sicer sprejel to odločitev, vendar hkrati jasno navedel, da to še ne pomeni, da s pravno podlago ne bi bilo mogoče urejati postopkov obdelave take vrste. Glede na navedeno in ob upoštevanju dejstva, da sedanji sveženj pobud – ta vključuje prümsko pobudo Sveta in izvedbena pravila – nalaga obveznost vzpostavitve in vzdrževanja določenih zbirk podatkov, kot je zbirka podatkov o DNK, bi moral ta vsebovati tudi zagotovila v zvezi s postopki obdelave (tj. zbiranjem in hrambo profilov DNK), ki izhajajo iz zbiranja in hrambe. Če bi se torej v nasprotnem primeru ti pravni instrumenti uporabljali le za izmenjane podatke, v njih ne bi bilo ustreznih določil o varstvu osebnih podatkov, ki bi morala veljati za vse ukrepe na podlagi člena 30(1)(b) PEU.

20.

ENVP poziva zakonodajalca, naj v skladu s členom 30(1)(b) PEU zagotovi, in sicer še preden začne veljati sedanja pobuda, da bo vzpostavljen jasen, učinkovit in celovit pravni okvir za varstvo podatkov, ki bo združeval različne pravne instrumente s splošnimi predpisi in posebnimi zagotovili.

21.

V tem mnenju se bo ENVP zato po potrebi skliceval na tista vprašanja, ki v osnutku okvirnega sklepa o varstvu podatkov v okviru tretjega stebra niso bila (v celoti) obravnavana in bi jih bilo zato treba upoštevati pri izvajanju sistema iz sedanje pobude.

Preglednost procesa odločanja in izvedbenih pravil

22.

ENVP poudarja, da je preglednost bistven del procesa odločanja in izvajanja pravil. Po eni strani bi ta zato morala omogočiti polno in učinkovito udeležbo vseh s tem povezanih institucionalnih akterjev, po drugi pa dati prednost javni razpravi in ustreznemu obveščanju državljanov.

23.

Žal pa v tem primeru na preglednost vpliva cela vrsta okoliščin: na voljo ni nobenega obrazložitvenega memoranduma, v katerem bi bilo pojasnjeno, kakšna je utemeljitev predlaganih ukrepov oziroma kakšne so morebitne politične alternative; besedilo priloge še vedno ni dokončno, ni še bilo objavljeno v Uradnem listu, ni prevedeno v vse uradne jezike, sklicevanje na člene in terminologijo je pogosto nenatančno, in še vedno niso na voljo izjave držav članic glede vsebine zbirk podatkov o DNK; v sami pobudi niso določene obveznosti oziroma mehanizmi za ustrezno obveščanje državljanov o sprejetih ukrepih in spremembah teh ukrepov.

24.

ENVP zato priporoča boljšo preglednost ukrepov, kar bi bilo mogoče doseči tako, da se čimprej zagotovi dokončna različica priloge, pa tudi z vzpostavitvijo mehanizmov za obveščanje državljanov o značilnostih sistemov ter o tem, kakšne so njihove pravice in kako jih lahko uveljavljajo. V pobudi oziroma prilogi k tej pobudi bi bilo treba izrecno navesti, da je treba v zvezi s tem organizirati akcije obveščanja državljanov.

Obseg sistema

25.

Sedanja pobuda se v veliki meri opira na izvedbena pravila, določena na podlagi Prümske pogodbe. Kot pa je bilo ugotovljeno že v mnenju o prümski pobudi Sveta (točke 33–35), mehanizmi za izmenjavo informacij med nekaj državami članicami niso nujno primerni za uporabo v okviru veliko večjega sistema, kot je izmenjava informacij med 27 državami članicami, in bi jih bilo zato treba prilagoditi.

26.

Sistem manjšega obsega daje prednost tesnim stikom med udeleženimi državami članicami, in sicer pri kazenskem pregonu in pri spremljanju tveganja v zvezi z varstvom osebnih podatkov zadevnih oseb. To pa ne velja za večje sisteme, v okviru katerih se praksa v posameznih državah članicah in njihova pravna ureditev glede zbiranja, hrambe in obdelave podatkov, zlasti profilov DNK in prstnih odtisov, med seboj zelo razlikujeta. Poleg tega lahko uporaba različnih jezikov in različnih pravnih opredelitev vpliva na točnost pri izmenjavi podatkov med državami z različnimi pravnimi tradicijami. ENVP zato poziva zakonodajalca, naj pri nadaljnjih razpravah o sedanji pobudi temu primerno upošteva obseg sistema, in sicer tako, da zagotovi, da s povečanjem števila držav članic, ki so v sistem vključene, ta ne bo nič manj učinkovit. V izvedbenih pravilih je treba zlasti določiti posebne oblike za sporočanje podatkov ter pri tem upoštevati jezikovne razlike, stalno pa je treba spremljati tudi točnost izmenjave podatkov.

