Povzetek mnenja evropskega nadzornika za varstvo podatkov o predlogu uredbe o avtomatizirani izmenjavi podatkov za policijsko sodelovanje (okvir Prüm II)

(Celotno besedilo tega mnenja je na voljo v angleščini, francoščini in nemščini na spletišču ENVP www.edps.europa.eu)

(2022/C 225/04)

Evropska komisija je 8. decembra 2021 sprejela predlog uredbe Evropskega parlamenta in Sveta o avtomatizirani izmenjavi podatkov za policijsko sodelovanje (okvir Prüm II) ter spremembi sklepov Sveta 2008/615/PNZ in 2008/616/PNZ ter uredb (EU) 2018/1726, (EU) 2019/817 in (EU) 2019/818 Evropskega parlamenta in Sveta (t.i. prümska sklepa). Predlog je del večjega zakonodajnega svežnja, imenovanega „Kodeks EU o policijskem sodelovanju“, ki vključuje tudi predlog direktive Evropskega parlamenta in Sveta o izmenjavi informacij med organi kazenskega pregona držav članic (predmet ločenega mnenja ENVP) ter predlog priporočila Sveta o operativnem policijskem sodelovanju.

Namen predloga je okrepiti sodelovanje na področju kazenskega pregona, zlasti izmenjavo informacij med pristojnimi organi, odgovornimi za preprečevanje, odkrivanje in preiskavo kaznivih dejanj, z določitvijo pogojev in postopkov za avtomatizirano iskanje profilov DNK, daktiloskopskih podatkov (prstnih odtisov), podob obraza, kazenskih evidenc in določenih podatkov iz registrov vozil ter izmenjavo podatkov po ujemanju.

ENVP sicer razume potrebo organov kazenskega pregona, da izkoristijo najboljša možna pravna in tehnična orodja za odkrivanje, preiskovanje in preprečevanje kaznivih dejanj, vendar ugotavlja, da predlagani novi prümski okvir ne določa jasno bistvenih elementov izmenjave podatkov, kot so vrste kaznivih dejanj, ki lahko utemeljujejo poizvedbo, in ni dovolj jasen glede obsega posameznikov, na katere se nanašajo osebni podatki in jih zadeva avtomatizirana izmenjava podatkov, npr. ali podatkovne zbirke, ki so predmet poizvedbe, vsebujejo podatke samo osumljencev in/ali obsojenih oseb ali tudi podatke drugih posameznikov, na katere se nanašajo osebni podatki, kot so žrtve ali priče.

ENVP zlasti meni, da bi moralo biti avtomatizirano iskanje profilov DNK in podob obraza možno samo v okviru posameznih preiskav hudih kaznivih dejanj in ne vsakega kaznivega dejanja, kot predvideva predlog. Poleg tega ENVP meni, da je treba v predlog uvesti skupne zahteve in pogoje v zvezi s podatki v nacionalnih podatkovnih zbirkah, ki so dostopne za avtomatizirana iskanja, ob ustreznem upoštevanju obveznosti iz člena 6 Direktive o kazenskem pregonu 680/2016 (LED), da je treba razlikovati med različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki (tj. med obsojenimi storilci kaznivih dejanj, osumljenci, žrtvami itd.).

ENVP ima tudi pomisleke glede posledic predlaganega avtomatiziranega iskanja in izmenjave kazenskih evidenc za temeljne pravice zadevnih posameznikov. Meni, da nujnost predlaganega avtomatiziranega iskanja in izmenjave podatkov iz kazenskih evidenc ni zadostno dokazana. Če se tak ukrep kljub temu sprejme, tudi če prostovoljno, bi bili potrebni dodatni strogi zaščitni ukrepi za zagotovitev skladnosti z načelom sorazmernosti. Prihodnja uredba bi morala zlasti ob upoštevanju izzivov glede kakovosti podatkov med drugim izrecno opredeliti vrste in/ali težo kaznivih dejanj, ki lahko utemeljujejo avtomatizirano poizvedbo v nacionalnih kazenskih evidencah.

Glede vključitve Europola v prümski okvir ENVP meni, da njegove pripombe in priporočila iz Mnenja 4/2021 o predlogu spremembe uredbe o Europolu v okviru prümskga sodelovanja še naprej v celoti veljajo, zlasti tista v zvezi s tako imenovanim „izzivom glede masovnih podatkov“, tj. obsežni in kompleksni podatkovni nabori, ki jih obdeluje agencija. ENVP želi opozoriti na dve ključni sporočili v mnenju o Europolu: okrepljen mandat bi moral vedno spremljati večji nadzor in, enako pomembno, nobena veljavna izjema v obliki odstopanj ne bi smela postati pravilo.

