[pic] | KOMISIJA EVROPSKIH SKUPNOSTI |

Bruselj, 2.5.2007

COM(2007) 228 konč.

SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

o spodbujanju varstva podatkov s tehnologijami za boljše varovanje zasebnosti (PET)

SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

o spodbujanju varstva podatkov s tehnologijami za boljše varovanje zasebnosti (PET) (Besedilo velja za EGP)

UVOD

Intenzivni in trajnostni razvoj informacijske in komunikacijske tehnologije (IKT) nenehno zagotavlja nove storitve za izboljšanje življenja ljudi. Interakcije v kibernetskem prostoru v veliki meri temeljijo na osebnih podatkih posameznikov, ki se v tem prostoru gibajo, ko kupujejo blago in storitve, vzpostavljajo ali ohranjajo stike z drugimi ali dajejo svoje ideje na svetovni splet. Poleg koristi, ki jih je prinesel ta razvoj, nastajajo nova tveganja za posameznika, kot so kraja identitete, diskriminacijsko profiliranje, stalni nadzor ali goljufija.

Listina Evropske unije o temeljnih pravicah v členu 8 priznava pravico do varstva osebnih podatkov. Ta temeljna pravica je določena v Evropskem pravnem okviru o varstvu osebnih podatkov, ki ga sestavljata predvsem Direktiva o varstvu podatkov 95/46/ES[1] in Direktiva o zasebnosti in elektronskih komunikacijah 2002/58/ES[2] ter tudi Uredba o varstvu podatkov (ES) 45/2001[3] pri obdelavi osebnih podatkov v institucijah in organih Skupnosti. Ti predpisi določajo več vsebinskih določb, ki upravljavcem podatkov nalagajo obveznosti, posameznikom, na katere se podatki nanašajo, pa priznavajo pravice. Določajo tudi sankcije in ustrezna pravna sredstva v primerih kršitev in vzpostavljajo mehanizme za izvrševanje, da se zagotovi učinkovitost teh določb.

Kljub temu pa je ta sistem lahko nezadosten, ko so osebni podatki razširjeni po celem svetu preko omrežij IKT in njihova obdelava vključuje več sodnih pristojnosti, pogosto zunaj EU. V takšnih primerih se lahko šteje, da se uporabljajo veljavna pravila in da ta pravila dajejo jasen pravni odgovor. Poleg tega se lahko za izvrševanje pravil ugotovi pristojni organ. Vendar lahko nastanejo bistvene praktične ovire kot posledica težav z uporabljeno tehnologijo, ki vključuje obdelavo podatkov s strani različnih akterjev na različnih lokacijah in ovire pri izvrševanju nacionalnih upravnih in sodnih odločb v okviru druge sodne pristojnosti, zlasti v državah nečlanicah EU.

Čeprav nosijo strogo gledano pravno odgovornost za spoštovanje pravil o varstvu podatkov upravljavci podatkov, del odgovornosti za varstvo podatkov z družbenega in etičnega vidika nosijo tudi drugi. Slednji vključujejo tiste, ki oblikujejo tehnične specifikacije, ter tiste, ki dejansko izdelujejo ali izvajajo aplikacije ali operacijske sisteme.

Člen 17 Direktive o varstvu podatkov določa obveznost upravljavca, da izvede ustrezne tehnične in organizacijske ukrepe ter da zagotovi raven varstva, ustrezno glede na naravo podatkov in tveganje pri njihovi obdelavi. Uporaba tehnologije za pomoč pri spoštovanju zakonodaje, zlasti pravil o varstvu podatkov, je v določeni meri že predvidena v Direktivi o zasebnosti in elektronskih komunikacijah[4].

Naslednji korak, da se doseže namen pravnega okvira, katerega cilj je zmanjšati obdelavo osebnih podatkov in uporabo anonimnih ali psevdonimnih podatkov, kadar je to mogoče, bi lahko podprli ukrepi, imenovani tehnologije za boljše varovanje zasebnosti ali PET – to bi olajšalo zagotavljanje, da kršitve pravil o varstvu podatkov in pravic posameznika niso samo prepovedane in sankcionirane, ampak tehnično težje.

