Help Print this page 
Title and reference
Ochrona danych w sektorze łączności elektronicznej

Summaries of EU legislation: direct access to the main summaries page.
Languages and formats available
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html ES html CS html DA html DE html EL html EN html FR html IT html HU html NL html PL html PT html RO html FI html SV
Multilingual display
Text

Ochrona danych w sektorze łączności elektronicznej

Technologie informacyjno-komunikacyjne (TIK), w szczególności Internet i poczta elektroniczna, uzasadniają wprowadzenie szczególnych przepisów w celu zagwarantowania prawa do prywatności. W związku z tym niniejsza dyrektywa zawiera zasady mające na celu zapewnić zaufanie użytkowników do usług i technologii łączności elektronicznej. W szczególności ma ona na celu zapewnienie ochrony prywatności i poufności w sektorze łączności elektronicznej, w tym bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszeń, poufności komunikacji oraz zakazu niezamówionych komunikatów, z zastrzeżeniem uprzedniej zgody użytkowników.

AKT

Dyrektywa Parlamentu Europejskiego i Rady 2002/58/WE z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) [Zob. akty zmieniające].

STRESZCZENIE

Dyrektywa 2002/58/WE jest częścią pakietu telekomunikacyjnego, stanowiącego system ustawodawczy regulujący sektor łączności elektronicznej. Pakiet telekomunikacyjny zawiera cztery inne dyrektywy dotyczące ogólnych ram, dostępu i wzajemnych połączeń, zezwoleń oraz usługi powszechnej.

Pakiet telekomunikacyjny został zmieniony w grudniu 2009 r. dwoma dyrektywami: Lepsze stanowienie prawa oraz Prawo obywateli, a rozporządzeniem w sprawie ustanowienia Organu Europejskich Regulatorów Łączności Elektronicznej (BEREC).

Niniejsza dyrektywa dotyczy głównie przetwarzania danych osobowych w ramach świadczenia usług łączności.

Bezpieczeństwo przetwarzania danych

Dostawca usług łączności elektronicznej jest zobowiązany zapewnić bezpieczeństwo oferowanych przez siebie usług:

  • zapewniając dostęp do danych osobowych wyłącznie upoważnionym osobom,
  • chroniąc dane osobowe przed zniszczeniem, utratą lub zmianą oraz przed innymi bezprawnymi lub niedozwolonymi formami przetwarzania,
  • zapewniając wdrażanie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

W razie naruszenia bezpieczeństwa danych osobowych usługodawca musi poinformować organ krajowy w ciągu 24 godzin. Jeżeli dane naruszenie może spowodować szkodę w zakresie danych osobowych lub prywatności abonenta lub osoby fizycznej, usługodawca musi również poinformować zainteresowanego abonenta lub zainteresowaną osobę fizyczną, chyba że usługodawca wprowadził techniczne środki ochrony, które powodują, że dane są niezrozumiałe dla osób bez dozwolonego dostępu (zob. rozporządzenie (UE) nr 611/2013).

Poufność komunikacji

Dyrektywa przypomina, że państwa członkowskie muszą zapewnić poufność komunikacji za pośrednictwem publicznej sieci łączności. W szczególności muszą zakazać słuchania, nagrywania, przechowywania komunikatów i danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników, z wyjątkiem sytuacji, gdy dana osoba jest prawnie upoważniona. Państwa członkowskie gwarantują również, że wykorzystywanie sieci łączności elektronicznej do przechowywania informacji lub udostępniania informacji przechowywanych w urządzeniu końcowych abonenta lub użytkownika jest dozwolone jedynie, jeżeli abonent lub użytkownik udzielił zgody po otrzymaniu jasnych i pełnych informacji dotyczących ostatecznych celów przetwarzania danych, co jest warunkiem minimalnym.

Przetwarzanie danych o ruchu i danych dotyczących lokalizacji

W dyrektywie ustala się, że dane o ruchu i dane dotyczące lokalizacji muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu lub naliczania opłat.

Dostawca usług łączności elektronicznej musi jednak przetwarzać dane o ruchu w stopniu i przez okres, które są konieczne do świadczenia lub dystrybucji usług łączności elektronicznej o wartości dodanej, o ile dany abonent lub użytkownik udzielił uprzedniej zgody.

Jeżeli chodzi o dane dotyczące lokalizacji inne niż dane o ruchu, mogą one być przetwarzane jedynie, jeżeli ma to charakter anonimowy lub podlega uzyskaniu zgody użytkowników lub abonentów, w stopniu i przez okres, które są konieczne do świadczenia lub dystrybucji usług łączności elektronicznej o wartości dodanej.

Użytkownicy i abonenci mają możliwość wycofania w dowolnym momencie swojej zgody na przetwarzanie danych o ruchu lub danych dotyczących lokalizacji.

