9.2.2012   

SL

Uradni list Evropske unije

C 35/1

1.

Komisija je 12. oktobra 2011 sprejela naslednje predloge (v nadaljnjem besedilu: predlogi) o skupni kmetijski politiki (v nadaljnjem besedilu: SKP) po letu 2013, ki so bili istega dne poslani ENVP v posvetovanje:

2.

ENVP pozdravlja dejstvo, da se Komisija formalno posvetuje z njim in da je sklicevanje na to mnenje vključeno v predlagane preambule uredbe o neposrednih plačilih, uredbe o enotni SUT, uredbe o razvoju podeželja in horizontalne uredbe.

3.

Namen predlogov je zagotoviti okvir za (1) trajnostno proizvodnjo hrane, (2) trajnostno upravljanje naravnih virov in podnebne ukrepe ter (3) uravnotežen ozemeljski razvoj. Zato določajo več podpornih shem za kmete in tudi druge ukrepe za spodbujanje razvoja kmetijstva in podeželja.

4.

V okviru teh programov se osebni podatki – ki se nanašajo predvsem na upravičence do pomoči, pa tudi na tretje osebe – obdelujejo v različnih fazah (obravnava vlog za pomoč, zagotavljanje preglednosti plačil, nadzor in boj proti goljufijam itd.) Čeprav se podatki večinoma obdelujejo v državah članicah in pod njihovo odgovornostjo, lahko Komisija dostopa do večine teh podatkov. Upravičenci in v nekaterih primerih tretje osebe – na primer zaradi preverjanja goljufij – morajo informacije predložiti določenim pristojnim organom.

5.

Pomen varstva podatkov v okviru SKP je poudarilo Sodišče v sodbi Schecke, s katero je razveljavilo zakonodajo EU o objavi imen upravičencev do sredstev iz kmetijskih skladov (10). ENVP se zaveda, da v tem primeru vidiki varstva podatkov niso v središču predlogov. Vendar so ustrezne pripombe potrebne, ker se predlogi nanašajo tudi na obdelavo osebnih podatkov.

6.

Cilj tega mnenja ni analizirati celoten sklop predlogov, temveč zagotoviti nasvete in smernice za tako načrtovanje obdelave osebnih podatkov, potrebnih za upravljanje SKP, pri katerem se bodo upoštevale temeljne pravice do zasebnosti in varstva podatkov ter sočasno zagotovili učinkovito upravljanje pomoči, preprečevanje in preiskovanje goljufij ter pregledna in odgovorna poraba sredstev.

7.

Zato je to mnenje razdeljeno na dva dela: prvi, splošnejši del vključuje analizo in priporočila, ki so veljavna za večino predlogov. To se nanaša predvsem na pripombe o delegiranih in izvedbenih pooblastilih za Komisijo. V drugem delu so nato obravnavane posebne določbe iz več predlogov (11) in navedena priporočila za rešitev težav, opredeljenih v tem delu.

8.

Kot je bilo navedeno, države članice izvedejo večino postopkov obdelave. Vendar lahko ima Komisija v veliko primerih dostop do osebnih podatkov. ENVP zato pozdravlja dejstvo, da so v preambule zadevnih predlogov vključena sklicevanja na uporabo Direktive 95/46/ES in Uredbe (ES) št. 45/2001 (12).

9.

Na splošno se opaža, da mnogo vprašanj v zvezi z varstvom podatkov ni vključenih v te predloge, temveč bodo urejena z izvedbenimi ali delegiranimi akti. To na primer velja za ukrepe, ki bodo sprejeti v zvezi s spremljanjem pomoči, vzpostavitvijo sistemov informacijske tehnologije, prenosom informacij tretjim državam in pregledi na kraju samem (13).

10.