Sodelovanje organov za varstvo podatkov

27.

V pobudi bi bilo treba priznati pomembno vlogo neodvisnih nadzornih organov pri večjih čezmejnih izmenjavah podatkov, da bodo tako lahko učinkovito izvajali svoje naloge.

28.

V veljavnem pravnem okviru ni predvideno nikakršno posvetovanje s pristojnimi nadzornimi organi oziroma njihovo sodelovanje, kar zadeva spremembe izvedbenih pravil in prilog k tem pravilom (člen 18 pobude), izvajanje pravil o varstvu podatkov s strani držav članic (člen 20) oziroma oceno izmenjave podatkov (člen 21). Še posebej obžalovanja vredno je na primer dejstvo, da v poglavju IV priloge, v katerem so podrobno določena pravila za ocenjevanje izvajanja, pristojni organi za varstvo podatkov sploh niso omenjeni. ENVP priporoča, da se v navedenih členih izrecno prizna osrednja svetovalna vloga teh organov.

29.

S pobudo bi bilo treba poleg tega zagotoviti, da države članice dajo organom za varstvo podatkov na voljo (dodatna) sredstva, potrebna za opravljanje nalog nadzora v okviru izvajanja predlaganega sistema.

30.

V pobudi pa bi moralo biti določeno tudi to, da se bodo pristojni organi za varstvo podatkov redno sestajali na ravni EU in na ta način usklajevali svoje dejavnosti in uporabo teh instrumentov. To možnost bi bilo treba v pobudi izrecno določiti, saj v okvirnem sklepu o varstvu podatkov v okviru tretjega stebra ni predviden bolj splošen forum organov za varstvo podatkov na ravni EU.

V.   POSEBNA VPRAŠANJA

Opredelitev pojmov

31.

V členu 2 pobude je navedena vrsta opredelitev, ki deloma ustrezajo tistim iz sklepa Sveta. Najprej je treba poudariti, da se opredelitve iz člena 2 pobude ne ujemajo popolnoma z opredelitvami iz sklepa Sveta, zlasti iz člena 24 sklepa. Zakonodajalec bi moral besedili uskladiti in tako preprečiti težave pri izvajanju.

32.

ENVP je že v mnenju o prümski pobudi Sveta obžaloval, da osebni podatki niso jasno opredeljeni (točke 41–43). Še večja škoda pa je, da takšne opredelitve ni v predlaganih izvedbenih pravilih, saj je že zdaj jasno, da se osnutek okvirnega sklepa Sveta o varstvu podatkov v okviru tretjega stebra ne bo uporabljal pri zbiranju in obdelavi osebnih podatkov, zlasti profilov DNK, na nacionalni ravni. ENVP zato znova poziva zakonodajalca, naj v besedilo vključi jasno in celovito opredelitev osebnih podatkov.

33.

V izvedbenih določbah bi moralo tako biti pojasnjeno tudi, kako ravnati glede uporabe pravil za varstvo podatkov v primeru neznanih profilov DNK, tj. ko ti še niso bili pripisani določenemu posamezniku. Ti podatki se namreč zbirajo, izmenjujejo in medsebojno primerjajo ravno zato, da se jih pripiše osebam, na katere se nanašajo. Glede na to, da je cilj sistema ugotoviti, za katere osebe gre in da so torej ti podatki načeloma zagotovo le začasno „neznani“, bi zanje morala veljati vsaj večina določb in zagotovil v zvezi z osebnimi podatki, če že ni mogoče, da bi veljali vsi (7).

34.

ENVP tudi v zvezi z opredelitvijo „nekodiranega dela DNK“ (člen 2(e)) znova poudarja (8), da se lahko zmožnost nekaterih kromosomskih področij, da zagotovijo informacije o občutljivih dednih značilnostih določenega organizma, z razvojem znanosti izboljša. Opredelitev „nekodiranega dela“ bi zato morala takšna, da bi jo lahko razvijali,, in sicer na ta način, da ne bi več dovoljevala uporabe tistih označevalcev DNK, iz katerih bi bilo mogoče zaradi razvoja znanosti razbrati informacije o posebnih dednih značilnostih (9).

