Ochrona danych w sektorze łączności elektronicznej

Informacje wymienia się za pośrednictwem publicznie dostępnych usług łączności elektronicznej, takich jak Internet, telefonia komórkowa i stacjonarna oraz za pośrednictwem powiązanych z nimi sieci. Te usługi i sieci powinny być objęte specjalnymi przepisami i środkami zabezpieczającymi gwarantującymi użytkownikom prawo do prywatności i poufności.

AKT

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)

STRESZCZENIE

JAKIE SĄ CELE NINIEJSZEJ DYREKTYWY?

Określa ona przepisy gwarantujące bezpieczeństwo przetwarzania danych osobowych, zawiadamianie o naruszeniach ochrony danych oraz poufność komunikacji. Zakazuje ona stosowania niezamówionych komunikatów, jeżeli użytkownik nie wyraził na nie zgody.

KLUCZOWE ZAGADNIENIA

Dostawcy usług łączności elektronicznej muszą zabezpieczyć swoje usługi przynajmniej:

zapewniając, że dane osobowe dostępne są wyłącznie dla uprawnionych osób,
chroniąc dane osobowe przed zniszczeniem, utratą lub przypadkową zmianą oraz przed innym bezprawnym lub nieupoważnionym przetwarzaniem,
zapewniając wdrażanie polityki bezpieczeństwa dotyczącej przetwarzania danych osobowych.

Usługodawca musi poinformować odpowiedni organ krajowy o każdym naruszeniu ochrony danych w ciągu 24 godzin. Jeżeli istnieje prawdopodobieństwo, że dane osobowe lub prywatność użytkownika mogą ulec uszczerbkowi, muszą zostać oni o tym fakcie powiadomieni, z wyjątkiem przypadków gdy podjęto szczegółowo określone środki techniczne w celu ochrony tych danych.

Kraje UE muszą zapewnić poufność komunikacji za pośrednictwem sieci publicznych, w szczególności muszą:

zakazać słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu bez zgody użytkownika, z wyjątkiem upoważnienia zgodnego z określonymi wymogami,
zagwarantować, że przechowywanie informacji lub dostęp do informacji przechowywanych na prywatnych urządzeniach użytkownika są dozwolone wyłącznie, jeżeli użytkownik został jasno i w pełni poinformowany, m.in. o celu takiego czynu, oraz przyznano mu prawo do odmowy.

Jeżeli dane o ruchu nie są już wymagane do celów komunikacji lub naliczania opłat, powinny zostać usunięte lub uczynione anonimowymi. Usługodawcy mogą jednak wykorzystywać te dane w celach marketingowych, o ile zainteresowani użytkownicy wyrażą na to zgodę. Użytkownik może cofnąć zgodę w dowolnym momencie.

Zgoda użytkownika wymagana jest też w przypadku wielu innych sytuacji, np.:

na wysyłanie użytkownikom niezamówionych informacji handlowych (spamu). Dotyczy to tez wiadomości SMS oraz innych elektronicznych systemów komunikacji,
na przechowywanie informacji (cookies) na komputerach i urządzeniach użytkowników lub na uzyskanie dostępu do tych informacji. Użytkownik musi zostać jasno i w pełni poinformowany, m.in. o celu ich przechowywania lub uzyskania do nich dostępu,
na umieszczenie numerów telefonu, adresów e-mail lub adresów pocztowych w ogólnodostępnych spisach i katalogach.

Kraje UE muszą posiadać system kar, w tym sankcji prawnych, za naruszanie postanowień dyrektywy.

Zakres praw i obowiązków może zostać ograniczony wyłącznie za pośrednictwem krajowych środków prawnych, jeżeli tego typu ograniczenia są konieczne i proporcjonalne do zagwarantowania ochrony określonych interesów publicznych, takich jak umożliwienie prowadzenia dochodzeń lub ochrona bezpieczeństwa narodowego, obronności lub bezpieczeństwa publicznego.

OD KIEDY DYREKTYWA MA ZASTOSOWANIE?

Od 31 lipca 2002 r.

KONTEKST

Niniejsza dyrektywa jest jedną z pięciu, które wspólnie tworzą pakiet telekomunikacyjny - ramy legislacyjne regulujące sektor łączności elektronicznej. Pozostałe dyrektywy obejmują ogólne warunki ramowe, dostęp i wzajemne połączenia, zezwolenia i licencje oraz usługę powszechną.

Pakiet został zmieniony w 2009 r. przez dyrektywę w sprawie lepszego stanowienia prawa i dyrektywę o prawach obywateli oraz przez rozporządzenie ustanawiające Organ Europejskich Regulatorów Łączności Elektronicznej.

Więcej informacji można znaleźć na stronie internetowej dotyczącej dyrektywy o prywatności i łączności elektronicznej Komisji Europejskiej.

W związku z wybuchem epidemii COVID-19 i wprowadzeniem środków w celu łagodzenia skutków kryzysu Komisja Europejska przyjęła: Zalecenie Komisji (UE) 2020/518 z dnia 8 kwietnia 2020 r. w sprawie wspólnego unijnego zestawu instrumentów ułatwiającego wykorzystanie technologii i danych w celu zwalczania kryzysu wywołanego przez COVID-19 i wyjścia z niego, w szczególności w odniesieniu do aplikacji mobilnych i wykorzystywania zanonimizowanych danych dotyczących mobilności

ODNIESIENIA

Akt	Wejście w życie	Termin transpozycji przez państwa członkowskie	Dziennik Urzędowy Unii Europejskiej
Dyrektywa 2002/58/WE	31.7.2002	30.10.2003	Dz.U. L 201 z 31.07.2002, s. 37-47

Akt(-y) zmieniający(-e)	Wejście w życie	Termin transpozycji przez państwa członkowskie	Dziennik Urzędowy Unii Europejskiej
Dyrektywa 2009/136/WE	19.12.2009	25.5.2011	Dz.U. L 337 z 18.12.2009, s. 11-36

AKTY POWIĄZANE

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dziennik Urzędowy L 281 z 23.11.95, s. 31)

Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dziennik Urzędowy L 8 z 12.1.2001 r., str. 1-22).

Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE (Dziennik Urzędowy L 105 z 13.4.2006 r., str. 54-63). (uznana za nieważną wyrokiem Trybunału Sprawiedliwości, patrz niżej).

Rozporządzenie Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dziennik Urzędowy L 173 z 26.6.2013 r., str. 2-8).

Sprawy połączone C-293/12 i C-594/12: Wyrok Trybunału (wielka izba) z dnia 8 kwietnia 2014 r. (wnioski o wydanie orzeczenia w trybie prejudycjalnym złożone przez High Court of Ireland, Verfassungsgerichtshof - Irlandia, Austria) - Digital Rights Ireland Ltd przeciwko Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána, Irlandii i Attorney General (C-293/12); Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl i in. (C-594/12) (Łączność elektroniczna --Dyrektywa 2006/24/WE - Ogólnie dostępne usługi łączności elektronicznej lub udostępnianie publicznych sieci łączności - Zatrzymywanie danych generowanych lub przetwarzanych w związku ze świadczeniem tych usług - Ważność - Artykuły 7, 8 i 11 Karty praw podstawowych Unii Europejskiej) (Dziennik Urzędowy C 175 z 10.6.2014 r., str. 6-7).

Ostatnia aktualizacja: 25.05.2020