[pic] | KOMISJA WSPÓLNOT EUROPEJSKICH |

Bruksela, dnia 7.3.2007

KOM(2007) 87 wersja ostateczna

KOMUNIKAT KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie kontynuacji programu prac na rzecz skuteczniejszego wdrażania dyrektywy o ochronie danych

KOMUNIKAT KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie kontynuacji programu prac na rzecz skuteczniejszego wdrażania dyrektywy o ochronie danych

(Tekst mający znaczenie dla EOG)

Dyrektywa 95/46/WE[1] w istotny sposób przyczyniła się do uznania ochrony danych osobowych za jedno z podstawowych praw. Konwencja nr 108 Rady Europy[2] leży u podwalin tego procesu. W pierwszym sprawozdaniu Komisji na temat wykonania dyrektywy[3], sporządzonym zgodnie z art. 33 dyrektywy, stwierdzono, że chociaż nie ma potrzeby wprowadzenia zmian legislacyjnych, konieczne są jednak dalsze wysiłki, które pozwolą bardziej skutecznie wdrożyć dyrektywę.

Sprawozdanie zawierało program prac na rzecz skuteczniejszego wdrażania przepisów dyrektywy o ochronie danych. W niniejszym komunikacie podsumowane zostaną dotychczasowe postępy w realizacji programu, oceniona obecna sytuacja, i nakreślone perspektywy na przyszłość, które są warunkiem powodzenia działań w wielu dziedzinach polityki w świetle art. 8 Europejskiej Karty Praw Podstawowych, w której uznano autonomiczne prawo do ochrony danych osobowych.

Komisja jest zdania, że określone w dyrektywie ogólne ramy prawne mają właściwy zakres i są technologicznie neutralne. Zharmonizowany zestaw zasad gwarantujący wysoki standard ochrony danych osobowych w całej UE przyniósł obywatelom, przedsiębiorstwom i władzom wymierne korzyści. Chroni on obywateli przed ogólnym nadzorem lub dyskryminacją, wynikającą z informacji posiadanych na ich temat przez osoby trzecie. Warunkiem, od którego zależy rozwój handlu elektronicznego jest zaufanie konsumentów, że dane osobowe podawane podczas transakcji nie zostaną wykorzystane niezgodnie z przeznaczeniem. Działalność przedsiębiorstw i współpraca administracyjna na terenie Wspólnoty prowadzone są bez obaw o zakłócenie międzynarodowej działalności ze względu na brak ochrony przesyłanych danych osobowych w miejscu wyjścia lub przeznaczenia.

Komisja będzie nadal monitorować wdrażanie dyrektywy, współpracować ze wszystkimi partnerami w celu zmniejszenia rozbieżności istniejących między państwami oraz zbada potrzebę opracowania szczegółowych przepisów branżowych regulujących zastosowanie zasad ochrony danych wobec nowych technologii i zaspokojenia w ten sposób potrzeb w zakresie bezpieczeństwa publicznego.

1. PRZESZŁOŚĆ: POSTĘPY ZREALIZOWANE DZIĘKI PROGRAMOWI PRAC

Od momentu opublikowania pierwszego sprawozdania prowadzone są prace w poniższych dziesięciu obszarach działań[4]:

Działanie 1: Dialog z państwami członkowskimi i organami ds. ochrony danych

Komisja prowadziła „zorganizowany dialog” z państwami członkowskimi na temat transpozycji przepisów dyrektywy do prawa krajowego. W ramach tego dialogu dokonano szczegółowej analizy krajowego ustawodawstwa i przeprowadzono rozmowy z krajowymi organami, których celem było pełne dostosowanie prawa krajowego do wymogów dyrektywy.

Działanie 2: Włączenie krajów kandydujących do działań na rzecz skuteczniejszego i bardziej harmonijnego wdrażania dyrektywy.

Jeszcze przed przystąpieniem do UE przedstawiciele krajów kandydujących brali udział w spotkaniach Komitetu przedstawicieli państw członkowskich, utworzonego na mocy art. 31 dyrektywy, oraz, począwszy od 2002 r., w pracach grupy roboczej, utworzonej na mocy art. 29[5]. W tym czasie Komisja wspierała władze tych krajów w procesie przyjmowania odnośnych przepisów krajowych, udzielając wskazówek co do dostosowania do dorobku wspólnotowego w celu ograniczenia liczby ewentualnych późniejszych formalnych postępowań o naruszenie przepisów.

