29.12.2010   

SL

Uradni list Evropske unije

C 355/16


Mnenje evropskega nadzornika za varstvo podatkov o sporočilu Komisije Evropskemu parlamentu in Svetu z naslovom – „Pregled upravljanja informacij na območju svobode, varnosti in pravice“

2010/C 355/03

EVROPSKI NADZORNIK ZA VARSTVO PODATKOV JE –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 16 Pogodbe,

ob upoštevanju Listine Evropske unije o temeljnih pravicah in zlasti člena 8 Listine,

ob upoštevanju Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (1),

ob upoštevanju prošnje za mnenje v skladu z Uredbo (ES) št. 45/2001 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (2) ter zlasti člena 41 Uredbe –

SPREJEL NASLEDNJE MNENJE:

I.   UVOD

1.

Komisija je 20. julija 2010 sprejela sporočilo z naslovom „Pregled upravljanja informacij na območju svobode, varnosti in pravice“ (v nadaljnjem besedilu: sporočilo) (3), ki je bilo poslano evropskemu nadzorniku za varstvo podatkov, da bi o njem podal mnenje.

2.

Evropski nadzornik za varstvo podatkov je zadovoljen, da ga je Komisija zaprosila za mnenje. Že pred sprejetjem sporočila je imel možnost podati neuradne pripombe, od katerih so bile številne upoštevane v končni različici dokumenta.

Cilji in področje uporabe sporočila

3.

Evropski nadzornik za varstvo podatkov pozdravlja cilj sporočila, ki je zagotoviti „prvikrat […] popoln pregled ukrepov na ravni EU, ki veljajo, se izvajajo ali proučujejo ter urejajo zbiranje, hrambo ali čezmejno izmenjavo osebnih podatkov za namene pregona in upravljanja migracij“ (4). Cilj tega dokumenta je tudi državljanom dati pregled, kakšne informacije o njih se zbirajo, shranjujejo ali izmenjujejo, za kakšen namen in kdo izvaja te dejavnosti. Komisija poleg tega meni, da je sporočilo pregledno referenčno orodje za vse zainteresirane strani, ki si želijo sodelovati v razpravi o prihodnji usmeritvi politike EU na tem področju. Zato mora prispevati k premišljenemu političnemu dialogu z vsemi zainteresiranimi stranmi.

4.

Natančneje rečeno je v sporočilu navedeno, da je njegov cilj pojasniti glavni namen teh pravnih aktov, njihovo strukturo, vrsto osebnih podatkov, ki jih zajemajo, „seznam organov z dostopom do takšnih podatkov“ (5) ter predpise o varstvu podatkov in njihovi hrambi. Poleg tega Priloga I vsebuje nekaj primerov, ki kažejo učinke teh pravnih aktov v praksi.

5.

V dokumentu so opredeljena tudi širša načela („vsebinska načela“ in „postopkovna načela“), ki jih Komisija namerava upoštevati pri prihodnjem razvoju pravnih aktov za zbiranje, hrambo in izmenjavo podatkov. Komisija v naslovu „Vsebinska načela“ navaja načela, kot so varstvo temeljih pravic, zlasti pravice do varstva zasebnosti in podatkov, nujnost, subsidiarnost in natančno obvladovanje tveganja. „Postopkovna načela“ vključujejo stroškovno učinkovitost, oblikovanje politik „od spodaj navzgor“, jasno določitev odgovornosti ter klavzulo ponovnega pregleda in samoderogacijsko klavzulo.

6.

V skladu s sporočilom se bodo ta načela uporabila tudi pri ocenjevanju obstoječih instrumentov. Po mnenju Komisije bo sprejetje takega načelnega pristopa k razvoju politike in ocenjevanju povečala usklajenost in učinkovitost sedanjih in prihodnjih instrumentov, hkrati pa bodo popolnoma spoštovane temeljne pravice državljanov.

Namen mnenja evropskega nadzornika za varstvo podatkov

7.

Evropski nadzornik za varstvo podatkov ugotavlja, da je sporočilo pomemben dokument, ki zagotavlja celovit pregled sedanjih in (morebitnih) prihodnjih instrumentov za izmenjavo informacij na območju svobode, varnosti in pravice. Vsebuje podrobno obravnavo poglavij 4.2.2 (Upravljanje pretoka informacij) in 5.1 (Celostno upravljanje zunanjih meja) iz stockholmskega programa (6). Imelo bo pomembno vlogo pri prihodnjem razvoju na tem področju. Evropski nadzornik za varstvo podatkov zato meni, da je koristno podati pripombe k različnim elementom sporočila, čeprav besedilo samega sporočila ne bo spremenjeno.

8.

Evropski nadzornik za varstvo podatkov želi opozoriti na nekatere dodatne pojme, ki jih je po njegovem mnenju treba upoštevati pri nadaljnjem razvoju območja svobode, varnosti in pravice. V tem mnenju je navedenih več pojmov, ki so bili predstavljeni že v prejšnjem mnenju evropskega nadzornika z dne 10. julija 2009 o sporočilu o območju svobode, varnosti in pravice za državljane (7) ter v številnih drugih mnenjih in pripombah. V njem so tudi podrobneje obravnavana že prej predstavljena stališča. V tem okviru se je treba sklicevati na poročilo o prihodnosti zasebnosti, ki sta ga 1. decembra 2009 sprejeli Delovna skupina iz člena 29 in Delovna skupina za policijo in pravosodje. To poročilo, ki je skupni prispevek k posvetovanju Evropske komisije glede pravnega okvira za temeljne pravice do varstva osebnih podatkov in ki ga podpira evropski nadzornik za varstvo podatkov, vključuje pomembne usmeritve za prihodnje varstvo podatkov, ki se uporabljajo tudi pri izmenjavi informacij na področju policijskega in pravosodnega sodelovanja v kazenskih zadevah.

