Wielkoskalowe systemyinformacyjne UEpod nadzorem

Systemy informatyczne UE gromadzą dane milionów obywateli i cudzoziemców podróżujących po Europie. O tym, jak zapewnia się nadzór nad ich działaniem
oraz ochronę praw podstawowych, z Marią Jędą, Główną Koordynatorką ds. Wielkoskalowych Systemów Informacyjnych UE w UODO rozmawiał Karol Witowski, Rzecznik Prasowy UODO.

Objęła Pani nowo utworzone stanowisko Głównego Koordynatora ds. Wielkoskalowych Systemów Informacyjnych UE, a także została wybrana na Zastępczynię Przewodniczącej Grupy ds. Koordynacji Nadzoru nad systemem EURODAC. Zacznijmy zatem od pytania wprowadzającego: czym są Wielkoskalowe Systemy Informacyjne UE?

Wielkoskalowe Systemy Informacyjne UE to zaawansowane technologicznie systemy informatyczne, które cechuje szeroki zakres działania i ogromna liczba przetwarzanych danych. Ich głównym celem jest wspieranie integracji europejskiej w obszarze bezpieczeństwa, współpracy policyjnej i sądowej w sprawach karnych, a także w funkcjonowaniu jednolitego rynku wewnętrznego – a więc w kluczo-wych filarach Unii Europejskiej.

Systemy te objęte są mechanizmem skoordynowanego nadzoru. Aktualnie funkcjonuje kilka jego form: Komitet Skoordynowanego Nadzoru działający w ramach Europejskiej Rady Ochrony Danych (EROD) oraz Grupy ds. Koordynacji Nadzoru nad Systemem Informacji Celnej i Systemem EURODAC  skupione wokół Europejskiego Inspektora Ochrony Danych (EIOD). W przypadku tej ostatniej grupy zostałam wybrana na funkcję zastępcy przewodniczącego.

Jakie systemy obejmuje mechanizm skoordynowanego nadzoru i w jakich obszarach funkcjonuje?

Mechanizm skoordynowanego nadzoru ulegał ewolucji – pierwotnie istniały oddzielne grupy nadzorujące poszczególne systemy, natomiast Komitet Skoordynowanego Nadzoru obejmował

jedynie system IMI. Obecnie dąży się do skupienia tego skoordynowanego nadzoru właśnie w ramach Komitetu.

Obecnie skoordynowany nadzór obejmuje:

• System Informacyjny Schengen (SIS),

• Wizowy System Informacyjny (VIS),

• Europejską Bazę Daktyloskopijną Azylową (EURODAC),

• System automatycznej wymiany danych w ramach współpracy policyjnej (Prüm II),

• System Wjazdu/Wyjazdu (EES),

• Europejski system informacji o podróży oraz zezwoleń na podróż (ETIAS),

• Agencję UE ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych (Eurojust),

• Prokuraturę Europejską (EPPO),

• Agencję UE ds. Współpracy Organów Ścigania (Europol),

• System Informacji Celnej (CIS),

• System wymiany informacji na rynku wewnętrznym (IMI).

W najbliższej przyszłości nadzór ten obejmie również:

• Europejski system przekazywania informacji z rejestrów karnych dotyczący obywateli państw trzecich (ECRIS-TCN),

• Interoperacyjność systemów EES, ETIAS, ECRIS-TCN, EURODAC, SIS i VIS,

• Dane przetwarzane w ramach mechanizmu dostosowywania cen na granicach z uwzględnieniem emisji CO₂,

• System informacji dotyczący produktów związanych z wylesianiem,

• Kwestie sektorowe związane z Aktem w sprawie danych (Data Act).

Zakres ten nieustannie się poszerza – można więc zakładać, że kolejne unijne systemy będą objęte mechanizmem skoordynowanego nadzoru.

Na czym polega współpraca między EIOD a krajowymi organami ochrony danych
w ramach tego mechanizmu?

Podstawę współpracy stanowi art. 62 rozporządzenia 2018/1725 (tzw. „EUDPR”), zgodnie z którym EIOD i krajowe organy ochrony danych – każdy w zakresie swoich kompetencji – współpracują w celu zapewnienia skutecznego nadzoru nad wielkoskalowymi systemami i unijnymi instytucjami.

Współpraca ta obejmuje m.in.:

• wymianę informacji,

• wzajemną pomoc przy audytach i inspekcjach,

• analizę trudności interpretacyjnych,

• opracowywanie wspólnych wniosków i zaleceń,

• popularyzację wiedzy o prawach osób, których dane dotyczą.

W tym celu EIOD i krajowe organy spotykają się w ramach Europejskiej Rady Ochrony Danych lub Europejskiego Inspektora Ochrony Danych, w zależności od systemu. Co dwa lata EROD przekazuje wspólne sprawozdanie z działań w zakresie skoordynowanego nadzoru Parlamentowi Europejskiemu, Radzie i Komisji Europejskiej.