Točnost pri avtomatiziranem iskanju podatkov in avtomatiziranih primerjavah

35.

Člen 8 pobude ureja avtomatizirano iskanje in primerjavo profilov DNK, in sicer tako, da določa, da se avtomatizirano obvestilo o ujemanju „zagotovi le, če je bilo pri avtomatiziranem iskanju ali primerjavi ugotovljeno določeno minimalno ujemanje lokusov“. To minimalno ujemanje je opredeljeno v poglavju I Priloge: vse države članice zagotovijo, da profili DNK, do katerih so omogočile dostop, vsebujejo vsaj 6 od 7 „standardnih“ lokusov EU (točka 1.1 poglavja I Priloge); primerjale se bodo vrednosti lokusov, ki so splošni del profilov DNK, za katere organi zaprosijo, in profilov DNK, za katere so bili organi zaprošeni (točka 1.2); ujemanje se ugotovi, če se ujemajo vse vrednosti primerjanih lokusov („popolno ujemanje“) oziroma če se ti razlikujejo samo v eni vrednosti („delno ujemanje“) (točka 1.2); v poročilo bodo vključene vse informacije o popolnem in delnem ujemanju (točka 1.3).

36.

ENVP v zvezi s tem mehanizmom ugotavlja, da je točnost ujemanja bistvenega pomena. Večje ko je število lokusov, ki se ujemajo, manj verjetno je, da bi prišlo do napačnega ujemanja primerjanih profilov DNK. Zbirke podatkov DNK in njihove strukture se trenutno v okviru EU od države do države razlikujejo. Uporabljajo se različna števila in različni nizi lokusov. V prilogi je določeno, da je za minimalno ujemanje potrebnih 6 lokusov, ni pa pojasnjeno, kakšna je predvidena stopnja napake za ta sistem. ENVP v zvezi s tem ugotavlja, da v številnih državah uporabljajo večje število lokusov, da bi tako povečali natančnost ujemanja in zmanjšali možnost napačnega ujemanja (10). Da bi bilo torej mogoče ustrezno oceniti stopnjo natančnosti predvidenega sistema, je nujno treba zagotoviti informacije o predvideni stopnji napake za vsak niz primerjanih lokusov.

37.

To torej pomeni, da je minimalno število lokusov bistvenega pomena, in ga je zato treba določiti v besedilu sedanje pobude in ne v prilogi (to lahko Svet glede na člen 18 pobude spremeni s kvalificirano večino in brez posvetovanja s Parlamentom), s čimer bi bilo mogoče preprečiti, da bi manjše število lokusov vplivalo na točnost. Ustrezno je treba upoštevati možnost, da lahko pride do napak in napačnega ujemanja, in sicer z zagotovilom, da se, ko gre za delno ujemanje, v poročilu to tudi nedvoumno navede (organi, ki podatke prejmejo, pa so s tem opozorjeni, da gre za manj zanesljivo ujemanje od popolnega).

38.

V pobudi sami je poleg tega dopuščena možnost, da pri iskanju in primerjavah prihaja do večkratnega ujemanja, kot je izrecno navedeno v členu 8 pobude v zvezi s profili DNK in v poglavju 3 (točka 1.2) priloge v zvezi z vozili. V vseh teh primerih je treba poskrbeti za nadaljnje preverjanje, in s tem ugotoviti, kakšni so razlogi za večkratno ujemanje in katero ujemanje je točno, in sicer še pred nadaljnjo izmenjavo osebnih podatkov na podlagi ugotovljenega ujemanja.

39.

ENVP v tej zvezi tudi priporoča, da se zlasti med organi kazenskega pregona, ki primerjajo in iščejo profile DNK, poveča ozaveščenost glede dejstva, da profili DNK niso edinstveni identifikatorji, in da pri določenem številu lokusov celo popolno ujemanje še ne pomeni, da ne more priti do napačnega ujemanja, tj. da se osebo poveže z napačnim profilom DNK. Pri primerjavah in iskanju profilov DNK se napake lahko pojavijo na različnih stopnjah: zaradi nezadostne kakovosti pri zbiranju vzorcev DNK, morebitnih tehničnih napak pri analizi DNK, napak pri vnosu ali le zaradi tega, ker pri določenih lokusih, zajetih v primerjavi, pride do naključnega ujemanja. Kar zadeva zadnji primer, je verjetnost, da bo prišlo do napake, večja, če se primerja manjše število lokusov oziroma če se primerjava izvaja v razširjeni zbirki podatkov.

