a także mając na uwadze, co następuje:(1) Agencję Unii Europejskiej ds. Współpracy Organów Ścigania (Europol) ustanowiono rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/794 2 , aby wspierać i wzmacniać działania i wzajemną współpracę właściwych organów państw członkowskich w zakresie zapobiegania poważnej przestępczości dotykającej co najmniej dwa państwa członkowskie, terroryzmowi i formom przestępczości mającym wpływ na wspólny interes objęty polityką Unii, a także w zakresie zwalczania tych zjawisk.
(2) Sytuacja w zakresie bezpieczeństwa w Europie ciągle się zmienia, a zagrożenia dla bezpieczeństwa ewoluują i stają się coraz bardziej złożone. Terroryści oraz inni przestępcy wykorzystują transformację cyfrową i nowe technologie, w szczególności zarówno wzajemne powiązania między światem fizycznym i cyfrowym jak i zacierające się granice pomiędzy nimi, jak na przykład poprzez ukrywanie popełnionych przez siebie przestępstw lub swojej tożsamości dzięki użyciu coraz bardziej zaawansowanych technik. Terroryści i inni przestępcy udowodnili, że w czasach kryzysu są w stanie dostosowywać sposób w jaki działają oraz rozwijać nowe rodzaje działalności przestępczej, w tym przez umiejętne wykorzystanie narzędzi technologicznych w celu zwiększania różnorodności i poszerzania zasięgu swojej działalności przestępczej. Terroryzm nadal stanowi istotne zagrożenie dla wolności oraz sposobu życia obywateli Unii.
(3) Zmieniające się i skomplikowane zagrożenia rozprzestrzeniają się ponad granicami i ułatwiają popełnianie różnych rodzajów przestępstw, i przejawiają się w działalności zorganizowanych grup przestępczych zajmujących się przestępczością wielorodzajową, które angażują się w różnorodne działania przestępcze. Działania na szczeblu krajowym i współpraca transgraniczna nie wystarczą, aby sprostać tym transgranicznym zagrożeniom bezpieczeństwa, właściwe organy ścigania państw członkowskich w coraz większym stopniu wykorzystują wsparcie i wiedzę fachową oferowane przez Europol, aby zapobiegać poważnej przestępczości i terroryzmowi oraz je zwalczać. Od czasu obowiązywania rozporządzenia (UE) 2016/794 znacznie wzrosło operacyjne znaczenie zadań realizowanych przez Europol. Ponadto nowa sytuacja pod względem zagrożeń zmienia zakres i rodzaj wsparcia, jakiego państwa członkowskie potrzebują i oczekują od Europolu, by zapewnić bezpieczeństwo obywatelom.
(4) Należy zatem powierzyć Europolowi dodatkowe zadania na mocy niniejszego rozporządzenia, aby umożliwić Europolowi lepsze wspieranie właściwych organów państw członkowskich przy jednoczesnym pełnym zachowaniu odpowiedzialności państw członkowskich w dziedzinie bezpieczeństwa narodowego określonej w art. 4 ust. 2 Traktatu o Unii Europejskiej (TUE). Wzmocniony zakres działania Europolu należy zrównoważyć większymi zabezpieczeniami w odniesieniu do praw podstawowych oraz większą rozliczalnością, odpowiedzialnością i nadzorem, w tym nadzorem parlamentarnym i sprawowanym za pośrednictwem zarządu Europolu (zwanego dalej "zarządem"). Aby Europol mógł realizować swój wzmocniony zakres działania, zadaniom powinny towarzyszyć odpowiednie zasoby ludzkie i finansowe w celu wsparcia jego dodatkowych zadań.
(5) Ponieważ Unia stoi w obliczu rosnących zagrożeń ze strony zorganizowanych grup przestępczych i ataków terrorystycznych, skuteczna reakcja organów ścigania musi obejmować dostępność dobrze wyszkolonych, intero- peracyjnych specjalnych jednostek interwencyjnych, które specjalizują się w kontroli sytuacji kryzysowych spowodowanych przez człowieka. Te specjalne jednostki interwencyjne działające w państwach członkowskich współpracują w Unii na podstawie decyzji Rady 2008/617/WSiSW 3 . Europol powinien być w stanie wspierać te specjalne jednostki interwencyjne poprzez udzielanie wsparcia technicznego i finansowego, jako uzupełnienie wysiłków podejmowanych przez państwa członkowskie.
(6) W ostatnich latach zarówno podmioty publiczne, jak i prywatne w wielu jurysdykcjach w Unii i poza nią padały ofiarą cyberataków na dużą skalę, w tym ataków z państw trzecich, które to cyberataki wywarły wpływ na różne sektory, w tym transport, służbę zdrowia i usługi finansowe. Zapobieganie takim cyberatakom, wykrywanie ich, prowadzenie postępowań przygotowawczych w sprawie tych cyberataków oraz ściganie ich to czynności wspierane dzięki koordynacji i współpracy odpowiednich podmiotów, m.in. Agencji Unii Europejskiej ds. Cyberbezpie- czeństwa (ENISA) ustanowionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 4 , właściwych organów ds. bezpieczeństwa sieci i systemów informatycznych, w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 5 , właściwych organów państw członkowskich oraz podmiotów prywatnych. Aby zapewnić skuteczną współpracę między wszystkimi właściwymi podmiotami na szczeblu unijnym i krajowym w zakresie cyberataków i zagrożeń cyberbezpieczeństwa, Europol powinien współpracować z ENISA w szczególności - poprzez wymianę informacji i zapewnianie ENISA wsparcia analitycznego w obszarach wchodzących w zakres ich odpowiednich kompetencji.
(7) Przestępcy wysokiego ryzyka odgrywają wiodącą rolę w siatkach przestępczych i ich działalność przestępcza stwarza duże zagrożenie dla bezpieczeństwa wewnętrznego Unii. W celu zwalczania działalności zorganizowanych grup przestępczych wysokiego ryzyka i ich przywódców Europol powinien mieć możliwość wspierania państw członkowskich w ukierunkowywaniu ich działań prowadzonych w ramach postępowań przygotowawczych na identyfikację członków i przywódców tych siatek przestępczych, ich działalności przestępczej i ich aktywów finansowych.
(8) Zagrożenia, jakie pociąga za sobą poważna przestępczość, wymagają skoordynowanej, spójnej reakcji obejmującej wiele dziedzin i agencji. Europol powinien mieć możliwość ułatwiania i wspierania inicjatyw państw członkowskich w zakresie bezpieczeństwa opartych na danych wywiadowczych w celu identyfikacji zagrożeń wynikających z poważnej przestępczości, ustalania priorytetów i reagowania na te zagrożenia, np. inicjatywę, jaką jest europejska multidyscyplinarna platforma przeciwko zagrożeniom przestępstwami (EMPACT). Europol powinien mieć możliwość wspierania takich inicjatyw pod kątem administracyjnym, logistycznym, finansowym i operacyjnym.
(9) System Informacyjny Schengen (SIS) utworzony w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1862 6 jest podstawowym narzędziem utrzymania wysokiego poziomu bezpieczeństwa w przestrzeni wolności, bezpieczeństwa i sprawiedliwości. Europol, jako centrum wymiany informacji w Unii, otrzymuje i przechowuje wartościowe informacje od państw trzecich i organizacji międzynarodowych dotyczące osób podejrzanych o udział w przestępstwach, które objęte są zakresem celów Europolu. W ramach swoich celów i swojego zadania polegającego na wspieraniu państw członkowskich w zapobieganiu poważnej przestępczości i terroryzmowi oraz ich zwalczaniu Europol powinien wspierać państwa członkowskie w przetwarzaniu danych przekazywanych mu przez państwa trzecie lub organizacje międzynarodowe, proponując ewentualne wprowadzanie przez państwa członkowskie do SIS nowej kategorii wpisów informacyjnych w interesie Unii (zwanych dalej "wpisami informacyjnymi"), tak aby udostępniać te wpisy informacyjne użytkownikom końcowym SIS. W tym celu należy ustanowić mechanizm okresowej sprawozdawczości, by zapewnić informowanie państw członkowskich i Europolu o wyniku weryfikacji i analizy tych danych oraz o tym, czy informacja została wprowadzona do SIS. Warunki współpracy państw członkowskich w zakresie przetwarzania takich danych i wprowadzania wpisów do SIS, w szczególności w odniesieniu do zwalczania terroryzmu, powinny podlegać stałej koordynacji między państwami członkowskimi. Zarząd powinien doprecyzować kryteria, na podstawie których Europol powinien mieć możliwość przedstawienia wniosków dotyczących wprowadzania takich wpisów informacyjnych do SIS.
