Avizul Autoritatii Europene pentru Protectia Datelor privind propunerea de regulament al Consiliului privind cooperarea administrativa in domeniul accizelor
Avizul Autoritatii Europene pentru Protectia Datelor privind propunerea de regulament al Consiliului privind cooperarea administrativa in domeniul accizelor
2012/C 74/01
AUTORITATEA EUROPEANA PENTRU PROTECTIA DATELOR,
avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16,
avand in vedere Carta drepturilor fundamentale a Uniunii Europene, in special articolele 7 si 8,
avand in vedere Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date [1],
avand in vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului din 18 decembrie 2000 privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de catre institutiile si organele comunitare si privind libera circulatie a acestor date [2], in special articolul 28 alineatul (2),
ADOPTA PREZENTUL AVIZ:
1. INTRODUCERE
1.1. Consultarea AEPD
1. La 14 noiembrie 2011, Comisia a adoptat o propunere de regulament al Consiliului privind cooperarea administrativa in domeniul accizelor [3] (denumita in continuare “propunerea”).
2. La aceeasi data, Comisia a transmis propunerea catre AEPD. AEPD intelege aceasta comunicare ca fiind o solicitare de a acorda consultanta institutiilor si organelor comunitare, conform celor prevazute la articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001.
3. Inainte de adoptarea propunerii, Comisia a oferit AEPD posibilitatea de a formula observatii neoficiale. AEPD saluta acest proces, care a contribuit la imbunatatirea textului din punctul de vedere al protectiei datelor, intr-o faza incipienta. O parte dintre observatiile respective au fost luate in considerare in propunere. AEPD saluta includerea in preambulul propunerii a unei trimiteri la aceasta consultare.
4. Cu toate acestea, AEPD doreste sa sublinieze cateva elemente din cadrul textului care ar putea sa fie imbunatatite in continuare din perspectiva protectiei datelor.
1.2. Contextul general
5. Scopul propunerii este de a actualiza dispozitiile Regulamentului (CE) nr. 2073/2004, care a stabilit un cadru juridic pentru cooperarea administrativa intre autoritatile fiscale nationale in domeniul accizelor (la alcool, tutun si produse energetice) in vederea combaterii fraudei privind accizele. Regulamentul a stabilit norme cu caracter obligatoriu privind cooperarea dintre statele membre, a introdus schimburile de informatii automate si spontane (pe langa schimbul de informatii la cerere) si a permis autoritatilor nationale competente sa faca schimb reciproc de informatii, in special prin mijloace electronice. Regulamentul a prevazut, de asemenea, conditiile de cooperare cu Comisia.
6. Aceste dispozitii trebuie revizuite pentru a se lua in considerare modificarile aduse Sistemului informatizat pentru circulatia si controlul produselor supuse accizelor (denumit in continuare “EMCS”), menit sa informatizeze circulatia si controlul produselor supuse accizelor. De asemenea, scopul propunerii este: (i) sa actualizeze limbajul utilizat in regulament; (ii) sa elimine dispozitiile care nu mai sunt relevante si sa structureze textul intr-o maniera mai logica; si (iii) sa simplifice cadrul de reglementare pentru a-l face mai eficient.
7. In acest context, prelucrarea datelor cu caracter personal are loc in diferite moduri. Statele membre fac schimb de informatii intre ele, cu Comisia si, de asemenea, cu tarile terte [4] privind comerciantii de produse supuse accizelor, care pot fi persoane fizice sau juridice; de asemenea, statele membre fac schimb de alte informatii comerciale, ca si de informatii privind infractiunile prezumtive sau demonstrate legate de incalcarea legislatiei privind accizele.
8. Prezentul aviz se axeaza pe acele aspecte ale propunerii care au efect asupra protectiei datelor.
2. ANALIZA PROPUNERII
2.1. Trimitere la Directiva 95/46/CE
9. AEPD saluta faptul ca propunerea mentioneaza in mod explicit, la considerentul 18, faptul ca prelucrarea datelor cu caracter personal de catre Comisie este reglementata de Regulamentul (CE) nr. 45/2001, iar prelucrarea datelor cu caracter personal de catre autoritatile competente ale statelor membre este reglementata de Directiva 95/46/CE.
