Opinia Europejskiego Inspektora Ochrony Danychw sprawie inicjatywy Królestwa Belgii, Republiki Czeskiej, Republiki Estońskiej, Królestwa Hiszpanii, Republiki Francuskiej, Republiki Włoskiej, Wielkiego Księstwa Luksemburga, Królestwa Niderlandów, Republiki Austrii, Rzeczypospolitej Polskiej, Republiki Portugalskiej, Republiki Słowenii, Republiki Słowackiej i Królestwa Szwecji mającej na celu przyjęcie decyzji Rady w sprawie wzmocnienia Eurojustu i zmiany decyzji 2002/187/WSiSW(2008/C 310/01)
(Dz.U.UE C z dnia 5 grudnia 2008 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając Kartę Praw Podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41,
WYDAJE NASTĘPUJĄCĄ OPINIĘ:
I. UWAGI WSTĘPNE
1. W dniu 27 lutego 2008 r. W Dzienniku Urzędowym opublikowano inicjatywy 14 państw członkowskich mającą na celu przyjęcie decyzji Rady w sprawie wzmocnienia Eurojustu i zmiany decyzji 2002/187/WSiSW(1).
2. EIOD nie był proszony o zaopiniowanie tej inicjatywy. Z tego względu wydaje on niniejszą opinię z własnej inicjatywy, podobnie, jak miało to miejsce w przypadku inicjatywy dotyczącej decyzji Rady w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej (konwencja z Prüm) oraz inicjatywy dotyczącej decyzji Rady w sprawie wdrożenia wymienionej decyzji Rady(2). Zdaniem EIOD niniejsza opinia powinna zostać wymieniona w preambule do decyzji Rady, analogicznie do innych jego opinii wymienionych w niektórych aktach prawnych przyjętych na podstawie wniosku Komisji.
3. Mimo że państwo członkowskie lub grupa państw członkowskich występujących z inicjatywą w sprawie środka prawnego na mocy tytułu VI Traktatu UE nie ma prawnego obowiązku występować do EIOD o opinię, również obowiązujące przepisy nie wykluczają takiego wystąpienia o opinię. EIOD wyraża ubolewanie, że państwa członkowskie nie zwróciły się do niego o opinię w przedmiotowej sprawie, ponieważ inicjatywa w szerokim zakresie dotyczy warunków przetwarzania danych osobowych.
4. EIOD wyraża również ubolewanie z powodu braku oceny skutków regulacji, która powinna towarzyszyć inicjatywie(3). Jest to niezbędny element poprawiający przejrzystość, a w szerszej perspektywie - jakość procesu legislacyjnego. Dla obywateli Unii Europejskiej nie jest zrozumiałe, dlaczego element ten jest normalną częścią procesu legislacyjnego, w sytuacji gdy Komisja przedstawia wnioski, a w przypadku inicjatywy ze strony państw członkowskich - już nie.
5. W obecnym przypadku dodatkowe dokumenty mogłyby uzasadnić, dlaczego zmiana decyzji 2002/187/WSiSW ma tak pilny charakter. W tym kontekście trzeba podkreślić, że inicjatywę podjęto z myślą o przyjęciu instrumentu prawnego przed samym wejściem w życie traktatu z Lizbony. Traktat ten przyczyni się do zmiany statusu Eurojustu, między innymi ze względu na fakt, że zniesiona zostanie filarowa struktura ustanowiona w Traktacie o UE.
6. W ostatnim wstępnym spostrzeżeniu EIOD przypomina, że 14 państw członkowskich przedstawiło kolejną inicjatywę, która jest ściśle powiązana z przedmiotową i ma na celu przyjęcie decyzji Rady w sprawie europejskiej sieci sądowej(4). EIOD nie zamierza wydawać opinii na temat tej ostatniej inicjatywy, ponieważ ma ona mniejsze znaczenie dla ochrony danych osobowych. Informacje rozpowszechniane w ramach europejskiej sieci sądowej - zgodnie z przepisem zawartym w art. 8 tej inicjatywy - zasadniczo nie skupiają się na danych osobowych.
II. UWAGI OGÓLNE
Kontekst inicjatywy
7. Zgodnie z jej motywami inicjatywa ma na celu jeszcze bardziej zwiększyć skuteczność operacyjną Eurojustu. Cel ten jest zgodny z perspektywą, z której dalszy rozwój Eurojustu wydaje się logicznym krokiem naprzód w odniesieniu do tej organizacji. Już w programie haskim z listopada 2004 r.(5) Rada Europejska wezwała Komisję do rozważenia możliwości dalszego rozwoju Eurojustu. W październiku 2007 r. Komisja przedstawiła Radzie i Parlamentowi Europejskiemu komunikat w sprawie roli Eurojustu i europejskiej sieci sądowej w walce z przestępczością zorganizowaną i terroryzmem w Unii Europejskiej(6). W komunikacie stwierdza się, że zmiana decyzji w sprawie Eurojustu jest konieczna, aby umożliwić Eurojustowi rozwój jego potencjału jeśli chodzi o współpracę, a także pozwolić mu, by wyraźniej potwierdził swoją kluczową rolę w walce z przestępczością zorganizowaną i terroryzmem w Europie.