Okvir mnenja

9.

Evropski nadzornik za varstvo podatkov pozdravlja sporočilo, ki je odziv na poziv Evropskega sveta (8), naj se razvijejo instrumenti upravljanja informacij na ravni EU v skladu s strategijo EU za upravljanje informacij ter preuči potreba po razvoju evropskega modela za izmenjavo informacij.

10.

Evropski nadzornik za varstvo podatkov poleg tega ugotavlja, da je treba sporočilo brati tudi kot odziv na prej navedeni stockholmski program, ki zahteva skladnost in konsolidacijo pri razvoju izmenjave informacij na področju notranje varnosti EU. Podrobneje, v poglavju 4.2.2 stockholmskega programa je bila Evropska komisija pozvana, naj preuči, ali bi bilo treba razviti evropski model za izmenjavo informacij, ki bi temeljil na oceni sedanjih instrumentov, vključno s Prümsko pogodbo in tako imenovanim švedskim okvirnim sklepom. Tako bi lahko ugotovili, ali ti instrumenti delujejo, kot je bilo predvideno, in izpolnjujejo cilje strategije za upravljanje informacij.

11.

Glede na navedeno je treba poudariti, da se stockholmski program sklicuje na strog sistem za varstvo podatkov kot glavni pogoj za strategijo EU za upravljanje informacij. Ta močni poudarek na varstvu podatkov je popolnoma skladen z Lizbonsko pogodbo, ki – kot je bilo že navedeno – vključuje splošno določbo o varstvu podatkov, ki daje vsem, vključno z državljani tretjih držav, pravico do varstva podatkov, ki jo je mogoče uveljavljati pred sodiščem, ter določa, da morata Svet in Evropski parlament vzpostaviti celovit okvir za varstvo podatkov.

12.

Evropski nadzornik za varstvo podatkov podpira tudi zahtevo iz strategije za upravljanje informacij, da je vse nove zakonodajne ukrepe, ki bi olajšali hrambo in izmenjavo osebnih podatkov, mogoče predlagati le, če temeljijo na konkretnih dokazih o potrebi po teh ukrepih. Evropski nadzornik za varstvo podatkov se je zavzel za ta pristop v različnih mnenjih o zakonodajnih predlogih, povezanih z območjem svobode, varnosti in pravice, npr. o drugi generaciji SIS (9), dostopu organov kazenskega pregona do sistema EURODAC (10), spremembi uredbe EURODAC in dublinske uredbe (11), sporočilu Komisije o stockholmskem programu (12) in PNR (13).

13.

Potreba po oceni vseh obstoječih instrumentov o izmenjavi informacij pred predlaganjem novih instrumentov je dejansko bistvenega pomena. To je še toliko pomembneje ob upoštevanju dejstva, da je sedanji okvir zapleten skupek različnih instrumentov in sistemov, od katerih so bili nekateri uvedeni šele pred kratkim, zato še ni mogoče oceniti njihove uspešnosti, nekateri so v postopku izvajanja, nekateri novi pa so še vedno v zakonodajnem postopku.

14.

Evropski nadzornik za varstvo podatkov zato z zadovoljstvom ugotavlja, da se v sporočilu vzpostavlja jasna povezava z drugimi dejavnostmi, ki jih je Komisija začela izvajati za pregled in oceno tega področja kot nadaljevanje stockholmskega programa.

15.

Glede na to pozdravlja zlasti „zbiranje informacij“, ki ga je Komisija začela januarja 2010 v tesnem sodelovanju s projektno skupino za zbiranje informacij, ki jo sestavljajo predstavniki držav članic EU in Efte, Europola, Eurojusta, agencije Frontex in evropski nadzornik za varstvo podatkov (14). Kot je navedeno v sporočilu, Komisija namerava rezultate „zbiranja informacij“ predstaviti Svetu in Evropskemu parlamentu še v letu 2010. Njen naslednji korak pa naj bi bil predstavitev sporočila o evropskem modelu za izmenjavo informacij.

16.

Evropski nadzornik za varstvo podatkov meni, da je vzpostavitev jasne povezave med sporočilom in „zbiranjem informacij“ nadvse dobrodošla, saj sta jasno povezani. Seveda je še prezgodaj za oceno mogočih rezultatov zbiranja informacij in – splošneje – razprav o evropskem modelu za izmenjavo informacij (doslej je Komisija predstavljala „zbiranje informacij“ le kot „pregledovanje stanja“). Evropski nadzornik za varstvo podatkov bo še naprej spremljal to dejavnost. Vendar že v tej fazi opozarja na potrebo po zagotavljanju sinergij in preprečevanju različnih sklepnih ugotovitev dejavnosti, ki jih Komisija izvaja v okviru razprav o evropskem modelu za izmenjavo informacij.

17.

Poleg tega želi evropski nadzornik za varstvo podatkov opozoriti na sedanji pregled okvira za varstvo podatkov in zlasti na namero Komisije, ki želi oblikovati celovit okvir za varstvo podatkov, vključno s policijskim in pravosodnim sodelovanjem v kazenskih zadevah.

18.