Namen tega sporočila, ki izhaja iz Prvega poročila o izvajanju Direktive o varstvu podatkov[5], je obravnavati koristi tehnologij za boljše varovanje zasebnosti, določiti cilje Komisije na tem področju, da se spodbudi uporaba teh tehnologij, in določiti jasne ukrepe za dosego tega cilja s podpiranjem razvoja tehnologij za boljše varovanje zasebnosti in njihove uporabe s strani upravljavcev in potrošnikov.

KAJ SO TEHNOLOGIJE ZA BOLJšE VAROVANJE ZASEBNOSTI (PET)?

Obstaja več opredelitev tehnologij za boljše varovanje zasebnosti, ki jih v zvezi s tem uporabljajo akademska skupnost in pilotni projekti. V skladu s projektom PISA, ki ga financira ES, tehnologija za boljše varovanje zasebnosti na primer pomeni celovit sistem ukrepov IKT, ki varuje zasebnost z odstranitvijo ali zmanjšanjem količine osebnih podatkov ali s preprečevanjem nepotrebne in/ali nezaželene obdelave osebnih podatkov, ne da bi se funkcionalnost informacijskega sistema zmanjšala. Uporaba tehnologij za boljše varovanje zasebnosti lahko pomaga pri oblikovanju informacijskih in komunikacijskih sistemov ter storitev, da se kar najbolj zmanjša zbiranje in uporaba osebnih podatkov in olajša spoštovanje pravil o varstvu podatkov. Komisija v svojem Prvem poročilu o izvajanju Direktive o varstvu podatkov ugotavlja, da „…je uporaba ustreznih tehnoloških ukrepov bistveno dopolnilo pravnim sredstvom in mora biti sestavni del vseh prizadevanj, da se doseže zadostna stopnja varovanja zasebnosti…“. Uporaba tehnologij za boljše varovanje zasebnosti mora zagotoviti, da bo kršenje nekaterih pravil o varstvu podatkov težje in/ali pomagati pri ugotavljanju teh kršitev.

V dinamičnem področju IKT je učinkovitost različnih tehnologij za boljše varovanje zasebnosti za zagotovitev varovanja zasebnosti, vključno z vidiki upoštevanja prava o varstvu podatkov, raznolika in se s časom spreminja. Raznolika je tudi njihova tipologija. Te tehnologije so lahko samostojna orodja, ki zahtevajo pozitivno ukrepanje potrošnikov (ki jih morajo kupiti in naložiti na svoje osebne računalnike), lahko pa so vgrajene v samo arhitekturo informacijskih sistemov. V zvezi s tem je mogoče navesti več primerov tehnologij za boljše varovanje zasebnosti:

- Avtomatsko anonimiziranje podatkov po določenem času podpira načelo, da se obdelanih podatkov v obliki, ki omogoča identifikacijo oseb, na katere se podatki nanašajo, ne sme hraniti dlje, kot je potrebno za namene, za katere so bili podatki prvotno zbrani.

- Orodja za šifriranje, ki preprečujejo krajo podatkov (hacking), ko se podatki posredujejo po internetu, podpirajo obveznost upravljavca podatkov, da sprejme ustrezne ukrepe za varstvo osebnih podatkov proti nezakoniti obdelavi.

- Filtri za piškotke, ki zablokirajo piškotke, ki se brez vednosti uporabnika shranijo na njegovem osebnem računalniku, da ta izvede določena navodila, ne da bi se tega zavedal, krepijo spoštovanje načela, da morajo biti podatki obdelani pošteno in zakonito, in da mora biti oseba, na katero se podatki nanašajo, o tem obveščena.

- Platforma za preference zasebnosti (Platform for Privacy Preferences, P3P), ki internetnim uporabnikom omogoča, da proučijo izjave o varovanju zasebnosti na spletnih straneh in jih primerjajo s preferencami uporabnika glede podatkov, ki jih želijo razkriti, pomaga pri zagotavljanju, da privolitev oseb, na katere se podatki nanašajo, za obdelavo njihovih podatkov temelji na obveščenosti.