(10) Europol odgrywa ważną rolę we wspieraniu mechanizmu oceny i monitorowania w celu weryfikacji stosowania dorobku Schengen ustanowionego na mocy rozporządzenia Rady (UE) nr 1053/2013 7 . Europol powinien zatem, na wniosek państw członkowskich, udostępniać swoją wiedzę fachową, analizy, sprawozdania i inne istotne informacje na potrzeby mechanizmu oceny i monitorowania celem weryfikacji stosowania dorobku Schengen.
(11) Oceny ryzyka pomagają w przewidywaniu nowych tendencji oraz stawianiu czoła nowym zagrożeniom wynikającym z poważnej przestępczości i terroryzmu. Aby wesprzeć Komisję i państwa członkowskie w przeprowadzaniu skutecznych ocen ryzyka, Europol powinien oferować Komisji i państwom członkowskim analizę oceny zagrożeń w oparciu o posiadane informacje dotyczące zjawisk i tendencji przestępczych, bez uszczerbku dla prawa Unii dotyczącego zarządzania ryzykiem celnym.
(12) Aby pomóc w pełnym wykorzystaniu potencjału finansowania unijnego przeznaczonego na badania nad bezpieczeństwem i w ukierunkowaniu go na spełnianie potrzeb w dziedzinie ścigania przestępstw, Europol powinien wspierać Komisję w identyfikowaniu kluczowych zagadnień badawczych oraz opracowywaniu i realizacji unijnych programów ramowych w dziedzinie badań naukowych i innowacji, które są istotne z punktu widzenia celów Europolu. W stosownych przypadkach Europol powinien mieć możliwość rozpowszechniania wyników swoich działań w zakresie badań naukowych i innowacji w ramach wnoszenia wkładu w tworzenie synergii między działaniami w dziedzinie badań naukowych i innowacji podejmowanymi przez odpowiednie organy Unii. Przy opracowywaniu i konceptualizacji działań w dziedzinie badań naukowych i innowacji, istotnych dla celów Europolu, Europol powinien mieć możliwość, w stosownych przypadkach, konsultowania się ze Wspólnym Centrum Badawczym (JRC) Komisji. Europol powinien podejmować wszelkie niezbędne środki, aby unikać konfliktu interesów. Europol nie powinien otrzymywać finansowania w ramach danego ramowego programu unijnego, w przypadku, gdy wspomaga on Komisję w identyfikowaniu kluczowych tematów badań naukowych lub sporządza i realizuje ten program. Istotne jest, aby Europol miał zapewnione otrzymywanie odpowiedniego finansowania, tak by mógł wspomagać państwa członkowskie i Komisję w obszarze badań naukowych i innowacji.
(13) W odniesieniu do bezpośrednich inwestycji zagranicznych Unia i państwa członkowskie mają możliwość przyjmowania środków ograniczających uzasadnionych względami bezpieczeństwa lub porządku publicznego. W tym celu rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/452 8 ustanawia ramy monitorowania bezpośrednich inwestycji zagranicznych w Unii. Bezpośrednie inwestycje zagraniczne w powstające technologie wymagają szczególnej uwagi, gdyż mogą mieć istotne skutki dla bezpieczeństwa i porządku publicznego, w szczególności gdy takie technologie są wykorzystywane przez właściwe organy państw członkowskich. Ze względu na zaangażowanie Europolu w monitorowanie pojawiających się technologii oraz na swoje zaangażowanie w opracowywanie nowych sposobów wykorzystywania takich technologii do celów ścigania przestępstw, w szczególności za pośrednictwem swojego laboratorium innowacji i za pośrednictwem centrum innowacji strategii bezpieczeństwa wewnętrznego UE, Europol dysponuje szeroką wiedzą na temat możliwości, jakie oferują takie technologie, a także na temat ryzyka związanego z ich stosowaniem. Europol powinien zatem mieć możliwość wspierania państw członkowskich w monitorowaniu bezpośrednich inwestycji zagranicznych w Unii oraz powiązanych zagrożeń dla bezpieczeństwa, które dotyczą przedsiębiorstw dostarczających technologie, w tym oprogramowanie, wykorzystywane przez Europol w celu zapobiegania przestępstwom objętym zakresem celów Europolu i prowadzenia w ich sprawie postępowań przygotowawczych, lub technologie krytyczne, które mogą być wykorzystywane do ułatwiania działalności terrorystycznej. W tym kontekście wiedza fachowa Europolu powinna służyć wspieraniu monitorowania bezpośrednich inwestycji zagranicznych i powiązanych zagrożeń dla bezpieczeństwa. W szczególności należy wziąć pod uwagę to, czy dany inwestor zagraniczny był już zaangażowany w działalność mającą wpływ na bezpieczeństwo, czy istnieje poważne ryzyko, że dany inwestor zagraniczny angażuje się w nielegalną działalność lub działalność przestępczą, oraz czy dany inwestor zagraniczny znajduje się pod bezpośrednią lub pośrednią kontrolą rządu państwa trzeciego, w tym za sprawą subsydiów.
(14) Europol oferuje specjalistyczną wiedzę fachową w dziedzinie zwalczania poważnej przestępczości oraz terroryzmu. Na wniosek państwa członkowskiego personel Europolu powinien mieć możliwość zapewnienia właściwym organom tego państwa członkowskiego wsparcia operacyjnego na miejscu w zakresie działań operacyjnych i postępowań przygotowawczych, w szczególności poprzez ułatwianie transgranicznej wymiany informacji oraz zapewnianie wsparcia kryminalistycznego i technicznego w działaniach operacyjnych i postępowaniach przygotowawczych, m.in. w kontekście wspólnych zespołów dochodzeniowo-śledczych. Personel Europolu, na wniosek państwa członkowskiego, powinien być uprawniony do obecności podczas wykonywania czynności w ramach postępowania przygotowawczego w tym państwie członkowskim. Personel Europolu nie powinien być uprawniony do wykonywania czynności w ramach postępowania przygotowawczego.
(15) Jednym z celów Europolu jest wspieranie i wzmacnianie działania i wzajemnej współpracy właściwych organów państw członkowskich w zakresie zapobiegania formom przestępczości mającym wpływ na wspólny interes objęty polityką Unii i zwalczania tych form przestępczości. Aby wzmocnić to wsparcie, dyrektor wykonawczy Europolu (zwany dalej "dyrektorem wykonawczym") powinien mieć możliwość zwrócenia się do właściwych organów państwa członkowskiego by wszczęły, przeprowadziły lub skoordynowały one postępowanie przygotowawcze w sprawie przestępstwa, które dotyczy tylko tego państwa członkowskiego, lecz ma wpływ na wspólny interes objęty polityką Unii. Europol powinien informować Eurojust i w stosownych przypadkach Prokuraturę Europejską (EPPO) ustanowioną rozporządzeniem Rady (UE) 2017/1939 9 o każdym takim wniosku.
(16) Podawanie do wiadomości publicznej tożsamości i niektórych danych osobowych osób podejrzanych lub skazanych, które są poszukiwane na podstawie krajowego orzeczenia sądowego, zwiększa szanse państw członkowskich na zlokalizowanie i zatrzymanie takich osób. W celu wsparcia państw członkowskich w zlokalizowaniu i zatrzymaniu takich osób Europol powinien mieć możliwość publikowania na swojej stronie internetowej informacji o najbardziej poszukiwanych w Europie osobach ściganych, które popełniły przestępstwa objęte zakresem celów Europolu. W tym samym celu, Europol powinien ułatwiać obywatelom przekazywanie państwom członkowskim i Europolowi informacji o tych osobach.
(17) Europol, po tym jak ustali, że dane osobowe, które otrzymuje wchodzą w zakres jego celów, powinien móc przetwarzać te dane w następujących czterech sytuacjach. W pierwszej sytuacji, otrzymane dane osobowe odnoszą się do jednej z kategorii osób, których dane dotyczą, wymienionych w załączniku II do rozporządzenia (UE) 2016/794 ("załącznik II"). W drugiej sytuacji, otrzymane dane osobowe składają się z danych związanych z postępowaniem przygotowawczym, które zawierają dane nieodnoszące się do żadnej z kategorii osób, których dane dotyczą, wymienionych w załączniku II, ale zostały przekazane, na wniosek o wsparcie Europolu w ramach konkretnego postępowania przygotowawczego, przez państwo członkowskie, EPPO, Eurojust lub państwo trzecie, pod warunkiem że państwo członkowskie, EPPO, Eurojust lub państwo trzecie ma prawo przetwarzać takie dane, związane z postępowaniem przygotowawczym, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy prawa Unii i prawa krajowego. W tej sytuacji Europol powinien mieć możliwość przetwarzania tych danych związanych z postępowaniem przygotowawczym tak długo, jak wspiera on to konkretne postępowanie przygotowawcze. W trzeciej sytuacji, otrzymane dane osobowe mogą nie mieć związku z kategoriami osób, których dane dotyczą, wymienionych w załączniku II i nie zostały dostarczone na podstawie wniosku o wsparcie Europolu na rzecz konkretnego postępowania przygotowawczego. W tej sytuacji Europol powinien mieć możliwość zweryfikowania, czy te dane osobowe odnoszą się do jednej z tych kategorii osób, których dane dotyczą. W czwartej sytuacji, otrzymane dane osobowe zostały przedłożone do celów projektów w dziedzinie badań naukowych i innowacji i nie odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II.
