Rada Unii Europejskiej Bruksela, 21 lutego 2017 r. (OR. en) Międzyinstytucjonalny numer referencyjny: 2016/0353 (NLE) 6501/17 SCH-EVAL 70 COMIX 142 NOTA Od: Sekretariat Generalny Rady Data: 21 lutego 2017 r. Do: Delegacje Nr poprz. dok.: 6129/17 Dotyczy: Decyzja wykonawcza Rady ustanawiająca zalecenie w sprawie wyeliminowania niedociągnięć stwierdzonych w toku oceny z 2015 r. dotyczącej stosowania przez Austrię dorobku Schengen w dziedzinie ochrony danych Delegacje otrzymują w załączeniu decyzję wykonawczą Rady ustanawiającą zalecenie w sprawie wyeliminowania niedociągnięć stwierdzonych w toku oceny z 2015 r. dotyczącej stosowania przez Austrię dorobku Schengen w dziedzinie ochrony danych. Decyzję tę Rada przyjęła na 3520. posiedzeniu, które odbyło się w dniu 21 lutego 2017 r. Zgodnie z art. 15 ust. 3 rozporządzenia Rady (UE) nr 1053/2013 z dnia 7 października 2013 r. zalecenie to zostanie przekazane Parlamentowi Europejskiemu i parlamentom narodowym. 6501/17 mw/ap/kkm 1 DG D 1 A PL
ZAŁĄCZNIK Decyzja wykonawcza Rady ustanawiająca ZALECENIE w sprawie wyeliminowania niedociągnięć stwierdzonych w toku oceny z 2015 r. dotyczącej stosowania przez Austrię dorobku Schengen w dziedzinie ochrony danych RADA UNII EUROPEJSKIEJ, uwzględniając rozporządzenie Rady (UE) nr 1053/2013 z dnia 7 października 2013 r. w sprawie ustanowienia mechanizmu oceny i monitorowania w celu weryfikacji stosowania dorobku Schengen oraz uchylenia decyzji komitetu wykonawczego z dnia 16 września 1998 r. dotyczącej utworzenia Stałego Komitetu ds. Oceny i Wprowadzania w Życie Dorobku Schengen 1, w szczególności jego art. 15, uwzględniając wniosek Komisji Europejskiej, a także mając na uwadze, co następuje: (1) Celem niniejszej decyzji jest zalecenie Austrii działań naprawczych mających wyeliminować niedociągnięcia stwierdzone w toku przeprowadzonej w 2015 r. oceny stosowania dorobku Schengen w dziedzinie ochrony danych. Po ocenie decyzją wykonawczą Komisji [C(2016)7201] przyjęto sprawozdanie zawierające ustalenia i opinie, wymieniające najlepsze praktyki oraz wskazujące niedociągnięcia stwierdzone w toku tej oceny. (2) W świetle znaczenia, jakie ma przestrzeganie dorobku Schengen, należy priorytetowo potraktować realizację zaleceń nr 1, 2, 10, 6, 7, 9 i 12. 1 Dz.U. L 295 z 6.11.2013, s. 27. 6501/17 mw/ap/kkm 2
(3) Niniejszą decyzję ustanawiającą zalecenie należy przekazać Parlamentowi Europejskiemu i parlamentom państw członkowskich. Zgodnie z art. 16 ust. 1 rozporządzenia (UE) nr 1053/2013 w terminie trzech miesięcy od jej przyjęcia oceniane państwo członkowskie opracuje plan działania w celu wyeliminowania niedociągnięć wymienionych w sprawozdaniu z oceny i przekaże go Komisji i Radzie, NINIEJSZYM ZALECA: by Austria: Organ nadzorczy ds. ochrony danych 1. przedstawiła dowód zatrudnienia w pełni wykwalifikowanego specjalisty w dziedzinie informatyki posiadającego wszechstronną wiedzę na temat SIS II, łącznie ze strukturą i semantyką specyficznych dla SIS II plików dziennika, oraz bez przeszkód dostępnego do przeprowadzania kontroli dotyczących legalności przetwarzania danych osobowych w SIS II; 2. wdrożyła zalecenia z 2010 r., rozpoczynając od planu działania, który organ ochrony danych ma przedstawić przy najbliższej okazji i który powinien obejmować następujące zobowiązania: przeprowadzanie z urzędu regularnych inspekcji dotyczących zgodności z prawem przetwarzania danych osobowych w SIS II przez krajowe organy mające dostęp do SIS II, w tym sprawdzanie plików dziennika przez wykwalifikowanego specjalistę w dziedzinie informatyki, jak