Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie reguł finansowych mających zastosowanie do budżetu rocznego Unii(2011/C 215/05)
(Dz.U.UE C z dnia 21 lipca 2011 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,
uwzględniając dyrektywę Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2) przesłany przez Komisję w dniu 5 stycznia 2011 r.,
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
I. WPROWADZENIE
1. W dniu 22 grudnia 2010 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie reguł finansowych mających zastosowanie do budżetu rocznego Unii ("wniosek"). Wniosek ten łączy i zastępuje dwa wcześniejsze wnioski Komisji dotyczące zmiany rozporządzenia finansowego ("FR" - rozporządzenia Rady nr 1605/2002 (WE, Euratom)(3)). Oba wnioski dotyczyły przeprowadzanej co trzy lata rewizji FR oraz dostosowania tego rozporządzenia do traktatu lizbońskiego(4).
2. W dniu 5 stycznia 2011 r. wniosek został przesłany do EIOD zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. Przed przyjęciem wniosku przeprowadzono nieformalne konsultacje z EIOD, który zaleca prawodawcy włączenie odniesienia do konsultacji EIOD na początku przedstawionego rozporządzenia.
3. Wniosek ma pewien wpływ na ochronę danych na poziomie UE oraz na poziomie krajowym, co zostanie omówione w niniejszej opinii.
4. We wniosku znajdują się odniesienia do odpowiednich instrumentów ochrony danych. Jak zostanie wyjaśnione w niniejszej opinii, konieczne jest jednak dopracowanie i dodatkowe objaśnienie tekstu, aby zapewnić pełną zgodność z ramami prawnymi dotyczącymi ochrony danych.
II. ANALIZA WNIOSKU
II.1. Ogólne odniesienia do odpowiednich przepisów UE dotyczących ochrony danych
5. Zaproponowane rozporządzenie obejmuje szereg kwestii dotyczących przetwarzania danych osobowych przez instytucje, agencje i organy UE, a także przez podmioty państw członkowskich. Działania związane z przetwarzaniem danych zostaną omówione w bardziej szczegółowy sposób poniżej. Instytucje, agencje i organy UE zajmujące się przetwarzaniem danych osobowych podlegają przepisom dotyczącym ochrony danych określonym w rozporządzeniu (WE) nr 45/2001. Podmioty działające na poziomie krajowym są związane przepisami krajowymi danego państwa członkowskiego, wdrażającymi dyrektywę 95/46/WE.
6. EIOD przyjmuje z zadowoleniem fakt, że proponowane rozporządzenie zawiera odniesienia do co najmniej jednego ze wspomnianych instrumentów(5). Odniesienia te nie są jednak systematyczne i stałe. EIOD wzywa zatem prawodawcę do zastosowania bardziej wszechstronnego podejścia do przedmiotowego rozporządzenia.
7. EIOD zaleca prawodawcy włączenie do preambuły przedmiotowego rozporządzenia poniższego odniesienia do dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001:
"Niniejsze rozporządzenie pozostaje bez uszczerbku dla wymogów dyrektywy Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych".
8. Ponadto EIOD zaleca włączenie do art. 57 ust. 2 lit. f) odniesienia do dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001, tak jak dokonano tego w przypadku art. 31 ust. 3 wniosku.
II.2. Zapobieganie nadużyciom finansowym i nieprawidłowościom, ich wykrywanie oraz korygowanie
9. Artykuł 28 wniosku dotyczy wewnętrznej kontroli wykonania budżetu. W ust. 2 lit. d) przewiduje się, że do celów wykonania budżetu kontrola wewnętrzna ma zapewnić wystarczającą pewność w zakresie osiągnięcia celów zapobiegania nadużyciom finansowym i nieprawidłowościom, ich wykrywania oraz korygowania.
10. W odniesieniu do pośredniego wykonania budżetu przez Komisję w drodze zarządzania dzielonego z państwami członkowskimi lub z udziałem podmiotów i osób innych niż państwa członkowskie, odpowiednio w art. 56 ust. 2 i art. 57 ust. 3 stwierdza się, że państwa członkowskie, podmioty i inne osoby zapobiegają nieprawidłowościom i nadużyciom finansowym, wykrywają je i podejmują w stosunku do nich działania naprawcze, wypełniając zadania związane z wykonywaniem budżetu. Oczywiście środki te powinny być w pełni zgodne z przepisami krajowymi wdrażającymi dyrektywę 95/46/WE.
