Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria C
  3. Dz.U.UE.C.2018.338.22

Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i innych dokumentów.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i innych dokumentów

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)

(2018/C 338/12)

(Dz.U.UE C z dnia 21 września 2018 r.)

W opinii przedstawiono stanowisko EIOD na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się.

W tym kontekście EIOD zauważa, że Komisja wyraźnie zdecydowała się przypisać priorytetowe znaczenie aspektom wniosku związanym ze swobodnym przepływem i potraktować cel dotyczący bezpieczeństwa jako następstwo pierwszego. EIOD zauważa, że może to wpłynąć na analizę konieczności i proporcjonalności elementów wniosku.

EIOD popiera cel Komisji Europejskiej, jakim jest zwiększenie norm dotyczących zabezpieczeń dla dowodów tożsamości i dokumentów pobytowych, tym samym przyczyniając się do bezpieczeństwa całej Unii. Jednocześnie EIOD uważa, że wniosek nie uzasadnia w wystarczającym stopniu potrzeby przetwarzania dwóch rodzajów danych biometrycznych (wizerunku twarzy i odcisków palców) w tym kontekście, gdyż zadeklarowane cele można by osiągnąć stosując mniej inwazyjne podejście.

Zgodnie z ramami prawnymi UE, jak również w ramach zaktualizowanej konwencji nr 108, dane biometryczne uznaje się za dane szczególnie chronione i podlegają one specjalnej ochronie. EIOD podkreśla, że zarówno wizerunek twarzy, jak i odciski palców, które byłyby przetwarzane zgodnie z wnioskiem, wyraźnie zaliczają się do kategorii danych szczególnie chronionych.

Ponadto EIOD uważa, że wniosek miałby ogromny wpływ nawet na 370 mln obywateli UE, potencjalnie nakładając na 85 % ludności UE obowiązek pobierania odcisków palców. Tak szeroki zakres w połączeniu z przetwarzaniem danych szczególnie chronionych (wizerunku twarzy w połączeniu z odciskami palców) wymaga dokładnej kontroli zgodnie z rygorystycznym testem konieczności.

Dodatkowo EIOD przyznaje, że z uwagi na różnice między dokumentami tożsamości i paszportami, wprowadzenie zabezpieczeń, które można uznać za odpowiednie w przypadku paszportów do dokumentów tożsamości, nie może odbywać się automatycznie, ale wymaga refleksji i dogłębnej analizy.

Ponadto EIOD pragnie podkreślić, że do przedmiotowego przetwarzania miałby zastosowanie art. 35 ust. 10 ogólnego rozporządzenia o ochronie danych (zwanego dalej "RODO") 1 . W tym kontekście EIOD zauważa, że towarzysząca wnioskowi ocena skutków nie wydaje się popierać wariantu strategicznego wybranego przez Komisję, tj. obowiązkowego wprowadzenia zarówno wizerunków twarzy, jak i (dwóch) odcisków palców w dowodach tożsamości (i dokumentach pobytowych). W związku z tym towarzyszącą wnioskowi ocenę skutków nie można uznać za wystarczającą dla celów zgodności z art. 35 ust. 10 RODO. EIOD zaleca zatem ponowną ocenę konieczności i proporcjonalności przetwarzania danych biometrycznych (wizerunku twarzy w połączeniu z odciskami palców).

Ponadto wniosek powinien wyraźnie przewidywać zabezpieczenia przed ustanowieniem przez państwa członkowskie krajowych baz danych daktyloskopijnych w kontekście wdrażania wniosku. Do wniosku należy dodać przepis wyraźnie stwierdzający, że dane biometryczne przetwarzane w jego kontekście należy natychmiast usunąć po ich wprowadzeniu do mikroprocesora i nie można ich dalej przetwarzać do celów innych niż cele wyraźnie określone we wniosku.

EIOD rozumie, że wykorzystywanie danych biometrycznych można uznać za uzasadniony środek zwalczania nadużyć finansowych, jednak wniosek nie uzasadnia potrzeby przechowywania dwóch rodzajów danych biometrycznych do celów w nim przewidzianych. Jedną z opcji godnych rozważenia może być ograniczenie stosowanych danych biometrycznych do jednego rodzaju danych (np. tylko wizerunku twarzy).

