Autoritatea Europeana pentru Protectia Datelor – Cooperarea administrativa prin intermediul Sistemului de informare al pietei interne

Avizul Autoritatii Europene pentru Protectia Datelor privind propunerea Comisiei de regulament al Parlamentului European si al Consiliului privind cooperarea administrativa prin intermediul Sistemului de informare al pietei interne (“IMI”)

2012/C 48/02

 

AUTORITATEA EUROPEANA PENTRU PROTECTIA DATELOR,

avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16,
avand in vedere Carta drepturilor fundamentale a Uniunii Europene, in special articolele 7 si 8,
avand in vedere Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date [1],
avand in vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului din 18 decembrie 2000 privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de catre institutiile si organele comunitare si privind libera circulatie a acestor date [2],
avand in vedere solicitarea unui aviz in conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001,

ADOPTA PREZENTUL AVIZ:

1. INTRODUCERE

1.1. Consultarea AEPD

1. La 29 august 2011, Comisia a adoptat o propunere de regulament (“propunerea” sau “regulamentul propus”) al Parlamentului European si al Consiliului privind cooperarea administrativa prin intermediul Sistemului de informare al pietei interne (“IMI”) [3]. Propunerea a fost transmisa Autoritatii Europene pentru Protectia Datelor (AEPD) spre consultare in aceeasi zi.
2. Inainte de adoptarea propunerii, Autoritatii Europene pentru Protectia Datelor i s-a dat posibilitatea de a formula observatii neoficiale cu privire la propunere si, inainte de aceasta, cu privire la Comunicarea Comisiei “O mai buna guvernanta a pietei unice prin intensificarea cooperarii administrative: o strategie pentru extinderea si dezvoltarea Sistemului de informare al pietei interne (“IMI”)” (“Comunicarea privind strategia IMI”) [4], care a precedat propunerea. Multe dintre aceste observatii au fost luate in considerare in cadrul propunerii si – in consecinta – garantiile privind protectia datelor existente in propunere au fost consolidate.
3. AEPD apreciaza faptul ca a fost consultata in mod oficial de catre Comisie si ca in preambulul propunerii a fost inclusa o trimitere la prezentul aviz.

1.2. Obiectivele si domeniul de aplicare al propunerii

4. Sistemul IMI este un instrument din domeniul tehnologiei informatiei care permite autoritatilor competente din statele membre sa schimbe informatii in cadrul procesului de aplicare a legislatiei care reglementeaza piata interna. IMI permite autoritatilor nationale, regionale si locale din statele membre ale UE sa comunice rapid si usor cu omologii lor din alte tari europene. Acest lucru implica si prelucrarea datelor cu caracter personal relevante, inclusiv a datelor sensibile.
5. Sistemul IMI a fost creat initial ca un instrument de comunicare pentru schimburi de informatii bilaterale realizate in conformitate cu Directiva privind calificarile profesionale [5] si cu Directiva privind serviciile [6]. IMI ii ajuta pe utilizatori sa identifice autoritatea corespunzatoare din alta tara care trebuie contactata si sa comunice cu aceasta prin utilizarea unor seturi de intrebari si raspunsuri standard deja traduse [7].
6. Cu toate acestea, IMI este conceput ca un sistem orizontal flexibil care sa poata sprijini domenii multiple reglementate de legislatia privind piata interna. Se preconizeaza ca utilizarea sa va fi extinsa treptat pentru a sprijini in viitor domenii legislative suplimentare.
7. Se intentioneaza ca si functionalitatile sistemului IMI sa fie extinse. In plus fata de schimburile de informatii bilaterale, mai sunt prevazute sau deja implementate si alte functionalitati, cum ar fi “proceduri de notificare, mecanisme de alerta, acorduri de asistenta reciproca si rezolvarea problemelor” [8], precum si “liste de informatii consultabile ulterior ca referinta de catre actorii IMI” [9]. Multe dintre aceste functionalitati, dar nu toate, pot presupune si prelucrari de date cu caracter personal.
8. Propunerea are ca scop asigurarea unui temei juridic clar pentru sistemul IMI si a unui cadru cuprinzator privind protectia datelor.

1.3. Contextul propunerii: o abordare progresiva in vederea instituirii unui cadru cuprinzator privind protectia datelor pentru IMI

9. In primavara anului 2007, Comisia a solicitat ca avizul Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal [Grupul de lucru instituit in temeiul articolului 29 (“WP29”)] sa analizeze implicatiile sistemului IMI in ceea ce priveste protectia datelor. WP29 a emis avizul la 20 septembrie 2007 [10]. Avizul a recomandat Comisiei crearea unui temei juridic mai clar si a unor garantii specifice privind protectia datelor pentru schimbul de date din cadrul IMI. AEPD a participat in mod activ la lucrarile subgrupului care s-a ocupat de IMI si a sustinut concluziile avizului WP29.
10. Ulterior, AEPD a continuat sa ofere orientare Comisiei in legatura cu felul in care se poate asigura, pas cu pas, un cadru mai cuprinzator al protectiei datelor pentru IMI [11]. In cadrul acestei cooperari si incepand cu emiterea avizului sau privind punerea in aplicare a IMI [12], la 22 februarie 2008, AEPD a sustinut cu consecventa necesitatea adoptarii unui nou instrument juridic prin procedura legislativa ordinara, pentru a se institui un cadru mai cuprinzator al protectiei datelor pentru IMI si pentru a se asigura securitatea juridica. In prezent a fost inaintata propunerea privind un astfel de instrument juridic [13].

2. ANALIZA PROPUNERII

2.1. Opinii generale ale AEPD cu privire la propunere si la principalele provocari pe care le presupune reglementarea IMI

11. Opiniile generale ale AEPD cu privire la IMI sunt favorabile. AEPD sustine scopurile Comisiei de a crea un sistem electronic pentru schimbul de informatii si de a reglementa aspectele privind protectia datelor din cadrul acestuia. Un asemenea sistem simplificat va imbunatati eficienta cooperarii si va putea, de asemenea, sa contribuie la asigurarea respectarii legislatiei aplicabile privind protectia datelor. Sistemul poate face acestea prin oferirea unui cadru clar privind informatiile care pot fi schimbate, cu cine si in ce conditii.
12. AEPD saluta, de asemenea, propunerea de catre Comisie a unui instrument juridic orizontal pentru IMI sub forma de regulament al Consiliului si al Parlamentului. AEPD constata cu satisfactie faptul ca propunerea evidentiaza in mod cuprinzator cele mai relevante aspecte ale protectiei datelor legate de IMI. Observatiile sale trebuie interpretate in acest context favorabil.
13. Cu toate acestea, AEPD avertizeaza ca instituirea unui sistem electronic centralizat unic pentru domenii multiple ale cooperarii administrative prezinta si anumite riscuri. Acestea includ, in primul rand, faptul ca ar putea fi realizat schimbul de informatii cu mai multe date si intr-un domeniu mai larg decat este strict necesar in scopul unei cooperari eficiente si ca aceste date, incluzand date potential invechite si inexacte, ar putea ramane in sistemul electronic mai mult decat este necesar. Securitatea acestui sistem de informare accesibil utilizatorilor din 27 de state membre este, de asemenea, o chestiune delicata, intrucat siguranta sistemului este determinata de cea mai slaba veriga a lantului.

Principalele provocari

14. In ceea ce priveste cadrul juridic al IMI care urmeaza sa fie instituit prin regulamentul propus, AEPD atrage atentia asupra a doua provocari principale:
– necesitatea asigurarii consecventei, respectand in acelasi timp diversitatea; si
– necesitatea realizarii unui echilibru intre flexibilitate si securitate juridica.
15. Aceste provocari principale constituie puncte de referinta importante si determina, in mare parte, abordarea adoptata de AEPD in prezentul aviz.