Evropski nadzornik za varstvo podatkov v zvezi s tem ugotavlja, da sporočilo v naslovu „Varstvo temeljnih pravic, zlasti pravice do zasebnosti in varstva podatkov“ vsebuje sklic na člen 16 Pogodbe o delovanju Evropske unije (PDEU), ki zagotavlja pravno podlago za delo v zvezi s tako obsežnim sistemom varstva podatkov. V tem okviru prav tako ugotavlja, da je v sporočilu navedeno, da v njem niso analizirane posebne določbe o varstvu podatkov v pravnih aktih, o katerih se razpravlja, saj Komisija trenutno na podlagi zgoraj navedenega člena 16 razvija nov celovit okvir za varstvo osebnih podatkov v EU. Evropski nadzornik za varstvo podatkov upa, da bo v tem okviru zagotovljen dober pregled sedanjih in po možnosti različnih sistemov varstva podatkov ter da bo Komisija sprejemala naslednje odločitve na podlagi tega pregleda.

19.

Ne nazadnje, čeprav evropski nadzornik za varstvo podatkov pozdravlja cilje in glavno vsebino sporočila, pa opozarja, da je treba ta dokument šteti le za prvi korak v postopku ocenjevanja in da mu morajo slediti nadaljnji konkretni ukrepi, katerih rezultat mora biti celovita, povezana in dobro strukturirana politika EU o izmenjavi in upravljanju informacij.

II.   ANALIZA POSEBNIH VPRAŠANJ, KI JIH ZAJEMA SPOROČILO

Omejitev namena

20.

Komisija se v besedilu sporočila sklicuje na načelo omejitve namena kot „ključni pomislek za večino pravnih aktov, ki jih zajema to sporočilo“.

21.

Evropski nadzornik za varstvo podatkov pozdravlja v sporočilu poudarjeno načelo omejitve namena, v skladu s katerim je treba najpozneje pri zbiranju osebnih podatkov jasno opredeliti namene, za katere se zbirajo, in dejstvo, da se podatki ne smejo obdelovati za namene, ki niso skladni s prvotnimi nameni. Vsako odstopanje od načela omejitve namena mora biti izjema, ki se uporablja le ob upoštevanju strogih pogojev in s potrebnimi pravnimi, tehničnimi ali drugimi zaščitnimi ukrepi.

22.

Vendar evropski nadzornik za varstvo podatkov obžaluje, da je v sporočilu to temeljno načelo varstva podatkov opisano kot ključni pomislek le „za večino pravnih aktov, ki jih zajema to sporočilo“. Poleg tega sporočilo na strani 22 vsebuje sklic na instrumente SIS, SIS II in VIS, navedeno pa je tudi, da je „razen pri omenjenih centraliziranih informacijskih sistemih omejitev namena ključni dejavnik pri oblikovanju ukrepov za upravljanje informacij na ravni EU“.

23.

To besedilo bi si bilo mogoče razlagati, kot da to načelo ni ključni pomislek v vseh primerih ter za vse sisteme in instrumente, povezane z izmenjavo informacij v EU. Evropski nadzornik za varstvo podatkov v zvezi s tem ugotavlja, da so izjeme od tega načela in njegove omejitve mogoče in potrebne, kot je priznano v členu 13 Direktive 95/46/ES in členu 3(2) Okvirnega sklepa Sveta 2008/977/PNZ (15). Vendar je treba zagotoviti, da se vsak nov instrument, ki je povezan z izmenjavo informacij v EU, predlaga in sprejme le, če je bilo ustrezno upoštevano načelo omejitve namena, in da se odločitev o vseh mogočih izjemah in omejitvah tega načela sprejme za vsak primer posebej in po temeljiti oceni. Ti pomisleki so pomembni tudi za instrumente SIS, SIS II in VIS.

24.

Vse druge prakse bi bile v nasprotju s členom 8 Listine Evropske unije o temeljnih pravicah, zakonodajo EU o varstvu podatkov (npr. Direktivo 95/46/ES, Uredbo (ES) št. 45/2001 ali Okvirnim sklepom Sveta 2008/977/PNZ) in sodno prakso Evropskega sodišča za človekove pravice. Neupoštevanje načela omejitve namena bi lahko privedlo tudi do tako imenovane širitve dejavnosti teh sistemov (16).

Nujnost in sorazmernost

25.

Sporočilo (na strani 25) vsebuje sklic na zahtevo iz sodne prakse Evropskega sodišča za človekove pravice v zvezi z „merilom sorazmernosti“, pri čemer je navedeno tudi, da bo „Komisija v vseh prihodnjih predlogih politike ocenila predvideni učinek pobude na pravico posameznika do zasebnosti in varstvo osebnih podatkov ter obrazložila, zakaj je tak učinek nujno potreben in zakaj je predlagana rešitev sorazmerna z zakonitim namenom ohranjanja notranje varnosti v Evropski uniji, preprečevanja kriminala ali upravljanja migracije“.

26.

Evropski nadzornik za varstvo podatkov pozdravlja zgoraj navedene izjave, ker je tudi sam vztrajal, da je treba pri sprejemanju odločitev o sedanjih in novih sistemih, ki vključujejo zbiranje in izmenjavo osebnih podatkov, upoštevati zlasti načeli sorazmernosti in nujnosti. Dolgoročno gledano je to bistveno tudi za sedanji razmislek, kako bi bilo treba oblikovati strategijo EU za upravljanje informacij in evropski model za izmenjavo informacij.

27.

