25.2.2010   

BG

Официален вестник на Европейския съюз

C 47/6

1.

На 16 декември 2008 г. Комисията прие съобщение, което съдържа план за действие за внедряване на интелигентните транспортни системи в Европа („съобщението“) (1). Съобщението е придружено от предложение за директива на Европейския парламент и на Съвета за установяване на рамката за внедряване на интелигентните транспортни системи в областта на автомобилния транспорт и взаимодействие с останалите видове транспорт („предложението“) (2). Съобщението и придружаващото го предложение бяха изпратени от Комисията на ЕНОЗД за консултация в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 (3).

2.

ЕНОЗД приветства факта, че се търси становището му, и препоръчва тази консултация да се упомене в съображенията на предложението, както това беше направено в няколко други законодателни акта, по които беше поискано становището на ЕНОЗД, в съответствие с Регламент (ЕО) № 45/2001.

3.

„Интелигентните транспортни системи“ („ИТС“) са модерни приложения, използващи информационни и комуникационни технологии (ИКТ), които са внедрени в различните видове транспорт за взаимодействие между тях. В областта на автомобилния транспорт ИТС ще предоставят на различни потребители, като пътници, оператори и ползватели на пътна инфраструктура, ръководители на автомобилни паркове и оператори на служби за спешно реагиране, иновативни услуги, свързани с видовете транспорт и управлението на движението.

4.

Предвид все по-широкото внедряване на ИТС в различни видове транспорт (4) в Европейския съюз, Комисията прие план за действие за ускоряване на въвеждането и използването на приложения и услуги, свързани с ИТС, в областта на автомобилния транспорт. Освен това планът има за цел да осигури тяхното взаимодействие с другите видове транспорт, което ще улесни предоставянето на мултимодални услуги. Съгласуваното внедряване на ИТС в Европа ще служи за постигането на различни общностни цели, включително ефективност, устойчивост, безопасност и сигурност на транспорта, стимулиране на вътрешния пазар и конкурентоспособността. С оглед на разнообразието на преследваните цели за внедряването на ИТС, в съобщението се очертават шест приоритетни области за действие за периода 2009—2014 г. Във връзка с изпълнението на плана Комисията предлага да се установи правна рамка на равнище ЕС под формата на директива, в която да се определят някои мерки в дадени приоритетни области.

5.

Предложението установява рамка за транснационално внедряване на приложения, свързани с ИТС, чиято цел е да се улесни предоставянето на хармонизирани трансгранични услуги, по-специално за информация за движението по пътищата и за пътуванията, както и за управление на движенето. То налага на държавите-членки изискването да предприемат някои технически мерки за улесняване на обмена на данни между потребителите, публичните органи, съответните заинтересовани страни и доставчици на услуги, свързани с ИТС, и за интегриране в превозните средства и пътната инфраструктура на ИТС, свързани с безопасността и сигурността. Техническите спецификации за приложенията и системите, свързани с ИТС, в четири от приоритетните области (5), изброени в плана за действие, ще се определят чрез процедурата по комитология (6), като основните им елементи са посочени в приложение II. Въпреки това не са ясни конкретните цели, за които ИТС ще се използват в тези области. Нещо повече, внедряването на ИТС може да обхване много други области освен четирите, първоначално подбрани за разработването на хармонизирани технически спецификации. Макар предложението да разглежда основно внедряването на бъдещи приложения и услуги, свързани с ИТС, когато е осъществимо, то следва да включва съществуващите или разработваните понастоящем технологии в тази област (като напр. eCall, eToll и др.).

6.

Предложението беше изпратено на Европейския парламент, който прие становището на първо четене (7) на 23 април 2009 г. След като на 29 януари 2009 г. Съветът отправи искане за провеждане на консултации, Европейският икономически и социален комитет прие становище по предложението на 13 май 2009 г. (8)

7.

ЕНОЗД приветства факта, че е потърсено становището му относно предложения план за внедряване на ИТС, представен от Комисията. Това не е първият случай, в който ЕНОЗД разглежда въпроси, възникнали в рамките на плана за действие за ИТС. ЕНОЗД даде становище по предложението на Комисията за подпомагане на трансграничния контрол върху безопасността по пътищата (9) и оказа съдействие на работната група по член 29 при изготвянето на работен документ относно eCall (10).

8.

