Аналітична доповідь про сумісність інформаційних систем у сфері свободи, безпеки та юстиції Європейський інспектор з питань захисту персональних даних (ЄІЗПД; англійською – EDPS) є незалежною інституцією ЄС, відповідальною згідно зі статтею 41 (2) Регламенту 45/2001 «Що стосується обробки персональних даних… для забезпечення того, щоб основні права і свободи фізичних осіб, і, зокрема, їхнє право на недоторканність приватного життя, поважалися установами та органами Співтовариства»,«… для консультування установ та органів Співтовариства та суб'єктів даних щодо всіх питань, що стосуються обробки персональних даних ». Згідно зі Статтею 28 (2) Регламенту 45/2001, Комісія зобов'язана, «приймати законодавчі пропозицію щодо захисту прав і свобод фізичних осіб стосовно обробки персональних даних...», та проводити консультації з проконсультуватися з ЄІЗПД. ЄІЗПД був призначений у грудні 2014 року разом з помічником інспектора з особливою компетенцією бути конструктивним та активним. У березні 2015 року ЄІЗПД опублікував п'ятирічну стратегію, яка визначає, напрямки своєї місії та відповідальності. Ініціатива цього документу має на меті сприяти підготовчій роботі над майбутньою законодавчою пропозицією щодо сумісності між широкомасштабними інформаційними системами ЄС для управління кордонами та безпекою. Це стосується місії ЄІЗПД щодо надання консультацій установам ЄС про впливу їх політики на захист даних та сприяння у створенні підзвітної політики у відповідності до дій 9 Стратегії ЄІЗПД: «Сприяння відповідальній та обгрунтованій політиці». ЄІЗПД вважає, що дотримання вимог захисту даних є ключовим для ефективного та дієвого управління інформацією для забезпечення безпеки та захисту кордонів.
Резюме Загалом, міжопераційна сумісність спрямована на розвиток ефективного та результативного обміну інформацією для забезпечення того, щоб компетентні органи на національному рівні та на рівні ЄС отримували правильну інформацію в потрібний час. Сумісність, коли вона реалізована добре продуманим способом, може допомогти вирішити деякі потреби компетентних органів, використовуючи широкомасштабні інформаційні системи, і допомогти зменшити загальну вартість експлуатації таких систем. Сумісність також може бути в інтересах захисту даних. Наприклад, взаємопов'язані інформаційні системи, які мають бути тісно пов'язані з цілями та які додатково містять деякі ідентичні дані, можуть допомогти уникнути того, що однакові або подібні дані зберігались, перевірялись та оновлювались багато разів, один раз у кожній системі. Терористичні атаки, які сталися на території ЄС, стали причиною посилення проблем безпеки. Крім того, протягом останніх років ЄС стикався з масовим припливом біженців та мігрантів. Ці події спонукали Комісію ЄС розглянути кілька ініціатив, включаючи сумісність широкомасштабних інформаційних систем ЄС, створених для міграції, управління кордонами та / або поліцейської співпраці. Хоча ми відзначаємо, що Комісія могла передбачити міжопераційну сумісність взаємодії як інструмент, що сприяє лише використанню систем, ми розуміємо, що Комісія може розглянути її як поширення на нові можливості обміну або перехресної відповідності даних. Оскільки введення сумісності може спричинити нову (або змінену) обробку персональних даних, такі зміни потребуватимуть чіткої бази в законодавстві у повній відповідності до Хартії основних прав ЄС. Зокрема, будь-яка нова або модифікована обробка даних повинна бути чітко визначена у відповідному правовому документі і бути однаково необхідною і пропорційною по відношенню до її чітко визначених цілей. Дотримання правил захисту даних ЄС виходить за рамки принципів захисту даних шляхом розробки / невиконання, зобов'язання застосовувати заходи безпеки і т.д., вимагає, щоб спочатку встановилася необхідність і пропорційність обробки. Тому ми очікуємо на законодавчу пропозицію Європейської Комісії, яка має чітко визначити проблеми, що мають розв’язати проблему сумісної роботи. Слід також чітко визначити, для яких конкретних цілей, які категорії персональних даних будуть оброблятися в контексті майбутніх ініціатив щодо сумісності. Це дозволить належним чином обговорювати питання взаємної сумісності з точки зору основних прав. Виконання повної оцінки впливу сумісності на основні права на конфіденційність та захист даних буде фундаментальним, коли будуть відомі деталі щодо запланованої ініціативи. У цьому сенсі майбутня законодавча пропозиція може дати можливість скористатися створенням більш узгодженої та послідовної основи.