40.

Podobno argumentacijo bi bilo mogoče uporabiti v zvezi s točnostjo ujemanja podatkov o prstnih odtisih. V členu 12 je določeno, da bosta digitalizacija daktiloskopskih podatkov in njihovo posredovanje potekala v skladu z enotno obliko zapisa podatkov iz poglavja II priloge. Poleg tega vsaka država članica poskrbi, da so daktiloskopski podatki dovolj kakovostni, da jih je mogoče primerjati s pomočjo sistema za avtomatsko identifikacijo prstnih odtisov (AFIS – Automated Fingerprint Identification System). V poglavju 2 Priloge so navedene nekatere podrobnosti glede uporabljene oblike zapisa. ENVP glede na navedeno ugotavlja, da bi morali s pobudo in prilogo k pobudi v kar največji možni meri uskladiti različne sisteme za avtomatsko identifikacijo prstnih odtisov, ki jih uporabljajo države članice, pa tudi način uporabe teh sistemov, zlasti kar zadeva stopnjo napačne zavrnitve, ter s tem zagotoviti točnost postopka primerjave. Meni, da bi bilo treba to informacijo vključiti v priročnik, sestavljen v skladu s členom 18(2) pobude.

41.

Izredno pomembna je tudi natančna opredelitev zbirk podatkov o DNK (in o prstnih odtisih), saj lahko te – to je odvisno od držav članic – vsebujejo profile DNK oziroma prstne odtise različnih posameznikov, na katere se nanašajo osebni podatki (storilci kaznivih dejanj, osumljenci, drugi ljudje s prizorišča zločina itd.). V navedeni pobudi kljub tem razlikam niso opredeljene vrste zbirk, ki jih bodo uporabljale posamezne države članice, v prilogi pa še ni izjav s tem v zvezi. Zato lahko pride do ujemanja podatkov o DNK in prstnih odtisih, ki zadevajo sicer nepovezane in pogosto tudi nepomembne kategorije posameznikov, na katere se nanašajo osebni podatki.

42.

ENVP meni, da bi moralo biti v pobudi natančno določeno, katere vrste posameznikov, na katere se nanašajo osebni podatki, bodo vključene v izmenjavo podatkov, in na kakšen način se podatke o njihovem spremenjenem statusu v okviru primerjave oziroma iskanja sporoči drugim državam članicam. V pobudi bi bila na primer lahko določena obveznost, da se v poročilo o ujemanju vključijo informacije o vrstah posameznikov, na katere se nanašajo osebni podatki, uporabljene za primerjavo s podatki o DNK oziroma prstnih odtisih; ta informacija bi bila tako na voljo zaprošenim organom.

Ocena izmenjave podatkov

43.

Določba, da se izmenjava podatkov v skladu s členom 21 pobude in poglavjem 4 Priloge, oceni, je dobra. Žal pa se te določbe nanašajo le na upravno, tehnično in finančno izvedbo avtomatizirane izmenjave podatkov, nikjer pa ni predvidena ocena izvajanja pravil o varstvu podatkov.

44.

ENVP zato predlaga, da se pri izmenjavi podatkov posveti posebno pozornost oceni o tem, kako je poskrbljeno za varovanje podatkov, in sicer s posebnim poudarkom na namenu izmenjave podatkov, metodah obveščanja posameznikov, na katere se osebni podatki nanašajo, točnosti izmenjanih podatkov in napačnem ujemanju, zahtevkih za dostop do osebnih podatkov, rokih hrambe in učinkovitosti varnostnih ukrepov. Pri tem bi morali sodelovati ustrezni organi in strokovnjaki za varstvo podatkov, na primer tako, da se slednje vključi v evaluacijske obiske, določene s členom 4 Priloge, oziroma tako, da se ustreznim organom za varstvo podatkov pošlje poročilo o oceni iz člena 20 pobude in poglavja 4 Priloge.

Komunikacijska mreža in tehnični vidiki sistema

45.

V členu 4 pobude je določeno, da se bo celotna elektronska izmenjava podatkov odvijala prek komunikacijske mreže „TESTA II“. S tem v zvezi je v prilogi na strani 76 v točki 54 navedeno, da je sistem skladen z vidiki varstva podatkov glede na člene 21, 22 in 23 Uredbe (ES) št. 45/2001 ter Direktivo 95/46/ES. ENVP priporoča, da se to informacijo pojasni, in opredeli, kakšna bo vloga institucij Skupnosti v okviru tega sistema. Zato je treba v polni meri upoštevati nadzorno in svetovalno vlogo ENVP, ki izhaja iz Uredbe (ES) št. 45/2001.