Člen 290 PDEU določa pogoje za izvajanje pooblastil, prenesenih na Komisijo. Na Komisijo se lahko prenese pooblastilo za „dopolnjevanje ali spreminjanje nekaterih nebistvenih elementov zakonodajnega akta“. Izrecno se opredelijo tudi „cilji, vsebina, področje uporabe in trajanje pooblastila“. Kar zadeva izvedbena pooblastila, člen 291 PDEU določa, da se ta lahko prenesejo na Komisijo, če „so potrebni enotni pogoji za izvajanje pravno zavezujočih aktov Unije“. Zagotovi se ustrezen nadzor držav članic.

11.

ENVP meni, da osrednjih vidikov obdelave, predvidene v predlogih, in nujnih zaščitnih ukrepov za varstvo podatkov ni mogoče šteti za „nebistvene elemente“. Zato bi morali biti že v glavnih zakonodajnih besedilih urejeni vsaj naslednji elementi, da bi se povečala pravna varnost (14):

12.

Ko bodo ti elementi določeni v glavnih zakonodajnih predlogih, se lahko uporabijo delegirani ali izvedbeni akti za podrobnejše izvajanje teh posebnih zaščitnih ukrepov. ENVP pričakuje, da bo z njim opravljeno posvetovanje o izvedbenih in delegiranih aktih, ki se bodo obravnavali zadeve v zvezi z varstvom podatkov.

13.

V nekaterih primerih se lahko obdelujejo podatki o (domnevnih) kaznivih dejanjih (na primer v zvezi z goljufijo). Ker veljavna zakonodaja o varstvu podatkov določa posebno varstvo takih podatkov (17), bo morda potrebno predhodno preverjanje, ki ga opravijo nacionalni organi za varstvo podatkov ali ENVP (18).

14.

Nazadnje, treba bi bilo predvideti varnostne ukrepe, zlasti kar zadeva računalniške podatkovne zbirke in sisteme. Upoštevati bi bilo treba tudi načeli odgovornosti in vgrajene zasebnosti.

15.

Komisija je s členom 157 uredbe o enotni SUT pooblaščena za sprejetje izvedbenih aktov v zvezi z zahtevami glede komunikacije za različne namene (na primer za zagotavljanje preglednosti trga, nadzor ukrepov SKP ali izvajanje mednarodnih sporazumov) (19), pri tem pa „upošteva potrebe po podatkih in sinergije med potencialnimi viri podatkov“ (20). ENVP priporoča, naj se v tej določbi opredeli, kateri viri podatkov se uporabljajo za katere posebne namene. V zvezi s tem bi želel ENVP opozoriti na tveganje, da je lahko povezovanje podatkovnih zbirk v nasprotju z omejitvijo namena (21), v skladu s katero se osebni podatki ne smejo dalje obdelovati na način, ki ni združljiv s prvotnim namenom njihovega zbiranja (22).

16.

Člena 74 in 77 uredbe o razvoju podeželja določata ustanovitev sistema za spremljanje in vrednotenje, ki se pripravi „v sodelovanju med Komisijo in državami članicami“ za namene spremljanja in vrednotenja, vključno z elektronskim informacijskim sistemom. Ta sistem bo vključeval obdelavo podatkov o „glavnih značilnostih upravičenca in projekta“, ki jih bodo zagotovili upravičenci (člen 78). Če te „ključne informacije“ vključujejo osebne podatke, bi bilo treba to opredeliti v določbi. Poleg tega bi bilo treba opredeliti kategorije podatkov, ki bodo obdelani, z ENVP pa bi se bilo treba posvetovati o izvedbenih aktih, predvidenih v členu 74.

17.

Poleg tega člen 92 istega predloga določa, da „Komisija v sodelovanju z državami članicami“ vzpostavi nov informacijski sistem, ki omogoča varno izmenjavo „podatkov skupnega interesa“. Opredelitev kategorij podatkov za izmenjavo je preširoka in bi jo bilo treba zožiti, če se bodo s tem sistemom prenašali osebni podatki. Poleg tega bi bilo treba pojasniti tudi razmerje med členom 77 in členom 92, saj ni jasno, ali imata enak namen in področje uporabe.

18.