Consecventa, cu respectarea diversitatii

16. In primul rand, IMI este un sistem folosit in 27 de state membre. In stadiul actual al armonizarii legislatiei europene, exista diferente considerabile intre procedurile administrative nationale, precum si intre legile nationale privind protectia datelor. IMI trebuie realizat astfel incat utilizatorii din fiecare dintre cele 27 de state membre sa isi poata respecta dreptul national, inclusiv legile nationale privind protectia datelor, atunci cand fac schimb de date cu caracter personal prin intermediul sistemului IMI. In acelasi timp, persoanele vizate trebuie sa poata fi asigurate de faptul ca datele lor vor fi protejate cu consecventa, chiar daca se efectueaza un transfer de date prin intermediul sistemului IMI catre un alt stat membru. Asigurarea consecventei, respectand in acelasi timp diversitatea, reprezinta o provocare importanta pentru realizarea atat a infrastructurii tehnice, cat si a celei juridice a sistemului IMI. Trebuie evitate excesele in ceea ce priveste complexitatea si fragmentarea. Operatiunile de prelucrare de date care se efectueaza in sistemul IMI trebuie sa fie transparente, iar responsabilitatile pentru luarea deciziilor referitoare la conceperea, intretinerea si utilizarea zilnica a sistemului, precum si la supravegherea acestuia, trebuie sa fie alocate in mod clar.

Realizarea unui echilibru intre flexibilitate si securitate juridical

17. In al doilea rand, spre deosebire de alte sisteme informatice de mare anvergura, precum Sistemul de informatii Schengen, Sistemul de informatii privind vizele, Sistemul de informatii al vamilor sau Eurodac, care vizeaza, toate, cooperarea in domenii specifice si clar definite, IMI este un instrument orizontal pentru schimbul de informatii si poate fi folosit pentru facilitarea schimbului de informatii in multe domenii de politica diferite. Se preconizeaza ca domeniul de aplicare al sistemului IMI se va extinde treptat si la alte domenii de politica, iar functionalitatile acestuia se pot modifica, de asemenea, pentru a include chiar si tipuri de cooperare administrativa nespecificate pana in prezent. Aceste trasaturi distinctive ale IMI fac mai dificila definirea clara a functionalitatilor sistemului si a schimburilor de date care pot avea loc in sistem. Prin urmare, este cu atat mai dificil sa definesti clar garantiile corespunzatoare privind protectia datelor.
18. AEPD recunoaste faptul ca este nevoie de flexibilitate si ia nota de dorinta Comisiei ca regulamentul sa “reziste probei timpului”. Acest lucru nu trebuie sa determine, totusi, o lipsa de claritate sau de securitate juridica din punctul de vedere al functionalitatilor sistemului si al garantiilor privind protectia datelor care trebuie sa fie puse in aplicare. Din acest motiv, propunerea trebuie sa cuprinda dispozitii cat mai explicite ori de cate ori este posibil si sa faca mai mult decat sa reitereze principalele principii de protectie a datelor prevazute in Directiva 95/46/CE si in Regulamentul (CE) nr. 45/2001 [14].

2.2. Domeniul de aplicare al IMI si extinderea preconizata a acestuia (articolele 3 si 4)

2.2.1. Introducere

19. AEPD saluta definirea clara in cadrul propunerii a domeniului de aplicare actual al sistemului IMI, in anexa I fiind enumerate actele relevante ale Uniunii pe baza carora se poate face schimbul de informatii. Acestea includ cooperarea in baza dispozitiilor specifice din Directiva privind calificarile profesionale, Directiva privind serviciile si Directiva privind aplicarea drepturilor pacientilor in cadrul asistentei medicale transfrontaliere [15].
20. Intrucat se preconizeaza ca domeniul de aplicare al IMI se va extinde, domeniile potentiale de extindere sunt enumerate in anexa II. Elementele din anexa II pot fi transferate in anexa I printr-un act delegat care urmeaza sa fie adoptat de Comisie in urma unei evaluari a impactului [16].
21. AEPD saluta aceasta metoda, intrucat: (i) delimiteaza clar domeniul de aplicare al IMI; (ii) asigura transparenta; (iii) asigurand in acelasi timp flexibilitatea pentru cazurile in care IMI va fi utilizat si pentru alte schimburi de informatii in viitor. De asemenea, se previne astfel posibilitatea realizarii vreunui schimb de informatii prin intermediul IMI: (i) fara a dispune de un temei juridic adecvat in legislatia specifica pietei interne care sa permita sau sa autorizeze schimbul de informatii [17]; si (ii) fara a include o trimitere la respectivul temei juridic in anexa I la regulament.
22. In plus, exista inca incertitudini referitoare la domeniul de aplicare al sistemului IMI, cu privire la domeniile de politica in care poate fi extins si cu privire la functionalitatile care sunt sau pot fi incluse in IMI.
23. In primul rand, nu se poate exclude posibilitatea ca domeniul de aplicare al IMI sa se extinda si la alte domenii de politica decat cele enumerate in anexa I si anexa II. Acest lucru se poate produce daca utilizarea sistemului IMI pentru anumite tipuri de schimburi de informatii este prevazuta nu intr-un act delegat al Comisiei, ci intr-un act adoptat de Parlament si de Consiliu intr-un caz in care acest lucru nu a fost preconizat in anexa II [18].
24. In al doilea rand, chiar daca este posibil ca in unele cazuri extinderea domeniului de aplicare la noi domenii de politica sa nu necesite schimbari sau sa necesite numai modificari marunte la nivelul functionalitatilor existente ale sistemului [19], alte extinderi pot sa necesite functionalitati noi sau diferite sau modificari importante ale functionalitatilor existente:
– desi propunerea se refera la cateva functionalitati existente sau preconizate, adesea aceste trimiteri nu sunt suficient de clare sau suficient de detaliate. Acest lucru este valabil, intr-o masura mai mica sau mai mare, pentru trimiterile la alerte, actori externi, liste de informatii, acorduri de asistenta reciproca si solutionarea problemelor [20]. Spre exemplificare, termenul “alerta”, care se refera la o functionalitate existenta foarte importanta, este mentionat o singura data, la considerentul 10;
– conform regulamentului propus, este posibil sa se adopte noi tipuri de functionalitati care nu sunt mentionate deloc in propunere;
– sistemul IMI a fost descris pana in prezent ca un instrument informatic destinat schimbului de informatii: cu alte cuvinte, un instrument de comunicare (a se vedea, de exemplu, articolul 3 din propunere). Totusi, unele dintre functionalitatile mentionate in propunere, inclusiv functia de “lista de informatii”, par sa depaseasca acest rol. Propunerea de prelungire a perioadelor de pastrare la cinci ani sugereaza, de asemenea, un pas catre transformarea in “baza de date”. Aceste evolutii ar schimba fundamental natura sistemului IMI [21].