Glede na navedeno evropski nadzornik za varstvo podatkov pozdravlja dejstvo, da se Komisija v nasprotju z besedilom, ki ga je uporabila pri sklicevanju na načelo omejitve namena (glej odstavke 20–22 tega mnenja) v zvezi z nujnostjo, zavezuje k ocenjevanju vseh prihodnjih predlogov politike, če se nanašajo na vplive na pravico posameznikov do varstva zasebnosti in osebnih podatkov.

28.

Vendar evropski nadzornik za varstvo podatkov opozarja na dejstvo, da vse te zahteve v zvezi s sorazmernostjo in nujnostjo izhajajo iz veljavne zakonodaje EU (zlasti Listine o temeljnih pravicah, ki je zdaj del primarne zakonodaje EU) in uveljavljene sodne prakse Evropskega sodišča za človekove pravice. Z drugimi besedami, sporočilo ne prinaša novih elementov. Evropski nadzornik za varstvo podatkov meni, da sporočilo ne sme le ponavljati teh zahtev, temveč mora določiti konkretne ukrepe in mehanizme, ki bodo zagotavljali spoštovanje in praktično izvajanje načel nujnosti in sorazmernosti v vseh predlogih, ki vplivajo na pravice posameznikov. Ocena učinka na zasebnost, preučena v odstavkih 38–41, bi lahko bila dober instrument za doseganje tega cilja. Poleg tega ta ocena ne sme zajemati le novih predlogov, temveč mora zajemati tudi sedanje sisteme in mehanizme.

29.

Poleg tega želi evropski nadzornik za varstvo podatkov ob tej priložnosti poudariti, da je treba pri obravnavi sorazmernosti in nujnosti v strategiji EU za upravljanje informacij vztrajati pri potrebi po ustreznem ravnotežju med varstvom podatkov na eni strani in pregonom na drugi strani. To ravnotežje ne pomeni, da bo varstvo podatkov oviralo uporabo informacij, ki so potrebne za rešitev kaznivega dejanja. V skladu s predpisi o varstvu podatkov je mogoče uporabiti vse informacije, ki so potrebne za ta namen (17).

Objektivna in izčrpna ocena mora pokazati tudi pomanjkljivosti in težave

30.

S stockholmskim programom se zahteva objektivna in celovita ocena vseh instrumentov in sistemov v zvezi z izmenjavo informacij v Evropski uniji. Evropski nadzornik za varstvo podatkov seveda ta pristop v celoti podpira.

31.

Vendar se zdi, da sporočilo ni v celoti uravnoteženo. Zdi se, da daje prednost – zlasti v zvezi s številkami in statističnimi podatki – tistim instrumentom, ki so se z leti izkazali za uspešne in se štejejo za „zgodbe o uspehu“ (npr. število uspešnih zadetkov v sistemih SIS in EURODAC). Evropski nadzornik za varstvo podatkov ne dvomi o splošnem uspehu teh sistemov. Vendar kot primer navaja, da poročili o dejavnostih skupnega nadzornega organa za sistem SIS (18) kažeta, da so bila v številnih primerih opozorila v sistemu SIS zastarela, napačno črkovana ali napačna, kar je privedlo (ali bi lahko privedlo) do negativnih posledic za zadevne posameznike. Sporočilo ne vključuje takih informacij.

32.

Evropski nadzornik za varstvo podatkov svetuje Komisiji, naj vnovič preuči pristop, sprejet v sporočilu. Evropski nadzornik za varstvo podatkov predlaga, naj se pri prihodnjem delu v zvezi z upravljanjem informacij poroča tudi o napakah in pomanjkljivostih sistema – kot je na primer število oseb, ki jim je bila po krivem odvzeta prostost ali so imele kakršne koli težave zaradi napačnega zadetka v sistemu – da bi zagotovili ustrezno ravnotežje.

33.

Evropski nadzornik za varstvo podatkov na primer predlaga, naj se podatki o zadetkih SIS/SIRENE (iz Priloge 1) dopolnijo s sklicem na delo, ki ga je skupni nadzorni organ opravil v zvezi z zanesljivostjo in natančnostjo opozoril.

Odgovornost

34.

V sporočilu je med „postopkovnimi načeli“, naštetimi na straneh 26 in 27, navedeno načelo „jasne določitve odgovornosti“, zlasti v zvezi z vprašanjem prvotne zasnove struktur upravljanja. V tem okviru so navedene težave v zvezi s projektom SIS II in prihodnje odgovornosti Agencije za informacijsko tehnologijo.

35.

Evropski nadzornik za varstvo podatkov želi ob tej priložnosti poudariti pomen načela „odgovornosti“, ki ga je treba uporabljati tudi na področju pravosodnega in policijskega sodelovanja v kazenskih zadevah in ki mora imeti pomembno vlogo pri oblikovanju nove in bolj izoblikovane politike EU o izmenjavi podatkov in upravljanju informacij. O tem načelu se zdaj razpravlja v okviru prihodnosti evropskega okvira za varstvo podatkov kot orodja, na podlagi katerega bo mogoče upravljavce podatkov še bolje motivirati za zmanjšanje tveganja neskladnosti z izvajanjem ustreznih mehanizmov za učinkovito varstvo podatkov. Načelo odgovornosti zahteva, naj upravljavci podatkov vzpostavijo notranje mehanizme in nadzorne sisteme, ki zagotavljajo skladnost in dokaze – kot so revizijska poročila – za dokazovanje skladnosti zunanjim zainteresiranim stranem, vključno z nadzornimi organi (19). Evropski nadzornik za varstvo podatkov je potrebo po takih ukrepih poudaril tudi v mnenjih o sistemih VIS in SIS II leta 2005.