Działanie 3: Usprawnienie procedury zgłaszania wszystkich aktów prawnych przyjętych w celu transpozycji dyrektywy oraz upoważnień wydanych na podstawie art. 26 ust. 2 dyrektywy.

Dzięki zorganizowanemu dialogu, o którym mowa w działaniu 1, Komisja uzyskała jaśniejszy i pełniejszy obraz krajowych środków przyjętych w celu wdrożenia dyrektywy, w tym aktów ustawodawstwa wtórnego i przepisów branżowych. W piśmie przesłanym państwom członkowskim w sierpniu 2003 r. Komisja przestawiła propozycję wspólnych kryteriów sprawnego przetwarzania zgłoszeń na mocy art. 26 ust. 3 dyrektywy. W rezultacie liczba nadsyłanych przez państwa członkowskie zgłoszeń wzrosła. Zamieszczenie na stronie internetowej Komisji najważniejszych planów działań, decyzji i zaleceń z poszczególnych państw przyczyniło się do wymiany dobrych praktyk i doświadczeń między krajowymi władzami.

Działanie 4: Wykonywanie przepisów

W deklaracji dotyczącej wykonania przepisów grupa robocza podkreśliła potrzebę stosowania skoordynowanych środków wykonawczych na poziomie całej UE, określając równocześnie kryteria wyboru kwestii, które należy jeszcze zbadać. W marcu 2006 r. krajowe organy ds. ochrony danych rozpoczęły wspólne dochodzenie celem zbadania warunków przetwarzania danych osobowych w sektorze prywatnych ubezpieczeń zdrowotnych.

Działanie 5: Zawiadamianie i podawanie do wiadomości publicznej operacji przetwarzania danych

Grupa robocza opracowała sprawozdanie dotyczące tej kwestii, przedstawiając w skrócie sytuację w poszczególnych krajach i formułując zalecenia, zgodne z zaleceniami Komisji. Następnie opracowano Vademecum wymogów w zakresie zgłaszania ( Vademecum on Notification Requirements ), którego zadaniem było przestawienie pełnego obrazu różnych krajowych zasad oraz dostarczenie administratorom danych dobrych wzorców i wskazówek.

Działanie 6: Bardziej harmonijne przepisy dotyczące informacji

Zorganizowany dialog był nie tylko okazją dla Komisji do przeprowadzenia analizy ustawodawstwa krajowego – dzięki niemu grupa robocza zdała sobie także sprawę z konieczności harmonizacji krajowych przepisów i postawiła sobie za cel wspólne wypracowane pragmatycznego rozwiązania. Administratorzy danych uzyskali wskazówki dotyczące konkretnych istotnych przypadków, treści i formy informacji, oraz modeli wielostopniowych zawiadomień o ochronie prywatności lub informacji o przekazywaniu danych PNR ( Passenger Name Record ).

Działanie 7: Uproszczenie wymogów dotyczących przekazywania danych na szczeblu międzynarodowym

a) zwiększenie liczby przypadków uznawania stopnia ochrony danych oferowanego przez państwo trzecie za prawidłowy na mocy art. 25 ust. 6

Od chwili ogłoszenia programu prac, wiele krajów zostało uznanych przez Komisję za zapewniające odpowiedni poziom ochrony. Do takich krajów zaliczono Argentynę, Guernsey oraz Wyspę Man.

Komisja dokonała także przeglądu uprzednio przyjętych decyzji o uznaniu kraju za zapewniający odpowiedni poziom ochrony. W 2004 r. służby Komisji przedstawiły sprawozdanie na temat funkcjonowania „bezpiecznej przystani”, a następnie zawiadomienie informacyjne oraz standardowy formularz skargi do zespołu ds. ochrony danych. Zaś w październiku 2006 r. odbyła się bardzo owocna Konferencja na temat przekazywania danych osobowych na skalę międzynarodową, zorganizowana wspólnie z grupą roboczą i Departamentem Handlu USA. W odniesieniu do Szwajcarii i Kanady oceniono także, czy należy uznać je za kraje gwarantujące odpowiedni poziom ochrony.

b) kolejne decyzje na podstawie art. 26 ust. 4, zapewniające podmiotom gospodarczym większy wybór standardowych klauzul umownych

