(2008/C 310/02)

(Dz.U.UE C z dnia 5 grudnia 2008 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych,

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41,

uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001, otrzymany od Komisji Europejskiej w dniu 19 marca 2008 r.,

WYDAJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWDZENIE

Konsultacje z Europejskim Inspektorem Ochrony Danych

1. 19 marca 2008 r. Komisja przesłała EIOD-owi wniosek w sprawie dyrektywy wprowadzającej ułatwienia w transgranicznym egzekwowaniu prawa dotyczącego bezpieczeństwa drogowego z prośbą o wydanie opinii na jego temat, zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001⁽¹⁾.

2. Przed przyjęciem wniosku Komisja nieformalnie zwróciła się do EIOD-a o wydanie opinii w sprawie projektu wniosku; EIOD z zadowoleniem skorzystał z możliwości poczynienia pewnych sugestii co do projektu wniosku przed jego przyjęciem przez Komisję. EIOD wyraża zadowolenie, że znaczna część tych sugestii została uwzględniona we wniosku.

Kontekst wniosku

3. Omawiany wniosek to środek podejmowany w ramach ogólnego zadania, które polega na ograniczeniu liczby ofiar śmiertelnych i rannych oraz zmniejszeniu szkód materialnych będących rezultatem wypadków drogowych, co z kolei stanowi jeden z najistotniejszych celów polityki UE w dziedzinie bezpieczeństwa drogowego. W tym kontekście celem wniosku jest stworzenie systemu, który ułatwi transgraniczne egzekwowanie kar za określone przestępstwa drogowe. Zauważono bowiem, że znaczna liczba kierowców popełnia przestępstwa drogowe i pozostaje bezkarna, jeśli przestępstwa te zostały popełnione w kraju innym niż kraj zamieszkania sprawcy.

4. Aby przyczynić się do niedyskryminacyjnego i skuteczniejszego egzekwowania kar wobec sprawców przestępstw drogowych, we wniosku przewidziano stworzenie systemu transgranicznej wymiany informacji między państwami członkowskimi.

5. Jako że we wniosku przewidziano wymianę danych osobowych dotyczących podejrzanych o popełnienie przestępstwa, ma to bezpośrednie skutki dla ochrony danych.

Zakres opinii

6. W rozdziale II swojej opinii EIOD zajmie się analizą zgodności z prawem i koniecznego charakteru danych środków. Jakości gromadzonych danych w odniesieniu do celu poświęcony będzie rozdział III. W rozdziale IV EIOD skupi się na prawach osób, których dane dotyczą, i warunkach korzystania z tych praw. Na koniec przeanalizowane zostaną warunki przekazywania danych przez sieć elektroniczną oraz aspekty bezpieczeństwa tego procesu.

II. ZGODNOŚĆ Z PRAWEM I KONIECZNY CHARAKTER ŚRODKÓW

7. Dyrektywa 95/46/WE w sprawie ochrony danych osobowych⁽²⁾ przewiduje, jako jedną ze swoich głównych zasad, że dane muszą być gromadzone i przetwarzane do określonych, jednoznacznych i legalnych celów. Poza tym przetwarzanie to musi być do tych celów konieczne⁽³⁾. Zgodność z prawem celu przetwarzania można sprawdzić biorąc pod uwagę kryteria podane w art. 7 lit. e)-f) dyrektywy, tj. w szczególności to, czy przetwarzanie służy realizacji zadania wykonywanego w interesie publicznym czy wynika z uzasadnionych interesów administratora danych.

8. Nie podlega dyskusji, że zmniejszenie liczby osób, które giną w wypadkach drogowych, jest celem zgodnym z prawem, który można uznać za zadanie wykonywane w interesie publicznym. Rodzi się raczej pytanie, czy planowane środki stanowią właściwe narzędzie do osiągnięcia celu, jakim jest zmniejszenie liczby śmiertelnych ofiar wypadków drogowych. Innymi słowy - czy wniosek zawiera konkretne elementy, które wskazują na konieczność istnienia takiego systemu wymiany informacji, zważywszy na wpływ, jaki system ten będzie miał na prywatność osób zainteresowanych.

9. W uzasadnieniu pada stwierdzenie⁽⁴⁾, że przyjęta polityka - zalecenie Komisji z dnia 21 października 2003 r. w sprawie środków wykonawczych w zakresie bezpieczeństwa ruchu drogowego⁽⁵⁾ - nie jest wystarczająca, by doprowadzić do zmniejszenia liczby ofiar śmiertelnych o połowę⁽⁶⁾. Podstawą tego stwierdzenia jest rosnąca od roku 2004 liczba ofiar śmiertelnych oraz dane statystyczne dotyczące odsetka kierowców, którzy popełnili przestępstwo związane z przekroczeniem dozwolonej prędkości, niezamieszkałych w danym kraju. Wydaje się, że kierowcy niezamieszkali w danym kraju częściej popełniają przestępstwa związane z przekroczeniem dozwolonej prędkości niż kierowcy w tym kraju mieszkający⁽⁷⁾.