„Vgrajena zasebnost“

36.

Komisija se na pojem „vgrajene zasebnosti“ sklicuje na strani 25 sporočila (v naslovu „Varstvo temeljnih pravic, zlasti pravice do zasebnosti in varstva podatkov“) in navaja, da si bo „Komisija pri pripravi novih instrumentov, ki temeljijo na informacijski tehnologiji, prizadevala uporabljati pristop, imenovan ‚vgrajena zasebnost‘ “.

37.

Evropski nadzornik za varstvo podatkov pozdravlja sklic na ta pojem (20), ki je zdaj na splošno oblikovan za zasebni in javni sektor in ki mora igrati pomembno vlogo na področju policije in pravosodja (21).

Ocena učinka na varstvo zasebnosti in podatkov

38.

Evropski nadzornik za varstvo podatkov je prepričan, da je to sporočilo dobra priložnost za podrobnejši razmislek, kaj naj bi pomenila dejanska „ocena učinka na varstvo zasebnosti in podatkov“.

39.

Evropski nadzornik za varstvo podatkov ugotavlja, da ta vidik ni podrobneje pojasnjen niti v tem sporočilu niti v Smernicah Evropske komisije o oceni učinka (22), prav tako pa ni bil preoblikovan v zahtevo politike.

40.

Evropski nadzornik za varstvo podatkov zato priporoča podrobnejše in strožje ocene učinka na varstvo zasebnosti in podatkov za prihodnje instrumente, bodisi kot ločene ocene bodisi kot del splošne ocene učinka na temeljne pravice. Treba je oblikovati posebne kazalnike in značilnosti za zagotovitev, da bo temeljito preučen vsak predlog, ki vpliva na varstvo zasebnosti in podatkov. Evropski nadzornik za varstvo podatkov poleg tega predlaga, naj se to vprašanje obravnava v okviru sedanjega dela v zvezi s celovitim okvirom za varstvo podatkov.

41.

Poleg tega bi se bilo v tej zvezi lahko koristno sklicevati na člen 4 priporočila o radiofrekvenčni identifikaciji (RFID) (23), v katerem je Komisija države članice pozvala, naj zagotovijo, da stroka v sodelovanju z ustreznimi zainteresiranimi stranmi civilne družbe razvije okvir za ocenjevanje učinkov na varstvo zasebnosti in podatkov. Tudi v Madridski resoluciji, ki je bila sprejeta novembra 2009 na mednarodni konferenci pooblaščencev za varstvo zasebnosti in podatkov, se je spodbudilo izvajanje ocen učinka na varstvo zasebnosti in podatkov pred uvedbo novih informacijskih sistemov in tehnologij za obdelavo osebnih podatkov ali bistvenih sprememb sedanje obdelave.

Pravice posameznikov, na katere se nanašajo podatki

42.

Evropski nadzornik za varstvo podatkov ugotavlja, da v sporočilu ni posebej obravnavano pomembno vprašanje pravic posameznikov, na katere se nanašajo podatki, ki je bistven del varstva podatkov. Treba je zagotoviti, da imajo državljani v različnih sistemih in instrumentih v zvezi z izmenjavo informacij podobne pravice glede načina obdelave njihovih osebnih podatkov. Dejansko se s številnimi sistemi, na katere se sklicuje v sporočilu, vzpostavljajo posebna pravila o pravicah posameznikov, na katere se nanašajo podatki, vendar so med temi sistemi in instrumenti velike razlike, ki niso ustrezno utemeljene.

43.

Evropski nadzornik za varstvo podatkov zato Komisijo poziva, naj temeljiteje preuči vprašanje poenotenja pravic posameznikov, na katere se nanašajo podatki, v EU v bližnji prihodnosti.

Uporaba biometričnih podatkov

44.

Čeprav se Komisija sklicuje na uporabo biometričnih podatkov (24), pa posebej ne obravnava sedanjega pojava večje uporabe biometričnih podatkov pri izmenjavi informacij v EU, vključno z obsežnimi informacijskimi sistemi in drugimi orodji za upravljanje meja EU. V sporočilu poleg tega ni konkretne navedbe, kako namerava Komisija obravnavati to vprašanje v prihodnje in ali si prizadeva za oblikovanje celovite politike v zvezi s tem povečanjem. To je obžalovanja vredno, saj je to z vidika varstva podatkov zelo pomembna in občutljiva zadeva.

45.

Glede na navedeno evropski nadzornik za varstvo podatkov opozarja, da je na različnih forumih in v različnih mnenjih (25) že večkrat poudaril mogoča tveganja, povezana s pomembnimi vplivi, ki jih ima uporaba biometričnih podatkov na pravice posameznikov. Ob teh priložnostih je tudi predlagal vključitev strožjih zaščitnih ukrepov za uporabo biometričnih podatkov, zlasti v nekaterih instrumentih in sistemih. Evropski nadzornik za varstvo podatkov je poleg tega opozoril na težavo v zvezi z netočnostmi pri zbiranju in primerjavi biometričnih podatkov.

46.