2.2.2. Recomandari

25. In vederea eliminarii acestor incertitudini, AEPD recomanda o abordare dubla. AEPD propune, in primul rand, ca functionalitatile care sunt deja previzibile sa fie clarificate si abordate intr-un mod mai explicit, iar in al doilea rand, sa se aplice garantii procedurale adecvate prin care sa se garanteze ca protectia datelor va fi analizata cu atentie si in cursul evolutiei de viitor a IMI.
Clarificarea functionalitatilor deja existente sau previzibile (de exemplu, schimburi bilaterale, alerte, liste de informatii, rezolvarea problemelor si actorii externi)
26. AEPD recomanda ca regulamentul sa fie mai explicit in privinta functionalitatilor, atunci cand acestea sunt deja cunoscute, asa cum este cazul schimburilor de informatii la care se refera anexele I si II.
27. De exemplu, ar putea fi prevazute masuri mai concrete si mai clare pentru integrarea SOLVIT [22] in IMI (prevederi privind “actorii externi” si “solutionarea problemelor”) si pentru directoarele de profesionisti si furnizori de servicii (prevederi privind “listele de informatii”).
28. Ar trebui, de asemenea, aduse clarificari suplimentare cu privire la “alerte”, care sunt deja folosite in temeiul Directivei privind serviciile si pot fi introduse si in domenii de politica suplimentare. In special “alerta” ca functionalitate ar trebui definita clar la articolul 5 (impreuna cu alte functionalitati, precum schimburile de informatii bilaterale si listele de informatii). De asemenea, trebuie clarificate si drepturile de acces si perioadele de pastrare [23].

Garantiile procedurale (evaluarea impactului asupra protectiei datelor si consultarea autoritatilor de protectie a datelor)

29. In cazul in care intentia este ca regulamentul sa ramana “rezistent la proba timpului” din punctul de vedere al functionalitatilor suplimentare ce pot deveni necesare pe termen mai lung, permitand astfel introducerea unor functionalitati suplimentare nedefinite inca in regulament, acest lucru trebuie sa fie insotit de garantii procedurale adecvate, care sa asigure introducerea unor dispozitii corespunzatoare privind punerea in aplicare a garantiilor necesare privind protectia datelor, inainte de exploatarea noii functionalitati. Acelasi lucru trebuie sa se aplice si pentru extinderile in noi domenii de politica, atunci cand extinderea respectiva are un impact asupra protectiei datelor.
30. AEPD recomanda un mecanism clar care sa asigure realizarea unei analize atente a motivelor de ingrijorare legate de protectia datelor, inainte de fiecare extindere a functionalitatilor sau extindere in noi domenii de politica si, daca este necesar, punerea in aplicare a unor garantii suplimentare sau masuri tehnice in arhitectura IMI. In special:
– evaluarea impactului mentionata la pagina 7 din expunerea de motive ar trebui sa fie solicitata in mod explicit chiar in regulament si ar trebui sa cuprinda si o evaluare a impactului asupra protectiei datelor, care sa arate concret daca si ce modificari sunt necesare privind modul in care este conceput IMI, astfel incat acesta sa cuprinda in continuare garantii adecvate privind protectia datelor, care sa includa si noile domenii de politica si/sau functionalitati;
– regulamentul ar trebui sa prevada explicit necesitatea consultarii AEPD si a autoritatilor nationale de protectie a datelor inainte de fiecare extindere a IMI. Aceasta consultare poate avea loc prin intermediul mecanismului prevazut pentru supravegherea coordonata, la articolul 20.
31. Aceste garantii procedurale (evaluarea impactului asupra protectiei datelor si consultarea) trebuie aplicate atat unei extinderi printr-un act delegat al Comisiei (care transfera un element din anexa II in anexa I), cat si unei extinderi printr-un regulament al Parlamentului si al Consiliului care adauga un element ce nu a fost enumerat in anexa II.
32. In cele din urma, AEPD recomanda ca regulamentul sa clarifice daca domeniul de aplicare al actelor delegate pe care Comisia va fi imputernicita sa le adopte in temeiul articolului 23 va include si alte aspecte decat transferarea unor elemente din anexa II in anexa I. Daca este posibil, Comisia ar trebui sa fie imputernicita prin regulament sa adopte anumite acte de punere in aplicare sau delegate pentru a defini in continuare orice functionalitate suplimentara a sistemului sau pentru a raspunde motivelor de ingrijorare legate de protectia datelor care ar putea aparea in viitor.

2.3. Roluri, competente si responsabilitati (articolele 7-9)

33. AEPD saluta faptul ca un capitol intreg (capitolul II) a fost dedicat clarificarii functiilor si responsabilitatilor diferitilor actori implicati in IMI. Dispozitiile respective ar putea fi consolidate si mai mult conform celor ce urmeaza.
34. Articolul 9 descrie responsabilitatile care decurg din rolul de controlor al Comisiei. AEPD recomanda in continuare includerea unei prevederi suplimentare referitoare la rolul Comisiei de a asigura conceperea sistemului cu aplicarea principiului “luarii in considerare a vietii private incepand cu momentul conceperii”, precum si la rolul acesteia de coordonare in ceea ce priveste aspectele de protectie a datelor.
35. AEPD constata cu satisfactie faptul ca sarcinile coordonatorilor IMI enumerate la articolul 7 cuprind acum in mod explicit sarcini de coordonare legate de protectia datelor, inclusiv rolul de punct de contact pentru Comisie. AEPD recomanda sa se precizeze in mod suplimentar faptul ca aceste sarcini de coordonare includ si mentinerea contactului cu autoritatile nationale de protectie a datelor.

2.4. Drepturi de acces (articolul 10)

36. Articolul 10 prevede garantii cu privire la drepturile de acces. AEPD saluta faptul ca aceste dispozitii au fost consolidate in mod semnificativ ca urmare a observatiilor sale.
37. Avand in vedere caracterul orizontal si extensibil al IMI, este important sa se asigure garantarea de catre sistem a aplicarii “zidurilor chinezesti”, care limiteaza informatiile prelucrate intr-un anumit domeniu de politica exclusiv la domeniul de politica respectiv: utilizatorii IMI trebuie: (i) sa acceseze informatiile numai din motive care tin de necesitatea de a cunoaste; si (ii) sa se limiteze la un singur domeniu de politica.
38. Daca este inevitabil ca un utilizator IMI sa aiba drept de acces la mai multe domenii de politica (cum se intampla, de exemplu, in cazul unora dintre oficiile guvernamentale locale), ar trebui, cel putin, ca sistemul sa nu permita combinarea informatiilor provenite din domenii de politica diferite. Eventualele exceptii, daca sunt necesare, trebuie prevazute in legislatia de aplicare sau intr-un act al Uniunii, cu respectarea stricta a principiului limitarii scopului.
39. Aceste principii sunt prezentate acum in textul regulamentului, dar ar putea fi consolidate si operationalizate in continuare.
40. In ceea ce priveste drepturile de acces ale Comisiei, AEPD saluta faptul ca articolul 9 alineatele (2) si (4) si articolul 10 alineatul (6) din propunere, coroborate, precizeaza ca Comisia nu are acces la datele cu caracter personal transmise intre statele membre, cu exceptia cazurilor in care Comisia este desemnata ca participant la o procedura de cooperare administrativa.
41. Drepturile de acces ale actorilor externi si drepturile de acces la alerte trebuie, de asemenea, explicitate mai bine [24]. In ceea ce priveste alertele, AEPD recomanda ca regulamentul sa prevada faptul ca alertele nu trebuie trimise automat tuturor autoritatilor competente relevante din toate statele membre, ci doar celor vizate, pe baza necesitatii de a cunoaste. Acest lucru nu exclude trimiterea alertelor catre toate statele membre in anumite cazuri sau in anumite domenii de politica, daca sunt vizate toate. In mod similar, este necesara o analiza de la caz la caz pentru a stabili daca Comisia trebuie sa aiba acces la alerte.