Komisija podpira tehnologije za boljše varovanje zasebnosti (PET)

Komisija meni, da je treba tehnologije za boljše varovanje zasebnosti razviti in širše uporabljati, zlasti kadar so osebni podatki obdelani preko omrežij IKT. Komisija meni, da bi širša uporaba tehnologij za boljše varovanje zasebnosti izboljšala varovanje zasebnosti in pomagala pri spoštovanju pravil o varstvu podatkov. Uporaba tehnologij za boljše varovanje zasebnosti bi dopolnjevala obstoječ pravni okvir in mehanizme za izvrševanje.

Komisija je v svojem Sporočilu o strategiji za varno informacijsko družbo, COM(2006) 251 z dne 31. maja 2006 pozvala zlasti zasebni sektor k „ spodbujanju uporabe izdelkov, procesov in storitev, ki krepijo varnost, za preprečevanje in boj proti kraji identitete ter drugim vdorom v zasebnost “. Poleg tega je v časovnem načrtu Komisije za vseevropski okvir eIDM do leta 2010[6] eno izmed ključnih načel, ki ureja upravljanje elektronske identifikacije, da „mora biti sistem varen, izvajati mora potrebne zaščitne ukrepe za varstvo uporabnikove zasebnosti in njegova uporaba mora biti v skladu z lokalnimi interesi in občutljivimi področji“.

Posredovanje različnih akterjev pri obdelavi podatkov in obstoj različnih nacionalnih sodnih pristojnosti lahko otežita izvrševanje pravnega okvira. Na drugi strani pa bi tehnologije za boljše varovanje zasebnosti lahko zagotovile, da bi se bilo nekaterim kršitvam pravil o varstvu podatkov, ki imajo za posledico poseganje v temeljne pravice, vključno z zasebnostjo, mogoče izogniti, ker bi bila storitev takšnih kršitev tehnološko težja. Komisija se zaveda dejstva, da sama tehnologija – čeprav ima ključno vlogo pri varovanju zasebnosti – ne zadostuje za zavarovanje zasebnosti. Tehnologije za boljše varovanje zasebnosti je treba uporabiti v skladu z regulativnim okvirom izvršljivih pravil o varstvu podatkov, ki vsem posameznikom zagotavljajo več prilagodljivih ravni glede varovanja zasebnosti. Uporaba tehnologij za boljše varovanje zasebnosti ne pomeni, da za upravljavce nekatere njihove pravne obveznosti ne veljajo več (npr. posameznim uporabnikom priznavati pravico dostopa do njihovih podatkov).

Pri tem bi lahko bili bolj upoštevani tudi pomembni javni interesi. Pravni okvir varstva podatkov določa omejitve splošnih načel in poseganje v pravice posameznikov zaradi pomembnih javnih interesov, kot je javna varnost, boj proti kriminalu ali javno zdravje. Pogoji za takšne omejitve so določeni v členu 13 Direktive o varstvu podatkov in členu 15 Direktive o zasebnosti in elektronskih komunikacijah. Ti pogoji so vsebinsko podobni pogojem iz člena 8 Evropske konvencije o človekovih pravicah (EKČP), in sicer da je takšno poseganje izvedeno v skladu z zakonom ter je sorazmerno in nujno v demokratični družbi iz zakonitega javnega razloga[7]. Uporaba tehnologij za boljše varovanje zasebnosti ne sme ovirati organov kazenskega pregona in drugih pristojnih organov pri opravljanju svojih nalog zaradi pomembnega javnega interesa, npr. boj proti kibernetskemu kriminalu, terorizmu ali preprečevanje širjenja nalezljivih bolezni. Pristojni organi morajo imeti dostop do osebnih podatkov, kadar je to potrebno za dosego teh ciljev in v skladu s postopki, pogoji in zaščitnimi ukrepi, določenimi z zakonom.