(18) Zgodnie z art. 73 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 10 Europol ma, w stosownych przypadkach i w miarę możliwości, dokonać wyraźnego rozróżnienia między danymi osobowymi, które odnoszą się do poszczególnych kategorii osób, których dane dotyczą, wymienionych w załączniku II.
(19) W przypadku gdy państwa członkowskie korzystają z infrastruktury Europolu na potrzeby wymiany danych osobowych dotyczących przestępstw, które nie są objęte zakresem celów Europolu, Europol nie powinien mieć dostępu do tych danych i powinien być uznawany za "podmiot przetwarzający" w zgodnie z art. 87 rozporządzenia (UE) 2018/1725. W tych przypadkach, Europol powinien mieć możliwość przetwarzania tych danych, chociaż nie odnoszą się one do kategorii osób, których dane dotyczą, wymienionych w załączniku II. W przypadku gdy państwa członkowskie korzystają z infrastruktury Europolu na potrzeby wymiany danych osobowych dotyczących przestępstw, które są objęte zakresem celów Europolu, i gdy przyznają Europolowi dostęp do tych danych, wymogi związane z kategoriami osób, których dane dotyczą, wymienionymi w załączniku II powinny mieć zastosowanie do każdej innej operacji przetwarzania tych danych przez Europol.
(20) Z poszanowaniem zasady minimalizacji danych Europol powinien mieć możliwość weryfikowania, czy dane osobowe otrzymane w kontekście zapobiegania przestępstwom wchodzącym w zakres jego celów i zwalczania tych przestępstw odnoszą się do jednej z kategorii osób, których dane dotyczą, wymienionych w załączniku II. W tym celu Europol powinien mieć możliwość przeprowadzenia wstępnej analizy otrzymanych danych osobowych, wyłącznie w celu ustalenia, czy dane te odnoszą się do jednej ze wspomnianych kategorii osób, których dane dotyczą, poprzez porównywanie tych otrzymanych danych osobowych z danymi, które już posiada, bez dalszej analizy tych danych osobowych. Taka wstępna analiza powinna mieć miejsce, zanim Europol rozpocznie przetwarzanie danych na potrzeby kontroli krzyżowej, analizy strategicznej, analizy operacyjnej lub wymiany informacji, i należy ją przeprowadzić odrębnie od tego przetwarzania oraz po ustaleniu przez Europol, że określone dane są istotne i niezbędne do realizacji jego zadań. Po tym, jak Europol ustali, że te dane osobowe odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II, Europol powinien mieć możliwość przetwarzania tych danych osobowych na potrzeby kontroli krzyżowej, analizy strategicznej, analizy operacyjnej lub wymiany informacji. Jeśli Europol stwierdzi, że te dane osobowe nie odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II, powinien on usunąć te dane.
(21) Kategoryzacja danych osobowych w danym zbiorze danych może z czasem ulec zmianie w wyniku nowych informacji, które stały się dostępne w kontekście postępowań przygotowawczych, na przykład informacji na temat dodatkowych podejrzanych. Z tego względu Europol powinien mieć możliwość przetwarzania danych osobowych, gdy jest to absolutnie niezbędne i proporcjonalne do celów ustalenia kategorii osób, do których odnoszą się określone dane, przez okres nie dłuższy niż 18 miesięcy od momentu, gdy Europol ustali, że te dane są objęte zakresem jego celów. Europol powinien móc przedłużyć ten okres do trzech lat w należycie uzasadnionych przypadkach i pod warunkiem że przedłużenie tego okresu jest niezbędne i proporcjonalne. O przedłużeniu tego okresu należy poinformować Europejskiego Inspektora Ochrony Danych (EIOD). W przypadku gdy przetwarzanie danych osobowych do celów ustalenia kategorii osób, których dane dotyczą, nie jest już niezbędne i uzasadnione, a także każdorazowo po upływie maksymalnego okresu przetwarzania, Europol powinien usunąć dane osobowe.
(22) Ilość danych zbieranych w ramach postępowań przygotowawczych staje się coraz większa, a zbiory danych stają się coraz bardziej złożone. Państwa członkowskie przedkładają Europolowi duże i złożone zbiory danych, zwracając się do Europolu o przeprowadzenie analizy operacyjnej w celu zidentyfikowania powiązań z przestępstwami innymi niż przestępstwa objęte dochodzeniem w kontekście którego, zostały zebrane, oraz przestępcami w innych państwach członkowskich oraz poza granicami Unii. W związku z faktem, że Europol może wykryć takie powiązania transgraniczne bardziej skutecznie niż państwa członkowskie w drodze własnej analizy danych, Europol powinien mieć możliwość wspierania prowadzonych przez państwa członkowskie postępowań przygotowawczych poprzez przetwarzanie dużych i złożonych zbiorów danych w celu identyfikowania takich powiązań transgranicznych, pod warunkiem że odbywa się to zgodnie z rygorystycznymi wymogami i zabezpieczeniami określonymi w niniejszym rozporządzeniu. Jeśli jest to konieczne do wsparcia toczącego się konkretnego postępowania przygotowawczego w państwie członkowskim w sposób skuteczny, Europol powinien mieć możliwość przetwarzania danych związanych z postępowaniem przygotowawczym, które właściwe organy państw członkowskich mają prawo przetwarzać w ramach tego konkretnego postępowania przygotowawczego zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy ich prawa krajowego, a które następnie przedłożyły Europolowi. Powinno to obejmować dane osobowe, w przypadku których państwa członkowskie nie były w stanie ustalić, czy dane te odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II. Jeżeli państwo członkowskie, EPPO lub Eurojust dostarczają Europolowi dane związane z postępowaniem przygotowawczym, występując o wsparcie Europolu w toczącym się konkretnym postępowaniu przygotowawczym, Europol powinien mieć możliwość przetwarzania tych danych, tak długo, jak wspiera on to konkretne postępowanie przygotowawcze, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na podstawie prawa Unii lub prawa krajowego.
(23) W celu zapewnienia, aby dane były przetwarzane w kontekście postępowania przygotowawczego w zakresie, w jakim jest to niezbędne i proporcjonalne, państwa członkowskie powinny zagwarantować przestrzeganie prawa Unii i prawa krajowego przy przedkładaniu Europolowi danych związanych z postępowaniem przygotowawczym. Przy przedkładaniu Europolowi danych związanych z postępowaniem przygotowawczym, w celu wystąpienia do niego o wsparcie w konkretnym postępowaniu przygotowawczym, państwa członkowskie powinny wziąć pod uwagę skalę i złożoność przetwarzania danych oraz rodzaj i znaczenie tego postępowania przygotowawczego. Państwa członkowskie powinny poinformować Europol, zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy swojego prawa krajowego, gdy nie mają już prawa do przetwarzania danych w ramach danego toczącego się konkretnego postępowania przygotowawczego. Europol powinien wyłącznie przetwarzać dane osobowe, które nie odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II, jeżeli ocenia on, że nie jest możliwe wsparcie toczącego się konkretnego postępowania przygotowawczego bez przetwarzania tych danych osobowych. Europol powinien udokumentować tę ocenę. Europol powinien przechowywać takie dane, funkcjonalnie oddzielnie od innych danych, i przetwarzać je tylko wtedy, gdy jest to niezbędne do wsparcia danego toczącego się konkretnego postępowania przygotowawczego, np. w przypadku nowego tropu.