2.5. Pastrarea datelor cu caracter personal (articolele 13 si 14)

2.5.1. Introducere

42. Articolul 13 din propunere prelungeste durata stocarii datelor in sistemul IMI de la perioada actuala de sase luni (calculata de la inchiderea cazului) la cinci ani, cu o “blocare” a datelor dupa 18 luni. In cursul perioadei de “blocare”, datele sunt accesibile doar urmand o procedura specifica de extragere, care poate fi initiata numai la cererea persoanei vizate sau in cazul in care datele sunt necesare “in scopul dovedirii faptului ca a avut loc un schimb de informatii prin intermediul sistemului IMI”.
43. In realitate, in acest mod, datele sunt stocate in sistemul IMI pe parcursul a trei perioade distincte:
– intre momentul introducerii si momentul inchiderii cazului;
– dupa inchiderea cazului, pentru o perioada de 18 luni [25];
– dupa expirarea perioadei de 18 luni, sub forma de date blocate pentru o perioada suplimentara de trei ani si sase luni (cu alte cuvinte, pana la expirarea a cinci ani de la inchiderea cazului).
44. In plus fata de aceste norme generale, articolul 13 alineatul (2) permite pastrarea datelor intr-o “lista de informatii” atat timp cat este necesar in acest scop, cu acordul persoanei vizate sau atunci cand “acest lucru este necesar pentru conformitatea cu un act al Uniunii”. In continuare, articolul 14 prevede un mecanism similar de blocare pentru pastrarea datelor cu caracter personal ale utilizatorilor IMI, pentru o perioada de cinci ani de la data la care acestia inceteaza a mai fi utilizatori IMI.
45. Nu exista alte dispozitii specifice. Prin urmare, se intentioneaza, probabil, ca normele generale sa se aplice nu doar schimburilor bilaterale, ci si alertelor, solutionarii problemelor (ca si in SOLVIT [26]) si tuturor celorlalte functionalitati care implica prelucrarea datelor cu caracter personal.
46. AEPD are mai multe motive de ingrijorare cu privire la perioadele de pastrare, prin prisma articolului 6 alineatul (1) litera (e) din Directiva 95/46/CE si a articolului 4 alineatul (1) litera (e) din Regulamentul (CE) nr. 45/2001, ambele impunand ca datele cu caracter personal sa fie pastrate pentru o perioada de timp care nu o depaseste pe cea necesara scopurilor pentru care au fost colectate sau pentru care sunt ulterior prelucrate.

2.5.2. De la introducere si pana la inchiderea cazului: necesitatea unei inchideri in timp util a cazului

47. In ceea ce priveste prima perioada, de la introducere si pana la inchiderea cazului, AEPD este preocupata de riscul ca unele cazuri sa nu se inchida niciodata sau sa se inchida numai dupa o perioada disproportionat de lunga de timp. Acest lucru poate avea drept rezultat ramanerea unor date cu caracter personal in baza de date pentru o perioada de timp mai lunga decat cea necesara, sau chiar pe termen nedefinit.
48. AEPD intelege progresele inregistrate de Comisie, la nivel practic, in reducerea restantelor din cadrul IMI si faptul ca exista un sistem care functioneaza pentru schimburile bilaterale, monitorizand inchiderea in timp util a cazurilor si semnaland periodic intarzierile. In plus, o noua modificare introdusa in functionalitatile sistemului, ca urmare a unei abordari conform principiului “luarii in considerare a vietii private incepand cu momentul conceperii”, permite ca, printr-o singura apasare de buton, sa se accepte un raspuns si, in acelasi timp, sa se si inchida cazul. Inainte era nevoie de doua actiuni separate pentru acest lucru, iar aceasta ar putea explica unele dintre cazurile inactive ramase in sistem.
49. AEPD saluta aceste eforturi depuse la nivel practic. Cu toate acestea, recomanda ca insusi textul regulamentului sa prevada garantii pentru inchiderea in timp util a cazurilor in IMI si pentru stergerea din baza de date a cazurilor inactive (cazuri fara activitate recenta).

2.5.3. De la inchiderea cazului si pana la expirarea a 18 luni: este justificata prelungirea perioadei de sase luni?

50. AEPD propune sa se reanalizeze daca exista o justificare adecvata pentru prelungirea perioadei actuale de sase luni la 18 luni de la inchiderea cazului si, in caz afirmativ, daca aceasta se aplica numai schimburilor de informatii bilaterale sau si altor tipuri de functionalitati. IMI exista deja de mai multi ani, iar experienta practica acumulata in aceasta privinta ar trebui valorificata.
51. Daca IMI ramane un instrument pentru schimbul de informatii (spre deosebire de un sistem de gestionare a dosarelor, o baza de date sau un sistem de arhivare) si daca autoritatile competente dispun de mijloace de extragere din sistem a informatiilor pe care le-au primit (fie in forma electronica, fie pe hartie, dar in orice caz intr-un mod in care informatiile extrase sa poata fi utilizate ca dovezi [27]), nu mai apare necesitatea ca datele sa fie pastrate in IMI dupa inchiderea cazului.
52. In schimburile de informatii bilaterale, o perioada de pastrare (rezonabil de scurta) dupa inchiderea cazului poate fi justificata de eventuala necesitate de a pune intrebari de monitorizare chiar si dupa ce a fost acceptat un raspuns si, astfel, s-a inchis un caz. Perioada actuala de sase luni pare a fi, prima facie, suficient de generoasa in acest scop.

2.5.4. De la 18 luni la cinci ani: date “blocate”

53. AEPD considera ca nu au fost oferite justificari suficiente de catre Comisie cu privire la necesitatea si proportionalitatea pastrarii “datelor blocate” pentru o perioada de pana la cinci ani.
54. Expunerea de motive, de la pagina 8, face trimitere la hotararea Curtii de Justitie din cauza Rijkeboer [28]. AEPD recomanda Comisiei sa reanalizeze implicatiile acestei cauze asupra pastrarii datelor in sistemul IMI. In opinia sa, Rijkeboer nu impune ca sistemul sa fie configurat astfel incat sa se pastreze date timp de cinci ani de la inchiderea cazului.
55. AEPD nu considera ca trimiterea la hotararea din cauza Rijkeboer sau la drepturile persoanelor vizate de a avea acces la datele proprii reprezinta o justificare suficienta si adecvata pentru pastrarea datelor in IMI pentru o perioada de cinci ani de la inchiderea cazului. Chiar si pastrarea “datelor de registru” (definite strict ca excluzand orice continut, printre altele toate atasamentele sau datele sensibile) poate fi o optiune mai putin intruziva, care ar merita o analiza suplimentara. Cu toate acestea, nici macar legat de aceasta optiune, AEPD nu are convingerea, in acest moment, ca ar fi necesara sau proportionala.
56. In plus, lipsa de claritate cu privire la cei care pot accesa “datele blocate” si in ce scop este, de asemenea, problematica. Simpla referire la utilizarea “in scopul dovedirii faptului ca a avut loc un schimb de informatii” [precum cea de la articolul 13 alineatul (3)] nu este suficienta. Daca dispozitia referitoare la “blocare” se mentine, ar trebui, in orice caz, sa se precizeze mai exact cine poate solicita o dovada a faptului ca a avut loc un schimb de informatii si in ce context. In plus fata de persoana vizata, ar mai avea si alte persoane dreptul de a solicita accesul? Daca da, acestea ar fi exclusiv autoritatile competente si exclusiv cu scopul de a dovedi faptul ca un anumit schimb de informatii, cu un anumit continut, a avut loc (in cazul in care schimbul respectiv este contestat de catre autoritatile competente care au trimis sau au primit mesajul)? Se mai anticipeaza si alte utilizari posibile “in scopul dovedirii faptului ca a avut loc un schimb de informatii” [29]?