Интелигентните транспортни системи се основават на събирането, обработката и обмена на широк набор данни от публични и частни източници; следователно те представляват област, свързана с интензивно използване на данни. Внедряването на ИТС ще зависи до голяма степен от технологиите за позициониране, като технологиите за спътниково позициониране и безконтактните технологии от рода на RFID (устройства за радиочестотна идентификация), което ще улесни предоставянето на публични и/или търговски услуги, основаващи се на местоположението на потребителя (напр. информацията за натовареността на движението в реално време, логистика за товарен транспорт (eFreight), спешни повиквания от превозните средства (eCall), електронно плащане на пътните такси (eToll), резервации на места за паркинг и др.). Част от информацията, която ще се обработва чрез ИТС, е обобщена — например информацията относно натоварването на движението, пътнотранспортните произшествия и различните възможности — и не е свързана с определени лица, докато друга част от информацията е свързана с идентифицирани или подлежащи на идентификация лица и следователно се счита за лични данни по смисъла на член 2, буква а) от Директива 95/46/ЕО.

9.

ЕНОЗД счита, че е от съществено значение планираните действия за внедряване на ИТС да бъдат в съответствие със съществуващата правна рамка, както е посочено в предложението, и по-конкретно с Директива 95/46/ЕО за защита на данните (11) и с Директива 2002/58/ЕО за правото на неприкосновеност на личния живот и електронни комуникации (12).

10.

Комисията е установила, че нерешените въпроси в областта на неприкосновеността на личния живот и защитата на данните, са една от основните пречки пред развитието на ИТС. Тези въпроси ще бъдат разгледани в настоящото становище, както следва:

11.

Предложението на Комисията за директива съдържа две разпоредби (съображение (9) и член 6), които засягат личния живот, сигурността и повторната употреба на информация. Член 6, параграф 1 от предложението на Комисията съдържа изискването експлоатацията на ИТС да се осъществява в съответствие с правилата за защита на данните, установени, inter alia, в Директива 95/46/ЕО и Директива 2002/58/ЕО. В член 6, параграф 2 от предложението на Комисията се предвиждат конкретни мерки за защита на данните, главно от гледна точка на сигурността: В член 6, параграф 2 от предложението се постановява, че „ …държавите-членки гарантират, че данните и документите във връзка с ИТС са защитени от злоупотреби, включително незаконен достъп, подправяне или загуба“. На последно място, в член 6, параграф 3 от предложението на Комисията се предвижда, че се прилага Директива 2003/98/ЕО.

12.

Европейският парламент предложи на първо четене изменения на член 6. По-конкретно, към член 6, параграф 1 бяха добавени три нови параграфа, които изискват използване на анонимни данни по целесъобразност, обработване на чувствителни данни само при изричното информирано съгласие на субекта на данните и гаранции, че лични данни се обработват, „единствено доколкото тази обработка е необходима за функционирането на приложенията и/или предоставянето на услугите, свързани с ИТС“. Освен това е изменена формулировката на член 6, параграф 2, като е добавено, че данните и документите във връзка с ИТС „не могат да се използват за други цели, различни от посочените в настоящата директива.“

13.

ЕНОЗД приветства факта, че защитата на данните е взета предвид при изготвянето на предложението и че тя е представена като общо условие за адекватното внедряване на ИТС в Европа. ЕНОЗД отчита, че съществува необходимост от съгласувано хармонизиране на равнище ЕС на свързаните с данните процеси, за да се гарантира пригодността на приложенията и услугите, свързани с ИТС, в Европа.

14.

ЕНОЗД отбелязва обаче, че предложената правна рамка е прекалено широка и обща, за да даде адекватен отговор на опасенията, свързани с неприкосновеността на личния живот и защитата на данните, които излизат на преден план при внедряването на ИТС в държавите-членки. Няма яснота по въпросите кога предоставянето на услуги, свързани с ИТС, ще води до събиране и обработване на лични данни, какви са конкретните цели, за които се обработват данни, или на какво правно основание е оправдана подобна обработка. Освен това използването на локационни технологии за внедряването на ИТС поражда риск от установяването на услуги, които, ако са свързани със събиране и обмен на лични данни, пораждат безпокойство от гледна точка на неприкосновеността на личния живот. Нещо повече, предложението не посочва ясно функциите и отговорностите на различните оператори, които участват в процеса на внедряване на ИТС, поради което е трудно да се определи кои оператори ще бъдат администратори на данни и следователно ще носят отговорност (13) за спазването на задълженията за защита на данните. Операторите на ИТС ще се сблъскат със сериозни проблеми, ако всички тези въпроси не бъдат изяснени в нормативния акт, тъй като, в крайна сметка, те ще носят отговорност за прилагането на разпоредбите, установени в предложената директива.