10. AEPD saluta, de asemenea, referirea la aplicabilitatea legilor nationale privind protectia datelor, prevazuta la articolul 28 alineatul (4) din propunere. Cu toate acestea, dispozitia ar trebui sa se refere in mod mai explicit la “prelucrarea datelor cu caracter personal” decat la “toate stocarile sau schimburile de informatii”. Aceasta formulare este de preferat deoarece termenul “prelucrare” se refera la orice operatiune legata de informatii, asadar si la toate etapele din cadrul utilizarii informatiilor, de la colectare la orice utilizare ulterioara a acestora, in conformitate cu alineatele (2) si (3). Acest aspect este important deoarece utilizarea datelor cu caracter personal in scopuri diferite de cele pentru care au fost colectate initial face obiectul conditiilor stricte prevazute la articolele 6 si 7 din Directiva 95/46/CE.
2.2. Definirea categoriilor de date care urmeaza sa faca obiectul schimbului
11. Propunerea distinge intre doua moduri diferite de a face schimb de informatii: “cooperare la cerere” (capitolul II) si “schimb de informatii fara cerere prealabila” (capitolul III). Cu toate acestea, AEPD ia nota de faptul ca textul regulamentului nu precizeaza categoriile de date care urmeaza sa faca obiectul schimbului. In ambele cazuri (la cerere si fara cerere prealabila), se precizeaza ca, in ceea ce priveste continutul documentelor de asistenta administrativa reciproca, acesta urmeaza sa fie adoptat de catre Comisie prin acte de punere in aplicare [articolul 9 alineatul (2) si articolul 16 alineatul (3)].
12. AEPD recomanda introducerea chiar in propunere a unei descrieri generale a categoriilor de date care pot sa faca obiectul schimbului intre autoritatile competente, intrucat o astfel de descriere stabileste domeniul de aplicare al elementelor esentiale ale regulamentului. Acest aspect nu poate fi solutionat printr-un act de punere in aplicare.
13. In plus, AEPD ar trebui sa fie consultata inainte de adoptarea masurilor de punere in aplicare ce ar putea avea impact asupra protectiei datelor cu caracter personal. Aceasta obligatie ar trebui sa fie specificata in textul propunerii.
2.3. Prelucrarea datelor sensibile
14. Luand in considerare obiectivul propunerii, este probabil ca urmeaza sa fie prelucrate date privind cazurile prezumtive de frauda. AEPD subliniaza faptul ca datele privind infractiunile suspectate pot fi prelucrate doar sub controlul autoritatii publice [5] sau sub rezerva garantiilor specifice prevazute de lege [6], intrucat sunt considerate date sensibile ce necesita protectie speciala. In textul regulamentului ar trebui introduse garantii privind utilizarea in anumite conditii a unor astfel de informatii (precum drepturi de acces mai limitate, masuri de securitate mai stricte, inclusiv o evaluare a impactului asupra vietii private, un plan de securitate si proceduri de audit regulate).
15. In plus, AEPD doreste sa atraga atentia asupra faptului ca prelucrarea acestor date sensibile ar putea face obiectul unui control prealabil efectuat de AEPD sau de autoritatile nationale de protectie a datelor.
2.4. Calitatea datelor si drepturile persoanelor vizate
16. Propunerea introduce obligatia statelor membre de a mentine, intr-o baza de date electronica, un registru cu toti operatorii economici care sunt antrepozitari autorizati sau destinatari sau expeditori inregistrati. Informatiile continute in registre ar urma sa faca obiectul unui schimb automat intre statele membre prin intermediul registrului central gestionat de catre Comisie [a se vedea articolul 19 alineatul (4)].
17. La articolul 19 alineatul (3) se solicita crearea unui birou central de legatura pentru accize sau a unui departament de legatura in fiecare stat membru, care sa se asigure ca informatiile continute in registrele nationale sunt complete, exacte si actualizate. AEPD saluta aceasta prevedere, care este in conformitate cu principiul calitatii datelor consacrat atat in Directiva 95/46/CE [7], cat si in Regulamentul (CE) nr. 45/2001 [8].