2.5.5. Alertele

57. AEPD recomanda o distinctie mai clara intre alerte si listele de informatii. Trebuie facuta diferenta intre folosirea unei alerte ca instrument de comunicare pentru avertizarea autoritatilor competente in legatura cu un anumit delict sau o suspiciune si stocarea acestei alerte intr-o baza de date pentru o perioada de timp prelungita sau chiar nedefinita. Stocarea informatiilor referitoare la alerta ar da nastere unor motive de ingrijorare suplimentare si ar necesita norme specifice si garantii suplimentare privind protectia datelor.
58. Prin urmare, AEPD recomanda ca regulamentul sa prevada, ca norma implicita, ca: (i) – cu exceptia cazului in care se prevedere altfel in legislatia verticala si sub rezerva unor garantii suplimentare adecvate – alertelor sa li se aplice o perioada de pastrare de sase luni; si, mai important, ca (ii) aceasta perioada sa fie calculata incepand cu momentul trimiterii alertei.
59. In mod alternativ, AEPD recomanda ca in regulamentul propus sa se stabileasca explicit garantii detaliate cu privire la alerte. AEPD este pregatita sa ajute in continuare Comisia si legiuitorii cu recomandari in aceasta privinta, in cazul in care se adopta aceasta a doua abordare.

2.6. Categorii speciale de date (articolul 15)

60. AEPD saluta diferentierea intre datele cu caracter personal mentionate la articolul 8 alineatul (1) din Directiva 95/46/CE, pe de o parte, si datele cu caracter personal mentionate la articolul 8 alineatul (5), pe de alta parte. De asemenea, AEPD saluta faptul ca regulamentul precizeaza clar categoriile speciale de date care pot fi prelucrate numai pe baza unui motiv specific mentionat la articolul 8 din Directiva 95/46/CE.
61. In aceasta privinta, interpretarea AEPD este aceea ca IMI va prelucra un volum semnificativ de date sensibile care intra sub incidenta articolului 8 alineatul (2) din Directiva 95/46/CE. Intr-adevar, inca de la inceput, cand a fost exploatat in scopul sprijinirii cooperarii administrative in temeiul Directivei privind serviciile si al Directivei privind calificarile profesionale, IMI a fost conceput pentru a prelucra astfel de date, in special date referitoare la evidentele infractiunilor si contraventiilor care pot avea consecinte asupra dreptului profesionistului sau al furnizorului de servicii de a presta activitatea/serviciile respective intr-un alt stat membru.
62. In plus, este posibil ca in sistemul IMI sa se prelucreze si o cantitate semnificativa de date sensibile conform articolului 8 alineatul (1) (in principal date din domeniul sanatatii), dupa ce IMI se va extinde pentru a include un modul pentru SOLVIT [30]. In cele din urma, nu se poate exclude posibilitatea ca, in viitor, prin IMI sa se colecteze si alte date sensibile, ad hoc sau in mod sistematic.

2.7. Securitatea (articolul 16 si considerentul 16)

63. AEPD constata cu satisfactie faptul ca articolul 16 se refera in mod explicit la obligatia Comisiei de a-si respecta propriile norme interne adoptate conform articolului 22 din Regulamentul (CE) nr. 45/2001 si de a adopta si actualiza in permanenta un plan de securitate pentru IMI.
64. Pentru a consolida si mai mult aceste dispozitii, AEPD recomanda ca regulamentul sa impuna o evaluare a riscului si o analiza a planului de securitate inainte de orice extindere a IMI intr-un domeniu de politica nou sau inainte de adaugarea unei noi functionalitati cu impact asupra datelor cu caracter personal [31].
65. In plus, AEPD constata si faptul ca articolul 16 si considerentul 16 se refera numai la obligatiile Comisiei si la rolul de supraveghere al AEPD. Aceasta mentiune poate induce in eroare. Desi Comisia este, intr-adevar, operatorul sistemului si in aceasta calitate raspunde de o parte predominanta din activitatile de mentinere a securitatii IMI, obligatii mai au si autoritatile competente care, la randul lor, sunt supravegheate de autoritatile nationale de protectie a datelor. Prin urmare, articolul 16 si considerentul 16 ar trebui sa se refere si la obligatiile privind securitatea aplicabile celorlalti actori IMI in temeiul Directivei 95/46/CE si la competentele de supraveghere care revin autoritatilor nationale de protectie a datelor.

2.8. Informatiile furnizate persoanelor vizate si transparenta (articolul 17)

2.8.1. Informatii furnizate in statele membre

66. In ceea ce priveste articolul 17 alineatul (1), AEPD recomanda ca regulamentul sa contina mai multe dispozitii specifice care sa asigure informarea deplina a persoanelor vizate cu privire la prelucrarea datelor lor in cadrul IMI. Avand in vedere faptul ca sistemul IMI este folosit de numeroase autoritati competente, printre care multe oficii guvernamentale locale, se recomanda insistent ca transmiterea notificarilor sa fie coordonata la nivel national.

2.8.2. Informatii furnizate de catre Comisie

67. Articolul 17 alineatul (2) litera (a) impune Comisiei sa transmita o notificare privind confidentialitatea referitoare la activitatile de prelucrare a datelor proprii, in conformitate cu articolele 10 si 11 din Regulamentul (CE) nr. 45/2001. In plus, articolul 17 alineatul (2) litera (b) impune Comisiei sa furnizeze, de asemenea, informatii privind “aspectele legate de protectia datelor in cadrul procedurilor de cooperare administrativa in IMI mentionate la articolul 12”. In sfarsit, articolul 17 alineatul (2) litera (c) impune Comisiei sa furnizeze informatii cu privire la “exceptii sau limitari ale drepturilor persoanelor vizate mentionate la articolul 19”.
68. AEPD constata cu satisfactie introducerea acestor dispozitii, care contribuie la asigurarea transparentei operatiunilor de prelucrare a datelor in cadrul IMI. Conform observatiilor din sectiunea 2.1 de mai sus, in cazul unui sistem informatic folosit in 27 de state membre este crucial sa se asigure consecventa in ceea ce priveste operarea sistemului, garantiile privind protectia datelor aplicate si informatiile furnizate persoanelor vizate [32].
69. In plus, dispozitiile articolului 17 alineatul (2) ar trebui sa fie consolidate si mai mult. Comisia, in calitate de operator al sistemului, este cea mai potrivita pentru a prelua un rol proactiv in asigurarea unui prim “nivel” de notificare privind protectia datelor si in furnizarea altor informatii relevante pentru persoanele vizate, pe site-ul sau internet multilingv, precum si “in numele” autoritatilor competente, adica incluzand informatiile necesare in conformitate cu articolul 10 sau 11 din Directiva 95/46/CE. In acest caz, de cele mai multe ori ar fi suficient ca notificarile transmise de autoritatile competente din statele membre sa faca doar o trimitere la notificarea Comisiei, completand-o, dupa caz, cu orice informatie suplimentara specifica impusa de dreptul national.
70. In plus, articolul 17 alineatul (2) litera (b) ar trebui sa clarifice faptul ca informatiile furnizate de catre Comisie se vor referi in mod complet la toate domeniile de politica, la toate tipurile de proceduri de cooperare administrativa si la toate functionalitatile din cadrul IMI si, de asemenea, vor include in mod explicit categoriile de date care pot fi prelucrate. Aceasta trebuie sa includa publicarea pe site-ul internet al IMI a seturilor de intrebari folosite in cooperarea bilaterala, astfel cum se procedeaza in practica in prezent.