ЗМІСТ 1 Поточні ініціативи в контексті "міжопераційної сумісності" широкомасштабних ІТ-систем ............................................. .............................. 5 2 Концепція сумісності ……............................................. ...................... 6 3 Оперативна сумісність з точки зору захисту даних ............................ 7 3.1 Особисті дані «повинні бути оброблені справедливо для визначених цілей» ................................................................................................ 7 3.2 Уточнення потреб у сумісності ......................................................... 8 3.3 Обмеження цілей щодо міграції, притулку, поліції та співпраці в судовій сфері ……………………………………………………………………...9 3.4 Запропоновані варіанти сумісності ....................... ....................... 9 4. Висновки ................................................ ........................................... 12 Примітки ................................................................................ ................ 14
1 Поточні ініціативи в контексті «міжопераційної сумісності» широкомасштабних ІТ-систем 1. Терористичні атаки, які сталися на території ЄС, стали причиною посилення проблем безпеки. Крім того, протягом останніх років ЄС стикався з масовим припливом біженців та мігрантів. Ці події спонукали Комісію ЄС розглянути кілька ініціатив, які включають створення нових широкомасштабних інформаційних систем ЄС, модифікацію існуючих, а також спільну взаємодію всіх цих систем. 2. У своєму Повідомленні від 6 квітня 2016 року «Сильніші та розумніші інформаційні системи для кордонів та безпеки» («Комунікація 2016 року») Комісія наголосила на необхідності поліпшення оперативної сумісності інформаційних систем; це також представляє ідеї щодо того, як можна розробити інформаційні системи в майбутньому. Комісія створила експертну групу високого рівня з питань інформаційних систем та оперативної сумісності («HLEG»). HLEG було поставлено завдання вирішити «правові, технічні та операційні аспекти різних варіантів досягнення взаємної сумісності інформаційних систем, включаючи необхідність, технічну доцільність та пропорційність наявних варіантів та їх наслідки для захисту даних». 3. HLEG представила рекомендації щодо зміцнення та розвитку інформаційних систем та оперативної сумісності ЄС, у першу чергу у своєму проміжному звіті за грудень 2016 року, а потім у своєму заключному звіті за травень 2017 року. ЄІЗПД було запрошено взяти участь у роботі HLEG. Європейським інспектором була опублікована заяву про концепцію міжопераційної сумісності у сфері міграції, притулку та безпеки, яка включена до заключного звіту HLEG. 4. У своєму сьомому звіті про ефективний і справжній союзу безпеки Комісія встановила новий підхід до управління даними для кордонів і безпеки відповідно до Повідомлення 2016 року та рекомендацій HLEG. Згідно з цим підходом всі централізовані інформаційні системи ЄС з питань безпеки, управління кордонами та міграцією повинні бути сумісними, щоб: - системи можна було шукати одночасно за допомогою європейського пошукового порталу, можливо, з більш раціоналізованими правилами для доступу правоохоронних органів; - системи використовували одну спільну службу біометричного узгодження для здійснення пошуку у різних інформаційних системах, які містять біометричні дані, можливо, з помітками hit / nohit, що вказують на зв'язок з відповідними біометричними даними, знайденими в іншій системі; - системи мали спільнесховище ідентичності з алфавітно-цифровими ідентифікаційними даними з метою виявлення особи, зареєстрованої під різними ідентифікаційними даними у різних базах даних.