15.

Поради тази причина съществува риск липсата на яснота в предложената правна рамка да доведе до нееднакво прилагане на ИТС в Европа и вместо да намали различията между държавите-членки, напротив, да породи значителна несигурност, фрагментация и непоследователност поради различната степен на защита на данните в Европа. Това може да доведе също до неспазване на основни гаранции за защита на данните. ЕНОЗД подчертава нуждата от по-нататъшна хармонизация по тези въпроси на равнище ЕС. Поради това ЕНОЗД ще предложи изменения на предложената правна рамка във връзка със защитата на данните. Той настойчиво препоръчва Парламентът и Съветът да включат в проекта предложените изменения, както и, ако е осъществимо, допълнителни разпоредби, които да внесат яснота по нерешените въпроси (като определяне на отговорните лица по отношение на ИТС и на техните отговорности, разработване на хармонизирани договори за предоставяне на услуги, свързани с ИТС, и др.). Освен това ЕНОЗД подчертава, че държавите-членки също ще бъдат отговорни да прилагат директивата правилно, така че операторите да могат да разработят системи и услуги, които предлагат адекватна степен на защита на данните в Европа.

16.

Няма яснота по въпроса кога след интегрирането на ИТС в превозните средства ще започне обработването на лични данни и на какво правно основание ще се извършва тази обработка. Във връзка с обработването на данните операторите могат да се опират на различни правни основания, inter alia, недвусмислено съгласие на потребителя, договор или правно задължение, което трябва да бъде спазвано от администратора. Необходимо е да се хармонизират правните основания, на чиято база ще се извършва обработката на данните чрез ИТС, за да се гарантира, че системите функционират в цяла Европа и че потребителите не са засегнати негативно от различията в начина, по който се обработват данните в отделните държави-членки на ЕС.

17.

В някои случаи ИТС ще бъдат по правило интегрирани в превозните средства. Такъв по-конкретно е случаят със свързани с безопасността и сигурността ИТС, които трябва да бъдат интегрирани в превозните средства съгласно предложението. Предложението обаче не дава определение на „свързани с безопасността и сигурността ИТС“ и следователно е нужно да се внесе по-голяма яснота по въпроса кои конкретни приложения и системи, свързани с ИТС, трябва да бъдат интегрирани в превозните средства. Освен това следва да се поясни дали активирането и използването на съответното устройство ще бъде доброволно или задължително за потребителите. Въвеждането на задължително обработване на данни следва да се предпочита само за надлежно обосновани конкретни цели (напр. добро проследяване за управлението на товарните превози), като се осигурят необходимите гаранции по отношение на обработването на лични данни. Ако използването на ИТС е доброволно, следва да се осигурят необходимите гаранции, за да не може потребителят да се смята за съгласен по подразбиране с използването на системата единствено поради наличието ѝ в превозното средство.

18.

ЕНОЗД предпочита варианта, при който услугите, свързани с ИТС, се предоставят доброволно. Това изисква потребителите да са в състояние да дават свободно съгласие за използването на системата и за конкретните цели, за които тя ще се използва. Когато предоставяната услуга е базирана на данни за местонахождение, на потребителя трябва да се предостави необходимата информация (главно в съответствие с член 9 от Директива 2002/58/ЕО) и той трябва да е в състояние да оттегли съгласието си. На практика това изисква да се предвиди възможност за лесно дезактивиране на устройството и/или функцията без ограничения от техническо или финансово естество за потребителя (14), когато той не желае повече да използва системата и/или конкретна функция. Следва да се предвидят и други гаранции, за да не се упражнява дискриминация спрямо потребителите при отказа им да ползват дадена услуга.

19.

В случай че определени дейности по обработка са задължителни, а други изискват съгласие от страна на потребителите, трябва да се осигури прозрачност във връзка с различните извършвани операции по обработка, като на потребителите се предостави необходимата информация относно задължителния и/или доброволния характер на всяка конкретна обработка и относно обхвата на тази обработка. Нещо повече, ще бъде от изключително значение да се въведат необходимите гаранции за сигурност, така че да не бъдат събирани и обработвани данни освен тези, които са предвидени в закона и/или за които е дадено доброволно съгласие.

