Ta strona jest częścią portalu
Dostęp do aktów prawnych Unii Europejskiej
Komunikat Komisji dla Parlamentu europejskiego i Rady w sprawie lepszej ochrony danych z wykorzystaniem technologii na rzecz ochrony prywatności
/* COM/2007/0228 końcowy */
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | |||
| doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc |
| Widok dwujęzyczny: CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT SK SL SV |
[pic] | KOMISJA WSPÓLNOT EUROPEJSKICH |
Bruksela, dnia 2.5.2007
KOM(2007) 228 wersja ostateczna
KOMUNIKAT KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie lepszej ochrony danych z wykorzystaniem technologii na rzecz ochrony prywatności
KOMUNIKAT KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie lepszej ochrony danych z wykorzystaniem technologii na rzecz ochrony prywatności (Tekst mający znaczenie dla EOG)
WPROWADZENIE
Dzięki ciągłemu i intensywnemu rozwojowi technologii informacyjno-komunikacyjnych na rynku pojawiają się wciąż nowe usługi, które podnoszą nasz standard życia. Surowcem, na którym w dużej mierze opiera się komunikacja w cyberprzestrzeni, są dane osobowe przebywających w niej osób, które robią zakupy, korzystają z usług, nawiązują lub utrzymują kontakty z innymi czy też wyrażają swoje opinie w Internecie. Wynikającym z tego korzyściom towarzyszą jednak nowe zagrożenia, takie jak kradzież tożsamości, dyskryminacyjne profilowanie użytkowników, ciągły nadzór lub oszustwa.
W art. 8 Karty praw podstawowych Unii Europejskiej uznane zostało prawo do ochrony danych osobowych. To podstawowe prawo zostało określone w prawodawstwie europejskim dotyczącym ochrony danych osobowych, na które składają się przede wszystkim dyrektywa o ochronie danych 95/46/WE[1] i dyrektywa o prywatności i łączności elektronicznej 2002/58/WE[2], jak również rozporządzenie o ochronie danych (WE) 45/2001[3], dotyczące przetwarzania danych przez wspólnotowe instytucje i organy. W prawodawstwie tym ustanowiono szereg materialnych przepisów nakładających obowiązki na administratorów danych i uznających prawa osób, których dane dotyczą. Określa ono również kary i odpowiednie środki dochodzenia roszczeń w przypadku naruszenia tych praw oraz ustanawia mechanizmy służące ich egzekwowaniu, tak aby przepisy były skuteczne.
System ten może się jednak okazać niewystarczający w sytuacji, gdy dane osobowe są rozpowszechniane za pośrednictwem sieci informacyjno-komunikacyjnych po całym świecie, a ich przetwarzanie podlega jurysdykcji wielu krajów, często nienależących do UE. W takich przypadkach można oczywiście uznać, że zastosowaniu podlegają przepisy obowiązujące i przyjąć jasne stanowisko prawne. Można również ustalić władze właściwe do wyegzekwowania tych przepisów. Ich praktyczne stosowanie może jednak napotkać na znaczne trudności związane z charakterem stosowanych technologii, w których dane przetwarzane są przez różne podmioty w różnych miejscach, oraz z przeszkodami związanymi z wykonywaniem orzeczeń krajowych sądów i organów administracyjnych wydanych w innym państwie, szczególnie poza UE.
Mimo, że - ściśle rzecz biorąc - odpowiedzialność prawna za przestrzeganie przepisów dotyczących ochrony danych spoczywa na administratorach danych, ze społecznego i etycznego punktu widzenia ponoszą ją również w pewnym stopniu inne podmioty. Dotyczy to między innymi osób opracowujących specyfikacje techniczne oraz osób faktycznie tworzących lub wdrażających aplikacje lub systemy operacyjne.
Artykuł 17 dyrektywy o ochronie danych nakłada na administratora danych obowiązek wdrożenia właściwych środków technicznych i organizacyjnych oraz zapewnienia poziomu bezpieczeństwa stosownego do charakteru danych i zagrożeń wynikających z ich przetwarzania. Wykorzystanie technologii na rzecz lepszego przestrzegania prawa, w szczególności przepisów dotyczących ochrony danych, w pewnym stopniu przewidziano już w dyrektywie o prywatności i łączności elektronicznej[4].