Večje spoštovanje pravil o varstvu podatkov bi imelo tudi pozitiven vpliv na zaupanje potrošnikov, zlasti v kibernetskem prostoru. Od tega bi nedvomno imele koristi številne obetavne storitve z dodano vrednostjo, ki temeljijo na prenosih osebnih podatkov preko omrežij IT, kot je e-učenje, e-uprava, e-zdravstvo, e-bančništvo, e-poslovanje ali sistemi „inteligentnih avtomobilov“. Ljudje bi lahko zagotovo vedeli, da bodo podatki, ki jih posredujejo za svojo identifikacijo, prejemanje storitev ali za izvrševanje plačil, uporabljeni samo za zakonite namene in da njihovo sodelovanje v digitalni skupnosti ne pomeni žrtvovanja lastnih pravic.

OPRAVLJENO DELO IN POT NAPREJ

Za dosego cilja okrepljene stopnje zasebnosti in varstva podatkov v Skupnosti z, med drugim, spodbujanjem razvoja in uporabe tehnologij za boljše varovanje zasebnosti, namerava Komisija izvesti naslednje dejavnosti, ki bodo vključevale veliko število akterjev, vključno s svojimi službami, nacionalnimi organi, industrijo in potrošniki.

V teh razpravah bo pozornost namenjena posebnemu položaju malih in srednjih podjetij (MSP) ter zmožnostim in spodbudam, ki so jim zagotovljene za uporabo tehnologij za boljše varovanje zasebnosti. Komisija mora poleg drugih vprašanj tudi obravnavati zaupanje in ozaveščenost – vprašanji, ki sta posebej pomembni za MSP.

Prvi cilj: podpirati razvoj tehnologij za boljše varovanje zasebnosti

Da bi se tehnologije za boljše varovanje zasebnosti uporabljale širše, je treba zagotoviti nadaljnje oblikovanje, razvoj in proizvodnjo teh tehnologij. Čeprav se to deloma že izvaja v javnem in zasebnem sektorju, Komisija meni, da je treba te dejavnosti pospešiti. Zato je treba ugotoviti potrebo po tehnologijah za boljše varovanje zasebnosti in njihovih tehnoloških zahtevah, RTR dejavnosti pa morajo razviti orodja.

Ukrep 1,1.: Ugotavljanje potrebe in tehnoloških zahtev za tehnologije za boljše varovanje zasebnosti

Tehnologije za boljše varovanje zasebnosti so v veliki meri odvisne od razvoja IKT. Ko se odkrijejo nevarnosti tehnološkega razvoja, je treba opredeliti ustrezne zahteve, za katere je treba najti tehnološko rešitev.

Komisija bo spodbudila različne interesne skupine, naj se srečajo in razpravljajo o tehnologijah za boljše varovanje zasebnosti. Te skupine bodo vključevale zlasti predstavnike iz sektorja IKT, razvijalce tehnologij za boljše varovanje zasebnosti, organe za varstvo podatkov, organe kazenskega pregona, tehnološke partnerje, vključno s strokovnjaki z zadevnih področij, kot je e-zdravstvo ali varnost informacij, potrošnike in združenja za državljanske pravice. Te interesne skupine morajo redno spremljati razvoj tehnologije, odkrivati nevarnosti za temeljne pravice in varstvo podatkov ter izpostaviti tehnične zahteve odziva tehnologij za boljše varovanje zasebnosti. To lahko vključuje prilagajanje tehnoloških ukrepov v skladu z različnimi tveganji in različnimi podatki, ki so v obdelavi, ter ob upoštevanju potrebe po varovanju javnih interesov, kot je javna varnost.

Ukrep 1.2.: Razvijanje tehnologij za boljše varovanje zasebnosti

Ko se ugotovijo potreba po in tehnološke zahteve za tehnologije za boljše varovanje zasebnosti, je potrebno konkretno ukrepanje, da se pridobi končni proizvod, ki je pripravljen za uporabo.