20.

С оглед на транснационалните последици от услугите, свързани с ИТС, ЕНОЗД препоръчва още да се разработят общоевропейски стандартни договори, за да може предоставяните чрез ИТС услуги да дават едни и същи гаранции за защита на данните в цяла Европа, и по-конкретно предоставяната на потребителите информация да внася достатъчно яснота по въпроса за конкретните функции, които се използват, за влиянието, което използването на определени технологии оказва върху защитата на техните данни, и за начините, по които те могат да упражняват правата си. Когато се добавят нови функции, доставчиците на услуги следва да предприемат допълнителни мерки, за да предоставят на потребителите ясна и конкретна информация във връзка с тези допълнителни функции и да получат необходимото съгласие за тяхното използване.

21.

ЕНОЗД отбелязва, че предложението не определя точно конкретните услуги и цели, за които могат да се използват приложения, свързани с ИТС, и следователно този въпрос остава открит. Това на практика позволява по-голяма гъвкавост, но означава, че нерешените въпроси в областта на неприкосновеността на личния живот и защитата на данните — установени от Комисията като една от основните пречки пред развитието на ИТС (вж. точка 10) — могат да останат открити и да възпрепятстват балансираното прилагане на предложените мерки.

22.

ЕНОЗД изтъква, че е изключително важно операциите по обработка, предприемани при предоставянето на конкретни услуги, свързани с ИТС, не само да се извършват съобразно съответното правно основание, но и да служат на конкретни, ясни и законни цели, а планираното обработване да бъде съразмерно и необходимо за тези цели (член 6 от Директива 95/46/ЕО). Поради тази причина следва да се разгледа евентуалната необходимост от допълнително законодателство на равнище ЕС във връзка с конкретното използване на ИТС, за да се предвиди хармонизирано и подходящо правно основание за дейностите по обработка, които ще се извършват, и да се избегнат различията между държавите-членки при предоставянето на услугите, свързани с ИТС.

23.

Предложената рамка на този етап не определя реда и условията за обработката на данни и за обмена на данни при използването на ИТС. Много технически параметри ще бъдат решени на по-късен етап чрез процедурата по комитология, като в зависимост от техния избор последиците върху неприкосновеността на личния живот и защитата на данните ще бъдат различни. Като се има предвид специалната защита, предоставена на неприкосновеността на личния живот и защитата на данните като основни права, защитени по силата на член 9 от Европейската конвенция за защита правата на човека и основните свободи и членове 7 и 8 от Хартата на основните права на Европейския съюз, може да се постави въпросът дали и до каква степен дефинирането на операциите по обработка на данните следва да се решава в рамките на процедурата по комитология.

24.

В демократичното общество решенията относно основни принципи и модалности, засягащи основни права, следва да се вземат в рамките на пълна законодателна процедура, която да включва необходимия контрол и баланс. В случая това означава, че решения със съществени последици за неприкосновеността на личния живот и защитата на личните данни, като например относно целите, реда и условията на задължителни дейности по обработка на данни и определянето на реда и условията за внедряването на ИТС в нови области, следва да бъдат вземани от Европейския парламент и Съвета, а не в рамките на процедурата по комитология.

25.

Във връзка с това ЕНОЗД настойчиво препоръчва работната група по член 29 и ЕНОЗД, когато е целесъобразно, да участват в работата на комитета, който се създава по силата на член 8 от предложението, а също и в предприемани бъдещи действия във връзка с внедряването на ИТС чрез консултации на достатъчно ранен етап преди разработването на съответната мярка.

26.

Освен това ЕНОЗД взема под внимание измененията, приети от Европейския парламент във връзка с член 6 от предложението. Първо, ЕНОЗД отбелязва, че изменението, свързано с насърчаването на използването на анонимни данни според случая, макар да е много подходящо по принцип, няма да отговори на всички опасения, свързани със защитата на данните, тъй като много от данните, събирани и обменяни чрез ИТС, могат да се считат за лични данни. За да може при обработването да се запази анонимността на личната информация, трябва да се изключи възможността — като се разгледа съвкупността от всички средства, които биха могли да бъдат използвани разумно от администратора или от друго лице — на който и да е етап от процеса данните да бъдат свързани с данни, които се отнасят за идентифицирано лице, тъй като в противен случай тези данни представляват лични данни по смисъла на член 2, буква а) от Директива 95/46/ЕО (15). Освен това, въз основа на предложените от Европейския парламент изменения, ЕНОЗД препоръчва член 6 от предложението да бъде изменен, както следва:

27.