(24) Europol powinien również mieć możliwość przetwarzania danych osobowych, które są niezbędne do wspierania przez niego konkretnego postępowania przygotowawczego prowadzonego w co najmniej jednym państwie członkowskim, jeżeli dane te dostarczane są przez państwo trzecie, pod warunkiem że: to państwo trzecie podlega decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 11 (zwanej dalej "decyzją stwierdzającą odpowiedni stopień ochrony"); została zawarta umowa międzynarodową między tym państwem trzecim a Unią na podstawie art. 218 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), obejmująca przekazywanie danych osobowych do celów egzekwowania prawa (zwana dalej "umową międzynarodową") została zawarta umowa o współpracy umożliwiająca wymianę danych osobowych między Europolem a tym państwem trzecim przed wejściem w życie rozporządzenia (UE) 2016/794 (zwana dalej "umową o współpracy"); lub odpowiednie zabezpieczenia w zakresie ochrony danych osobowych są przewidziane w prawnie wiążącym instrumencie lub Europol stwierdza, na podstawie oceny wszystkich okoliczności towarzyszących przekazaniu danych osobowych, że te zabezpieczenia istnieją w tym państwie trzecim, oraz pod warunkiem że to państwo trzecie uzyskało te dane w ramach postępowania przygotowawczego zgodnie z wymogami i zabezpieczeniami proceduralnymi mającymi zastosowanie na mocy jego krajowego prawa karnego. Jeżeli państwo trzecie dostarcza dane związane z postępowaniem przygotowawczym Europolowi, Europol powinien zweryfikować, czy ilość danych osobowych nie jest w wyraźny sposób nieproporcjonalna w odniesieniu do wspieranego przez Europol, konkretnego postępowania przygotowawczego w danym państwie członkowskim oraz, w miarę możliwości, czy nie istnieją obiektywne przesłanki wskazujące, że dane związane z postępowaniem przygotowawczym zostały zebrane w państwie trzecim w sposób, który stanowi oczywiste naruszenie praw podstawowych. Jeżeli Europol stwierdzi, że warunki te nie zostały spełnione, nie powinien on przetwarzać takich danych i powinien je usunąć. W przypadku gdy państwo trzecie dostarcza Europolowi dane związane z postępowaniem przygotowawczym, w stosownych przypadkach inspektor ochrony danych Europolu powinien mieć możliwość powiadomienia o tym EIOD.
(25) W celu zapewnienia, aby państwo członkowskie mogło wykorzystywać sprawozdania analityczne Europolu w kontekście postępowania sądowego w następstwie postępowania przygotowawczego, Europol powinien mieć możliwość - na wniosek tego państwa członkowskiego, EPPO lub Eurojustu - przechowywania danych związanych z odnośnym postępowaniem przygotowawczym na potrzeby zapewnienia prawdziwości, wiarygodności i identyfikowalności procesu wywiadu kryminalnego. Europol powinien przechowywać takie dane w sposób funkcjonalnie oddzielny od innych danych i tylko przez okres trwania postępowania sądowego związanego z tym postępowaniem przygotowawczym w danym państwie członkowskim. Ponadto, istnieje potrzeba zapewnienia dostępu właściwym organom sądowym, a także praw do obrony, w szczególności prawa dostępu do materiałów sprawy dla osób podejrzanych, oskarżonych lub ich adwokatów. W tym celu Europol powinien rejestrować wszystkie dowody i metody ich sporządzenia lub uzyskania przez Europol, aby umożliwić skuteczną kontrolę dowodów przez obronę.
(26) Europol powinien mieć możliwość przetwarzania otrzymanych danych osobowych przed wejściem w życie niniejszego rozporządzenia, które nie odnoszą się do kategorii osób, których dane dotyczą, wymienionych w załączniku II zgodnie z niniejszym rozporządzeniem w dwóch sytuacjach. W pierwszej sytuacji, Europol powinien mieć możliwość przetwarzania takich danych osobowych, by wesprzeć postępowanie przygotowawcze lub by zapewnić prawdziwość, wiarygodność i identyfikowalność procesu wywiadu kryminalnego, pod warunkiem że wymogi określone w tymczasowych ustaleniach dotyczących przetwarzania otrzymanych danych osobowych w ramach wspierania postępowania przygotowawczego będą przestrzegane. W drugiej sytuacji Europol powinien mieć również możliwość zweryfikowania, czy takie dane osobowe odnoszą się do jednej z kategorii osób, których dane dotyczą, wymienionych w załączniku II, poprzez prowadzenie wstępnej analizy tych danych osobowych przez okres nie dłuższy niż 18 miesięcy, licząc od dnia otrzymania danych po raz pierwszy, lub - w uzasadnionych przypadkach oraz po uzyskaniu uprzedniej zgody EIOD - przez dłuższy okres. Maksymalny okres przetwarzania danych osobowych do celów takiej wstępnej analizy nie powinien przekroczyć trzech lat, licząc od dnia otrzymania danych przez Europol po raz pierwszy.
(27) Przypadki poważnej przestępczości lub terroryzmu o charakterze transgranicznym wymagają ścisłej współpracy między właściwymi organami zainteresowanych państw członkowskich. Europol oferuje narzędzia wspierające taką współpracę w ramach postępowań przygotowawczych, w szczególności poprzez wymianę informacji. Aby jeszcze bardziej wzmocnić taką współpracę w ramach konkretnych postępowań przygotowawczych w drodze wspólnej analizy operacyjnej, państwa członkowskie powinny mieć możliwość zezwalania innym państwom członkowskim na bezpośredni dostęp do informacji, które przekazały Europolowi, niezależnie od wszelkich ogólnych lub szczegółowych ograniczeń, które wskazały w przypadku dostępu do tych informacji. Przetwarzanie danych osobowych przez państwa członkowskie w ramach wspólnej analizy operacyjnej powinno się odbywać zgodnie z niniejszym rozporządzeniem oraz dyrektywą (UE) 2016/680.
(28) Europol i EPPO powinny dokonać uzgodnień roboczych określających sposoby ich współpracy, z należytym uwzględnieniem ich właściwych kompetencji Europol powinien ściśle współpracować z EPPO oraz -aktywnie wspierać postępowania przygotowawcze na jej wniosek, w tym udzielając wsparcia analitycznego i przekazując istotne informacje. Europol powinien również współpracować z EPPO od momentu, w którym EPPO zostanie poinformowana o podejrzeniu popełnienia przestępstwa, aż do momentu podjęcia przez EPPO decyzji o wniesieniu oskarżenia lub zakończenia sprawy w inny sposób. Europol powinien bez zbędnej zwłoki informować EPPO o każdym czynie zabronionym, w sprawie którego mogłaby ona wykonywać swoje kompetencje. Aby poprawić współpracę operacyjną między Europolem i EPPO, Europol powinien umożliwić EPPO dostęp do danych będących w jego posiadaniu, w oparciu o system trafieniowy (figuruje/nie figuruje), który powiadamia Europol jedynie w przypadku trafienia, zgodnie z niniejszym rozporządzeniem, w tym ograniczeniami wskazanymi przez podmiot, który przekazał Europolowi dane. Jeśli informacje są objęte ograniczeniem wskazanym przez państwo członkowskie, Europol powinien przekazać sprawę temu państwu członkowskiego, aby mogło ono wywiązać się ze swoich obowiązków ciążących na nim na mocy rozporządzenia (UE) 2017/1939. Dane państwo członkowskie powinno następnie poinformować EPPO zgodnie ze swoją procedurą krajową. Do współpracy Europolu z EPPO powinny mieć zastosowanie zasady przesyłania danych osobowych organom Unii określone w niniejszym rozporządzeniu. Europol powinien być również w stanie wspierać postępowania przygotowawcze prowadzone przez EPPO poprzez analizę dużych i złożonych zbiorów danych osobowych zgodnie z zabezpieczeniami i gwarancjami ochrony danych przewidzianymi w niniejszym rozporządzeniu.
(29) Europol powinien ściśle współpracować z Europejskim Urzędem ds. Zwalczania Nadużyć Finansowych (OLAF) w celu wykrywania oszustw, korupcji i innej nielegalnej działalności naruszającej interesy finansowe Unii. W związku z tym Europol powinien bez zbędnej zwłoki przesyłać OLAF wszelkie informacje, w odniesieniu do których OLAF mógłby wykonywać swoje kompetencje. Do współpracy Europolu z OLAF powinny mieć zastosowanie zasady przesyłania danych osobowych organom Unii określone w niniejszym rozporządzeniu.
(30) Powiązania poważnej przestępczości i terroryzmu często sięgają poza terytorium Unii. Europol może prowadzić wymianę danych osobowych z państwami trzecimi, jednocześnie chroniąc prywatność oraz podstawowe prawa i wolności osób, których dane dotyczą. W sytuacji gdy jest to niezbędne do prowadzenia postępowania przygotowawczego w sprawie konkretnych przestępstw objętych zakresem celów Europolu, dyrektor wykonawczy powinien mieć możliwość, w indywidualnych przypadkach, wyrażania zgody, na określoną kategorię przekazań danych osobowych do państw trzecich, gdy taka kategoria przekazań odnosi się do tej samej konkretnej sytuacji, obejmuje te same kategorie danych osobowych i te same kategorie osób, których dane dotyczą, jest niezbędna i proporcjonalna do celu prowadzenia postępowania przygotowawczego w sprawie konkretnego przestępstwa oraz spełnia wszystkie wymogi określone w niniejszym rozporządzeniu. Powinno być możliwe, by poszczególne operacje przekazania objęte kategorią przekazań obejmowały tylko niektóre z kategorii danych osobowych i kategorii osób, których dane dotyczą, na których przekazanie zgadza się dyrektor wykonawczy. Powinno być również możliwe dopuszczanie kategorii przekazań danych osobowych w następujących konkretnych sytuacjach: gdy przekazanie danych osobowych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby; gdy przekazanie danych osobowych ma zasadnicze znaczenie dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; gdy celem przekazania danych osobowych jest zabezpieczenie uzasadnionych interesów osoby, której dane dotyczą; lub w indywidualnych przypadkach jest niezbędne do zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar; lub dla ustalenia, dochodzenia lub obrony roszczeń w związku z zapobieganiem określonemu przestępstwu, prowadzeniem postępowania przygotowawczego w jego sprawie, wykryciem go lub ściganiem albo wykonaniem konkretnej kary.
