16 maja 2022 r. Komisja Europejska przedstawiła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniającego rozporządzenie finansowe. Europejski Inspektor Ochrony Danych zauważa, że celem wniosku jest poprawa jakości i interoperacyjności danych dotyczących odbiorców finansowania unijnego oraz osób będących (bezpośrednio lub pośrednio) odbiorcami docelowymi finansowania unijnego, aby skutecznie zapobiegać nadużyciom finansowym i nieprawidłowościom oraz je wykrywać, badać i korygować.W pełni popiera cele wniosku, w tym zwiększenie korzystania z cyfryzacji celem lepszej ochrony interesów finansowych UE oraz zwalczanie nadużyć finansowych i innych nieprawidłowości. Ponieważ do osiągnięcia tego celu może być konieczne przetwarzanie danych osobowych, na prawodawcy UE spoczywa obowiązek dopilnowania, aby wszelkie ingerencje w prawo do ochrony danych ograniczały się do tego, co jest absolutnie konieczne i proporcjonalne do zamierzonych celów.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje fakt, że wniosek służy ustaleniu kategorii danych, które będą przetwarzane, aby osiągnąć cele wniosku. Rozumie jednak, że procesy eksploracji danych i oceny ryzyka nie będą ograniczały się do danych wyraźnie określonych we wniosku i że dane te będą porównywane z danymi z innych źródeł. EIOD uważa, że konieczne jest wyraźne określenie wszystkich kategorii danych osobowych, które będą przetwarzane, a także źródeł tych danych. Należy także wprowadzić odpowiednie zabezpieczenia, aby zapewnić jakość i dokładność tych danych, zwłaszcza w okolicznościach, w których inne dane pochodziłyby od stron trzecich.
Europejski Inspektor Ochrony Danych zauważa, że we wniosku nie podaje się żadnych dodatkowych informacji dotyczących samego systemu informatycznego. Dlatego też zaleca dokładne określenie rodzaju systemu informatycznego, który ma zostać wykorzystany, ze szczególnym uwzględnieniem tego, czy Komisja planuje oprzeć system na już istniejącym systemie informatycznym Arachne, czy też stworzyć całkowicie nowy system informatyczny. Niezależnie od wykorzystania istniejących struktur EIOD pragnie przypomnieć, że w architekturze tego systemu informatycznego należy ustanowić i wprowadzić, zgodnie z ogólnymi zasadami ochrony danych obowiązującymi przy przetwarzaniu danych osobowych, odpowiednie zabezpieczenia. Należy to odpowiednio uwzględnić w fazie projektowania i opracowywania systemu informatycznego, zgodnie z wymogiem ochrony danych w fazie projektowania.
EIOD zdecydowanie zaleca również, aby współprawodawca jasno określił maksymalny okres przechowywania i udostępniania danych osobowych, których to dotyczy, w zapewnionym przez Komisję jednolitym zintegrowanym systemie informatycznym służącym do eksploracji danych i oceny ryzyka.
Jeżeli chodzi o publikację odpowiednich informacji dotyczących wszystkich odbiorców finansowania z budżetu UE, EIOD z zadowoleniem odnotowuje wysiłki podejmowane na rzecz zrównoważenia zasady przejrzystości wobec ingerencji w prawo zainteresowanych odbiorców do poszanowania ich życia prywatnego w znaczeniu ogólnym oraz na rzecz ochrony ich danych osobowych poprzez zwolnienie odbiorców z obowiązku publikacji ich danych osobowych, jeżeli spełnione zostaną odpowiednie warunki (próg otrzymanej kwoty, charakter środka, zagrożenia dla praw i wolności itp.).
1. WPROWADZENIE
1. 16 maja 2022 r. Komisja Europejska przedstawiła wniosek dotyczący rozporządzenia Parlamentu Europejskiego
i Rady w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii (wersja przekształcona) ("wniosek"), zmieniającego rozporządzenie finansowe 1 .