От изключително значение е да бъдат изяснени функциите на различните отговорни лица по отношение на ИТС, с оглед на това да се установи кой ще поеме отговорността да гарантира, че системата функционира както трябва от гледна точка на защитата на данните. Във връзка с това следва да се внесе допълнителна яснота по въпроса кой следва да носи отговорност за внедряването на приложенията и системите, чиято концепция ще бъда уточнена чрез процедурата по комитология, и кой от отговорните лица по веригата ще носи отговорност за спазването на законодателството в областта на защитата на данните при обработката на данните (напр. администраторите на данни). По-долу ЕНОЗД ще разгледа някои опасения, свързани с неприкосновеността на личния живот и защитата на данните, които следва да бъдат разгледани в рамките на процедурата по комитология и взети предвид от администраторите на данни при разработването на приложенията и архитектурата на системите. Освен това ще бъдат очертани някои от въпросите, свързани със защитата на данните, които трябва да бъдат разрешени от законодателя и администраторите на данни по отношение на предоставянето на услуги, свързани с ИТС.

28.

Правилното прилагане на принципите за защита на данните, определени в Директива 95/46/ЕО, е ключово условие за успешното внедряване на ИТС в Общността. Тези принципи влияят върху разработването на архитектурата на системите и приложенията. ЕНОЗД препоръчва на ранен етап от разработването на ИТС да се възприеме подход за защита на личния живот още при разработването с оглед на дефинирането на архитектурата, експлоатацията и управлението на приложенията и системите. Директива 1999/5/ЕО (18) поставя особено голям акцент на този подход във връзка с разработването на радионавигационно и далекосъобщително крайно оборудване.

29.

Разработването на приложения и системи, свързани с ИТС, ще става поетапно и ще включва различни отговорни лица, които следва да вземат предвид неприкосновеността на личния живот и защитата на данните. Комисията и Комитетът по ИТС първоначално ще носят конкретна отговорност за определянето чрез процедурата по комитология на мерки, инициативи за стандартизация, процедури и най-добри практики, които следва да насърчават принципа за защита на личния живот още при разработването.

30.

Прилагането на принципа за защита на личния живот още при разработването следва да се насърчава на всички етапи и във всички форми на процесите:

31.

ЕНОЗД очертава по-долу някои от въпросите, които трябва да бъдат конкретно разгледани при разработването на приложенията и архитектурата на системите. Те са свързани със събираните данни, оперативната съвместимост на системите и със сигурността на данните.

32.

Съгласно член 6, параграф 1, буква в) от Директива 95/46/ЕО могат да се събират и обработват само лични данни, които са необходими и релевантни за конкретните цели.

33.

ЕНОЗД изтъква колко е важно, преди да се разработват приложенията и системите, да се направи подходяща класификация на информацията и данните, които ще бъдат обработвани чрез ИТС, за да се избегне мащабно и неподходящо събиране на лични данни. Във връзка с това следва да се има предвид:

34.

За да се прецени необходимостта от събирането на лични данни, отделните характеристики следва да се анализират внимателно в зависимост от преследваните цели. ЕНОЗД изтъква колко е важно е да се постигне точният баланс между основните права на субектите на данни и интересите на различните фактори, което предполага, че се обработват възможно най-малко лични данни. Във възможно най-голяма степен архитектурата на приложенията и системите следва да се проектира така, че да се събират единствено личните данни, които са крайно необходими за постигане на поставените цели.

35.

Ако не са необходими лични данни или са необходими само на ранен етап от обработването, те не следва да се събират или следва да бъдат анонимизирани възможно най-бързо. Следователно е особено важно не само да се прецени необходимостта от събиране на данните, но и последващата необходимост от съхраняването им в различните системи. Следва да се определи конкретен срок за съхранение на лични данни за различните отговорни лица по веригата на услугите, като той следва да е различен в зависимост от вида данни и целта, за която се събират (20). Като резултат, когато престане да бъде необходимо да се пазят лични данни за постигането на целите, за които са били събрани, или за последваща обработка, те следва да се анонимизират, т.е. да не могат да бъдат повече отнесени до идентифицирано или подлежащо на идентификация лице.

36.