(31) Przekazania, które nie odbywają się na podstawie zgody dyrektora wykonawczego, decyzji stwierdzającej odpowiedni stopień ochrony, umowy międzynarodowej lub umowy o współpracy, powinny być dopuszczalne jedynie w przypadku, gdy odpowiednie zabezpieczenia w zakresie ochrony danych osobowych są przewidziane w prawnie wiążącym instrumencie lub gdy Europol stwierdza, na podstawie oceny wszystkich okoliczności towarzyszących przekazaniu danych osobowych, że istnieją takie zabezpieczenia. Na potrzeby tej oceny, Europol powinien być w stanie uwzględnić dwustronne umowy o współpracy zawarte przez państwa członkowskie z państwami trzecimi, pozwalające na wymianę danych osobowych oraz jeżeli przekazanie danych osobowych ma podlegać obowiązkom zachowania poufności i zasadzie ograniczonego celu, co pozwoli zapewnić, aby dane nie były przetwarzane do celów innych niż przekazanie. Ponadto ważne jest, by Europol wziął pod uwagę to, czy dane osobowe mogłyby służyć do zażądania, orzeczenia lub wykonania kary śmierci ani do jakiejkolwiek formy okrutnego lub nieludzkiego traktowania. Europol powinien mieć możliwość zażądania dodatkowych zabezpieczeń.
(32) Aby wspierać państwa członkowskie w ich współpracy z podmiotami prywatnymi, w przypadku gdy podmioty te posiadają informacje istotne z punktu widzenia zapobiegania poważnej przestępczości i terroryzmowi oraz ich zwalczania, Europol powinien mieć możliwość otrzymywania danych osobowych od podmiotów prywatnych - a w określonych przypadkach, gdy jest to niezbędne i proporcjonalne - wymiany danych osobowych z takimi podmiotami.
(33) Przestępcy coraz częściej korzystają z usług oferowanych przez podmioty prywatne na potrzeby komunikowania się i prowadzenia nielegalnej działalności. Przestępcy seksualni wykorzystują dzieci, a następnie udostępniają na całym świecie na platformach internetowych lub w kontaktach z innymi przestępcami za pośrednictwem usług łączności interpersonalnej niewykorzystujących numerów zdjęcia i filmy stanowiące materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych. Terroryści wykorzystują usługi oferowane przez dostawców usług online do rekrutowania ochotników, planowania i koordynowania ataków oraz rozpowszechniania materiałów propagandowych. Cyberprzestępcy odnoszą korzyści z transformacji cyfrowej naszych społeczeństw oraz braku umiejętności cyfrowych, w tym alfabetyzacji cyfrowej w społeczeństwie, wykorzystując phishing i inżynierię społeczną do popełniania innych rodzajów cyberprzestępstw, takich jak oszustwa internetowe, ataki z wykorzystaniem oprogramowania szantażującego lub wyłudzenia przelewu. Ponieważ przestępcy coraz częściej korzystają z usług online, podmioty prywatne są w posiadaniu coraz większych ilości danych osobowych, w tym danych abonenta, danych o ruchu i danych dotyczących treści, które mogą być istotne w kontekście postępowań przygotowawczych.
(34) Ze względu na ponadgraniczny charakter internetu możliwe jest, że dostawca usług online i infrastruktura cyfrowa, w której przechowywane są dane osobowe, podlegają różnym jurysdykcjom krajowym w Unii albo poza nią. Podmioty prywatne mogą zatem posiadać zbiory danych, które są istotne w kontekście ścigania przestępstw oraz które obejmują dane osobowe, które wchodzą w zakres wielu jurysdykcji, jak również dane osobowe, których nie można łatwo przypisać do żadnej konkretnej jurysdykcji. Właściwe organy państw członkowskich mogą mieć trudności ze skuteczną analizą zbiorów danych, które dotyczą wielu jurysdykcji lub których nie można przypisać do żadnej z nich przy wykorzystaniu rozwiązań krajowych. Ponadto, nie istnieje obecnie pojedynczy punkt kontaktowy dla podmiotów prywatnych, które decydują się na zgodne z prawem i dobrowolne udostępnienie zbiorów danych właściwym organom państw członkowskich. Odpowiednio, Europol powinien dysponować środkami ułatwiającymi współpracę z podmiotami prywatnymi, w tym w odniesieniu do wymiany informacji.
(35) Aby zapewnić podmiotom prywatnym punkt kontaktowy na poziomie Unii na potrzeby zgodnego z prawem i dobrowolnego dostarczania zbiorów danych dotyczących wielu jurysdykcji lub zbiorów danych, których nie można łatwo przypisać do jednej lub kilku konkretnych jurysdykcji, Europol powinien mieć możliwość otrzymywania danych osobowych bezpośrednio od podmiotów prywatnych w celu zapewnienia państwom członkowskim informacji niezbędnych do ustalenia jurysdykcji oraz do prowadzenia postępowań przygotowawczych w sprawie przestępstw w ramach odnośnych jurysdykcji tych państw, zgodnie z niniejszym rozporządzeniem. Informacje te mogłyby zawierać sprawozdania dotyczące moderowanych treści, co do których można racjonalnie przypuszczać, że są powiązane z działalnością przestępczą, która wchodzi w zakres celów Europolu.
(36) Aby zapewnić otrzymywanie przez państwa członkowskie informacji niezbędnych do wszczynania postępowań przygotowawczych w celu zapobiegania poważnej przestępczości i terroryzmowi oraz ich zwalczania bez zbędnej zwłoki, Europol powinien mieć możliwość przetwarzania i analizowania danych osobowych na potrzeby identyfikacji zainteresowanych jednostek krajowych oraz przekazywania tym jednostkom krajowym dane osobowe i wyniki analizy i weryfikacji takich danych, które są istotne dla ustalenia jurysdykcji i do prowadzenia postępowań przygotowawczych w sprawie tych przestępstw w ramach odnośnych jurysdykcji tych jednostek. Europol powinien mieć również możliwość przekazywania danych osobowych i wyników analizy i weryfikacji takich danych, które są istotne w celu ustalenia jurysdykcji zainteresowanym punktom kontaktowym lub organom państw trzecich, które podlegają decyzji stwierdzającej odpowiedni stopień ochrony lub z którymi zawarta została umowa międzynarodowa lub umowa o współpracy, lub w przypadku gdy w prawnie wiążącym instrumencie przewidziane zostały odpowiednie zabezpieczenia w zakresie ochrony danych osobowych lub gdy Europol stwierdza, na podstawie oceny wszystkich okoliczności towarzyszących przekazaniu danych osobowych, że istnieją takie zabezpieczenia w tych państwach trzecich. W przypadku gdy zainteresowane państwo trzecie nie podlega decyzji stwierdzającej odpowiedni stopień ochrony lub nie jest stroną umowy międzynarodowej lub umowy o współpracy lub gdy nie istnieją prawnie wiążące instrumenty lub gdy Europol nie stwierdził istnienia odpowiednich zabezpieczeń, Europol powinien mieć możliwość przekazania wyników swojej analizy i weryfikacji takich danych temu zainteresowanemu państwu trzeciemu zgodnie z niniejszym rozporządzeniem.
(37) Zgodnie z rozporządzeniem (UE) 2016/794, w niektórych przypadkach i z zastrzeżeniem warunków, może być niezbędne i proporcjonalne do celów przekazania przez Europol danych osobowych podmiotom prywatnym, które nie mają siedziby w Unii ani w państwie trzecim, które podlega decyzji stwierdzającej odpowiedni stopień ochrony lub z którym zawarta została umowa międzynarodowa lub umowa o współpracy lub w przypadku gdy w prawnie wiążącym instrumencie nieprzewidziane zostały odpowiednie zabezpieczenia w zakresie ochrony danych osobowych lub Europol nie stwierdził, że istnieją odpowiednie zabezpieczenia. W takich przypadkach przekazanie danych powinno podlegać uprzedniej zgodzie dyrektora wykonawczego.