5. 8 червня 2017 року Рада привітала позицію Комісії та запропонований шлях для досягнення сумісності інформаційних систем до 2020 року. Комісії було запропоновано продовжити роботу над трьома аспектами сумісності (а саме: європейським порталом пошуку, службою біометричного узгодження та спільним сховищем ідентифікації). 27 липня 2017 року Комісія розпочала публічні консультації щодо сумісності інформаційних систем ЄС в контексті питань кордонів та безпеки. Консультації були супроводжені початковою оцінкою впливу. У своєму індикативному плануванні від 2 жовтня Комісія зазначає дату 12 грудня для прийняття законодавчих пропозицій щодо сумісності. 6. Очікуючи на майбутні законодавчі пропозиції, ця аналітична доповідь є нашим додатковим внеском. Після цього буде надано офіційний висновок ЄІЗПД відповідно до статті 28 (2) Регламенту 45/2001. 2 Концепція сумісності 7. Міжопераційну сумісність зазвичай називають здатністю різних інформаційних систем взаємодіяти, обмінюватися даними і використовувати інформацію, якою обмінюються. Незважаючи на те, що міжопераційна сумісність часто вважається лише технічною концепцією, ми вважаємо, що в даному контексті не можна її розглядати відокремлено від таких питань як: чи є обмін даними необхідним, політично бажаним або юридично можливим? Іншими словами, незважаючи на те, що між операційна сумісність інформаційних систем в кінцевому рахунку буде імплементована за допомогою технічних засобів, вона повинна бути предметом політичних дебатів щодо її цілей і перспектив на майбутнє. 8. Ми вважаємо, те, що обмін даними стає технічно можливим, у багатьох випадках, стає дієвим стимулом для такого обміну як такого. Можна сміливо припустити, що технічні засоби будуть використовуватись, як тільки вони стануть доступними; іншими словами, ризик полягає в тому, що в даному випадку засоби виправдовують ціль. Щоб забезпечити належну дискусію відносно ризиків та переваг міжопераційної сумісності, важливо надати їй однозначного і зрозумілого сенсу. 9. Зазначимо, що міжопераційна сумісність може працювати на різних рівнях – починаючи з простої взаємодії функціоналу між двома системами та закінчуючи здатності цих систем обмінюватись інформацією і використовувати її. Ми усвідомлюємо, що після того як міжопераційна сумісність буде імплементована ретельно продуманим чином, то може сприяти у вирішенні певних потреб компетентних органів, використовуючи широкомасштабні інформаційні системи, а також допоможе скоротити витрати на експлуатацію таких систем. Оперативна сумісність може також
надавати певні переваги щодо захисту даних. Наприклад, взаємопов'язані інформаційні системи, цілі яких мають тісний зв'язок, і які на додаток містять певні персональні дані, дозволили б уникнути подвійного накопичення одних і тих самих даних, тобто у кожній з систем. 10. Міжопераційна сумісність, в принципі, має на меті підвищити ефективність і дієвість правил, що фактично діють на даний час. Наприклад, європейський пошуковий портал, передбачений Комісією, дозволив би компетентним органам здійснювати запит одночасно в декількох системах замість того, щоб запитувати кожну систему окремо. Якщо такі запити виконуються компетентними органами із повним дотриманням прав доступу та у відповідності до цілей кожної системи, визначених на законодавчому рівні, тоді не виникатиме фундаментальних проблем із захисту даних. Тобто користувач має доступ тільки до інформації, до якої вони мають право доступу, і виключно для конкретних цілей цієї системи. 11. Проте, зазначаючи, що Комісія могла би передбачити міжоперативну сумісність як інструмент, що тільки сприятиме використанню систем, ми розуміємо, що зараз Комісія можливо має на меті її розширення для нових можливостей обміну або перехресних даних. Наприклад, початкова оцінка взаємодії стосується використання спільної служби порівняння біометричних даних ("BMS") для забезпечення відповідності біометричних даних у різних системах. Подібним чином, «спільна база ідентифікаційних даних» об'єднує алфавітно-цифрові дані (такі як імена та дати народження), які зберігаються в різних системах для прикордонного контролю та безпеки. Спільне використання BMS і спільної бази ідентифікаційних даних дозволило б однозначну ідентифікацію, використовуючи буквено-цифрові та / або біометричні дані для виявлення співпадіння кількох критеріїв ідентифікації. Таким чином, міжопераційна сумісність означає новий вид обробки даних, який не охоплюється існуючою правовою базою, і його вплив на основоположні права на приватність і захист даних має бути ретельно оцінений. 3.