18. Articolul 20 din propunere explica faptul ca operatorii economici au dreptul de a verifica informatiile facute publice in baza de date centrala administrata de catre Comisie (“SEED in Europa”) cu privire la detaliile autorizarii lor, prin introducerea numarului autorizatiei pentru accize. De asemenea, acestora li se acorda in mod explicit dreptul de a obtine corectarea oricarei greseli aparute in informatiile facute publice de catre statul membru care a eliberat autorizatia. Comisia se angajeaza sa transmita astfel de cereri de corectare autoritatii competente corespunzatoare. Pentru accesul la informatii referitoare la operatorii economici care nu sunt facute publice si pentru corectarea acestor informatii, la care Comisia nu are acces, operatorul economic trebuie sa se adreseze in continuare autoritatii competente relevante. AEPD saluta faptul ca propunerea reglementeaza si acorda in mod clar persoanelor vizate drepturi privind accesul la datele cu caracter personal care le privesc, precum si privind corectarea acestor date.
19. Cu toate acestea, articolul 28 alineatul (4) al doilea paragraf prevede ca statele membre limiteaza dreptul la informare si dreptul de acces, precum si publicarea operatiunilor de prelucrare [9] in masura necesara pentru a garanta “interesele economice sau financiare importante” ale statelor membre si ale Uniunii Europene, inclusiv in domeniile monetar, bugetar si fiscal [10]. Aceasta reprezinta o limitare a unor elemente importante ale dreptului la protectia datelor prevazut la articolul 8 din Carta drepturilor fundamentale a Uniunii Europene. Necesitatea si proportionalitatea acestor limitari trebuie demonstrate in mod clar de catre organul legislativ. In plus, in textul propunerii sau intr-un considerent trebuie prevazute situatiile specifice in care sunt necesare astfel de restrictii.
2.5. Retinerea datelor
20. Articolul 21 alineatul (1) din propunere introduce obligatia de pastrare a informatiilor privind circulatia intracomunitara timp de cel putin trei ani, in functie de politica autoritatii competente in domeniu, pentru a se permite utilizarea informatiilor in scopul procedurilor prevazute in regulament.
21. AEPD saluta obligatia stergerii sau anonimizarii oricaror date cu caracter personal dupa aceasta perioada [a se vedea articolul 21 alineatul (2)]. Cu toate acestea, propunerea nu ar trebui sa specifice doar perioada minima de retinere a datelor, ci si perioada maxima in care pot fi stocate aceste date. In plus, necesitatea de a pastra datele cu caracter personal pe perioada respectiva ar trebui sa fie justificata si demonstrata, cel putin in considerentele propunerii.
2.6. Transferuri internationale
22. Articolul 32 alineatul (1) din propunere prevede ca, in cazul tranzactiilor care par sa contravina legislatiei in domeniul accizelor, informatiile obtinute in temeiul propunerii pot fi comunicate catre o tara terta daca se aplica toate conditiile de mai jos:
– tara terta s-a angajat pe cale juridica sa furnizeze asistenta necesara pentru obtinerea dovezilor privind caracterul neregulat al tranzactiilor;
– autoritatile competente care au furnizat informatia si-au exprimat acordul in conformitate cu dreptul lor intern;
– se respecta prevederile Directivei 95/46/CE si ale legislatiei nationale de punere in aplicare a acesteia;
– datele sunt transferate in acelasi scop pentru care au fost colectate.
23. AEPD saluta referirea la aplicabilitatea legislatiei privind protectia datelor si limitarea domeniului de aplicare al transferurilor la datele privind tranzactii specifice suspectate a contraveni legislatiei in domeniul accizelor. Cu toate acestea, intrucat acest lucru presupune prelucrarea unor date sensibile, transferul trebuie sa respecte, de asemenea, legislatia nationala de punere in aplicare a Directivei 95/46/CE (a se vedea punctul 2.3).
24. AEPD saluta, de asemenea, faptul ca datele pot fi transferate doar in scopurile in care au fost colectate. Cu toate acestea, scopurile specifice pentru care datele ar putea fi transferate catre tari terte si categoriile de date care pot fi transferate ar trebui sa fie precizate in mod explicit in propunere si sa se limiteze, in principiu, la scopul de a combate incalcarea legislatiei in domeniul accizelor. De asemenea, ar trebui specificat faptul ca transferurile de date cu caracter personal catre tari terte pot fi efectuate doar de catre autoritatile fiscale nationale.