Realizację kolejnego kroku na rzecz osiągnięcia celu omawianego prawodawstwa, jakim jest ograniczenie przetwarzania danych osobowych i jak najpowszechniejsze wykorzystywanie danych anonimowych lub pseudoanonimowych mogłoby ułatwić zastosowanie technologii na rzecz ochrony prywatności, pomagających zagwarantować, że naruszanie przepisów dotyczących ochrony danych i praw osób fizycznych, oprócz tego, że niezgodne z prawem i karalne, byłoby również trudniejsze niż dotychczas pod względem technicznym.
Celem niniejszego komunikatu, który nawiązuje do pierwszego sprawozdania z wdrażania dyrektywy o ochronie danych[5], jest rozważenie korzyści płynących z technologii na rzecz ochrony prywatności, przedstawienie celów Komisji w zakresie ich promowania oraz jasne określenie działań prowadzących do osiągnięcia tych celów poprzez wspieranie rozwoju technologii na rzecz ochrony prywatności oraz ich wykorzystania przez administratorów danych i konsumentów.
CZYM Są TECHNOLOGIE NA RZECZ OCHRONY PRYWATNOśCI?
Zarówno w środowisku akademickim, jak i w ramach projektów pilotażowych w tej dziedzinie stosuje się wiele definicji technologii na rzecz ochrony prywatności. Na przykład według autorów finansowanego ze środków WE projektu PISA, technologie te stanowią spójny system środków informacyjno-komunikacyjnych chroniących prywatność poprzez eliminowanie lub ograniczanie wykorzystania danych osobowych lub poprzez zapobieganie niepotrzebnemu i/lub niepożądanemu przetwarzaniu danych osobowych, przy jednoczesnym zachowaniu funkcjonalności danego systemu informacyjnego. Zastosowanie technologii na rzecz ochrony prywatności może ułatwić opracowanie takich systemów i usług informacyjno-komunikacyjnych, które pozwolą ograniczyć zbieranie i wykorzystywanie danych osobowych oraz ułatwi przestrzeganie przepisów dotyczących ochrony danych. W swoim pierwszym sprawozdaniu z wdrażania dyrektywy o ochronie danych Komisja uznała, że „ (…) zastosowanie odpowiednich środków technicznych jest jednym z niezbędnych elementów uzupełniających uregulowania prawne i powinno stanowić integralną część wszelkich działań, których celem jest osiągnięcie wystarczającego poziomu ochrony prywatności (…)”. Zastosowanie technologii na rzecz ochrony prywatności powinno utrudnić naruszanie niektórych przepisów dotyczących ochrony danych i/lub ułatwić wykrywanie przypadków takich naruszeń.
W związku z dynamicznymi przemianami w sektorze technologii informacyjno-komunikacyjnych, skuteczność poszczególnych technologii na rzecz ochrony prywatności, w tym w zapewnianiu zgodności z przepisami dotyczącymi ochrony danych, jest zróżnicowana i zmienia się wraz z upływem czasu. Można również wyróżnić różne rodzaje tych technologii. Mogą to być samodzielne narzędzia wymagające od konsumenta podjęcia konkretnych działań (zakupu i instalacji na swoim komputerze); mogą one również stanowić element samej architektury systemu informatycznego. Można wymienić kilka przykładów tego typu technologii.
- Automatyczna anonimizacja danych po upływie określonego czasu działa zgodnie z zasadą, że przetwarzane dane powinny być przechowywane w formie umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to konieczne do celów, dla których dane te zostały zgromadzone.
- Narzędzia szyfrujące, przeciwdziałające przechwyceniu przez hakerów informacji przekazywanych za pośrednictwem Internetu, umożliwiają administratorom danych bardziej skuteczne przestrzeganie obowiązku podejmowania odpowiednich środków na rzecz ochrony danych osobowych przed bezprawnym przetwarzaniem
- Programy blokujące pliki typu cookie zapisywane w komputerze i wymuszające wykonywanie określonych poleceń bez wiedzy użytkownika, ułatwiają przestrzeganie zasady, że przetwarzanie danych musi być uczciwe i zgodne z prawem, a osoba, której dane dotyczą, musi o nim wiedzieć.
- Mechanizm informowania o polityce w zakresie prywatności (P3P) (ang. Platform for Privacy Preferences), umożliwia użytkownikom Internetu uzyskanie informacji o polityce dotyczącej prywatności stosowanej na stronach internetowych i sprawdzenie, czy odpowiada ona zakresowi danych, które zgadza się on ujawnić, oraz sprzyja zapewnieniu, by zgoda na przetwarzanie danych podejmowana była w sposób świadomy.