V uvodni izjavi 40 horizontalne uredbe je navedeno, da morajo države članice voditi integriran administrativni in nadzorni sistem (23) za nekatera plačila in da je „za izboljšanje učinkovitosti in spremljanja podpore Unije“„treba državam članicam dovoliti, da navedeni integrirani sistem uporabljajo tudi za ostale sisteme podpore Unije“. To določbo bi bilo treba pojasniti, zlasti ker se ne nanaša samo na izkoriščanje sinergij v smislu infrastrukture, temveč tudi na uporabo podatkov, ki so shranjeni v njej, za spremljanje drugih shem podpore.

19.

V skladu s členom 73(1)(c) horizontalne uredbe vloge za pomoč poleg enot rabe ali poljin in pravic do plačila vključujejo tudi „vse druge informacije iz te uredbe ali informacije, ki so zahtevane zaradi izvajanja zadevne področne kmetijske zakonodaje ali pa jih zahteva zadevna država članica“ (24). Če se pričakuje, da bodo te informacije vsebovale osebne podatke, bi bilo treba opredeliti kategorije zahtevanih podatkov.

20.

Horizontalna uredba vzpostavlja vrsto organov za praktično izvajanje SKP in določa njihove naloge (členi od 7 do 15). Za Komisijo so predvidene naslednje pristojnosti (naslovi od IV do VII):

21.

Prva naloga, navedena v prejšnjem odstavku, bo vključevala obdelavo osebnih podatkov, medtem ko za drugo nalogo prima facie ni potrebe za obdelavo osebnih podatkov: splošna ocena ukrepov se lahko izvede tudi na podlagi združenih ali anonimiziranih podatkov. Pojasniti bi bilo treba, da se Komisiji ne smejo zagotoviti nikakršni osebni podatki za splošno oceno ukrepov, razen če Komisija zagotovi ustrezno utemeljitev potrebe po obdelavi osebnih podatkov v tem okviru.

22.

Členi od 49 do 52 in od 61 do 63 horizontalne uredbe določajo pravila za preglede na kraju samem (27). V predlogu je navedeno, da bodo te večinoma izvajali pristojni organi v državah članicah, zlasti kar zadeva preiskave na domu ali uradna zaslišanja oseb, vendar da bo Komisija imela dostop do tako pridobljenih informacij. Tu bi moral zakonodajalec podrobno navesti, da bo Komisija do teh podatkov dostopala samo takrat, kadar bo to nujno zaradi nadzora. Prav tako bi bilo treba opredeliti kategorije osebnih podatkov, do katerih bo dostopala Komisija.

23.

Za spremljanje pomoči je s horizontalno uredbo vzpostavljen administrativni in kontrolni sistem (28) (členi od 68 do 78), ki vključuje vrsto podatkovnih zbirk:

24.

Računalniška podatkovna zbirka vključuje eno podatkovno zbirko na državo članico (in po želji decentralizirane podatkovne zbirke znotraj njih). V njej se zabeležijo podatki, pridobljeni od vsakega upravičenca na podlagi vlog za pomoč in zahtevkov za plačilo. Ker morda vsi podatki, zbrani na podlagi vlog za pomoč, ne bodo nujni za namene nadzora, bi bilo treba razmisliti o možnostih za zmanjšanje obdelave osebnih podatkov v tem okviru.

25.

Dostop do administrativnega in kontrolnega sistema ni izrecno urejen. ENVP podobno kot pri pregledih na kraju samem priporoča, naj zakonodajalec določi jasno opredeljena pravila za dostop do tega sistema.

26.

Glede pregledov je s horizontalno uredbo predviden pregled trgovinskih dokumentov, vključno z dokumenti tretjih oseb (členi od 79 do 88) (29). Ti dokumenti lahko vključujejo osebne podatke o tretjih osebah. V instrumentu bi bilo treba opredeliti pogoje, pod katerimi se od tretjih oseb zahteva razkritje njihovih trgovinskih dokumentov (30).

27.