8. EIOD przypomina przy tej okazji, że art. 85 traktatu o funkcjonowaniu Unii (traktat z Lizbony) rozszerza podstawę prawną dla Eurojustu w porównaniu z obecną podstawą w art. 31 ust. 2 Traktatu o UE. Artykuł 85 TFUE zawiera między innymi odniesienie do wszczynania śledztwa karnego. Artykuł 86 TFUE stanowi, że Rada może ustanowić Prokuraturę Europejską w oparciu o Eurojust.
9. W komunikacie stwierdza się, że bilans operacyjny Eurojustu jest pozytywny. Liczba spraw, którymi zajmuje się Eurojust, znacząco wzrasta. Rozwojowi Eurojustu powinno jednak towarzyszyć sprecyzowanie i wzmocnienie uprawnień przedstawicieli krajowych Eurojustu oraz wzmocnienie uprawnień kolegium. Komunikat uzasadnia braki aktualnych ram prawnych, które nie zapewniają dostatecznych uprawnień przedstawicielom krajowym i kolegium.
10. EIOD rozumie potrzebę poprawy ram prawnych dla Eurojustu, której celem byłaby większa skuteczność jego funkcjonowania. Eurojust jest rozwijającą się organizacją. Jego rola w prowadzeniu śledztw karnych i ściganiu wzrasta i powinna wzrastać, aby uczynić z Eurojustu ważny podmiot w tym obszarze.
Możliwości gromadzenia informacji przez Eurojust
11. W komunikacie podkreślono, że dostęp do informacji ma zasadnicze znaczenie. W związku z powyższym wydaje się logiczne, że znaczna liczba zaproponowanych w inicjatywie zmian odnosi się do możliwości gromadzenia informacji przez Eurojust(7). Niniejsza opinia EIOD będzie poświęcona głównie temu właśnie zagadnieniu, ponieważ wiąże się ono z gromadzeniem, przechowywaniem i wymianą danych osobowych. W tym kontekście znaczące jest również, że druga część komunikatu skupia się na stosunkach między Eurojustem i innymi podmiotami z obszaru współpracy sądowej w sprawach karnych. Poprawa tych stosunków jest traktowana priorytetowo w inicjatywie i będzie ważnym elementem tej opinii.
12. EIOD zauważa, że inicjatywa zawiera przepisy o szczególnym znaczeniu dla gromadzenia, przechowywania i wymiany danych osobowych:
– Art. 9 ust. 4 umożliwia przedstawicielom krajowym Eurojustu pełny dostęp do szeregu rejestrów.
– Art. 9a zawiera definicję uprawnień przedstawiciela krajowego, w tym jego potencjału informacyjnego.
– Zgodnie z art. 12 ust. 5 krajowy system koordynacyjny Eurojustu jest połączony z należącym do Eurojustu zautomatyzowanym systemem przetwarzania spraw.
– Nowy art. 13a poświęcony jest informacjom dostarczanym przez Eurojust organom krajowym.
– Zamknięte wykazy dotyczące przetwarzania danych w art. 15 zostaną zastąpione wykazami otwartymi. W art. 15 ust. 1 lit. l) dodane zostają nowe typy informacji i pojęcie systemu przetwarzania spraw.
– Zgodnie z art. 26 ust. 1a kolegium Eurojustu może otwierać i uczestniczyć w funkcjonowaniu pliku analitycznego Europolu. Art. 26 ust. 2 ułatwia jeszcze bardziej stosunki z europejską siecią sądową, Frontexem i innymi podmiotami.
– Art. 27a poświęcony jest wnioskom państw trzecich o współpracę sądową.
13. Przepisy te rozszerzają możliwości gromadzenia, przechowywania i wymiany danych osobowych i z tego względu pociągają za sobą dodatkowe zagrożenia dotyczące ochrony danych osobowych. Co zrozumiałe, zagrożeń nie zawsze da się uniknąć, ponieważ obowiązujące przepisy muszą umożliwiać Eurojustowi skuteczne prowadzenie jego działań operacyjnych. Jednakże przy ustanawianiu nowych przepisów, które rozszerzają możliwości przetwarzania danych europejski legislator powinien dobrze wyważyć różne publiczne interesy wchodzące w grę, biorąc pod uwagę zasadę proporcjonalności.
14. W każdym wypadku wymagane jest, aby przepisy te były ustanawiane na podstawie analizy braków w obowiązujących przepisach oraz oczekiwanej skuteczności nowych przepisów. Z tego również powodu EIOD żałuje, że inicjatywie nie towarzyszą dokumenty zawierające taką analizę, przy czym sam komunikat zawiera wiele pożytecznych informacji. Na przykład brak uzasadnienia dla potrzeby zastąpienia wykazów zamkniętych wykazami otwartymi w art. 15.