Decyzją Komisji dodatkowe klauzule umowne zostały uznane za zapewniające odpowiednie środki zabezpieczające dla potrzeb przekazywania danych do administratorów danych w krajach trzecich. Zostały one zaproponowane przez grupę reprezentatywnych stowarzyszeń przedsiębiorstw, miedzy innymi Międzynarodową Izbę Handlową. W 2006 r. służby Komisji przedstawiły także pierwsze sprawozdanie na temat wykonania poprzednich decyzji Komisji dotyczących klauzul umownych.

c) rola wiążących (wewnętrznych) zasad dla przedsiębiorstw jako źródła odpowiednich zabezpieczeń dla potrzeb przekazywania danych osobowych między poszczególnymi podmiotami w branży

W 2003 i 2004 r. prowadzono prace nad dwoma istotnymi dokumentami, które zostały ostatecznie przyjęte przez grupę roboczą. W pierwszym z nich określono procedurę współpracy krajowych organów nadzoru w zakresie wydawania wspólnych opinii dotyczących odpowiednich środków zabezpieczających wynikających z wiążących zasad dla przedsiębiorstw. Drugi z nich zawiera wzór listy kontrolnej, którą administratorzy danych mogą stosować przy ocenie czy zasady te zapewniają odpowiednie zabezpieczenia.

d) bardziej jednolita wykładnia przepisów art. 26 ust. 1 dyrektywy

Grupa robocza przyjęła opinię, w której określono ważne wskazówki w sprawie zastosowania odstępstw od zasady odpowiedniego poziomu ochrony w państwach trzecich.

Działanie 8: Promocja technologii na rzecz ochrony sfery prywatnej

Wynikiem prowadzonych w 2003 i 2004 r. prac Komisji i Grupy Roboczej jest komunikat Komisji w sprawie technologii na rzecz ochrony sfery prywatnej, którego przyjęcie planuje się w najbliższej przyszłości. Komunikat zawiera przyszłe zasady polityki w tej dziedzinie.

Działanie 9: Propagowanie samoregulacji i europejskich kodeksów postępowania

Grupa Robocza zatwierdziła kodeks postępowania Europejskiej Federacji Marketingu Bezpośredniego (FEDMA), co stanowi istotne osiągnięcie. Niestety nie udało się stworzyć innych podobnych kodeksów o porównywalnym stopniu jakości. Pomimo wcześniej odnotowanych postępów, niepowodzeniem zakończyły się także prace europejskich partnerów społecznych nad europejskim porozumieniem w sprawie ochrony danych osobowych.

Działanie 10: Podnoszenie świadomości

Przeprowadzono badanie Eurobarometru w celu zbadania opinii europejskich obywateli i przedsiębiorstw na temat ochrony prywatności. Wyniki wyraźnie wskazują, że badani są żywo zainteresowani kwestiami ochrony prywatności, ale także, iż nie są oni wystarczająco poinformowani o istniejących zasadach i instrumentach ochrony ich praw.

2. DZIEŃ DZISIEJSZY: STAN WDROŻENIA DYREKTYWY

Skuteczność wdrażania dyrektywy wzrosła…

Wszystkie państwa członkowskie dokonały już transpozycji dyrektywy. Ogólnie rzecz biorąc, wszystkie zasadnicze elementy dyrektywy zostały wdrożone do prawa krajowego zgodnie z zasadami określonymi w dyrektywie.

Działania prowadzone w ramach programu prac były owocne i przyczyniły się w znacznym stopniu do podniesienia skuteczności wdrażania dyrektywy na terytorium Wspólnoty. Silne zaangażowanie krajowych organów nadzoru ds. ochrony danych w realizację programu prac miało tu decydujące znaczenie.

…jednak niektóre państwa pozostają w tyle.

Szczegółowa analiza krajowych przepisów prawa z zakresu ochrony danych, zrealizowana w ramach zorganizowanego dialogu, i będąca konsekwencją prac przygotowawczych do pierwszego sprawozdania Komisji w 2003 r., pozwoliła ocenić stopień transpozycji dyrektywy na terytorium Wspólnoty. Wyjaśnione zostały niektóre kwestie prawne i wątpliwości dotyczące zgodności niektórych krajowych przepisów i stosowanych praktyk z przepisami dyrektywy.

