21.7.2011   

SL

Uradni list Evropske unije

C 215/13

1.

Komisija je 22. decembra 2010 sprejela predlog uredbe Evropskega parlamenta in Sveta o finančnih pravilih, ki se uporabljajo za letni proračun Unije („predlog“). Z njim sta združena in nadomeščena dva prejšnja predloga Komisije za pregled finančne uredbe („finančna uredba“, Uredba Sveta (ES, Euratom) št. 1605/2002 (3)). Prejšnja predloga sta se po eni strani nanašala na triletni pregled finančne uredbe, po drugi strani pa na pregled finančne uredbe zaradi njene uskladitve z Lizbonsko pogodbo (4).

2.

Predlog je bil 5. januarja 2011 poslan evropskemu nadzorniku za varstvo podatkov (ENVP) v skladu s členom 28(2) Uredbe (ES) št. 45/2001. Pred sprejetjem predloga je z ENVP potekalo neformalno posvetovanje. ENVP zakonodajalcu priporoča, naj na začetku predloga uredbe vključi sklicevanje na posvetovanje z ENVP.

3.

Predlog ima nekatere posledice za varstvo podatkov na ravni EU in nacionalni ravni, ki bodo obravnavane v tem mnenju.

4.

Predlog vsebuje sklicevanja na zadevne predpise o varstvu podatkov. Vendar to mnenje razlaga, da sta potrebni nadaljnja ureditev in razjasnitev za zagotovitev popolne skladnosti s pravnim okvirom za varstvo podatkov.

5.

Predlagana uredba zajema več vprašanj, ki vključujejo obdelavo osebnih podatkov v institucijah, agencijah in organih EU ter pri subjektih na ravni držav članic. Te dejavnosti obdelave so podrobneje analizirane v nadaljevanju. Institucije, agencije in organe EU pri obdelavi osebnih podatkov zavezujejo pravila o varstvu podatkov, določena v Uredbi (ES) št. 45/2001. Subjekte, ki delujejo na nacionalni ravni, zavezujejo nacionalne določbe za izvajanje Direktive 95/46/ES v zadevni državi članici.

6.

ENVP z zadovoljstvom ugotavlja, da predlagana uredba vsebuje sklicevanja na enega ali oba od navedenih dveh aktov (5). Vendar pa predlog ne vsebuje sistematičnih in doslednih sklicevanj na akta. ENVP zato poziva zakonodajalca, naj v uredbi zavzame celovitejši pristop v zvezi s tem.

7.

ENVP zakonodajalcu priporoča, naj v preambulo uredbe vključi naslednje sklicevanje na Direktivo 95/46/ES in Uredbo (ES) št. 45/2001:

„Ta uredba ne vpliva na zahteve Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov.“

8.

ENVP priporoča tudi, da se sklicevanje na Direktivo 95/46/ES in Uredbo (ES) št. 45/2001 vključi v člen 57(2)(f), tako kot je vključeno v člen 31(3) predloga.

9.

V členu 28 predloga se obravnava notranja kontrola izvrševanja proračuna. V odstavku 2(d) je predvideno, da se za namene izvrševanja proračuna notranja kontrola uporablja kot razumno zagotovilo o doseganju preprečevanja, odkrivanja in odprave goljufij in nepravilnosti.

10.

Kadar Komisija posredno izvršuje proračun z deljenim upravljanjem z državami članicami ali s subjekti in osebami, razen državami članicami, je v členu 56(2) oziroma 57(3) navedeno, da države članice ter subjekti in druge osebe pri opravljanju nalog, povezanih z izvrševanjem proračuna, preprečujejo, odkrivajo in odpravljajo nepravilnosti in goljufije. Samo po sebi je razumljivo, da morajo biti taki ukrepi v celoti skladni z nacionalnimi določbami za izvajanje Direktive 95/46/ES.

11.