Poparcie Komisji dla technologii na rzecz ochrony prywatności
Komisja jest zdania, że technologie na rzecz ochrony prywatności powinny być rozwijane i coraz szerzej stosowane, szczególnie w przypadkach przetwarzania danych osobowych w sieciach informacyjno-komunikacyjnych. Komisja spodziewa się, że bardziej powszechne stosowanie technologii na rzecz ochrony prywatności przyczyniłoby się do większej ochrony prywatności, a także do lepszego przestrzegania przepisów dotyczących ochrony danych. Stosowanie tych technologii stanowiłoby uzupełnienie istniejących uregulowań prawnych i mechanizmów egzekwowania prawa.
W swoim komunikacie dotyczącym strategii na rzecz bezpiecznego społeczeństwa informacyjnego (COM(2006) 251 z dnia 31 maja 2006 r.) Komisja zachęciła szczególnie podmioty z sektora prywatnego do podejmowania działań związanych ze „stymulowaniem wdrażania produktów, procesów i usług zwiększających bezpieczeństwo w celu zapobiegania kradzieżom tożsamości i innym atakom na prywatność oraz w celu ich zwalczania”. Ponadto, jedna z najważniejszych zasad zarządzania identyfikacją elektroniczną, o której mowa w harmonogramie Komisji dotyczącym utworzenia do 2010 r. paneuropejskich zasad ramowych zarządzania identyfikacją elektroniczną[6], brzmi następująco: „system musi być bezpieczny, musi zawierać zabezpieczenia konieczne do ochrony prywatności użytkownika oraz umożliwiać uwzględnienie lokalnej specyfiki i interesów”.
Egzekwowanie istniejących przepisów może być w rzeczywistości utrudnione w związku z udziałem różnych podmiotów w procesie przetwarzania danych i istnieniem różnych jurysdykcji krajowych. Z drugiej strony, dzięki technologiom na rzecz ochrony prywatności możliwe byłoby uniknięcie niektórych naruszeń przepisów dotyczących ochrony danych, których skutkiem jest naruszenie praw podstawowych, w tym prawa do prywatności, ponieważ dokonanie takich naruszeń byłoby trudniejsze pod względem technicznym. Komisja zdaje sobie sprawę z tego, że technologia sama w sobie nie jest wystarczającym środkiem ochrony prywatności, mimo że jej rola w tej dziedzinie jest bardzo istotna. Technologie na rzecz ochrony prywatności należy stosować zgodnie z możliwymi do wyegzekwowania przepisami dotyczącymi ochrony danych, określającymi różne elastyczne poziomy ochrony prywatności dla wszystkich użytkowników. Stosowanie omawianych technologii nie zwalnia operatorów z niektórych ciążących na nich obowiązków prawnych, np. przyznania indywidualnym użytkownikom dostępu do danych na ich temat.
Technologie te mogłyby się także przyczynić do lepszej realizacji ważnych interesów publicznych. Ramy prawne w zakresie ochrony danych stanowią, że z ważnych względów wynikających z interesu publicznego, takich jak bezpieczeństwo publiczne, zwalczanie przestępczości lub zdrowie publiczne, dopuszcza się odstępstwa od stosowania ogólnych zasad i ograniczenie praw obywateli. Warunki podjęcia takich działań zostały określone w art. 13 dyrektywy o ochronie danych i art. 15 dyrektywy o prywatności i łączności elektronicznej Odpowiadają one w zasadzie warunkom, o których mowa w art. 8 europejskiej konwencji praw człowieka, zgodnie z którymi ingerencja taka musi być zgodna z ustawą, proporcjonalna i konieczna w demokratycznym społeczeństwie z uwagi na prawnie chroniony interes publiczny[7]. Stosowanie technologii na rzecz ochrony prywatności nie powinno uniemożliwiać organom ścigania lub innym właściwym organom interweniowania w ramach wykonywanych obowiązków w imię istotnego interesu publicznego, np. zwalczania cybeprzestępczości lub terroryzmu czy też przeciwdziałania rozprzestrzenianiu się chorób zaraźliwych. Odpowiedzialne organy powinny mieć możliwość uzyskania dostępu do danych osobowych w przypadkach koniecznych do osiągnięcia tych celów oraz zgodnie z procedurami, warunkami i środkami zabezpieczającymi przewidzianymi przez prawo.