(38) W celu zapewnienia, aby Europol mógł zidentyfikować wszystkie odpowiednie zainteresowane jednostki krajowe, powinien mieć możliwość informowania podmiotów prywatnych, w przypadku gdy informacje, które one dostarczają, są niewystarczające, by był w stanie zidentyfikować zainteresowane jednostki krajowe. Dzięki temu te podmioty prywatne mogłyby podjąć decyzję, czy udostępnienie Europolowi dodatkowych informacji leży w ich interesie i czy mogą to zrobić zgodnie z prawem. W tym celu Europol powinien mieć możliwość poinformowania podmiotów prywatnych o brakujących informacjach, o ile jest to absolutnie niezbędne wyłącznie w celu zidentyfikowania zainteresowanych jednostek krajowych. Przekazywanie podmiotom prywatnym informacji z Europolu powinno być objęte specjalnymi zabezpieczeniami, w przypadku gdy zainteresowany podmiot prywatny nie ma siedziby na terytorium Unii ani w państwie trzecim, które podlega decyzji stwierdzającej odpowiedni stopień ochrony lub z którym zawarta została umowa międzynarodowa lub umowa o współpracy, lub w przypadku gdy w prawnie wiążącym instrumencie nie zostały przewidziane odpowiednie zabezpieczenia w zakresie ochrony danych osobowych lub Europol nie stwierdził, że istnieją odpowiednie zabezpieczenia.
(39) W przypadku gdy państwa członkowskie, państwa trzecie, organizacje międzynarodowe lub podmioty prywatne udostępniają Europolowi zbiory danych dotyczących wielu jurysdykcji lub zbiory danych, których nie można przypisać do jednej lub kilku konkretnych jurysdykcji, możliwe jest, że te zbiory danych są połączone z danymi osobowymi będącymi w posiadaniu podmiotów prywatnych. W takich przypadkach Europol powinien mieć możliwość wysłania do państw członkowskich - za pośrednictwem ich jednostek krajowych - wniosku o uzyskanie niezbędnych danych osobowych w posiadaniu podmiotów prywatnych, które mają siedzibę lub przedstawiciela prawnego na terytorium tych państw członkowskich. Taki wniosek powinno składać się wyłącznie, jeżeli uzyskanie dodatkowych informacji od podmiotów prywatnych jest konieczne celem zidentyfikowania zainteresowanych jednostek krajowych. Wniosek powinien zawierać uzasadnienie i być w jak największym stopniu precyzyjny. Odpowiednie dane osobowe, które powinny być możliwie jak najmniej wrażliwe i ściśle ograniczone do tego, co jest niezbędne i proporcjonalne w celu zidentyfikowania zainteresowanych jednostek krajowych, należy dostarczyć Europolowi zgodnie z obowiązującymi przepisami zainteresowanych państw członkowskich. Właściwe organy zainteresowanych państw członkowskich powinny ocenić wniosek Europolu i podjąć decyzję, zgodnie z ich przepisami krajowymi, o tym, czy go zaakceptować. Wszelkie przetwarzanie danych przez podmioty prywatne, przeprowadzane podczas analizowania wniosku złożonego przez właściwe organy państw członkowskich, powinno nadal być prowadzone zgodnie z obowiązującymi przepisami, w szczególności w odniesieniu do ochrony danych. Podmioty prywatne powinny dostarczać właściwym organom państw członkowskich dane, o które wystąpiły one celem dalszego przesłania ich Europolowi. W wielu przypadkach może okazać się, że zainteresowane państwa członkowskie nie mogą ustalić związku z własną jurysdykcją innego niż fakt, że podmiot prywatny dysponujący określonymi danymi ma siedzibę lub przedstawiciela prawnego na terytorium objętym ich jurysdykcją. Niezależnie od tego, czy mają one jurysdykcję w odniesieniu do konkretnego przestępstwa, państwa członkowskie powinny w każdym wypadku zapewnić swoim właściwym organom możliwość uzyskania danych osobowych od podmiotów prywatnych na potrzeby przekazywania Europolowi informacji niezbędnych do realizacji jego celów, przy pełnym poszanowaniu gwarancji proceduralnych przewidzianych w ich przepisach krajowych.
(40) Aby Europol nie przetrzymywał dłużej, niż jest to konieczne, danych osobowych otrzymanych bezpośrednio od podmiotów prywatnych do celów zidentyfikowania zainteresowanych jednostek krajowych, powinny go obowiązywać ograniczenia czasowe dotyczące przechowywania danych osobowych. Gdy Europol wyczerpie wszystkie dostępne mu środki pozwalające na identyfikację wszystkich zainteresowanych jednostek krajowych i nie może w uzasadniony sposób spodziewać się, że uda mu się zidentyfikować kolejne zainteresowane jednostki krajowe, przechowywanie tych danych osobowych nie jest już niezbędne ani proporcjonalne w celu identyfikacji zainteresowanych jednostek krajowych. Europol powinien usunąć dane osobowe w terminie czterech miesięcy od ostatniego ich przesłania, przekazać je jednostce krajowej albo przekazać je punktowi kontaktowemu państwa trzeciego lub organowi państwa trzeciego, chyba że zgodnie z prawem Unii i prawem krajowym zainteresowana jednostka krajowa, zainteresowany punkt kontaktowy lub zainteresowany organ ponownie przedłożą te dane osobowe Europolowi jako swoje dane w tym okresie. Jeżeli ponownie przedłożone dane osobowe stanowiły część większego zbioru danych osobowych, Europol powinien nadal przechowywać tylko te dane osobowe, które zostały ponownie przedłożone przez zainteresowaną jednostkę krajową, zainteresowany punkt kontaktowy lub zainteresowany organ.
(41) Współpraca Europolu z podmiotami prywatnymi nie powinna powielać ani zakłócać działań jednostek analityki finansowej (FIU), ustanowionych zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/849 12 i powinna dotyczyć wyłącznie informacji, które nie zostały jeszcze przekazane tym jednostkom zgodnie z tą dyrektywą. Europol powinien nadal współpracować z jednostkami analityki finansowej, szczególnie za pośrednictwem jednostek krajowych.
(42) Europol powinien mieć możliwość zapewnienia właściwym organom państw członkowskich niezbędnego wsparcia w zakresie kontaktów z podmiotami prywatnymi, w szczególności poprzez udostępnianie niezbędnej infrastruktury służącej do takich kontaktów, na przykład gdy właściwe organy państw członkowskich kierują informacje o treściach o charakterze terrorystycznym zamieszczonych w internecie do dostawców usług online, wysyłają do nich nakazy usunięcia takich treści zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/784 13 lub prowadzą z podmiotami prywatnymi wymianę informacji w kontekście cyberataków. W przypadku gdy państwa członkowskie korzystają z infrastruktury Europolu na potrzeby wymiany danych osobowych dotyczących przestępstw, które wykraczają poza zakres celów Europolu, Europol nie powinien mieć dostępu do tych danych. Europol powinien zadbać za pomocą środków technicznych o to, by rola jego infrastruktury ograniczała się ściśle do zapewniania kanału do takich kontaktów między właściwymi organami państw członkowskich a podmiotem prywatnym i by Europol zapewniał wszelkie niezbędne zabezpieczenia przed dostępem podmiotu prywatnego do jakichkolwiek innych informacji w systemach Europolu, które to informacje nie są związane z wymianą z tym podmiotem prywatnym.
(43) Ataki terrorystyczne uruchamiają rozpowszechnianie na szeroką skalę za pośrednictwem platform internetowych treści o charakterze terrorystycznym przedstawiających szkodę stanowiącą zagrożenie życia lub integralności cielesnej lub nawołujących do spowodowania takiej bezpośredniej szkody, co umożliwia gloryfikację terroryzmu i szkolenie na potrzeby terroryzmu, a ostatecznie radykalizację i rekrutację innych osób. Ponadto wzmożone wykorzystywanie internetu do nagrywania lub udostępniania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych utrwala krzywdę ofiar, ponieważ materiały te można łatwo powielać i rozpowszechniać. W celu zapobiegania przestępstwom wchodzącym w zakres celów Europolu i zwalczania tych przestępstw Europol powinien mieć możliwość wspierania działań podejmowanych przez państwa członkowskich w celu skutecznego przeciwdziałania rozpowszechnianiu - w kontekście sytuacji kryzysowych wywołanych publikacją w internecie - treści o charakterze terrorystycznym odwołujących się do aktualnych lub niedawnych wydarzeń w świecie rzeczywistym, rozpowszechnianiu materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, a także powinien mieć możliwość wspierania działań podejmowanych przez dostawców usług online zgodnie z ich obowiązkami na mocy prawa Unii i działania podejmowane przez nich dobrowolnie. W tym celu Europol powinien mieć możliwość prowadzenia wymiany odpowiednich danych osobowych, w tym niepowtarzalnego, nieprzekształcalnego podpisu cyfrowego (zwanego dalej "skrótem"), adresów IP lub adresów URL związanych z takimi treściami, z podmiotami prywatnymi mającymi siedzibę w Unii lub w państwie trzecim, które podlega decyzji stwierdzającej odpowiedni stopień ochrony, lub - w przypadku braku takiej decyzji - z którym została zawarta umowa międzynarodowa lub umowa o współpracy lub gdy w prawnie wiążącym instrumencie przewidziane zostały odpowiednie zabezpieczenia w zakresie ochrony danych osobowych lub Europol stwierdza, na podstawie oceny wszystkich okoliczności towarzyszących przekazaniu danych osobowych, że istnieją takie zabezpieczenia w tym państwie trzecim. Takie wymiany danych osobowych powinny mieć miejsce wyłącznie w celu usuwania treści terrorystycznych i materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych, w szczególności jeżeli istnieje przewidywane potencjalne ryzyko narastającego zwielokrotnienia i rozprzestrzeniania się tych treści i materiałów za pośrednictwem różnorodnych dostawców usług online. Żaden z przepisów niniejszego rozporządzenia nie powinien być rozumiany jako uniemożliwiający państwom członkowskim stosowanie nakazów usunięcia, o których mowa w rozporządzeniu (UE) 2021/784 jako instrumentu przeciwdziałania treściom o charakterze terrorystycznym w internecie.