Evropski nadzornik za varstvo podatkov zato ob tej priložnosti Komisijo poziva, naj razvije jasno in strogo politiko o uporabi biometričnih podatkov na območju svobode, varnosti in pravice, ki bo temeljila na premišljeni oceni – za vsak primer posebej – potrebe po uporabi biometričnih podatkov ob popolnem upoštevanju temeljnih načel varstva podatkov, kot so sorazmernost, nujnost in omejitev namena.

Operabilnost sistemov

47.

Evropski nadzornik za varstvo podatkov je že pred tem (26) izrazil več pomislekov glede pojma interoperabilnost. Ena od posledic interoperabilnosti sistemov je, da lahko spodbudi predlaganje novih ciljev za obsežne informacijske sisteme, ki presegajo njihov prvotni namen, in/ali za uporabo biometričnih podatkov kot primarnega ključa na tem področju. Za različne vrste interoperabilnosti so potrebni posebni zaščitni ukrepi in pogoji. Evropski nadzornik za varstvo podatkov je glede na to prav tako poudaril, da je treba interoperabilnost sistemov izvajati ob ustreznem upoštevanju načel varstva podatkov, zlasti načela omejitve namena.

48.

Glede na navedeno evropski nadzornik za varstvo podatkov ugotavlja, da v sporočilu ni posebnega sklicevanja na vprašanje interoperabilnosti sistemov. Zato poziva Komisijo, naj oblikuje politiko o tem bistvenem vidiku izmenjave informacij EU, ki mora biti del dejavnosti ocenjevanja.

Predlogi zakonodajnih aktov, ki jih bo predstavila Komisija

49.

Sporočilo vključuje poglavje o predlogih zakonodajnih aktov, ki jih bo Komisija predstavila v prihodnosti. Dokument med drugim vsebuje sklic na predlog o programu za registrirane potnike in predlog v zvezi s sistemom vstopa/izstopa. Evropski nadzornik za varstvo podatkov bi rad predložil nekaj pripomb k zgoraj navedenim predlogom, v zvezi s katerimi je – kot kaže sporočilo – Komisija že sprejela odločitev.

Program za registrirane potnike

50.

Kot je poudarjeno v točki 3 tega mnenja, je cilj sporočila predstaviti „popoln pregled ukrepov na ravni EU, ki […] urejajo zbiranje, hrambo ali čezmejno izmenjavo osebnih podatkov za namene pregona in upravljanja migracij“.

51.

Evropski nadzornik za varstvo podatkov se v zvezi s tem sprašuje, kateri bo končni cilj programa za registrirane potnike in kako bo ta predlog, ki ga Komisija zdaj preučuje, ustrezal namenom pregona in upravljanja migracij. Na strani 20 sporočila je navedeno, da bi „ta program določenim skupinam rednih potnikov iz tretjih držav omogočil vstop v EU […] z uporabo poenostavljenih mejnih kontrol na avtomatiziranih prehodih“. Zato se zdi, da je namen teh instrumentov olajšati potovanja rednih potnikov. Ti instrumenti zato nimajo (neposredne ali jasne) povezave z nameni pregona in upravljanja migracij.

Sistem vstopa v EU/izstopa iz EU

52.

V sporočilu je pri sklicevanju na prihodnji sistem vstopa v EU/izstopa iz EU (stran 20) omenjena težava v zvezi z „osebami, ki so presegle dovoljeno obdobje bivanja“, in navedeno, da je ta kategorija oseb „največja skupina nezakonitih migrantov v EU“. Zadnja trditev je predstavljena kot razlog za odločitev Komisije, da bo predlagala uvedbo sistema vstopa/izstopa za državljane tretjih držav, ki vstopajo v EU zaradi kratkotrajnega bivanja največ treh mesecev.

53.

Poleg tega je v sporočilu navedeno, da bi „sistem beležil čas in kraj vstopa ter trajanje zakonitega bivanja in bi pristojnim organom pošiljal avtomatska sporočila z navedbo posameznikov, ki so presegli dovoljeno obdobje bivanja. Na podlagi biometričnega preverjanja podatkov bi uporabljal isti sistem za ujemanje biometričnih podatkov in operativno opremo, ki ju uporabljata sistema SIS II in VIS.“

54.

Evropski nadzornik za varstvo podatkov meni, da je treba podrobno opredeliti ciljno skupino oseb, ki so presegle dovoljeno obdobje bivanja, s sklicevanjem na sedanjo pravno definicijo ali utemeljitvijo z zanesljivimi številkami ali statističnimi podatki. To je še pomembnejše, ker vsi izračuni o številu „oseb, ki so presegle dovoljeno obdobje bivanja“, v EU zdaj temeljijo le na ocenah. Prav tako je treba pojasniti, kateri ukrepi bodo sprejeti v zvezi z „osebami, ki so presegle dovoljeno obdobje bivanja“, ko jih bo sistem identificiral, ker EU nima jasne in celovite politike o osebah, ki „presežejo dovoljeno obdobje bivanja“ na ozemlju EU.

55.

Poleg tega besedilo sporočila kaže, da je Komisija že sprejela odločitev o uvedbi sistema, hkrati pa je v sporočilu navedeno, da Komisija trenutno izvaja oceno učinka. Evropski nadzornik za varstvo podatkov poudarja, da bi bilo treba odločitev o uvedbi tako zapletenega sistema, ki posega v zasebnost, sprejeti le na podlagi posebne ocene učinka, ki zagotavlja konkretne dokaze in informacije, zakaj je tak sistem potreben in zakaj ni bilo mogoče nadomestnih rešitev predvideti na podlagi sedanjih sistemov.

56.