Lepsze przestrzeganie przepisów dotyczących ochrony danych zwiększyłoby również zaufanie konsumentów, szczególnie do cyberprzestrzeni. Sprzyjałoby to z pewnością rozwojowi wielu obiecujących i bardzo przydatnych usług opartych na przesyłaniu danych osobowych za pomocą sieci teleinformatycznych, takich jak nauczanie, administracja, ochrona zdrowia, bankowość i handel za pośrednictwem technologii informacyjno-komunikacyjnych (e-nauczanie, e-administracja, e-zdrowie, e-bankowość, e-handel) lub systemy związane z inicjatywą „Inteligentny samochód”. Użytkownicy byliby pewni, że dane, które podają w celu identyfikacji, skorzystania z usług lub dokonania płatności, będą wykorzystywane wyłącznie w celach zgodnych z prawem, a ich udział w internetowej społeczności nie odbywa się kosztem przysługujących im praw.
Działania już podjęte oraz planowane
W celu podniesienia poziomu ochrony danych i prywatności we Wspólnocie, między innymi poprzez wspieranie rozwoju i stosowania technologii na rzecz ochrony prywatności, Komisja zamierza podjąć opisane niżej działania, włączając w nie szerokie grono podmiotów, w tym swoje własne służby, organy krajowe, przedstawicieli sektora oraz konsumentów.
W kontekście tych działań konieczne będzie zwrócenie uwagi na szczególną sytuację małych i średnich przedsiębiorstw (MŚP) oraz możliwość wykorzystania przez nie omawianych technologii i na zachęty w tym kierunku. Komisja powinna również poruszyć między innymi kwestie zaufania i świadomości, które są szczególnie istotne z punktu widzenia MŚP.
Cel pierwszy: wspieranie rozwoju technologii na rzecz ochrony prywatności
Aby możliwe było stosowanie technologii na rzecz ochrony prywatności na szeroką skalę, konieczne jest podjęcie kolejnych działań na rzecz ich projektowania, opracowywania i produkcji.. Działania te zostały już wprawdzie częściowo zrealizowane przez sektor publiczny i prywatny, jednakże zdaniem Komisji konieczna jest intensyfikacja wysiłków tym zakresie. W tym celu należy określić zapotrzebowanie na technologie na rzecz ochrony prywatności i związane z nimi wymogi techniczne, a następnie przedsięwziąć działania badawczo-rozwojowe na rzecz opracowania odpowiednich narzędzi.
Działanie 1.1: określenie zapotrzebowania na technologie na rzecz ochrony prywatności i ich wymogów technicznych
Technologie na rzecz ochrony prywatności są w dużym stopniu uzależnione od rozwoju technologii informacyjno-komunikacyjnych. Po wykryciu zagrożeń związanych z rozwojem technologicznym należy określić odpowiednie wymagania dla rozwiązań technologicznych.
Komisja będzie zachęcać różne zainteresowane strony do wspólnej dyskusji nad technologiami na rzecz ochrony prywatności Dotyczyć to będzie szczególnie przedstawicieli sektora technologii informacyjno-komunikacyjnych, podmioty zajmujące się opracowywaniem technologii na rzecz ochrony prywatności, organy ochrony danych, organy ścigania, partnerów w zakresie technologii (w tym ekspertów z odpowiednich dziedzin, takich jak e-zdrowie lub bezpieczeństwo informacji), organizacje konsumenckie, organizacje ochrony swobód obywatelskich. Powyższe podmioty powinny regularnie śledzić rozwój technologiczny, wykrywać zagrożenia, jakie może on powodować w kontekście ochrony praw podstawowych i danych, a także określać wymogi techniczne, jakie powinny spełniać technologie na rzecz ochrony prywatności, aby tym zagrożeniom przeciwdziałać. W zakres tych działań może wchodzić dostosowywanie środków technicznych w zależności od różnych rodzajów ryzyka i różnych danych oraz uwzględnianie konieczności ochrony interesów publicznych, takich jak bezpieczeństwo publiczne.
Działanie 1.2: opracowywanie technologii na rzecz ochrony prywatności
Po określeniu zapotrzebowania na technologie na rzecz ochrony prywatności i ich wymogów technicznych, należy podjąć konkretne działania, aby uzyskać gotowy do użytku produkt końcowy.