Kontekst krajowego prawa karnego
15. Potrzeba uzasadnienia jest nawet bardziej jeszcze wyraźna, jeśli pod uwagę weźmie się złożoność warunków, w których musi funkcjonować Eurojust. Na obecnym etapie integracji europejskiej śledztwa karne i ściganie podlegają prawom krajowym. Krajowe systemy prawne regulujące ten obszar bazują na długich tradycjach prawnych i znacznie różnią się między sobą. Zadaniem Eurojustu jest ułatwienie optymalnej koordynacji działań związanych z dochodzeniami i ściganiem które są prowadzone na terytorium więcej niż jednego państwa członkowskiego, przy pełnym poszanowaniu podstawowych praw i wolności(8).
16. Dodatkowo decyzja 2002/187/WSiSW pozostawia w gestii krajowych rządów sposób wypełniania ich zadań związanych z Eurojustem, na przykład status, który nadają oni przedstawicielom krajowym.
17. Konsekwencje tej sytuacji są różnorakie. Po pierwsze, wydaje się, że istnieją dobre podstawy do tego, by ograniczyć zakres swobody państw członkowskich w celu zapewnienia skutecznego funkcjonowania Eurojustu. Proponowany art. 2 ust. 2 zwiększa minimalny poziom zasobów, jakich państwo członkowskie może udzielić przedstawicielom krajowym. Również nowy art. 9a ma na celu wzmocnienie statusu przedstawicieli krajowych. Państwa członkowskie muszą przyznać im specjalne uprawnienia.
18. Po drugie, należy wziąć pod uwagę, że Eurojust wymienia informacje w ramach niezwykle zróżnicowanych systemów prawnych przewidujących różne prawne (i konstytucyjne) wymogi dotyczące korzystania z tych informacji i dostępu do nich. Wymogi te nie powinny być stosowane, aby ograniczać uprawnienia Eurojustu do gromadzenia, przechowywania i wymiany informacji, ani aby ograniczenia takie podtrzymywać, ale w tak złożonej sytuacji wszelkie możliwe konsekwencje należy ocenić i rozważyć zawczasu.
Traktat z Lizbony i pilny charakter zmian: czy zmiany są konieczne teraz?
19. Traktat z Lizbony prowadzi do trzech poważnych konsekwencji dotyczących tej inicjatywy:
a) Art. 85 TFUE rozszerza funkcje Eurojustu, natomiast art. 86 wręcz przewiduje bardziej gruntowną zmianę funkcji, a mianowicie - przekształcenie Eurojustu w Prokuraturę Europejską (zob. także pkt 8 niniejszej opinii).
b) Ramy prawne Eurojustu muszą zostać przyjęte przez Parlament Europejski i Radę w ramach zwykłej procedury legislacyjnej zakładającej głosowanie większością kwalifikowaną na forum Rady. Procedura dotycząca naruszenia przewidziana w art. 228 WE (w traktacie z Lizbony - art. 260 TFUE) będzie miała zastosowanie do wprowadzenia tych ram prawnych w życie w państwach członkowskich.
c) W konsekwencji zniesienia struktury filarów Eurojust stanie się organem Unii Europejskiej, do którego będą miały zastosowanie wszystkie przepisy dotyczące ogólnego wykonania tytułu II TFUE, takie jak na przykład przepisy dotyczące przejrzystości i ochrony danych.
20. Pojawia się pytanie, czy przed przyjęciem zmian do ram prawnych dla Eurojustu - przedstawionych w inicjatywie - nie byłoby lepiej poczekać na wejście w życie traktatu z Lizbony.
21. Zdaniem EIOD istnieją pewne przekonujące argumenty przemawiające za podejściem oczekującym wejścia w życie traktatu z Lizbony. Argumenty te przedstawiono poniżej:
a) Umożliwia on pełne włączenie zadań wymienionych w art. 85 TFUE(9).
b) Uznaje rolę Parlamentu Europejskiego jako współprawodawcy i strony uczestniczącej w ocenie działalności Eurojustu(10).
c) Zezwala, aby Komisja i Trybunał Sprawiedliwości kontrolowały wykonanie w państwach członkowskich i zapobiega sytuacji, w której nowe przepisy będą wykorzystywały wyjątki zawarte w tytule VII protokołu nr 36 do traktatu z Lizbony, na mocy których ograniczone uprawnienia Trybunału Sprawiedliwości pozostają niezmienione w stosunku do aktów przyjętych przed wejściem w życie traktatu reformującego z Lizbony, do czasu gdy akty takie nie zostaną zmienione lub przed upływem 5 lat.
d) Umożliwia on rozważenie konsekwencji zniesienia struktury filarowej, co w obszarze ochrony danych mogłoby skutkować tym, że rozporządzenie (WE) nr 45/2001(11) mogłoby mieć zastosowanie do Eurojustu.
III. PRZEPISY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH
Ogólne ramy
22. Art. 14 decyzji 2002/187/WSiSW stanowi, że Eurojust może przetwarzać dane osobowe w ramach swych uprawnień i do celów swoich zadań. Artykuł ten zawiera ponadto odwołanie do konwencji nr 108 Rady Europy(12), zawiera pewne ogólne zasady ochrony danych i stanowi, że Eurojust tworzy indeks danych odnoszących się do działań dochodzeniowych i może tworzyć akta tymczasowe, które również zawierają dane osobowe.