11. W powyższym zakresie w art. 56 ust. 4 lit. f) (który powinien być ust. 4 lit. e), zgodnie z właściwym porządkiem liter) stwierdza się, że akredytowane przez państwa członkowskie organy, które ponoszą wyłączną odpowiedzialność za prawidłowe zarządzanie środkami finansowymi, "zapewniają ochronę danych osobowych, która jest zgodna z zasadami ustanowionymi w dyrektywie 95/46/WE". EIOD zaleca doprecyzowanie powyższego odniesienia, zmieniając je w następujący sposób: "zapewniają zgodność wszelkich działań w zakresie przetwarzania danych osobowych z przepisami prawa krajowego wdrażającymi dyrektywę 95/46/WE".
12. W odniesieniu do podmiotów i osób innych niż państwa członkowskie w art. 57 ust. 2 lit. f) stwierdza się, że takie podmioty i osoby powinny zapewnić "racjonalną ochronę danych osobowych". EIOD jest zdecydowanie przeciwny powyższemu sformułowaniu, ponieważ wydaje się, iż umożliwia ono mniej rygorystyczne stosowanie przepisów dotyczących ochrony danych. EIOD zaleca zatem zastąpienie tego sformułowania w sposób zaproponowany powyżej: "zapewniają zgodność wszelkich działań w zakresie przetwarzania danych z przepisami prawa krajowego wdrażającymi dyrektywę 95/46/WE".
II.3. Osoba informująca o nieprawidłowościach
13. Artykuł 63 ust. 8 wniosku dotyczy zagadnienia informowania o nieprawidłowościach. Nakłada na członków personelu obowiązek powiadamiania urzędnika zatwierdzającego (lub wyspecjalizowanego zespołu do spraw nieprawidłowości finansowych powołanego na podstawie art. 70 ust. 6 wniosku), jeżeli uznają, że decyzja, którą jego przełożony każe mu zastosować jest nieprawidłowa lub sprzeczna z zasadami należytego zarządzania finansami lub regułami zawodowymi, których mają przestrzegać. W przypadku jakiejkolwiek nielegalnej działalności, nadużycia finansowego lub korupcji, które mogą zaszkodzić interesom Unii, członkowie personelu muszą poinformować władze i organy określone przez odpowiednie przepisy.
14. EIOD wskazuje na fakt, że sytuacja osób informujących o nieprawidłowościach jest delikatna. Osoby, które otrzymują takie informacje powinny zagwarantować, że tożsamość informującego o nieprawidłowościach zostanie zachowana w tajemnicy, w szczególności przed osobami, których dotyczą informacje o rzekomych uchybieniach(6). Zapewnienie poufnego traktowania tożsamości osoby informującej o nieprawidłowościach nie tylko chroni taką osobę, ale również gwarantuje skuteczność powyższego systemu informowania. Bez wystarczających gwarancji dotyczących poufności, członkowie personelu będą mniej skłonni do zgłaszania nieprawidłowych lub nielegalnych działań.
15. Ochrona poufności tożsamości osoby informującej o nieprawidłowościach nie jest jednak absolutna. Po wstępnym badaniu wewnętrznym mogą zostać podjęte kolejne kroki proceduralne lub czynności prawne, wymagające ujawnienia tożsamości takiej osoby, na przykład organom wymiaru sprawiedliwości. W tym przypadku należy przestrzegać przepisów krajowych regulujących procedury sądowe(7).
16. Mogą wystąpić również sytuacje, w których osoba oskarżona o popełnienie nieprawidłowości ma prawo znać imię i nazwisko osoby, która poinformowała o uchybieniach. Jest to możliwe, jeżeli dana osoba potrzebuje informacji na temat tożsamości w celu wniesienia przeciwko niej sprawy do sądu, w przypadku ustalenia, że dokonała ona celowo fałszywych zeznań na temat zainteresowanej osoby(8).
17. EIOD zaleca zmianę aktualnego tekstu wniosku oraz zapewnienie poufnego traktowania w trakcie dochodzeń tożsamości osób informujących o nieprawidłowościach, w zakresie, w którym nie zostają naruszone przepisy krajowe regulujące procedury sądowe oraz o ile osoba oskarżona o popełnienie nieprawidłowości nie ma prawa do otrzymania danych na temat tożsamości osoby informującej, ponieważ są one niezbędne do wniesienia przeciwko niej sprawy do sądu, w przypadku ustalenia, że dokonała celowo fałszywych zeznań na temat zainteresowanej osoby.
II.4. Ogłaszanie informacji o odbiorcach środków finansowych pochodzących z budżetu
18. Zgodnie z art. 31 ust. 2 (Ogłaszanie informacji o odbiorcach środków Unii i innych informacji) Komisja w odpowiedni sposób udostępnia posiadane przez siebie informacje o odbiorcach środków finansowych pochodzących z budżetu w przypadku wykonywania budżetu przez Komisję bezpośrednio albo przez delegatury.
19. W art. 31 ust. 3 stwierdza się, że informacje te "są udostępniane z należytym przestrzeganiem wymogów poufności, szczególnie wymogów ochrony danych osobowych, jak określono w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady oraz rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady, a także wymogów bezpieczeństwa, z uwzględnieniem specyfiki każdej z metod zarządzania [...] oraz, w odpowiednich przypadkach, zgodnie ze stosownymi przepisami sektorowymi".
20. Kwestię ogłaszania tożsamości odbiorców środków UE poruszył Trybunał Sprawiedliwości w swoim wyroku z listopada 2010 r. w sprawie Schecke i Eifert(9). Nie zagłębiając się w szczegóły sprawy, należy podkreślić, że Trybunał Sprawiedliwości dokładnie zbadał, czy prawodawstwo UE, które zawiera obowiązek ujawniania informacji, jest zgodne z art. 7 i 8 Karty praw podstawowych Unii Europejskiej ("Karta praw podstawowych UE").
21. Trybunał Sprawiedliwości zbadał cel ujawnienia informacji, a następnie ocenił proporcjonalność środka. Trybunał Sprawiedliwości uznał, że instytucje mają obowiązek wyważyć, przed ujawnieniem informacji dotyczących osoby fizycznej, interes Unii Europejskiej w ujawnieniu takich informacji oraz naruszenie praw uznanych w Karcie praw podstawowych UE(10). Trybunał Sprawiedliwości podkreślił, że odstępstwa i ograniczenia ochrony danych osobowych muszą ograniczać się do tego, co absolutnie konieczne(11).
22. Trybunał Sprawiedliwości stwierdził, że instytucje powinny poszukiwać różnych metod ogłaszania informacji, aby znaleźć metodę zgodną z celem publikacji, a jednocześnie w najmniejszym stopniu wpływającą na prawo beneficjentów do poszanowania ich życia prywatnego oraz, w szczególności, na prawo do ochrony danych osobowych(12). W kontekście omawianej sprawy Trybunał Sprawiedliwości odniósł się do ograniczenia publikacji imiennych danych dotyczących beneficjentów w zależności od okresów, za które otrzymywali pomoc, jej częstotliwości czy też rodzaju i wysokości(13).
23. EIOD jeszcze raz podkreśla, że rola ochrony prywatności i danych nie polega na uniemożliwianiu publicznego dostępu do informacji w każdym przypadku, gdy dotyczy to przetwarzania danych osobowych, oraz na nieuzasadnionym ograniczaniu przejrzystości administracji UE. EIOD stoi na stanowisku, że zasada przejrzystości "pozwala obywatelom na bliższe uczestnictwo w procesie podejmowania decyzji i gwarantuje, że administracja cieszy się większą prawowitością, jest bardziej skuteczna i odpowiedzialna względem obywateli w systemie demokratycznym"; przeprowadzona we właściwy sposób publikacja poprzez Internet danych imiennych beneficjentów środków "przyczynia się do właściwego wykorzystania funduszy publicznych przez administrację publiczną" oraz "wzmacnia publiczną kontrolę wykorzystania danych kwot"(14).