2.9. Drepturile de acces, rectificare si anulare (articolul 18)

71. AEPD doreste sa se refere inca o data, dupa cum s-a mentionat in sectiunea 2.1 de mai sus, la faptul ca este crucial sa se asigure consecventa in ceea ce priveste operarea sistemului si garantiile care se aplica privind protectia datelor. Din acest motiv, AEPD ar explicita si mai mult dispozitiile referitoare la drepturile de acces, de corectare si de stergere.
72. Articolul 18 ar trebui sa precizeze cui trebuie sa se adreseze persoanele vizate pentru a depune o cerere de acces. Acest lucru ar trebui sa fie clar in privinta accesului la date pe parcursul unor perioade de timp diferite:
– inainte de inchiderea cazului;
– dupa inchiderea cazului, dar inainte de expirarea perioadei de pastrare de 18 luni;
– si, in cele din urma, in cursul perioadei in care datele sunt “blocate”.
73. Regulamentul ar trebui, de asemenea, sa impuna autoritatilor competente sa coopereze in privinta cererilor de acces, daca este necesar. Corectarea si stergerea ar trebui sa se efectueze “cat mai curand, dar in termen de cel mult 60 de zile” mai degraba decat “in termen de 60 de zile”. Ar trebui, de asemenea, sa se faca trimiteri la posibilitatea crearii unui modul de protectie a datelor si la posibilitatea adoptarii solutiilor de “luare in considerare a vietii private incepand cu momentul conceperii” in ceea ce priveste cooperarea intre autoritati cu privire la drepturile de acces, precum si “imputernicirea persoanelor vizate”, de exemplu, acordandu-le acces direct la datele lor, atunci cand acest lucru este relevant si fezabil.

2.10. Supravegherea (articolul 20)

74. In ultimii ani a fost elaborat modelul “supravegherii coordonate”. Acest model de supraveghere, astfel cum functioneaza in prezent in Eurodac si in anumite parti ale Sistemului de informatii al vamilor, a fost adoptat si pentru Sistemul de informatii privind vizele (VIS) si pentru Sistemul de informatii Schengen de a doua generatie (SIS II).
75. Acest model are trei niveluri:
– supravegherea la nivel national este asigurata de autoritatile nationale de protectie a datelor;
– supravegherea la nivelul UE este asigurata de AEPD;
– coordonarea este asigurata prin reuniuni periodice si alte activitati coordonate, sprijinite de AEPD prin indeplinirea rolului de secretariat pentru acest mecanism de coordonare.
76. Acest model care s-a bucurat de succes si s-a dovedit a fi eficient ar trebui luat in considerare in viitor pentru alte sisteme de informatii.
77. AEPD saluta faptul ca articolul 20 din propunere prevede in mod explicit supravegherea coordonata intre autoritatile nationale de protectie a datelor si AEPD urmand – in linii mari – modelul stabilit in regulamentele VIS si SIS II [33].
78. AEPD ar dori o consolidare a dispozitiilor privind supravegherea coordonata, in anumite privinte si, in acest scop, se pronunta pentru introducerea unor dispozitii similare celor existente, de exemplu, in contextul Sistemului de informatii privind vizele (articolele 41-43 din Regulamentul VIS) si al Schengen II (articolele 44-46 din Regulamentul SIS II) si preconizate pentru Eurodac [34]. In special, ar fi util ca regulamentul:
– la articolul 20 alineatele (1) si (2), sa stabileasca si sa imparta mai clar sarcinile de supraveghere ale autoritatilor nationale de protectie a datelor si respectiv ale AEPD [35];
– la articolul 20 alineatul (3), sa precizeze faptul ca autoritatile nationale de protectie a datelor si AEPD, actionand fiecare in conformitate cu propriile competente, “coopereaza activ” si “asigura o supraveghere coordonata a IMI” (mai degraba decat sa se refere doar la supravegherea coordonata, fara a mentiona cooperarea activa) [36]; si
– sa precizeze mai in detaliu ce poate cuprinde cooperarea, de exemplu impunand autoritatilor nationale de protectie a datelor si AEPD, “actionand fiecare in conformitate cu propriile competente, sa faca schimb de informatii relevante, sa se asiste reciproc in realizarea activitatilor de audit si a inspectiilor, sa examineze dificultatile legate de interpretarea sau punerea in aplicare a Regulamentului IMI, sa analizeze problemele care pot aparea in ceea ce priveste exercitarea supravegherii independente sau a drepturilor persoanelor vizate, sa formuleze propuneri armonizate in vederea gasirii unor solutii comune la eventualele probleme si sa asigure sensibilizarea in privinta drepturilor in materie de protectie a datelor, daca este necesar” [37].
79. Acestea fiind spuse, AEPD este constienta de dimensiunea actuala mai redusa, de natura diferita a datelor prelucrate, precum si de caracterul evolutiv al sistemului IMI. Prin urmare, AEPD recunoaste faptul ca, in privinta frecventei reuniunilor si a auditurilor, ar fi recomandabila mai multa flexibilitate. Pe scurt, AEPD recomanda ca regulamentul sa prevada normele minime necesare pentru asigurarea unei cooperari eficiente, dar fara sa creeze sarcini administrative inutile.
80. Articolul 20 alineatul (3) din propunere nu impune reuniuni periodice, ci prevede doar ca AEPD poate “invita autoritatile nationale de supraveghere sa se reuneasca […] daca acest lucru este necesar”. AEPD saluta faptul ca aceste dispozitii lasa la latitudinea partilor implicate sa decida cu privire la frecventa si modalitatile in care sa aiba loc reuniunile, precum si alte detalii procedurale ale cooperarii lor. Acestea pot fi convenite in cadrul normelor de procedura, care sunt deja mentionate in propunere.
81. In ceea ce priveste auditurile periodice, de asemenea poate fi mai eficient ca autoritatile care coopereaza sa aiba dreptul de a stabili, in normele lor de procedura, cand si cu ce frecventa sa aiba loc auditurile. Aceste lucruri pot sa depinda de o serie de factori si pot sa sufere modificari in timp. Prin urmare, AEPD sprijina abordarea Comisiei, care si in aceasta privinta permite mai multa flexibilitate.

2.11. Utilizarea IMI la nivel national

82. AEPD saluta faptul ca propunerea prevede un temei juridic clar pentru utilizarea IMI la nivel national si ca aceasta utilizare este supusa mai multor conditii, inclusiv aceea ca autoritatea nationala de protectie a datelor trebuie consultata si ca utilizarea respectiva trebuie sa fie in conformitate cu dreptul national.

2.12. Schimbul de informatii cu tari terte (articolul 22)

83. AEPD saluta cerintele stabilite la articolul 22 alineatul (1) pentru schimburile de informatii, precum si faptul ca articolul 22 alineatul (3) asigura transparenta procesului de extindere prin publicarea in Jurnalul Oficial a unei liste actualizate a tarilor terte care utilizeaza sistemul IMI [articolul 22 alineatul (3)].
84. In plus, AEPD recomanda Comisiei sa limiteze trimiterea la derogarile in temeiul articolului 26 din Directiva 95/46/CE astfel incat sa includa numai articolul 26 alineatul (2). Cu alte cuvinte: autoritatile competente sau alti actori externi dintr-o tara terta care nu isi poate permite o protectie adecvata nu ar trebui sa aiba acces direct la IMI decat in cazul in care exista clauze contractuale corespunzatoare in vigoare. Aceste clauze ar trebui negociate la nivelul Uniunii Europene.
85. AEPD subliniaza faptul ca nu ar trebui folosite alte derogari, precum aceea ca “transferul sa fie necesar sau impus prin lege pentru apararea unui interes public important, sau pentru constatarea, exercitarea sau apararea unui drept in justitie”, pentru a justifica transferuri de date catre tari terte care folosesc accesul direct la IMI [38].