Predlog predvideva zapleteno arhitekturo za avtomatizirano iskanje in izmenjavo podatkov v prümskem okviru s tremi ločenimi tehničnimi rešitvami, ki so jih razvili in jih vzdržujejo trije različni subjekti. ENVP meni, da bi moral biti predlog bolj jasen glede odgovornosti za obdelavo osebnih podatkov, zlasti v sistemu EUCARIS, ki ne temelji na pravu EU in je medvladne narave. Poleg tega ENVP glede na obseg in občutljivost obdelave osebnih podatkov meni, da predlagani model horizontalnega upravljanja prümskega okvira ni primeren in bi ga bilo treba nadalje okrepiti, npr. z dodelitvijo osrednje usklajevalne vloge subjektu EU, npr. Komisiji.

Poleg tega ENVP zaradi pravne varnosti meni, da bi bilo treba izrecno pojasniti povezavo pravil o varstvu podatkov v predlogu z obstoječim pravnim okvirom o varstvu podatkov v EU, zlasti z direktivo o kazenskem pregonu in Uredbo (EU) 1725/2018 (uredba EU o varstvu podatkov).

Mnenje vsebuje tudi analize in priporočila o več drugih posebnih vprašanjih, kot so povezava prümskega okvira z okvirom interoperabilnosti, prenos podatkov tretjim državam in mednarodnim organizacijam ali nadzor nad postopki obdelave za namene prümskega sodelovanja.

1. UVOD IN OZADJE

Predlog je del večjega zakonodajnega svežnja, imenovanega „Kodeks EU o policijskem sodelovanju“, ki vključuje tudi:

—	predlog direktive Evropskega parlamenta in Sveta o izmenjavi informacij med organi kazenskega pregona držav članic ter razveljavitvi Okvirnega sklepa Sveta 2006/960/PNZ (2), in

—	predlog priporočila Sveta o operativnem policijskem sodelovanju (3).

Cilj Kodeksa EU o policijskem sodelovanju je, kot je navedla Komisija, okrepitev sodelovanja na področju kazenskega pregona po državah članicah in zlasti izmenjave informacij med pristojnimi organi (4). Glede na to predlog določa pogoje in postopke za avtomatizirano iskanje profilov DNK, daktiloskopskih podatkov (prstnih odtisov), podob obraza, kazenskih evidenc in določenih podatkov iz registrov vozil ter izmenjavo podatkov po ujemanju med organi, pristojnimi za preprečevanje, odkrivanje in preiskavo kaznivih dejanj.

Predlog, na splošneje pa tudi Kodeks EU o policijskem sodelovanju, je povezan s cilji politik več strateških dokumentov EU na področju pravosodja in notranjih zadev, zlasti strategije EU za varnostno unijo (5), strategijo EU za boj proti organiziranemu kriminalu za obdobje 2021–2025 (6) ter strategijo za v celoti delujoče in odporno schengensko območje iz leta 2021 (7). Poleg tega bi bilo treba predloge o vzpostavitvi Kodeksa o policijskem sodelovanju preučiti ob upoštevanju tekoče reforme Europola in njegove vse večje vloge kot informacijskega središča za kazniva dejanja v Uniji, ki zbira in obdeluje vedno večje količine podatkov (8).

Komisija se je o predlogu uredbe Prüm II z ENVP posvetovala 5. januarja 2022 v skladu s členom 42(1) Uredbe (EU) 2018/1725. Pripombe in priporočila v tem mnenju so omejena na določbe predloga, ki so najpomembnejše z vidika varstva podatkov.

4. SKLEPNE UGOTOVITVE

73.

Predlagani novi prümski okvir ne določa jasno bistvenih elementov izmenjave podatkov, kot so vrste kaznivih dejanj, ki lahko utemeljujejo poizvedbo (iskanje), zlasti profilov DNK, in sicer, ali so to vsa kazniva dejanja ali samo hujša kazniva dejanja. Poleg tega predlog ne določa jasno obsega posameznikov, na katere se nanašajo osebni podatki in jih zadeva avtomatizirana izmenjava podatkov, tj. ali podatkovne zbirke, ki so predmet poizvedbe, vsebujejo podatke samo osumljencev in/ali obsojenih oseb ali tudi osebne podatke drugih posameznikov, na katere se nanašajo osebni podatki, kot so žrtve ali priče.

74.

Za zagotovitev potrebnosti in sorazmernosti posega v temeljno pravico do varstva osebnih podatkov je z vidika člena 52(1) Listine bistveno pojasniti osebno in materialno področje uporabe ukrepov, tj. kategorije posameznikov, na katere se nanašajo osebni podatki, ki jih bo to neposredno zadevalo, ter objektivne pogoje, ki lahko utemeljujejo avtomatizirano poizvedbo v zadevni podatkovni zbirki drugih držav članic ali Europola.

75.

ENVP zlasti meni, da bi moralo biti avtomatizirano iskanje profilov DNK in podob obraza možno samo v okviru posameznih preiskav hudih kaznivih dejanj in ne vsakega kaznivega dejanja, kot določa predlog. V skladu z obveznostjo iz člena 6 direktive o kazenskem pregonu bi moral predlog za ločevanje med različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki, predvideti omejitev kategorij posameznikov, na katere se nanašajo osebni podatki in katerih profili DNK in podobe obraza, shranjeni v nacionalnih podatkovnih zbirkah, bi morali biti dostopni za avtomatizirana iskanja, ob upoštevanju zlasti omejitve, neločljivo povezane z namenom, za podatke iz drugih kategorij in ne iz kategorij storilcev kaznivih dejanj ali osumljencev.