Разработването на архитектурата на системите и на процедурите за обмен на данни следва да поддържа обработката на възможно най-малко лични данни. В този смисъл следва да се отчитат всички етапи на обработката и всички отговорни лица по веригата на предоставяне на услуги, свързани с ИТС. Докато някои данни могат да бъдат обменяни и обработвани като анонимни, други данни, дори ако се обменят като неидентифицирани, могат да бъдат свързани с данни, които се отнасят до идентифицирани лица и следователно ще представляват лични данни по смисъла на член 2, буква а) от Директива 95/46/ЕО (21). Като се имат предвид целите, за които ще се използват ИТС, ще бъде трудно да се гарантира, че голяма част от данните, събрани чрез ИТС, ще се обработват като анонимни, тъй като самоличността на лицата ще трябва да се уточни в определен момент за конкретни цели, като фактуриране например. Като резултат, за да се гарантира анонимност в определени области, ще се наложи да бъдат взети конкретни мерки от техническо, организационно и правно естество.

37.

Оперативната съвместимост на приложенията и системите е основен елемент за успешното внедряване на ИТС. Ще се извърши дейност по хармонизация, чрез която ще се определят техническите спецификации на интерфейсите, които да бъдат интегрирани в приложенията и системите, за да се гарантира тяхната оперативна съвместимост с други приложения, внедрени в други видове транспорт и/или системи. Въпреки че оперативната съвместимост на системите ще способства да се улесни предоставянето на редица услуги и ще съдейства за осигуряването на тяхната непрекъснатост в цяла Европа, тя поражда някои рискове от гледна точка на защитата на данните, като рисковете от неправомерно използване или злоупотреба с данни. Всяко свързване на бази данни следва да се осъществява при надлежно спазване на принципите за защита на данните (22) и практическите гаранции за сигурност (вж. също точка III.1.в).

38.

Принципът за качество на данните, формулиран в член 6, буква г) от Директива 95/46/ЕО, е изключително важен в контекста на оперативна съвместимост на приложенията и системите. Техническите спецификации, които трябва да бъдат определени за разработването на интерфейсите, следва да гарантират точността на данните, които ще се получават в резултат на свързването на приложенията и системите.

39.

Като се има предвид, че оперативната съвместимост на системите ще улесни свързването на базите данни и съпоставянето на данните за други цели, ЕНОЗД изтъква, че всяко свързване следва да се осъществи при надлежно отчитане на принципа за ограничаване на целите, установен в член 6, параграф 1, буква б) от Директива 95/46/ЕО. Изключително важно е разработването на архитектурата на системите, свързани с ИТС, да не позволява по-нататъшно използване на данните за цели, различни от тези, за които са били събрани. В системата трябва да се вградят подходящи компоненти за гарантиране на сигурност, за да се предотвратят злоупотреби, неразрешено разкриване или достъп, както и евентуални съпътстващи ефекти, свързани с устройствата. Следва да се предприемат например достатъчно защитни мерки, с цел преносимите устройства да не бъдат достъпни за неупълномощени трети страни и да не могат да се използват за идентифициране и проследяване на лица, освен за целите на системата.

40.

Що се отнася до законността на самото свързване, тя трябва да се оценява за всеки отделен случай, като се има предвид естеството на данните, които се предоставят и обменят чрез системата, и на целите, за които първоначално са били предназначени тези данни.

41.

Сигурността на личните данни е ключов елемент от внедряването на ИТС. ЕНОЗД приветства факта, че сигурността е изрично упомената в плана за действие и в предложението за директива. Сигурността следва се отчита не само при функционирането на ИТС (в бордовите системи и протокола за комуникация), но също и извън тези рамки — в базите данни, в които се обработват и/или съхраняват данните. За всички етапи на обработката следва да се определят подходящи технически, административни и организационни изисквания, които да осигурят адекватно равнище на сигурност, в съответствие с членове 16 и 17 от Директива 95/46/ЕО (както и членове 4 и 5 от Директива 2002/58/ЕО, когато е уместно).

42.

Определянето на подходящите мерки за сигурност следва да се извърши само след щателна оценка на конкретните цели, за които ще се използват ИТС, и на реда и условията на обработката, която ще се извършва. Във връзка с това ЕНОЗД препоръчва да се извършат оценки на въздействието върху неприкосновеността на личния живот и защитата на данните за конкретните области и/или цели на използване (напр. за ИТС, свързани със сигурността, за системите за управление на товарни превози и др.). Извършването на оценка на въздействието върху неприкосновеността на личния живот и защитата на данните и използването на най-добрите налични техники за неприкосновеност на личния живот и защита на данните ще допринесат за определянето на най-подходящите мерки за сигурност, които са от значение за конкретна обработка.