również inspekcji w urzędach konsularnych w sprawie wiz przed końcem 2015 r.; Prawa osoby, której dane dotyczą 3. poprawiła przejrzystość w odniesieniu do dostępnych środków odwoławczych dla osób, których dotyczą dane, w trakcie wykonywania przysługującego im prawa dostępu; może to polegać na podaniu linka do standardowego formularza odwoławczego na stronie internetowej organu ochrony danych; rozważyła włączenie do odpowiedzi, które przesyła biuro SIRENE, informacji o możliwości wniesienia odwołania; 4. zaktualizowała standardowy formularz organu ochrony danych dotyczący prawa dostępu, dodając w nim informacje na temat VIS; 6501/17 mw/ap/kkm 3
5. zaleciła Ministerstwu Spraw Wewnętrznych, by zagwarantowało nieurzędowe tłumaczenie na drugi język (angielski lub francuski) odpowiedzi na wnioski o udzielenie dostępu, tak by umożliwić osobom, których dotyczą dane, zrozumienie treści odpowiedzi; 6. zapewniła, by organ ochrony danych proaktywnie zwracał się o regularne informacje zwrotne na temat liczby wniosków o udzielenie dostępu i skutków ich rozpatrzenia i otrzymywał te informacje od Ministerstwa Spraw Wewnętrznych, w tym od biura SIRENE, oraz usprawniła w tym celu współpracę między Ministerstwem Spraw Wewnętrznych a organem ochrony danych; System informacyjny Schengen 7. umożliwiła odpowiedni dostęp Ministerstwu Spraw Wewnętrznych jako administratorowi danych w N.SIS II do zapisów dziennika wynikających z działań urzędów konsularnych dotyczących SIS II; 8. ujednoliciła okres przechowywania danych w kopii N.SIS II przez Ministerstwo Spraw Zagranicznych z okresem przechowywania określonym w ramach prawnych SIS II; 9. usprawniła współpracę pomiędzy różnymi organami regulującymi N.SIS II lub mającymi do niego dostęp, w szczególności Ministerstwem Spraw Zagranicznych oraz innymi organami krajowymi, i opracowała metodę umożliwiającą zapewnienie skutecznej wymiany informacji i najlepszych praktyk; 10. zachęciła organ ochrony danych do wprowadzenia praktyki przeprowadzania regularnych kontroli działań użytkowników końcowych N.SIS II w zakresie przetwarzania danych jako regularnej praktyki nadzorczej oraz do złożenia sprawozdania na temat przyszłych planów wdrożenia tej praktyki; 11. uzupełniła standardowe klauzule umowne o ochronie danych i poufności w umowach, na podstawie których świadczenie usług zleca się firmom prywatnym, umożliwiając ich personelowi dostęp do przetwarzania danych osobowych w N.SIS II, przy regularnych kontrolach i audytach przeprowadzanych przez właściwe organy; 12. wprowadziła w pełni udokumentowany system zgłaszania incydentów, ze szczególnym uwzględnieniem incydentów dotyczących danych osobowych; w zależności od wagi incydentu system może przewidywać powiadamianie krajowego organu nadzorczego ds. ochrony danych; 6501/17 mw/ap/kkm 4
13. zachęciła właściwe organy do przekazywania organowi ochrony danych profili osób upoważnionych do dostępu do danych w N.SIS II, ich wprowadzania, aktualizacji, usuwania i wyszukiwania oraz zachęciła organ ochrony danych do działań następczych w tej kwestii zgodnie z jego zobowiązaniami prawnymi i kompetencjami; Propagowanie wiedzy 14. zaktualizowała stronę internetową organu ochrony danych, podając na niej informacje na temat ogólnych kwestii ochrony danych oraz na temat systemów SIS II i VIS w sposób łatwo zrozumiały i przyjazny dla użytkownika; 15. zaktualizowała stronę internetową Ministerstwa Spraw Wewnętrznych i naprawiła link do strony internetowej organu ochrony danych. Sporządzono w Brukseli W imieniu Rady Przewodniczący 6501/17 mw/ap/kkm 5