10. Statystyki wspomniane w ocenie skutków wskazują również na związek między liczbą kontroli a liczbą ofiar, co pozwala dojść do wniosku, że egzekwowanie przepisów wydaje się skuteczne jako zasadnicze narzędzie ograniczania liczby osób, które giną w wypadkach drogowych⁽⁸⁾.

11. EIOD odnotowuje również, że taki środek podejmowany na szczeblu Wspólnoty nie narusza środków podejmowanych na szczeblu krajowym, by poprawić egzekwowanie przepisów w krajach, gdzie uznano to za priorytet, a wręcz te środki uzupełnia.

12. EIOD jest zadowolony, że informacje podane w uzasadnieniu i w preambule wniosku są wystarczająco szczegółowe i podbudowane, by potwierdzić zgodność wniosku z prawem i konieczny charakter planowanej wymiany danych.

III. JAKOŚĆ PRZETWARZANYCH DANYCH

13. Zgodnie z art. 6 ust. 1 lit. c) dyrektywy 95/46/WE dane osobowe muszą być prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone lub dalej przetworzone.

14. Wniosek obejmuje swoim zakresem zastosowania tylko konkretne poważne naruszenia, które uznaje się za główną przyczynę wypadków ze skutkiem śmiertelnym, tj. nadmierna prędkość, niestosowanie pasów bezpieczeństwa, prowadzenie pojazdu pod wpływem alkoholu oraz przejeżdżanie na czerwonym świetle.

15. Trzy spośród tych przestępstw lub wykroczeń (nadmierna prędkość, przejeżdżanie na czerwonym świetle, niestosowanie pasów bezpieczeństwa) można wykryć, a następnie zająć się nimi w sposób automatyczny lub bez bezpośredniego kontaktu z kierowcą, co oznacza, że na późniejszym etapie konieczna będzie identyfikacja osoby, której dane dotyczą, za pomocą transgranicznej wymiany informacji. Jeśli chodzi o prowadzenie pod wpływem alkoholu, wykrycie przestępstwa musi nastąpić w obecności organów ścigania, które z zasady od razu gromadzą dane dotyczące tożsamości sprawców. Przyczynę, dla której nawet w tym przypadku konieczna jest transgraniczna wymiana danych, wyjaśniono bardziej szczegółowo w preambule przedmiotowej dyrektywy: taka wymiana jest użyteczna z punktu widzenia postępowania w sprawie przestępstwa lub wykroczenia, w ramach którego konieczne może być sprawdzenie szczegółowych informacji dotyczących rejestracji pojazdu nawet w przypadku zatrzymania pojazdu, co dotyczy zwłaszcza jazdy pod wpływem alkoholu.

16. EIOD jest zadowolony, że wymiana informacji została ograniczona do czterech wspomnianych naruszeń, z uwagi na odsetek, jaki stanowią one w ogólnej liczbie wypadków ze skutkiem śmiertelnym, oraz na konieczność uzyskania dalszych informacji potrzebnych do identyfikacji ze względu na ewentualne egzekwowanie przepisów.

17. EIOD wyraża również aprobatę dla faktu, że ten wykaz przestępstw lub wykroczeń ma charakter zamknięty i że dodanie do niego jakichkolwiek przestępstw lub wykroczeń może nastąpić jako rezultat dalszego monitorowania przez Komisję i w drodze zmiany dyrektywy. Jest to zgodne z wymogami pewności prawnej.

IV. PRAWA OSOBY, KTÓREJ DANE DOTYCZĄ

18. Wniosek, zwłaszcza jego art. 7, przewiduje prawo do informacji, dostępu do danych osobowych i ich poprawiania. Sposób, w jaki osoby, których dane dotyczą, będą informowane o swoich prawach, będzie zależeć od formy, w jakiej zostaną powiadomione o popełnieniu przestępstwa lub wykroczenia.

19. Ważne jest zatem, by zawiadomienie o popełnieniu przestępstwa lub wykroczenia, wspomniane w art. 5 i przedstawione w załączniku 2, zawierało wszystkie stosowne informacje dla osoby, której dane dotyczą, w języku zrozumiałym dla tej osoby.

20. W swej obecnej postaci zawiadomienie to zawiera większość informacji związanych z prawami osoby, której dane dotyczą. Informacje te umieszczone są jednak na końcu "formularza odpowiedzi" na zawiadomienie. EIOD uważa, że właściwiej byłoby wyraźnie wskazać administratora danych na początku formularza, innymi słowy podać informacje o krajowym organie odpowiedzialnym za egzekwowanie kar.

21. Wart. 5 ust. 5 wniosku stwierdza się, że zmiana innych niż istotne elementów dyrektywy przebiegać będzie w myśl procedury regulacyjnej określonej w decyzji Rady 99/468 w sprawie uprawnień wykonawczych przyznanych Komisji. EIOD zastanawia się, które z elementów wniosku można by uznać za inne niż istotne. Aby uniknąć późniejszych zmian części wzoru powiadomienia o popełnieniu przestępstwa lub wykroczenia dotyczącej praw osób indywidualnych, EIOD zalecałby uzupełnienie art. 5 ust. 2 wniosku, tak by określić w nim wyraźnie prawa osoby prywatnej, w tym podać informacje wskazujące administratora danych.

22. Art. 5 ust. 2 można by uzupełnić w następujący sposób: "Zawiadomienie o popełnieniu przestępstwa lub wykroczenia zawiera nazwę organu odpowiedzialnego za egzekwowanie kar i cel tego zawiadomienia, opis (...) danego przestępstwa lub wykroczenia (...), a także informację o możliwościach zakwestionowania przez posiadacza podstaw zawiadomienia o popełnieniu przestępstwa lub wykroczenia (...) oraz o procedurze, zgodnie z którą należy postępować (...). Informacje te są przekazywane w języku zrozumiałym dla odbiorcy".

23. Jeśli chodzi o możliwość uzyskania przez osobę będącą podmiotem danych dostępu do dotyczących jej danych i sprzeciwienia się ich przetwarzaniu, EIOD z zadowoleniem przyjmuje fakt, że osoba taka będzie miała możliwość skorzystania ze swoich praw przed organem, którego siedziba mieści w kraju zamieszkania tej osoby. Skutkiem ułatwień w transgranicznym ściganiu naruszeń nie powinno być bowiem uniemożliwianie lub utrudnianie osobom, których dane dotyczą, korzystania z ich praw.

V. SIEĆ ELEKTRONICZNA - ASPEKTY BEZPIECZEŃSTWA

24. W uzasadnieniu⁽⁹⁾ stwierdza się, że do przekazywania danych koniecznych do egzekwowania przepisów możliwe jest wykorzystanie już istniejących unijnych systemów informatycznych.

25. Jeśli chodzi o samą infrastrukturę techniczną⁽¹⁰⁾, EIOD nie ma nic przeciwko wykorzystaniu już istniejącego systemu, o ile prowadzi to do zmniejszenia obciążeń finansowych lub administracyjnych, ale pozostaje bez wpływu na aspekty projektu związane z prywatnością. Interoperacyjność nie powinna jednak umożliwiać wymiany danych z innymi bazami. Należy przypomnieć, że nie należy ustanawiać jakichkolwiek wzajemnych połączeń między bazami, jeśli nie istnieje po temu jasny i zgodny z prawem powód⁽¹¹⁾.

26. EIOD kładzie również nacisk na fakt, że sieć ma na celu umożliwienie wymiany informacji między organami krajowym, a nie stworzenie centralnej bazy danych dotyczących przestępstw drogowych. Scentralizowane gromadzenie danych i ponowne z nich korzystanie nie są objęte zakresem zastosowania wniosku.

27. EIOD zwraca uwagę na klauzulę zawartą w art. 3 ust. 3 wniosku, która ma zabezpieczyć przed rozpowszechnianiem informacji związanych z przestępstwami i wykroczeniami. Tylko bowiem państwo członkowskie, w którym przestępstwo lub wykroczenie zostało popełnione, ma prawo przetwarzać stosowne dane dotyczące sprawcy. Państwo zamieszkania sprawcy, odpowiedzialne za przekazanie danych na temat tożsamości, nie może przechowywać tych informacji ani ponownie z nich korzystać do żadnych celów. Dlatego EIOD wyraża zadowolenie, że we wniosku znalazł się przepis, w którym stwierdza się, że poza państwem, w którym przestępstwo lub wykroczenie zostało popełnione, żadne inne państwo nie może przechowywać tych informacji.

28. Zgodnie z art. 4 wniosku Komisja przyjmie wspólne zasady, w tym procedury techniczne elektronicznej wymiany danych między państwami członkowskimi. Zdaniem EIOD-a zasady te powinny obejmować zabezpieczenia fizyczne i organizacyjne, które uniemożliwią niezgodne z zamierzonym wykorzystanie informacji. EIOD chętnie wypowie się, gdy opracowywane będą szczegóły tych zasad.