23. Inicjatywa nie proponuje zastąpienia odwołania do konwencji nr 108 odwołaniem do decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych(13), ani w żaden inny sposób nie odnosi się do tej decyzji ramowej Rady(14). Ze względu na spójność EIOD zaleca dodanie takiego odniesienia do art. 14 decyzji 2002/187/WSiSW. Odniesienie takie jest tym bardziej ważne, ponieważ Eurojust dokonuje wymiany danych osobowych z organami krajowymi, które będą związane decyzją ramową Rady w sprawie ochrony danych osobowych po jej wejściu w życie w państwach członkowskich.
System zarządzania sprawami
24. W inicjatywie zaproponowano zastąpienie słowa "indeks" słowami "system przetwarzania spraw zawierający". EIOD popiera tę zmianę, ponieważ lepiej odzwierciedla ona praktykę w ramach Eurojustu. Wyjaśnia ona, że przepisy dotyczące przetwarzania danych osobowych i ograniczeń takiego przetwarzania odnoszą się do systemu przetwarzania spraw jako takiego, a nie tylko do indeksu.
25. W inicjatywie zaproponowano zastąpienie zamkniętych wykazów danych osobowych, które mogą być przetwarzane na mocy art. 15 ust. 1 i 2 przez podobne wykazy, ale o charakterze otwartym. Skreślony zostaje wyraz "tylko", a w art. 15 ust. 1 dodane zostają słowa "odnośne dane to". Pomijając małą niespójność w inicjatywie (dlaczego dodawać jedynie "odnośne dane to" w art. 15 ust. 1?), zdaniem EIOD zmiana ta nie powinna zostać przyjęta do prawa unijnego. Modyfikacja ta zmienia naturę wykazu i negatywnie wpływa na ochronę danych i pewność prawa, bez odpowiedniego powodu na jej poparcie(15).
26. EIOD nie rozumie powodu, dla którego zmiana taka jest konieczna, zwłaszcza że przedmiotowe wykazy danych są już dość obszerne. Jeśli brakuje konkretnej kategorii lepszym rozwiązaniem byłoby zawarcie jej w samej decyzji. Przedmiotowa inicjatywa stwarza dobrą okazję, aby tak uczynić, co jest widoczne na przykładzie proponowanego dodania kategorii l) do art. 15 ust. 1.
Dodanie kategorii danych
27. Dodane zostały numery telefonu, dane rejestracyjne samochodu, dane o połączeniach telefonicznych i korespondencji elektronicznej, dane DNA i fotografie odnoszące się do osób objętych dochodzeniem karnym lub ściganych za określone rodzaje przestępstw. EIOD rozumie potrzebę przetwarzania takich danych, ale zwraca uwagę na kilka konkretnych punktów, które wymagają wyjaśnienia:
a) Pojęcie danych DNA nie jest jasne. Kwestią zasadniczej wagi jest to, by pojęcie "dane DNA" było precyzyjnie zdefiniowane oraz by istniało rozróżnienie między profilami DNA a danymi DNA, które mogą nieść informacje o cechach genetycznych osoby lub o stanie jej zdrowia. W opinii EIOD przetwarzanie przez Eurojust mogłoby ograniczać się do profili DNA(16).
b) W odniesieniu do danych o połączeniach telefonicznych i korespondencji elektronicznej, nie jest do końca jasne, które dane mają zostać włączone, a które nie. Zwłaszcza w przypadku poczty elektronicznej różnica między danymi o połączeniach a danymi dotyczącymi treści nie jest oczywista. Problem ten jest rozpoznany w kontekście dyrektywy 2006/24/WE(17) o zatrzymywaniu danych i w dyskusjach na temat wykonania tej dyrektywy. Art. 5 ust. 2 dyrektywy stanowi, że: "Zgodnie z niniejszą dyrektywą nie można zatrzymywać danych, które ujawniają treść komunikatu". EIOD zaleca dodanie podobnego wyjaśnienia w art. 15 decyzji Rady.
c) Fotografie mogą również ujawniać informacje szczególnie chronione o samej osobie podejrzanej, ale również dotyczące innych, np. świadków lub ofiar, o których mowa w art. 15 ust. 2. Zdaniem EIOD należy zagwarantować, że przetwarzaniu fotografii towarzyszą podobne zabezpieczenia proceduralne, co te zawarte w art. 15 ust. 4. Artykuł 15 należy zmienić zgodnie z powyższymi sugestiami.
IV. KONTAKTY Z PARTNERAMI ZEWNĘTRZNYMI
28. Zgodnie z siódmym motywem inicjatywy konieczne jest również zwiększenie zdolności Eurojustu do współpracy z partnerami zewnętrznymi, takimi jak Europol, OLAF i Frontex oraz organy państw trzecich.