Komisja poczyniła już odpowiednie kroki, by sprostać zapotrzebowaniu na te technologie. W ramach szóstego programu ramowego Komisja wspiera projekt PRIME[8], podejmujący kwestie zarządzania tożsamościami cyfrowymi i kontrolowania prywatności w społeczeństwie informacyjnym. Projekt OPEN-TC[9] umożliwi ochronę prywatności opartą na technologii otwartych i wiarygodnych systemów komputerowych (ang. „open trusted computing”), a w ramach projektu DISCREET[10] opracowuje się oprogramowanie pośredniczące służące ochronie prywatności w zaawansowanych usługach sieciowych. W przyszłości, w ramach siódmego programu ramowego, Komisja zamierza wspierać inne projekty badawczo-rozwojowe i demonstracje pilotażowe na dużą skalę, aby rozwijać i stymulować absorpcję technologii na rzecz ochrony prywatności. Celem jest stworzenie podstaw do świadczenia usług ochrony prywatności wzmacniających pozycję użytkownika i pozwalających zaradzić problemom związanym z różnicami prawnymi i technicznymi w Europie za pomocą partnerstw publiczno-prywatnych.
Komisja wzywa również organy krajowe i sektor prywatny do inwestowania w rozwój technologii na rzecz ochrony prywatności. Głównie dzięki takim inwestycjom przemysł europejski może odegrać istotną rolę w sektorze, który będzie się rozwijał w miarę jak standardy techniczne będą wymagać stosowania technologii na rzecz ochrony prywatności, a konsumenci zyskają większą świadomość konieczności ochrony swoich praw w cyberprzestrzeni.
Cel drugi: wspieranie stosowania dostępnych technologii na rzecz ochrony prywatności przez administratorów danych
Technologie na rzecz ochrony prywatności przyniosą rzeczywiste korzyści tylko pod warunkiem ich skutecznego wprowadzenia i zastosowania w sprzęcie i oprogramowaniu wykorzystywanym do przetwarzania danych osobowych. Niezwykle istotne jest więc wsparcie przemysłu produkującego takie narzędzia i administratorów danych wykorzystujących go do przetwarzania danych.
Działanie 2.1: zachęcanie przedstawicieli przemysłu do stosowania technologii na rzecz ochrony prywatności
Komisja jest przekonana, że powszechniejsze stosowanie technologii na rzecz ochrony prywatności przyniosłoby korzyści wszystkim podmiotom biorącym udział w przetwarzaniu danych osobowych. Szczególnie ważną rolę w zakresie promowania technologii na rzecz ochrony prywatności odgrywa przemysł technologii informacyjno-komunikacyjnych, który jest ich głównym producentem i najważniejszym dostawcą. Komisja apeluje do wszystkich administratorów danych o powszechniejsze wprowadzanie technologii na rzecz ochrony prywatności do swoich działań i intensywniejsze ich stosowanie. W tym kontekście Komisja zorganizuje seminaria z udziałem najważniejszych przedstawicieli przemysłu technologii informacyjno-komunikacyjnych, a szczególnie podmiotów opracowujących technologie na rzecz ochrony prywatności, aby zbadać, jak mogą się oni przyczynić do zachęcania administratorów danych do stosowania tych technologii.
Komisja przeprowadzi również analizę korzyści ekonomicznych związanych z tymi technologiami, której wyniki rozpowszechni, zachęcając przedsiębiorstwa, szczególnie MŚP, do ich wykorzystywania.
Działanie 2.2: zapewnienie przestrzegania odpowiednich standardów w zakresie ochrony danych osobowych za pomocą technologii na rzecz ochrony prywatności
Działania promocyjne na dużą skalę wymagają aktywnego zaangażowania ze strony przemysłu technologii informacyjno-komunikacyjnych, który jest producentem technologii na rzecz ochrony prywatności, jednakże dla zapewnienia przestrzegania odpowiednich standardów nie wystarczy samoregulacja lub dobra wola zainteresowanych stron.. Komisja przeprowadzi odpowiednie oceny wpływu w celu zbadania zapotrzebowania na opracowanie standardów dotyczących zgodnego z prawem przetwarzania danych osobowych z wykorzystaniem technologii na rzecz ochrony prywatności. W oparciu o wyniki tych ocen rozważy ona wykorzystanie dwóch rodzajów instrumentów:
- Działanie 2.2.a) Normalizacja
Komisja zbada konieczność uwzględnienia kwestii przestrzegania przepisów dotyczących ochrony danych w działaniach normalizacyjnych. Planując swoje działania w tym obszarze oraz prace europejskich organów normalizacyjnych, Komisja postara się uwzględnić wyniki debaty prowadzonej przez różne zainteresowane strony nad technologiami na rzecz ochrony prywatności. Będzie to szczególnie istotne, jeżeli w wyniku tej debaty zostaną określone odpowiednie standardy ochrony danych wymagające wprowadzenia i stosowania określonych technologii na rzecz ochrony danych.