2. Celem wniosku jest dostosowanie rozporządzenia finansowego do pakietu wieloletnich ram finansowych na lata 2021-2027, aby zachować jednolity zbiór przepisów regulujący wydatki Unii. Oznacza to, że wszystkie ogólne przepisy finansowe są ujęte w jednym rozporządzeniu finansowym. Ponadto we wniosku przewiduje się ukierunkowane udoskonalenia i uproszczenia, nad którymi pracowano od czasu wejścia w życie rozporządzenia finansowego w 2018 r. Celem wniosku jest również zwiększenie korzystania z cyfryzacji dla poprawy ochrony interesów finansowych UE, skuteczniejszego przyczynienia się do osiągnięcia celów polityki UE oraz wprowadzenia dodatkowych udogodnień dla odbiorców finansowania unijnego 2 .
3. Niniejszą opinię EIOD wydaje się w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 16 maja 2022 r., zgodnie z art. 42 ust. 1 EUDPR 3 . Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje odniesienie się do tych konsultacji w motywie 257 wniosku. W związku z powyższym EIOD z zadowoleniem zauważa również, że przeprowadzono z nim nieformalne konsultacje, zgodnie z motywem 60 EUDPR.
5. WNIOSKI
26. W świetle powyższego EIOD wydaje następujące zalecenia:
(1) należy doprecyzować role wszystkich podmiotów, które wykorzystywałyby wszelkie dane osobowe przetwarzane przez jeden zintegrowany system informatyczny do eksploracji danych i oceny ryzyka;(2) należy doprecyzować rodzaj systemu informatycznego, który ma zostać wykorzystany, ze szczególnym uwzględnieniem tego, czy Komisja planuje oprzeć system na już istniejącym systemie informatycznym Arachne, czy też stworzyć całkowicie nowy system informatyczny;
(3) należy wyraźnie określić wszystkie kategorie omawianych danych, tj. jakie dane będą przetwarzane/wprowadzane w związku z danymi identyfikującymi, o których mowa w art. 36 ust. 6 wniosku, a także źródła tych danych;
(4) należy wprowadzić odpowiednie zabezpieczenia, aby zapewnić jakość i dokładność tych danych, zwłaszcza w okolicznościach, w których inne dane pochodziłyby od stron trzecich;
(5) niezależnie od tego, czy Komisja zamierza wykorzystać istniejące struktury, we wniosku należy zawrzeć ogólny opis narzędzia informatycznego, w tym ról i obowiązków w zakresie ochrony danych oraz odpowiednich obowiązujących zabezpieczeń;
(6) dla niepublikowanych typów danych należy zastosować dodatkowe zabezpieczenia (można rozważyć na przykład pseudonimizację danych);
(7) należy doprecyzować, czy elektroniczne rejestrowanie i przechowywanie danych odbywałoby się w ramach systemu informatycznego do celów eksploracji danych i oceny ryzyka lub czy system informatyczny miałby dostęp wyłącznie do danych przechowywanych w innym miejscu;
(8) należy wyraźnie określić maksymalny okres, przez który dane, o których mowa w art. 36 wniosku, mogą być przechowywane i udostępniane w jednolitym zintegrowanym systemie informatycznym do celów eksploracji danych i oceny ryzyka zapewnianym przez Komisję.
Bruksela, 7 lipca 2022 r.
|
Wojciech Rafał WIEWIÓROWSKI |
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 z dnia 18 lipca 2018 r. w sprawie zasad finansowych mających zastosowanie do budżetu ogólnego Unii, zmieniające rozporządzenia (UE) nr 1296/2013, (UE) nr 1301/2013, (UE) nr 1303/2013, (UE) nr 1304/2013, (UE) nr 1309/2013, (UE) nr 1316/2013, (UE) nr 223/2014 i (UE) nr 283/2014 oraz decyzję nr 541/2014/UE, a także uchylające rozporządzenie (UE, Euratom) nr 966/2012 (Dz.U. L 193 z 30.7.2018, s. 1).
2 Zob. COM(2022) 223 final, s. 1.
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