2.13. Responsabilitatea (articolul 26)

86. In concordanta cu consolidarea preconizata a acordurilor pentru cresterea responsabilitatii in cadrul analizei cadrului de protectie a datelor la nivelul UE [39], AEPD recomanda ca regulamentul sa stabileasca un cadru clar pentru instituirea unor mecanisme de control intern adecvate, care sa asigure respectarea protectiei datelor si sa furnizeze dovezi in acest sens, si care sa contina cel putin elementele mentionate in cele ce urmeaza.
87. In acest context, AEPD saluta cerinta de la articolul 26 alineatul (2) din regulament, conform careia o data la trei ani Comisia trebuie sa prezinte AEPD un raport privind aspectele referitoare la protectia datelor, inclusiv la securitate. Ar fi recomandabil ca regulamentul sa clarifice faptul ca AEPD, la randul sau, ar fi obligata sa transmita raportul Comisiei la autoritatile nationale de protectie a datelor, in cadrul supravegherii coordonate mentionate la articolul 20. De asemenea, ar fi util sa se clarifice faptul ca raportul trebuie sa se refere, cu privire la fiecare domeniu de politica si la fiecare functionalitate, la felul cum au fost abordate in practica cele mai importante principii si motive de ingrijorare privind protectia datelor (de exemplu, informatiile destinate persoanelor vizate, drepturile de acces, securitatea).
88. In plus, regulamentul ar trebui sa clarifice si necesitatea ca structura-cadru pentru mecanismele de control intern sa includa si declaratii de confidentialitate (incluzand si o analiza de risc privind securitatea), o politica de protectie a datelor (incluzand un plan de securitate) adoptata pe baza rezultatelor acestora, precum si verificari si audituri periodice.

2.14. Luarea in considerare a vietii private incepand cu momentul conceperii

89. AEPD saluta trimiterea la acest principiu care se face la considerentul 6 din regulament [40]. AEPD recomanda ca, in afara de aceasta trimitere, regulamentul sa mai introduca si garantii specifice pentru luarea in considerare a vietii private incepand cu momentul conceperii, precum:
– un modul de protectie a datelor care sa permita persoanelor vizate sa isi exercite drepturile mai eficient [41];
– o linie de demarcatie clara intre diferitele domenii de politica incluse in IMI (“zidurile chinezesti”) [42];
– solutii tehnice specifice care sa limiteze capacitatile de cautare in directoare, informatiile referitoare la alerte si alte aspecte, pentru a asigura limitarea scopului;
– masuri specifice prin care sa se asigure inchiderea cazurilor fara activitate [43];
– garantii procedurale adecvate in contextul evolutiilor viitoare [44].

3. CONCLUZII

90. Opiniile generale ale AEPD cu privire la IMI sunt favorabile. AEPD sustine scopurile Comisiei de a crea un sistem electronic pentru schimbul de informatii si de a reglementa aspectele privind protectia datelor ale acestuia. De asemenea, AEPD saluta propunerea de catre Comisie a unui instrument juridic orizontal pentru IMI sub forma de regulament al Parlamentului si al Consiliului. AEPD constata cu satisfactie faptul ca propunerea evidentiaza in mod cuprinzator cele mai relevante aspecte ale protectiei datelor legate de IMI.
91. In ceea ce priveste cadrul juridic al IMI care urmeaza sa fie instituit prin regulamentul propus, AEPD atrage atentia asupra a doua provocari majore:
– necesitatea asigurarii consecventei, respectand in acelasi timp diversitatea; si
– necesitatea realizarii unui echilibru intre flexibilitate si securitate juridica.
92. Functionalitatile IMI care sunt deja previzibile ar trebui sa fie clarificate si abordate intr-un mod mai explicit.
93. Ar trebui sa se aplice garantii procedurale adecvate, prin care sa se asigure luarea atenta in considerare a protectiei datelor in cursul dezvoltarii viitoare a IMI. Printre acestea trebuie sa se numere o evaluare a impactului si consultarea AEPD si a autoritatilor nationale de protectie a datelor inainte de fiecare extindere a domeniului de aplicare al IMI cu un domeniu de politica nou si/sau cu functionalitati noi.
94. Drepturile de acces ale actorilor externi si drepturile de acces la alerte ar trebui sa fie mai bine explicitate.
95. In ceea ce priveste perioadele de pastrare:
– regulamentul ar trebui sa prevada garantii privind inchiderea in timp util a cazurilor in cadrul IMI si stergerea din baza de date a cazurilor inactive (cazuri fara activitate recenta);
– ar trebui sa se reanalizeze daca exista o justificare adecvata pentru prelungirea perioadei actuale de sase luni la 18 luni de la inchiderea cazului;
– Comisia nu a oferit suficiente justificari cu privire la necesitatea si proportionalitatea pastrarii “datelor blocate” pentru o perioada de pana la cinci ani si, prin urmare, aceasta propunere ar trebui reanalizata;
– ar trebui sa se faca o distinctie mai clara intre alerte si listele de informatii. Regulamentul ar trebui sa prevada, ca norma implicita, ca: (i) – cu exceptia cazului in care se prevedere altfel in legislatia verticala si sub rezerva unor garantii suplimentare adecvate – alertelor sa li se aplice o perioada de pastrare de sase luni; si ca (ii) aceasta perioada sa fie calculata de la momentul trimiterii alertei.
96. Regulamentul ar trebui sa impuna o evaluare a riscului si o revizuire a planului de securitate inainte de orice extindere a IMI intr-un domeniu de politica nou sau inainte de adaugarea unei noi functionalitati cu impact asupra datelor cu caracter personal.
97. Dispozitiile referitoare la informarea persoanelor vizate si la drepturile de acces ar trebui consolidate si ar trebui sa incurajeze o abordare mai consecventa.
98. AEPD ar dori o consolidare a dispozitiilor privind supravegherea coordonata in anumite privinte si, in acest scop, sustine introducerea unor dispozitii similare celor existente, de exemplu, in contextul Sistemului de informatii privind vizele si al Sistemului Schengen II si preconizate pentru Eurodac. In ceea ce priveste frecventa reuniunilor si a auditurilor, AEPD sustine abordarea flexibila a propunerii, menita sa asigure stabilirea de catre regulament a normelor minime necesare pentru asigurarea unei cooperari eficiente, dar fara crearea unor sarcini administrative inutile.
99. Regulamentul ar trebui sa prevada ca autoritatile competente sau alti actori externi dintr-o tara terta care nu permite o protectie adecvata pot avea acces direct la IMI numai in cazul in care exista clauze contractuale corespunzatoare. Aceste clauze ar trebui negociate la nivelul Uniunii Europene.
100. Regulamentul ar trebui sa stabileasca un cadru clar pentru instituirea unor mecanisme de control intern adecvate, care sa asigure respectarea protectiei datelor si sa furnizeze dovezi in acest sens, inclusiv declaratii de confidentialitate (incluzand si o analiza de risc privind securitatea), o politica de protectie a datelor (incluzand un plan de securitate) adoptata pe baza rezultatelor acestora, precum si verificari si audituri periodice.
101. Regulamentul ar trebui sa mai introduca si garantii specifice pentru luarea in considerare a vietii private incepand cu momentul conceperii.

Adoptat la Bruxelles, 22 noiembrie 2011.