Komisja może poprosić europejskie organizacje normalizacyjne (CEN, CENELEC, ETSI) o ocenę konkretnych potrzeb istniejących w tym zakresie w Europie oraz o podjęcie działań na rzecz sprostania tym potrzebom na szczeblu międzynarodowym, stosując w tym celu obowiązujące umowy między europejskimi i międzynarodowymi organizacjami normalizacyjnymi. W koniecznych przypadkach europejskie organizacje normalizacyjne powinny opracować szczegółowy program prac normalizacyjnych uwzględniający europejskie potrzeby w tym względzie, uzupełniając w ten sposób bieżące działania na szczeblu międzynarodowym.
- Działanie 2.2.b) Koordynacja krajowych przepisów technicznych w zakresie środków bezpieczeństwa ochrony danych
Na mocy prawodawstwa krajowego przyjętego zgodnie z dyrektywą o ochronie danych[11] krajowe organy ochrony danych zyskały pewien wpływ na określanie dokładnych wymagań technicznych, obejmujący np. sporządzanie wytycznych dla administratorów danych, badanie stosowanych systemów lub opracowywanie instrukcji technicznych. Krajowe organy ochrony danych mogą również wymagać wprowadzenia i stosowania określonych technologii na rzecz ochrony danych w przypadkach, gdy jest to konieczne ze względu na przetwarzanie danych osobowych. Zdaniem Komisji w tym właśnie obszarze koordynacja krajowych zasad postępowania mogłaby przyczynić się do powszechniejszego stosowania technologii na rzecz ochrony prywatności. Szczególnie cenny wkład mogłaby tutaj wnieść grupa robocza powołana na mocy art. 29[12], jako organ dążący do jednolitego stosowania środków krajowych przyjętych na podstawie wspomnianej dyrektywy. Komisja wzywa zatem powyższą grupę roboczą do dalszych działań w tym obszarze poprzez włączenie na stałe do swojego programu prac analizy zapotrzebowania na wykorzystanie technologii na rzecz ochrony prywatności w działaniach związanych z przetwarzaniem danych, jako skutecznego środka zapewniającego przestrzeganie przepisów dotyczących ochrony danych. Efektem tych działań powinny być wytyczne dla organów ochrony danych, które powinny zostać przez nie wdrożone na szczeblu krajowym poprzez skoordynowane przyjęcie odpowiednich instrumentów.
Działanie 2.3: zachęcanie władz publicznych do stosowania technologii na rzecz ochrony prywatności
W ramach wykonywania swoich obowiązków organy władzy publicznej przeprowadzają pewną stałą liczbę operacji przetwarzania danych osobowych, zarówno na szczeblu krajowym, jak i wspólnotowym. Mają one obowiązek przestrzegać praw podstawowych, w tym prawa do ochrony danych osobowych, oraz zapewnić ich przestrzeganie przez inne podmioty, powinny zatem dawać wyraźny przykład w tym zakresie.
W odniesieniu do władz krajowych, Komisja odnotowała coraz powszechniejsze stosowanie rozwiązań z dziedziny e-administracji jako narzędzi zwiększających efektywność służby publicznej. Zgodnie z Komunikatem Komisji w sprawie roli e-administracji w przyszłości Europy[13] , zastosowanie technologii na rzecz ochrony prywatności jest konieczne dla zapewnienia wiarygodności i zaufania zapewniających udane funkcjonowanie e-administracji. Komisja apeluje do władz krajowych o dopilnowanie, by w aplikacjach stosowanych w e-administracji wbudowane były odpowiednie środki ochrony danych, między innymi poprzez jak najpowszechniejsze wykorzystanie technologii na rzecz ochrony prywatności w projektowaniu i stosowaniu tych aplikacji.