29. Ponadto, art. 26 zawiera pewne nowe przepisy dotyczące kontaktów i ścisłej współpracy z innymi partnerami, takimi jak europejska sieć sądowa, wspólne centrum sytuacyjne (SitCen), Interpol i Światowa Organizacja Celna. Z tekstu inicjatywy wynika, że współpraca taka może we wszystkich przypadkach zakładać wymianę danych osobowych. Jest to przyczynkiem do następujących uwag:
a) O ile chodzi o europejską sieć sądową, inicjatywa ta, jak również inicjatywa dotycząca decyzji Rady w sprawie europejskiej sieci sądowej, zawiera precyzyjne zasady współpracy, co jest godne pochwały.
b) SitCen nie jest niezależna organizacją, tylko jednostką w ramach Rady nie posiadającą osobowości prawnej. Należy szczegółowo rozważyć, jak powinny zostać nawiązane właściwe kontakty z SitCen, w tym jakie powinny być niezbędne zabezpieczenia służące ochronie danych.
c) W odniesieniu do Interpolu EIOD rozumie, że wymiana informacji z Eurojustem będzie w konkretnych przypadkach niezbędna. Tekst inicjatywy można w zasadzie poprzeć, ale jeszcze lepszym rozwiązaniem byłoby gdyby porozumienie między dwoma organami podlegało - w zakresie, w jakim odnosi się do przetwarzania danych osobowych - zatwierdzeniu ze strony wspólnego organu nadzorczego.
d) Wreszcie, EIOD sprzeciwia się wymianie danych osobowych między Eurojustem a Światową Organizacją Celną; wydaje się, że nie istnieje wyraźna potrzeba dokonywania takiej wymiany. EIOD proponuje skreślenie z inicjatywy art. 26 ust. 10, a przynajmniej zagwarantowanie w tekście, że porozumienie nie będzie dotyczyło wymiany danych osobowych.
Współpraca z Europolem
30. Co się tyczy współpracy z Europolem, inicjatywa zawiera kilka nowych elementów, które dotyczą głównie uprawnień Eurojustu względem "plików roboczych do celów analizy" (AWF) Europolu(18). Proponowany art. 9a ust. 1 lit. c) uprawnia przedstawicieli krajowych Eurojustu do wykonywania zadań w odniesieniu do "plików roboczych do celów analizy" Europolu. Szczególne znaczenie ma proponowany art. 26 ust. 1a, który głosi, że państwo członkowskie dopilnowuje, aby kolegium mogło faktycznie tworzyć taki "plik roboczy do celów analizy" i uczestniczyć w jego przebiegu. Ta propozycja ma wprowadza radykalną odmianę, gdyż likwiduje sytuację, w której na gruncie prawnym Europol i Eurojust są całkowicie rozdzielonymi instytucjami. Współpracują co prawda na podstawie wzajemnego porozumienia, ale nie mają bezpośredniego dostępu do systemów drugiej strony.
31. Proponowana decyzja Rady ustanawiająca Europejski Urząd Policji (EUROPOL) nie zawiera przepisu, który byłby analogiczny do art. 26 ust. 1a i zezwalał Eurojustowi na dostęp do "plików roboczych do celów analizy" Europolu i udział w nich(19). Wręcz przeciwnie: art. 14 proponowanej decyzji określa ścisłe ograniczenia co do udziału w tych plikach i ich analizy. Artykuł 14 ust. 2 stanowi, że tylko analitycy będą uprawnieni, by wprowadzać dane do danego pliku i je zmieniać, oraz że wszyscy uczestnicy grupy analitycznej mogą pobierać dane z pliku.
32. To powoduje, że powstają dwa przeciwstawne obowiązki prawne. Z jednej strony Europol powinien do udziału w plikach roboczych i do ich analizy dopuszczać tylko analityków i uczestników grupy analitycznej. Z drugiej strony prawo unijne wymaga od państw członkowskich, by na otwieranie tych plików i udział w nich zezwalały Eurojustowi. Nie jest jasne, który z tych obowiązków byłby nadrzędny. Ze względu na potrzebę zapewnienia jasności prawnej konieczne jest, aby Rada zmieniła jeden z tych dwóch aktów przed ich ostatecznym przyjęciem. Powinny one bowiem być ze sobą zgodne.
33. Przy okazji odpowiedzi wymaga też jedno fundamentalne pytanie. Czy konieczne jest, aby kolegium Eurojustu aktywnie uczestniczyło w pracach Europolu, czy też wystarczy, jeżeli Eurojust zwracać się będzie do Europolu o utworzenie "pliku roboczego do celów analizy" lub będzie od Europolu otrzymywać informacje na żądanie, tak jak to się dzieje obecnie na mocy porozumienia między obiema instytucjami?
34. Zdaniem EIOD, w obecnych warunkach - gdy nie jest jasne, jakiemu interesowi publicznemu miałyby służyć zmiany - należy zastanowić się, czy nie wystarczyłoby dalsze stosowanie obecnego systemu, o ile:
a) nie zagrozi to możliwościom gromadzenia roli przez przedstawicieli krajowych Eurojustu i kolegium,
b) strukturalne powiązania między obiema instytucjami będą wystarczająco silne, by zapewnić współpracę i oszczędzać podwójnego wykonywania zadań(20).