Komisija je že obravnavala potrebo po tehnologijah za boljše varovanje zasebnosti. V okviru šestega okvirnega programa Komisija sponzorira projekt PRIME[8], ki obravnava vprašanja upravljanja digitalne identifikacije in zasebnosti v informacijski družbi. Projekt OPEN-TC[9] bo omogočil varovanje zasebnosti na podlagi računalništva, ki temelji na odprtem zaupanju, projekt DISCREET[10] pa razvija vmesno omrežje za krepitev zasebnosti v naprednih omrežnih storitvah. Komisija namerava v prihodnosti v okviru 7. okvirnega programa podpreti druge projekte RTR in obsežne pilotne predstavitve, da se razvije in spodbudi uporaba tehnologij za boljše varovanje zasebnosti. Cilj je zagotoviti podlago za storitve varovanja zasebnosti, ki krepijo položaj uporabnika, in usklajujejo pravne in tehnične razlike po Evropi preko javno-zasebnih partnerstev.

Komisija poziva tudi nacionalne organe in zasebni sektor, naj vlagajo v razvoj tehnologij za boljše varovanje zasebnosti. Takšne naložbe so ključne za krepitev vloge evropske industrije v sektorju, ki se bo širil, ker bo uporaba teh tehnologij vedno bolj potrebna v okviru tehnoloških standardov in zahtevana s strani potrošnikov, ki se vedno bolj zavedajo potrebe po varstvu svojih pravic v kibernetskem prostoru.

Drugi cilj: podpirati uporabo tehnologij za boljše varovanje zasebnosti, ki so na voljo, s pomočjo upravljavcev podatkov

Tehnologije za boljše varovanje zasebnosti bodo dejansko koristne samo, če bodo učinkovito vgrajene v tehnično opremo in programska orodja, ki obdelujejo osebne podatke, ter tudi uporabljene. Sodelovanje industrije, ki proizvaja takšno opremo, in upravljavcev podatkov, ki jo uporabljajo za opravljanje dejavnosti obdelave podatkov, je zato bistveno.

Ukrep 2.1.: Spodbujanje uporabe tehnologij za boljše varovanje zasebnosti v industriji

Komisija meni, da bodo imeli vsi, ki so vključeni v obdelavo osebnih podatkov, koristi od širše uporabe tehnologij za boljše varovanje zasebnosti. Industrija IKT, kot glavni razvijalec in dobavitelj tehnologij za boljše varovanje zasebnosti, bo imela posebej pomembno vlogo v zvezi s spodbujanjem tehnologij za boljše varovanje zasebnosti. Komisija poziva vse upravljavce podatkov, da v svojih postopkih širše in večji meri uporabljajo tehnologije za boljše varovanje zasebnosti. Zato bo Komisija organizirala seminarje s ključnimi akterji industrije IKT in zlasti z razvijalci tehnologij za boljše varovanje zasebnosti, da se prouči njihov možni prispevek k spodbujanju uporabe teh tehnologij med upravljavci podatkov.

Komisija bo izvedla tudi študijo o gospodarskih koristih tehnologij za boljše varovanje zasebnosti in posredovala njene rezultate, da bo spodbudila podjetja, zlasti MSP, k njihovi uporabi.

Ukrep 2.2.: Zagotavljanje spoštovanja ustreznih standardov za varstvo osebnih podatkov v okviru tehnologij za boljše varovanje zasebnosti

Medtem ko obsežna promocijska dejavnost zahteva aktivno vključevanje industrije IKT kot proizvajalca tehnologij za boljše varovanje zasebnosti, spoštovanje ustreznih standardov zahteva ukrepe, ki presegajo samoregulativo ali dobro voljo vključenih akterjev. Komisija bo ocenila potrebo po razvoju standardov glede zakonite obdelave osebnih podatkov s tehnologijami za boljše varovanje zasebnosti preko ustreznih ocen učinka. Na podlagi rezultata takšnih ocen, bosta po vsej verjetnosti upoštevani dve vrsti instrumentov:

- Ukrep 2.2.a) Standardizacija

Komisija bo obravnavala potrebo po upoštevanju pravil o varstvu podatkov pri dejavnostih standardizacije. Komisija si bo prizadevala, da se bodo pri oblikovanju ustreznih ukrepov Komisije in dela evropskih organov za standardizacijo upoštevale razprave med različnimi zainteresiranimi stranmi glede tehnologij za boljše varovanje zasebnosti. To bo bistvenega pomena zlasti, če so bili v razpravi ugotovljeni ustrezni standardi za varstvo podatkov, ki zahtevajo vključitev in uporabo določenih tehnologij za boljše varovanje zasebnosti.