43.

За да се избегнат различията при предоставянето на услугите, свързани с ИТС, е необходима по-нататъшна хармонизация на реда и условията за тяхното предоставяне. Във връзка с това ЕНОЗД желае да подчертае следните два въпроса, които се нуждаят от по-задълбочено разглеждане от гледна точка на неприкосновеността на личния живот и защитата на данните:

44.

Внедряването на ИТС ще подкрепи развитието на приложения за проследяване и локализиране на стоки и ще предостави възможност за предоставяне на търговски и публични услуги, основаващи се на местоположението на потребителя. Такива услуги ще зависят от използването на технологии като технологиите за спътниково позициониране и радиочестотните идентификатори (23). Системите за навигация, проследяване и локализиране са предназначени да бъдат използвани за различни цели като наблюдение от разстояние на превозни средства и товари по пътищата (напр. при превозите на опасни стоки или живи животни), таксуване на превозното средство въз основа на различни параметри, включително изминато разстояние и точен час (напр. таксуване за пътуване по пътищата, електронни системи за пътно таксуване) и наблюдение на шофьорите за различни цели на правоприлагането като напр. проверка на разрешеното време за шофиране (чрез цифрови тахографи) и налагане на санкции (електронна идентификация на превозното средство).

45.

Използването на локационни технологии поражда особено безпокойство от гледна точка на неприкосновеността на личния живот, тъй като позволява проследяването на шофьорите и събирането на различни данни, свързани с навиците им за шофиране. Както изтъкна работната група по член 29 (24), обработването на данни за местонахождение е особено чувствителна тема, която засяга ключовия въпрос за свободата на движение при запазване на анонимността, и която изисква прилагането на специфични гаранции, с цел да се предотврати евентуалното наблюдение на лица и неправомерното използване на данни.

46.

ЕНОЗД подчертава факта, че използването на локационни технологии трябва да бъде законно, т.е. да се базира на подходящите правни основания, да се извършва за ясни и законни цели и да бъде съразмерно на преследваните цели. Законността на предприетата обработка на данни ще зависи до голяма степен от начина и целите, за които ще се използват локационните технологии. Както изтъкна работната група по член 29 в становището си относно eCall „от гледна точка на защитата на данните не е приемливо тези устройства да бъдат постоянно свързани и това да позволява непрекъснатото следене на превозните средства с оглед на евентуално активиране на устройствата за eCall“ (25). Следователно е много важно да се изяснят допълнително конкретните обстоятелства, при които превозните средства могат да бъдат проследявани, както и какви са последиците за водачите. Във всеки случай използването на локационни технологии следва да е оправдано от законна нужда (напр. наблюдение на превоза на стоки) и тясно ограничено до необходимото. Следователно е важно да се определи точно кои данни за местонахождение се събират, къде и за какъв период се съхраняват, с кого и за какви цели се обменят, както и да се предприемат необходимите мерки за избягване на неправомерно използване и злоупотреба с данните.

47.

Освен това обработването на данни за местонахождение, отнасящи се до потребителите на обществени съобщителни мрежи или обществено достъпни електронни съобщителни услуги, е стриктно регламентирано в член 9 от Директива 2002/58/ЕО. В разпоредбите на този член се съдържа изричното изискване данните за местонахождение да се обработват като се анонимизират или с информираното съгласие на потребителите. Това означава, че потребителите, преди да дадат съгласието си за използване на локационна технология, трябва да получат необходимата информация, включително информация относно вида на данните за местонахождение, които ще се обработват, относно целите и продължителността на обработката и относно това дали данните ще бъдат предоставени на трети страни за целите на предоставянето на услуга с добавена стойност. Трябва да се предвиди възможност при всяко включване в мрежата или при всяко предаване на комуникация, потребителят, като използва безплатно прости средства, да може да откаже временно обработката на данни за местонахождение. Обработването на данни за местонахождение следва да бъде стриктно ограничено до лицата, които действат под ръководството на доставчика на обществени съобщителни мрежи или обществено достъпни електронни съобщителни услуги или, или на трета страна, предоставяща услуга с добавена стойност.

48.