24. Na tej podstawie EIOD pragnie podkreślić, że uwagi Trybunału Sprawiedliwości przywołane w poprzednich akapitach mają bezpośrednie znaczenie dla przedmiotowego wniosku. Pomimo odwołań do dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 nie ma pewności, że przewidywana publikacja spełnia wymogi, jak wyjaśnia Trybunał Sprawiedliwości w wyroku w sprawie Schecke. W tym względzie należy podkreślić, że Trybunał Sprawiedliwości nie tylko anulował rozporządzenie Komisji, które zawierało szczegółowe zasady dotyczące publikowania informacji o beneficjentach funduszy rolnych(15), ale również przepis w rozporządzeniu, który stanowi podstawę prawną rozporządzenia Komisji i który zawierał ogólny wymóg ujawniania informacji w zakresie, w jakim dotyczyły one beneficjentów będących osobami fizycznymi(16).
25. EIOD ma poważne wątpliwości, czy przedmiotowy wniosek spełnia kryteria wyjaśnione przez Trybunał Sprawiedliwości w wyroku w sprawie Schecke. Ani art. 31, ani wcześniejsze bądź późniejsze artykuły nie zawierają wyraźnego i jasno zdefiniowanego celu, dla którego przewidziana jest publikacja danych osobowych. Ponadto nie jest jasne, kiedy i w jakim formacie będą ujawniane informacje. Dlatego też nie można ocenić, czy osiągnięto właściwą równowagę między różnymi interesami różnych stron, ani sprawdzić, jak wyraźnie podkreślił Trybunał Sprawiedliwości w wyroku w sprawie Schecke, czy publikacja będzie proporcjonalna. Co więcej, nie jest jasne, w jaki sposób zostaną zapewnione prawa osób, których dane dotyczą.
26. Jeżeli nawet przewidziano przepisy wykonawcze (co nie zostało wyraźnie stwierdzone), podstawowe wyjaśnienia, o których mowa powyżej, powinny zostać zawarte w podstawie prawnej ujawniania takich danych, jaką ma być RF.
27. EIOD zaleca zatem prawodawcy sprecyzowanie celu i wyjaśnienie konieczności przewidywanego ujawniania danych, wskazanie, w jaki sposób i w jakim stopniu dane osobowe będą ujawniane, zapewnienie ujawniania danych wyłącznie, jeśli działanie to jest proporcjonalne, oraz zagwarantowanie, że osoby, których dane dotyczą, mogą powoływać się na swoje prawa zawarte w przepisach UE dotyczących ochrony danych.
II.5. Publikacja decyzji lub streszczeń decyzji w sprawie kar administracyjnych i finansowych
28. Artykuł 103 wniosku dotyczy możliwości nakładania przez instytucję zamawiającą kar administracyjnych lub finansowych na: a) wykonawców, kandydatów lub oferentów w sytuacji, gdy są oni winni wprowadzenia w błąd przy dostarczaniu informacji wymaganych przez instytucję zamawiającą jako warunek udziału w procedurze udzielania zamówień lub nie złożyli tych informacji (zob. art. 101 lit. b)) lub b) wykonawców uznanych za winnych poważnego naruszenia zobowiązań wynikających z zamówień finansowanych z budżetu.
29. Artykuł 103 ust. 1 stanowi, że należy umożliwić osobie zainteresowanej przedstawienie swoich uwag. Zgodnie z art. 103 ust. 2 kary mogą polegać na wykluczeniu danej osoby z zamówień lub dotacji finansowanych z budżetu na okres nie dłuższy niż dziesięć lat lub zapłacie kary finansowej do wartości danego zamówienia.
30. W porównaniu z bieżącą sytuacją nowym elementem wniosku jest możliwość, o której mowa w art. 103 ust. 3), opublikowania przez instytucję decyzji lub streszczenia decyzji z podaniem nazwy podmiotu gospodarczego, krótkim opisem okoliczności faktycznych, okresu trwania wykluczenia lub kwoty kar finansowych.
31. Przepis ten, w zakresie, w jakim pociąga za sobą ujawnienie informacji dotyczących osób fizycznych, rodzi wątpliwości z punktu widzenia ochrony danych. Po pierwsze, zastosowanie słowa "może" oznacza, że publikacja nie jest obowiązkowa. Sprawia to jednak, że tekst wniosku nie daje jasności w odniesieniu do wielu kwestii. Na przykład jaki jest cel takiego ujawnienia danych? Na podstawie jakich kryteriów dana instytucja podejmuje decyzję o ujawnieniu danych? Jak długo informacje będą publicznie dostępne i za pośrednictwem jakiego medium? Kto będzie weryfikował, czy informacje są w dalszym ciągu prawidłowe, i kto będzie je aktualizował? Kto poinformuje osobę, której dotyczą dane, o ujawnieniu takich danych? Wszystkie te pytania dotyczą wymogów dotyczących jakości danych zawartych w art. 6 dyrektywy 95/46/WE i art. 4 rozporządzenia (WE) nr 45/2001.
32. Należy podkreślić, że publikacja takich informacji ma dodatkowy negatywny wpływ na osobę, której dotyczą dane. Publikacja powinna być dopuszczalna wyłącznie, jeśli jest to absolutnie konieczne do osiągnięcia przewidzianego celu. Zastosowanie mają tutaj również uwagi przedstawione powyżej w części II.4 w kontekście wyroku Trybunału Sprawiedliwości w sprawie Schecke.
33. W obecnym brzmieniu proponowany tekst art. 103 ust 3. nie do końca spełnia wymogi prawa o ochronie danych osobowych. EIOD zaleca zatem prawodawcy sprecyzowanie celu i wyjaśnienie konieczności przewidywanego ujawniania danych, wskazanie, w jaki sposób i w jakim stopniu dane osobowe będą ujawniane, zapewnienie ujawniania danych wyłącznie, jeśli działanie to jest proporcjonalne, oraz zagwarantowanie, że osoby, których dane dotyczą, mogą powoływać się na swoje prawa zawarte w przepisach UE dotyczących ochrony danych.
II.6. Centralna baza danych o wykluczeniach
34. Wniosek pociąga za sobą również utworzenie centralnej bazy danych o wykluczeniach, która będzie zawierała szczegółowe informacje o kandydatach i oferentach wykluczonych z udziału w przetargach (zob. art. 102). Baza ta już funkcjonuje na podstawie bieżącego RF, zaś jej funkcjonowanie zostało opracowane w szczegółach w rozporządzeniu Komisji (WE) nr 1302/2008. Operacje przetwarzania danych osobowych, które odbywają się w ramach centralnej bazy danych o wykluczeniach, zostały przeanalizowane przez EIOD w opinii z kontroli wstępnej z dnia 26 maja 2010 r.(17).
35. Dane zawarte w centralnej bazie danych o wykluczeniach mają wielu odbiorców. W zależności od tego, kto korzysta z bazy danych, mają zastosowanie art. 7, 8 lub 9 rozporządzenia (WE) nr 45/2001.
36. EIOD stwierdził w wyżej wymienionej opinii z kontroli wstępnej, że obecnie stosowana praktyka w odniesieniu do wdrożenia art. 7 (konsultacje dotyczące bazy danych z innymi instytucjami i agencjami UE) i art. 8 (konsultacje dotyczące centralnej bazy danych o wykluczeniach z innymi władzami i niektórymi innymi organami państw członkowskich) jest zgodna z rozporządzeniem (WE) nr 45/2001.
37. Podobnego wniosku nie można było jednak wyciągnąć w odniesieniu do przekazywania danych organom państw trzecich, które reguluje art. 9 rozporządzenia (WE) nr 45/2001 dotyczący przekazywania danych organom państw trzecich lub organizacjom międzynarodowym. Artykuł 102 ust. 2 stanowi, że państwa trzecie również powinny mieć dostęp do centralnej bazy danych o wykluczeniach.
38. Artykuł 9 ust. 1 rozporządzenia (WE) nr 45/2001 stanowi, że "[d]ane osobowe są przekazywane odbiorcom innym niż instytucje i organy wspólnotowe, a które nie podlegają prawu krajowemu przyjętemu zgodnie z dyrektywą 95/46/WE, jedynie wtedy, gdy w kraju odbiorcy lub w organizacji międzynarodowej, do jakiej należy odbiorca, zapewniony jest wystarczający poziom ochrony i dane są przekazywane jedynie w celu spełnienia zadań należących do administratora danych". W drodze odstępstwa od art. 9 ust. 1, art. 9 ust. 6 zezwala na przekazywanie danych państwom, które nie zapewniają właściwej ochrony, jeżeli "przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych (...)".
39. W wyżej wymienionej opinii z kontroli wstępnej EIOD zaznaczył, że podjęcie dalszych kroków jest konieczne, aby zagwarantować, że w razie przekazania danych państwu trzeciemu lub organizacji, odbiorca zapewnia właściwy poziom ochrony. EIOD pragnie podkreślić, że takie ustalenie adekwatności poziomu ochrony musi się odbywać na podstawie oceny jednostkowej i powinno uwzględniać dogłębną analizę okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji. RF nie może zwolnić Komisji z tego obowiązku. Podobnie przekazanie danych na podstawie jednego z odstępstw przewidzianych w art. 9 również powinno odbywać się na podstawie oceny jednostkowej.
40. W tym względzie EIOD zaleca prawodawcy dodanie dodatkowego ustępu do art. 102, który dotyczy w szczególności ochrony danych osobowych. Taki ustęp mógłby się rozpoczynać pierwszym zdaniem, które już zawiera pierwszy ustęp art. 102, mianowicie "Komisja tworzy centralną bazę danych i zarządza nią, zgodnie z unijnymi przepisami dotyczącymi ochrony danych osobowych". Następnie należy dodać, że dostęp organów państw trzecich jest dopuszczalny jedynie wówczas, gdy warunki określone w art. 9 rozporządzenia (WE) nr 45/2001 są spełnione.
III. WNIOSKI
41. Przedmiotowy wniosek ma pewien wpływ na ochronę danych na poziomie UE oraz na poziomie krajowym, co zostało omówione w niniejszej opinii. We wniosku znajdują się odniesienia do odpowiednich instrumentów ochrony danych. Niemniej, jak wyjaśniono w niniejszej opinii, konieczne jest dopracowanie i dodatkowe objaśnienie tekstu, aby zapewnić pełną zgodność z ramami prawnymi dotyczącymi ochrony danych. EIOD zaleca:
– włączenie do preambuły rozporządzenia odniesienia do dyrektywy 95/46/WE oraz do rozporządzenia (WE) nr 45/2001,
– włączenie do art. 57 ust. 2 lit. f) odniesienia do dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001, tak jak dokonano tego w przypadku art. 31 ust. 3 wniosku,
– doprecyzowanie odniesienia do dyrektywy 95/46/WE w art. 56 ust. 4 lit. f) (który powinien być oznaczony lit. e) zgodnie z logiczną kolejnością podpunktów) poprzez zmianę sformułowania na następujące: "zapewniają zgodność wszelkich działań w zakresie przetwarzania danych osobowych z przepisami krajowymi wdrażającymi dyrektywę 95/46/WE",
– zastąpienie sformułowania w art. 57 ust. 2 lit. f) "zapewniają racjonalną ochronę danych osobowych" sformułowaniem "zapewniają zgodność wszelkich działań w zakresie przetwarzania danych osobowych z przepisami krajowymi wdrażającymi dyrektywę 95/46/WE",
– zapewnienie w art. 63 ust. 8) poufnego traktowania w trakcie dochodzeń tożsamości osób informujących o nieprawidłowościach, w zakresie, w którym nie zostają naruszone przepisy krajowe regulujące procedury sądowe oraz o ile osoba oskarżona o popełnienie nieprawidłowości nie ma prawa do otrzymania danych na temat tożsamości, ponieważ są one niezbędne do wniesienia do sądu sprawy przeciwko osobie informującej o nieprawidłowościach, po tym jak zostanie ustalone, że umyślnie złożyła fałszywe zeznania na temat zainteresowanej osoby,
– doprecyzowanie w art. 31 celu i wyjaśnienie konieczności przewidywanego ujawniania informacji o odbiorcach środków finansowych pochodzących z budżetu, wskazanie, w jaki sposób i w jakim stopniu dane osobowe będą ujawniane, zapewnienie ujawniania danych wyłącznie, jeśli działanie to jest proporcjonalne, oraz zagwarantowanie, że osoby, których dane dotyczą, mogą powoływać się na swoje prawa zawarte w przepisach UE dotyczących ochrony danych,
– udoskonalenie art. 103 ust. 3, który dotyczy publikacji decyzji lub streszczenia decyzji w sprawie kar administracyjnych i finansowych, poprzez doprecyzowanie celu i wyjaśnienie konieczności przewidywanego ujawniania informacji o odbiorcach środków finansowych pochodzących z budżetu, wskazanie, w jaki sposób i w jakim stopniu dane osobowe będą ujawniane, zapewnienie ujawniania danych wyłącznie, jeśli działanie to jest proporcjonalne, oraz zagwarantowanie, że osoby, których dane dotyczą, mogą powoływać się na swoje prawa zawarte w przepisach UE dotyczących ochrony danych,
– dodanie dodatkowego ustępu do art. 102, który dotyczy ochrony danych osobowych, poprzez zagwarantowanie, że dostęp organów państw trzecich jest dopuszczalny jedynie wówczas, gdy zasady ustanowione w art. 9 rozporządzenia (WE) nr 45/2001 są spełnione oraz po przeprowadzeniu oceny jednostkowej.