Komisija lahko povabi Evropske organizacije za standardizacijo (CEN, CENELEC, ETSI), da ocenijo posebne evropske potrebe in jih nato prenesejo na mednarodno raven z uporabo obstoječih sporazumov med evropskimi in mednarodnimi organizacijami za standardizacijo. Evropske organizacije za standardizacijo morajo oblikovati po potrebi poseben delovni program za standardizacijo, ki zajema evropske potrebe, in tako dopolni tekoče delo na mednarodni ravni.

- Ukrep 2.2.b) Uskladitev nacionalnih tehničnih pravil o zaščitnih ukrepih za obdelavo podatkov

Nacionalna zakonodaja, sprejeta na podlagi Direktive o varstvu podatkov[11], daje nacionalnim organom za varstvo podatkov določen vpliv pri določanju natančnih tehničnih zahtev, kot je zagotavljanje smernic za upravljavce, proučevanje nameščenih sistemov ali izdajanje tehničnih navodil. Nacionalni organi za varstvo podatkov lahko zahtevajo tudi vključitev in uporabo določenih tehnologij za boljše varovanje zasebnosti, ko to zahteva obdelava zadevnih osebnih podatkov. Komisija meni, da gre za področje, na katerem bi uskladitev nacionalnih praks lahko pozitivno prispevala k spodbujanju uporabe tehnologij za boljše varovanje zasebnosti. Zlasti Delovna skupina iz člena 29[12] bi lahko prispevala v okviru svoje vloge, da obravnava enotno uporabo nacionalnih ukrepov, sprejetih v skladu z direktivo. Komisija zato poziva Delovno skupino iz člena 29, naj nadaljuje svoje delo na tem področju in v svoje programe vključi stalno dejavnost izvajanja analiz glede potreb za vključevanje tehnologij za boljše varovanje zasebnosti v postopke obdelave podatkov kot učinkovit način za spoštovanje pravil o varstvu podatkov. V okviru tega dela se nato oblikujejo smernice za organe za varstvo podatkov, ki jih morajo izvesti na nacionalni ravni preko usklajenega sprejetja ustreznih instrumentov.

Ukrep 2.3.: Spodbujanje uporabe tehnologij za boljše varovanje zasebnosti v javnih organih

Javni organi pri izvrševanju svojih pristojnosti na nacionalni ravni in na ravni Skupnosti opravljajo stalno število postopkov obdelave, ki vključujejo osebne podatke. Javni organi so zavezani k spoštovanju temeljnih pravic, vključno s pravico do varstva osebnih podatkov, in zagotavljajo spoštovanje teh pravic s strani drugih in morajo zato dajati jasen zgled.

Komisija glede nacionalnih organov ugotavlja širjenje uporabe aplikacij e-vlade kot orodja za krepitev učinkovitosti javnih storitev. Kot je navedeno v Sporočilu Komisije o vlogi e-vlade za prihodnost Evrope [13] , je uporaba tehnologij za boljše varovanje zasebnosti v e-vladi nujna za zagotovitev zaupanja, potrebnega za zagotovitev njenega uspeha. Komisija poziva vlade, naj zagotovijo, da so zaščitni ukrepi varstva podatkov vključeni v aplikacije e-vlade, vključno preko najširše možne uporabe tehnologij za boljše varovanje zasebnosti pri njihovem oblikovanju in izvajanju.