V zvezi s tem je v odstavku 4(f) člena 56 (ki bi moral biti 4(e) po logičnem vrstnem redu pododstavkov) navedeno, da organi, ki jih akreditirajo države članice ter so edini pristojni za pravilno upravljanje in kontrolo sredstev, „zagotavljajo varstvo osebnih podatkov, ki ustreza načelom iz Direktive 95/46/ES“. ENVP priporoča, da se to sklicevanje okrepi tako, da se spremeni v besedilo: „zagotavljajo, da je vsaka obdelava osebnih podatkov skladna z nacionalnimi določbami za izvajanje Direktive 95/46/ES“.

12.

Glede subjektov in oseb, razen držav članic, je v členu 57(2)(f) navedeno, da morajo ti subjekti in osebe „zagotavlja[ti] primerno varstvo osebnih podatkov“. ENVP ostro nasprotuje temu stavku, ki očitno omogoča manj strogo uporabo pravil o varstvu podatkov. Zato priporoča, da se tudi ta stavek nadomesti s stavkom: „zagotavljajo, da je vsaka obdelava osebnih podatkov skladna z nacionalnimi določbami za izvajanje Direktive 95/46/ES“.

13.

V členu 63(8) predloga je obravnavan pojav „prijavljanja nepravilnosti“. Zaposlene zavezuje, da morajo obvestiti odredbodajalca (ali posebno komisijo za finančne nepravilnosti, ustanovljeno v skladu s členom 70(6) predloga), če menijo, da je odločitev, ki jo morajo na zahtevo nadrejenega izvesti, nepravilna ali v nasprotju z načeli dobrega finančnega poslovodenja ali strokovnimi pravili, ki jih morajo upoštevati. V primeru kakršnega koli nezakonitega ravnanja, goljufije ali korupcije, ki lahko škoduje interesom Unije, morajo zaposleni o tem obvestiti organe in telesa, imenovane na podlagi veljavne zakonodaje.

14.

ENVP želi opozoriti, da so prijavitelji nepravilnosti v občutljivem položaju. Prejemniki takih informacij o nepravilnostih morajo zagotoviti, da ostane identiteta prijavitelja nepravilnosti zaupna in da zlasti ni znana osebi, na katero se nanaša razkrita domnevna nepravilnost (6). Zaupnost identitete prijavitelja nepravilnosti zagotavlja ne le zaščito te osebe, temveč tudi učinkovitost samega sistema prijavljanja nepravilnosti. Če ni zadostnih zagotovil glede zaupnosti, je manj verjetno, da bodo zaposleni poročali o nepravilnih ali nezakonitih dejavnostih.

15.

Zaupnost identitete prijavitelja nepravilnosti pa ni popolnoma zavarovana. Po prvi notranji preiskavi se lahko izvedejo nadaljnji postopkovni ali sodni ukrepi, med katerimi je treba identiteto prijavitelja nepravilnosti razkriti na primer sodnim organom. Pri tem je treba upoštevati nacionalna pravila, ki urejajo sodne postopke (7).

16.

Obstajajo lahko tudi primeri, ko ima oseba, obtožena nepravilnosti, pravico izvedeti ime prijavitelja nepravilnosti. To je mogoče, če taka oseba potrebuje identiteto prijavitelja nepravilnosti za sprožitev pravnega postopka zoper prijavitelja nepravilnosti, po tem ko je bilo ugotovljeno, da je ta zlonamerno dajal lažne izjave (8).

17.

ENVP priporoča, da se sedanji predlog spremeni in da se zagotovi, da identiteta prijavitelja nepravilnosti ostane zaupna med preiskavami, če to ni v nasprotju z nacionalnimi pravili o sodnih postopkih in če oseba, obtožena nepravilnosti, nima pravice do razkritja identitete prijavitelja nepravilnosti, ker je ta identiteta potrebna za sprožitev pravnega postopka zoper prijavitelja nepravilnosti, po tem ko je bilo ugotovljeno, da je ta zlonamerno dajal lažne izjave.

18.

V skladu z odstavkom 2 člena 31 (Objava informacij o prejemnikih sredstev Unije in drugih informacij) Komisija na ustrezen način omogoči dostop do informacij, ki zadevajo prejemnike sredstev, ki izhajajo iz proračuna, kadar Komisija izvršuje proračun neposredno ali s prenosom pooblastil.