(44) Aby zapobiec powielaniu wysiłków i ewentualnemu zakłócaniu postępowań przygotowawczych oraz aby ograniczyć do minimum obciążenia spoczywające na objętych przepisami dostawcach usług hostingowych, Europol powinien pomagać właściwym organom państw członkowskich, wymieniać z nimi informacje i współpracować z nimi w zakresie przesyłania i przekazywania danych osobowych podmiotom prywatnym w celu reagowania na sytuacje kryzysowe wywołane publikacją w internecie lub zwalczania rozpowszechniania materiałów internetowych przedstawiających niegodziwe traktowanie dzieci w celach seksualnych.
(45) W rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 określono zasady ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii. Mimo iż rozporządzenie (UE) 2018/1725 ma zastosowanie do przetwarzania przez Europol administracyjnych danych osobowych niezwiązanych z postępowaniami przygotowawczymi, takich jak dane personelu, art. 3 pkt 2 i rozdział IX tego rozporządzenia, które regulują przetwarzanie danych osobowych, nie mają obecnie zastosowania do Europolu. Aby zapewnić jednolitą i spójną ochronę osób fizycznych w kontekście przetwarzania danych osobowych, należy stosować rozdział IX rozporządzenia (UE) 2018/1725 do Europolu, zgodnie z art. 2 ust. 2 tego rozporządzenia, i uzupełnić go o przepisy szczegółowe dotyczące konkretnych operacji przetwarzania danych, które Europol powinien wykonywać w celu realizacji swoich zadań. Dlatego też należy wzmocnić uprawnienia nadzorcze EIOD w odniesieniu do operacji przetwarzania Europolu, zgodnie z odpowiednimi uprawnieniami mającymi zastosowanie do przetwarzania administracyjnych danych osobowych, które to uprawnienia dotyczą wszystkich instytucji, organów i jednostek organizacyjnych Unii na mocy rozdziału VI rozporządzenia (UE) 2018/1725. W tym celu, w przypadku przetwarzania danych osobowych do celów operacyjnych przez Europol, EIOD powinien mieć możliwość żądania od Europolu, by zapewnił zgodność operacji przetwarzania z przepisami niniejszego rozporządzenia oraz nakazania zawieszenia przepływów danych do odbiorcy w państwie członkowskim, państwie trzecim lub organizacji międzynarodowej oraz powinien mieć możliwość nałożenia kary administracyjnej w przypadku niezastosowania się do tego żądania przez Europol.
(46) Przetwarzanie danych do celów niniejszego rozporządzenia może wiązać się z przetwarzaniem szczególnych kategorii danych osobowych określonych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 14 . Przetwarzania fotografii nie należy rutynowo uznawać za przetwarzanie szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych biometrycznych" na mocy art. 3 pkt 18 rozporządzenia (UE) 2018/1725 tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.
(47) Ważnym zabezpieczeniem w odniesieniu do nowych rodzajów operacji przetwarzania jest mechanizm uprzednich konsultacji angażujący EIOD, określony w rozporządzeniu (UE) 2018/1725. Jednakże mechanizm ten nie powinien mieć zastosowania do prowadzenia konkretnych indywidualnych działań operacyjnych, takich jak projekty analizy operacyjnej, lecz do wykorzystywania nowych technologii informatycznych (IT) do przetwarzania danych osobowych oraz do wszelkich istotnych zmian tych technologii, które wiązałyby się z wysokim ryzykiem dla praw i wolności podmiotów danych. Termin, w jakim powinno wymagać się od EIOD na przedstawienie pisemnej porady w sprawie takich konsultacji, nie powinien ulegać zawieszaniu. W przypadku czynności przetwarzania mających istotne znaczenie dla wykonywania przez Europol zadań, które są szczególnie pilne, Europol powinien mieć możliwość w drodze wyjątku rozpoczęcia przetwarzania po rozpoczęciu uprzedniej konsultacji, nawet jeśli termin na przedstawienie pisemnej porady przez EIOD jeszcze nie upłynął. Może się okazać, że dane działanie przetwarzania ma istotne znaczenie dla wykonywania przez Europol jego zadań, gdy przetwarzanie jest niezbędne do zapobieżenia bezpośredniemu zagrożeniu przestępstwem podlegającym kompetencjom Europolu oraz do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby. Inspektor ochrony danych Europolu powinien być zaangażowany w ocenę pilnego charakteru i konieczności takiego przetwarzania przed upływem terminu, jaki przysługuje EIOD na odpowiedź w ramach uprzednich konsultacji. Inspektor ochrony danych Europolu powinien nadzorować takie przetwarzanie. EIOD powinien mieć możliwość korzystania ze swoich uprawnień w odniesieniu do takiego przetwarzania.
(48) Z uwagi na wyzwania dla bezpieczeństwa Unii wynikające z szybkiego rozwoju technologicznego i wykorzystywania nowych technologii przez terrorystów i innych przestępców, właściwe organy państw członkowskich muszą wzmocnić swoje zdolności technologiczne w zakresie identyfikacji, zabezpieczania i analizy danych potrzebnych do prowadzenia postępowań przygotowawczych w sprawie przestępstw. Europol powinien mieć możliwość wspierania państw członkowskich w wykorzystywaniu powstających technologii oraz w badaniu nowych podejść i rozwijaniu wspólnych rozwiązań technologicznych dla państw członkowskich, aby skuteczniej zapobiegać przestępstwom wchodzącym w zakres celów Europolu oraz je zwalczać. Jednocześnie, Europol powinien zapewniać, by rozwijanie, wykorzystywanie i wdrażanie nowych technologii opierało się na zasadach przejrzystości, wyjaśnialności, sprawiedliwości i rozliczalności, nie podważało podstawowych praw i wolności oraz było zgodne z prawem Unii. W tym celu Europol powinien mieć możliwość prowadzenia projektów w dziedzinie badań naukowych i innowacji w odniesieniu do kwestii objętych niniejszym rozporządzeniem w ramach ogólnego zakresu projektów w dziedzinie badań naukowych i innowacji ustanowionego przez zarząd w wiążącym dokumencie. Taki dokument powinien być w stosownych przypadkach aktualizowany i udostępniany EIOD. Projekty te powinny móc obejmować przetwarzanie danych osobowych wyłącznie w przypadkach, gdy spełnione są pewne warunki, mianowicie w sytuacji, gdy przetwarzanie danych osobowych jest ściśle wymagane, cel danego projektu nie może zostać osiągnięty poprzez wykorzystanie danych nieosobowych, w tym syntetycznych lub anonimowych, i zapewnione jest pełne poszanowanie praw podstawowych, w szczególności niedyskryminacji.
Przetwarzanie szczególnych kategorii danych osobowych do celów badań naukowych i innowacji powinno być dozwolone tylko wtedy, gdy jest to absolutnie niezbędne. Ze względu na wrażliwy charakter takiego przetwarzania należy zastosować odpowiednie dodatkowe zabezpieczenia, w tym pseudonimizację. Aby zapobiegać stronniczości w algorytmicznym podejmowaniu decyzji, Europol powinien być uprawniony do przetwarzania danych osobowych nienależących do kategorii osób, których dane dotyczą, wymienionych w załączniku II. Europol powinien prowadzić rejestry wszystkich operacji przetwarzania danych osobowych przeprowadzanych w kontekście swoich projektów w dziedzinie badań naukowych i innowacji w celu zweryfikowania dokładności wyniku przetwarzania danych i wyłącznie tak długo, jak długo jest to niezbędne do tej weryfikacji. Przepisy dotyczące opracowania nowych narzędzi przez Europol nie powinny stanowić podstawy prawnej do ich wdrożenia na szczeblu unijnym lub krajowym. Aby pobudzać innowacje i wzmacniać synergie w projektach w dziedzinie badań naukowych i innowacji, ważne jest, aby Europol zintensyfikował współpracę z odpowiednimi sieciami organów wymiaru sprawiedliwości państw członkowskich i innymi agencjami unijnymi zgodnie z ich kompetencjami w tym obszarze oraz wspierał inne, powiązane formy współpracy, np. obsługę sekretariatu europejskiego centrum innowacji na rzecz bezpieczeństwa wewnętrznego jako opartej na współpracy sieci laboratoriów innowacji.