Ne nazadnje se zdi, da Komisija povezuje ta prihodnji sistem s sistemom za ujemanje biometričnih podatkov in operativno opremo sistemov SIS II in VIS. Vendar se pri tem ne sklicuje na dejstvo, da se sistema SIS II in VIS še nista začela izvajati ter da točna datuma njunega začetka delovanja v tej fazi še nista določena. Z drugimi besedami, sistem vstopa/izstopa bi bil zelo odvisen od sistema biometričnih podatkov in operativnega sistema, ki še ne delujeta, kar pomeni, da uspešnost in funkcionalnosti teh sistemov še niso biti ustrezno ocenjeni.

Pobude, ki jih mora preučiti Komisija

57.

Sporočilo se v zvezi s pobudami, ki jih mora preučiti Komisija na podlagi zahtev iz stockholmskega programa – kar pomeni, da Komisija o njih še ni sprejela končne odločitve –, sklicuje na tri pobude: sistem EU za sledenje financiranja terorističnih dejavnosti (ki je enakovreden programu za sledenje financiranja terorističnih dejavnosti Združenih držav Amerike), elektronski sistem odobritve potovanj (ESTA) in evropski indeksni sistem policijskih evidenc (EPRIS).

58.

Evropski nadzornik za varstvo podatkov bo natančno spremljal dogajanje v zvezi s temi pobudami ter po potrebi predložil pripombe in predloge.

III.   SKLEPNE UGOTOVITVE IN PRIPOROČILA

59.

Evropski nadzornik za varstvo podatkov v celoti podpira sporočilo, ki zagotavlja popoln pregled sedanjih in načrtovanih sistemov EU za izmenjavo informacij. V številnih mnenjih in pripombah je zagovarjal potrebo po oceni vseh sedanjih instrumentov o izmenjavi informacij pred predlaganjem novih instrumentov.

60.

Evropski nadzornik za varstvo podatkov pozdravlja tudi sklic na sedanje dejavnosti o celovitem okviru za varstvo podatkov na podlagi člena 16 PDEU, ki je naveden v sporočilu in ki ga je treba upoštevati tudi pri dejavnosti v zvezi s pregledom upravljanja informacij EU.

61.

Evropski nadzornik za varstvo podatkov meni, da je to sporočilo prvi korak v postopku ocenjevanja. Slediti mu mora konkretna ocena, katere rezultat mora biti celovita, povezana in dobro strukturirana politika EU o izmenjavi in upravljanju informacij. Evropski nadzornik za varstvo podatkov v zvezi s tem pozdravlja povezavo z drugimi dejavnostmi, ki jih je Komisija začela izvajati v odziv na stockholmski program, zlasti „zbiranjem informacij“, ki ga Komisija izvaja v tesnem sodelovanju s projektno skupino za zbiranje informacij.

62.

Evropski nadzornik za varstvo podatkov predlaga, naj se v prihodnjem delu o upravljanju informacij poroča tudi o napakah in pomanjkljivostih sistemov ter naj se te upoštevajo, na primer število oseb, ki jim je bila po krivem odvzeta prostost ali so imele kakršne koli težave zaradi napačnega zadetka v sistemu.

63.

Načelo omejitve namena je treba šteti za ključni pomislek za vse instrumente v zvezi z izmenjavo informacij v EU, nove instrumente pa je zdaj mogoče predlagati le, če je bilo med njihovim oblikovanjem ustrezno upoštevano načelo omejitve namena. To velja tudi za njihovo izvajanje.

64.

Evropski nadzornik za varstvo podatkov poleg tega Komisijo spodbuja, naj z oblikovanjem konkretnih ukrepov in mehanizmov zagotovi spoštovanje in praktično izvajanje načel nujnosti in sorazmernosti v vseh novih predlogih, ki vplivajo na pravice posameznikov. V zvezi s tem je treba tudi oceniti sedanje sisteme.

65.

Evropski nadzornik za varstvo podatkov je tudi prepričan, da je to sporočilo izvrstna priložnost za začetek razprave o tem, kaj dejansko pomeni „ocena učinka na varstvo zasebnosti in podatkov“, in podrobnejšo opredelitev tega pojma.

66.

Poleg tega poziva Komisijo, naj oblikuje skladnejšo in doslednejšo politiko o temeljnih pogojih za uporabo biometričnih podatkov ter politiko o operabilnosti sistemov in okrepi usklajenost na področju pravic posameznikov, na katere se nanašajo podatki, na ravni EU.

67.

Evropski nadzornik za varstvo podatkov pozdravlja tudi sklic na pojem „vgrajena zasebnost“, ki je zdaj na splošno oblikovan za zasebni in javni sektor ter mora zato igrati pomembno vlogo na področju policije in pravosodja.

68.

Ne nazadnje opozarja, da je treba upoštevati njegove pripombe in pomisleke glede poglavja z naslovom „Predlogi zakonodajnih aktov, ki jih predstavi Komisija“ v zvezi s sistemom vstopa/izstopa in programom za registrirane potnike.

V Bruslju, 30. septembra 2010

Peter HUSTINX

Evropski nadzornik za varstvo podatkov


(1)  UL L 281, 23.11.1995, str. 31.

(2)  UL L 8, 12.1.2001, str. 1.

(3)  COM(2010) 385 konč.

(4)  Stran 3 sporočila.