46.

Kasneje, ko bo priloga dokončno izoblikovana in bo vsebovala vse podrobnosti in pojasnila glede značilnosti sistema, bo ENVP poleg tega preučil, ali je potrebno dodatno mnenje glede bolj tehničnih vidikov sistema.

VI.   SKLEPI

ENVP priporoča odprto razpravo o pobudi in njeni prilogi, v njej naj bi s prispevki sodelovali dejansko vsi institucionalni akterji, tudi ob upoštevanju vloge polnopravnega sozakonodajalca, ki jo bo Evropski parlament prevzel na tem področju, ko bo začela veljati Pogodba o reformi, podpisana 13. decembra 2007 v Lizboni.

ENVP poziva zakonodajalca, naj v skladu s členom 30(1)(b) PEU zagotovi, da bo vzpostavljen jasen, učinkovit in celovit pravni okvir za varstvo podatkov, ki bo združeval različne pravne instrumente s splošnimi predpisi in posebnimi zagotovili, in sicer še preden začne veljati sedanja pobuda.

Zato po eni strani ponavlja, da sklepi Sveta o prümski pobudi ne bi smeli začeti veljati, preden države članice ne začnejo uporabljati splošnega okvirnega sklepa o varstvu podatkov v okviru tretjega stebra, ki bi se uporabljal kot splošen predpis (lex generalis), obenem pa bi se uporabljale tudi tiste določbe iz prümske pobude Sveta, v katerih je poskrbljeno za posebna zagotovila in prilagojene strožje standarde.

Po drugi strani pa bi moral zakonodajalec pojasniti, da se posebna pravila o varstvu podatkov iz poglavja 6 prümske pobude Sveta v zvezi z DNK, prstnimi odtisi in podatki iz registrov vozil uporabljajo pri izmenjavi teh podatkov, pa tudi pri njihovem zbiranju, hrambi in obdelavi na nacionalni ravni ter pri pošiljanju nadaljnjih osebnih podatkov v okviru področja uporabe sklepa Sveta.

ENVP priporoča večjo preglednost ukrepov, kar bi bilo mogoče doseči tako, da se čimprej zagotovi dokončno različico priloge, pa tudi z vzpostavitvijo mehanizmov za obveščanje državljanov o značilnostih sistemov ter o tem, kakšne so njihove pravice in kako jih lahko uveljavljajo.

ENVP poziva zakonodajalca, naj pri nadaljnjih razpravah o sedanji pobudi temu primerno upošteva obseg sistema, in sicer tako, da zagotovi, da s povečanjem števila držav članic, sodelujočih v sistemu, ta ne bo nič manj učinkovit. V izvedbenih pravilih je treba zlasti določiti posebne oblike za sporočanje podatkov ter pri tem upoštevati jezikovne razlike, stalno pa je treba spremljati tudi točnost izmenjave podatkov.

ENVP priporoča, da se v členih o spremembah izvedbenih pravil in prilog k tem pravilom (člen 18), izvajanju pravil o varstvu podatkov s strani držav članic (člen 20) in oceni izmenjave podatkov (člen 21) izrecno prizna osrednja svetovalna vloga ustreznih organov za varstvo podatkov. S pobudo bi bilo poleg tega treba zagotoviti, da države članice dajo organom za varstvo podatkov na voljo (dodatna) sredstva, potrebna za opravljanje nalog nadzora v okviru izvajanja predlaganega sistema, v njej pa bi moralo biti poskrbljeno tudi za to, da se bodo pristojni organi za varstvo podatkov redno sestajali na ravni EU in na ta način usklajevali svoje dejavnosti in uporabo teh instrumentov.

ENVP zato znova poziva zakonodajalca, naj v besedilo vključi jasno in celovito opredelitev osebnih podatkov. V izvedbenih določbah bi moralo biti tako pojasnjeno tudi, kako ravnati glede uporabe pravil za varstvo podatkov v primeru neznanih profilov DNK, tj. ko ti še niso bili pripisani določenemu posamezniku. ENVP znova opozarja, da bi morala biti opredelitev „nekodiranega dela“ takšna, da bi jo lahko razvijali, in sicer na ta način, da ne bi več dovoljevala uporabe tistih označevalcev DNK, iz katerih bi bilo mogoče zaradi razvoja znanosti razbrati informacije o posebnih dednih značilnostih.