Giovanni Buttarelli
Adjunctul Autoritatii Europene pentru Protectia Datelor

____________________________________________________

[1] JO L 281, 23.11.1995, p. 31.
[2] JO L 8, 12.1.2001, p. 1.
[3] COM(2011) 522 final.
[4] COM(2011) 75.
[5] Directiva 2005/36/CE a Parlamentului European si a Consiliului din 7 septembrie 2005 privind recunoasterea calificarilor profesionale (JO L 255, 30.9.2005, p. 22).
[6] Directiva 2006/123/CE a Parlamentului European si a Consiliului din 12 decembrie 2006 privind serviciile in cadrul pietei interne (JO L 376, 27.12.2006, p. 36).
[7] Pentru exemplificare, o intrebare tipica privind date sensibile ar putea fi: “Documentul anexat justifica in mod legal absenta suspendarii sau a interzicerii exercitarii activitatilor profesionale relevante in caz de eroare profesionala grava sau de infractiune penala cu privire la (profesionistul migrant)?”.
[8] A se vedea considerentul 10.
[9] A se vedea articolul 13 alineatul (2).
[10] Avizul nr. 7/2007 al WP29 privind aspecte de protectie a datelor legate de Sistemul de informare al pietei interne (IMI), WP140. Disponibil la: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp140_en.pdf
[11] Documentele-cheie referitoare la aceasta cooperare sunt disponibile pe site-ul internet al Comisiei dedicat IMI, la: http://ec.europa.eu/internal_market/imi-net/data_protection_en.html, precum si pe site-ul internet al AEPD, la: http://www.edps.europa.eu
[12] Avizul AEPD asupra Deciziei 2008/49/CE a Comisiei din 12 decembrie 2007 privind punerea in aplicare a Sistemului de informare al pietei interne (IMI) in ceea ce priveste protectia datelor cu caracter personal (JO C 270, 25.10.2008, p. 1).
[13] WP29 intentioneaza sa prezinte si observatii referitoare la aceasta propunere. AEPD a urmarit acest evolutii din cadrul subgrupului relevant al WP29 si a contribuit cu observatii.
[14] In aceasta privinta, a se vedea si observatiile noastre din sectiunea 2.2 cu privire la extinderea preconizata a sistemului IMI.
[15] Directiva 2011/24/UE a Parlamentului European si a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacientilor in cadrul asistentei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).
[16] In textul proiectului de regulament in sine nu se mentioneaza o evaluare a impactului. Cu toate acestea, la pagina 7 din expunerea de motive a propunerii se explica faptul ca, prin adoptarea unui act delegat si “in urma unei evaluari a fezabilitatii tehnice, a raportului cost-eficienta, a usurintei in utilizare si a impactului general al sistemului, precum si a rezultatelor unei posibile faze de testare”, Comisia este imputernicita sa transfere elemente din anexa II in anexa I.
[17] Cu exceptia SOLVIT (a se vedea anexa II punctul I subpunctul 1), unde nu este disponibil decat un instrument juridic neobligatoriu, o recomandare a Comisiei. Din punctul de vedere al protectiei datelor, in opinia AEPD, temeiul juridic al prelucrarii poate fi “acordul” persoanelor vizate, in cazul particular al SOLVIT.
[18] Acest lucru se poate produce la initiativa Comisiei, dar nu se poate exclude nici posibilitatea ca ideea de a utiliza IMI intr-un anumit domeniu de politica sa apara mai tarziu in cadrul procesului legislativ, eventual la propunerea Parlamentului sau a Consiliului. Acest lucru s-a mai produs in trecut, in legatura cu Directiva privind drepturile pacientilor in cadrul asistentei medicale transfrontaliere. Intr-un astfel de caz este necesara mai multa claritate cu privire la “procedura” extinderii, care pare sa vizeze doar situatia extinderii prin intermediul actelor delegate (a se vedea dispozitiile referitoare la evaluarea impactului, acte delegate, actualizarea anexei I).
[19] De exemplu, schimburile de informatii bilaterale care se efectueaza in baza Directivei privind calificarile profesionale si a Directivei privind drepturile pacientilor in cadrul asistentei medicale transfrontaliere urmaresc in principal aceeasi structura si pot fi abordate folosind functionalitati similare, sub rezerva unor garantii similare privind protectia datelor.
[20] A se vedea considerentele 2, 10, 12, 13, 15 si articolul 5 literele (b) si (i), articolul 10 alineatul (7) si articolul 13 alineatul (2).
[21] In legatura cu aceasta, daca exista intentia ca IMI sa inlocuiasca sau sa completeze sistemele actuale de gestionare a dosarelor si de arhivare, si/sau de a folosi sistemul ca baza de date, acest lucru trebuie clarificat la articolul 3.
[22] A se vedea anexa II punctul I subpunctul 1.
[23] A se vedea sectiunile 2.4 si 2.5.5 de mai jos.
[24] A se vedea si sectiunea 2.2.2.
[25] Articolul 13 alineatul (1) sugereaza ca cele 18 luni reprezinta un termen “maxim”, aceasta insemnand ca se poate stabili si o perioada mai scurta. Acest lucru nu ar influenta, totusi, durata totala a pastrarii, care s-ar intinde, in orice caz, pana la expirarea a cinci ani de la inchiderea cazului.
[26] A se vedea anexa II punctul I subpunctul 1.
[27] Intelegem ca s-au depus eforturi pentru a asigura acest lucru la nivel practic.
[28] C-553/07, Rijkeboer, Rec., 2009, p. I-3889.
[29] Desi pastrarea datelor cu caracter personal prezinta comparativ mai putine riscuri pentru viata privata, AEPD considera, totusi, ca nici pastrarea datelor cu caracter personal ale utilizatorilor IMI pentru o perioada de cinci ani dupa ce acestia nu mai au acces la IMI nu a fost justificata suficient.
[30] A se vedea anexa II punctul I subpunctul 1.
[31] A se vedea si sectiunea 12 privind recomandarile referitoare la audituri.
[32] Aceasta abordare de asigurare a consecventei trebuie, desigur, sa tina seama de orice divergenta nationala, atunci cand acest lucru este necesar si justificat.
[33] A se vedea Regulamentul (CE) nr. 1987/2006 al Parlamentului European si al Consiliului din 20 decembrie 2006 privind instituirea, functionarea si utilizarea Sistemului de informatii Schengen din a doua generatie (SIS II) (JO L 381, 28.12.2006, p. 4) si Regulamentul (CE) nr. 767/2008 al Parlamentului European si al Consiliului din 9 iulie 2008 privind Sistemul de informatii privind vizele (VIS) si schimbul de date intre statele membre cu privire la vizele de scurta sedere (Regulamentul VIS) (JO L 218, 13.8.2008, p. 60).
[34] Regulamentul (CE) nr. 2725/2000 al Consiliului din 11 decembrie 2000 privind instituirea sistemului “Eurodac” pentru compararea amprentelor digitale in scopul aplicarii eficiente a Conventiei de la Dublin (JO L 316, 15.12.2000, p. 1), in prezent in curs de revizuire. In acest context, sunt luate in considerare dispozitii similare celor din regulamentele VIS si SIS II.
[35] A se vedea, de exemplu, articolele 41 si 42 din Regulamentul VIS.
[36] A se vedea, de exemplu, articolul 43 alineatul (1) din Regulamentul VIS.
[37] A se vedea, de exemplu, articolul 43 alineatul (2) din Regulamentul VIS.
[38] O abordare similara a fost adoptata la articolul 22 alineatul (2) pentru situatia Comisiei in calitate de actor IMI.
[39] A se vedea sectiunea 2.2.4 din Comunicarea Comisiei catre Parlamentul European, Consiliu, Comitetul Eonomic si Social si Comitetul Regiunilor – “O abordare globala a protectiei datelor cu caracter personal in Uniunea Europeana”, COM(2010) 609 final. A se vedea si sectiunea 7 din avizul emis de AEPD cu privire la aceasta comunicare a Comisiei la 14 ianuarie 2011.
[40] Idem.
[41] A se vedea sectiunea 2.9 de mai sus.
[42] A se vedea sectiunea 2.4 de mai sus.
[43] A se vedea sectiunea 2.5.2 de mai sus.
[44] A se vedea sectiunea 2.2.2 de mai sus.

Adauga comentariu

*

Acest site folosește cookie-uri. Continuarea navigării presupune că ești de acord cu utilizarea cookie-urilor. Informații suplimentare

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close