(49) Europol powinien odgrywać kluczową rolę we wspieraniu państw członkowskich w opracowywaniu nowych rozwiązań technologicznych opartych na sztucznej inteligencji, które są istotne dla realizacji celów Europolu i które przynoszą korzyści właściwym organom państw członkowskich w całej Unii. Pomocy tej należy udzielić przy pełnym poszanowaniu podstawowych praw i wolności, w tym niedyskryminacji. Europol powinien odgrywać ważną rolę w promowaniu opracowywania i stosowania etycznej, wiarygodnej i ukierunkowanej na człowieka sztucznej inteligencji, podlegającej solidnym zabezpieczeniom pod względem bezpieczeństwa, ochrony, przejrzystości, wyjaśnialności i praw podstawowych.
(50) Przed uruchomieniem swoich projektów w dziedzinie badań naukowych i innowacji, które wiążą się z przetwarzaniem danych osobowych, Europol powinien poinformować o tym fakcie EIOD. Europol powinien poinformować swój zarząd albo skonsultować się z nim, zgodnie z niektórymi kryteriami, które należy określić w odnośnych wytycznych. Europol nie powinien przetwarzać danych do celów projektów w dziedzinie badań naukowych i innowacji bez zgody państwa członkowskiego, organu Unii, państwa trzeciego lub instytucji międzynarodowej, które przedłożyły Europolowi te dane, chyba że to państwo członkowskie, ten organ Unii, to państwo trzecie lub ta organizacja międzynarodowa wyraziły uprzednio zgodę na takie przetwarzanie do tego celu. W odniesieniu do każdego projektu przed rozpoczęciem przetwarzania Europol powinien przeprowadzić ocenę skutków dla ochrony danych, aby zapewnić pełne poszanowanie prawa do ochrony danych oraz wszystkich innych podstawowych praw i wolności osób, których dane dotyczą. Ocena skutków dla ochrony danych powinna obejmować ocenę adekwatności, konieczności i proporcjonalności danych osobowych, które mają być przetwarzane na potrzeby realizacji konkretnego celu projektu, w tym ocenę wymogu minimalizacji danych, oraz ocenę tego, czy wynik i dane osobowe, które mają być przetwarzane na potrzeby realizacji konkretnego celu projektu, mogą być stronnicze, a także ocenę środków przewidzianych, by zapobiec tym zagrożeniom. Opracowanie nowych narzędzi przez Europol powinno odbywać się bez uszczerbku dla podstawy prawnej, w tym podstaw przetwarzania odnośnych danych osobowych, która będzie następnie wymagana do wdrożenia tych narzędzi na szczeblu unijnym lub krajowym.
(51) Zapewnienie Europolowi dodatkowych narzędzi i zdolności wymaga wzmocnienia demokratycznego nadzoru nad Europolem i jego rozliczalności. Wspólna kontrola parlamentarna stanowi ważny element politycznej kontroli działalności Europolu. Aby umożliwić skuteczną polityczną kontrolę sposobu wykorzystywania przez Europol dodatkowych narzędzi i zdolności powierzonych mu na mocy niniejszego rozporządzenia, Europol powinien co roku przekazywać grupie ds. wspólnej kontroli parlamentarnej (GWKP) oraz państwom członkowskim szczegółowe informacje na temat opracowywania, wykorzystywania i skuteczności tych narzędzi i zdolności oraz wyniku ich wykorzystywania, w szczególności na temat projektów w dziedzinie badań naukowych i innowacji, a także nowych działań lub utworzenia nowych wyspecjalizowanych ośrodków w ramach Europolu. Ponadto, co roku do udziału w co najmniej dwóch posiedzeniach zwyczajnych zarządu powinni zostać zaproszeni dwaj przedstawiciele GWKP - jeden z ramienia Parlamentu Europejskiego i jeden z ramienia parlamentów narodowych, by odzwierciedlić dwoisty charakter składu GWKP - po to by porozmawiać z zarządem w imieniu grupy i by omówić roczne skonsolidowane sprawozdanie z działalności, jednolity dokument programowy oraz roczny budżet, pisemne pytania i odpowiedzi GWKP, a także stosunki zewnętrzne i partnerstwa, przy jednoczesnym poszanowaniu różnych ról i obowiązków zarządu i GWKP zgodnie z niniejszym rozporządzeniem. Zarząd, wraz z przedstawicielami GWKP, powinien mieć możliwość określania innych kwestii o znaczeniu politycznym, które należy omówić. Zgodnie z nadzorczą rolą GWKP ci dwaj przedstawiciele grupy nie powinni mieć prawa głosu w zarządzie. Planowane działania w dziedzinie badań naukowych i innowacji należy określić w jednolitym dokumencie programowym zawierającym program wieloletni i roczny program prac Europolu i przekazać GWKP.
(52) Na podstawie propozycji dyrektora wykonawczego zarząd powinien powołać inspektora ds. praw podstawowych, który powinien odpowiadać za wspieranie Europolu w zapewnianiu poszanowania praw podstawowych we wszystkich jego działaniach i zadaniach, w szczególności w projektach w dziedzinie badań naukowych i innowacji oraz wymianie danych osobowych z podmiotami prywatnymi. Powinno być możliwe powołanie członka obecnego personelu Europolu, który przeszedł specjalne szkolenie w obszarze prawa i praktyki w zakresie praw podstawowych, jako inspektora ds. praw podstawowych. Inspektor ds. praw podstawowych powinien ściśle współpracować z inspektorem ochrony danych w zakresie ich odpowiednich kompetencji. W zakresie, w jakim dotyczy to kwestii ochrony danych, pełną odpowiedzialność powinien ponosić inspektor ochrony danych.
(53) Ponieważ cel niniejszego rozporządzenia, jakim jest wspieranie i wzmacnianie działań właściwych organów państw członkowskich, jak również ich wzajemnej współpracy w zapobieganiu poważnej przestępczości, dotykającej co najmniej dwóch państw członkowskich, terroryzmowi i formom przestępczości mającym wpływ na wspólny interes objęty polityką Unii, a także w ich zwalczaniu, nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast ze względu na transgraniczny charakter poważnej przestępczości i terroryzmu oraz potrzebę skoordynowanej reakcji na powiązane zagrożenia dla bezpieczeństwa możliwe jest jego skuteczniejsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z określoną w tym artykule zasadą proporcjonalności niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu.
(54) Zgodnie z art. 3 Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, załączonego do TUE i TFUE, Irlandia powiadomiła o chęci uczestniczenia w przyjęciu i stosowaniu niniejszego rozporządzenia.
(55) Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do TUE i TFUE, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia, nie jest nim związana ani go nie stosuje.
(56) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 8 marca 2021 r. 15 .
(57) W niniejszym rozporządzeniu w pełni respektuje się prawa podstawowe i zabezpieczenia i przestrzega zasad uznanych w szczególności w Karcie praw podstawowych Unii Europejskiej (zwanej dalej "Kartą"), w szczególności prawo do poszanowania życia prywatnego i rodzinnego oraz prawo do ochrony danych osobowych, określonych w art. 7 i 8 Karty oraz art. 16 TFUE. Z uwagi na znaczenie przetwarzania danych osobowych dla prac organów ścigania ogólnie, a dla wsparcia udzielanego przez Europol w szczególności, niniejsze rozporządzenie powinno obejmować bardziej rygorystyczne zabezpieczenia, mechanizmy nadzoru demokratycznego i rozliczalności, służące zapewnieniu, by działania i zadania Europolu były realizowane w pełnej zgodności z prawami podstawowymi zapisanymi w Karcie, w szczególności prawem do równości wobec prawa, do niedyskryminacji oraz do skutecznego środka prawnego przed właściwym sądem krajowym przeciwko środkom przedsięwziętym na mocy niniejszego rozporządzenia. Przetwarzanie danych osobowych na podstawie niniejszego rozporządzenia powinno ograniczać się do tego, co jest absolutnie niezbędne i proporcjonalne, oraz podlega jasnym warunkom, rygorystycznym wymogom i skutecznemu nadzorowi ze strony EIOD.
(58) Należy zatem odpowiednio zmienić rozporządzenie (UE) 2016/794.
(59) Aby umożliwić szybkie zastosowanie środków określonych w niniejszym rozporządzeniu, powinno ono wejść w życie następnego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej,
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:
