Rada
Unii Europejskiej
Bruksela, 2 grudnia 2020 r.
(OR. en) 13588/20
SCH-EVAL 190 DATAPROTECT 142 COMIX 556
Międzyinstytucjonalny numer referencyjny:
2019/0267(NLE)
WYNIK PRAC
Od: Sekretariat Generalny Rady Data: 1 grudnia 2020 r.
Do: Delegacje
Nr poprz. dok.: 12856/20
Dotyczy: Decyzja wykonawcza Rady ustanawiająca zalecenie w sprawie
wyeliminowania niedociągnięć stwierdzonych w toku przeprowadzonej w 2019 r. oceny stosowania przez Słowenię dorobku Schengen w dziedzinie ochrony danych
Delegacje otrzymują w załączeniu decyzję wykonawczą Rady ustanawiającą zalecenie w sprawie wyeliminowania niedociągnięć stwierdzonych w toku przeprowadzonej w 2019 r. oceny stosowania przez Słowenię dorobku Schengen w dziedzinie ochrony danych, przyjętą w procedurze pisemnej w dniu 1 grudnia 2020 r.
Zgodnie z art. 15 ust. 3 rozporządzenia Rady (UE) nr 1053/2013 z dnia 7 października 2013 r.
przedmiotowe zalecenie zostanie przekazane Parlamentowi Europejskiemu i parlamentom narodowym.
Decyzja wykonawcza Rady ustanawiająca
ZALECENIE
w sprawie wyeliminowania niedociągnięć stwierdzonych w toku przeprowadzonej w 2019 r.
oceny stosowania przez Słowenię dorobku Schengen w dziedzinie ochrony danych
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Rady (UE) nr 1053/2013 z dnia 7 października 2013 r. w sprawie ustanowienia mechanizmu oceny i monitorowania w celu weryfikacji stosowania dorobku Schengen oraz uchylenia decyzji komitetu wykonawczego z dnia 16 września 1998 r. dotyczącej utworzenia Stałego Komitetu ds. Oceny i Wprowadzania w Życie Dorobku Schengen1,
w szczególności z jego art. 15,
uwzględniając wniosek Komisji Europejskiej, a także mając na uwadze, co następuje:
(1) Niniejsza decyzja ma na celu przedstawienie działań naprawczych, których wdrożenie zaleca się Słowenii w celu wyeliminowania niedociągnięć stwierdzonych w toku przeprowadzonej w 2019 r. oceny stosowania dorobku Schengen w dziedzinie ochrony danych. W wyniku przeprowadzonej oceny decyzją wykonawczą Komisji C(2019)8050 przyjęto sprawozdanie zawierające ustalenia i opinie, wymieniające najlepsze praktyki oraz wskazujące niedociągnięcia stwierdzone w toku tej oceny.
(2) Za dobrą praktykę uważa się między innymi szkolenia z zakresu ochrony danych
organizowane specjalnie dla personelu policji; fakt, że organ ochrony danych przeprowadził znaczną liczbę czynności nadzorczych w zakresie SIS II i VIS; struktura VIZIS zapewnia wysoki poziom ochrony danych i gwarantuje obecność odpowiednich zabezpieczeń, a także to, że informacje na temat SIS II i VIS przekazywane osobom, których dane dotyczą, są bardzo szczegółowe i łatwo dostępne.
1 Dz.U. L 295 z 6.11.2013, s. 27.
(3) W świetle znaczenia, jakie ma przestrzeganie dorobku Schengen dotyczącego ochrony danych w odniesieniu do SIS II, priorytetowo należy potraktować wdrożenie zaleceń nr 8, 13 i 14. W odniesieniu do zalecenia nr 13 policja przeprowadza obecnie kontrole zapisów wprowadzonych w odległej przeszłości w stosunku do bardzo niewielu użytkowników.
Kontrole zapisów z mniej odległej przeszłości w stosunku do większej liczby użytkowników zmniejszą obciążenie dla poszczególnych użytkowników, a jednocześnie zapewnią
spójniejsze monitorowanie działań użytkowników w SIS II.
(4) W świetle znaczenia, jakie ma przestrzeganie dorobku Schengen dotyczącego ochrony danych w odniesieniu do VIS, priorytetowo należy potraktować wdrożenie zaleceń nr 5 i 6.
(5) Ponadto w celu zagwarantowania pewności prawa należy szybko przyjąć przepisy krajowe określające ogólne rozporządzenie (UE) 2016/679 o ochronie danych i transponujące dyrektywę (UE) 2016/680 o ochronie danych w sprawach karnych. W związku z tym najwyższy priorytet należy nadać zaleceniu 1.
(6) Niniejszą decyzję należy przekazać Parlamentowi Europejskiemu i parlamentom państw członkowskich. Zgodnie z art. 16 ust. 1 rozporządzenia (UE) nr 1053/2013 w terminie trzech miesięcy od momentu, gdy decyzja zostanie przyjęta, Słowenia powinna opracować plan działania, w którym wyszczególnione zostaną wszystkie zalecenia w celu
wyeliminowania niedociągnięć wymienionych w sprawozdaniu z oceny, i przekazać go Komisji i Radzie,
ZALECA:
aby Słowenia:
Ustawodawstwo
1. w trybie pilnym dostosowała ustawodawstwo krajowe do przepisów ogólnego
rozporządzenia (UE) 2016/679 o ochronie danych i dokonała pełnej transpozycji dyrektywy (UE) 2016/680 o ochronie danych w sprawach karnych;
Organ nadzorczy ds. ochrony danych
2. zadbała o terminowe kończenie obowiązkowych kontroli prowadzonych przez organ ochrony danych, po tym jak zostanie wprowadzona wystarczająca podstawa do podejmowania decyzji;
3. zadbała o to, by co najmniej co cztery lata przeprowadzano ogólny audyt VIS w zakresie przetwarzania danych w systemie krajowym;
Wizowy system informacyjny
4. przeprowadziła i udokumentowała ocenę ryzyka w odniesieniu do serwerowni oraz ograniczyła ryzyko związane z bezpieczeństwem fizycznym;
5. oceniła, czy punkt odzyskiwania danych SI.VIS i VIZIS należy utworzyć w innej lokalizacji niż główny serwer;
6. przeprowadzała regularne kontrole wewnętrzne całego systemu SI.VIS w celu zapewnienia poprawnego działania i wykorzystywania systemu;
7. zapewniła aktywny udział inspektora ochrony danych i MSZ w projektach dotyczących przetwarzania danych osobowych;
System Informacyjny Schengen
8. zadbała o to, by procedurę usuwania informacji uzupełniających w aplikacji SIRENE stosowano częściej i w regularnych odstępach czasu;
9. zadbała o to, by procedury usuwania informacji uzupełniających w aplikacji SIRENE były dokumentowane na piśmie i dostępne dla inspektora ochrony danych oraz organu ochrony danych;
10. zadbała o to, by procedury usuwania były przeprowadzane automatycznie w celu zagwarantowania, że po upływie okresu przechowywania dane zostaną usunięte;
11. przeprowadziła i udokumentowała ocenę ryzyka dla ośrodka danych i serwerowni policji oraz ograniczyła najwyższe ryzyko dla bezpieczeństwa fizycznego danych;
12. oceniła, czy należy przyznać dostęp do serwerowni w centrum danych policji aż tylu pracownikom, i zadbała o to, by prawa dostępu były ograniczone do pracowników, którym fizyczny dostęp do szaf serwerowych potrzebny jest w ramach pełnionych zadań;
13. przeprowadzała częstsze kontrole rejestrów dotyczących dostępu do danych SIS II i ich przetwarzania;
14. zadbała o przestrzeganie okresów przechowywania wpisów i usuwanie wpisów
pochodzących sprzed ponad trzech lat, zgodnie z przepisami art. 12 ust. 4 decyzji w sprawie SIS II i rozporządzenia w sprawie SIS II;
15. prowadziła regularne wewnętrzne kontrole zgodności z przepisami dotyczącymi ochrony danych SIS II, zgodnie z przepisami art. 13 decyzji w sprawie SIS II i rozporządzenia w sprawie SIS II;
Prawa osób, których dane dotyczą, i podnoszenie świadomości
16. zadbała o to, by inspekcje prowadzone przez organ ochrony danych na wniosek osób, których dane dotyczą, kończono w terminie, tak aby osoby te były w stanie skutecznie korzystać ze swoich praw do administracyjnych środków odwoławczych;
17. ułatwiła osobom, których dane dotyczą, korzystanie z ich praw, poprzez interpretowanie ogólnych wniosków, w których nie wskazano systemu lub systemów, o dostęp do których osoby te ubiegają się w celu uzyskania dostępu do swoich danych osobowych, w sposób obejmujący również dane osobowe przetwarzane w SIS II;
18. poprawiła standardową odpowiedź na wnioski o udzielenie informacji, w przypadkach gdy dostęp jest ograniczony;
19. zapewniła właściwą podstawę prawną w prawie krajowym w odniesieniu do przypadków ograniczenia praw osób, których dane dotyczą, wynikających z decyzji w sprawie SIS II.
Sporządzono w Brukseli dnia […] r.
W imieniu Rady Przewodniczący
__________________