Člen 87 istega predloga določa, da imajo uslužbenci Komisije „v skladu z ustreznimi nacionalnimi pravnimi predpisi“ dostop do vseh dokumentov, „izdelanih bodisi za preiskavo ali po preiskavi“. To velja za primere, v katerih lahko sodelujejo pri pregledih (odstavek 2), in za primere, v katerih so nekatera dejanja pridržana za uradnike, pooblaščene po zakonu države članice, v kateri poteka pregled (odstavek 4). V obeh primerih bi bilo treba zagotoviti, da uradniki Komisije do teh podatkov dostopajo samo takrat, kadar je to nujno (na primer zaradi nadzora), tudi v primerih, v katerih bi bil dostop za druge namene morda dovoljen z nacionalno zakonodajo. ENVP spodbuja zakonodajalca, naj v besedilo vključi pojasnila v zvezi s tem.

28.

Države članice v skladu s členom 102 horizontalne uredbe Komisiji pošljejo nekatere kategorije informacij, izjave in dokumente. To vključuje tudi „povzetek rezultatov vseh razpoložljivih revizij in [opravljenih] pregledov“ (člen 102(1)(c)(v)). Za ta primer bi bilo treba bodisi določiti, da v te povzetke ne bodo vključeni nikakršni osebni podatki, bodisi opredeliti namen, zaradi katerega je treba osebne podatke sporočiti, če so ti nujni.

29.

Člen 70(1) horizontalne uredbe določa, da računalniška podatkovna zbirka omogoča vpogled „prek pristojnega organa države članice“ v podatke od leta 2000 ter „neposreden in takojšen vpogled“ v podatke za „najmanj“ pet zaporednih predhodnih let (31).

30.

Sistem za identifikacijo in registracijo pravic do plačila omogoča „preverjanje pravic in navzkrižno preverjanje z vlogami za pomoč in identifikacijskim sistemom za enote rabe ali poljine“. Člen 72(2) horizontalne uredbe določa, da bodo podatki na voljo „najmanj“ štiri leta (32).

31.

ENVP v zvezi s tema sistemoma opozarja na člen 6(1)(e) Direktive 95/46/ES in člen 4(1)(e) Uredbe (ES) št. 45/2001, ki določata, da podatki ne smejo biti shranjeni v obliki, ki dopušča identifikacijo posameznikov, dlje, kot je to potrebno za namen, za katerega so bili zbrani. To pomeni, da je treba opredeliti najdaljše dobe hranjenja in ne samo najkrajše dobe hranjenja.

32.

Drugi pododstavek člena 157(1) uredbe o enotni SUT določa, da se podatki lahko prenesejo tretjim državam in mednarodnim organizacijam. ENVP bi želel opozoriti, da je lahko prenos osebnih podatkov državam, ki ne zagotavljajo ustreznega varstva, utemeljen samo za vsak primer posebej, če se uporablja katera koli od izjem iz člena 26 Direktive 95/46/ES ali člena 9(6) Uredbe (ES) št. 45/2001 (na primer, če je prenos nujen ali ga zahteva zakon na temelju pomembnega javnega interesa).

33.

V takem primeru bi bilo treba opredeliti poseben namen prenosa (na primer za izvajanje mednarodnih sporazumov) (33). Zadevni mednarodni sporazumi bi morali vključevati posebne zaščitne ukrepe za varstvo zasebnosti in osebnih podatkov ter uresničevanje teh pravic s strani posameznikov, na katere se nanašajo osebni podatki. Poleg tega bi moral ENVP v primeru, v katerem bo podatke prenesla Komisija, odobriti prenos (34).

34.

V uvodni izjavi 70 horizontalne uredbe in obrazložitvenem memorandumu predloga je navedeno, da so v pripravi nova pravila o objavljanju informacij o upravičencih, „v katerih bodo upoštevani pomisleki Sodišča“ v zadevi Schecke  (35).

35.

ENVP bi želel opozoriti, da je treba v pravilih o objavi informacij o upravičencih upoštevati načelo sorazmernosti. Kot je potrdilo Sodišče (36), je treba najti pravo ravnovesje med temeljnimi pravicami upravičencev do zasebnosti in varstva podatkov ter interesom Evropske unije za zagotavljanje preglednosti in dobrega upravljanja javnih sredstev.

36.

To velja tudi, kar zadeva drugi pododstavek člena 157(1) uredbe o enotni SUT, v skladu s katerim se podatki „lahko objavijo ob upoštevanju varstva osebnih podatkov in legitimnega interesa podjetij, da se varujejo njihove poslovne skrivnosti“. S členom 157(2)(d) in členom 157(3)(c) je Komisija pooblaščena za sprejetje delegiranih aktov, ki določajo „pogoje in sredstva objavljanja informacij“, in izvedbenih aktov, s katerimi sprejme ureditve za posredovanje ali dajanje na voljo informacij in dokumentov javnosti.

37.

ENVP pozdravlja dejstvo, da bo za objavljanje informacij in dokumentov veljalo varstvo osebnih podatkov. Vendar bi bilo treba bistvene elemente, kot so namen objave in kategorije podatkov, ki bodo objavljeni, opredeliti v predlogih in ne z izvedbenimi ali delegiranimi akti.

38.

Opredeliti bi bilo treba pravice posameznikov, na katere se nanašajo osebni podatki, zlasti kar zadeva pravico do obveščenosti in pravico do dostopa. To še zlasti velja za člen 81 horizontalne uredbe, v skladu s katerim se lahko preverijo trgovinski dokumenti upravičencev, pa tudi dobaviteljev, strank, prevoznikov in drugih tretjih oseb. Medtem ko so upravičenci mogoče seznanjeni z obdelavo svojih podatkov, bi morale biti tudi tretje osebe ustrezno obveščene, da se njihovi podatki lahko uporabijo zaradi nadzora (na primer z obvestilom o varstvu zasebnosti, ki se objavi v času zbiranja, in informacijami na vseh ustreznih spletnih straneh in v dokumentih). Obveznost obvestitve posameznikov, na katere se nanašajo osebni podatki, vključno s tretjimi osebami, bi bilo treba vključiti v predloge.

39.

Predvideti bi bilo treba varnostne ukrepe, zlasti kar zadeva računalniške podatkovne zbirke in sisteme. Upoštevati bi bilo treba načeli odgovornosti in vgrajene zasebnosti. Seznam varnostnih ukrepov, ki jih je treba sprejeti v zvezi s temi računalniškimi podatkovnimi zbirkami in sistemi, bi bilo mogoče uvesti vsaj z delegiranimi ali izvedbenimi akti. To je še toliko bolj pomembno, ker bi lahko osebni podatki, obdelani v okviru pregledov in preiskav, vključevali podatke o domnevnih kaznivih dejanjih.

40.

ENVP pozdravlja zahteve iz člena 103 horizontalne uredbe v zvezi z zaupnostjo in poklicno tajnostjo nadzora v smislu členov od 79 do 88 iste uredbe.

41.

ENVP meni, da bi bilo treba zaradi večje pravne varnosti osrednje vidike postopkov obdelave, predvidenih v predlogih, in nujne zaščitne ukrepe za varstvo podatkov urediti v glavnih zakonodajnih besedilih in ne v delegiranih ali izvedbenih aktih:

42.

Ti elementi se lahko dodatno izpopolnijo v delegiranih ali izvedbenih aktih. ENVP pričakuje, da bo v zvezi s tem zaprošen za posvetovanje.

43.

Poleg tega bi bilo treba vsaj z izvedbenimi ali delegiranimi akti predvideti varnostne ukrepe, zlasti kar zadeva računalniške podatkovne zbirke in sisteme. Upoštevati bi bilo treba tudi načeli odgovornosti in vgrajene zasebnosti.

44.

Nazadnje, ob upoštevanju dejstva, da se lahko v nekaterih primerih obdelujejo podatki o (domnevnih) kaznivih dejanjih (na primer v zvezi z goljufijo), bo morda potrebno predhodno preverjanje, ki ga opravijo nacionalni organi za varstvo podatkov ali ENVP.