Jeśli chodzi o instytucje i organy wspólnotowe, Komisja sama zadba o to, by spełniały one wymogi nałożone rozporządzeniem (WE) 45/2001, szczególnie poprzez powszechniejsze wykorzystanie technologii na rzecz ochrony prywatności przy wdrażaniu aplikacji informacyjno-komunikacyjnych służących do przetwarzania danych osobowych. Jednocześnie Komisja apeluje o podobne działania do innych instytucji UE. Europejski Inspektor Ochrony Danych mógłby służyć pomocą instytucjom i organom wspólnotowym w opracowaniu wewnętrznego regulaminu dotyczącego przetwarzania danych osobowych.. Przy okazji wyboru nowych aplikacji informacyjno-komunikacyjnych na własny użytek lub rozbudowując istniejące aplikacje, Komisja weźmie pod uwagę możliwość wprowadzenia w nich technologii na rzecz ochrony prywatności. Znaczenie tych technologii znajdzie odzwierciedlenie w ogólnej strategii Komisji dotyczącej zarządzania systemami informatycznymi. Komisja będzie również nadal poszerzać wiedzę swoich pracowników na ten temat. Wykorzystanie technologii na rzecz ochrony prywatności w systemach informatycznych Komisji zależy jednak od dostępności odpowiednich produktów i będzie podlegać indywidualnej ocenie, stosownie do stanu rozwoju aplikacji.
Cel trzeci: zachęcanie konsumentów do stosowania technologii na rzecz ochrony prywatności
To konsumentom będzie najbardziej zależało na tym, aby dotyczące ich informacje były właściwie wykorzystywane, przepisy dotyczące ochrony danych były właściwie wdrażane, a technologie na rzecz ochrony prywatności były skutecznym narzędziem zapewniającym spełnienie powyższych warunków.
Konsumentom należy zatem w pełni uświadomić wpływ technologii na rzecz ochrony prywatności na zmniejszenie zagrożeń związanych z przetwarzaniem ich danych osobowych. Należy im również umożliwić dokonywanie świadomych wyborów podczas zakupu sprzętu komputerowego i oprogramowania lub korzystania z usług świadczonych drogą elektroniczną. Przy dokonywaniu tych wyborów powinni oni kierować się wiedzą na temat właściwych zagrożeń, w szczególności na temat tego, czy technologie na rzecz ochrony prywatności zapewniają odpowiednią ochronę. Należy zatem udostępnić użytkownikom proste i zrozumiałe informacje na temat dostępnych narzędzi technicznych służących do ochrony prywatności. Zwiększone stosowanie technologii na rzecz ochrony prywatności oraz częstsze korzystanie z usług świadczonych drogą elektroniczną, w których technologie te są stosowane, przełoży się na korzyści ekonomiczne dla tych sektorów przemysłu, które z nich korzystają i może doprowadzić do powstania efektu śniegowej kuli, zachęcając kolejne przedsiębiorstwa, by zaczęły przykładać większą wagę do kwestii przestrzegania przepisów dotyczących ochrony danych. Aby osiągnąć te cele konieczne będzie przeprowadzenie szeregu działań.
Działanie 3.1: zwiększanie świadomości konsumentów
Należy przyjąć konsekwentną strategię zwiększania świadomości konsumentów na temat zagrożeń związanych z przetwarzaniem ich danych i rozwiązań oferowanych przez technologie na rzecz ochrony prywatności, stanowiących uzupełnienie środków zaradczych przewidzianych w obowiązującym prawodawstwie w obszarze ochrony danych. Ponadto Komisja planuje uruchomienie szeregu działań służących szerzeniu wiedzy o technologiach na rzecz ochrony prywatności w całej UE.
Za działania te odpowiadają przede wszystkim krajowe organy ochrony danych, które dysponują właściwym doświadczeniem na tym polu. Komisja apeluje więc do nich o nasilenie działań służących poszerzeniu wiedzy konsumentów w tym obszarze i przekazywanie informacji o technologiach na rzecz ochrony prywatności za pośrednictwem wszystkich dostępnych środków. Komisja zwraca się również do grupy roboczej powołanej na mocy art. 29 o koordynację krajowych zasad postępowania w ramach spójnego planu działania dotyczącego szerzenia wiedzy o technologiach na rzecz ochrony prywatności oraz o pełnienie funkcji punktu kontaktowego do dzielenia się sprawdzonymi pomysłami, które są już stosowane na szczeblu krajowym. W działania służące szerzeniu wiedzy wśród konsumentów należałoby zaangażować w szczególności organizacje konsumenckie oraz inne właściwe podmioty, takie jak Sieć Europejskich Centr Konsumenckich (ECC-Net), której zadaniem jako ogólnounijnej sieci ośrodków jest udzielanie obywatelom porad w zakresie praw przysługujących im jako konsumentom.