Следва да се приемат допълнителни гаранции, когато данните за местонахождение се събират от превозни средства, използвани със служебна цел, за да се избегне неправомерното ползване на локационната технология за контрол върху служителите. При всички положения обработката следва да се ограничи до данните за местонахождение, събрани в рамките на работното време — което изисква служителите да бъдат в състояние да изключат локационната функция в извънработно време и/или когато ползват превозното средство за лични цели.

49.

Съществува риск третите страни (като застрахователни дружества, работодатели и правоприлагащи органи) да изискват достъп до данните, събрани чрез системите за навигация и проследяване, за законни и конкретни цели (като проследяване на стоки, електронно плащане на пътни такси и др.), за да ги използват за вторични цели като проверка на разрешеното време за шофиране и задължителното време за почивка или контрол върху спазването на правилника за движение и налагане на санкции. Принципно не се разрешава достъп до данните за вторични цели, ако този достъп обслужва цели, които са несъвместими с тези, за които са били събрани данните. Достъп може да се позволи единствено чрез дерогация от този принцип, ако условията за достъпа отговарят на стриктните изисквания, посочени в член 13 от Директива 95/46/ЕО. Във връзка с това достъп до данни за местонахождение се предоставя на трети страни само в съответствие със закона и при необходимата прозрачност, въз основа на правни мерки, които установяват съответните процедури, ред и условия за достъп до данните за конкретни цели и които предоставят на лицата необходимите гаранции в съответствие с последващите цели, за които могат да се използват данните.

50.

Все още няма яснота по въпроса кой ще бъде администратор на данните на различните етапи от обработката. В много от случаите е вероятно доставчиците на услуги, свързани с ИТС, да бъдат администратори на данните, било то самостоятелно при личните данни, обработвани за предоставянето на собствените им услуги, свързани с ИТС, или съвместно — в случаите, когато обработването се извършва с други администратори на данни. Функциите и отговорностите на операторите в изпълнение на различни задачи като администратори на данни или обработващи данни следва да са ясно определени във връзка с всеки етап на обработката (напр. оператор за телекомуникации, който предоставя съобщителни услуги и услуги, свързани с ИТС).

51.

Лицата, изпълняващи функциите на администратори на данни, ще носят отговорност (26) за съответствието на системите и услугите с всички изисквания, свързани със защитата на данните, и по-конкретно за внедряването на системи, които спазват принципа за защита на личния живот още при разработването, които съблюдават принципите за качество на данните и ограничение на целите и които гарантират подходящо равнище на сигурност на данните, както е посочено в точка III.1.

52.

Администраторите на данни ще трябва да осигурят наличието необходимите гаранции на всички нива по веригата на отговорните лица в процеса на внедряване на ИТС. Това по-конкретно ще наложи да се поддържат подходящите договорни отношения с всички заинтересовани страни, участващи в обмена и обработката на данните, което следва да осигури адекватни гаранции за защита на данните (по-конкретно в съответствие с членове 16 и 17 от Директива 95/46/ЕО и членове 4 и 5 от Директива 2002/58/ЕО). Важно е да се отбележи, че от гледна точка на защитата на данните, администраторите на данни трябва да гарантират защитата на данните на всички етапи на обработката, те носят отговорност за обработката и не могат да се освободят от отговорност по силата на договор.

53.

ЕНОЗД приветства предложения план за внедряване на ИТС, представен от Комисията, който има за цел да хармонизира на равнище ЕС засягащите данните процеси, с цел да се улесни предоставянето на услуги, свързани с ИТС, и в който защитата на данните е представена като ключово условие за адекватното внедряване на ИТС в Европа.

54.

ЕНОЗД отбелязва, че предложената директива установява обща рамка, която повдига редица въпроси, свързани с неприкосновеността на личния живот и защитата на данните, като е необходимо те да бъдат разгледани на равнище ЕС и на национално равнище:

55.

ЕНОЗД препоръчва член 6 от предложението да се измени в съответствие с Директива 95/46/ЕО в следния дух:

56.

ЕНОЗД препоръчва още тази консултация да се упомене в съображенията на предложението.

57.

С оглед на посоченото по-горе ЕНОЗД препоръчва органите по защита на данните, по-конкретно чрез работната група по член 29, и ЕНОЗД да участват активно в инициативите, свързани с внедряването на ИТС, чрез консултации на достатъчно ранен етап преди разработването на съответната мярка.