Sporządzono w Brukseli dnia 15 kwietnia 2011 r.
______
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) Dz.U. L 248 z 16.9.2002, s. 1.
(4) Zob. odpowiednio COM(2010) 260 wersja ostateczna oraz COM(2010) 71 wersja ostateczna.
(5) Zob. art. 31 ust. 3 i art. 56 ust. 4 wniosku. Zawiera on również ogólne odniesienie do "wymogów ochrony danych" w motywie 36, do "ochrony danych osobowych" w art. 57 ust. 2 lit. f) oraz do "unijnych przepisów dotyczących ochrony danych osobowych" w art. 102 ust. 1.
(6) EIOD podkreślił już znaczenie poufnego traktowania tożsamości osoby informującej o nieprawidłowościach w piśmie do Europejskiego Rzecznika Praw Obywatelskich z dnia 30 lipca 2010 r. w sprawie 2010-0458, które znajduje się na stronie internetowej EIOD (http://www.edps.europa.eu). Grupa Robocza Art. 29 również wyszczególniła ten aspekt w opinii nr 1/2006 z dnia 1 lutego 2006 r. w sprawie zastosowania unijnych zasad ochrony danych do wewnętrznych systemów informowania o nieprawidłowościach w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem, zwalczania przekupstwa oraz przestępstw bankowych i finansowych, która znajduje się na stronie internetowej Grupy: (http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm).
(7) Zob. również opinie EIOD w sprawie wcześniejszego sprawdzenia - z dnia 23 czerwca 2006 r. dotyczącą dochodzeń wewnętrznych OLAF (sprawa 2005-0418) oraz z dnia 4 października 2007 r. dotyczącą dochodzeń zewnętrznych OLAF w sprawie (sprawy 2007-47, 2007-48, 2007-49, 2007-50, 2007-72). Opinie te są dostępne na stronie internetowej EIOD (http://www.edps.europa.eu).
(8) Zob. w tym względzie również wspomnianą powyżej opinię nr 1/2006 Grupy Roboczej Art. 29.
(9) Trybunał Sprawiedliwości, 9 listopada 2010 r., Schecke i Eifert, sprawy połączone C-92/09 i C-93/09.
(10) Trybunał Sprawiedliwości, Schecke, pkt 85.
(11) Trybunał Sprawiedliwości, Schecke, pkt 86.
(12) Trybunał Sprawiedliwości, Schecke, pkt 81.
(13) Porównaj: przypis 12.
(14) Trybunał Sprawiedliwości, Schecke, pkt 68, 69, 75 oraz 76.
(15) Rozporządzenie Komisji (WE) nr 259/2008, Dz.U. L 76 z 19.3.2008, s. 28.
(16) Artykuł. 44a rozporządzenia (WE) nr 1290/2005, Dz.U. L 209 z 11.8.2005, s. 1, z późn. zmianami.
(17) Zob. opinia EIOD z kontroli wstępnej z dnia 26 maja 2010 r. w sprawie operacji przetwarzania danych osobowych, dotycząca "Rejestracji podmiotu danych w centralnej bazie danych o wykluczeniach" (sprawa 2009-0681), którą można znaleźć na stronie internetowej EIOD (http://www.edps.europa.eu).