V zvezi z institucijami in organi Skupnosti bo Komisija sama zagotovila skladnost z zahtevami Uredbe (ES) št. 45/2001 zlasti preko širše uporabe tehnologij za boljše varovanje zasebnosti pri izvajanju aplikacij IKT, ki vključujejo obdelavo osebnih podatkov. Komisija istočasno poziva druge institucije EU, naj ravnajo na enak način. Evropski nadzornik za varstvo podatkov lahko prispeva s svetovanjem institucijam in organom Skupnosti glede oblikovanja notranjih pravil, povezanih z obdelavo osebnih podatkov. Pri izbiri novih aplikacij IKT za lastno uporabo ali pri razvoju obstoječih aplikacij, bo Komisija upoštevala možnost uvedbe tehnologij za boljše varovanje zasebnosti. Pomen tehnologij za boljše varovanje zasebnosti se bo odražal v celotni strategiji Komisije glede upravljanja IT. Poleg tega bo Komisija nadaljevala tudi ozaveščanje svojega osebja. Vendar je izvajanje tehnologij za boljše varovanje zasebnosti v aplikacijah IT Komisije odvisno od razpoložljivosti ustreznih proizvodov in potrebno bo ocenjevanje na podlagi posameznega primera v skladu z razvojnim ciklom aplikacije.

Tretji cilj: spodbujati potrošnike k uporabi tehnologij za boljše varovanje zasebnosti

Potrošniki ostajajo stranka, ki ji je v največjem interesu, da je zagotovljena ustrezna uporaba osebnih podatkov, da so pravila o varstvu podatkov ustrezno upoštevana in da so tehnologije za boljše varovanje zasebnosti učinkovito sredstvo za njihovo zagotavljanje.

Potrošniki se morajo zato v celoti zavedati prednosti, ki jih ima lahko uporaba tehnologij za boljše varovanje zasebnosti, da se zmanjšajo tveganja, ki jih povzročajo postopki, v okviru katerih se obdelujejo njihovi osebni podatki. Imeti morajo tudi možnost ozaveščene izbire pri nakupu opreme IT in programske opreme, ali pri uporabi e-storitev. To mora odražati njihovo ozaveščenost glede s tem povezanih tveganj, zlasti ali tehnologije za boljše varovanje zasebnosti nudijo ustrezno varstvo. Potrošnikom morajo biti zato na voljo preproste in razumljive informacije glede možnih tehnoloških orodij za varovanje zasebnosti. Povečana uporaba tehnologij za boljše varovanje zasebnosti ter e-storitev, ki vključujejo tehnologije za boljše varovanje zasebnosti, bosta pomenili gospodarske koristi za industrije, ki jih uporabljajo, kar bi lahko povzročilo učinek snežne kepe in spodbudilo druge družbe, da bodo več pozornosti namenile spoštovanju pravil o varstvu podatkov. Za uresničitev zgoraj navedenega je treba narediti več korakov.

Ukrep 3.1.: Ozaveščanje potrošnikov

Za ozaveščanje potrošnikov glede tveganj, povezanih z obdelavo njihovih podatkov, in rešitev, ki jih tehnologije za boljše varovanje zasebnosti lahko zagotovijo kot dopolnitev obstoječega sistema pravnih sredstev, vsebovanih v zakonodaji za varstvo podatkov, je treba sprejeti dosledno strategijo. Komisija namerava sprožiti več dejavnosti ozaveščanja po vsej EU o tehnologijah za boljše varovanje zasebnosti.

Glavno odgovornost za izvajanje te dejavnosti nosijo nacionalni organi za varstvo podatkov, ki že imajo ustrezne izkušnje na tem področju. Komisija jih poziva, naj povečajo svoje dejavnosti ozaveščanja in vključijo informacije o tehnologijah za boljše varovanje zasebnosti preko vseh možnih sredstev, ki so jim na voljo. Komisija poziva tudi Delovno skupino iz člena 29, naj uskladi nacionalne prakse v skladnem delovnem načrtu za ozaveščanje glede tehnologij za boljše varovanje zasebnosti in naj služi kot stična točka za izmenjavo dobrih praks, ki se na nacionalni ravni že uporabljajo. Predvsem združenja potrošnikov in drugi akterji, kot je Mreža centrov za varstvo potrošnikov (ECC-Net) v okviru svoje vloge kot vseevropska mreža EU za svetovanje državljanom glede njihovih pravic, ki jih imajo kot potrošniki, bi lahko postali partnerji pri prizadevanju za izobraževanje potrošnikov.