Zorganizowany dialog pozwolił stwierdzić również, że niektóre państwa członkowskie nie dokonały transpozycji wielu istotnych przepisów dyrektywy. W innych przypadkach transpozycja lub stosowane praktyki nie były zgodne z przepisami dyrektywy lub wykraczały poza przewidziany margines swobody.

Jednym z problemów jest spełnienie wymogu zapewnienia pełnej niezależności organów nadzoru ds. ochrony danych oraz nadania im odpowiednich uprawnień i udostępnienia zasobów pozwalających na wykonanie powierzonych zadań. Organy te stanowią kluczowe elementy przewidzianego w dyrektywie systemu ochrony, a jakiekolwiek uchybienie przy gwarantowaniu im niezależności i nadawaniu uprawnień ma negatywny wpływ na wykonywanie przepisów z zakresu ochrony danych.

Zawsze gdy pojawi się podejrzenie błędnej lub niepełnej transpozycji przepisów, Komisja prowadzi analizę porównawczą danego przypadku, dążąc do opracowania spójnego podejścia. Niektóre państwa członkowskie uznały istnienie luk prawnych we własnych porządkach prawnych i zobowiązały się do wprowadzenia niezbędnych poprawek, do czego Komisja gorąco zachęca. Inne problemy zostały wspomniane przez obywateli w nadesłanych skargach. W przypadku utrzymującego się naruszenia prawa wspólnotowego, Komisja jako strażniczka traktatów, na mocy art. 226 TWE może wszcząć formalne postępowanie o naruszenie przepisów wobec danego państwa, które dopuszcza się naruszenia. Wiele takich postępowań zostało już wszczętych.

W niektórych przypadkach, w ramach marginesu swobody przewidzianego w dyrektywie, mogą pojawić się rozbieżności,…

Dyrektywa zawiera szereg ogólnych przepisów, a także, w sposób bezpośredni lub domyślny, wyznacza państwom członkowskim margines swobody dla potrzeb przyjmowania krajowego ustawodawstwa. Rozbieżności między poszczególnymi krajami mogą pojawić się w tych wyznaczonych przez dyrektywę granicach[6]. W omawianym przypadku odnotowane rozbieżności nie są większe niż w innych sektorach gospodarki, a fakt ich istnienia jest nierozerwalnie związany z faktem wyznaczania takiego marginesu swobody.

…które jednakże nie stanowią zagrożenia dla rynku wewnętrznego

Na zlecenie Komisji przeprowadzono badanie mające na celu ocenę wpływu ekonomicznego dyrektywy na administratorów danych (ang. „ Economic evaluation of the Data Protection Directive (95/46/EC) ”)[7]. Badanie, na przykładzie kilku wybranych przypadków, wykazało, iż pomimo pewnych rozbieżności, firmy nie poniosły nadmiernych kosztów przy wdrażaniu dyrektywy.

Z pewnością pożądana byłaby większa spójność, która umożliwiłaby promocję pozytywnych inicjatyw takich jak upraszczanie, samoregulacja lub zastosowanie wiążących zasad dla przedsiębiorstw. Jednakże skargi złożone Komisji nie zawierały elementów potwierdzających, że odnotowane rozbieżności w granicach dyrektywy mogłyby rzeczywiście zakłócić prawidłowe funkcjonowanie wewnętrznego rynku lub uniemożliwić swobodny przepływ danych ze względu na brak ochrony lub niewystarczający poziom takiej ochrony w kraju pochodzenia lub przeznaczenia. Także i ograniczenia nakładane na prywatne podmioty gospodarcze w państwach, w których mają one zarejestrowaną siedzibę, nie stanowią zagrożenia dla konkurencji między tymi podmiotami. Istniejące różnice nie mają wpływu na decyzję przedsiębiorstw o wyborze danego państwa członkowskiego na miejsce prowadzenia działalności lub lokalizację swojej siedziby. Nie podważają one również zobowiązania Unii Europejskiej i jej państw członkowskich do ochrony podstawowych praw.

W związku z tym dyrektywa spełnia swoje cele – umożliwia swobodny przepływ danych osobowych w ramach rynku wewnętrznego, zapewniając jednocześnie wysoki poziom ich ochrony we Wspólnocie.

Przyjęte zasady są w dużej mierze właściwe

Innym zagadnieniem jest kwestia czy rozwiązania prawne, przewidziane w dyrektywie, oprócz zapewnienia harmonizacji przepisów, są adekwatne do istniejących problemów.