Jeśli chodzi o delikatną kwestię zatrzymywania danych, dyrektywa stanowi, że państwa członkowskie mogą zdjąć ochronę danych jedynie w celu umożliwienia dochodzeń lub zachowania bezpieczeństwa narodowego, obronności i bezpieczeństwa publicznego. Taki środek może zostać przyjęty jedynie w przypadku, gdy stanowi on środek niezbędny, właściwy i proporcjonalny w ramach społeczeństwa demokratycznego oraz jest zgodny z prawami podstawowymi.

Komunikaty niezamówione (spam)

Dyrektywa przyjmuje podejście opt-in w stosunku do niezamówionych komunikatów handlowych, tj. użytkownicy będą musieli wyrazić uprzednią zgodę przed otrzymaniem tych komunikatów. Ten system opt-in obejmuje również wiadomości SMS i pozostałe wiadomości elektroniczne otrzymywane przez stacjonarne lub przenośne urządzenie końcowe. Przewidziano jednak odstępstwa.

Narzędzia cookies

Dyrektywa przewiduje, że użytkownicy muszą wyrazić zgodę na przechowywanie danych na ich urządzeniu końcowym lub na udostępnienie takich danych. W tym celu użytkownicy musza otrzymać wyraźną i dokładną informację o celu przechowywania lub udostępniania danych. Przepisy te chronią prywatność użytkowników przed szkodliwymi programami, takimi jak wirusy czy spyware, ale mają także zastosowanie do cookies.

Narzędzia typu cookies to ukryte informacje wymieniane między użytkownikiem Internetu a serwerem sieciowym. Są one zachowywane w katalogu na dysku twardym użytkownika. Informacje te umożliwiały na początku na zachowanie danych pomiędzy dwoma połączeniami. Stanowią również często krytykowane narzędzie kontroli działań internauty.

Spisy abonentów

Obywatele europejscy muszą wyrazić uprzednią zgodę, zanim ich numer telefonu (stacjonarnego lub przenośnego), adres poczty elektronicznej i tradycyjnej może znaleźć się w spisach abonentów.

Kontrole

Państwa członkowskie muszą określić system sankcji, w tym sankcji karnych, w razie naruszenia przepisów dyrektywy. Muszą również dopilnować, aby właściwe organy krajowe posiadały niezbędne uprawnienia i zasoby do nadzoru i kontroli przestrzegania krajowych przepisów służących transpozycji dyrektywy.

ODNIESIENIA

Akt

Wejście w życie

Termin transpozycji przez państwa członkowskie

Dziennik Urzędowy

Dyrektywa 2002/58/WE

30.7.2002

31.10.2003

Dz.U. L 201 z 31.7.2002

Akt(-) zmieniający(-e)

Wejście w życie

Termin transpozycji przez państwa członkowskie

Dziennik Urzędowy

Dyrektywa 2009/136/WE

19.12.2009

25.5.2011

Dz.U. L 337 z 18.12.2009

AKTY POWIĄZANE

Dyrektywa Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [Dz.U. L 281 z 23.11.1995].

Dyrektywa ta stanowi tekst odniesienia, na poziomie europejskim, w zakresie ochrony danych osobowych. Wprowadza ramy regulacyjne mające na celu uzyskanie równowagi pomiędzy wysokim poziomem ochrony prywatności osób fizycznych a swobodnym przepływem danych osobowych w obrębie UE.

Rozporządzenie Parlamentu Europejskiego i Rady nr 45/2001/WE z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych [Dz.U. L 8 z 12.1.2001].

Rozporządzenie to ma na celu ochronę danych osobowych w obrębie instytucji i organów UE. W szczególności tekst przewiduje ustanowienie niezależnej instytucji nadzorującej, odpowiedzialnej za kontrolowanie stosowania zasadniczych przepisów rozporządzenia.

Rozporządzenie Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej [Dz.U. L 173 z 26.6.2013].

Wyrok Trybunału z dnia 8 kwietnia 2014 r. w sprawach połączonych C-293/12 i C-594/12 . Digital Rights Ireland and Seitlinger i in.

W wyroku tym Trybunał stwierdził nieważność dyrektywy 2006/24/WE w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE. Trybunał uznał w szczególności, że dyrektywa 2006/24/WE wykracza poza nałożone granice w zakresie zasady proporcjonalności w świetle art. 7, 8 oraz art. 52 ust. 1 europejskiej Karty praw podstawowych. Trybunał podkreślił szczególnie fakt, że:

  • w dyrektywie ujęto bardzo poważną ingerencję na dużą skalę bez zapewnienia jasnych i dokładnych przepisów regulujących zakres takiej ingerencji oraz nie przewidziano w niej wystarczających gwarancji służących bezpieczeństwu i ochronie danych przechowywanych przez podmioty gospodarcze.

Ostatnia aktualizacja: 27.05.2014

Top