Ukrep 3.2.: Olajšanje ozaveščene izbire potrošnikov: Pečati zaupnosti

Vzpostavitev in uporabo tehnologij za boljše varovanje zasebnosti se lahko spodbudi, če je lahko prepoznati prisotnost teh tehnologij v določenem proizvodu in njihove osnovne značilnosti. Zato namerava Komisija raziskati izvedljivost vseevropskega sistema pečatov zaupnosti, kar bo vključevalo tudi gospodarsko in socialno oceno učinka. Cilj takšnih pečatov zaupnosti je zagotoviti potrošnikom, da na preprost način prepoznajo določen proizvod kot proizvod, ki zagotavlja ali krepi spoštovanje pravil o varstvu podatkov pri obdelavi osebnih podatkov, zlasti z vključitvijo ustreznih tehnologij za boljše varovanje zasebnosti.

Da bi pečati zaupnosti dosegli svoj namen, Komisija meni, da morajo biti spoštovana naslednja načela:

- Število pečatov zaupnosti mora biti čim manjše. Širjenje pečatov bi namreč lahko povzročilo še večjo zmedo potrošnika in porušilo njihovo zaupanje v vse pečate. Zato je potrebno izvesti oceno, ali in v kakšni meri bi bilo primerno vključiti evropski pečat zasebnosti v bolj splošno varnostno shemo potrjevanja[14].

- Pečate zaupanja je treba podeliti samo za skladnost proizvoda z vrsto standardov, ki ustrezajo pravilom za varstvo podatkov. Standardi morajo biti čim bolj enotni v vsej EU.

- Javni organi, zlasti nacionalni organi za varstvo podatkov, morajo imeti pomembno vlogo v sistemu preko svoje vključenosti pri opredelitvi zadevnih standardov in postopkov, kot tudi pri spremljanju delovanja sistema pečatov.

Komisija bo ob upoštevanju zgoraj navedenega in predhodnih izkušenj glede programov pečatov na drugih področjih (npr. okolje, kmetijstvo, varnostno potrjevanje za proizvode in storitve) vodila dialog z vsemi zadevnimi zainteresiranimi stranmi, vključno z nacionalnimi organi za varstvo podatkov, gospodarskimi združenji in združenji potrošnikov ter organi za standardizacijo.

[1] Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, UL L 281, 23.11.1995, str. 31.

[2] Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah), UL L 201, 31.7.2002, str. 37.

[3] Uredba (ES) 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov, UL L 8, 12.01.2001, str. 1–22.

[4] Uvodna izjava 46 in člen 14(3) Direktive 2002/58/ES.

[5] COM(2003) 265(01), 15.5.2003, glej http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf.

[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf

[7] Sodišče Evropskih skupnosti, sodba z dne 20.5.2003, združene zadeve C-465/00, C-138/01 in C-139/01 „Österreichischer Rundfunk in drugi“ („računsko sodišče“) Recueil [2003] I-04989, odstavka 71 in 72.

[8] https://www.prime-project.eu/.

[9] http://www.opentc.net/.

[10] http://www.ist-discreet.org/.

[11] Npr. člen 17.

[12] Delovna skupina o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljena s členom 29 Direktive 95/46/ES.

[13] COM(2003) 567 konč., 26.9.2003.

[14] Komisija je v svojem Sporočilu z dne 31. maja 2006 o Strategiji za varno informacijsko družbo – „Dialog, partnerstvo ter povečanje vpliva in moči“(COM(2006) 251 konč.) že pozvala zasebni sektor za „delovanje v smeri dostopnih varnostnih shem potrjevanja za izdelke, procese in storitve, ki bodo obravnavale potrebe, značilne za EU (zlasti glede zasebnosti)“.