Оперативна сумісність з точки зору захисту даних
3.1 Особисті визначених цілей"
дані
"мають
оброблятись
добросовісно
для
12. Ми вважаємо, що міжопераційна сумісність не повинна бути самоціллю, а завжди повинна об’єктивно слугувати справжнім інтересам суспільства. Формування оцінки впливу перш за все стосується загальної мети «зміцнення та продуманість інформаційних систем для прикордонного контролю та безпеки». А далі вже із зазначенням конкретних цілей: забезпечення того, щоб кінцеві користувачі, зокрема прикордонники, працівники правоохоронних органів, посадові особи у сфері
міграції та судові органи мали швидкий і безперешкодний доступ до всієї інформації, необхідної для виконання своїх завдань; - сприяння та оптимізація доступу правоохоронних органів до неправоохоронних інформаційних систем, коли це необхідно для запобігання, розслідування, виявлення або покарання за вчинення кримінальних злочинів; - вирішення проблеми виявлення та протидії шахрайству з використанням персональних даних. 13. У цьому контексті важливо наголосити, що загальні стратегічні цілі, зокрема ті, що включені до первинної оцінки впливу, не обов'язково відповідають цілям суспільного інтересу відповідно до закону, наприклад, відповідно до статті 52 (1) Хартії, а також цілям обробки даних за законодавством про захист даних. Згадані цілі зосереджені навколо того, чого міжопераційна сумісність дозволяє досягнути в технічному сенсі. Однак передбачена обробка даних, суспільні інтереси та їх конкретні цілі не конкретизовано. Натомість, первинна оцінка впливу ймовірно прирівнює ту обробку, яка би стала можливою завдяки міжопераційній сумісності (наприклад, консультування, доступ, використання, пошук даних і т.д.), до мети обробки. 14. Ми закликаємо Комісію конкретизувати розуміння цілей передбаченої обробки даних. Такі цілі, як «забезпечення швидкого і безперешкодного доступу до баз даних», могли би стати корисним інструментом для досягнення кінцевої мети з точки зору стратегії. Однак вони недостатньо конкретизовані для цілей законодавства про захист даних, оскільки вони не пов'язані з конкретною обробкою визначених категорій персональних даних. А відтак, вони не дозволяють зрозуміти окремим особам, які з їхніх особистих даних обробляються та для яких саме цілей, а також не дають зрозуміти наслідки такої обробки. 15. Важливо розуміти, що конкретизація мети є основоположною передумовою для застосування багатьох інших принципів захисту даних. Виключно зрозумілі та конкретизовані цілі дозволять визначити відповідні дані, що підлягатимуть збору, періоди зберігання таких даних та багато інших ключових аспектів того, як оброблятимуться персональні дані для обраної мети (цілей). Визначення суспільного інтересу як мети може не відповідати вимогам конкретизації цілей, зокрема, коли суспільні інтереси можуть мати інші аспекти. Тому ми рекомендуємо, щоб наступне вдосконалення законодавства враховувало необхідність чіткого визначення конкретних цілей передбачуваної обробки даних. 3.2. Визначення необхідності міжопераційної сумісності
16. Чітке визначення цілей запропонованої обробки даних також має важливе значення для оцінки її необхідності та пропорційності. Такі цілі повинні бути достатньо деталізованими не тільки для того, щоб дозволити об'єктивну оцінку відповідності запропонованого збору та використання даних вимогам закону, але і для визначення необхідних запобіжних заходів. Звертаємо увагу на «Посібник з питань необхідності» для полегшення розуміння законодавцем рекомендації щодо оцінки дотримання положень статей 7, 8 і 52 (1) Хартії. Зокрема, оцінка необхідності та пропорційності вимагає від законодавця чітко визначити, що передбачає пропонований підхід з точки зору обробки персональних даних, а також які завдання та цілі при цьому переслідуються. Проблеми, що вирішуються зазначеним підходом, також повинні бути визначені чітко і повно, а також бути підкріплені доводами щодо існування конкретних цілей. І нарешті необхідно довести, що для досягнення передбаченої мети не можуть бути використані інші засоби. 