Takie rozwiązanie sprzyjałoby także ochronie danych. Zadania Europolu i Eurojustu pod względem przetwarzania danych osobowych (kto będzie przetwarzającym? kto administratorem danych?) pozostaną jasno rozdzielone, co jest pożyteczne także dlatego, że mają one różne systemy nadzoru nad przetwarzaniem danych i różne wspólne organy nadzorcze (wspólny organ nadzorczy Eurojustu składa się z sędziów)(21)
Współpraca z organami państw trzecich
35. Pojawia się też kwestia współpracy z organami państw trzecich. Rozwiązania już obowiązujące na podstawie art. 27 decyzji Rady 2002/187/WSiSW zostaną uzupełnione artykułem o sędziach łącznikowych oddelegowanych do państw trzecich (art. 26a) oraz artykułem o wnioskach państw trzecich o współpracę sądową (art. 27a).
36. EIOD aprobuje te nowe przepisy, ale prosi, by ze szczególną uwagą potraktować poziom ochrony danych w państwach trzecich, o którym mowa w art. 27 ust. 4 decyzji Rady 2002/187/WSiSW. EIOD zaleca skorzystać z okazji, jaką jest obecna zmiana decyzji Rady w kierunku rozszerzenia zakresu wymiany z państwami trzecimi, i określić w tej decyzji tryb oceny, czy poziom ochrony danych jest odpowiedni. Ocena ta powinna być dokonywana przez kolegium Eurojustu i zatwierdzana przez wspólny organ nadzorczy.
V. NADZÓR
37. Decyzja Rady 2002/187/WSiSW zawiera kompleksowe przepisy mające zapewnić przestrzeganie wymogów, które dotyczą Eurojustu w kwestii ochrony danych. Artykuł 17 dotyczy funkcjonariusza ds. ochrony danych, działającego w strukturach Eurojustu, a artykuł 23 ustanawia wspólny organ nadzorczy, który ma służyć zbiorowemu nadzorowaniu działań Eurojustu.
38. W inicjatywie nie proponuje się radykalnych zmian tych przepisów, wydaje się bowiem, że działają one dobrze. Proponuje się tylko dodać niewielki fragment do art. 23 ust. 10 mówiący, że sekretariat wspólnego organu nadzorczego może korzystać z fachowej wiedzy sekretariatu ustanowionego decyzją Rady 2000/641/WSiSW.(22)
39. EIOD z zadowoleniem przyjmuje to uzupełnienie, gdyż może one sprzyjać prowadzeniu konsekwentnego nadzoru nad ochroną danych w dziedzinie współpracy policyjnej i sądowej w sprawach karnych (obecny trzeci filar). Korzystanie z doświadczeń zgromadzonych podczas pracy z innymi organami Unii i dużymi systemami informacyjnymi może tylko korzystnie wpływać na jakość ochrony danych.
Dane pracownicze
40. Jeżeli chodzi o spójność, to na uwagę zasługuje kwestia następująca. Artykuł 38 proponowanej decyzji Rady ustanawiającej Europejski Urząd Policji (EUROPOL) (23) dotyczy pracowników Europolu. W myśl art. 38 ust. 1 dyrektor, jego zastępcy oraz pracownicy Europolu mają podlegać regulaminowi pracowniczemu urzędników Wspólnot Europejskich (i innym podobnym przepisom). Równocześnie art. 38 ust. 5a stanowi, że Europol ma przetwarzać dane osobowe swoich pracowników według przepisów rozporządzenia (WE) nr 45/2001. Oznacza to, że EIOD ma monitorować stosowanie wspomnianego rozporządzenia.
41. EIOD zaleca Radzie, żeby zastosowała takie samo rozwiązanie względem Eurojustu i dodała podobny przepis o przetwarzaniu danych osobowych dotyczących pracowników Eurojustu. Dodatkowym argumentem przemawiającym za takim rozwiązaniem jest to, że obecnie jest zupełnie niejasne, czy wspólny organ nadzorczy jest właściwym organem do sprawowania nadzoru nad przetwarzaniem danych osobowych dotyczących pracowników Eurojustu. Otóż art. 23 ust. 1 decyzji Rady 2002/187/WSiSW wyraźnie mówi o nadzorowaniu działań Eurojustu określonych w art. 14-22 tejże decyzji, ale nie oznacza to, że dotyczy danych administracji Eurojustu, takich jak dane pracownicze.
42. Proponowane tu rozwiązanie jest korzystne także z tego względu, że po wejściu w życie traktatu z Lizbony, który ma zlikwidować strukturę filarową, Eurojust może ewentualnie znaleźć się w zakresie zastosowania rozporządzenia (WE) nr 45/2001, a w każdym razie w zakresie zastosowania art. 16 ust. 2 TFU, co zobliguje prawodawcę do ustalenia przepisów o przetwarzaniu danych osobowych przez wszystkie organy UE.