(5)  Evropski nadzornik za varstvo podatkov v zvezi s tem odstavkom meni, da je lahko besedilo „sporočilo pojasnjuje […] seznam organov z dostopom do takšnih podatkov“ zavajajoče, ker sporočilo takih seznamov ne vključuje niti jih ne pojasnjuje. Sklicuje se le na glavne kategorije oseb ali organov, ki imajo dostop do podatkov.

(6)  Stockholmski program – odprta in varna Evropa, ki služi državljanom in jih varuje, dokument Sveta 5731/2010, 3.3.2010.

(7)  Mnenje z dne 10. julija 2009 o sporočilu Komisije Evropskemu parlamentu in Svetu o območju svobode, varnosti in pravice za državljane.

(8)  Sklepi Sveta o strategiji upravljanja informacij na področju notranje varnosti EU, Svet za pravosodje in notranje zadeve, 30.11.2009.

(9)  Mnenje z dne 19. oktobra 2005 o treh predlogih v zvezi z drugo generacijo Schengenskega informacijskega sistema (SIS II).

(10)  Mnenje z dne 7. oktobra 2009 o predlogih v zvezi z dostopom organov pregona do sistema EURODAC.

(11)  Mnenje z dne 18. februarja 2009 o predlogu uredbe o vzpostavitvi sistema „Eurodac“ za primerjavo prstnih odtisov zaradi učinkovite uporabe Uredbe (ES) št. (…/…) (o vzpostavitvi meril in mehanizmov za določitev države članice, odgovorne za obravnavanje prošnje za mednarodno zaščito, ki jo v eni od držav članic vloži državljan tretje države ali oseba brez državljanstva) in Mnenje z dne 18. februarja 2009 o predlogu uredbe o vzpostavitvi meril in mehanizmov za določitev države članice, odgovorne za obravnavanje prošnje za mednarodno zaščito, ki jo v eni od držav članic vloži državljan tretje države ali oseba brez državljanstva.

(12)  Glej opombo 6.

(13)  Mnenje z dne 20. decembra 2007 o osnutku predloga okvirnega sklepa Sveta o uporabi evidence podatkov o potnikih (PNR) za namene kazenskega pregona.

(14)  Funkcionalno področje te dejavnosti ustreza področju švedskega okvirnega sklepa (Okvirni sklep Sveta 2006/960/PNZ), tj. izmenjavi informacij za namene preiskav kaznivih dejanj in pri zbiranju kriminalističnih obveščevalnih podatkov.

(15)  

„Nadaljnja obdelava za drug namen je dovoljena, če: (a) ni nezdružljiva z nameni, za katere so bili podatki zbrani, (b) so pristojni organi pooblaščeni za zbiranje takšnih podatkov za takšen drug namen v skladu s z veljavnimi pravnimi predpisi, ter (c) je obdelava potrebna in sorazmerna za takšen drug namen.“

(16)  Glej zlasti mnenje evropskega nadzornika za varstvo podatkov o predlogih v zvezi z dostopom organov pregona do sistema EURODAC, navedeno v opombi 10.

(17)  Glej na primer mnenje evropskega nadzornika za varstvo podatkov o evropski evidenci imen letalskih potnikov (PNR), navedeno v opombi 13.

(18)  Glej 7. in 8. poročilo SNO o dejavnostih v zvezi s sistemom SIS, na voljo na naslovu http://www.schengen-jsa.dataprotection.org/ zlasti poglavji o členih 96 in 99 Schengenske konvencije.

(19)  Glej govor evropskega nadzornika za varstvo podatkov na konferenci evropskih komisarjev za varstvo zasebnosti in podatkov, ki je potekala v Pragi 29. aprila 2010.

(20)  V zvezi z vgrajeno zasebnostjo glej Mnenje z dne 18. marca 2010 o spodbujanju zaupanja v informacijsko družbo s podpiranjem varstva podatkov in zasebnosti ter Mnenje z dne 22. julija 2009 o sporočilu Komisije z naslovom „Akcijski načrt za uvajanje inteligentnih prometnih sistemov v Evropi“ ter spremljajočem predlogu direktive Evropskega parlamenta in Sveta o določitvi okvira za uvajanje inteligentnih prometnih sistemov v cestnem prometu in vmesnike do drugih vrst prevoza.

(21)  V mnenju evropskega nadzornika za varstvo podatkov o sporočilu Komisije o stockholmskem programu se priporoča uvedba pravne obveznosti razvijalcev in uporabnikov informacijskih sistemov, da razvijajo in uporabljajo sisteme, ki so skladni z načelom „vgrajene zasebnosti“.

(22)  SEC(2009) 92, 15.1.2009.

(23)  C(2009) 3200 konč., 12.5.2009.

(24)  Npr. v okviru omejitve namena in morebitnih prekrivanj nalog (stran 22) ter učinkovitega upravljanja identitete (stran 23).

(25)  Glej na primer mnenje o stockholmskem programu (opomba 7), mnenje o treh predlogih v zvezi z drugo generacijo Schengenskega informacijskega sistema (opomba 9) ali pripombe z dne 10. marca 2006 o sporočilu Komisije z dne 24. novembra 2005 o izboljšani učinkovitosti, povečani interoperabilnosti in sinergijah med evropskimi zbirkami podatkov na področju pravosodja in notranjih zadev (opomba 22).

(26)  Pripombe evropskega nadzornika za varstvo podatkov z dne 10. marca 2006 o sporočilu Komisije z dne 24. novembra 2005 o izboljšani učinkovitosti, povečani interoperabilnosti in sinergijah med evropskimi zbirkami podatkov na področju pravosodja in notranjih zadev.