76.

ENVP meni, da potrebnost predlaganega avtomatiziranega iskanja in izmenjave podatkov iz kazenskih evidenc, ni zadovoljivo dokazana. Če se tak ukrep kljub temu sprejme, tudi če prostovoljno, bi bili potrebni dodatni strogi zaščitni ukrepi za zagotovitev skladnosti z načelom sorazmernosti. Glede na izzive v zvezi s kakovostjo osebnih podatkov, ki jih ni mogoče rešiti s tehničnimi ukrepi, kot je samo psevdonimizacija, bi morala prihodnja uredba določiti vsaj vrste in/ali težo kaznivih dejanj, ki lahko utemeljujejo avtomatizirano iskanje v nacionalnih kazenskih evidencah.

77.

Glede vključitve Europola v prümski okvir ENVP meni, da njegove pripombe in priporočila iz Mnenja 4/2021 o predlogu spremembe uredbe o Europolu v okviru prümskega sodelovanja še naprej v celoti veljajo, zlasti tista, ki se nanašajo na obsežne in kompleksne podatkovne nabore, ki jih obdeluje agencija. Poleg tega ENVP priporoča, naj se pojasni osebno področje uporabe, tj. določijo kategorije posameznikov, na katere se nanašajo osebni podatki, ki so predmet poizvedb na podlagi členov 49 in 50, ter uskladijo obdobja hrambe za dnevnike za zagotovitev skladnosti z uredbo o Europolu.

78.

Predlog zagotavlja zapleteno arhitekturo za avtomatizirano iskanje in izmenjavo podatkov v prümskem okviru s tremi ločenimi tehničnimi rešitvami, ki so jih razvili in jih vzdržujejo trije različni subjekti. Poleg tega ena od njih, sistem EUCARIS, ne temelji na pravnem aktu EU, temveč je medvladne narave. ENVP zato meni, da bi moral predlog jasno obravnavati odgovornost za obdelavo osebnih podatkov v sistemu EUCARIS. Poleg tega ENVP meni, da trenutni model horizontalnega upravljanja prümskega okvira glede na obseg in občutljivost obdelave osebnih podatkov ni primeren in bi ga bilo treba nadalje okrepiti, npr. z dodelitvijo osrednje usklajevalne vloge subjektu EU, npr. Komisiji.

79.

Drug pomemben element predloga, ki zahteva skrbno analizo njegovega vpliva na temeljne pravice, je usklajenost prümskega okvira z okvirom interoperabilnosti informacijskih sistemov EU na področju pravosodja in notranjih zadev. ENVP poziva sozakonodajalca, naj preuči potrebo po dodatnih pravilih v zvezi s tem, npr. v izvedbenem ali delegiranem aktu, ki bi moral obravnavati posebne izzive, kot sta kakovost in uspešnost algoritmov za ujemanje podob obraza.

80.

Ob upoštevanju, da pravna podlaga predloga med drugim vključuje člen 16 PDEU, ENVP zaradi jasnosti in gotovosti priporoča, naj se v predlogu določi, da določbe o varstvu podatkov v poglavju 6 ne posegajo v uporabo direktive o kazenskem pregonu in uredbe EU o varstvu podatkov glede obdelave osebnih podatkov v okviru sodelovanja na področju kazenskega pregona na podlagi prümskega okvira.

81.

Poleg tega ENVP meni, da bi bilo treba zahtevo za redne revizije postopkov obdelave osebnih podatkov za namene uredbe Prüm II razširiti in bi morala zajemati vse postopke obdelave osebnih postopkov na nacionalni ravni. Glede na to ENVP priporoča, naj se člen 60(2) predloga nanaša na splošno na pooblastila ENVP v skladu s členom 58 uredbe EU o varstvu podatkov in ne samo na nekatera od njih.

Bruselj, 2. marca 2022

Wojciech Rafał WIEWIÓROWSKI

(1) COM(2021) 784 final.

(2) COM(2021) 782 final.

(3) COM(2021) 780 final.

(4) https://ec.europa.eu/home-affairs/news/boosting-police-cooperation-across-borders-enhanced-security-2021-12-08_en

(5) Sporočilo Komisije o strategiji EU za varnostno unijo, COM/2020/605 final.

(6) Sporočilo Komisije o strategiji EU za boj proti organiziranemu kriminalu za obdobje 2021–2025, COM/2021/170 final.

(7) Sporočilo Komisije „Strategija za v celoti delujoče in odporno schengensko območje“, COM/2021/277 final.

(8) Za več informacij glej Mnenje ENVO 4/2021. https://edps.europa.eu/system/files/2021-03/21-03-08_opinion_europol_reform_en.pdf