17. Необхідно зазначити, що первинна оцінка впливу стосується чотирьох основних недоліків, висвітлених у Повідомленні від 2016 року, а саме: неоптимальні функціональні можливості існуючих інформаційних систем; прогалини в архітектурі управління даними в ЄС; складний характер інформаційних систем, що регулюються різним чином; фрагментована архітектура управління даними у сфері прикордонного контролю та безпеки. 18. Міжопераційна сумісність між системами також згадується як така, що має важливе значення для вирішення вищевказаних недоліків, особливо щодо: відсутності повних і точних даних; відсутності швидкого і безперешкодного доступу до всієї інформації; умов, яких повинні дотримуватися правоохоронні органи для доступу до неправоохоронних баз даних і виявлення випадків шахрайства. 19. Проте, хоча первинна оцінка впливу і визначає деякі проблеми, вона не описує детально, які саме питання виникають. Часто не зрозуміло чи основна проблема має правову природу, чи технічну, чи обидві одночасно. Наприклад, що саме означає «відсутність швидкого і безперешкодного доступу до всієї інформації»? Це юридична проблема (тобто чинне законодавство не дозволяє користувачеві отримати доступ до певних даних) чи технічна (наприклад, час отримання відповіді від системи є занадто
довгим), або, можливо, обидва? Залежно від того, як визначена ця проблема, її вирішення може відрізнятися, зокрема, з точки зору обробки даних. Без чіткого і повного визначення проблем та потреб важко напевно сказати, що запропоновані стратегічні можливості (тобто створення європейського пошукового порталу, спільної бази ідентифікаційних та біометричних даних) є необхідними, пропорційними і повністю спрямовані на задоволення виявлених потреб. 20. Іншими словами, лише деталізований виклад виявлених проблем з урахуванням поставлених цілей дозволить європейському законодавцю визначити найбільш влучні правові та технічні рішення відповідно до чинного законодавства про захист даних. Технологія завжди повинна підтримувати потреби стратегії та безпосередньо користувача, а не навпаки. Те, що є технічно здійсненним, не обов'язково може бути юридично виправданим або етично бажаним. Як підкреслюється в преамбулі Загального регламенту про захист даних, "обробка персональних даних має бути розроблена таким чином, щоб вона служила людству". 3.3. Обмеження цілей щодо міграції, притулку, співпраці у сфері правоохоронної діяльності та правосуддя 21. Ми хотіли б наголосити на важливості розгляду міжопераційної сумісності інформаційних систем, враховуючи також політичний контекст, в якому існуючі інформаційні системи були побудовані. Міжопераційна сумісність, як передбачено Комісією, матиме вплив на інструменти, створені для підтримки політики в галузі (і) прикордонного контролю, притулку та імміграції, а також (ii) співробітництва у сфері правоохоронної діяльності та (iii) правосуддя. В ЄС існує тенденція до вироблення політики, що пов'язує управління у сфері міграції та цілі безпеки. Ми бачимо цю тенденцію в контексті надання доступу до існуючих систем для цілей правоохоронних органів, створення нової інформаційної системи або розширення компетенції існуючого органу. Ми стурбовані тим, що часте посилання на міграцію, внутрішню безпеку і боротьбу з тероризмом, несе у собі ризик розмивання межі між розумінням управління у сфері міграції та боротьби з тероризмом як майже взаємозамінюваних. Це може навіть спричинити ототожнення терористів та іноземців. 22. Незважаючи на те, що існуючі системи були розроблені з окремим застосуванням європейської міграційної та правоохоронної політики, ми визнаємо, що між їх завданнями та стратегіями співпраці може існувати узгодженість. Проте слід пам'ятати, що міграція, з одного боку, та співпраця у сфері правоохоронної діяльності, з іншого боку, залишаються двома різними сферами державної політики та цілями громадського інтересу, що ґрунтуються на різних правових засадах у Договорі про функціонування ЄС та переслідують конкретні цілі, які необхідно чітко розрізняти. Це може
мати вплив на оцінку сумісності цілей обробки даних, які Комісія повинна враховувати в контексті майбутнього вдосконалення законодавства. 3.4 Запропоновані варіанти взаємодії 23. Ми б хотіли вже звернути увагу законодавця ЄС на деякі питання захисту даних, які можуть виникнути стосовно деяких конкретних рішень, які зараз обговорюються, припускаючи, що: - майбутня законодавча пропозиція чітко описує визначені цілі, завдання та потреби внаслідок проблем, що виникають, та, - буде надана достатня інформація для оцінки необхідності та пропорційності обраних рішень. Ці питання стосуються, зокрема, умов доступу до баз даних, використання існуючих баз даних для нових / додаткових цілей і безпеки даних. Нові (модальності) доступу. 24. У початковій оцінці впливу зазначається, що у випадках, коли кінцеві користувачі не матимуть доступу до певних даних у центральних системах, європейський пошуковий портал (через алфавітно-цифрові дані) та спільну біометричну послугу (через біометричні дані) забезпечить доступ на основі «hit / nohit (влучив / не влучив)»,вказуючи на наявність відповідних даних у базових системах, не виявляючи при цьому даних. 25. Залежно від мети (цілей) такої нової функціональності, його можна розглядати як: - новий приклад обробки персональних даних, тобто новий доступ: орган не має права доступу до даних, записаних у певній системі, але знатиме, чи містить ця система інформацію про конкретну особу чи ні; - зміна умов, що застосовуються до обробки даних (у даному випадку: умови доступу до персональних даних): органу влади вже дозволяється отримати доступ до даних, але за певних умов (які з точки зору основних прав можуть функціонувати як гарантії). Згідно з запропонованим підходом «hit / nohit (влучив / не влучив)», орган має прямий доступ до бази даних, що дозволить перевірити, чи містить база даних інформацію про конкретну особу. Тим не менш, він отримає тільки відповідь «так» («влучив») або ні («не влучив»). У разі позитивної відповіді («влучання»), орган повинен виконати певні умови для отримання додаткової інформації (наприклад, авторизація від незалежного органу). 26. У випадку нового доступу, як описано вище, важливо пояснити, що існування (або відсутність) «влучив» - це особисті дані навіть з абсолютним мінімумом інформації (наприклад, відомої або невідомої в даній системі), оскільки вона становить інформацію, пов'язану з особою
(наприклад, особа, про яку йде мова, або не підлягає оповіщенню в Шенгенській інформаційній системі). Отже, користувачеві, якому не дозволяється отримувати доступ до даних, що зберігаються в певній системі, аналогічно не дозволяється отримати доступ до інформації «влучив/не влучив», оскільки навіть ця обмежена інформація є персональними даними. Крім того, ми задаємося питанням, якою буде корисність такої функції, враховуючи, що знання, що інформація існує («потрапила»), не маючи доступу до повного спектру даних, зазвичай не буде корисною в процесі прийняття рішень, і це може бути протилежним до принципу захисту даних (тобто можуть оброблятися лише особисті дані, які необхідні для зазначеної мети). 27. Що стосується підходу «влучання / не влучання» як умови для доступу, ЄІЗПДвизначає, що метою такого підходу може бути забезпечення деяких гарантій (тобто обмеженого доступу), які замінять одну або декілька умов, яким правоохоронним органам сьогодні доводиться дотримуватися при доступі до баз даних, що не відповідають закону. 