Ponadto EIOD pragnie podkreślić, że rozumie, iż przechowywanie obrazu odcisków palców wzmacnia interoperacyjność, ale jednocześnie zwiększa ilość przetwarzanych danych biometrycznych i ryzyko posługiwania się przez daną osobę dokumentem stwierdzającym tożsamość innej osoby w przypadku naruszenia ochrony danych osobowych. EIOD zaleca zatem ograniczenie danych daktyloskopijnych przechowywanych na mikroprocesorze do minucji lub wzorów, czyli podzbioru cech pobranych z obrazu odcisków palców.

Biorąc pod uwagę szeroki zakres i potencjalne skutki wniosku, o którym mowa powyżej, EIOD zaleca również ustalenie we wniosku granicy wieku dla pobierania odcisków palców dzieci na 14 lat, zgodnie z innymi instrumentami prawa UE.

1. 

WPROWADZENIE I KONTEKST

1.
W dniu 17 kwietnia 2018 r. Komisja Europejska (zwana dalej "Komisją") wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się 2 , którego celem jest poprawa zabezpieczeń dokumentów tożsamości obywateli UE oraz dokumentów pobytowych członków rodzin spoza UE (zwany dalej "wnioskiem").
2.
Wniosek ten jest częścią planu działania z grudnia 2016 r. "na rzecz wzmocnienia europejskiej reakcji na przestępstwa przeciwko wierzytelności dokumentów" (zwanego dalej "planem działania z grudnia 2016 r.") 3 , w którym Komisja przedstawiła sposoby rozwiązania kwestii bezpieczeństwa dokumentów, w tym dokumentów tożsamości i dokumentów pobytowych, w obliczu niedawnych ataków terrorystycznych w Europie.
3.
Dowody tożsamości odgrywają ważną rolę w identyfikacji osób do celów administracyjnych i handlowych, co Komisja podkreśliła w swoim komunikacie przyjętym w dniu 14 września 2016 r. "Zwiększanie bezpieczeństwa w mobilnym świecie: ulepszona wymiana informacji na rzecz walki z terroryzmem i wzmocnionych granic zewnętrznych" 4 . Potrzebę poprawy bezpieczeństwa tych dokumentów podkreślono również w sprawozdaniu na temat obywatelstwa UE za 2017 r.
4.
Częścią misji EIOD jest doradzanie służbom Komisji przy sporządzaniu nowych wniosków ustawodawczych związanych z ochroną danych.
5.
EIOD z zadowoleniem przyjmuje fakt, że Komisja Europejska przeprowadziła z nim już nieformalne konsultacje w sprawie projektu wniosku, podczas których miał on możliwość przedstawienia uwag na temat aspektów ochrony danych.

7. 

WNIOSKI

EIOD zauważa, że Komisja wyraźnie zdecydowała się przypisać priorytetowe znaczenie aspektom wniosku związanym ze swobodnym przepływem i potraktować cel dotyczący bezpieczeństwa jako następstwo pierwszego. EIOD zauważa, że może to wpłynąć na analizę konieczności i proporcjonalności elementów wniosku.

EIOD popiera cel Komisji Europejskiej, jakim jest zwiększenie norm dotyczących zabezpieczeń dla dowodów tożsamości i dokumentów pobytowych, tym samym przyczyniając się do bezpieczeństwa całej Unii. Jednocześnie EIOD uważa, że wniosek nie uzasadnia w wystarczającym stopniu potrzeby przetwarzania dwóch rodzajów danych biometrycznych (wizerunku twarzy i odcisków palców) w tym kontekście, gdyż zadeklarowane cele można by osiągnąć stosując mniej inwazyjne podejście.

Zgodnie z ramami prawnymi UE, jak również w ramach zaktualizowanej konwencji nr 108, dane biometryczne uznaje się za dane szczególnie chronione i podlegają one specjalnej ochronie. EIOD podkreśla, że zarówno wizerunek twarzy, jak i odciski palców, które byłyby przetwarzane zgodnie z wnioskiem, wyraźnie zaliczają się do kategorii danych szczególnie chronionych.