Konsultacja ze wspólnym organem nadzorczym
43. Na koniec, w inicjatywie uznaje się rolę doradczą wspólnego organu nadzorczego. Niektóre decyzje można będzie podjąć dopiero po konsultacji ze wspólnym organem nadzorczym. Takie uznanie jego roli doradczej zasługuje na aprobatę. Rolę tę można by zwiększyć pod niektórymi względami przez zobligowanie kolegium Eurojustu nie tylko do zasięgania opinii wspólnego organu nadzorczego, ale też do kierowania się jego radami (zob. pkt 29 i 36).
VI. WNIOSKI
Na temat procedury
44. EIOD wyraża ubolewanie, że państwa członkowskie nie zwróciły się do niego o opinię w przedmiotowej sprawie, ponieważ inicjatywa w szerokim zakresie dotyczy przetwarzania danych osobowych przez Eurojust i warunków tego przetwarzania.
Na temat braku oceny skutków regulacji
45. Inicjatywie powinna towarzyszyć nie tylko nota wyjaśniająca, ale również ocena skutków regulacji; obydwa te dokumenty są konieczne dla zwiększenia przejrzystości i - w ogólniejszym rozumieniu - jakości procesu legislacyjnego. Dokumenty te mogłyby uzasadnić, dlaczego zmiana decyzji 2002/187/WSiSW ma tak pilny charakter.
Potrzeba poprawy ram prawnych Eurojustu
46. EIOD rozumie potrzebę poprawy ram prawnych dla Eurojustu, której celem byłaby większa skuteczność jego funkcjonowania. Eurojust jest rozwijającą się organizacją. EIOD zauważa że:
a) Zmiany rozszerzają możliwości przetwarzania danych osobowych i z tego względu pociągają za sobą dodatkowe zagrożenia dotyczące ochrony danych osobowych.
b) Eurojust wymienia informacje w ramach niezwykle zróżnicowanych systemów prawnych przewidujących różne prawne (i konstytucyjne) wymogi dotyczące korzystania z tych informacji i dostępu do nich.
Z tych wszystkich względów nowe przepisy muszą być ustanawiane na podstawie analizy braków w obowiązujących przepisach oraz oczekiwanej skuteczności nowych przepisów.
Traktat z Lizbony
47. W opinii wymieniono cztery argumenty przemawiające za oczekiwaniem na wejście w życie traktatu z Lizbony:
a) Umożliwia on pełne włączenie zadań wymienionych w art. 85 TFUE.
b) Uznaje on rolę Parlamentu Europejskiego jako współprawodawcy i strony uczestniczącej w ocenie działalności Eurojustu.
c) Umożliwia on kontrolę wykonania w państwach członkowskich przez Komisję i Trybunał Sprawiedliwości oraz zapobiega sytuacji, w której nowe przepisy będą wykorzystywały wyjątki zawarte w tytule VII protokołu nr 36 do traktatu z Lizbony.
d) Umożliwia on rozważenie konsekwencji zniesienia struktury filarowej, co w obszarze ochrony danych mogłoby skutkować tym, że rozporządzenie (WE) nr 45/2001 mogłoby mieć zastosowanie do Eurojustu.
Na temat innych przepisów dotyczących przetwarzania danych osobowych
48. Należy dokonać odwołania do decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych. Wykazy danych osobowych, które mogą być przetwarzane na mocy art. 15 ust. 1 i 2 powinny pozostać wykazami o charakterze otwartym. Niezbędne są wyjaśnienia w sprawie nowych elementów dotyczących danych, które zostały dodane w art. 15 ust. 1 lit. l).
Na temat kontaktów z partnerami zewnętrznymi
49. EIOD sprzeciwia się wymianie danych osobowych między Eurojustem a Światową Organizacją Celną.
50. W odniesieniu do Europolu należy rozważyć dalsze stosowanie obecnych ustaleń, pod warunkiem, że:
a) nie zagrozi to roli, jaką pod względem informacji odgrywać mają przedstawiciele krajowi Eurojustu i kolegium,
b) strukturalne powiązania między obiema instytucjami będą wystarczająco silne, by zapewnić współpracę i unikać podwójnego wykonywania zadań.
51. W odniesieniu do współpracy z organami państw trzecich zaleca się skorzystać z okazji, jaką jest obecna zmiana decyzji Rady w kierunku rozszerzenia zakresu wymiany z państwami trzecimi, i określić w tej decyzji Rady tryb oceny, czy poziom ochrony danych jest odpowiedni.
Na temat wspólnego nadzoru
52. EIOD z zadowoleniem przyjmuje fragment dodany w art. 23 ust. 10 mówiący, że sekretariat wspólnego organu nadzorczego może korzystać z fachowej wiedzy sekretariatu ustanowionego decyzją Rady 2000/641/WSiSW.
53. EIOD zaleca włączenie przepisu podobnego do art. 38 ust. 5a wniosku dotyczącego decyzji Rady ustanawiającej Europejski Urząd Policji (EUROPOL), czego celem jest sprawienie, że przepisy rozporządzenia (WE) nr 45/2001 będą miały zastosowanie do przetwarzania danych osobowych pracowników Eurojustu.