28. Наразі правоохоронний орган, який хоче отримати доступ до баз даних, що йому не підпорядковуються, повинен відповідати декільком умовам (наприклад, необхідний доступ у конкретному випадку, обґрунтована підозра, попередня перевірка національних баз даних тощо). Це також включає попередній дозвіл іншого органу, який діє самостійно і відповідає за запобігання, виявлення або розслідування терористичних злочинів або інших серйозних злочинів. Перед видачею дозволу такий орган перевіряє, чи виконуються всі умови доступу, передбачені в правовій базі відповідної інформаційної системи. 29. Звіт Експертної групи високого рівня з питань інформаційних систем та сумісності передбачає, що для того, щоб визначити, чи містить широкомасштабна система (чи ні) інформацію про особу, правоохоронним органам має бути дозволений доступ до інформаційних систем, що не підпорядковані їм, без попереднього дозволу. Для інших цілей (наприклад, реконструкція історії подорожей відомого підозрюваного в контексті конкретного розслідування) попередній дозвіл залишається обов'язковим. 30. У цьому контексті варто зазначити, що масштабні інформаційні системи ЄС, такі як Візова інформаційна система або Євродак, були запроваджені для міграції та надання притулку. Можливість для правоохоронних органів отримати доступ до цих баз даних була додана на більш пізньому етапі і лише за певних умов (гарантій) для обмеження неправомірного впливу на фізичних осіб. Таким чином, будь-яке потенційне послаблення таких існуючих умов повинно бути конкретно обґрунтоване і вимагатиме ретельного і всебічного аналізу всіх залишкових та / або нових гарантій, щоб оцінити, чи буде таке розслаблення необхідним і
пропорційним. Зокрема, для того, щоб зберегти достатньо високий рівень захисту від можливих зловживань, зменшені гарантії попереднього контролю повинні принаймні супроводжуватися його посиленням. Нове використання даних 31. У початковій оцінці впливу згадується, що спільна служба біометричного узгодження ("BMS") надає можливість узгоджувати біометричні дані, що знаходяться в різних базах даних, тоді як загальне сховище ідентичності об'єднує буквено-цифрові дані (такі як імена та дати народження), які були збережені в різних інформаційних системах для управління кордонами та безпеки. Використання спільних БМС і загального сховища ідентичності дозволить виявити множинні ідентичності, пов'язані з тими ж біометричними даними, які є в різних масштабних системах, і таким чином допоможе боротися з шахрайством у ідентифікації. 32. Слід мати на увазі, що використання унікальних ідентифікаторів, у поєднанні з технічними можливостями для збору всієї доступної інформації про осіб з інших інформаційних систем, буде означати нову обробку персональних даних, яка повинна бути адекватною і достатньо обґрунтованою (див. розділи 3.1 і 3.2). 33. Крім того, інформаційні системи, які забезпечують загальне сховище ідентичностей, були побудовані для інших цілей, ніж боротьба з шахрайством у ідентифікації, що є новою метою обробки даних. У цьому контексті ми бачимо ризик «повзучості функцій» (тобто розширення використання системи або бази даних, що перевищує мету (цілі), для яких він був спочатку призначений). Як і будь-яка ініціатива, яка потенційно дозволить подальше використання даних або систем за межами того, що спочатку передбачалося законом, ми б рекомендували обережний підхід. Аргумент, що, оскільки дані вже зібрані, їх можна так само добре використовувати для інших цілей, не можна некритично прийняти, оскільки така нова обробка може мати більший вплив на людей. 34. Нарешті, ми хотіли б скористатися цією можливістю для з'ясування принципу мінімізації даних, який часто не розуміється. Наприклад, у Повідомленні 2016 року зазначається, що зберігання однакових даних у різних інформаційних системах суперечить принципу мінімізації даних. Оцінка подальшого впливу додатково вказує, що спільне сховище ідентичності допоможе підвищити ефективність, уникаючи дублювання даних. Однак уникнення дублювання даних саме по собі не забезпечить мінімізації даних. Відповідно до закону про захист даних, принцип мінімізації даних вимагає перш за все того, що збір і обробка даних обмежувалися адекватністю, відповідністю та необхідністю для передбачуваних цілей. Це означає, що на практиці обмін даними між базами,