Niektóre z przepisów zostały poddane krytyce. Skarżono się, że obowiązek zgłaszania jest obciążeniem, jednakże zgłaszanie jest dla osób, których dane dotyczą, gwarancją przejrzystości, dla administratorów danych – sposobem na podniesienie świadomości, a dla organów władzy – narzędziem monitorowania. Internet oraz nowe możliwości kontaktów i dostępu do usług świadczonych w państwach trzecich pojawiające się przed osobami, których dane dotyczą, rodzą pytania o zasady określania właściwego prawa krajowego lub przekazywania danych do państw trzecich. Kwestie te zostały tylko częściowo rozwiązane w przyjętym orzecznictwie[8]. Wykorzystanie urządzeń do identyfikacji częstotliwości radiowej (RFID) natomiast rodzi podstawowe pytanie o zakres przepisów ochrony danych i pojęcie danych osobowych. Stosowanie przepisów dyrektywy wymaga szczególnej ostrożności w przypadku kombinacji danych dźwiękowych i danych obrazu z automatycznym rozpoznawaniem.

Podobna debata miała miejsce w Radzie Europy i dotyczyła adekwatności postanowień Konwencji nr 108 w obecnych warunkach. Panuje powszechne przekonanie, że zasady te nadal mają zastosowanie i stanowią satysfakcjonujące rozwiązanie.

Dostosowanie do zmian technologicznych

Komisja uważa, że dyrektywa jest technologicznie neutralna oraz iż przepisy i opisane zasady są na tyle ogólne, że można nadal je stosować w zgodzie z nowymi technologiami i obecnymi warunkami. Jednakże może zajść potrzeba przekształcenia tych ogólnych zasad w szczegółowe wytyczne lub przepisy celem uwzględnienia specyfiki nowych technologii.

Dyrektywa 2002/58/WE uszczegóławia i uzupełnia dyrektywę 95/46/WE w odniesieniu do kwestii przetwarzania danych osobowych w sektorze łączności elektronicznej i ma na celu zapewnienie swobodnego przepływu we Wspólnocie tego typu danych oraz urządzeń i usług łączności elektronicznej. Dyrektywa obecnie jest poddawana przeglądowi w ramach ogólnego przeglądu ram regulacyjnych dotyczących sieci i usług łączności elektronicznej.

Grupa robocza prowadziła intensywne prace nad kwestiami technologicznymi takimi jak niezamówione wiadomości (tzw. spam), filtry poczty elektronicznej oraz przetwarzanie danych o ruchu do celów naliczania opłat lub danych dotyczących lokalizacji do celów usług tworzących wartość dodaną. Zorganizowano serię warsztatów na temat technologii RFID; służby Komisji przeprowadziły także publiczne konsultacje dotyczące kwestii prywatności i bezpieczeństwa.

Uwzględnianie wymogów wynikających z interesu publicznego…

Dyrektywa zawiera dwa rodzaje przepisów regulujących zależność między ochroną podstawowych praw i swobód a wymogami wynikającymi z interesu publicznego.

Na mocy przepisów pierwszego rodzaju szereg kwestii zostaje wyłączony z zakresu dyrektywy, jak np. działalność na rzecz „ bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalnoś[ć] państwa w obszarach prawa karnego .” (art. 3). Trybunał Sprawiedliwości jednoznacznie stwierdził, że przetwarzanie danych do celów zapewnienia bezpieczeństwa publicznego i egzekwowania prawa nie wchodzi w zakres dyrektywy[9]. Komisja, dążąc do stworzenia wspólnego zbioru unijnych przepisów w zakresie ochrony danych, przyjęła wniosek w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych[10], który był uzupełnieniem wniosku w sprawie wymiany informacji w ramach zasady dostępności[11]. W tej dziedzinie UE zawarła z USA międzynarodową Umowę w celu uregulowania wykorzystywania danych dotyczących przelotu pasażera (PNR) do walki z przestępczością[12].