25. AEPD aminteste de asemenea ca, in conformitate cu Directiva 95/46/CE, transferurile catre tari terte sunt permise, in principiu, doar daca in tara destinatara este asigurat un nivel de protectie adecvat. Transferul catre tari care nu asigura o protectie adecvata poate fi justificat doar daca se aplica oricare dintre exceptiile prevazute la articolul 26 din Directiva 95/46/CE, de exemplu, daca transferul este necesar sau impus prin lege pentru apararea unui interes public important [11]. Totusi, se poate invoca aceasta exceptie doar in cazul in care transferul este de interes pentru autoritatile unui stat membru al UE si nu doar pentru autoritatile tarii destinatare [12]. In orice caz, exceptiile ar trebui sa fie invocate doar de la caz la caz, ceea ce inseamna ca transferurile masive sau sistematice de date nu ar trebui sa faca obiectul exceptiei bazate pe motive de interes public.
26. In plus, angajamentul juridic relevant al tarii terte ar trebui sa includa garantii specifice privind protectia vietii private si a datelor cu caracter personal si exercitarea acestor drepturi de catre persoanele vizate.
3. CONCLUZIE
27. AEPD saluta faptul ca propunerea cuprinde o referire specifica la aplicabilitatea Directivei 95/46/CE si a Regulamentului (CE) nr. 45/2001 in ceea ce priveste activitatile de prelucrare a datelor cu caracter personal care intra sub incidenta regulamentului. AEPD propune ca aceasta referire sa fie explicitata.
28. AEPD face urmatoarele recomandari in vederea imbunatatirii textului din perspectiva protectiei datelor:
– in propunere ar trebui sa fie prevazute categoriile de date ce ar urma sa faca obiectul schimbului intre autoritatile competente;
– AEPD se asteapta sa fie consultata in legatura cu masurile de punere in aplicare, din perspectiva protectiei datelor cu caracter personal;
– in textul regulamentului ar trebui sa fie introduse garantii in legatura cu utilizarea in anumite conditii a informatiilor privind cazurile prezumtive de frauda;
– necesitatea si proportionalitatea restrictiilor in ceea ce priveste drepturile de informare si acces la informatii trebuie demonstrate in mod clar de catre organul legislativ. In plus, in textul propunerii sau intr-un considerent trebuie specificate situatiile specifice in care sunt necesare aceste restrictii;
– in regulament ar trebui specificata perioada maxima de retinere a informatiilor privind circulatia intracomunitara;
– perioada de retinere ar trebui justificata in preambul;
– transferurile internationale de date privind tranzactiile suspecte ar trebui sa fie in conformitate cu articolele 8 si 26 din Directiva 95/46/CE si ar trebui specificate domeniul de aplicare, identitatea expeditorului si scopul acestora.
Adoptat la Bruxelles, 27 ianuarie 2012.
Giovanni Buttarelli
Adjunctul Autoritatii Europene pentru Protectia Datelor
[1] JO L 281, 23.11.1995, p. 31.
[2] JO L 8, 12.1.2001, p. 1.
[3] COM(2011) 730 final.
[4] In cazurile permise de Directiva 95/46/CE, dupa cum se prevede la articolul 32 alineatul (1) din propunere.
[5] A se vedea articolul 8 alineatul (5) din Directiva 95/46/CE.
[6] A se vedea articolul 8 alineatul (5) din Directiva 95/46/CE si articolul 10 alineatul (5) din Regulamentul (CE) nr. 45/2001.
[7] A se vedea articolul 6 alineatul (1) litera (d).
[8] A se vedea articolul 4 alineatul (1) litera (d).
[9] A se vedea articolul 10, articolul 11 alineatul (1), articolul 12 si articolul 21 din Directiva 95/46/CE.
[10] A se vedea articolul 13 alineatul (1) litera (e) din Directiva 95/46/CE.
[11] In conformitate cu considerentul 58 din Directiva 95/46/CE, aceasta exceptie se refera la transferurile dintre autoritatile fiscale si autoritatile vamale.
[12] A se vedea, de asemenea, Documentul de lucru al Grupului de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal din 25 noiembrie 2005 privind interpretarea comuna a articolului 26 alineatul (1) din Directiva 95/46/CE din 24 octombrie 1995 (WP114), disponibil la: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_en.pdf