VI. PODSUMOWANIE

29. EIOD uważa, że wniosek zawiera dostateczne uzasadnienie dla ustanowienia systemu transgranicznej wymiany informacji i że odpowiednio zawęża zakres gromadzonych i przekazywanych danych.

30. Z zadowoleniem przyjmuje również fakt, że wniosek przewiduje możliwość odwołania, a zwłaszcza fakt, że dostęp do danych osobowych będzie możliwy w państwie zamieszkania osoby, której dane dotyczą.

31. EIOD ma następujące zalecenie dotyczące informowania osób, których dane dotyczą, pozwalające na poprawienie tekstu w tym zakresie: sposób, w jaki osoby, których dane dotyczą, będą informowane o przysługujących im szczególnych prawach, będzie zależał od formatu powiadomienia o popełnieniu przestępstwa lub wykroczenia. Ważne jest zatem, by art. 5 zawierał wszystkie informacje, które są istotne dla osoby, której dane dotyczą, w zrozumiałym dla niej języku. Możliwe brzmienie zaproponowano w pkt 22 niniejszej opinii.

32. Co się tyczy bezpieczeństwa, to choć EIOD nie ma nic przeciwko wykorzystaniu do wymiany informacji już istniejącej infrastruktury - o ile prowadzi to zmniejszenia obciążeń finansowych lub administracyjnych, kładzie jednak nacisk na fakt, że nie powinno to oznaczać interoperacyjności z innymi bankami danych. EIOD z zadowoleniem stwierdza, że wniosek ogranicza możliwości wykorzystywania danych przez państwa członkowskie inne niż państwo, w którym przestępstwo lub wykroczenie zostało popełnione.

33. EIOD chętnie wypowie się też, gdy Komisja będzie opracowywać wspólne przepisy dotyczące procedur technicznych elektronicznej wymiany danych między państwami członkowskimi, zwłaszcza na temat aspektów bezpieczeństwa tych przepisów.

Sporządzono w Brukseli 8 maja 2008 r.

______

⁽¹⁾ Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U L 8 z 12.1.2001, s. 1).

⁽²⁾ Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. L 281 z 23.11.1995, s. 31.

⁽³⁾ Art. 6 ust. 1 lit. b) i art. 7.

⁽⁴⁾ Punkt 1. Kontekst wniosku, "Kontekst ogólny".

⁽⁵⁾ Zalecenie Komisji 2004/345/WE. Zob. komunikat Komisji dotyczący zalecenia Komisji z dnia 21 października 2003 r. w sprawie środków wykonawczych w dziedzinie bezpieczeństwa drogowego, Dz.U. C 93, 17.4.2004, s. 5.

⁽⁶⁾ Cel wspomniany w uzasadnieniu i w białej księdze z 2001 roku na temat europejskiej polityki transportowej.

⁽⁷⁾ Uzasadnienie, 1) Podstawa i cele wniosku: choć kierowcy niezamieszkali w danym kraju stanowią około 5 % ogólnej liczby kierowców, to w krajach, gdzie takie informacje są dostępne, odsetek kierowców zagranicznych wśród kierowców przekraczających dozwoloną prędkość wynosi od 2,5 % do 30 %.

⁽⁸⁾ Zob. rażące różnice w liczbie ofiar w zależności od państwa członkowskiego i fakt, że liczba ofiar jest bezpośrednio związana z liczbą kontroli. Zob. ocena skutków, rozdział 2.4.1.

⁽⁹⁾ 3) Aspekty prawne wniosku, "Zasada proporcjonalności".

⁽¹⁰⁾ Jak by na to wskazywała ocena skutków regulacji, rozdział 5.3.1.

⁽¹¹⁾ W tym względzie zob. uwagi EIOD-a z 10 marca 2006 r. do komunikatu Komisji w sprawie interoperacyjności między europejskimi bazami danych, dostępne na stronie www.edps.europa.eu: O interoperacyjności wspomina się nie tylko w odniesieniu do wspólnego użytkowania szeroko zakrojonych systemów IT, ale również ze względu na możliwości uzyskiwania dostępu do danych lub ich wymiany czy nawet łączenia baz danych. Należy nad tym ubolewać, ponieważ różne rodzaje interoperacyjności wymagają różnych zabezpieczeń i warunków. Tak się dzieje np. w przypadku, gdy pojęcie interoperacyjności jest używane jako platforma innych proponowanych środków, których celem ma być ułatwienie wymiany informacji. W swojej opinii na temat zasady dostępności EIOD podkreślił, że choć wprowadzenie tej zasady nie doprowadzi do powstawania nowych baz danych, to z pewnością zaowocuje nowym sposobem wykorzystywania istniejących baz danych, stwarzając nowe możliwości dostępu do tych baz danych.