Na mocy przepisów drugiej kategorii państwa członkowskie mogą ograniczyć zastosowanie istniejących zasad ochrony danych w niektórych przypadkach, na przykład, jak stanowi art. 13, „ gdy takie ograniczenia stanowią środki niezbędne […] do zapewnienia [następuje wykaz ważnych interesów publicznych]." Potrzeba wprowadzenia takich ograniczeń może wynikać na przykład z konieczności zwalczania przestępczości lub ochrony zdrowia publicznego w nagłych przypadkach. Inne przepisy dyrektywy także przewidują możliwość zastosowania ograniczonych wyjątków. Trybunał Sprawiedliwości jednoznacznie stwierdził, iż powtórne wykorzystanie danych zebranych do „celów handlowych” jest możliwe jedynie w przypadkach, gdy chodzi o inny interes publiczny, zgodnie z warunkami określonymi w wymienionym artykule. Ponadto ograniczenia obowiązujące krajowego ustawodawcę są równoważne z ograniczeniami określonymi w art. 8 Europejskiej konwencji o ochronie praw człowieka, a orzecznictwo Europejskiego Trybunału Praw Człowieka ma tu kluczowe znaczenie[13]. Opisany mechanizm, w ramach którego państwa członkowskie mogą same zdecydować co stanowi „ niezbędny środek ” leżący w „ istotnym interesie publicznym ", jest z natury głównym źródłem rozbieżności przepisów między poszczególnymi krajami.

Ograniczenia takie zostały ujednolicone jedynie w niewielkiej liczbie sektorów, czego dowodem jest przyjęta ostatnio dyrektywa 2006/24/WE w sprawie zatrzymywania danych[14]. Komisja wyraziła zamiar powołania grupy ekspertów celem omówienia ewentualnych trudności jak np. kwestii wdrożenia dyrektywy do prawa krajowego.

…przy równoczesnym wprowadzaniu w życie podstawowego prawa

Przy opracowywaniu wniosków aktów prawnych Komisja zobowiązana jest zawsze przestrzegać postanowień Karty Praw Podstawowych. W odniesieniu do prawa do ochrony danych osobowych określonego w art. 8 Karty, dyrektywa gwarantuje wysoki standard i stanowi punkt odniesienia umożliwiający spójność pod względem poszanowania prywatności wszystkich wspólnotowych aktów prawnych z różnych dziedzin.

3. PRZYSZŁOŚĆ: CIĄG DALSZY

Mając na uwadze opisane powyżej okoliczności, realizowana przez Komisję polityka będzie koncentrować się wokół następujących kwestii:

Ratyfikacja Traktatu Konstytucyjnego może stworzyć nowe perspektywy

Traktat Konstytucyjny mógłby mieć ogromny wpływ w omawianej dziedzinie. Przewidziano włączenie do art. II-68 prawa do ochrony danych osobowych zagwarantowanego w art. 8 Karty Praw Podstawowych. Artykuł I-51 natomiast miałby szansę stać się specyficzną i autonomiczną podstawą prawną przyszłych przepisów unijnych w tej dziedzinie i stworzyć możliwości przyjmowania instrumentów, obowiązujących we wszystkich sektorach. W takiej sytuacji obecny podział na filary i ograniczony zakres art. 3 dyrektywy nie stanowiłby już problemu. Komisja podkreśliła także, że do czasu rozwiązania problemów procesu ratyfikacji Traktatu Konstytucyjnego należy usprawnić procedury w odniesieniu do obszaru wolności, bezpieczeństwa i sprawiedliwości, przewidziane w obecnych Traktatach[15].

Nie należy zmieniać dyrektywy

Komisja uważa zatem, że przepisy dyrektywy o ochronie danych stanowią ogólne ramy prawne i spełniają wyznaczone cele, ponieważ gwarantują odpowiednie funkcjonowanie rynku wewnętrznego, zapewniając jednocześnie wysoki poziom ochrony danych. W dyrektywie podstawowe prawo do ochrony danych osobowych nabrało realnego kształtu, a przestrzeganie jej zasad powinno zapewnić zaufanie obywateli co do dalszego wykorzystania ich danych osobowych, które jest niezbędnym warunkiem rozwoju handlu elektronicznego. Dyrektywa stanowi punkt odniesienia dla inicjatyw realizowanych w rozmaitych dziedzinach polityki; jest technologicznie neutralna i pozostaje źródłem trwałych i stosownych rozwiązań.

Dlatego też Komisja nie planuje żadnego wniosku aktu prawnego w sprawie zmiany dyrektywy.

