Opinia Europejskiego Inspektora Ochrony Danych dotycząca decyzji Komisji z dnia 12 grudnia 2007 r. w sprawie wdrożenia systemu wymiany informacji rynku wewnętrznego (IMI) pod względem ochrony danych osobowych (2008/49/WE)(2008/C 270/01)
(Dz.U.UE C z dnia 25 października 2008 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41,
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
1. WPROWADZENIE
System wymiany informacji w ramach rynku wewnętrznego
1. System wymiany informacji w ramach rynku wewnętrznego (zwany dalej "systemem IMI") jest narzędziem technologii informatycznej, które umożliwia właściwym organom w państwach członkowskich wymianę informacji w procesie wykonywania przepisów dotyczących rynku wewnętrznego. System IMI został sfinansowany w ramach programu IDABC (interoperatywne świadczenie ogólnoeuropejskich usług eGovernment dla administracji publicznej, przedsiębiorstw i obywateli)(1).
2. System IMI został zaprojektowany jako ogólny system wspierający różne obszary prawodawstwa związanego z rynkiem wewnętrznym, a planuje się, że w przyszłości jego zastosowanie zostanie rozszerzone tak by objąć nim różne obszary prawodawstwa. Początkowo system IMI będzie używany w odniesieniu do przepisów o wzajemnym wsparciu zawartych w dyrektywie 2005/36/WE (tzw. "dyrektywie o kwalifikacjach zawodowych")(2). Począwszy od grudnia 2009 r. system IMI będzie używany w odniesieniu do przepisów o współpracy administracyjnej zawartych w dyrektywie 2006/123/WE (tzw. "dyrektywie usługowej")(3).
Opinia Grupy Roboczej ds. Ochrony Danych powołanej na mocy art. 29 i udział EIOD
3. Wiosną 2007 roku Komisja Europejska zwróciła się o opinię do Grupy Roboczej ds. Ochrony Danych powołanej na mocy art. 29 ("GR29"), aby poznać implikacje, jakie stosowanie systemu IMI może mieć dla ochrony danych. W dniu 20 września 2007 r. GR29 wydała opinię w sprawie kwestii ochrony danych w związku z systemem IMI(4). W opinii GR29 poparte zostały plany Komisji, aby przyjąć decyzję regulującą aspekty ochrony danych związane z systemem IMI i określić precyzyjniejszą podstawę prawną wymiany danych w ramach tego systemu.
4. EIOD przyjmuje z zadowoleniem fakt, że Komisja zasięgnęła opinii GR29 przed sporządzeniem decyzji w sprawie systemu IMI. EIOD czynnie uczestniczył w pracach podgrupy zajmującej się systemem IMI i popiera wnioski zawarte w opinii GR29. EIOD przyjmuje z zadowoleniem również fakt, że Komisja nieoficjalnie zasięgała jego opinii przed przyjęciem decyzji w sprawie systemu IMI. Pozwoliło to na przekazanie sugestii jeszcze przed przyjęciem decyzji, co było szczególnie pożądane, jako że procedura dotyczyła decyzji podejmowanej przez samą Komisję, a nie wniosku Komisji, który zapoczątkowuje procedurę legislacyjną z udziałem Rady i Parlamentu Europejskiego.
Decyzja Komisji 2008/49/WE
5. W dniu 12 grudnia 2007 r. Komisja przyjęła swoją decyzję 2008/49/WE w sprawie wdrożenia systemu wymiany informacji rynku wewnętrznego (IMI) pod względem ochrony danych osobowych (zwaną dalej "decyzja w sprawie systemu IMI"). W decyzji uwzględniono niektóre zalecenia EIOD i GR29. Określono też podstawę prawną.
Ogólna ocena systemu IMI dokonana przez EIOD
6. Ogólna ocena systemu IMI dokonana przez EIOD jest pozytywna. EIOD popiera cele Komisji zakładające ustanowienie elektronicznego systemu wymiany informacji i stworzenie przepisów, którym podlegać będą kwestie ochrony danych związane z funkcjonowaniem systemu. Taki usprawniony system może nie tylko podnieść skuteczność współpracy, ale również pomóc w zapewnieniu zgodności z prawem właściwym w zakresie ochrony danych. Będzie to możliwe dzięki stworzeniu przejrzystych ram określających, jakie informacje mogą być przedmiotem wymiany, kto może brać udział w takiej wymianie i na jakich warunkach ma się ona odbywać.
7. Niemniej jednak ustanowienie scentralizowanego systemu elektronicznego stwarza również pewne zagrożenia. Jednym z nich jest zwłaszcza fakt, że więcej danych mogłoby być udostępnianych w zakresie szerszym niż to absolutnie konieczne do celów skutecznej współpracy oraz że dane te - w tym dane potencjalnie nieaktualne i nieścisłe - mogłyby pozostawać w systemie elektronicznym dłużej niż to konieczne. Również bezpieczeństwo bazy danych dostępnej w 27 państwach członkowskich jest kwestią delikatnej natury, ponieważ poziom bezpieczeństwa systemu zależy od poziomu bezpieczeństwa jego najsłabszego ogniwa.
8. Z tego też powodu niezwykle ważne jest, by kwestie ochrony danych zostały ujęte w prawnie wiążącym akcie wspólnotowym w sposób możliwie wyczerpujący i jednoznaczny.
Wyraźne ograniczenie zakresu zastosowania systemu IMI
9. EIOD przyjmuje z zadowoleniem wyraźne określenie i ograniczenie przez Komisję zakresu zastosowania systemu IMI w załączniku, w którym wymieniono stosowne akty wspólnotowe, na podstawie których można dokonywać wymiany informacji. Obecnie figurują w nim jedynie dyrektywa o kwalifikacjach zawodowych i dyrektywa usługowa; przewiduje się jednak, że w przyszłości zakres zastosowania systemu IMI zostanie rozszerzony. Wraz z przyjęciem nowych przepisów regulujących wymianę informacji w ramach systemu IMI załącznik zostanie uaktualniony. EIOD przyjmuje z zadowoleniem ten tryb postępowania, ponieważ (i) w wyraźny sposób wyznacza on zakres zastosowania systemu IMI oraz (ii) zapewnia przejrzystość, a równocześnie (iii) pozostawia elastyczność, w przypadku gdyby system IMI miał być wykorzystywany do celów dodatkowej wymiany informacji w przyszłości. Gwarantuje on również, że nie będzie możliwa żadna wymiana informacji za pośrednictwem systemu IMI jeśli (i) nie zostanie określona stosowna podstawa prawna w konkretnym prawodawstwie dotyczącym rynku wewnętrznego umożliwiająca wymianę informacji lub upoważniająca do niej oraz (ii) w załączniku do decyzji w sprawie systemu IMI nie znajdzie się odniesienie do tej postawy prawnej.
Główne zastrzeżenia związane z decyzją w sprawie systemu IMI
10. EIOD nie jest jednak zadowolony z (i) wyboru podstawy prawnej decyzji w sprawie systemu IMI; wybór ten zaskutkował oparciem decyzji w sprawie systemu IMI na niepewnych podstawach prawnych (zob. sekcja 2 niniejszej opinii) oraz z (ii) faktu, że w dokumencie nie ujęto niektórych niezbędnych przepisów szczegółowo regulujących kwestie ochrony danych w ramach systemu IMI (zob. sekcja 3 niniejszej opinii).
11. Niestety rozwiązanie przyjęte przez Komisję oznacza w praktyce, że wbrew oczekiwaniom EIOD i GR29 decyzja w sprawie systemu IMI nie reguluje obecnie w sposób kompleksowy wszelkich ważniejszych kwestii ochrony danych związanych z funkcjonowaniem systemu IMI, w tym, co szczególnie istotne, sposobu podziału między wspólnych administratorów danych obowiązków dotyczących powiadamiania oraz sposobu zagwarantowania przez nich osobom, których dane dotyczą, praw dostępu ani szczegółowych, praktycznych kwestii proporcjonalności. EIOD wyraża również ubolewanie, że nie ustanowiono wobec Komisji żadnego konkretnego wymogu dotyczącego publikacji wcześniej ustalonych zapytań i pól danych na jej stronie internetowej, co zwiększyłoby przejrzystość i pewność prawa.
2. PODSTAWA PRAWNA DECYZJI W SPRAWIE SYSTEMU IMI
Decyzja w sprawie IDABC
12. Podstawą prawną decyzji w sprawie systemu IMI, jak określono w niej samej, jest decyzja 2004/387/WE Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. w sprawie interoperatywnego świadczenia ogólnoeuropejskich usług eGovernment dla administracji publicznej, przedsiębiorstw i obywateli (zwana dalej "decyzją w sprawie IDABC")(5), w szczególności jej art. 4.
13. Sama decyzja w sprawie IDABC jest instrumentem podlegającym tytułowi XV Traktatu ustanawiającego Wspólnotę Europejską (tzw. "Traktatu WE"): Sieci transeuropejskie. Artykuł 154 Traktatu WE stanowi, że Wspólnota przyczynia się do ustanowienia i rozwoju sieci transeuropejskich w infrastrukturach transportu, telekomunikacji i energetyki. Takie działanie zmierza do sprzyjania wzajemnym połączeniom oraz interoperacyjności sieci krajowych, jak również dostępowi do tych sieci. W artykule 155 wymienione zostały środki, które Wspólnota może przyjąć w tym zakresie. Są nimi: (i) wytyczne, (ii) każdy środek, który może się okazać niezbędny do zapewnienia współdziałania między sieciami, w szczególności w dziedzinie normalizacji technicznej, (iii) wspieranie projektów. Decyzja w sprawie IDABC jest oparta na art. 156 ust. 1, w którym jest mowa o procedurze przyjęcia.
14. Artykuł 4 decyzji w sprawie IDABC mówi między innymi, że Wspólnota wdraża projekty będące przedmiotem wspólnego zainteresowania. Projekty te muszą być włączone do kroczącego programu prac, a wdrożenie musi być zgodne z zasadami art. 6 i 7 decyzji w sprawie IDABC. Zasady te głównie zachęcają do szerokiego udziału, przewidują solidną i bezstronną procedurę i zapewniają normalizację techniczną. Ich celem jest również zapewnienie wiarygodności ekonomicznej projektów i ich wykonalności.
Dyrektywa usługowa i dyrektywa o kwalifikacjach zawodowych
15. Jak wyjaśniono wcześniej w początkowym okresie system wymiany informacji w ramach rynku wewnętrznego będzie używany do celów wymiany danych osobowych w związku z dwoma dyrektywami:
– dyrektywą usługową oraz
– dyrektywą o kwalifikacjach zawodowych.
16. Art. 34 ust. 1 dyrektywy usługowej przewiduje konkretną podstawę prawną dla ustanowienia elektronicznego systemu wymiany informacji pomiędzy państwami członkowskimi, jako dodatkowego środka służącego celom dyrektywy. Zgodnie z brzmieniem art. 34 ust.: "Komisja, we współpracy z państwami członkowskimi, ustanawia elektroniczny system wymiany informacji pomiędzy państwami członkowskimi, z uwzględnieniem istniejących systemów informacyjnych".
17. Dyrektywa o kwalifikacjach zawodowych nie przewiduje konkretnego elektronicznego systemu wymiany informacji, ale na mocy kilku przepisów określa wyraźne wymagania dotyczące wymiany informacji. Stosowne przepisy nakazujące wymianę informacji obejmują art. 56 dyrektywy, który wymaga od właściwych organów państw członkowskich, aby ściśle ze sobą współpracowały i wzajemnie się wspierały w celu ułatwienia stosowania niniejszej dyrektywy. Drugi akapit artykułu 56 stanowi, że niektóre informacje szczególnie chronione są przetwarzane przy poszanowaniu przepisów dotyczących ochrony danych. Co więcej, art. 8 stanowi również szczegółowo, że właściwe organy przyjmującego państwa członkowskiego mogą wezwać właściwe organy państwa członkowskiego siedziby do przedstawienia informacji potwierdzających, że usługodawca prowadzi przedsiębiorstwo zgodnie z prawem, że wykonywał zawód w sposób należyty, jak również, że nie zostały na niego nałożone kary dyscyplinarne lub sankcje karne związane z wykonywaniem działalności zawodowej. Wreszcie art. 50 ust. 2 stanowi, że w przypadku uzasadnionych wątpliwości przyjmujące państwo członkowskie może zwrócić się do właściwych organów innego państwa członkowskiego o potwierdzenie autentyczności świadectw i dokumentów potwierdzających posiadanie kwalifikacji i odbycie kształcenia.
Konieczność zastosowania właściwej podstawy prawnej do przepisów dotyczących ochrony danych
18. Ochrona danych osobowych jest uznawana za prawo podstawowe w art. 8 karty praw podstawowych Unii w orzecznictwie opartym na art. 8 europejskiej konwencji praw człowieka (zwanej dalej "EKPC").
19. Zgodnie z jej art. 1 decyzja w sprawie systemu IMI określa funkcje, prawa i obowiązki uczestników systemu IMI oraz użytkowników systemu IMI w odniesieniu do wymogów ochrony danych. Na podstawie 7. motywu EIOD wnioskuje, że decyzja w sprawie systemu IMI ma być specyfikacją ogólnych wspólnotowych ram ochrony danych na mocy dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001. Decyzja zajmuje się konkretnie definicją administratorów danych i ich obowiązków, okresami zatrzymywania danych i prawami osób, których dotyczą dane. Decyzja w sprawie systemu IMI zajmuje się więc ograniczeniami/specyfikacjami praw podstawowych i ma na celu określenie podmiotowych praw obywateli.
20. Na podstawie orzecznictwa na mocy EKPC prawny status przepisów ograniczających prawa podstawowe nie powinien budzić wątpliwości. Zgodnie z Traktatem WE przepisy te muszą być zawarte w instrumencie prawnym, na który można się powołać przed sądem. W przeciwnym razie skutkowałoby to niepewnością prawa dla osoby, której dotyczą dane, ponieważ nie mogłaby ona polegać na możliwości powołania się na te przepisy przed sądem.
21. Kwestia pewności prawa jest nawet donośniejsza, ponieważ na mocy systemu ustanowionego w Traktacie WE to głównie sędziowie krajowi będą decydować, jaką wagę należy przywiązać do decyzji w sprawie systemu IMI. Może to prowadzić do różnych rezultatów w różnych państwach członkowskich, a nawet w ramach jednego państwa członkowskiego. Taka niepewność prawa jest niedopuszczalna.
22. Brak (pewności co do) środka prawnego byłby w każdym razie sprzeczny z art. 6 EKPC, w którym ustanowiono prawo do rzetelnego procesu oraz z orzecznictwem dotyczącym tego artykułu. W takiej sytuacji Wspólnota nie wypełniłaby swoich zobowiązań wynikających z art. 6 Traktatu o Unii Europejskiej (tzw. "TUE"), który wymaga od Unii poszanowania praw podstawowych gwarantowanych w EKPC.
Niedoskonałości wybranej podstawy prawnej
23. EIOD jest poważnie zaniepokojony, że wybierając art. 4 decyzji w sprawie IDABC jako podstawę prawną przedmiotowej decyzji, autorzy decyzji Komisji mogli nie spełnić wymogu pewności prawa opisanego powyżej. EIOD wymienia poniżej pewne elementy, które mogą budzić wątpliwości dotyczące stosowności wyboru podstawy prawnej, na której oparto decyzję w sprawie systemu IMI:
– Ramy prawne określone w tytule XV Traktatu o WE - Sieci transeuropejskie. Dzięki powyższym ramom prawnym Wspólnota Europejska może przyczynić się do ustanowienia tych sieci, aby umożliwić obywatelom Europy czerpanie korzyści z transportu, telekomunikacji i energetyki, które będą lepsze, bezpieczniejsze i tańsze(6). Nie jest jasne, czy ramy te obejmują również sieci między organami publicznymi potrzebne do wprowadzenia w życie aktów prawodawczych, tak jak w przypadku systemu IMI.
– Środki przewidziane w tytule XV Traktatu WE (art. 155). Jak wspomniano powyżej, należą do nich: (i) wytyczne, (ii) każdy środek, który może się okazać niezbędny do zapewnienia współdziałania między sieciami, w szczególności w dziedzinie normalizacji technicznej, (iii) oraz wspieranie projektów. Pomimo że artykuł ten nie jest całkiem jasny - "każdy środek" może znaczyć cokolwiek - lista możliwych środków sugeruje, że cele tytułu XV będą osiągane głównie za pomocą środków nielegislacyjnych. EIOD podkreśla, że w tym kontekście sformułowanie "każdy środek" odnosi się zwłaszcza do normalizacji technicznej.
– Artykuł 4 decyzji w sprawie IDABC ma na celu wdrażanie projektów będących przedmiotem wspólnego zainteresowania wyszczególnionych w kroczącym programie prac. System IMI został ustanowiony i sfinansowany na podstawie tego programu prac. EIOD nie jest jednak przekonany, że art. 4 może zostać uznany za podstawę prawną przepisów dotyczących ochrony danych, które będą wiążące dla uczestników systemu IMI i będą gwarantowały podmiotowe prawa obywateli.
– W artykułach 6 i 7 decyzji w sprawie IDABC - o których mowa w art. 4 - określono zasady wdrażania projektów będących przedmiotem wspólnego zainteresowania. Zasady te dotyczą udziału, procedury i normalizacji technicznej, a także wiarygodności ekonomicznej i wykonalności projektów. Nie mają one nic wspólnego z zasadami ochrony danych, ani z innymi porównywalnymi zasadami obowiązującymi w prawie publicznym.
– Procedura przewidziana w decyzji w sprawie IDABC: zgodnie z 30. motywem decyzji środki wykonawcze należy przyjąć zgodnie z decyzją Rady z dnia 28 czerwca 1999 r. ustanawiającą warunki wykonywania uprawnień wykonawczych przyznanych Komisji(7). Wymaga to zaangażowania komitetu powołanego na podstawie procedury komitetowej, w którego pracach braliby udział przedstawiciele państw członkowskich. W motywach decyzji w sprawie systemu IMI brak jest jakiegokolwiek odniesienia do zaangażowania takiego komitetu. Zgodnie z naszą wiedzą komitet taki nie został zaangażowany.
– Inną charakterystyczną kwestią jest fakt, że decyzja w sprawie systemu IMI jest skierowana do państw członkowskich. Z tego względu i pomimo obecnych w decyzji w sprawie systemu IMI odniesień do rozporządzenia (WE) nr 45/2001 i określenia Komisji w art. 6 jako użytkownika systemu IMI, decyzja w sprawie systemu IMI nie może dotyczyć przetwarzania danych osobowych przez samą Komisję.
Możliwe sposoby zaradzenia niedoskonałościom wybranej podstawy prawnej
24. Z powodów wymienionych powyżej decyzja w sprawie systemu IMI potrzebuje solidnej podstawy prawnej. Istnieją poważne wątpliwości co do tego, czy podstawa prawna decyzji w sprawie systemu IMI spełnia wymóg pewności prawa. EIOD zaleca Komisji, aby ponownie rozważyła kwestię wyboru podstawy prawnej i poszukała sposobów zaradzenia niedoskonałościom wybranej podstawy prawnej, co potencjalnie mogłoby doprowadzić do zastąpienia decyzji w sprawie systemu IMI instrumentem prawnym spełniającym wymóg pewności prawa.
25. W tym kontekście najstosowniejszym rozwiązaniem mogłoby być ewentualne przyjęcie przez Radę i Parlament Europejski osobnego instrumentu prawnego dotyczącego systemu IMI, podobnego do systemu informacyjnego Schengen, wizowego systemu informacyjnego i innych informatycznych baz danych o szerokim zakresie zastosowania.
26. EIOD sugeruje przeanalizowanie tej możliwości. W tym osobnym instrumencie prawnym możnaby określić funkcje, prawa i obowiązki uczestników systemu IMI oraz jego użytkowników w odniesieniu do wymogów ochrony danych (przedmiot decyzji w sprawie systemu IMI), a także inne wymogi dotyczące ustanowienia i funkcjonowania systemu IMI.
27. Alternatywą mogłoby być wybranie podstawy prawnej spośród różnych instrumentów dotyczących rynku wewnętrznego. Zważywszy na fakt, że decyzja w sprawie systemu IMI ma zastosowanie do wymiany danych osobowych w kontekście dyrektywy usługowej, należy dokładniej przeanalizować, czy sama dyrektywa - a zwłaszcza jej art. 34 - mogłaby stanowić konieczną postawę prawną. Zważywszy na fakt, że decyzja w sprawie systemu IMI ma zastosowanie do wymiany danych osobowych w kontekście dyrektywy o kwalifikacjach zawodowych, skuteczne mogłoby się okazać podobne podejście: konkretna i przejrzysta podstawa prawna mogłaby powstać również dzięki zmianie samej dyrektywy.
28. Jeśli chodzi o dalsze prawodawstwo dotyczące rynku wewnętrznego, które może w przyszłości wymagać wymiany informacji między właściwymi organami w państwach członkowskich, to za każdym razem można dla takiego nowego aktu przyjmować specjalną postawę prawną.
3. UWAGI DOTYCZĄCE TREŚCI DECYZJI W SPRAWIE SYSTEMU IMI
29. W tej sekcji opinii EIOD omawia przepisy regulujące te aspekty systemu IMI, które dotyczą ochrony danych i są zawarte w decyzji w sprawie systemu IMI. Sugestie EIOD mogłyby zostać uwzględnione w nowym instrumencie prawnym zastępującym decyzję w sprawie systemu IMI, o którym była mowa powyżej. Gdyby jednak taki nowy instrument miał nie powstać, sugestie EIOD mogłyby zostać uwzględnione w samej decyzji w sprawie systemu IMI, po dokonaniu w niej zmian.
30. Poza tym, niektóre z tych sugestii mogą być już teraz zastosowane w praktyce przez uczestników systemu IMI i nie wymaga to zmiany decyzji. EIOD oczekuje, że Komisja uwzględni - przynajmniej na poziomie operacyjnym - zalecenia przedstawione w niniejszej opinii, w zakresie w jakim odnoszą się one do działań Komisji jako uczestnika systemu IMI, i podlegają tym samym nadzorowi EIOD.
Artykuł 2 - Wcześniej ustalone pola danych: przejrzystość i proporcjonalność
31. EIOD przyjmuje z zadowoleniem fakt, że Komisja opublikowała na stronie internetowej systemu IMI pierwszy zestaw wcześniej ustalonych zapytań i innych pól danych. Odnoszą się one do wymiany informacji na mocy dyrektywy o kwalifikacjach zawodowych.
32. Aby uczynić tę dobrą praktykę wyraźnym obowiązkiem Komisji i zapewnić w ten sposób przejrzystość i ją udoskonalić, EIOD zaleca, aby instrument prawny dotyczący systemu IMI nakładał na Komisję obowiązek publikowania na stronie internetowej systemu IMI wcześniej ustalonych zapytań i innych pól danych.
33. W odniesieniu do proporcjonalności, instrument prawny dotyczący systemu IMI powinien określać, że wcześniej ustalone zapytania i inne pola danych muszą być adekwatne, istotne i nie mogą dotyczyć przesadnej liczby informacji. Dodatkowo EIOD przekazuje dwa szczegółowe zalecenia dotyczące proporcjonalności:
– Wyraźne wskazanie, że system IMI nie jest przeznaczony do prowadzenia rutynowych kontroli środowiskowych migrujących pracowników i dostawców usług, ale może być wykorzystany w przypadkach gdy pozwalają na to właściwe przepisy i gdy istnieją uzasadnione wątpliwości (i) co do prawdziwości informacji dostarczonych właściwemu organowi w przyjmującym państwie członkowskim przez migrującego dostawcę usług lub (ii) co do jego kwalifikowalności do prowadzenia przedsiębiorstwa lub do wykonywania swojego zawodu w przyjmującym państwie członkowskim.
– W celu ograniczenia do minimum niepotrzebnego przekazywania szczególnie chronionych a nie zawsze istotnych danych, nieodzowny jest przepis stanowiący, że w przypadku gdy przekazanie informacji o uprzedniej karalności nie jest rzeczywiście niezbędne, wcześniej ustalone zapytania i odpowiedzi na interfejsie systemu IMI nie powinny zawierać zapytania o uprzednią karalność i powinny być sformułowane inaczej, tak aby ograniczyć do minimum wymianę danych szczególnie chronionych. Na przykład właściwemu organowi państwa przyjmującego może wystarczyć wiedza o tym, że migrujący prawnik figuruje w rejestrze prawników i ma dobrą reputację w stowarzyszeniu zawodowym swojego państwa pochodzenia, a nie musi on wiedzieć, czy ów prawnik ma na koncie wykroczenie na mocy kodeksu drogowego, jeśli taka okoliczność nie uniemożliwia pracy w zawodzie prawnika w jego państwie pochodzenia.
Artykuł 3 ust. 2 - Wspólne sprawowanie obowiązków administratora danych i ich podział
34. Podział obowiązków w art. 3 decyzji w sprawie systemu IMI jest niejasny i niejednoznaczny. EIOD przyjmuje do wiadomości, że dokładne opisanie w decyzji w sprawie systemu IMI każdej operacji przetwarzania danych i przypisanie związanych z nią obowiązków Komisji lub konkretnemu właściwemu organowi w danym państwie członkowskim może być niewykonalne. Niemniej jednak w decyzji w sprawie systemu IMI należało zawrzeć pewne wytyczne, przynajmniej w odniesieniu do najważniejszych obowiązków administratora danych związanych z ochroną danych.
35. W szczególności EIOD zaleca, aby instrument prawny dotyczący systemu IMI określał, że:
– każdy właściwy organ i koordynator systemu IMI jest administratorem danych w odniesieniu do własnych działań przetwarzania danych jako użytkownika systemu;
– Komisja nie jest użytkownikiem lecz operatorem systemu i jest odpowiedzialna przede wszystkim za techniczne działanie, konserwację i zapewnienie kompleksowego bezpieczeństwa systemu; oraz że
– uczestnicy systemu IMI mają wspólne obowiązki dotyczące powiadamiania, udzielania prawa dostępu, sprzeciwu i poprawiania danych w sposób określony w (nowych) akapitach; obowiązki te omówiono w punktach poniżej.
Powiadamianie osób, których dotyczą dane
36. EIOD zaleca włączenie do instrumentu prawnego dotyczącego systemu IMI nowego artykułu, na mocy którego obowiązki powiadamiania rozkładałyby się na wspólnych administratorów danych przy zastosowaniu podejścia "warstwowego". Tekst powinien stanowić, co następuje:
– Po pierwsze, Komisja na swojej stronie poświęconej systemowi IMI powinna umieścić wyczerpującą informację o polityce prywatności zawierającą wszystkie elementy wymagane na mocy art. 10 i 11 rozporządzenia (WE) nr 45/2001, napisaną zrozumiałym i prostym językiem. EIOD zaleca, aby informacja ta dotyczyła nie tylko operacji ograniczonego przetwarzania dokonywanych przez Komisję względem danych, do których ma ona dostęp (dane osobowe użytkowników systemu IMI), ale również zawierała ogólne wiadomości dotyczące wymiany informacji między właściwymi organami w poszczególnych państwach członkowskich, co jest celem tej bazy danych.
– Po drugie, każdy właściwy organ powinien dodatkowo umieścić informację o polityce prywatności na własnej stronie internetowej. Informacja o polityce prywatności powinna zawierać odniesienie i link do informacji o polityce prywatności Komisji oraz dodatkowe szczegóły obowiązujące dla danego organu właściwego lub danego państwa członkowskiego. W informacjach tych musi być mowa na przykład o właściwych dla danego państwa ograniczeniach praw dostępu lub udzielania informacji. Powiadamianie może być koordynowane przez jedno biuro łącznikowe obsługujące właściwe organy danego państwa.
– Po trzecie, najpóźniej w momencie przesyłania danych osobowych i o ile nie ma zastosowania żadne ograniczenie, należy powiadomić również bezpośrednio osoby, których dotyczą dane, w sposób inny niż opisana wcześniej informacja o polityce prywatności umieszczona na stronie internetowej. We wszelkiej korespondencji wymienianej przez organy właściwe z osobami, których dotyczą dane (zazwyczaj migrującymi dostawcami usług lub pracownikami), zalecane byłoby podanie krótkiego odniesienia do systemu IMI oraz linka do stosownych informacji o polityce prywatności w Internecie.
Prawa dostępu, sprzeciwu i poprawiania danych
37. EIOD zaleca również włączenie nowego artykułu w celu:
– określenia, do kogo osoby, których dotyczą dane, powinny kierować wnioski dotyczące dostępu, sprzeciwu lub poprawiania danych;
– określenia, który organ właściwy będzie kompetentny do podejmowania decyzji w sprawie tych wniosków;
oraz
– ustanowienia procedury na wypadek skierowania przez osoby, których dotyczą dane, wniosku do uczestnika systemu IMI, który nie jest kompetentny do podejmowania decyzji w sprawie tych wniosków.
38. Ponadto należy sprecyzować, że Komisja może udzielić dostępu jedynie do danych, do których ona sama ma uprawniony dostęp. Z tego względu Komisja nie będzie zobowiązana do udzielania dostępu do informacji wymienianych między organami właściwymi. Gdyby jednak osoba, której dotyczą dane, zwróciła się do Komisji z takim wnioskiem, Komisja musi skierować ją bez zbędnej zwłoki do organów, które mają dostęp do żądanych informacji i stosownie poinstruować tę osobę.
Artykuł 4 - Przechowywanie danych osobowych osób, których dotyczy wymiana informacji
39. Artykuł 4 ust. 1 decyzji w sprawie systemu IMI ustala długość okresu przechowywania danych na sześć miesięcy od "formalnego zakończenia" wymiany informacji.
40. EIOD rozumie, że właściwe organy mogą w odniesieniu do przechowywania danych potrzebować pewnej dozy elastyczności, co jest spowodowane faktem, że po początkowym pytaniu i odpowiedzi mogą nastąpić dalsze - zadawane przez właściwe organy - pytania dotyczące tej samej sprawy. Istotnie, podczas sporządzania opinii GR29 Komisja wyjaśniła, że procedury administracyjne, które mogą wymagać wymiany informacji, zazwyczaj zostają zakończone w ciągu kilku miesięcy, a sześciomiesięczny okres przechowywania danych został przewidziany, aby pozostawić margines bezpieczeństwa na wypadek niespodziewanych opóźnień.
41. Mając na uwadze powyższe i w oparciu o wyjaśnienia Komisji, EIOD poddaje w wątpliwość, czy przechowywanie danych w systemie IMI przez kolejne sześć miesięcy po formalnym zakończeniu wymiany informacji jest uzasadnione. Z tego względu EIOD zaleca, aby bieg sześciomiesięcznego okresu, po którym ma nastąpić automatyczne usunięcie danych, zaczynał się w dniu, w którym organ występujący z wnioskiem po raz pierwszy kontaktuje się ze swoim odpowiednikiem w sprawie danej wymiany informacji. W rzeczywistości lepszym rozwiązaniem byłoby ustalenie różnych terminów automatycznego usuwania danych w zależności od rodzajów wymienianych informacji (przy czym terminy te upływałyby zawsze licząc od rozpoczęcia procedury wymiany). Na przykład, o ile sześciomiesięczny okres przechowywania danych może być odpowiedni do celów wymiany informacji na mocy dyrektywy o kwalifikacjach zawodowych, niekoniecznie musi on być odpowiedni do celów wymiany innych informacji na mocy przyszłego prawodawstwa dotyczącego rynku wewnętrznego.
42. EIOD dodaje również, że w przypadku gdyby jego zalecenia miały nie zostać uwzględnione, należałoby przynajmniej wyjaśnić, jak należy rozumieć "formalne zakończenie" wymiany informacji. Należy zwłaszcza zagwarantować, aby żadne dane nie mogły pozostawać w bazie danych dłużej niż to niezbędne jedynie dlatego, że właściwemu organowi nie udało się "zakończyć sprawy".
43. Co więcej, EIOD zaleca, aby w art. 4 akapit 2 odwrócić logikę usuwania i przechowywania. Komisja powinna uwzględniać wnioski o usunięcie danych w ciągu 10 dni roboczych w każdym wypadku, niezależnie od tego, czy inny organ właściwy biorący udział w wymianie informacji chciałby zachować informacje w systemie IMI czy też nie. Należy jednak przewidzieć automatyczny mechanizm powiadamiania tego właściwego organu, aby nie utracił danych i mógł, gdyby sobie tego życzył, ściągnąć lub wydrukować określone informacje i przechowywać je do własnych celów poza systemem IMI zgodnie z własnymi przepisami dotyczącymi ochrony danych. Termin 10 dni wydaje się racjonalny zarówno jako minimalna jak i maksymalna granica. Komisja powinna być w stanie usunąć informacje przed upływem dziesięciu dni, jedynie w przypadku gdy obydwa organy potwierdziłyby, że sobie tego życzą.
Środki bezpieczeństwa
44. EIOD zaleca także, aby określono, że środki bezpieczeństwa, niezależnie od tego, czy będą podejmowane przez Komisję czy przez właściwe organy, powinny być zgodne z najlepszymi wzorcami w państwach członkowskich.
Wspólny nadzór
45. Zważywszy na fakt, że wymiana informacji w ramach systemu IMI podlega różnym krajowym przepisom dotyczącym ochrony danych i nadzorowi różnych krajowych organów ochrony danych (oprócz mającego zastosowanie rozporządzenia (WE) nr 45/2001 i nadzorczej roli EIOD w odniesieniu do niektórych aspektów operacji przetwarzania), EIOD zaleca, aby instrument prawny dotyczący systemu IMI zawierał również przejrzyste przepisy ułatwiające sprawowanie przez różne zaangażowane organy ochrony danych wspólnego nadzoru nad tym systemem. Wspólny nadzór mógłby zostać wzorowany na przepisach instrumentów prawnych związanych z utworzeniem, funkcjonowaniem i wykorzystywaniem systemu informacji Schengen drugiej generacji (SIS II)(8).
4. WNIOSKI
46. EIOD popiera cele Komisji zakładające ustanowienie elektronicznego systemu wymiany informacji i stworzenie przepisów, którym podlegać będą kwestie ochrony danych związane z funkcjonowaniem tego systemu.
47. Z powodów wymienionych powyżej decyzja w sprawie systemu IMI potrzebuje solidnej podstawy prawnej. EIOD zaleca Komisji, aby ponownie rozważyła kwestię wyboru podstawy prawnej i poszukała sposobów zaradzenia niedoskonałościom wybranej podstawy prawnej, co mogłoby skutkować zastąpieniem decyzji w sprawie systemu IMI instrumentem prawnym spełniającym wymóg pewności prawa.
48. Jako ostatecznie najwłaściwsze rozwiązanie EIOD sugeruje przeanalizowanie ewentualnego przyjęcia na szczeblu Rady i Parlamentu Europejskiego osobnego instrumentu prawnego dotyczącego systemu IMI, podobnego do systemu informacyjnego Schengen, wizowego systemu informacyjnego i innych informatycznych baz danych o szerokim zakresie zastosowania.
49. Ewentualnie można byłoby przeanalizować, czy koniecznej podstawy prawnej nie mogłyby stanowić art. 34 dyrektywy usługowej i podobne przepisy jeszcze czekające na przyjęcie w innych dziedzinach prawodawstwa dotyczącego rynku wewnętrznego.
50. Dodatkowo w opinii zawarto pewne sugestie dotyczące włączenia do nowego instrumentu prawnego zastępującego - co zaproponowano powyżej - decyzję w sprawie systemu IMI przepisów regulujących kwestie ochrony danych w ramach tego systemu lub, w przypadku gdyby taki nowy instrument miał nie powstać, przepisy te mogłyby zostać uwzględnione w samej decyzji w sprawie systemu IMI, po dokonaniu w niej zmian.
51. Wiele z tych sugestii może być stosowanych w praktyce już teraz przez uczestników systemu IMI i nie wymaga to zmiany decyzji. EIOD oczekuje, że Komisja uwzględni w możliwie szerokim zakresie - przynajmniej na poziomie operacyjnym - zalecenia przedstawione w niniejszej opinii odnoszące się do działań Komisji jako uczestnika systemu IMI.
52. Zalecenia te odnoszą się do przejrzystości i proporcjonalności, wspólnego sprawowania obowiązków administratora danych i podziału obowiązków, powiadamiania osób, których dotyczą dane, praw dostępu, sprzeciwu i poprawiania danych, przechowywania danych, środków bezpieczeństwa i wspólnego nadzoru.
Sporządzono w Brukseli, dnia 22 lutego 2008 r.
|
Peter HUSTINX |
|
Europejski Inspektor Ochrony Danych |
______
(1) Zob. pkt 12 niniejszej opinii.
(2) Dyrektywa 2005/36/WE Parlamentu Europejskiego i Rady z dnia 7 września 2005 r. w sprawie uznawania kwalifikacji zawodowych (Dz.U. L 255 z 30.9.2005, s. 22).
(3) Dyrektywa 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. w sprawie usług na rynku wewnętrznym (Dz.U. L 376 z 27.12.2006, s. 36).
(4) Opinia nr 7/2007 wydana przez GR29 w sprawie kwestii ochrony danych w związku z systemem informacji na temat rynku wewnętrznego (IMI), WP 140.
(5) Dz.U. L 144 z 30.4.2004; sprostowanie w Dz.U. L 181 z 18.5.2004, s. 25.
(6) Zob. Białą księgę Komisji w sprawie wzrostu, konkurencyjności i zatrudnienia, COM/93/700 wersja ostateczna.
(7) Dz.U. L 184 Z 29.12.2006, s. 23.
(8) Zob. art. 44-46 rozporządzenia (WE) nr 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II), Dz.U. L 381 z 28.12.2006, s. 4 i art. 60-62 decyzji Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) Dz.U. L 205 z 7.8.2007, s. 63.