Jakie są obowiązki UODO w kontekście systemów działających w ramach strefy Schengen?

Systemy wspierające zarządzanie granicami i bezpieczeństwo – takie jak SIS, VIS, EES, ETIAS – nakładają na organy ochrony danych dodatkowe obowiązki poza tymi przewidzianymi w RODO. Należą do nich:

1. Regularne audyty przetwarzania danych w tych systemach zgodnie z międzynarodowymi standardami audytu (co 3–4 lata, a w przypadku zmodernizowanego systemu ERODAC nawet co roku).

2. Kontrola logów – zapisów dotyczących historii przetwarzania, w tym identyfikatorów użytkowników i wyszukiwań w celu sprawdzania, czy dane wyszukiwanie było zgodne z prawem.

3. Realizacja pośredniego prawa dostępu, gdy osoba, której dane dotyczą, nie może otrzymać pełnej informacji od administratora krajowego komponentu. W takich sytuacjach organ ochrony danych pełni funkcję pośrednika oceniającego zasadność odmowy dostępu, mając na względzie interes publiczny, bezpieczeństwo i prawa innych osób.

Prawo do pośredniego dostępu do swoich danych jest co prawda przewidziane w art. 17 dyrektywy 2016/680, jednak UODO cały czas alarmuje, że przepis ten nie został w Polsce wdrożony prawidłowo, podczas gdy rozporządzenia ws. systemów wielkoskalowych wymuszają realizację tego obowiązku wprost.)

UODO ma również obowiązek:

• udzielania pomocy i porady osobom fizycznym w zakresie ich praw,

• zapewnienia dostępności tych usług przez cały okres postępowania,

• współorganizowania z Komisją Europejską kampanii informacyjnych.

Komitet Skoordynowanego Nadzoru zgłaszał zastrzeżenia wobec przygotowania kampanii informacyjnej nt. EES przez Komisję Europejską. Jaki jest aktualny stan wdrażania systemu i kampanii?

Pomimo że system EES nie został jeszcze uruchomiony, Komitet Skoordynowanego Nadzoru już na etapie przygotowań sygnalizował Komisji potrzebę pełnego zaangażowania organów ochrony danych. Uruchomienie EES planowane jest obecnie na październik br.

Zgodnie z rozporządzeniem ustanawiającym EES, Komisja ma obowiązek – we współpracy z EIOD i krajowymi organami nadzorczymi – prowadzić kampanię informacyjną skierowaną przede wszystkim do obywateli państw trzecich. Ma ona informować o celach systemu, rodzaju gromadzonych danych, uprawnionych organach oraz prawach osób, których dane dotyczą.

Komitet wyraził zaniepokojenie, że organy te nie zostały odpowiednio włączone w przygotowanie kampanii. Komisja założyła, że kampanie zostaną realizowane przez krajowe instytucje odpowiedzial-ne za EES, jednak wiele organów nadzorczych nie zostało dotychczas w to zaangażowanych.

Na szczęście, dzięki wspólnym wysiłkom możemy obecnie liczyć na przeprowadzenie kampanii infor-macyjnej w takiej formie, w jakiej przewiduje to rozporządzenie ustanawiające System Wjazdu/Wy-jazdu. Jest to szczególnie istotne, ponieważ EES ma służyć elektronicznej rejestracji czasu i miejsca przekroczenia granicy przez obywateli państw trzecich oraz wyliczaniu okresu ich legalnego pobytu. System ten powinien również wspierać działania związane z bezpieczeństwem i walką z przestępczoś-cią. Ponieważ jak do tej pory nie istniała taka baza danych w skali Europy, ważne jest, aby dotrzeć
z informacjami na temat praw ochrony danych do osób, które będą podlegały stosownej rejestracji.

W marcu 2023 r. uruchomiono zmodernizowany SIS. Jakie nowe wyzwania związane z ochroną danych niesie ta zmiana?

SIS to największy europejski system informacji w zakresie bezpieczeństwa i granic. Nowa wersja systemu umożliwia m.in. dodawanie danych biometrycznych (np. odcisków palców, DNA), a także wprowadzanie nowych kategorii wpisów.

Z jednej strony poprawia to skuteczność działań służb, z drugiej – wiąże się z nowymi wyzwaniami
w zakresie ochrony danych osobowych. Dlatego niezbędne jest równoczesne wzmacnianie zabezpieczeń systemu, zarówno technicznych, jak i organizacyjnych, a także zapewnienie odpowiednich środków organom ochrony danych w celu umożliwienia im efektywnego wykonywania powierzonych im zadań.

Czy bierze Pani udział w kontrolach wielkoskalowych systemów?

Oczywiście. Udział w kontrolach to naturalna konsekwencja mojej roli w mechanizmie skoordynowanego nadzoru. Kontrole te są uwzględnione w corocznych planach kontroli sektorowych Prezesa UODO i są publikowane na stronie internetowej Urzędu.