Celem Komisji będzie nadal odpowiednie wdrażanie przepisów dyrektywy na poziomie krajowym i międzynarodowym

Niektóre niespójności w przepisach krajowych wynikają z błędnej lub niepełnej transpozycji przepisów dyrektywy. Opierając się na informacjach uzyskanych w ramach zorganizowanego dialogu z państwami członkowskimi oraz informacjach pochodzących ze skarg nadesłanych przez obywateli, Komisja będzie nadal współpracować z państwami członkowskimi, a jeśli zajdzie taka potrzeba zdecyduje o wszczęciu formalnych postępowań o naruszenie przepisów, co pozwoli na zapewnienie podobnych warunków we wszystkich państwach członkowskich.

Komisja wzywa państwa członkowskie do zapewnienia właściwej realizacji krajowych przepisów przyjętych na podstawie dyrektywy. Równocześnie będzie obserwować dyskusje na forach międzynarodowych, takich jak Rada Europy, OECD oraz ONZ, i brać w nich aktywny udział, aby zapewnić spójną realizację zobowiązań spoczywających na państwach członkowskich na mocy dyrektywy.

Komisja opracuje komunikat wyjaśniający dotyczący niektórych przepisów

Problemy we wdrażaniu niektórych z przepisów dyrektywy, które mogą prowadzić do wszczęcia formalnych postępowań o naruszenie przepisów, związane są ze sposobem w jaki Komisja interpretuje przepisy dyrektywy i tym, co uznaje za właściwy sposób ich wdrażania, kierując się przy tym przyjętym orzecznictwem oraz wyjaśnieniami opracowanymi przez grupę roboczą.

Kwestie te będą przedmiotem komunikatu wyjaśniającego.

Komisja zachęcać będzie wszystkie strony do działań na rzecz zmniejszenia rozbieżności między poszczególnymi państwami

W tym celu podjęte zostaną różnego typu działania.

– Dalsza realizacja programu prac

Środki przyjęte od 2003 r. okazały się odpowiednie do celów wdrażania dyrektywy.

Działania opisane w programie prac będą kontynuowane, a skuteczniejsze wdrażanie dyrektywy wymaga aktywnego zaangażowania wszystkich stron.

– Grupa robocza powinna w większym stopniu przyczyniać się do harmonizacji praktyk

Grupa robocza, stanowiąca forum spotkań przedstawicieli krajowych organów nadzoru ds. ochrony danych, odgrywa kluczową rolę w zapewnianiu skuteczniejszego i bardziej spójnego wdrażania dyrektywy. Grupa robocza „ bada każdą kwestię dotyczącą stosowania krajowych środków przyjętych na mocy niniejszej dyrektywy, aby przyczynić się w ten sposób do jednolitego stosowania tych środków ”. Prace grupy w zakresie poszukiwania sposobu zapewnienia jednolitego stosowania we wszystkich państwach członkowskich najistotniejszych przepisów, np. przepisów dotyczących transgranicznego przepływu danych czy przepisów regulujących pojęcie danych osobowych, okazały się przydatne.

Organy właściwe w zakresie ochrony danych powinny także dążyć do dostosowania praktyk krajowych do ustaleń przyjętych w ramach grupy roboczej, mając na celu pełne wykorzystanie przysługującego im mandatu.

Podejmowanie wyzwań stawianych przez nowe technologie

Zasady zawarte w dyrektywie nie straciły na ważności i nie należy ich zmieniać. Jednakże ze względu na ekspansję nowych technologii informatycznych i komunikacyjnych konieczne jest opracowanie szczególnych wytycznych dotyczących praktycznego stosowania tych zasad. Coraz bardziej zaawansowana technika umożliwia szybkie przekazywanie informacji na skalę światową. Jednak rozwiązania techniczne pozwalają również na lepszą ochronę danych w stosownych przypadkach. Technika ułatwia lepsze kontrolowanie i przeszukiwanie danych, a tym samym szybsze i łatwiejsze znalezienie stosownych danych. W przypadku braku zgody na przekazanie danych, rozwiązania techniczne umożliwiają szybsze i skuteczniejsze ich wyizolowanie i ochronę.

Grupa robocza ma tu do odegrania bardzo istotną rolę. Powinna ona w dalszym ciągu prowadzić prace w ramach grupy zadaniowej ds. Internetu i zachęcać krajowe organy nadzorcze ds. ochrony danych do harmonizacji działań na wdrażania dyrektywy do prawa krajowego, w szczególności w odniesieniu do prawa właściwego i przepływu danych transgranicznych.