які обробляють ті самі дані, не обов'язково буде достатнім для реалізації принципу мінімізації даних. Нові виклики безпеці 35. Ми хотіли б звернути увагу на той факт, що сумісність вносить фундаментальні зміни у сучасну архітектуру широкомасштабних ІТ-систем: перехід від закритого середовища до спільного середовища з можливістю підключення між ними різних систем. Це призведе до нових ризиків для безпеки. Якщо взяти для прикладу європейський пошуковий портал, такі ризики можуть виникнути, наприклад, через те, що зловмиснику потрібно буде скомпрометувати лише одну точку доступу (а не декілька) щоб отримати доступ до кількох інформаційних систем. 36. Тому надзвичайно важливо правильно проаналізувати наслідки інформаційної безпеки різних запропонованих варіантів для досягнення оперативної сумісності. Всеохоплююче управління ризиком інформаційної безпеки згідно зі статтею 22 Регламенту (ЄС) № 45/2001 та розпорядження Європейського наглядового органу із захисту даних виявляються необхідними перед здійсненням будь-яких змін, які можуть вплинути на безпеку всіх систем. 4. Висновки 37. Ми підтримуємо оперативну сумісність, коли вона реалізована добре продуманим способом і відповідає основним вимогам необхідності та пропорційності. Оперативна сумісність може бути корисним інструментом для вирішення законних потреб компетентних органів, що використовують широкомасштабні інформаційні системи ЄС, включаючи покращення обміну інформацією. 38. Незважаючи на те, що сумісність часто вважається лише технічною концепцією, вона не може бути відокремлена, в даному контексті, від питань, чи є обмін даними дійсно необхідним, політично бажаним або юридично обґрунтованим. 39. З точки зору основних прав, ми вважаємо, що Комісія має передбачити сумісність як інструмент, що сприяє лише використанню систем, і надавати створювати більш ефективні норми. Однак ми розуміємо, що Комісія може розглянути розширення нових можливостей для обміну даними або їх перехресного зіставлення. Це передбачає нову обробку даних, яка не охоплюється існуючими правовими інструментами. Їх вплив на основні права на конфіденційність і захист даних необхідно ретельно оцінити.
40. Важливо мати на увазі, що дотримання правил захисту даних ЄС виходить за рамки принципів захисту даних типовим шляхом і вимагає, щоб спочатку були встановлені необхідність і пропорційність обробки. 41. Зокрема, проблеми, що мають на меті вирішити питання оперативної сумісності, повинні бути чітко визначені у майбутній законодавчій пропозиції, щоб забезпечити належну дискусію з точки зору основних прав. Зазначимо, що Комісія визначає певні проблеми, але не описує детально, які саме питання виникають. Часто не зрозуміло чи основна проблема має правову природу, чи технічну, чи обидві одночасно. Залежно від проблеми, відповідне рішення для її вирішення може відрізнятися, зокрема, з точки зору обробки даних. У пропозиції також має бути чітко визначено, для яких конкретних цілей будуть оброблятися категорії особистих даних. 42. Отже, ми вважаємо, що проведення повної оцінки впливу сумісності на основні права на конфіденційність та захист даних буде фундаментальним, коли будуть відомі деталі щодо запланованої ініціативи. У цьому сенсі майбутня законодавча пропозиція може дати можливість скористатися можливістю для створення більш узгодженої та послідовної основи. Брюссель, 17 листопада 2017 року Джованні БУТТАРЕЛЛІ