54. EIOD z zadowoleniem przyjmuje przepisy dotyczące doradczej roli wspólnego organu nadzorczego; przepisy te mogłyby nawet w pewnym momencie zostać wzmocnione.
Sporządzono w Brukseli, dnia 25 kwietnia 2008 r.
|
Peter HUSTINX |
|
|
|
Europejski Inspektor Ochrony Danych |
______
(1) Dz.U. C 54 z 27.2.2008, s. 4.
(2) Opinia z dnia 4 kwietnia 2007 r. na temat inicjatywy 15 państw członkowskich w celu przyjęcia decyzji Rady w sprawie intensywniejszej współpracy transgranicznej, szczególnie w walce z terroryzmem i przestępczością transgraniczną (Dz.U. C 169 z 21.7.2007, s. 2) oraz opinia z dnia 19 grudnia 2007 r. na temat inicjatywy Republiki Federalnej Niemiec w sprawie przyjęcia decyzji Rady dotyczącej wdrożenia decyzji 2007/.../WSiSW w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej (Dz.U. C 89 z 10.4.2008, s. 1).
(3) Inicjatywie towarzyszy nota wyjaśniająca (nieopublikowana jeszcze w Dzienniku Urzędowym, ale dostępna w publicznym rejestrze Rady). Nie rozwiązuje ona jednak problemu braku przejrzystości (itp.), co jest przedmiotem niniejszej opinii.
(4) Dz.U. C 54 z 27.2.2008, s. 14.
(5) Dz.U. C 53 z 3.3.2005, s. 1.
(6) Komunikat z dnia 23 października 2007 r., COM(2007) 644 wersja ostateczna. Zwany dalej "komunikatem".
(7) Angielski termin "information position" odnosi się do możliwości gromadzenia informacji przez Eurojust i jego członków.
(8) Zob. drugi motyw decyzji Rady 2002/187/WSiSW z dnia 28 lutego 2002 r. ustanawiającej Eurojust w celu zintensyfikowania walki z poważną przestępczością.
(9) Art. 86 TFUE ma w tym kontekście mniejsze znaczenie, ponieważ zacznie on obowiązywać w praktyce niekoniecznie bezpośrednio po wejściu w życie traktatu z Lizbony.
(10) Zob. ostatnie zdanie art. 85 ust. 1 TFUE.
(11) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U L 8 z 12.1.2001, s. 1).
(12) Konwencja Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z dnia 28 stycznia 1981 r.
(13) Ostatnia dostępna publicznie wersja wniosku dotyczącego decyzji ramowej Rady pochodzi z dnia 11 grudnia 2007 r. i jest dostępna w publicznym rejestrze Rady.
(14) Niestety także wniosek dotyczący decyzji Rady ustanawiającej Europejski Urząd Policji (EUROPOL) (zob. pkt 31 niniejszej opinii) nie zawiera takiego odniesienia.
(15) EIOD jest świadom, że kwestia ta jest przedmiotem dyskusji na forum grupy roboczej Rady i że ich celem jest możliwość utrzymania zamkniętego charakteru wykazu. Takie rozwiązanie byłoby oczywiście mile widziane.
(16) Zob. poświęcone tej kwestii wcześniejsze opinie EIOD, np. opinię w sprawie inicjatywy 15 państw członkowskich w celu przyjęcia decyzji Rady w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej (konwencja z Prüm), pkt 47-48.
(17) Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE (Dz.U. L 105 z 13.4.2006, s. 54).
(18) "Pliki robocze do celów analizy" (ang. AnalysisWork Files) są opisane w art. 14 i 16 wniosku legislacyjnego, o którym mowa w pkt 31 niniejszej opinii. Wart. 26 inicjatywy posłużono się terminem "pliki analityczne" (ang. AnalyticalWork Files).
(19) Opinię na temat odnośnego wniosku legislacyjnego EIOD wydał w dniu 16 lutego 2007 r. (Dz.U. C 255 z 27.10.2007, s. 13). Najnowsza wersja tego wniosku pochodzi z dnia 10 kwietnia 2008 r. i jest dostępna w publicznym rejestrze Rady.
(20) Zob. w tej kwestii także dokument z listopada 2007 roku przeznaczony do dyskusji i przygotowany przez koordynatora ds. zwalczania terroryzmu (dok. Rady 15448/07).
(21) Artykuł 23 decyzji Rady 2002/187/WSiSW.
(22) Decyzja Rady z dnia 17 października 2000 r. ustanawiająca sekretariat dla wspólnych organów nadzoru ochrony danych utworzony na podstawie Konwencji w sprawie ustanowienia Europejskiego Urzędu Policji (konwencja o Europolu), Konwencji w sprawie wykorzystania technologii informatycznych dla potrzeb celnych oraz Konwencji wykonawczej do Układu z Schengen w sprawie stopniowego znoszenia kontroli na wspólnych granicach (konwencja z Schengen) (Dz.U. L 271 z 24.10.2000, s. 1).
(23) Najnowsza wersja-zob. przypis 19.