W przypadku gdy dana technologia regularnie stwarza problemy pod względem zastosowania zasad ochrony danych, a ze względu na jej rozpowszechnione wykorzystanie lub potencjalną wszechobecność konieczne jest zastosowanie surowszych środków, Komisja mogłaby zaproponować przepisy branżowe na poziomie UE w celu dostosowania tych zasad do specyficznych wymogów danej technologii. Konkretnym przykładem takiego podejścia jest dyrektywa 2002/58/WE w sprawie ochrony prywatności w sektorze łączności elektronicznej.

Trwający przegląd tej dyrektywy oraz wymieniony powyżej komunikat w sprawie RFID mogą stać się okazją do refleksji nad koniecznością zmiany tej dyrektywy lub wprowadzenia specyficznych zasad w celu rozwiązania problemów wynikających z wykorzystania technologii takich jak Internet i RFID.

Harmonijne spełnianie wymogów związanych z interesem publicznym, w szczególności kwestią bezpieczeństwa

Musimy pogodzić dwa podstawowe wymogi: skutecznie zwalczać zagrożenia w codziennym życiu mieszkańców Europy, zwłaszcza w dziedzinie bezpieczeństwa, a równocześnie przestrzegać praw podstawowych, w tym prawa do ochrony danych. Ilość gromadzonych danych osobowych oraz liczba operacji, przy których rejestrowany i zachowywany jest ślad danych osobowych użytkownika, są znaczące. Dane mogą być wykorzystywane do celów innych, niż te do których zostały pierwotnie zgromadzone, jedynie w przypadku, gdy takie wykorzystanie jest należycie uprawnione. Takie środki muszą być uzasadnione i konieczne z punktu widzenia interesu publicznego w społeczeństwie demokratycznym, np. w celu zapobiegania terroryzmowi i walki z nim oraz zwalczania przestępczości zorganizowanej.

Próbując znaleźć równowagę między środkami podejmowanymi w celu zapewnienia bezpieczeństwa i ochroną bezdyskusyjnych praw podstawowych, Komisja pragnie zapewnić ochronę danych osobowych, zgodnie z postanowieniami art. 8 Karty Praw Podstawowych. Unia Europejska prowadzi również współpracę z zewnętrznymi partnerami – takie działanie jest konieczne w czasach globalizacji. Unia prowadzi zwłaszcza transatlantycki dialog z USA, pozwalający na omawianie kwestii dotyczących wymiany informacji i ochrony danych osobowych w celu egzekwowania prawa.

Komisja ponownie oceni stopień wdrożenia dyrektywy po przyjęciu środków określonych w niniejszym komunikacie.

[1] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. L 281 z 23.11.1995, str. 31, zwana dalej „dyrektywą”.

[2] ETS nr 108, dalej zwana „Konwencja”

[3] First report on the implementation of the Data Protection Directive (95/46/EC) , (Pierwsze sprawozdanie na temat wykonania dyrektywy o ochronie danych 95/46/WE) COM (2003) 265 wersja ostateczna, z dnia 15.5.2003 r.

[4] Pierwsze sprawozdanie Komisji oraz wymienione dokumenty przyjęte w ramach programu prac, udostępnione do wiadomości publicznej można znaleźć na stronie internetowej :http://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_en.htm

[5] Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych utworzona na mocy przepisów art. 29 dyrektywy, zwana dalej „grupą roboczą”.

[6] Patrz: motyw dziewiąty dyrektywy.

[7] http://ec.europa.eu/justice_home/fsj/privacy/docs/studies/economic_evaluation_en.pdf

[8] Sprawa C-101/01 („Lindqvist”), wyrok z dnia 6 listopada 2003 r.

[9] Połączone sprawy C-317/04 oraz C-318/04 („PNR”), wyrok z dnia 30 maja 2006 r.

[10] COM(2005) 475 wersja ostateczna z 4.10.2005

[11] COM(2005) 490 wersja ostateczna z 12.10.2005

[12] Dz.U. L 298 z 27.10.2006, str. 29.

[13] Połączone sprawy C-465/00, C-138/01 oraz C-139/01 („Rechnungshof”), wyrok z dnia 20 maja 2003 r.

[14] Dz.U. L 105 z 13.4.2006, str. 54.

[15] COM(2006) 331 wersja ostateczna z 28.6.2006