W ramach międzynarodowej współpracy tworzone są również wspólne plany audytowe, a Komitet może wskazywać konkretne zagadnienia do zbadania. Niedawno Komitet Skoordynowanego Nadzoru opublikował raport ze wspólnych kontroli dotyczących wpisów w SIS wykorzystywanych w celu prze-prowadzania kontroli niejawnych przez organy porządku publicznego. W tym działaniu brał udział również UODO.

Czy pojawiają się rozbieżności w interpretacji przepisów dotyczących tych systemów na poziomie krajowym?

Tak, i to z różnych powodów. Czasem wynikają one z różnic w tłumaczeniach – jedno słowo może mieć odmienne znaczenie w różnych wersjach językowych tych samych przepisów. Przykładowo, angielskie sformułowanie „assistance” jest przetłumaczone w Polsce jako „pomoc”, ale w innym państwie użyto sformułowania „mediacja”, która w tym kraju ma charakter odpłatny.

Rozbieżności wynikają również z odmiennych tradycji prawnych i kulturowych. Wyraźnie widać to chociażby w sposobie wdrażania dyrektywy policyjnej. Mechanizm skoordynowanego nadzoru służy właśnie temu, by identyfikować i rozwiązywać takie nieścisłości – zarówno w odniesieniu do organów państw członkowskich, jak i w kontekście ochrony praw osób, których dane dotyczą.

Jakie wyzwania wiążą się z pełnioną przez Panią funkcją?

Zadań i wyzwań jest wiele. Decyzja Prezesa UODO Mirosława Wróblewskiego o utworzeniu stano-wiska Głównego Koordynatora ds. Wielkoskalowych Systemów UE odpowiada na rosnące znaczenie tych systemów i potrzebę zapewnienia ich spójnego nadzoru. Funkcja ta wymaga nie tylko bardzo dobrej znajomości przepisów prawa i rozwiązań technologicznych, ale także umiejętności skutecznej koordynacji działań na poziomie krajowym, jak i międzynarodowym. Szczególnym wyzwaniem jest zapewnienie spójności i efektywności nadzoru w obliczu dynamicznego rozwoju systemów informa-cyjnych oraz zmieniającego się otoczenia regulacyjnego. Dlatego bardzo dziękuję panu Prezesowi za okazane mi zaufanie i powierzenie realizacji tak istotnego zadania, a także za dostrzeżenie potrzeby systemowego podejścia do nadzoru nad wielkoskalowymi systemami informacyjnymi UE.

Nie bez znaczenia jest także rola Zastępcy Przewodniczącej Grupy ds. Koordynacji Nadzoru nad syste-mem EURODAC. Prowadzenie prac i posiedzeń grup to odpowiedzialne zadanie, jednak jestem dobrej myśli – zwłaszcza że współpraca w ramach tego mechanizmu przebiega w wyjątkowo dobrej, profes-jonalnej atmosferze.

Jakie znaczenie ma Pani rola jako koordynatora i uczestnika tych mechanizmów
z punktu widzenia UODO?

Udział UODO w mechanizmach takich jak skoordynowany nadzór czy ocena stosowania dorobku Schengen ma kluczowe znaczenie dla budowania pozycji Urzędu jako partnera instytucji europejskich. Dzięki aktywnemu zaangażowaniu możemy wpływać na interpretację i stosowanie przepisów w prak-tyce, dzielić się doświadczeniami, ale też uczyć się od innych.

Moja rola jako koordynatora polega na tym, by ten udział był dobrze zorganizowany, spójny i meryto-rycznie wartościowy – tak, aby głos UODO był słyszalny i traktowany poważnie. To ma wpływ nie tylko na sposób, w jaki Urząd jest postrzegany na forum unijnym, ale także na jakość naszej codziennej pra-cy na poziomie krajowym.

Choć o wielkoskalowych systemach informacyjnych potrafi Pani mówić z wielką pasją, wiemy, że muzyka to Pani kolejna specjalizacja. Niektórzy mieli przyjemność uczestniczyć w Pani występach chóralnych czy musicalowych, a swoich współpracowników żegna Pani… piosenkami. Skąd w Pani taka muzyczna dusza?

Tu chyba zacytuję Ewę Bem: „Moje serce to jest muzyk improwizujący, co ma własny styl i rytm”. Muzyka to dla mnie nie tylko pasja, to sposób budowania relacji z ludźmi, dzielenia się emocjami
i tworzenia wspólnoty. Śpiewając na pożegnanie współpracowników, chcę im podziękować za wspólny czas – osobiście, od serca. To także pomaga złapać dystans do formalnej rzeczywistości,
w której jako urzędnicy funkcjonujemy na co dzień.

Na szczęście takie pożegnania zdarzają się rzadko, dlatego swoje artystyczne potrzeby realizuję głównie w różnorodnych projektach muzycznych, które dają mi ogromną radość i energię. A tej energii naprawdę potrzeba na moim stanowisku!

Dziękujemy za rozmowę i życzymy dalszej energii – zarówno w ramach skoordynowanego nadzoru, jak i na scenie!