Działanie 3.2: ułatwianie konsumentom dokonywania świadomego wyboru: Etykiety ochrony prywatności
Korzystny wpływ na absorpcję i wykorzystanie technologii na rzecz ochrony prywatności miałoby zagwarantowanie, by produkty, w których takie technologie wykorzystano zostały wyraźnie oznaczone, z podaniem informacji o podstawowych właściwościach zastosowanych rozwiązań. W związku z tym Komisja zamierza zbadać możliwość utworzenia ogólnounijnego systemu etykiet dotyczących ochrony prywatności, a także przeanalizować jego ewentualne oddziaływanie ekonomiczne i społeczne. Etykiety te miałyby umożliwić konsumentom łatwe ustalenie, czy dany produkt gwarantuje lub poprawia przestrzeganie przepisów dotyczących ochrony danych w procesie ich przetwarzania, w szczególności poprzez stosowanie odpowiednich technologii na rzecz ochrony prywatności.
Aby etykiety mogły spełnić ten cel, zdaniem Komisji należy przestrzegać następujących zasad:
- Należy ograniczyć do minimum liczbę systemów etykiet dotyczących ochrony prywatności. Nadmiar etykiet może wywołać u konsumenta dezorientację i podważyć jego zaufanie do całego systemu. Należy więc ocenić, czy i do jakiego stopnia stosowne byłoby włączenie europejskiego system etykiet dotyczących ochrony prywatności do szerszego systemu certyfikacji bezpieczeństwa[14].
- Etykiety dotyczące ochrony prywatności powinny być przyznawane wyłącznie w celu potwierdzenia, że dany produkt spełnia określone normy odpowiadające przepisom z zakresu ochrony danych. Normy te powinny być możliwie jak najbardziej jednolite w całej UE.
- Organy publiczne, a szczególnie krajowe organy ochrony danych, powinny odgrywać ważną rolę w całym systemie, zarówno określając właściwe normy i procedury, jak też nadzorując funkcjonowanie systemu etykiet.
W świetle powyższych uwag oraz uwzględniając doświadczenie zdobyte podczas realizacji programów etykiet w innych obszarach (np. w obszarze środowiska naturalnego, rolnictwa, certyfikacji bezpieczeństwa produktów i usług), Komisja nawiąże dialog z zainteresowanymi stronami, w tym z krajowymi organami ochrony danych, organizacjami przemysłowymi i konsumenckimi, a także organami normalizacyjnymi.
[1] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. L 281 z 23.11.1995, str. 31.
[2] Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), Dz.U. L 201 z 31.7.2002, str. 37.
[3] Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, Dz.U. L 8 z 12.1.2001, str. 1-22.
[4] Motyw 46 i art. 14 ust. 3 dyrektywy 2002/58/WE
[5] COM (2003) 265(01), 15.5.2003, zob. http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf
[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf
[7] Europejski Trybunał Sprawiedliwości, wyrok z dnia 20.5.2003, sprawy połączone C-465/00, C-138/01 i C-139/01, „Österreichischer Rundfunk i inni” („Rechnungshof”), Zb. Orz. [2003] I-04989, pkt 71 i 72.
[8] https://www.prime-project.eu/
[9] http://www.opentc.net/
[10] http://www.ist-discreet.org/
[11] Na przykład art. 17.
[12] Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE.
[13] COM(2003) 567 wersja ostateczna z 26.9.2003
[14] Już w swoim komunikacie z dnia 31 maja 2006 r. dotyczącym strategii na rzecz bezpiecznego społeczeństwa informacyjnego „Dialog, partnerstwo i przejmowanie inicjatywy” (COM(2006) 251) Komisja zaprosiła podmioty z sektora prywatnego do „pracy nad stworzeniem przystępnych cenowo systemów certyfikacji bezpieczeństwa produktów, procesów i usług, dopasowanych do konkretnych potrzeb UE (w szczególności w odniesieniu do prywatności)”.
| Góra |