ENVP priporoča, da se pri avtomatiziranem iskanju in primerjavah ustrezno upošteva točnost postopka primerjave.

To pomeni, da se v okviru primerjav podatkov o DNK in pri njihovem iskanju zagotovi informacije o predvideni stopnji napake za vsak niz primerjanih lokusov, da je treba, ko gre za delno ujemanje, v poročilu to tudi nedvoumno navesti, da je treba pri večkratnem ujemanju izvesti dodatno preverjanje ter povečati ozaveščenost glede dejstva, da profili DNK niso edinstveni identifikatorji. Kar zadeva prstne odtise, bi bilo treba pobudo v kar največji možni meri uskladiti z različnimi sistemi za avtomatsko identifikacijo prstnih odtisov, ki jih uporabljajo države članice, pa tudi način uporabe teh sistemov, zlasti v zvezi z stopnjo napačne zavrnitve.

Poleg tega je treba natančno opredeliti zbirke podatkov o DNK in prstnih odtisih, saj lahko te – to je odvisno od držav članic – vsebujejo profile DNK oziroma prstne odtise različnih posameznikov, na katere se nanašajo osebni podatki. V pobudi bi moralo biti natančno določeno, katere vrste posameznikov, na katere se nanašajo osebni podatki, bodo vključene v izmenjavo podatkov, in na kakšen način se podatke o njihovem spremenjenem statusu v okviru primerjave oziroma iskanja sporoči drugim državam članicam.

ENVP predlaga, da se pri izmenjavi podatkov posveti posebno pozornost oceni o tem, kako je poskrbljeno za varovanje podatkov, in sicer s posebnim poudarkom na namenu izmenjave podatkov, metodah obveščanja posameznikov, na katere se osebni podatki nanašajo, točnosti izmenjanih podatkov in napačnem ujemanju, zahtevkih za dostop do osebnih podatkov, rokih hrambe in učinkovitosti varnostnih ukrepov. Pri tem bi morali sodelovati ustrezni organi in strokovnjaki za varstvo podatkov.

ENVP priporoča, da se pojasni uporaba komunikacijske mreže „TESTA II“ in njena skladnost z Uredbo (ES) št. 45/2001 ter opredeli, kakšna bo vloga institucij Skupnosti v okviru navedenega sistema.

V Bruslju, 19. decembra 2007

Peter HUSTINX

Evropski nadzornik za varstvo podatkov


(1)  UL C 267, 9.11.2007, str. 4.

(2)  Navedena priloga sicer še ni bila objavljena v uradnem listu, javnosti pa je dostopna v obliki dokumenta 11045/1/07 REV 1 ADD 1 v registru Sveta.

(3)  UL C 169, 21.7.2007, str. 2.

(4)  Glej tudi nedavno mnenje ENVP o prümski pobudi (členi 57–76) in Tretje mnenje ENVP z dne 27. aprila 2007 o predlogu okvirnega sklepa sveta o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah, člen 14 (UL C 139, 23.6.2007, str. 1).

(5)  Najnovejši osnutek tega predloga je na razpolago v registru dokumentov Sveta pod številko 16397/07.

(6)  V zvezi s to točko bi bilo treba skrbno preučiti besedilo člena 27(b) najnovejšega osnutka okvirnega sklepa Sveta o varstvu podatkov v okviru tretjega stebra ter o njem razpravljati.

(7)  Glede uporabe pravil o varstvu podatkov v primeru profilov DNK glej člen 29 mnenja delovne skupine 4/2007 z dne 20. junija 2007 o konceptu osebnih podatkov, WP136, str. 8–9; v istem mnenju je pojasnjen tudi podoben primer uporabe pravil o varstvu podatkov v primeru dinamičnih IP naslovov, str. 16–17.

(8)  Glej tudi mnenje ENVP z dne 28. februarja 2006 o Predlogu okvirnega sklepa Sveta o izmenjavi informacij v skladu z načelom dostopnosti (COM (2005) 490 konč.), točke 58–60 (UL C 116, 17.5.2006).

(9)  Glej v isti vrstici Prilogo I Resolucije Sveta z dne 25. junija 2001 o izmenjavi rezultatov analiz DNK (UL C 187, 3.7.2001, str. 1).

(10)  V Združenem kraljestvu na primer so v okviru nacionalne zbirke DNK število lokusov za profile DNK povečali s šest na deset, ravno tako z namenom, da bi izboljšali zanesljivost sistema.


Top