Ponadto EIOD uważa, że wniosek miałby ogromny wpływ nawet na 370 mln obywateli UE, potencjalnie nakładając na 85 % ludności UE obowiązek pobierania odcisków palców. Tak szeroki zakres w połączeniu z przetwarzaniem danych szczególnie chronionych (wizerunku twarzy w połączeniu z odciskami palców) wymaga dokładnej kontroli zgodnie z rygorystycznym testem konieczności.

Dodatkowo EIOD przyznaje, że z uwagi na różnice między dokumentami tożsamości i paszportami, wprowadzenie zabezpieczeń, które można uznać za odpowiednie w przypadku paszportów do dokumentów tożsamości, nie może odbywać się automatycznie, ale wymaga refleksji i dogłębnej analizy.

Ponadto EIOD pragnie podkreślić, że do przedmiotowego przetwarzania miałby zastosowanie art. 35 ust. 10 RODO. W tym kontekście EIOD zauważa, że towarzysząca wnioskowi ocena skutków nie wydaje się popierać wariantu strategicznego wybranego przez Komisję, tj. obowiązkowego wprowadzenia zarówno wizerunków twarzy, jak i (dwóch) odcisków palców w dowodach tożsamości (i dokumentach pobytowych). W związku z tym towarzyszącą wnioskowi ocenę skutków nie można uznać za wystarczającą dla celów zgodności z art. 35 ust. 10 RODO. EIOD zaleca zatem ponowną ocenę konieczności i proporcjonalności przetwarzania danych biometrycznych (wizerunku twarzy w połączeniu z odciskami palców).

Ponadto wniosek powinien wyraźnie przewidywać zabezpieczenia przed ustanowieniem przez państwa członkowskie krajowych baz danych daktyloskopijnych w kontekście wdrażania wniosku. Do wniosku należy dodać przepis wyraźnie stwierdzający, że dane biometryczne przetwarzane w jego kontekście należy natychmiast usunąć po ich wprowadzeniu do mikroprocesora i nie można ich dalej przetwarzać do celów innych niż cele wyraźnie określone we wniosku.

EIOD rozumie, że wykorzystywanie danych biometrycznych można uznać za uzasadniony środek zwalczania nadużyć finansowych, jednak wniosek nie uzasadnia potrzeby przechowywania dwóch rodzajów danych biometrycznych do celów w nim przewidzianych. Jedną z opcji godnych rozważenia może być ograniczenie stosowanych danych biometrycznych do jednego rodzaju danych (np. tylko wizerunku twarzy).

Ponadto EIOD pragnie podkreślić, że rozumie, iż przechowywanie obrazu odcisków palców wzmacnia interoperacyjność, ale jednocześnie zwiększa ilość przetwarzanych danych biometrycznych i ryzyko posługiwania się przez daną osobę dokumentem stwierdzającym tożsamość innej osoby w przypadku naruszenia ochrony danych osobowych. EIOD zaleca zatem ograniczenie danych daktyloskopijnych przechowywanych na mikroprocesorze do minucji lub wzorów, czyli podzbioru cech pobranych z obrazu odcisków palców.

Biorąc pod uwagę szeroki zakres i potencjalne skutki wniosku, o którym mowa powyżej, EIOD zaleca wreszcie ustalenie we wniosku granicy wieku dla pobierania odcisków palców dzieci na 14 lat, zgodnie z innymi instrumentami prawa UE.

Sporządzono w Brukseli dnia 10 sierpnia 2018 r.
Giovanni BUTTARELLI
Europejski Inspektor Ochrony Danych
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
2 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady z dnia 17 kwietnia 2018 r. w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się, COM(2018) 212 final, 2018/0104 (COD).
3 Komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 8 grudnia 2016 r.: Plan działania na rzecz wzmocnienia europejskiej reakcji na przestępstwa przeciwko wierzytelności dokumentów, COM(2016) 790 final
4 Komunikat Komisji do Parlamentu Europejskiego, Rady Europejskiej i Rady Zwiększanie bezpieczeństwa w mobilnym świecie: ulepszona wymiana informacji na rzecz walki z terroryzmem i wzmocnionych granic zewnętrznych, COM(2016) 602 final.

Zmiany w prawie

Wolna Wigilia po raz pierwszy i nowe obowiązki dla firm, które wejdą… w Wigilię
Wolna Wigilia po raz pierwszy i nowe obowiązki dla firm, które wejdą… w Wigilię

W tym roku po raz pierwszy wszyscy pracownicy będą cieszyli się Wigilią jako dniem wolnym od pracy. Także w handlu. I choć z dnia wolnego skorzystają także pracodawcy, to akurat w ich przypadku Wigilia będzie dniem, kiedy zaczną obowiązywać przepisy zobowiązujące ich do stosowania w ogłoszeniach o pracę i np. w regulaminach pracy nazw stanowisk neutralnych pod względem płci.

Grażyna J. Leśniak 23.12.2025
Centralna e-Rejestracja: Start systemu od 1 stycznia 2026 r.
Centralna e-Rejestracja: Start systemu od 1 stycznia 2026 r.

Od 1 stycznia 2026 r. zacznie obowiązywać ustawa wprowadzająca Centralną e-Rejestrację. Zakłada ona, że od przyszłego roku podmioty lecznicze obowiązkowo dołączą do systemu m.in. w zakresie umawiania wizyt u kardiologa oraz badań profilaktycznych. Planowany start rejestracji na wszystkie świadczenia planowany jest na 2029 r. Kolejne świadczenia i możliwości w zakresie zapisywania się do lekarzy specjalistów będą wchodzić w życie stopniowo.

Inga Stawicka 22.12.2025
Ważne zmiany w zakresie ZFŚS
Ważne zmiany w zakresie ZFŚS

W piątek, 19 grudnia 2025 roku, Senat przyjął bez poprawek uchwalone na początku grudnia przez Sejm bardzo istotne zmiany w przepisach dla pracodawców obowiązanych do tworzenia Zakładowego Funduszu Świadczeń Socjalnych. Odnoszą się one do tych podmiotów, w których nie działają organizacje związkowe. Ustawa trafi teraz na biurko prezydenta.

Marek Rotkiewicz 19.12.2025
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy

Nowe okresy wliczane do okresu zatrudnienia mogą wpłynąć na wymiar urlopów wypoczynkowych osób, które jeszcze nie mają prawa do 26 dni urlopu rocznie. Pracownicy nie nabywają jednak prawa do rozliczenia urlopu za okres sprzed dnia objęcia pracodawcy obowiązkiem stosowania art. 302(1) Kodeksu pracy, wprowadzającego zaliczalność m.in. okresów prowadzenia działalności gospodarczej czy wykonywania zleceń do stażu pracy.

Marek Rotkiewicz 19.12.2025
To będzie rewolucja u każdego pracodawcy
To będzie rewolucja u każdego pracodawcy

Wszyscy pracodawcy, także ci zatrudniający choćby jednego pracownika, będą musieli dokonać wartościowania stanowisk pracy i określić kryteria służące ustaleniu wynagrodzeń pracowników, poziomów wynagrodzeń i wzrostu wynagrodzeń. Jeszcze więcej obowiązków będą mieli średni i duzi pracodawcy, którzy będą musieli raportować lukę płacową. Zdaniem prawników, dla mikro, małych i średnich firm dostosowanie się do wymogów w zakresie wartościowania pracy czy ustalenia kryteriów poziomu i wzrostu wynagrodzeń wymagać będzie zewnętrznego wsparcia.

Grażyna J. Leśniak 18.12.2025
Są rozporządzenia wykonawcze do KSeF
Są rozporządzenia wykonawcze do KSeF

Minister finansów i gospodarki podpisał cztery rozporządzenia wykonawcze dotyczące funkcjonowania KSeF – potwierdził we wtorek resort finansów. Rozporządzenia określają m.in.: zasady korzystania z KSeF, w tym wzór zawiadomienia ZAW-FA, przypadki, w których nie ma obowiązku wystawiania faktur ustrukturyzowanych, a także zasady wystawiania faktur uproszczonych.

Krzysztof Koślicki 16.12.2025
Metryka aktu
Identyfikator:

Dz.U.UE.C.2018.338.22
Rodzaj: Informacja
Tytuł: Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i innych dokumentów.
Data aktu: 21/09/2018
Data ogłoszenia: 21/09/2018