19.

V odstavku 3 člena 31 je navedeno, da se dostop do teh informacij „omogoči ob ustreznem upoštevanju zahtev zaupnosti, zlasti varstva osebnih podatkov iz Direktive 95/46/ES Evropskega parlamenta in Sveta in Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta ter varnostnih zahtev ob upoštevanju posebnosti posameznih načinov upravljanja […] ter po potrebi v skladu z ustreznimi pravili posameznih sektorjev“.

20.

Sodišče Evropske unije je obravnavalo objavo identitete prejemnikov sredstev EU v sodbi iz novembra 2010 v zadevi Schecke in Eifert  (9). Brez navajanja podrobnosti o tej zadevi je treba poudariti, da je Sodišče pozorno preučilo, ali je zakonodaja EU, ki vsebuje obveznost objave informacij, skladna s členoma 7 in 8 Listine Evropske unije o temeljnih pravicah („Listina EU“).

21.

Sodišče je preučilo namen, za katerega so bile informacije objavljene, nato pa še sorazmernost ukrepa. Menilo je, da morajo institucije pred objavo informacij, ki se nanašajo na fizično osebo, interes Evropske unije za razkritje uravnotežiti z omejitvijo pravic iz Listine EU (10). Poudarilo je, da morajo biti odstopanja in omejitve varstva osebnih podatkov strogo omejeni na nujne ukrepe (11).

22.

Sodišče je menilo, da morajo institucije preučiti različne načine objave, da bi poiskale tisti način, ki bi bil v skladu s ciljem take objave in bi hkrati čim manj omejeval pravico upravičencev do zasebnega življenja na splošno in, natančneje, pravico do varstva osebnih podatkov (12). V posebnem kontekstu zadeve je Sodišče navedlo omejitev objave poimenskih podatkov, ki se nanašajo na upravičence, glede na obdobja, v katerih so prejemali sredstva, glede na pogostost ali glede na vrsto in višino sredstev (13).

23.

ENVP še enkrat poudarja, da namen varstva zasebnosti in podatkov ni preprečiti javni dostop do informacij, kadar koli so vključeni osebni podatki, niti neupravičeno omejiti preglednost upravljanja EU. ENVP meni, da načelo preglednosti „omogoča državljanom, da tesneje sodelujejo v postopku odločanja, in zagotavlja, da je uprava deležna večje zakonitosti in je učinkovitejša in bolj odgovorna državljanu v demokratičnem sistemu“; pravilna internetna objava poimenskih podatkov, ki se nanašajo na zadevne upravičence, „prispeva k temu, da upravni organi javna sredstva uporabljajo primerno“ in „poveča nadzor javnosti nad porabo zadevnih sredstev“ (14).

24.

Na tej podlagi želi ENVP poudariti, da so mnenja Sodišča, navedena v prejšnjih odstavkih, neposrednega pomena za sedanji predlog. Čeprav je navedeno sklicevanje na Direktivo 95/46/EC in Uredbo (ES) št. 45/2001, pa ni zagotovljeno, da bo predvidena objava informacij skladna z zahtevami, ki jih je Sodišče razložilo v zadevi Schecke. V zvezi s tem je treba poudariti, da je Sodišče razveljavilo ne le uredbo Komisije, ki je vsebovala podrobna pravila o objavljanju informacij o upravičencih do sredstev iz kmetijskih skladov (15), temveč tudi določbo uredbe, ki je pravna podlaga za uredbo Komisije in je vsebovala splošno zahtevo po razkritju informacij, če zadevajo upravičence, ki so fizične osebe (16).

25.

ENVP močno dvomi, da je sedanji predlog skladen z merili, ki jih je Sodišče razložilo v zadevi Schecke. Niti člen 31 niti sosednji členi ne vsebujejo jasnega in natančno opredeljenega namena, za katerega se predvideva objava osebnih informacij. Prav tako ni jasno, kdaj in v kakšni obliki bodo informacije razkrite. Zato ni mogoče oceniti, ali je doseženo ustrezno ravnotežje med različnimi interesi, in preveriti, kot je Sodišče izrecno poudarilo v sodbi Schecke, ali bi bila objava sorazmerna. Poleg tega ni jasno, kako bodo zagotovljene pravice posameznikov, na katere se podatki nanašajo.

