(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)(2018/C 338/12)
(Dz.U.UE C z dnia 21 września 2018 r.)
W opinii przedstawiono stanowisko EIOD na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się.
W tym kontekście EIOD zauważa, że Komisja wyraźnie zdecydowała się przypisać priorytetowe znaczenie aspektom wniosku związanym ze swobodnym przepływem i potraktować cel dotyczący bezpieczeństwa jako następstwo pierwszego. EIOD zauważa, że może to wpłynąć na analizę konieczności i proporcjonalności elementów wniosku.
EIOD popiera cel Komisji Europejskiej, jakim jest zwiększenie norm dotyczących zabezpieczeń dla dowodów tożsamości i dokumentów pobytowych, tym samym przyczyniając się do bezpieczeństwa całej Unii. Jednocześnie EIOD uważa, że wniosek nie uzasadnia w wystarczającym stopniu potrzeby przetwarzania dwóch rodzajów danych biometrycznych (wizerunku twarzy i odcisków palców) w tym kontekście, gdyż zadeklarowane cele można by osiągnąć stosując mniej inwazyjne podejście.
Zgodnie z ramami prawnymi UE, jak również w ramach zaktualizowanej konwencji nr 108, dane biometryczne uznaje się za dane szczególnie chronione i podlegają one specjalnej ochronie. EIOD podkreśla, że zarówno wizerunek twarzy, jak i odciski palców, które byłyby przetwarzane zgodnie z wnioskiem, wyraźnie zaliczają się do kategorii danych szczególnie chronionych.
Ponadto EIOD uważa, że wniosek miałby ogromny wpływ nawet na 370 mln obywateli UE, potencjalnie nakładając na 85 % ludności UE obowiązek pobierania odcisków palców. Tak szeroki zakres w połączeniu z przetwarzaniem danych szczególnie chronionych (wizerunku twarzy w połączeniu z odciskami palców) wymaga dokładnej kontroli zgodnie z rygorystycznym testem konieczności.
Dodatkowo EIOD przyznaje, że z uwagi na różnice między dokumentami tożsamości i paszportami, wprowadzenie zabezpieczeń, które można uznać za odpowiednie w przypadku paszportów do dokumentów tożsamości, nie może odbywać się automatycznie, ale wymaga refleksji i dogłębnej analizy.
Ponadto EIOD pragnie podkreślić, że do przedmiotowego przetwarzania miałby zastosowanie art. 35 ust. 10 ogólnego rozporządzenia o ochronie danych (zwanego dalej "RODO") 1 . W tym kontekście EIOD zauważa, że towarzysząca wnioskowi ocena skutków nie wydaje się popierać wariantu strategicznego wybranego przez Komisję, tj. obowiązkowego wprowadzenia zarówno wizerunków twarzy, jak i (dwóch) odcisków palców w dowodach tożsamości (i dokumentach pobytowych). W związku z tym towarzyszącą wnioskowi ocenę skutków nie można uznać za wystarczającą dla celów zgodności z art. 35 ust. 10 RODO. EIOD zaleca zatem ponowną ocenę konieczności i proporcjonalności przetwarzania danych biometrycznych (wizerunku twarzy w połączeniu z odciskami palców).
Ponadto wniosek powinien wyraźnie przewidywać zabezpieczenia przed ustanowieniem przez państwa członkowskie krajowych baz danych daktyloskopijnych w kontekście wdrażania wniosku. Do wniosku należy dodać przepis wyraźnie stwierdzający, że dane biometryczne przetwarzane w jego kontekście należy natychmiast usunąć po ich wprowadzeniu do mikroprocesora i nie można ich dalej przetwarzać do celów innych niż cele wyraźnie określone we wniosku.
EIOD rozumie, że wykorzystywanie danych biometrycznych można uznać za uzasadniony środek zwalczania nadużyć finansowych, jednak wniosek nie uzasadnia potrzeby przechowywania dwóch rodzajów danych biometrycznych do celów w nim przewidzianych. Jedną z opcji godnych rozważenia może być ograniczenie stosowanych danych biometrycznych do jednego rodzaju danych (np. tylko wizerunku twarzy).
Ponadto EIOD pragnie podkreślić, że rozumie, iż przechowywanie obrazu odcisków palców wzmacnia interoperacyjność, ale jednocześnie zwiększa ilość przetwarzanych danych biometrycznych i ryzyko posługiwania się przez daną osobę dokumentem stwierdzającym tożsamość innej osoby w przypadku naruszenia ochrony danych osobowych. EIOD zaleca zatem ograniczenie danych daktyloskopijnych przechowywanych na mikroprocesorze do minucji lub wzorów, czyli podzbioru cech pobranych z obrazu odcisków palców.
Biorąc pod uwagę szeroki zakres i potencjalne skutki wniosku, o którym mowa powyżej, EIOD zaleca również ustalenie we wniosku granicy wieku dla pobierania odcisków palców dzieci na 14 lat, zgodnie z innymi instrumentami prawa UE.
Sporządzono w Brukseli dnia 10 sierpnia 2018 r.
|
Giovanni BUTTARELLI |
|
Europejski Inspektor Ochrony Danych |
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
2 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady z dnia 17 kwietnia 2018 r. w sprawie zwiększenia bezpieczeństwa dokumentów tożsamości obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się, COM(2018) 212 final, 2018/0104 (COD).
3 Komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 8 grudnia 2016 r.: Plan działania na rzecz wzmocnienia europejskiej reakcji na przestępstwa przeciwko wierzytelności dokumentów, COM(2016) 790 final
4 Komunikat Komisji do Parlamentu Europejskiego, Rady Europejskiej i Rady Zwiększanie bezpieczeństwa w mobilnym świecie: ulepszona wymiana informacji na rzecz walki z terroryzmem i wzmocnionych granic zewnętrznych, COM(2016) 602 final.