26.

Četudi je predvidena izvedbena zakonodaja, kar pa ni jasno navedeno, bi bilo treba zgoraj navedena osnovna pojasnila vključiti v finančno uredbo, ki naj bi bila pravna podlaga za razkritje takih podatkov.

27.

ENVP zato zakonodajalcu priporoča, naj pojasni namen in razloži nujnost predvidenega razkritja, navede, kako in v kakšnem obsegu bodo osebni podatki razkriti, ter zagotovi, da se podatki razkrijejo le, če je to sorazmerno, in da lahko posamezniki, na katere se podatki nanašajo, uveljavljajo svoje pravice iz zakonodaje EU o varstvu podatkov.

28.

V členu 103 predloga je obravnavana možnost naročnika, da izreče upravne ali denarne kazni (a) izvajalcem, kandidatom ali ponudnikom, če se ugotovi, da so predložili zavajajoče informacije, ki so glede na zahteve naročnika pogoj za sodelovanje v postopku za oddajo naročila, ali pa teh informacij sploh niso predložili (glej člen 101(b)), ali (b) izvajalcem, za katere je bila ugotovljena resna kršitev obveznosti v zvezi z naročili, ki se financirajo iz proračuna.

29.

V členu 103(1) je navedeno, da mora imeti zadevna oseba možnost izraziti svoje stališče. V skladu s členom 103(2) lahko kazni vključujejo največ desetletno izključitev zadevne osebe iz naročil in donacij, ki se financirajo iz proračuna, in/ali denarno kazen, ki lahko sega do vrednosti zadevnega naročila.

30.

V primerjavi s sedanjim stanjem predlog kot novost določa možnost, da institucije, navedene v členu 103(3), objavijo sklepe ali povzetke sklepov in v njih navedejo naziv gospodarskega subjekta, kratek opis dejstev ter trajanje izključitve ali znesek denarnih kazni.

31.

V kolikor to vključuje razkritje informacij o fizičnih osebah, navedena določba sproža nekatera vprašanja v zvezi z varstvom podatkov. Prvič, iz uporabe besede „lahko“ je jasno, da objava ni obvezna. Vendar pa so zaradi nejasnega besedila predloga ostala odprta številna vprašanja. Na primer: Kakšen je namen takega razkritja? Na podlagi katerih meril se zadevna institucija odloči za razkritje? Kako dolgo bodo informacije javno dostopne in prek katerih sredstev javnega obveščanja? Kdo bo preveril, ali so informacije še vedno točne, in jih posodabljal? Kdo bo zadevno osebo obvestil o razkritju? Vsa ta vprašanja se nanašajo na zahteve glede kakovosti podatkov, določene v členu 6 Direktive 95/46/ES in členu 4 Uredbe (ES) št. 45/2001.

32.

Poudariti je treba, da objava takih informacij dodatno negativno vpliva na zadevno osebo. Objava bi morala biti dopustna le, če je nujno potrebna za predvideni namen. Tudi tukaj veljajo pripombe, navedene v delu II.4 v zvezi s sodbo Sodišča v zadevi Schecke.

33.

Sedanja oblika predlaganega besedila v členu 103(3) ni v celoti skladna z zahtevami zakonodaje o varstvu podatkov. ENVP zato zakonodajalcu priporoča, naj pojasni namen in razloži nujnost predvidenega razkritja, navede, kako in v kakšnem obsegu bodo osebni podatki razkriti, ter zagotovi, da se podatki razkrijejo le, če je to sorazmerno, in da lahko posamezniki, na katere se podatki nanašajo, uveljavljajo svoje pravice iz zakonodaje EU o varstvu podatkov.

34.

Predlog vključuje tudi vzpostavitev centralne baze podatkov o izključitvah, ki bo vsebovala podatke o kandidatih in ponudnikih, izključenih iz sodelovanja na razpisih (glej člen 102). Ta baza podatkov je že vzpostavljena na podlagi sedanje finančne uredbe, njeno delovanje pa je dodatno pojasnjeno v Uredbi Komisije (ES) št. 1302/2008. ENVP je dejavnosti obdelave osebnih podatkov, ki se izvajajo v okviru centralne baze podatkov o izključitvah, analiziral v mnenju o predhodnem preverjanju z dne 26. maja 2010 (17).

35.

Prejemnikov podatkov iz centralne baze podatkov o izključitvah je več. Uporabljajo se členi 7, 8 ali 9 Uredbe (ES) št. 45/2001, odvisno od tega, kdo dostopa do baze podatkov.

36.

ENVP je v navedenem mnenju o predhodnem preverjanju sklenil, da je sedanja praksa glede izvajanja členov 7 (uporaba baze podatkov v drugih institucijah in agencijah EU) in 8 (uporaba centralne baze podatkov o izključitvah v organih in nekaterih drugih telesih držav članic) skladna z Uredbo (ES) št. 45/2001.

37.

Vendar pa takega sklepa ni mogel sprejeti v zvezi s prenosom podatkov organom tretjih držav, ki se ureja s členom 9 Uredbe (ES) št. 45/2001, v katerem je obravnavan prenos podatkov organom tretjih držav in/ali mednarodnim organizacijam. V členu 102(2) je navedeno, da imajo tudi tretje države dostop do centralne baze podatkov o izključitvah.

38.

V členu 9(1) Uredbe (ES) št. 45/2001 je določeno, da se „[o]sebni podatki prenesejo prejemnikom, ki niso institucije in organi Skupnosti in ki niso zavezani nacionalni zakonodaji, sprejeti skladno z Direktivo 1/45/ES, samo če se zagotovi ustrezna raven varstva v državi prejemnika ali znotraj mednarodne organizacije prejemnika in če se podatki prenesejo samo zato, da se omogoči izvedba nalog, za katere je pristojen upravljavec“. Ne glede na člen 9(1) člen 9(6) dopušča prenos podatkov državam, ki ne zagotavljajo ustreznega varstva, če „je prenos potreben ali pravno obvezen na podlagi pomembnega javnega interesa […]“.

39.

ENVP je v navedenem mnenju o predhodnem preverjanju poudaril, da so potrebni dodatni ukrepi za zagotovitev, da ob prenosu tretji državi ali organizaciji ponudnik zagotovi ustrezno raven varstva. ENVP želi poudariti, da je treba ustreznost ravni varstva oceniti za vsak primer posebej, pri čemer je treba podrobno preučiti okoliščine postopka prenosa podatkov ali niza postopkov prenosa podatkov. Finančna uredba Komisije ne more oprostiti te obveznosti. Podobno mora prenos na podlagi ene od izjem iz člena 9 prav tako temeljiti na oceni vsakega posameznega primera.

40.

V zvezi s tem ENVP zakonodajalcu priporoča, naj v člen 102 vključi dodaten odstavek, v katerem se posebej obravnava varstvo osebnih podatkov. Odstavek bi se lahko začel s prvim stavkom, ki je že vsebovan v prvem odstavku člena 102, in sicer: „Komisija vzpostavi in vodi centralno bazo podatkov v skladu s pravili Unije o varstvu osebnih podatkov“. K temu je treba dodati, da je dostop organom tretjih držav dovoljen le, če so izpolnjeni pogoji iz člena 9 Uredbe (ES) št. 45/2001.

41.

Zadevni predlog ima nekatere posledice za varstvo podatkov na ravni EU in nacionalni ravni, ki so obravnavane v tem mnenju. Predlog vsebuje sklicevanja na zadevne akte o varstvu podatkov. Kot pa je razloženo v tem mnenju, bosta potrebni nadaljnja ureditev in pojasnitev, da se zagotovi popolna skladnost s pravnim okvirom za varstvo podatkov. ENVP priporoča naslednje: