22.6.2011   

BG

Официален вестник на Европейския съюз

C 181/1

1.

На 4 ноември 2010 г. Комисията прие съобщение, озаглавено „Всеобхватен подход за защита на личните данни в Европейския съюз“ (по-нататък наричано „съобщението“) (3). Съобщението бе изпратено на ЕНОЗД за консултация. ЕНОЗД изразява удовлетворение от факта, че Комисията се обърна към него за консултация в съответствие с член 41 от Регламент (ЕО) № 45/2001. Още преди приемането на съобщението на ЕНОЗД беше дадена възможност за неофициални коментари. Някои от тези коментари бяха взети предвид в окончателния текст на документа.

2.

Целта на настоящото съобщение е да представи подхода на Комисията за преразглеждане на правната система на ЕС за защита на личните данни във всички области на дейност на Съюза, като се отчитат по-специално предизвикателствата, произтичащи от глобализацията и новите технологии (4).

3.

ЕНОЗД изразява по принцип удовлетворение от съобщението, тъй като е убеден, че преразглеждане на настоящата правна рамка за защита на личните данни в ЕС е необходимо, за да се гарантира ефективна защита в едно постоянно развиващо се информационно общество. Още в своето становище от 25 юли 2007 г. относно прилагането на Директивата за защита на данните (5) той заключи, че в дългосрочен план промените в Директива 95/46/ЕО изглеждат неизбежни.

4.

Съобщението представлява важна стъпка към такава законодателна промяна, която от своя страна ще бъде най-важното развитие в областта на защита на данните в ЕС след приемането на Директива 95/46/ЕО, считана всеобщо за основен крайъгълен камък на защита на данните в целия Европейски съюз (и по-широко в рамките на Европейското икономическо пространство).

5.

Съобщението предоставя подходящата рамка за добре насочено преразглеждане, също и затова, че посочва, общо казано, основните проблеми и предизвикателства. ЕНОЗД споделя схващането на Комисията, че силна система за защита на данните ще бъде нужна и занапред, въз основа на това, че съществуващите общи принципи на защита на данните са все още валидни в общество, в което се извършват основни промени поради бързото развитие на технологиите и глобализацията. Това налага преразглеждане на съществуващата правна уредба.

6.

В съобщението с право се подчертава, че предизвикателствата са огромни. ЕНОЗД споделя напълно тази констатация и подчертава, че вследствие на това предложените решения трябва да бъдат подобаващо амбициозни и да засилват ефективността на защитата.

7.

В становището се прави оценка на решенията, предложени в съобщението, въз основа на следните два критерия: амбициозност и ефективност. То е, общо взето, положително. ЕНОЗД подкрепя съобщението, но е същевременно критичен по някои аспекти, където според него повече амбициозност би довела до по-ефективна система.

8.

ЕНОЗД си поставя за цел да допринесе с настоящото становище за по-нататъшното развитие на правната рамка за защита на данните. Той очаква предложението на Комисията, предвидено за средата на 2011 г., и се надява, че предложенията му ще бъдат взети предвид при изготвянето на това предложение. Той отбелязва също така, че съобщението, както изглежда, изключва някои области, като обработка на данните от институциите и органите на ЕС, от общия инструмент. Ако Комисията реши наистина да остави настрана някои области на този етап — за което ЕНОЗД би съжалявал, той настоява тя да поеме задължението да изгради напълно цялостна архитектура в краткосрочна и уточнена времева рамка.

9.

Настоящото становище не е изолирано. То се основава на предшестващи мнения, изразени от ЕНОЗД и европейските органи за защита на данните по различни поводи. Трябва по-специално да се подчертае, че във вече посоченото становище на ЕНОЗД от 25 юли 2007 г. бяха идентифицирани и разработени някои основни елементи за бъдещи промени (6). То се основава също на обсъждания с други заинтересовани страни в областите на неприкосновеността на личния живот и защитата на данните. Техният принос беше много полезен както за съобщението, така и за настоящото становище. В това отношение може да се заключи, че е налице известна степен на полезно взаимодействие относно начините за повишаване на ефективността на защитата на данните.

10.

Друг важен компонент на настоящото становище е документът, озаглавен „Бъдещето на неприкосновеността на личния живот“, съвместен принос на работната група за защита на данните по член 29 и работната група по полицейско и съдебно сътрудничество към консултацията, започната от Европейската комисия през 2009 г. (по-нататък наричан „документът на РГ за бъдещето на неприкосновеността на личния живот“) (7).

11.

Неотдавна, на пресконференция, състояла се на 15 ноември 2010 г., ЕНОЗД представи първите си реакции на настоящото съобщение. Настоящото становище излага подробно по-общите мнения, изказани на тази пресконференция (8).

12.

Накрая, настоящото становище ползва някои предшестващи становища на ЕНОЗД, както и документи на работната група за защита на данните по член 29. Позовавания на тези становища и документи могат да се намерят на различни места в настоящото становище, където това е уместно.

13.

Преразглеждането на правилата за защита на данните става в много важен исторически момент. Съобщението описва контекста обширно и по-убедителен начин. Въз основа на това описание ЕНОЗД идентифицира четирите основни фактора, определящи средата, в която се извършва преразглеждането.

14.

Първият фактор е развитието на технологиите. Днешните технологии не са такива, каквито са били при приемането на Директива 95/46/ЕО. Технологични постижения като изчислителни облаци, поведенческо рекламиране, социални мрежи, събиране на пътна такса и устройства за геолокализиране промениха основно начина, по който се обработват данните и поставят защитата на данните пред огромни предизвикателства. Преразглеждането на европейските правила за защита на данните ще трябва да се справи ефективно с тези предизвикателства.

15.

Вторият фактор е глобализацията. Постепенното премахване на търговските бариери придаде на предприятията все по-глобално измерение. Трансграничната обработка и международните предавания на данни се увеличиха неимоверно през последните години. Освен това обработката на данни се разпространи повсеместно поради информационните и комуникационните технологии: Интернет и изчислителните облаци дадоха възможност за необвързана с мястото обработка на големи количества данни в световен мащаб. Последното десетилетие стана също свидетел на разрастване на полицейските и съдебните действия за борба срещу тероризма и други форми на международната организирана престъпност, подпомогнати от огромен обмен на информация за целите на правоприлагането. Всичко това изисква сериозно обсъждане на начините за ефективна защита на личните данни в днешния глобализиран свят, без да се създават съществени пречки за международните дейности по обработката.

16.

Третият фактор е Лисабонският договор. Влизането в сила на Лисабонския договор отбелязва нова ера в областта на защита на данните. Член 16 от ДФЕС гарантира не само индивидуалните права на лицата, за които се събират данни, но и предоставя пряка правна основа за силно законодателство за защита на данните в целия ЕС. Освен това отмяната на структурата от стълбове задължава Европейския парламент и Съвета да предвидят защита на данните във всички области на правото на ЕС. С други думи, тя дава възможност за всеобхватна правна рамка за защита на данните, приложима в частния сектор, в публичния сектор в държавите-членки и в институциите и органите на ЕС. Стокхолмската програма (9) последователно заявява в тази връзка, че Съюзът трябва да осигури цялостна стратегия за защита на данните на територията на ЕС и в неговите отношения с трети страни.

17.

Четвъртият фактор се състои в успоредни процеси на развитие, протичащи в международните организации. Продължават разни дискусии по модернизирането на настоящите правни инструменти за защита на данните. Важно е да се посочат в това отношение настоящите обсъждания за предстоящото преразглеждане на Конвенция 108 на Съвета на Европа (10) и Основните насоки на ОИСР за защитата на личния живот (11). Друго важно развитие се отнася до приемането на международни стандарти за защита на личните данни и неприкосновеността на личния живот, които може евентуално да доведат до приемането на обвързващ глобален инструмент за защита на данните. Всички тези инициативи заслужават пълна подкрепа. Тяхната обща цел трябва да бъде гарантиране на ефективна и последователна защита в задвижвана от технологиите и глобализирана околна среда.

18.

Силната рамка за защита на данните е необходимо следствие от значението, което Лисабонският договор отдава на защитата на данните, по-специално в член 8 от Хартата на основните права на Съюза и член 16 от ДФЕС, както и силно изразената връзка с член 7 на хартата (12).

19.

Силната рамка за защита на данните служи обаче и на по-широките публични и частни интереси в информационното общество с повсеместна обработка на данни. Защитата на данните укрепва доверието, а доверието е съществено важен елемент на доброто функциониране на нашето общество. От голямо значение е разпоредбите за защита на данните да бъдат съставени по такъв начин, че — в максимално възможна степен — да подкрепят активно, а не да пречат на други законни права и интереси.

20.

Важни примери за други законни интереси са силната европейска икономика, сигурността на лицата, както и отчетността на правителствата.

21.

Икономическото развитие в ЕС върви ръка за ръка с въвеждането и пускането на пазара на нови технологии и услуги. В информационното общество появата и успешното внедряване на информационни и комуникационни технологии и услуги зависи от доверието. Ако хората нямат доверие на ИКТ, тези технологии вероятно ще претърпят провал (13). А хората ще имат доверие в ИКТ само ако данните им за ефикасно защитени. Ето защо защитата на данните следва да бъде неразделна част от технологиите и услугите. Силната рамка за защита на данните укрепва европейската икономика, при условие че тази рамка е не само силна, но и правилно изградена. В тази перспектива по-нататъшната хармонизация в ЕС и минимизирането на административните тежести са от съществено значение (вж. глава 5 от настоящото становище).

22.

Много беше казано през последните години за необходимостта от намиране на баланс между неприкосновеността на личния живот и сигурността, по-специално във връзка с инструментите за обработка и обмен на данни в областта на полицейското и съдебното сътрудничество (14). Твърде често защитата на данните беше погрешно окачествявана като пречка за пълната защита и физическата сигурност на лицата (15) или поне като неизбежно условие, което трябва да бъде изпълнявано от правоприлагащите органи. С това обаче нещата не се изчерпват. Силната рамка за защита на данните може да повиши и да засили сигурността. Въз основа на принципите на защита на данните, когато те бъдат приложени добре, администраторите са длъжни да гарантират, че информацията е точна и актуална и че излишните лични данни, които не са необходими за правоприлагането, ще бъдат елиминирани от системата. Може да се посочат също задълженията за прилагане на технологични и организационни мерки за гарантиране на сигурността на системи, като системите за защита срещу неразрешено оповестяване или достъп, разработени в областта на защитата на данни.

23.

Спазването на принципите на защита на данните може освен това да гарантира, че правоприлагащите органи ще работят на принципите на правовата държава, което създава доверие към тяхното поведение и следователно укрепва в по-широк смисъл доверието в нашите общества. Съдебната практика, установена в съответствие с член 8 от Европейската конвенция за защита на правата на човека, гарантира, че полицейските и съдебните власти могат да обработват всички данни, свързани с тяхната работа, но не неограничено. Защитата на данните изисква система за насрещни проверки (за полицията и съдебната власт вж. глава 9 от настоящото становище).

24.

В демократичните общества правителствата носят отговорност за всички свои действия, включително за използването на лични данни за различните публични интереси, на които служат. То варира от публикуване на данни по интернет от съображения за прозрачност до използването на данни за осъществяване на политики в области като обществено здравеопазване, транспорт или данъчно облагане или наблюдението на лица за целите на правоприлагането. Силната рамка за защита на данните дава възможност на правителствата да спазват своите задължения и да носят отговорност като част от доброто управление.

25.

В съобщението правилно се изтъква, че един от съществените недостатъци на настоящата рамка е, че тя предоставя на държавите-членки твърде голяма свобода на действие при прилагането на европейските разпоредби в националното законодателство. Липсата на хармонизация води до редица отрицателни последици в информационното общество, където физическите граници между държавите-членки имат все по-малко значение (вж. глава 5 от настоящото становище).

26.

Първата и по-формална причина, поради която общите принципи на защитата на данни не трябва и не може да се променят, е от правно естество. Тези принципи са изложени в Конвенция 108 на Съвета на Европа, която е задължителна за всички държави-членки. Тази конвенция е основата на защитата на данни в ЕС. Освен това някои от основните принципи са изрично посочени в член 8 от Хартата на основните права на Съюза. Следователно изменението на тези принципи би наложило промени в Договорите.

27.

С това обаче нещата не се изчерпват. Има и съществени причини да не се изменят общите принципи. ЕНОЗД е твърдо убеден, че информационното общество не може и не бива да функционира без достатъчна защита на неприкосновеността на личния живот и на личните данни на лицата. Когато се обработва повече информация, необходима е и по-добра защита. Информационното общество, в което се обработва изобилна информация за всеки човек, трябва да е изградено на принципа на контрол от страна на физическото лице, за да му се даде възможност да действа като индивид и да използва свободите си в едно демократично общество, като свобода на изразяването и на словото.

28.

Трудно е освен това да си представим контрол от страна на лицето без задължения на администраторите да ограничават обработката в съответствие с принципите на необходимост, пропорционалност и ограничаване в рамките на целта. Също така трудно е да си представим контрол от страна на лицето при отсъствието на признати права на лицата, за които се събират данни, като право на достъп, поправяне, заличаване или блокиране на данни.

29.

ЕНОЗД подчертава, че защитата на данни е призната като основно право. Това не означава, че защитата на данни трябва да има винаги предимство пред други важни права и интереси в едно демократично общество, но тя води до последици относно естеството и обхвата на защитата, която трябва да бъде осигурена с правна рамка на ЕС, за да се гарантира, че изискванията за защита на данни винаги се вземат адекватно предвид.

30.

Тези основни последици могат да бъдат определени, както следва:

ЕНОЗД препоръчва на Комисията да има предвид тези последици, когато предлага законодателни решения.

31.

Съобщението правилно поставя ударението върху необходимостта от укрепване на съществуващата правна уредба за защита на данните. В този контекст е уместно да се напомни, че в документа на РГ за бъдещето на неприкосновеността на личния живот (17) органите за защита на данните подчертаха необходимостта от засилване на ролите на различните фактори в областта на защита на данните, а именно на лицата, за които се събират данни, администраторите на лични данни и самите надзорни органи.

32.

Очевидно е налице широко съгласие между заинтересованите страни, че по-силната правна уредба, отчитаща технологичните аспекти на развитието и глобализацията, има ключово значение за амбициозната и ефективна защита на данните и в бъдеще. Както бе вече отбелязано в съображение 7, това са критериите за оценката от страна на ЕНОЗД на всякакви предложени решения.

33.

Както се напомня в съобщението, Директива 95/46/ЕО се прилага към всички дейности по обработка на лични данни в държавите-членки в публичния и в частния сектор, с изключение на дейностите, попадащи извън обхвата на предишното право на Общността (18). Това изключение беше необходимо съгласно предишния Договор, но това не е вече така след влизането в сила на Лисабонския договор. Освен това изключението противоречи — на текста и във всеки случай на духа — на член 16 от ДФЕС.

34.

Според ЕНОЗД един всеобхватен правен инструмент за защита на данните, включително за полицейското и съдебното сътрудничество по наказателноправни въпроси, трябва да се разглежда като основното усъвършенстване, което може да даде една нова правна рамка. Той е conditio sine qua non за ефективна защита на данните в бъдеще.

35.

В подкрепа на това изявление ЕНОЗД изтъква следните доводи:

36.

Включването на полицията и съдебната система в общия правен инструмент не само ще даде повече гаранции на гражданите, но и ще улесни задачата на полицейските органи. Задължението да се прилагат различни набори от правила е обременително, ненужно времепоглъщащо и пречи на международното сътрудничество (вж. глава 9 от настоящото становище). Това също говори в полза на включване на дейностите по преработката от националните служби по сигурност, доколкото това е възможно, в съществуващото законодателство на ЕС.

37.

Периодът след приемането на Директива 95/46/ЕО през 1995 г. може да се окачестви като технологично бурен. Често се въвеждат нови технологични разработки и устройства. В много случаи това доведе до основни промени в начина, по който се обработват личните данни на физически лица. Информационното общество не може вече да бъде разглеждано като паралелна среда, в която отделният човек може да участва на доброволна основа, а е станало неразделна част от нашия всекидневен живот. Само един пример: идеята за „Интернет на нещата“ (22) установява връзки между физически обекти и свързаната с тях онлайн информация.

38.

Технологията ще продължи да се развива. Това се отразява на новата правна рамка. Тя трябва да остане ефективна в течение на повече години, като същевременно не спъва по-нататъшните процеси на технологично развитие. Това налага правната уредба да бъде технологично неутрална. Рамката трябва обаче да даде също така повече правна сигурност на фирмите и на физическите лица. Те трябва да разберат какво се очаква от тях и да могат да упражняват своите права. Това налага правната уредба да бъде точна.

39.

ЕНОЗД счита, че новият правен инструмент за защита на данните трябва, в рамките на възможното, да бъде формулиран по неутрален в технологично отношение начин. Това предполага правата и задълженията на различните субекти да бъдат формулирани по общ и неутрален начин, така че да останат по принцип валидни и приложими, независимо от технологията, избрана за обработка на личните данни. Няма друг изход, като се има предвид бързият темп на технологичния напредък днес. ЕНОЗД предлага да бъдат въведени нови „технологично неутрални“ права в допълнение към съществуващите принципи на защита на данните, които може да се окажат особено важни в бързо променящата се електронна среда (вж. главно глави 6 и 7).

40.

Директива 95/46/ЕО беше основният документ в областта на защита на данните в ЕС през последните 15 години. Тя бе въведена в законодателствата на държавите-членки и прилагана от различните субекти. С течение на годините прилагането ѝ се обогати от практически опит и от допълнителни насоки от страна на Комисията, на органите за защита на данните (на национално равнище и в рамките на работната група по член 29) и на националните и европейските съдилища.

41.

Добре е да се подчертае, че тези развития се нуждаят от време и че (особено поради това, че имаме работа с обща рамка за осъществяване на основно право) това време е необходимо за създаването на правна сигурност и стабилност. Трябва да се изготви нов общ правен инструмент с амбицията той да бъде в състояние да създаде правна сигурност и стабилност за по-дълъг период от време, като не се забравя, че е много трудно да се предскаже по-нататъшното развитие на технологията и на глобализацията. Във всички случаи ЕНОЗД подкрепя напълно целта да се създаде правна сигурност за по-дълъг период от време в сравнение с обхвата на Директива 95/46/ЕО. Казано накратко, когато технологията се развива с бързо темпо, законодателството трябва да бъде стабилно.

42.

В краткосрочен план е много важно да се гарантира ефективността на съществуващата правна уредба, на първо място, като ударението се постави върху правоприлагането на национално и европейско равнище (вж. глава 11 от настоящото становище).

43.

ЕНОЗД подкрепя напълно всеобхватния подход към защита на данните, който е не само надслов, но и отправна точка на съобщението и по необходимост включва разширяването на общите правила за защита на данните с полицейското и съдебното сътрудничество по наказателноправни въпроси (23).

44.

Той обаче отбелязва също така, че Комисията не възнамерява да включи всички дейности по обработката на данни в този общ правен инструмент. По-специално, няма да бъде включена обработката на данни от институциите, органите, службите и агенциите на ЕС. Комисията заявява само, че „ще оцени необходимостта от адаптиране на други правни инструменти към новата обща рамка за защита на личните данни“.

45.

ЕНОЗД изразява определеното си предпочитание за включване на обработката на равнището на ЕС в общата правна рамка. Той напомня, че това е било първоначалното намерение на предишния член 286 от ДЕО, където за първи път в Договора става дума за защита на данните. В член 286 от ДЕО просто се заявява, че правните инструменти за обработката на лични данни ще се прилагат и към институциите. Още по-важно е, че с един правен текст се избягва рискът от несъответствия между разпоредбите и той ще бъде най-подходящ за обмен на данни между равнището на ЕС и публичните и частните субекти в държавите-членки. С него ще се избегне също рискът след изменението на Директива 95/46/ЕО да отпадне интересът от изменение на Регламент (ЕО) № 45/2001 или на тези промени да не се даде нужният приоритет, за да се избегнат несъответствия по отношение на датите на влизане в сила.

46.

ЕНОЗД настоява Комисията, ако тя стигне до заключение, че включването на обработката на равнището на ЕС в общия правен инструмент няма да бъде възможно, да поеме задължението да предложи адаптиране на Регламент (ЕО) № 45/2001 (не „да оцени необходимостта“) във възможно най-кратък срок, за предпочитане до края на 2011 г.

47.

Също тъй важно е Комисията да гарантира, че няма да изостанат други области, и по-специално:

48.

Накрая, към общия правен инструмент за защита на данните може и вероятно трябва да бъдат добавени допълнителни секторни и специфични разпоредби, например за полицейското и съдебното сътрудничество, но и за други области (25). При необходимост и в съответствие с принципа на субсидиарност тези допълнителни разпоредби следва да бъдат приети на равнището на ЕС. Държавите-членки могат да изготвят допълнителни разпоредби в специфични области, където има основание за това (вж. 5.2).

49.

Хармонизацията е от първостепенно значение за законодателството на ЕС за защита на данните. В съобщението правилно се изтъква, че защитата на данните има ясно изразено измерение, свързано с вътрешния пазар, тъй като тя трябва да гарантира свободното движение на лични данни между държавите-членки в рамките на вътрешния пазар. Степента на хармонизация съгласно настоящата директива е оценена обаче като незадоволителна. Съобщението признава, че това е една от основните и често възникващи причини за безпокойство на заинтересованите страни. По-специално заинтересованите страни подчертават необходимостта от увеличаване на правната сигурност, намаляване на административната тежест и гарантиране на равнопоставени условия на конкуренция за икономическите оператори. Както правилно отбелязва Комисията, това важи в особена степен за администраторите на лични данни, установени в няколко държави-членки и задължени да се съобразяват с изискванията (които може да са различни) на националните законодателства за защита на данните (26).

50.

Хармонизацията е важна не само за вътрешния пазар, но и с оглед на осигуряването на достатъчна защита на данните. В съответствие с член 16 от ДФЕС „всеки“ има право на защита на личните данни, които се отнасят до него. За да бъде ефективно спазено това право, трябва да се гарантира еднаква степен на защита в целия ЕС. В документа на РГ за бъдещето на неприкосновеността на личния живот се подчертава, че няколко разпоредби, свързани с положението на лицата, за които се събират данни, не са били приложени или изтълкувани еднакво във всички държави-членки (27). В глобализирания и взаимно свързан свят тези различия може да попречат или да ограничат защитата на физическите лица.

51.

ЕНОЗД счита, че по-нататъшната и по-добрата хармонизация е една от главните цели на процедурата за преразглеждане. ЕНОЗД приветства поетото от Комисията задължение да разгледа начините за постигане на по-нататъшна хармонизация на правилата за защита на данните на равнището на ЕС. Той обаче отбелязва с известна изненада, че на този етап Комисията не е предложила конкретни варианти. Ето защо ЕНОЗД посочва сам няколко области, където е най-спешно да се постигне по-голямо унифициране (вж. 5.3). По-нататъшната хармонизация в тези области следва да се постигне не само чрез намаляване на свободата на действие на националното законодателство, но и чрез предотвратяване на неправилното прилагане от държавите-членки (вж. също глава 11) и осигуряване на по-последователно и съгласувано правоприлагане (вж. също глава 10).

52.

Директивата съдържа някои разпоредби, които са широко формулирани и поради това оставят значително място за различно прилагане. В съображение 9 на директивата изрично е потвърдено, че на държавите-членки се дава известна свобода на действие и че в рамките на тази свобода на действие биха могли да възникнат несъответствия при прилагането на директивата. Няколко разпоредби са приложени различно от държавите-членки, в това число някои съществено важни разпоредби (28). Това положение е незадоволително и трябва да се търси по-голямо унифициране.

53.

Това не значи, че различията следва да бъдат изключени напълно. В някои области може да е необходима гъвкавост, с цел да бъдат запазени обосновани особености, важни публични интереси или институционалната автономия на държавата-членка. Според ЕНОЗД мястото за различия между държавите-членки следва да се ограничи по-специално до следните специфични ситуации:

54.

Определения (член 2 от Директива 95/46/ЕО). Определенията са крайъгълният камък на правната система и следва да бъдат еднакво тълкувани в държавите-членки, без свобода на действие при прилагането. При настоящата рамка възникнаха несъответствия, например във връзка с понятието „администратор“ (29). ЕНОЗД предлага към настоящия списък в член 2 да се добавят нови определения, с оглед да се създаде по-голяма правна сигурност, като например анонимни данни, псевдоанонимни данни, съдебни данни, предаване на данни и длъжностно лице за защита на данните.

55.

Законност на обработването (член 5). Новият правен инструмент следва да бъде максимално точен по отношение на основните елементи, определящи законността на обработването на данни. Член 5 от директивата (както и съображение 9), даващ право на държавите-членки да определят по-точно условията, при които обработването на данни е законно, може поради това да не е вече необходим в бъдещата рамка.

56.

Основания за обработването на данни (членове 7 и 8). Определянето на условията за обработването на данни е съществен елемент на всеки законодателен акт за защита на данните. На държавите-членки не трябва се дава възможност да въвеждат допълнителни или изменени основания за обработване или да изключват някое от тях. Възможността за дерогации следва да бъде изключена или ограничена (по-специално по отношение на чувствителните данни (30)). В новия правен инструмент основанията за обработването на данни следва да бъдат ясно формулирани, което ще намали свободата на преценка при изпълнението или правоприлагането. По-специално понятието „съгласие“ може да се нуждае от допълнително уточняване (вж. раздел 6.5). Освен това основанието, почиващо на законните интереси на администратора на лични данни (член 7, буква е)), дава възможност за много различни тълкувания поради гъвкавостта си. Необходимо е допълнително уточнение. Друга разпоредба, която се налага да бъде евентуално уточнена, е член 8, параграф 2, буква б), който разрешава обработването на чувствителни данни, необходимо за целите на изпълнението на задълженията и специфичните права на администратора в областта на трудовото право (31).

57.

Права на лицата, за които се събират данни (членове 10—15). Това е една от областите, в които не всички елементи на директивата се прилагат и тълкуват последователно от държавите-членки. Правата на лицата, за които се събират данни, са централен елемент за ефективна защита на данните. Следователно свободата на действие следва да бъде значително намалена. ЕНОЗД препоръчва информацията, предоставяна от администратора на лицата, за които се събират данни, да бъде една и съща в целия ЕС.

58.

Международни предавания на данни (членове 25—26). Това е област, която предизвика множество критики поради липсата на единна практика на територията на ЕС. Заинтересованите страни критикуваха, че решенията на Комисията за достатъчност се тълкуват и прилагат много различно от държавите-членки. Задължителните фирмени правила (ЗФП) са друг елемент, по отношение на който ЕНОЗД препоръчва по-нататъшна хармонизация (вж. глава 9).

59.

Национални органи за защита на данните (член 28). Към националните ОЗД се прилагат силно различаващи се правила в 27-те държави-членки, по-специално във връзка със статута, ресурсите и правомощията им. Член 28 допринесе отчасти за тези различия поради недостатъчната си точност (32) и следва да бъде уточнен допълнително в съответствие с решението на Съда на Европейския съюз по дело C-518/07 (33) (вж. по-нататък глава 10).

60.

Изискванията за уведомяване (членове 18—21 от Директива 95/46/ЕО) са друга област, в която на държавите-членки е била предоставена досега значителна свобода. В съобщението правилно се признава, че хармонизираната система би намалила разходите, както и административната тежест за администраторите на лични данни (34).

61.

Това е област, в която опростяването следва да бъде основна цел. Преразглеждането на рамката за защита на данните е единствена по рода си възможност за по-нататъшно опростяване и/или намаляване на обхвата на настоящите изисквания за уведомяване. Съобщението признава, че по общо съгласие на заинтересованите страни настоящата система за уведомяване е доста обременителна и не дава, сама по себе си, допълнителна стойност за защитата на личните данни на физическите лица (35). Ето защо ЕНОЗД приветства поетото от Комисията задължение да проучи различни възможности за опростяване на настоящата система за уведомяване.

62.

Според него изходната точка за това опростяване ще бъде преминаване от система, в която уведомяването е правило, ако не е предвидено друго (т.е. „система за освобождаване“) към една по-целенасочена система. Системата за освобождаване се оказа неефикасна, тъй като бе приложена непоследователно в различните държави-членки (36). ЕНОЗД предлага да бъдат разгледани следните алтернативи:

Освен това може да се въведе стандартен общоевропейски формуляр за уведомяване, с оглед да се осигури хармонизиран подход по отношение на исканата информация.

63.

Преразглеждането на настоящата система за уведомяване следва да се направи, без да се засяга подобряването на задълженията за предварителна проверка за определени задължения за обработване, за които може да се очаква, че ще представляват специфични рискове (като например крупни информационни системи). ЕНОЗД е за включване в новия правен инструмент на неизчерпателен списък на случаите, при които се изисква такава предварителна проверка. Регламент (ЕО) № 45/2001 относно защитата на лицата по отношение на обработката на лични данни от институции и органи на ЕС предоставя полезен образец за тази цел (37).

64.

Накрая ЕНОЗД счита, че процедурата на преразглеждане е също възможност да се преразгледа видът на правния инструмент за защита на данните. Регламентът като единен инструмент, който е пряко приложим в държавите-членки, е най-ефективният начин да се защити основното право на защита на данните и да се създаде реален вътрешен пазар, в който личните данни могат да се движат свободно и в който степента на защита е еднаква, независимо от държавата или от сектора, където данните се обработват.

65.

Един регламент би намалил мястото за противоречиви тълкувания и необосновани различия при изпълнението и прилагането на законодателството. Той би намалил също значението на определяне на законодателството, приложимо към операциите на обработване на територията на ЕС, което е един от най-спорните аспекти на настоящата система (вж. глава 9).

66.

В сферата на защитата на данни изборът на регламент е още по-обоснован, тъй като:

67.

Изборът на регламент като общ инструмент дава при необходимост възможност за разпоредби, насочени пряко към държавите-членки, където е нужна гъвкавост. Той освен това не засяга компетенцията на държавите-членки да приемат допълнителни правила за защита на данните, когато това е необходимо, в съответствие с правото на ЕС.

68.

ЕНОЗД подкрепя напълно съобщението, когато то предлага засилване на правата на физическите лица, тъй като съществуващите правни инструменти не осигуряват напълно ефективната защита, необходима в един все по-сложен дигитализиран свят.

69.

От друга страна, развитието на дигитализиран свят води до рязко нарастване на събирането, използването и по-нататъшното предаване на лични данни по изключително сложен и непрозрачен начин. Физическите лица често не знаят или не разбират как става това, кой събира техните данни, нито как да упражняват контрол. Пример за това явление е мониторинга от страна на доставчици на рекламни мрежи на търсенията на физическите лица в мрежата с помощта на „бисквитки“ или други подобни похвати за целите на целевото рекламиране. Когато потребителите посещават интернет страници, те не очакват невидима трета страна да се включва в тези посещения и да създава регистри на потребителите въз основа на информация за техния начин на живот или на това какво харесват и какво не харесват.

70.

От друга страна, развитието насърчава физическите лица да споделят проактивно своята лична информация, например в социалните мрежи. Все повече млади хора участват в социални мрежи и взаимодействат със свои връстници. Съмнително е дали тези (млади) хора съзнават мащаба на разкриваните от тях данни и дългосрочните последици от действията си.

71.

Прозрачността е от първостепенна важност при всеки режим за защита на данните, не само поради присъщата си стойност, но и защото дава възможност да бъдат приложени други принципи на защита на данните. Само ако физическите лица познават обработването на данни, те ще могат да упражняват правата си.

72.

Няколко разпоредби в Директива 95/46/ЕО са посветени на прозрачността. Членове 10 и 11 включват задължение за предоставяне на информация на физическите лица за събирането на техни лични данни. Освен това в член 12 се признава правото на лицето да получи копие от личните си данни в разбираема форма (право на достъп). В член 15 се признава правото на лицето да има достъп до логиката, по която се вземат автоматизирани решения, водещи до правни последици. Накрая, но не на последно място по значение, член 6, параграф 1, буква а), изискващ обработването да бъде справедливо, също включва изискване за прозрачност. Личните данни не могат да се обработват по скрити или тайни причини.

73.

Съобщението предлага да се добави общ принцип на прозрачност. В отговор на това предложение ЕНОЗД подчертава, че идеята за прозрачност е вече неразделна част от настоящата правна рамка за защита на данните, макар да не е изрично формулирана. Такъв извод може да се направи въз основа на различните разпоредби, уреждащи прозрачността, както е посочено в предходното съображение. Според ЕНОЗД добавена стойност може да се получи чрез включване на изричен принцип на прозрачността, било със или без връзка със съществуващата разпоредба за справедливо обработване. Това ще увеличи правната сигурност и ще потвърди, че администраторът трябва при всички обстоятелства да обработва личните данни по прозрачен начин — не само при поискване или когато конкретна правна разпоредба го задължава да прави това.

74.

Все пак по-важно може би е да се засилят съществуващите разпоредби, свързани с прозрачността, като настоящите членове 10 и 11 от Директива 95/46/ЕО. В тези разпоредби е указано каква информация се предоставя, но те не уточняват начините. По-конкретно ЕНОЗД предлага засилване на съществуващите разпоредби с добавянето на:

75.

ЕНОЗД подкрепя въвеждането в общия инструмент на разпоредба за уведомяване при нарушения на сигурността на личните данни, която разширява задължението, включено в преразгледаната Директива за правото на неприкосновеност на личния живот и електронни комуникации за някои доставчици, като го отнася до всички администратори на лични данни, както се предлага в съобщението. Съгласно преразгледаната Директива за правото на неприкосновеност на личния живот и електронни комуникации задължението се прилага само за доставчици на електронни съобщителни услуги (доставчици на телефонни (включително VoIP) услуги и достъп до интернет. Други администратори на лични данни не попадат в обхвата на това задължение Причините, които обосновават задължението, се отнасят напълно и до администраторите на лични данни, които не са доставчици на електронни съобщителни услуги.

76.

Уведомяването при нарушения на сигурността служи на различни цели. Най-очевидната от тях, подчертана от Комисията, е да служи като информационен инструмент за уведомяване на физическите лица относно рисковете, на които се излагат, когато се злоупотребява с личните им данни. Това може да им помогне да вземат необходимите мерки за намаляване на тези рискове. Например когато бъдат предупредени за нарушения, засягащи финансовите им данни, физическите лица ще могат, наред с други неща, да сменят паролите си или да закрият своите сметки. Освен това уведомяването при нарушения на сигурността допринася за ефективното прилагане на други принципи и задължения съгласно директивата. Така например изискванията за уведомяване при нарушения на сигурността са стимул за администраторите на лични данни да прилагат по-строги мерки за сигурност, за да се избягват нарушения. Това уведомяване е също така инструмент за засилване на отговорността на администраторите на лични данни и по-специално за повишаване на отчетността (вж. глава 7). Накрая, то служи като инструмент за правоприлагане от страна на органите за защита на данните (ОЗД). Уведомяването на ОЗД за нарушения може да доведе до проверка на общите практики на администратора на лични данни.

77.

Специфичните правила относно нарушенията на сигурността в преразгледаната Директива за правото на неприкосновеност на личния живот и електронни комуникации бяха широко обсъдени по време на парламентарния етап на законодателната рамка, предшествал приемането на директивата. При тези обсъждания становищата на работната група по член 29 и ЕНОЗД бяха взети предвид заедно с мненията на други заинтересовани страни. Правилата отразяват схващанията на различни заинтересовани страни. Те представляват баланс на интереси: докато критериите, пораждащи задължението за уведомяване, са по принцип достатъчни за защита на физическите лица, те правят това, без да налагат прекалено обременителни и безполезни изисквания.

78.

В член 7 от Директивата за защита на данните са изброени шест правни основания за обработването на лични данни. Съгласието на физическото лице е едно от тях. Администраторът на лични данни може да обработва лични данни само ако физическите лица са дали информирано съгласие данните им да бъдат събрани и след това обработени.

79.

На практика потребителите често имат ограничен контрол върху своите данни, преди всичко в технологична среда. Един от използваните понякога начини е този на мълчаливото съгласие, т.е. на направен извод за съгласие. Той може да бъде направен от действие на лицето (напр. действието, състоящо се в използване на даден уебсайт, се тълкува като съгласие за записване на данните на потребителя за търговски цели). Той може да се направи и от мълчание или бездействие (неизтриване на маркировката на отбелязано поле се счита за съгласие).

80.

В съответствие с директивата, за да бъде съгласието валидно, то трябва да е информирано, дадено свободно и конкретно. То трябва да се състои в информирано посочване на желанията на физическото лице, с което то дава израз на съгласието си да бъдат обработени личните данни, отнасящи се до него. Начинът, по който се дава съгласието, трябва да бъде недвусмислен.

81.

Съгласието, за което е направен извод от дадено действие и, още повече, от мълчание или бездействие, често пъти не е недвусмислено съгласие. Невинаги е ясно обаче какво точно е истинско, недвусмислено съгласие. Някои администратори на лични данни използват тази несигурност, като разчитат на начини, които не са подходящи за даване на истинско, недвусмислено съгласие.

82.

Имайки предвид гореизложеното, ЕНОЗД подкрепя Комисията относно необходимостта да бъдат изяснени границите на съгласието и да се гарантира, че само съгласие, изразено по твърд начин, се приема като такова. В този контекст ЕНОЗД предлага следното (39):

83.

Преносимостта на данните и правото да бъдеш забравен са два взаимно свързани принципа, предложени в съобщението за засилване на правата на лицата, за които се събират данни. Те са допълващи към принципите, посочени вече в директивата, като предоставят право на лицето, за което се събират данни, да възрази против по-нататъшното обработване на данните му и задължение за администратора на лични данни да заличи информацията, когато тя не е вече необходима за целите на обработването.

84.

Тези две нови понятия имат добавена стойност най-вече в контекста на информационното общество, в което все повече данни се съхраняват автоматично и се пазят за неопределени периоди от време. Практиката показва, че дори ако данните са въведени от самото лице, за което се събират данни, степента на контрол, който то ефективно има върху своите лични данни, е на практика много ограничена. Казаното е още по-вярно, като се има предвид гигантската памет, която представлява днес интернет. Освен това от икономическа гледна точка за администратора на лични данни е по-скъпоструващо да заличава данните, отколкото да ги съхранява. Ето защо упражняването на правата на физическите лица е противопоставено на естествената икономическа тенденция.

85.

Както преносимостта на данните, така и правото да бъдеш забравен могат да допринесат за промяна на баланса в полза на лицата, за които се събират данни. Целта на преносимостта на данните ще бъде да се предостави повече контрол на лицето върху неговата информация, докато правото да бъдеш забравен ще осигури автоматичното заличаване на информацията след определен период от време, дори ако лицето, за което се събират данни, не предприеме нищо или дори не знае, че данните са били изобщо съхранени.

86.

По-конкретно преносимостта на данните се разбира като възможност на потребителите да променят предпочитанията си относно обработването на техните данни във връзка, по-специално, с новите технологични услуги. Това все повече се отнася до услуги, които предполагат съхранение на информация, включително на лични данни, като мобилната телефония, и услуги, които съхраняват снимки, електронни писма и друга информация, използвайки понякога изчислителни облаци.

87.

Физическите лица трябва да могат лесно и свободно да сменят доставчика и да предават личните си данни на друг доставчик на услуги. ЕНОЗД счита, че съществуващите права, установени в Директива 95/46/ЕО, могат да бъдат засилени чрез включване на право на преносимост, по-специално в контекста на услугите на информационното общество, за да се помогне на физическите лица да са сигурни, че доставчиците и другите администратори ще им предоставят достъп до личната им информация, като същевременно се гарантира, че предишните доставчици или други администратори ще заличат тази информация, дори ако биха желали да я запазят за свои собствени правомерни цели.

88.

Едно новоформулирано „право да бъдеш забравен“ ще гарантира заличаването на личните данни или забраната за по-нататъшното им използване, без да са необходими действия от страна на лицето, за което се събират данни, но при условие че тези данни са били вече съхранявани през известен период от време. Данните, с други думи, ще получат нещо като срок на валидност. Този принцип е вече потвърден в националната съдебна практика или е приложен в специфични сектори, например за полицейски, криминални досиета или дисциплинарни досиета: съгласно някои национални законодателства информацията за физически лица се заличава автоматично или престава да бъде използвана или разпространявана по-нататък, по-специално след определен период от време, без да е необходим предварителен анализ на всеки случай поотделно.

89.

В този смисъл новото „право да бъдеш забравен“ следва да бъде свързано с преносимостта на данните. Добавената от него стойност ще се състои в това, че то няма да изисква усилия, нито настойчивост от страна на лицето, за което се събират данни, да бъдат данните му заличени, тъй като това ще става по обективен и автоматичен начин. Само при много специални обстоятелства, когато може да бъде установена специална нужда за по-дълго задържане на данните, администраторът на лични данни може да получи право да запази данните. Това „право да бъдеш забравен“ ще прехвърли по този начин тежестта на доказване от физическото лице върху администратора на лични данни и ще представлява настройка „неприкосновеност на личния живот по подразбиране“ за обработването на личните данни.

90.

ЕНОЗД счита, че правото да бъдеш забравен може да се окаже особено полезно в контекста на услугите на информационното общество. Задължението за заличаване или спиране на по-нататъшното разпространяване на информацията след определен период от време е особено уместно в медиите или в интернет и по-конкретно в социалните мрежи. То ще бъде полезно и по отношение на терминалните устройства: данните, записани в мобилни апарати или компютри, ще бъдат автоматично заличени или блокирани след определен период от време, когато те не са вече във владение на физическото лице. В този смисъл правото да бъдеш забравен може да бъде превърнато в задължение за „неприкосновеност на личния живот още при разработването“.

91.

В обобщение, ЕНОЗД счита, че преносимостта на данните и правото да бъдеш забравен са полезни принципи. Може би си струва те да бъдат включени в правния инструмент, но вероятно ограничени в рамките на електронната среда.

92.

Директива 95/46/ЕО не предвижда специални правила във връзка с обработването на лични данни на деца. Това не отчита необходимостта за специфична защита на децата при специфични обстоятелства поради тяхната уязвимост и защото така се създава правна несигурност, по-специално в следните области:

93.

ЕНОЗД счита, че специфичните интереси на децата ще бъдат най-добре защитени, ако новият правен инструмент съдържа допълнителни разпоредби, отнасящи се конкретно до събирането и по-нататъшното обработване на данни на деца. Такива специфични разпоредби ще създадат освен това правна сигурност в тази специфична област и ще бъдат от полза за администраторите на лични данни, които понастоящем са изложени на различни законови изисквания.

94.

ЕНОЗД предлага включването на следните разпоредби в правния инструмент:

95.

Засилването на правата на физическите лица по същество ще бъде безпредметно, ако липсват ефективни процедурни механизми за прилагането на тези права. В този контекст ЕНОЗД препоръчва в законодателството на ЕС да бъдат въведени механизми за колективна защита при нарушаване на правилата за защита на данните. По-специално, механизмите за колективна защита, оправомощаващи групи граждани да обединят жалбите си в един иск, може да се окажат много мощен инструмент за улесняване на прилагането на правилата за защита на данните (42). Това нововъведение се подкрепя и от органите за защита на данните в документа на работната група за бъдещето на неприкосновеността на личния живот.

96.

В по-маловажни случаи едва ли жертвите на нарушаване на правилата за защита на данните биха предприели индивидуални искове срещу администраторите, като се имат предвид разходите, забавянията, несигурностите, рисковете тежестите, на които биха се изложили. Тези трудности могат да бъдат преодолени или значително облекчени, ако съществува система за колективна защита, оправомощаваща жертвите на нарушения да обединят отделните си жалби в един иск. ЕНОЗД е също така за оправомощаването на квалифицирани структури, като потребителски асоциации или публични органи, да подават искове за щети от името на жертви на нарушения при защита на данните. Тези искове следва да не засягат правото на лицето, за което се събират данни, да подава индивидуални искове.

97.

Колективните искове са важни не само за гарантиране на пълна компенсация или за други коригиращи действия; те освен това упражняват косвено засилваща възпирането функция. Рискът от понасяне на големи колективни щети по такива искове ще увеличи стимулите за администраторите да спазват ефективно правилата. В това отношение засиленото правоприлагане от страна на частни лица посредством механизми за колективна защита ще допълни правоприлагането от публични органи.

98.

В съобщението липсва становище по тази тема. ЕНОЗД е в течение на продължаващата дискусия на европейско равнище относно въвеждането на колективна защита на потребителите. Той освен това разбира риска от ексцеси, до който тези механизми може да доведат, като се има предвид опитът в други правни системи. Тези фактори обаче не дават според него достатъчно доводи за отхвърляне или отлагане на тяхното въвеждане в законодателството за защита на данните, като се имат предвид ползите, до които ще доведат (43).

99.

ЕНОЗД счита, че освен засилването на правата на физическите лица, съвременният правен инструмент за защита на данните трябва да включва необходимите инструменти за засилване на отговорността на администраторите на лични данни. По-специално рамката трябва да съдържа стимули за администраторите на лични данни в частния или в публичния сектор да включват проактивно мерки за защита на данните в своите работни процеси. Тези инструменти ще бъдат преди всичко полезни, тъй като, както бе казано вече, технологичните развития доведоха до рязко нарастване на събирането, използването и по-нататъшното предаване на лични данни, а това увеличава рисковете за неприкосновеността на личния живот и защитата на личните данни на физическите лица, които следва да бъдат компенсирани по ефективен начин. На второ място, в настоящата рамка липсват — с изключение на няколко добре формулирани разпоредби — такива инструменти и администраторите на лични данни могат да подходят изчаквателно към защитата на данни и неприкосновеността на личния живот и да действат едва след като е възникнал проблем. Този подход е отразен в статистически данни, показващи лоши практики на съответствие и загуби на данни като често възникващи проблеми.

100.

Според ЕНОЗД съществуващата рамка не е достатъчна за ефективна защита на личните данни при настоящите и бъдещите условия. Колкото по-големи са рисковете, толкова по-голяма е необходимостта от прилагане на конкретни мерки, които защитават информацията на практическо равнище и дават ефективна защита. Ако тези проактивни мерки не бъдат де факто изпълнени, грешките, пропуските и небрежността вероятно ще продължат, застрашавайки неприкосновеността на личния живот на физическите лица в това все по-дигитализиращо се общество. За постигането на тази цел ЕНОЗД предлага следните мерки.

101.

ЕНОЗД предлага да се добави нова разпоредба в правния инструмент, изискваща от администраторите на лични данни да осъществяват достатъчни и ефикасни мерки за изпълнение на принципите и задълженията съгласно правния инструмент и при поискване да представят доказателства за това.

102.

Подобна разпоредба не е изцяло нова. Член 6, параграф 2 от Директива 95/46/ЕО посочва принципите, отнасящи се до качеството на данните, и изтъква, че „администраторът осигурява спазването на параграф 1“. Член 17, параграф 1 също изисква от администраторите на лични данни да прилагат мерки както от технически, така и от организационен характер. Приложното поле на тези разпоредби е обаче ограничено. Добавянето на обща разпоредба за отчетността ще стимулира администраторите да въведат проактивни мерки, за да могат да спазват във всяко отношение законодателството за защита на данните.

103.

Една разпоредба за отчетността ще задължи администраторите на лични данни да въведат вътрешни механизми и контролни системи, осигуряващи съответствие с принципите и задълженията съгласно рамката. Това ще наложи например участие на висшето ръководство в политиките за защита на данните, картиране на процедурите за осигуряване на правилна идентификация на всички операции по обработването на данни, наличие на обвързващи политики за защита на данните, които трябва освен това да бъдат постоянно преразглеждани и актуализирани, за да включат в приложното си поле новите операции за обработване на данни, спазване на принципите за качество на данните, уведомяване, сигурност, достъп и т.н. То ще наложи също администраторите да съхраняват документи за доказване на съответствие пред органите при поискване от тяхна страна. Представянето на доказателства за съответствие пред широката общественост следва в някои случаи също да стане задължително. Това може да се направи например като администраторите бъдат задължени да включват защитата на данните в публичните (годишните) доклади, когато такива доклади се изготвят задължително на други основания.

104.

Очевидно видът на вътрешните и външните мерки, които се прилагат, трябва да бъде подходящ и зависи от фактите и обстоятелствата във всеки конкретен случай. Не е все едно дали администраторът обработва няколко стотици записи на потребители, състоящи се само от имена или адреси, или обработва данни на милиони пациенти, включително техните медицински истории. Същото е в сила и за специфичните начини, по които трябва да се оценява ефективността на мерките. Необходимо е степенуване.

105.

Общият всеобхватен правен инструмент за защита на данните не следва да определя специфичните изисквания за отчетността, а само основните елементи. Съобщението предвижда някои елементи за засилване на отговорността на администраторите на лични данни, които заслужават категорично одобрение. По-специално ЕНОЗД подкрепя напълно идеята длъжностните лица за защита на данните и оценките на въздействието върху неприкосновеността на личния живот да станат задължителни при определени прагови условия.

106.

Освен това ЕНОЗД препоръчва да се делегират правомощия на Комисията в съответствие с член 290 от ДФЕС за допълване на основните изисквания, необходими, за да се отговори на стандартите за отчетност. Използването на тези правомощия ще увеличи правната сигурност на администраторите на лични данни и ще хармонизира съответствието в целия ЕС. При разработването на тези специфични инструменти следва да се направят консултации с работната група по член 29 и ЕНОЗД.

107.

Накрая, конкретните мерки за отчетност, прилагани от администраторите на лични данни, могат да бъдат наложени и от органите за защита на данните в контекста на техните правомощия по прилагане на законодателството. За тази цел на органите за защита на данните следва да се дадат нови правомощия, позволяващи им да налагат коригиращи мерки или санкции. Примерите трябва да включват изготвяне на вътрешни програми за съответствие, прилагане на принципа за неприкосновеност на личния живот още при разработването на специфични продукти и услуги и т.н. Коригиращи мерки следва да се налагат само ако са адекватни, пропорционални и ефективни за осигуряване на съответствие с приложимите стандарти с правно действие.

108.

Принципът за неприкосновеност на личния живот още при разработването се отнася до включването на защитата на данни и неприкосновеността на личния живот от самото начало на създаване на нови продукти, услуги и процедури, които предполагат обработване на лични данни. Според ЕНОЗД принципът за неприкосновеност на личния живот още при разработването е елемент на отчетността. Следователно администраторите на лични данни ще бъдат също длъжни да доказват, че са приложили принципа за неприкосновеност на личния живот още при разработването, когато това е уместно. Неотдавна 32-та Международна конференция на комисарите по защита на личните данни и неприкосновеността на личния живот издаде резолюция, признаваща принципа за неприкосновеност на личния живот още при разработването като съществен елемент от основната неприкосновеност на личния живот (44).

109.

Директива 95/46/ЕО съдържа някои разпоредби, насърчаващи защитата на личния живот още при разработването (45), но не определя изрично такова задължение. ЕНОЗД отбелязва със задоволство одобрението от страна на Комисията на принципа за неприкосновеност на личния живот още при разработването като инструмент, осигуряващ спазване на правилата за защита на данни. Той предлага да се включи задължителна разпоредба, въвеждаща задължение за „неприкосновеност на личния живот още при разработването“, което може да се основава на доразвиване на съображение 476 от Директива 95/46/ЕО. По-конкретно разпоредбата следва да изисква изрично от администраторите на лични данни да изпълняват технически и организационни мерки, както по време на проектиране на системите за обработка, така и по време на самата обработка, по-специално с цел да се гарантира защитата на личните данни и да се предотврати всякаква неразрешена обработка (46).

110.

Въз основа на подобна разпоредба администраторите на лични данни ще бъдат длъжни — наред с други неща — да осигурят проектиране на системите за обработка на данните по такъв начин, че да обработват колкото се може по-малко лични данни, да прилагат настройки по подразбиране за неприкосновеността на личния живот, например в социалните мрежи, да не дават по подразбиране достъп на други до профилите на физическите лица и да използват инструменти, даващи възможност на потребителите да защитават по-добре личните си данни (напр. контрол на достъпа, криптиране).

111.

Предимствата на по-изричното формулиране на принципа за неприкосновеност на личния живот още при разработването може да бъдат обобщени, както следва:

112.

Комбинираният ефект от това задължение ще доведе до по-голямо търсене на продукти и услуги, съобразени с принципа за неприкосновеност на личния живот още при разработването, което ще увеличи стимулите за индустрията да отговори на това търсене. Следва да се помисли, в допълнение на всичко това да се създаде отделно задължение за проектантите и производителите на нови продукти и услуги, за които е вероятно да окажат въздействие върху защитата на данните и неприкосновеността на личния живот. ЕНОЗД предлага да се включи такова отделно задължение, което може да помогне допълнително на администраторите на лични данни да изпълняват своите собствени задължения.

113.

Кодификацията на принципа за неприкосновеност на личния живот още при разработването може да бъде допълнена с разпоредба, определяща общи изисквания за неприкосновеност на личния живот още при разработването, приложими в различните отрасли, продукти и услуги, като например осигуряване на мерки за оправомощаване на потребителите, които да се приемат в съответствие с принципа.

114.

Освен това ЕНОЗД препоръчва да се делегират правомощия на Комисията в съответствие с член 290 от ДФЕС за допълване — където е уместно — на основните изисквания за неприкосновеност на личния живот още при разработването при избрани продукти и услуги. Използването на тези правомощия ще увеличи правната сигурност на администраторите на лични данни и ще хармонизира съответствието в целия ЕС. При разработването на тези специфични инструменти следва да се направят консултации с работната група по член 29 и ЕНОЗД (вж. също съображение 106 относно отчетността).

115.

Накрая, на органите за защита на данните следва да се дадат правомощия да налагат коригиращи мерки или санкции при подобни ограничителни условия като вече посочените в съображение 107, когато администраторите не са вече изпълнили задължението си да вземат конкретни мерки в случаи, при които това се налага.

116.

Съобщението признава необходимостта да се проучи създаването на схеми на ЕС за сертифициране на продукти и услуги, спазващи неприкосновеността на личния живот. ЕНОЗД подкрепя напълно тази цел и предлага включване на разпоредба за тяхното създаване и евентуалните им последици за целия ЕС, която може по-късно да бъде разработена допълнително в нов законодателен акт. Тази разпоредба следва да допълва разпоредбите за отчетност и неприкосновеност на личния живот още при разработването.

117.

Схемите за доброволно сертифициране ще дадат възможност да се провери, че даден администратор на лични данни е въвел мерки за съответствие с правния инструмент. Освен това администраторите на лични данни — или дори продуктите и услугите, получили знак за сертифициране — ще имат вероятно конкурентно предимство пред останалите. Тези схеми ще помогнат също на органите за защита на данните в тяхната надзорна и правоприлагаща функция.

118.

Както бе посочено по-горе в глава 2, предаването на лични данни отвъд границите на ЕС нарасна експоненциално в резултат на развитието на нови технологии, ролята на мултинационалните компании и нарастващото влияние на правителствата в обработването и обмена на лични данни в международен мащаб. Това е една от основните причини, обосноваващи преразглеждането на настоящата правна рамка. Следователно това е една от областите, в които ЕНОЗД настоява за амбициозност и ефективност, тъй като има ясна необходимост от по-последователна защита, когато данните се обработват извън ЕС.

119.

Според ЕНОЗД са нужни повече инвестиции в разработването на международни правила. Повече хармонизация по отношение на степента на защита на личните данни в целия свят ще внесе значителна яснота по същността на принципите, които трябва да бъдат спазвани, и по условията за предаване на данни. Тези глобални правила ще трябва да намерят компромисно решение между изискването за висок стандарт на защита на данните, включващ основните елементи на ЕС за защита на данните, и регионалната специфика.

120.

ЕНОЗД подкрепя амбициозната работа, извършена досега в рамките на Международна конференция на комисарите по защита на личните данни за разработването и разпространението на така наречените „стандарти от Мадрид“, с цел те да бъдат включени в задължителен инструмент и да доведат евентуално до свикване на междуправителствена конференция (47). Той призовава Комисията да предприеме необходимите инициативи в помощ на осъществяването на тази цел.

121.

Според ЕНОЗД важно е също така да се осигури последователност между тази инициатива за международни стандарти, настоящото преразглеждане на рамката на ЕС за защита на данните и други развития, като настоящото преразглеждане на Основните насоки на ОИСР за защитата на личния живот и на Конвенция 108 на Съвета на Европа, която е открита за подписване от трети държави (вж.също съображение 17). ЕНОЗД счита, че Комисията трябва да изиграе тук особена роля, като уточни как ще се постигне такава последователност в преговорите с ОИСР и Съвета на Европа.

122.

Тъй като пълна последователност не може да се постигне лесно, ще останат — поне в близкото бъдеще — известни различия между законодателствата в ЕС и още повече извън границите на ЕС. ЕНОЗД счита, че новият правен инструмент ще трябва да изясни критериите, определящи приложимото законодателство, и да осигури опростени механизми за потоците данни, както и отчетност на факторите, участващи в тези потоци.

123.

На първо място, правният инструмент следва да гарантира, че законодателството на ЕС се прилага, когато лични данни се обработват извън границите на ЕС, но при наличие на обосновано искане за прилагане на законодателството на ЕС. Примерът с неевропейските услуги „изчислителни облаци“, насочени към лица, постоянно пребиваващи в ЕС, говори ясно, че това е необходимо. В среда, където данните не се съхраняват и обработват физически на определено място, където доставчици на услуги и потребители, разположени в различни държави, оказват променящо въздействие върху данните, е много трудно да се определи кой е отговорен за съответствието с кои принципи за защита на данните. Дават се указания, по-специално от органите за защита на данните, относно тълкуването и прилагането на Директива 95/46/ЕО в такива случаи, но само указания не стигат, за да се гарантира сигурност в тази нова среда.

124.

На територията на ЕС необходимостта от повече прецизност на правната рамка и от опростен критерий за определяне на приложимото законодателство е подчертана от работната група по член 29 в едно неотдавна публикувано становище (48).

125.

Според ЕНОЗД за предпочитане е вариантът, при който правният инструмент да бъде изложен в регламент, който ще доведе до едни и същи правила, приложими във всички държави-членки. Един регламент ще направи не толкова важно определянето на приложимото законодателство. Това е една от причините, поради които ЕНОЗД е категорично за приемането на регламент. Регламентът би дал обаче и известна свобода на действие на държавите-членки. Ако в новия инструмент се запази възможност за значителна свобода на действие, ЕНОЗД ще подкрепи предложението на работната група за преминаване от разделно прилагане на различните национални законодателства към централизирано прилагане на единно законодателство във всички държави-членки, в които е установен администратор. Той пледира също за повече сътрудничество и съгласуваност между органите за защита на данните при транснационалните дела и жалби (вж. глава 10).

126.

Необходимостта от последователност и високи критерии трябва да се има предвид не само във връзка с глобалните принципи за защита на данните, но и по отношение на международните предавания на данни. ЕНОЗД подкрепя напълно целта на Комисията да опрости настоящите процедури за международни предавания на данни и да осигури по-единен и последователен подход по отношение на трети държави и международни организации.

127.

Механизмът на потоците данни включа както предавания в частния сектор, по-специално по договорните клаузи на задължителните фирмени правила (ЗФП), така и предавания между публични органи. ЗФП са един от елементите, при които е желателен по-последователен и по-опростен подход. ЕНОЗД препоръчва условията за ЗФП да бъдат уредени в новия правен инструмент (49) чрез:

128.

Комисията нееднократно е изтъквала значението на засилване на защитата на данни в контекста на правоприлагането и предотвратяването на престъпления, където обменът и използването на лична информация се увеличиха значително. В Стокхолмската програма, одобрена от Европейския съвет, също се посочва силният режим на защита на данните като основна предпоставка за стратегията на ЕС за управление на информацията в тази област (50).

129.

Преразглеждането на общата рамка за защита на данните е идеална възможност за постигане на напредък в това отношение, особено след като Комисията с право описва Рамково решение 2008/977/ПВР като недостатъчно (51).

130.

В раздел 3.2.5 на настоящото становище ЕНОЗД изложи своите аргументи защо областта на полицейското и съдебното сътрудничество следва да бъде включена в общия инструмент. Включването на полицията и правосъдието има редица допълнителни предимства. То означава, че правилата няма да се прилагат вече само към трансграничния обмен на данни (52), но и към вътрешната обработка. Достатъчната защита при обмена на лични данни с трети държави ще бъде по-добре осигурена, в това число и във връзка с международните споразумения. Освен това ОЗД ще имат същите широки и хармонизирани правомощия по отношение на полицейските и съдебните органи, каквито имат по отношение на администраторите на лични данни. Накрая, настоящият член 13, предоставящ на държавите-членки правомощия да приемат специфични законодателни актове за ограничаване на задълженията и правата съгласно общия инструмент за специфичните публични интереси, ще трябва да се прилага по същия рестриктивен начин, по какъвто се прилага в други области. По-специално, специфичните предпазни мерки, предоставени по силата на общия инструмент в тази област, ще трябва да се спазват и в националното законодателство, прието в областта на полицейското и съдебното сътрудничество.

131.

Включването им не изключва обаче специалните правила и дерогации, които вземат надлежно предвид особеностите в този сектор в съответствие с Декларация 21, приложена към Лисабонския договор. Може да се предвидят ограничения на правата на лицата, за които се събират данни, но тези ограничения трябва да бъдат необходими, пропорционални и да не променят основните елементи на самото право. Следва да се подчертае в този контекст, че Директива 95/46/ЕО, включително нейният член 13, се прилага понастоящем към правоприлагането в различни области (като данъчно облагане, митници, борба с измамите), които не се отличават принципно от много дейности в областта на полицията и правосъдието.

132.

Освен това специфични предпазни мерки трябва да се въведат за компенсации на лицето, за което се събират данни, като му се предостави допълнителна защита в област, в която обработката на лични данни може да бъде по-натрапчива.

133.

С оглед на гореизложеното ЕНОЗД счита, че новата рамка следва да включва най-малко следните елементи, в съответствие с Конвенция 108 и Препоръка № R (87) 15:

134.

В съобщението се посочва, че „рамковото решение не заменя различните секторно-специфични законодателни актове за полицейско и съдебно сътрудничество по наказателноправни въпроси, приети на равнище ЕС, и по-специално, които уреждат функционирането на Европол, Евроюст, Шенгенската информационна система (ШИС) и Митническата информационна система (МИС), които или съдържат специални режими за защита на данните и/или обикновено се позовават на инструментите за защита на данните на Съвета на Европа“.

135.

Според ЕНОЗД новата правна рамка следва да бъде колкото е възможно по-ясна, по-проста и по-последователна. Когато нараства броят на различните режими, прилагани например към Европол, Евроюст, ШИС и Прюм, спазването на правилата остава сложно или дори все повече се усложнява. Това е една от причините, поради които ЕНОЗД е за всеобхватен правен инструмент за всички сектори.

136.

ЕНОЗД разбира обаче, че съгласуването на правилата от различните системи ще изисква много работа, която трябва да се извърши внимателно. ЕНОЗД счита, че постепенният подход, посочен в съобщението, е разумен, стига да остане ясен и отчетлив ангажиментът за гарантиране на висока степен на защита на данните по последователен и ефективен начин. Казано по-конкретно:

137.

ЕНОЗД подкрепя напълно целта на Комисията да реши въпроса за статута на органите за защита на данните (ОЗД) и да постави по-ясно ударение върху засилването на независимостта, ресурсите и правомощията им по прилагане на законодателството.

138.

ЕНОЗД настоява също върху необходимостта от изясняване в новия правен инструмент на същественото понятие за независимостта на ОЗД. Съдът на Европейския съюз издаде неотдавна решение по този въпрос по дело C-518/07 (54), в което той подчертава, че независимост означава липсата на всякакво външно влияние. ОЗД не може да иска, нито да получава указания от когото и да било. ЕНОЗД предлага тези елементи на независимостта да бъдат изрично кодифицирани в законодателния акт.

139.

За да могат да изпълняват своите задачи, на ОЗД трябва да бъдат дадени достатъчно човешки и финансови ресурси. ЕНОЗД предлага включването на това изискване в законодателния акт (55). Накрая, той изтъква необходимостта да се гарантира, че властите са хармонизирали напълно правомощията за разследване и налагане на достатъчно възпиращи и коригиращи мерки и санкции. Това ще засили правната сигурност на лицата, за които се събират данни, и на администраторите на лични данни.

140.

Засилването на независимостта, ресурсите и правомощията на ОЗД следва да се съпътстват със засилено сътрудничество на многостранно равнище, по-специално с оглед на нарастващия брой проблеми във връзка със защита на данните в европейски мащаб. Основната инфраструктура, която следва да се използва за това сътрудничество, е очевидно работната група по член 29.

141.

Историческата справка показва, че от своето създаване през 1997 г. досега функциите на групата са еволюирали. Тя се е развила в посока на по-голяма независимост и не може вече да бъде квалифицирана на практика като обикновена консултантска работна група към Комисията. ЕНОЗД предлага допълнително усъвършенстване на функциите на работната група, включително на нейната инфраструктура и независимост.

142.

ЕНОЗД е убеден, че силата на групата е неразривно свързана с независимостта и правомощията на нейните членове. Автономията на работната група следва да бъде гарантирана в новата правна рамка в съответствие с критериите, изложени за пълна независимост на ОЗД от Съда на Европейския съюз по дело C-518/07. ЕНОЗД счита, че на работната група следва освен това да се предоставят достатъчно ресурси и бюджет и подсилен секретариат в помощ на нейната продукция.

143.

Относно секретариата на работната група ЕНОЗД оценява факта, че той е включен в отдел „Защита на данните“ към ГД „Правосъдие“ с предимството, че самата работна група може да използва ефикасни и гъвкави контакти и актуална информация по аспектите на развитието на защитата на данни. От друга страна, той поставя под въпрос факта, че Комисията (и по-специално този отдел) е едновременно член, секретариат и адресат на становищата на работната група. Това дава основания за повече независимост на секретариата. ЕНОЗД приканва Комисията да прецени — в тесни консултации със заинтересованите страни — как най-добре да се осигури тази независимост.

144.

Накрая, засилването на правомощията на ОЗД изисква също повече правомощия за работната група, със структура, включваща по-добри правила и предпазни мерки, както и повече прозрачност. Това ще допринесе за консултантската, както и за правоприлагащата функция на работната група.

145.

Позициите на работната група трябва да бъдат ефективно прилагани, що се отнася до нейната консултантска роля при Комисията, по-специално във връзка с тълкуването и прилагането на принципите на директивата и на други инструменти за защита на данните — с други думи, за утвърждаване на авторитета на позициите на работната група. Допълнителни обсъждания са необходими между ОЗД, за да се реши как да бъде включено това в правния инструмент.

146.

ЕНОЗД препоръчва решения, които да направят становищата на работната група по-авторитетни, без да внасят съществени промени в нейния начин на функциониране. ЕНОЗД предлага включване на задължение на ОЗД и на Комисията да отчитат в максимална степен становищата и общите позиции, приети от работната група, въз основа на модела, приет за позициите на Органа на европейските регулатори в областта на електронните съобщения (ОЕРЕС) (56). Освен това новият правен инструмент може да възложи на работната група изричната задача да приема „тълкувателни препоръки“. Тези решения ще засилят ролята на позициите на работната група, също и пред съдилищата.

147.

Съгласно настоящата рамка прилагането на законодателството за защита на данните в държавите-членки е предоставено на 27 органи за защита на данните при малко съгласуване във връзка с подхода към специфични случаи. Когато става въпрос за случаи, засягащи повече от една държава-членка или притежаващи безспорно глобално измерение, това увеличава разходите за предприятията, които са принудени да се обръщат към различни публични органи за една и съща дейност, и засилва риска от непоследователно прилагане: в някои изключителни случаи един и същи начин на обработване може да се счита за законосъобразен от един ОЗД и да бъде забранен от друг.

148.

Някои случаи имат стратегическо измерение и те следва да се уреждат централизирано. Работната група по член 29 подпомага съгласуването и правоприлагащите дейности между ОЗД (57) при особено важни въпроси на защита на данните с такива международни последици. Такъв беше случаят със социалните мрежи и браузърите (58), както и във връзка със съгласуваните проверки, извършени в различни държави-членки по въпроси на далекосъобщенията и здравното осигуряване.

149.

Има обаче граници на мерките по прилагане на законодателството, които работната група може да предприеме по силата на настоящата рамка. Работната група може да приеме общи позиции, но няма инструмент, който да гарантира, че тези позиции ще бъдат ефективно приложени на практика.

150.

ЕНОЗД предлага включване в правния инструмент на допълнителни разпоредби, които да бъдат в подкрепа на съгласуваното правоприлагане, а именно:

151.

ЕНОЗД е склонен да повдигне възражения срещу въвеждането на по-силни мерки, като например позициите на работната група по член 29 да станат обвързващи. Това ще наруши независимия статут на отделните ОЗД, който трябва да бъде гарантиран от държавите-членки по силата на националното законодателство. Ако решенията на работната група оказват пряко въздействие върху трети страни, като администраторите на лични данни, следва да се предвидят нови процедури, включително предпазни мерки, като прозрачност и искове, включително евентуално обжалване пред Съда на Европейския съюз.

152.

Начинът, по който ЕНОЗД и работната група си сътрудничат, също може да бъде прецизиран. ЕНОЗД е член на работната група и той дава принос в рамките на групата за позициите по основните стратегически насоки на развитие в ЕС, осигурявайки същевременно съгласуваност със своите собствени позиции. ЕНОЗД отбелязва нарастващия брой проблеми с неприкосновеността на личния живот както в частния, така и в публичния сектор, които могат да имат последици на национално равнище в много държави-членки и при които на работната група се пада особена роля.

153.

ЕНОЗД има допълнителна задача да предоставя становища относно аспектите на развитието в контекста на ЕС, която следва да бъде запазена. В качеството си на европейски орган той упражнява тази консултантска функция спрямо институциите на ЕС по същия начин, както националните ОЗД съветват своите правителства.

154.

ЕНОЗД и работната група действат в различна, но допълваща се перспектива. Нужно е поради тези причини да се запази и може би да се подобри сътрудничеството между работната група и ЕНОЗД, за да се гарантира, че те работят съвместно по основните въпроси на защита на данните, например като съгласуват редовно дневния си ред (61) и осигуряват прозрачност по въпроси, които имат по-скоро национален или по-скоро специфичен европейски аспект.

155.

Съгласуването не е споменато в настоящата директива поради простата причина, че ЕНОЗД не е съществувал по времето, когато директивата е била приета, но след шест години съществуване допълващите се функции на ЕНОЗД и на работната група са очевидни и може да бъдат формално признати. ЕНОЗД напомня, че съгласно Регламент (ЕО) № 45/2001 той е длъжен да си сътрудничи с националните ОЗД и да участва в дейността на работната група. ЕНОЗД препоръчва да се назове изрично сътрудничеството в новия правен инструмент, като то бъде включено в структурата, където е необходимо, например като се определи процедура за сътрудничество.

156.

Тези съображения са в сила и за области, където надзорът трябва да бъде съгласуван между европейското и националното равнище. Такъв е случаят с органите на ЕС, които обработват значително количество данни, предоставени от националните власти, или с крупните информационни системи с европейски и национален компонент.

157.

Съществуващата система за някои органи на ЕС и крупни информационни системи — например Европол, Евроюст и първото поколение на Шенгенската информационна система (ШИС) имат съвместни надзорни органи с представители на националните ОЗД — е остатък от междуправителственото сътрудничество от периода преди Лисабон и не съответства на институционалната структура на ЕС, от която Европол и Евроюст са сега неразделна част и в която достиженията на правото от Шенген са вече също включени (62).

158.

В съобщението се обявява, че през 2011 г. Комисията ще започне консултация със заинтересованите страни относно преразглеждането на тези системи за надзор. ЕНОЗД настоява Комисията да изясни възможно най-бързо (в краткосрочна и уточнена времева рамка, вж. по-горе) своята позиция в продължаващата дискусия по надзора. В тази дискусия той ще заеме следното становище.

159.

Като начало трябва да се гарантира, че надзорните органи отговарят на необходимите критерии за независимост, ресурси и правомощия по прилагане на законодателството. Освен това е необходима гаранция, че перспективите и компетентността, които съществуват на равнището на ЕС, ще бъдат взети предвид. Това значи, че сътрудничеството следва да се осъществява не само между националните органи, но и с европейския ОЗД (към настоящия момент с ЕНОЗД). ЕНОЗД счита за необходимо да се следва модел, който отговаря на тези изисквания (63).

160.

През последните години бе изграден моделът на „съгласуван надзор“. Този модел на надзор, който действа сега в „Евродак“ и в части от Митническата информационна система, скоро ще бъде разширен и ще включи Визовата информационна система (ВИС) и второто поколение на Шенгенската информационна система (ШИС II). Моделът има три пласта: 1 надзорът на национално равнище се осигурява от ОЗД; 2 надзорът на равнището на ЕС се осигурява от ЕНОЗД; 3 съгласуването се осигурява чрез редовни срещи, свиквани от ЕНОЗД в качеството му на секретариат на този механизъм за съгласуване. Този модел е доказал своята успешност и ефективност и следва да се има предвид в бъдеще за други информационни системи.

161.

Докато процедурата на преразглеждане продължава, усилията следва да бъдат насочени към осигуряване на пълното и ефективно прилагане на настоящите правила. Тези правила ще останат в сила до приемането на бъдещата рамка, след което ще бъдат приложени в националните законодателства на държавите-членки. В тази посока могат да се посочат няколко линии на действие.

162.

Първо, Комисията следва да продължи да следи дали държавите-членки спазват Директива 95/46/ЕО и, ако е необходимо, да използва правомощията си с съответствие с член 258 от ДФЕС. Напоследък бяха открити процедури за нарушение поради неизпълнение на задължението да бъде приложен правилно член 28 от директивата във връзка с условието за независимост на органите за защита на данните (64). И в други области е необходим мониторинг и налагане на пълно съответствие (65). Ето защо ЕНОЗД приветства и подкрепя напълно задълженията, поети от Комисията в съобщението, да продължава активно политиката си на установяване на нарушения. Комисията следва освен това да продължи структурния диалог с държавите-членки относно прилагането (66).

163.

Второ, правоприлагането на национално равнище трябва да бъде поощрено, за да се осигури практическото прилагане на правилата за защита на данните, в това число във връзка с новите технологични явления и глобалните участници. Органите за защита на данните следва да използват изцяло своите правомощия за разследване и налагане на санкции. Важно е също така съществуващите права на лицата, за които се събират данни, и по-специално правото на достъп, да бъдат изцяло прилагани в практиката.

164.

Трето, повече съгласуваност при правоприлагането изглежда необходима в краткосрочен план. Ролята на работната група по член 29 и нейните тълкувателни документи в тази връзка са много важни, но ОЗД трябва също да положат максимални усилия за практическото им прилагане. Трябва да се избягват разнопосочните резултати при случаите от европейски или глобален мащаб, като общ подход може и трябва да се постигне в рамките на работната група. Съгласуваните разследвания на територията на ЕС под егидата на работната група може също да внесат значителна добавена стойност.

165.

Четвърто, принципите за защита на данните следва да бъдат „вградени“ проактивно в нови разпоредби, които може да окажат пряко или косвено въздействие върху защитата на данни. На равнището на ЕС ЕНОЗД полага значителни усилия да съдейства за по-добро европейско законодателство, като такива усилия трябва да се предприемат и на национално равнище. Органите за защита на данните трябва следователно да използват изцяло консултантските си правомощия за осигуряването на такъв проактивен подход. Органите за защита на данните, включително ЕНОЗД, могат да изпълняват проактивна функция и при мониторинг на технологичните развития. Мониторингът е важен с оглед установяване на рано очертаващите се тенденции, определяне на възможните последици за защитата на данни, съдействие за доброволно уреждане на спорове във връзка със защитата на данни и повишаване на осведомеността на заинтересованите страни.

166.

Накрая, трябва да се работи активно за по-нататъшното сътрудничество между различните участници на международно равнище. Важно е поради това да се засилят международните инструменти на сътрудничество. Инициативи като стандартите от Мадрид и продължаващата работа в Съвета на Европа и ОИСР заслужават пълна подкрепа. В този контекст много положителен факт е, че и Федералната търговска комисия на САЩ се присъедини вече към семейството на комисарите по неприкосновеността на личния живот и защита на личните данни в рамките на тяхната Международна конференция.

167.

ЕНОЗД изразява по принцип удовлетворение от съобщението на Комисията, тъй като е убеден, че преразглеждане на настоящата правна рамка за защита на личните данни е необходимо, за да се гарантира ефективна защита в едно постоянно развиващо се и глобализирано информационно общество.

168.

Съобщението определя основните проблеми и предизвикателства. ЕНОЗД споделя схващането на Комисията, че силна система за защита на данните ще бъде нужна и занапред, въз основа на това, че съществуващите общи принципи на защита на данните са все още валидни в общество, в което се извършват основни промени. ЕНОЗД споделя констатацията на съобщението, че предизвикателствата са огромни и подчертава, че вследствие на това предложените решения трябва да бъдат подобаващо амбициозни и да засилват ефективността на защитата. Ето защо той настоява за по-амбициозен подход по някои въпроси.

169.

ЕНОЗД подкрепя напълно всеобхватния подход към защитата на данни. Той съжалява обаче, че съобщението изключва някои области, като обработка на данните от институциите и органите на ЕС, от общия правен инструмент. Ако Комисията реши да остави настрана тези области, ЕНОЗД настоява тя да приеме предложение за равнището на ЕС във възможно най-кратък срок, но за предпочитане до края на 2011 г.

170.

Според ЕНОЗД отправните точки за процедурата на преразглеждане са, както следва:

171.

ЕНОЗД приветства поетото от Комисията задължение да разгледа начините за постигане на по-нататъшна хармонизация на защитата на данни на равнището на ЕС. ЕНОЗД определя областите, в които има спешна необходимост от по-нататъшна и по-добра хармонизация: определения, основания за обработване на данни, права на лицата, за които се събират данни, международни предавания и органи за защита на данните.

172.

ЕНОЗД предлага да бъдат разгледани следните алтернативи за опростяване и/или намаляване на обхвата на изискванията за уведомяване:

173.

Според ЕНОЗД регламентът като единен инструмент, който е пряко приложим в държавите-членки, е най-ефикасният начин да се защити основното право за защита на данните и да се постигне повече сближаване във вътрешния пазар.

174.

ЕНОЗД подкрепя изложеното в съобщението предложение за засилване на правата на физическите лица. Той прави следните предложения:

175.

Новата рамка трябва да съдържа стимули за администраторите на лични данни да включват проактивно мерки за защита на данните в своите работни процеси. ЕНОЗД предлага да се въведат общи разпоредби за отчетност и „неприкосновеност на личния живот още при разработването“. Следва да бъде въведена и разпоредба относно схеми за сертифициране при спазване на неприкосновеността на личния живот.

176.

ЕНОЗД подкрепя амбициозната работа в рамките на Международната конференция на комисарите по защита на личните данни за разработване на така наречените „стандарти от Мадрид“, с цел те да бъдат включени в задължителен инструмент и да доведат евентуално до свикване на междуправителствена конференция. ЕНОЗД призовава Комисията да предприеме конкретни стъпки в тази насока в тясно сътрудничество с ОИСР и Съвета на Европа.

177.

Новият правен инструмент трябва да изясни критериите, определящи приложимото законодателство. Трябва да се гарантира, че данни, които се обработват извън границите на ЕС, остават под юрисдикцията на ЕС, когато е налице обосновано искане за прилагане на законодателството на ЕС. Ако правната рамка приеме формата на регламент, ще има едни и същи правила във всички държави-членки и няма да е толкова важно да се определя приложимото законодателство (в рамките на ЕС).

178.

ЕНОЗД подкрепя напълно целта да се осигури по-единен и последователен подход по отношение на трети държави и международни организации. Задължителните фирмени правила (ЗФП) следва да бъдат включени в правния инструмент.

179.

В един всеобхватен инструмент, включващ полицията и правосъдието, може да има специални правила, които вземат надлежно предвид особеностите в този сектор в съответствие с Декларация 21, приложена към Лисабонския договор. Специфични предпазни мерки трябва да се въведат за компенсации на лицата, за които се събират данни, като им се предостави допълнителна защита в област, в която обработката на лични данни поради самото си естество е по-натрапчива.

180.

Новата правна рамка следва да бъде колкото е възможно по-ясна, по-проста и по-последователна. Следва да се избягва нарастване на броя на различните режими, прилагани например към Европол, Евроюст, ШИС и Прюм. ЕНОЗД разбира, че съгласуването на правилата от различните системи ще да се извърши внимателно и постепенно.

181.

ЕНОЗД подкрепя напълно целта на Комисията да реши въпроса за статута на органите за защита на данните (ОЗД) и да засили независимостта, ресурсите и правомощията им по прилагане на законодателството. Той препоръчва:

182.

ЕНОЗД предлага допълнително усъвършенстване на функциите на работната група по член 29, включително на нейната независимост и инфраструктура. На работната група следва също така да се предоставят достатъчно ресурси и подсилен секретариат.

183.

ЕНОЗД предлага засилване на консултантската роля на работната група чрез включване на задължение на ОЗД и на Комисията да отчитат в максимална степен становищата и общите позиции, приети от работната група. ЕНОЗД не е за това позициите на работната група да станат обвързващи, по-специално заради независимия статут на отделните ОЗД. ЕНОЗД препоръчва Комисията да включи в новия правен инструмент специфични разпоредби за засилване на сътрудничеството с ЕНОЗД.

184.

ЕНОЗД настоява Комисията да приеме във възможно най-кратък срок становище относно въпроса за надзора на органите на ЕС и крупните информационни системи, като вземе предвид, че всички надзорни органи следва да отговарят на необходимите критерии за независимост, ресурси и правомощия по прилагане на законодателството и че следва да се гарантира представителност на европейската перспектива. ЕНОЗД подкрепя модела на „съгласуван надзор“.

185.

ЕНОЗД призовава Комисията:

22.6.2011   

BG

Официален вестник на Европейския съюз

C 181/24

1.

На 2 февруари 2011 г. Комисията прие предложение за директива на Европейския парламент и на Съвета относно използването на резервационни данни на пътниците за предотвратяване, разкриване, разследване и наказателно преследване на престъпления, свързани с тероризъм, и на тежки престъпления (наричано по-долу „предложението“) (3). Същия ден предложението беше изпратено на ЕНОЗД за консултация.

2.

ЕНОЗД изразява удовлетворение от факта, че Комисията се консултира с органа. Още преди приемането на предложението ЕНОЗД получи възможност да отправи неофициални забележки. Някои от тях бяха взети предвид в предложението и ЕНОЗД отбелязва, че като цяло предпазните мерки за защита на данните в съобщението са подсилени. Все още обаче остават опасения по редица въпроси, по-специално във връзка с мащаба и целите на събирането на лични данни.

3.

Евентуална схема за PNR в рамките на ЕС се обсъжда от 2007 г. насам, когато Комисията прие предложение за рамково решение на Съвета по този въпрос (4). Основната цел на схемата на ЕС за PNR е създаването на система, с която въздушните превозвачи, извършващи международни полети между ЕС и трети държави, да бъдат задължени да предават PNR данните на всички пътници на компетентните органи с цел предотвратяване, разкриване, разследване и наказателно преследване на престъпления, свързани с тероризъм, и на тежки престъпления. Данните следва да бъдат централизирани и анализирани от звена за данни за пътниците и резултатът от анализа ще бъде предаван на компетентните национални органи във всяка държава-членка.

4.

От 2007 г. ЕНОЗД следи отблизо развитията, свързани с евентуална схема на ЕС за PNR, паралелно с развитията във връзка със схеми за PNR на трети държави. На 20 декември 2007 г. ЕНОЗД прие становище относно това предложение на Комисията (5). В много последващи случаи бяха отправени последователни забележки, не само от ЕНОЗД, но и от работната група по член 29 (6), относно проблема със съгласуваността на обработката на PNR данни за целите на правоприлагането с принципите на необходимост и пропорционалност, както и други важни предпазни мерки за защита на данните.

5.

Основният въпрос, който ЕНОЗД последователно повдига, е свързан с обосновката на необходимостта от европейска схема за PNR при наличието на редица други инструменти, които позволяват обработка на лични данни за целите на правоприлагането.

6.

ЕНОЗД признава видимите подобрения от гледна точка защита на данните в настоящото предложение в сравнение с версията, по която изрази становище преди това. Тези подобрения са свързани по-специално с обхвата на прилагане на предложението, определението на ролята на отделните заинтересовани страни (звена за данни за пътниците), изключването на обработка на чувствителни данни, придвижването към система тип „push“ без преходен период (7) и ограничаването на запазването на данни.

7.

ЕНОЗД също така изразява удовлетворение от допълнителното развитие в оценката на въздействието относно причините за схема на ЕС за PNR. При все това, макар да има ясна воля да се изясни необходимостта от схемата, ЕНОЗД все още не вижда в тези нови обосновки убедителна основа за разработване на системата, особено по отношение на мащабна „предварителна оценка“ на всички пътници. Необходимостта и пропорционалността ще бъдат анализирани в глава II по-долу. В глава III ще бъдат разгледани по-конкретни аспекти от предложението.

8.

Демонстрирането на необходимостта и пропорционалността на обработката на данни е абсолютно необходимо предварително условие за разработване на схемата за PNR. При предишни случаи ЕНОЗД вече подчерта, по-специално в контекста на евентуалния преглед на Директива 2006/24/ЕО („директивата за запазване на данни“), факта, че нуждата от обработка или съхранение на големи количества информация следва да се подкрепи с ясно демонстриране на връзката между използване и резултат и следва да позволява оценката sine qua non дали са могли да бъдат постигнати съпоставими резултати с алтернативни методи с по-малко вмешателство в неприкосновеността на личния живот (8).

9.

С оглед обосновка на схемата, в предложението и по-специално в неговата оценка на въздействието се включва пространна документация и правни аргументи, така че да се демонстрира, че схемата е необходима и че тя съответства на изискванията за защита на данните. Освен това се отива една стъпка по-нататък и се твърди, че предложението създава добавена стойност от гледна точка на хармонизирането на стандартите за защита на данните.

10.

След анализ на тези елементи ЕНОЗД счита, че предложението с настоящото си съдържание не отговаря на изискванията за необходимост и пропорционалност, наложени по силата на член 8 от Хартата на основните права на Европейския съюз, член 8 от Конвенцията за защита на правата на човека и основните свободи (ЕКПЧ) и член 16 от Договора за функционирането на Европейския съюз (ДФЕС). Основанието за това заключение е изложено в следващите параграфи.

11.

ЕНОЗД отбелязва, че в оценката на въздействието се включват пространни обяснения и статистически данни за обосновка на предложението. Тези елементи обаче не са убедителни. Като илюстрация, в описанието на заплахата от тероризъм и тежки престъпления в оценката на въздействието и в обяснителния меморандум на предложението (9) се цитира цифрата 14 000 престъпления на всеки 100 000 души население в държавите-членки през 2007 г. Макар тази цифра да изглежда внушителна, тя е свързана с неразграничени видове престъпления и не може да се използва в подкрепа на обосновката на предложение, насочено към борба единствено с един ограничен вид тежки, транснационални престъпления и тероризъм. Като друг пример, цитирането на доклад относно „проблеми“ с наркотици без статистическите данни да се свържат с конкретния вид трафик на наркотици, засегнат от предложението, според ЕНОЗД не представлява валидна препратка. Същото важи при посочването на последствия от престъпления, като се цитира „стойността на откраднатото имущество“ и психологическото и физическото въздействие върху жертвите — това не са данни, пряко свързани с целта на предложението.

12.

Като последен пример, в оценката на въздействието се посочва, че Белгия е „докладвала, че 95 % от всички случаи на конфискуване на наркотици през 2009 г. са били изключително или най-вече в резултат на обработката на PNR данни“. Трябва обаче да се подчертае, че Белгия (все още) не е въвела систематична схема за PNR, съпоставима със схемата, предвидена в предложението. Това би могло да означава, че PNR данни могат да бъдат полезни в конкретни случаи — ЕНОЗД не оспорва това. Това, което води до сериозни опасения във връзка със защитата на данни, е по-скоро всеобщото събиране с цел системна оценка на всички пътници.

13.

ЕНОЗД счита, че няма достатъчно количество уместна и точна контекстуална документация, която да демонстрира необходимостта от инструмента.

14.

Макар че в документа се отбелязва вмешателството на мерките за обработка на данни в сферата на Хартата, ЕКПЧ и член 16 от ДФЕС, в него директно се посочват евентуални ограничения на тези права и с удовлетворение се заключава, че „тъй като целта на предложените действия би била борба с тероризма и други тежки престъпления, посочени в законодателен акт, действията очевидно ще отговарят на такива изисквания, ако са необходими в демократично общество и отговарят на принципа на пропорционалност“ (10). При все това няма ясно демонстриране на факта, че мерките са от съществено значение и че няма алтернативи с по-малка степен на вмешателство.

15.

В този смисъл фактът, че допълнителни цели като прилагане на разпоредбите за имиграцията, „списък за забрана за пътуване“ и здравна безопасност са били предвидени за включване и в крайна сметка не са били включени от съображения за пропорционалност, не означава, че „ограничаването“ на обработката на PNR данни до тежки престъпления и тероризъм de facto е пропорционално, тъй като е с по-малка степен на вмешателство. Вариантът схемата да се ограничи до борбата с тероризма, без да се включват допълнителни престъпления, както беше предвидено в по-ранните схеми за PNR, по-специално в предишната схема на Австралия за PNR, също не беше разгледан. ЕНОЗД подчертава, че в тази ранна схема, по която WP29 прие положително становище през 2004 г., целите са били ограничени до „идентифициране на пътниците, които могат да създават заплаха от тероризъм или свързана престъпна дейност“ (11). Освен това в австралийската система не се предвиждаше никакво запазване на PNR данни, освен за конкретни пътници, за които е било установено, че създават конкретна заплаха (12).

16.

Освен това, що се отнася до предвидимостта на надзора на субектите на данни, малко е вероятно предложението на Комисията да отговаря на изискванията за солидна правна основа съгласно правото на ЕС: „оценката“ на пътниците (която преди се наричаше „оценка на риска“) ще се извършва въз основа на постоянно променящи се и непрозрачни критерии. Както изрично е посочено в текста, основната цел на схемата не е традиционен граничен контрол, а разузнавателни данни (13) и арестуване на лица, които не са заподозрени, преди извършване на престъпление. Разработването на такава схема в европейски мащаб, която включва събиране на данни за всички пътници и вземане на решения въз основа на неизвестни и променящи се критерии за оценка, повдига сериозни опасения във връзка с прозрачността и пропорционалността.

17.

Единствената цел, която според ЕНОЗД би могла да отговаря на изискванията за прозрачност и пропорционалност, би била използването на PNR данни в конкретни случаи, както беше посочено в член 4, параграф 2, буква в), но само в случай на конкретна сериозна заплаха, установена чрез конкретни показатели.

18.

В член 4, параграф 2, буква б) се предвижда, че звената за данни за пътниците (ЗДП) могат да извършват оценка на пътниците и в рамките на тази дейност могат да сравняват PNR данни с „уместни бази данни“, посочени в член 4, параграф 2, буква б). В тази разпоредба не се посочват кои са уместните бази. Поради това мярката не е предвидима, а това също е изискване съгласно Хартата и ЕКПЧ. Освен това във връзка с разпоредбата се повдига въпросът за нейната съвместимост с принципа за ограничаване в рамките на целта: според ЕНОЗД тя трябва да не се прилага например за база данни като „Евродак“, която е била разработена за други цели (14). Освен това тя трябва да може да се прилага само в случай на специфична нужда, в конкретен случай, в който има предварително подозрение за дадено лице след извършване на престъпление. Системното съпоставяне на всички PNR данни например с базата данни на Визовата информационна система (15) би било прекомерно и непропорционално.

19.

Идеята, съгласно която предложението ще подобри защитата на данните, като осигури еднакви условия по отношение на правата на отделните хора, е неубедителна. ЕНОЗД отчита факта, че, ако бъдат установени необходимостта и пропорционалността на схемата, еднаквите стандарти в ЕС, включително за защитата на данни, биха подобрили правната сигурност. При все това в съображение 28 от настоящия текст на предложението се посочва, че „директивата на засяга възможността на държавите-членки да въведат съгласно националното си право система за събиране и обработка на PNR данни за цели, различни от посочените в настоящата директива, или от доставчици на превоз, различни от посочените в настоящата директива, по отношение на вътрешни полети (…)“.

20.

Поради това хармонизирането в резултат на предложението е ограничено. То може да обхване правата на субектите на данни, но не и ограничението в рамките на целта и може да се приеме, че съгласно този текст системите за PNR, които вече се използват за борба например с незаконна имиграция, биха могли да продължат да се използват за тази цел и съгласно директивата.

21.

Това означава, че от една страна ще останат налице някои разлики между държавите-членки, които вече са разработили схема за PNR, и от друга страна огромното мнозинство от държави-членки, които не събират системно PNR данни (21 от 27 държави-членки), ще бъдат задължени да започнат да събират данни. ЕНОЗД счита, че от тази гледна точка всякаква добавена стойност по отношение на защитата на данни е спорна.

22.

Напротив, последиците от съображение 28 са сериозно нарушаване на принципа на ограничаване в рамките на целта. Според ЕНОЗД в предложението следва изрично да се посочи, че PNR данните не могат да се използват за други цели.

23.

ЕНОЗД достига до заключение, подобно на заключението от оценката на директивата за запазване на данни: и в двата контекста липсата на реално хармонизиране е паралелна с липса на правна сигурност. Освен това допълнителното събиране и обработка на лични данни стават задължителни за всички държави-членки, а действителната нужда от схемата не е установена със сигурност.

24.

В допълнение ЕНОЗД отбелязва, че развитията при PNR са свързани с извършваната понастоящем обща оценка на всички инструменти на ЕС в областта на управлението на обмена на информация, предприета от Комисията през януари 2010 г. и разработена в скорошното съобщение „Преглед на управлението на информацията в областта на свободата, сигурността и правосъдието“ (16). По-специално е налице ясна връзка с настоящия дебат относно европейската стратегия за управление на информацията. В тази връзка ЕНОЗД счита, че резултатите от настоящата работа по европейския модел за обмен на информация, който се очаква през 2012 г., следва да бъдат взети под внимание при оценката на необходимостта от PNR на ЕС.

25.

В този контекст и с оглед слабостите на предложението и по-специално на неговата оценка на въздействието ЕНОЗД счита, че е необходима специфична оценка на въздействието по отношение на неприкосновеността на личния живот и защитата на данни в случаи като този, където същността на предложението засяга основните права на неприкосновеност на личния живот и защита на данните. Обща оценка на въздействието не е достатъчна.

26.

В член 2, букви ж), з) и и) от предложението са определени престъпленията, свързани с тероризъм, тежките престъпления и тежките транснационални престъпления. ЕНОЗД изразява удовлетворение от факта, че определенията — и техният обхват — са били прецизирани и е било направено разграничение между тежки престъпления и тежки транснационални престъпления. Това разграничение е особено уместно с оглед на факта, че то предполага различна обработка на лични данни и се изключва оценка във връзка с предварително определени критерии, когато става въпрос за тежки престъпления без транснационален елемент.

27.

Определението на тежки престъпления обаче все още е твърде общо според ЕНОЗД. Това се признава в предложението, в което се посочва, че държавите-членки все пак могат да изключат леки нарушения, които попадат в обхвата на определението на тежки престъпления (17), но които не биха били в съответствие с принципа на пропорционалност. Този текст предполага, че определението в предложението може да включва леки нарушения, чиито производства биха били непропорционални. Не става ясно какво точно обхващат леките нарушения. ЕНОЗД счита, че вместо на държавите-членки да се даде възможност да стеснят обхвата на прилагане, в предложението следва изрично да се изброят нарушенията, които следва да бъдат включени в неговия обхват, и нарушенията, които следва да бъдат изключени, тъй като следва да се считат за леки и не отговарят на теста за пропорционалност.

28.

Същото опасение важи по отношение на оставената възможност, която се съдържа в член 5, параграф 5, за обработка на данни, свързани с всякакви нарушения, ако те бъдат разкрити в хода на действие по правоприлагане, както и възможността, посочена в съображение 28, за разширяване на обхвата на прилагане, така че да се обхванат цели, различни от предвидените в предложението, или други доставчици на превоз.

29.

ЕНОЗД също така изразява загриженост по отношение на възможността, предвидена в член 17, в обхвата на директивата да се включват вътрешни полети, в контекста на опита на държавите-членки, които вече събират такива данни. Такова разширяване на обхвата на схемата за PNR би представлявало още по-голяма заплаха за основните права на хората и не трябва да се предвижда за въвеждане преди да се извърши подходящ анализ, включващ цялостна оценка на въздействието.

30.

В заключение, ако обхватът на прилагане остане открит и на държавите-членки бъдат дадени възможности да разширяват целта, това ще бъде в разрез с изискването данните да се събират само за конкретни и изрични цели.

31.

Ролята на звената за данни за пътниците и предпазните мерки във връзка с обработката на PNR данни повдигат конкретни въпроси, по-специално с оглед на факта, че ЗДП получават данни за всички пътници от авиокомпаниите и — в съответствие с текста на предложението — имат широки компетенции за обработка на тези данни. Това включва оценка на поведението на пътници, които не се подозират в никакви престъпления, и възможност за съпоставяне на PNR данни с неконкретизирани бази данни (18). ЕНОЗД отбелязва, че в предложението са предвидени условия „за ограничаване на достъпа“, но счита, че само тези условия не са достатъчни с оглед на широките компетенции на ЗДП.

32.

Първо, естеството на органа, определен като ЗДП, и неговият състав остават неясни. В предложението се посочва възможността членовете на персонала да бъдат „командировани от компетентни публични органи“, но не се дават никакви гаранции от гледна точка на компетентност и безпристрастност на персонала на ЗДП. ЕНОЗД препоръчва в текста на директивата да се включат такива изисквания, като се вземе предвид чувствителният характер на обработката, която ще се извършва от ЗДП.

33.

Второ, предложението позволява определянето на едно ЗДП за няколко държави-членки. Така се оставя възможност за рискове от злоупотреба и предаване на данни извън условията на предложението. ЕНОЗД признава, че може да са налице причини, особено за по-малките държави-членки, да обединят своите сили с цел ефикасност, но препоръчва в текста да се включат условия за този вариант. Тези условия следва да касаят сътрудничеството между компетентните органи, както и надзора, по-специално по отношение на органа за защита на данните, който отговаря за наблюдението, и по отношение на упражняването на права от страна на субекта на данни, тъй като няколко различни органи могат да са компетентни да осъществяват надзор на едно ЗДП.

34.

Налице е риск от изместване на функциите, свързан с горепосочените елементи, и по-специално с оглед на качеството на персонала, компетентен да анализира данните, и „споделянето“ на едно ЗДП от няколко държави-членки.

35.

Трето, ЕНОЗД поставя под съмнение предпазните мерки, предвидени срещу злоупотреби. Задълженията за записване се оценяват положително, но са недостатъчни. Самонаблюдението следва да се допълва от външно наблюдение по по-структуриран начин. ЕНОЗД предлага на всеки четири години да се организират одити по систематичен начин. Трябва да се разработи цялостен набор от правила за сигурност, който следва да се налага хоризонтално на всички ЗДП.

36.

В член 7 от предложението се предвиждат няколко сценария, които позволяват обмен на данни между ЗДП — тоест нормалната ситуация — или между компетентните органи на държава-членка и ЗДП в извънредни ситуации. Условията също така са по-строги в зависимост от това дали се иска достъп до базата данни, предвидена в член 9, параграф 1, в която се съхраняват данни в продължение на първите 30 дни, или до базата данни, посочена в член 9, параграф 2, в която се съхраняват данни в продължение на пет години.

37.

Условията за достъп се определят по-строго, когато искането за достъп е извън обичайната процедура. ЕНОЗД обаче отбелязва, че използваните изрази водят до объркване: член 7, параграф 2 се прилага в „конкретен случай на предотвратяване, разкриване, разследване или наказателно преследване на престъпления, свързани с тероризъм, или тежки престъпления“; в член 7, параграф 3 се посочват „извънредни обстоятелства в отговор на конкретна заплаха или конкретно разследване или наказателно преследване във връзка с престъпления, свързани с тероризъм, или тежки престъпления“, докато член 7, параграф 4 касае „непосредствена и сериозна заплаха за обществената сигурност“, а в член 7, параграф 5 се посочва „конкретна и действителна заплаха във връзка с престъпления, свързани с тероризъм, или тежки престъпления“. Условията за достъп на различни заинтересовани страни до базите данни се различават в зависимост от тези критерии. При все това разликата между конкретна заплаха, непосредствена и сериозна заплаха и конкретна и действителна заплаха не става ясна. ЕНОЗД подчертава необходимостта от допълнително конкретизиране на точните условия, съгласно които ще се позволи прехвърляне на данни.

38.

Предложението се позовава на рамково Решение 2008/977/ПВР на Съвета като общо правно основание за принципите на защита на данните и разширява своя обхват до обработка на данни на национално равнище.

39.

ЕНОЗД подчерта още през 2007 г. (19) недостатъците на рамковото решение по отношение на правата на субектите на данни. Сред липсващите елементи в рамковото решение има по-специално някои изисквания за информация за субекта на данни в случай на искане за достъп до неговите данни: информацията следва да се предостави в разбираема форма, целта на обработката следва да се посочи и има необходимост от по-добре развити предпазни мерки в случай на обжалване пред органа за защита на данните при отказ да се предостави пряк достъп.

40.

Налице се последици от позоваването на рамковото решение и по отношение на установяването на органа за защита на данните (ОЗД), компетентен да наблюдава прилагането на бъдещата директива, тъй като това няма да е непременно същият ОЗД като компетентният орган за въпроси по (предишния) първи стълб. ЕНОЗД счита за незадоволително да се разчита единствено на рамковото решение в контекста на вече приетия Договор от Лисабон, когато една от основните цели е адаптиране на правната рамка, така че да се гарантира високо и хармонизирано равнище на защита в рамките на (предишните) стълбове. Той счита, че в предложението са необходими допълнителни разпоредби, които да допълват позоваването на рамковото решение на Съвета, свързани с установените слабости и по-специално във връзка с условията за достъп до лични данни.

41.

Тези опасения важат с пълна сила и по отношение на разпоредбите за прехвърляне на данни към трети държави. Предложението се позовава на член 13, параграф 3, подточка ii) от рамковото решение, в която се включват широкообхватни изключения от предпазните мерки за защита на данните: по-специално в нея се съдържа дерогация от изискването за адекватност в случай на „законни приоритетни интереси, особено важни обществени интереси“. Това изключение е с неясен текст и потенциално може да се прилага в много случаи на обработка на PNR данни, ако се тълкува широко. ЕНОЗД счита, че в предложението следва изрично да се забрани прилагането на изключенията от рамковото решение в контекста на обработката на PNR данни и да се запази изискването на строга оценка на адекватността.

42.

В предложението се предвижда период от 30 дни на запазване с допълнителен период от пет години в архив. Този период на запазване е значително по-къс в сравнение с предишните версии на документа, в които запазването беше в продължение на пет плюс осем години.

43.

ЕНОЗД изразява удовлетворение от намаляването на първия период на запазване на 30 дни. Независимо от това той поставя под съмнение допълнителния период на запазване в продължение на пет години: за него не е ясно дали има нужда тези данни да се съхраняват допълнително във форма, в която идентифицирането на отделни лица продължава да е възможно.

44.

Освен това надзорният орган подчертава проблем с терминологията в текста, която има важни правни последици: в член 9, параграф 2 се посочва, че данните за пътниците ще бъдат „прикрити“ и следователно ще бъдат „анонимизирани“. При все това по-нататък в текста се посочва, че все пак ще остане възможност за достъп до „пълните данни за пътниците“. Ако това е възможно, то означава, че PNR данните не се анонимизират напълно: макар че се прикриват, остава възможност за идентифициране. Последствието е, че рамката за защита на данните остава напълно приложима, което води до основния въпрос за необходимостта и пропорционалността на запазването на данни, които позволяват идентифициране, на всички пътници в продължение на пет години.

45.

ЕНОЗД препоръчва преработване на текста на предложението, така че да се спази принципът за действително анонимизиране без възможност за връщане към данни, които позволяват идентифициране, което означава, че няма да има възможност за разследване със задна дата. Тези данни пак ще могат да се използват — и то единствено — за обслужване на общи цели на разузнаването въз основа на установяване на модели на тероризъм и свързани престъпления в миграционните потоци. Тази цел следва да се разграничава от запазването на данни във форма, която позволява идентифициране — предмет на определени предпазни мерки — в случаи, които са довели до конкретно подозрение.

46.

ЕНОЗД изразява удовлетворение от факта, че в списъка с данни, които ще се обработват, не се включват чувствителни данни. Той обаче подчертава, че в предложението все пак се предвижда възможност тези данни да се изпращат на звеното за данни за пътниците, което след това е длъжно да ги заличи (член 4, параграф 1, член 11). От този текст не става ясно дали ЗДП продължават да имат рутинно задължение да филтрират чувствителните данни, изпращани от авиокомпаниите, или следва да направят това само в извънреден случай, ако авиокомпаниите ги изпратят погрешка. ЕНОЗД препоръчва текстът да се измени, така че в самия източник на обработката на данни да става ясно, че авиокомпаниите не трябва да изпращат никакви чувствителни данни.

47.

Освен чувствителни данни, списъкът с данни, които могат да се прехвърлят, до голяма степен отразява списъка на САЩ за PNR, критикуван като твърде обширен в няколко становища на работната група по член 29 (20). ЕНОЗД счита, че този списък следва да се намали в съответствие със становището на работната група и че всяка добавка трябва надлежно да се обоснове. Такъв по-специално е случаят с полето „общи забележки“, което трябва да се изключи от списъка.

48.

В съответствие с член 4, параграф 2, букви a) и б) оценката на отделни лица при съпоставяне с предварително определени критерии или уместни бази данни може да включва автоматизирана обработка, но оценката трябва да се прегледа индивидуално чрез неавтоматизирани средства.

49.

ЕНОЗД изразява удовлетворение от поясненията, представени в тази нова версия на текста. Двусмислеността на предишния обхват на разпоредбата във връзка с автоматизираните решения, които водят до „неблагоприятни правни последици върху дадено лице или сериозно го засягат“, беше заменена с по-изричен текст. Сега е ясно, че всички положителни съвпадения ще бъдат подлагани на индивидуален преглед.

50.

Освен това в новата версия е ясно, че оценката в никакъв случай не може да се основава на расата или етническия произход, религиозните или философските убеждения, политическите възгледи, членство в синдикати, здравето или сексуалния живот на дадено лице. С други думи, от този нов текст ЕНОЗД разбира, че решения не могат да се взимат на основата, дори частично, на чувствителни данни. Това е в съответствие с разпоредбата, съгласно която ЗДП не могат да обработват чувствителни данни, и също следва да се приветства като правилно решение.

51.

ЕНОЗД счита за изключително важно да се извърши щателна оценка на прилагането на директивата, както се предвижда в член 17. Той счита, че при прегледа следва да се оцени не само общото съответствие със стандартите за защита на данните, но по-основно и конкретно дали схемите за PNR представляват необходима мярка. Статистическите данни, посочени в член 18, играят важна роля в този смисъл. ЕНОЗД счита, че тази информация следва да включва броя на действията по правоприлагане, както е предвидено в проекта, но също така и броя на ефективните осъдителни присъди, които са последвали — или не са последвали — от действията по правоприлагане. Тези данни са от съществено значение, за да може резултатът от прегледа да е убедителен.

52.

Предложението не засяга съществуващи споразумения с трети държави (член 19). ЕНОЗД счита, че тази разпоредба следва да се позовава по-изрично на целта за глобална рамка, която осигурява хармонизирани предпазни мерки за защита на данните в сферата на PNR, в рамките на и извън ЕС, поискана от Европейския парламент и разработена от Комисията в нейното съобщение от 21 септември 2010 г.„Относно глобалния подход за предаване на резервационни данни на пътниците (PNR данни) на трети държави“.

53.

В този смисъл споразуменията с трети държави не трябва да включват разпоредби под прага за защита на данни на директивата. Това е от особено голямо значение сега, когато се водят повторни преговори за споразуменията със Съединените щати, Австралия и Канада от тази гледна точка на глобална — и хармонизирана — рамка.

54.

Разработването на схема на ЕС за PNR, заедно с преговорите относно споразумения за PNR с трети държави, е проект, който се проточи. ЕНОЗД признава, че в сравнение с предложението за рамково решение на Съвета относно PNR на ЕС от 2007 г. в проекта на текста са въведени видими подобрения. Добавени са предпазни мерки за защита на данните, повлияни от дебати и становища на различни заинтересовани страни, сред които по-специално се включват работната група по член 29, ЕНОЗД и Европейският парламент.

55.

ЕНОЗД изразява удовлетворение от тези подобрения и по-специално от усилията да се ограничи обхватът на предложението и условията за обработка на PNR данни. При все това той е длъжен да изтъкне, че основното предварително условие за разработване на схема за PNR — а именно спазване на принципите за необходимост и пропорционалност — не е спазено в предложението. ЕНОЗД припомня, че според него PNR данните определено биха могли да са необходими за целите на правоприлагането в конкретни случаи и да отговарят на изискванията за защита на данните. Това, което предизвиква конкретни опасения, е тяхното използване по системен и безразборен начин по отношение на всички пътници.

56.

Оценката на въздействието съдържа елементи, които целят да обосноват необходимостта от PNR данни в борбата с престъпността, но естеството на тази информация е твърде общо и тя не успява да подкрепи мащабната обработка на PNR данни за целите на разузнаването. Според ЕНОЗД единствената мярка, която отговаря на изискванията за защита на данните, би била използването на PNR данни в конкретни случаи, когато е налице сериозна заплаха, установена чрез конкретни показатели.

57.

Освен този основен недостатък, забележките на ЕНОЗД са свързани със следните аспекти:

58.

В допълнение ЕНОЗД препоръчва развитията във връзка с PNR на ЕС да се оценяват от по-обща гледна точка, която включва извършваната понастоящем обща оценка на всички инструменти на ЕС в сферата на управлението на обмена на информация, предприета от Комисията през януари 2010 г. При оценката на необходимостта от схема на ЕС за PNR следва да се вземат под внимание по-специално резултатите от настоящата работа по европейския модел за обмен на информация, който се очаква през 2012 г.

—

Становище от 19 октомври 2010 г. относно глобалния подход за предаване на резервационни данни на пътниците (PNR данни) на трети държави, достъпно на: http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

Становищата на работната група по член 29 са достъпни на следния адрес: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

22.6.2011   

BG

Официален вестник на Европейския съюз

C 181/31

22.6.2011   

BG

Официален вестник на Европейския съюз

C 181/34

22.6.2011   

BG

Официален вестник на Европейския съюз

C 181/35

Regione Lombardia

DG Agricoltura

Piazza Città di Lombardia 1

20124 Milano MI

ITALIA

—

articles L. 621-1 et suivants du Code rural et de la pêche maritime,

—

projet de décision du directeur général de FranceAgriMer

FranceAgriMer

12 rue Henri Rol Tanguy

TSA 20002

93555 Montreuil sous Bois Cedex

FRANCE

Ministrstvo za kmetijstvo, gozdarstvo in prehrano Republike Slovenije

Dunajska 22

SI-1000 Ljubljana

SLOVENIJA

22.6.2011   

BG

Официален вестник на Европейския съюз

C 181/37

1.

На 15 юни 2011 година Комисията получи уведомление за планирана концентрация в съответствие с член 4 от Регламент (ЕО) № 139/2004 на Съвета (1), чрез която предприятия Bridgepoint Europe IV Investments (2) Sàrl (Люксембург), под контрола на Bridgepoint Capital Group Limited („Bridgepoint“, Обединено кралство), и Eurazeo SA („Eurazeo“, Франция) придобиват по смисъла на член 3, параграф 1, буква б) от Регламента за сливанията съвместен контрол над предприятие Foncia Groupe SA („Foncia“, Франция) посредством покупка на дялове/акции.

2.

Търговските дейности на въпросните предприятия са:

3.

След предварително проучване Комисията констатира, че операцията, за която е уведомена, би могла да попадне в обхвата на Регламента на ЕО за сливанията. Въпреки това Комисията си запазва правото на окон- чателно решение по тази точка. В съответствие с известието на Комисията относно опростената процедура за разглеждане на определени концентрации по Регламента на ЕО за сливанията (2), следва да се отбележи, че това дело би могло да бъде разгледано по процедурата, посочена в известието.

4.

Комисията приканва заинтересованите трети страни да представят евентуалните си забележки по плани- раната операция.

Забележките трябва да бъдат получени от Комисията не по-късно от 10 дни след датата на настоящата публикация. Забележки могат да се изпращат до Комисията по факс (+32 22964301), по електронна поща на адрес: COMP-MERGER-REGISTRY@ec.europa.eu или по пощата с позоваване на COMP/M.6274 — Bridgepoint/Eurazeo/Foncia Groupe, на следния адрес:

22.6.2011   

BG

Официален вестник на Европейския съюз

C 181/39

1.

На 14 юни 2011 година Комисията получи уведомление за планирана концентрация в съответствие с член 4 от Регламент (ЕО) № 139/2004 на Съвета (1), чрез която предприятие CSN Steel S.L. (Испания), принадлежащо на група Companhia Siderúrgica Nacional, придобива по смисъла на член 3, параграф 1, буква б) от Регламента за сливанията контрол над целите предприятия:

посредством покупка на акции.

2.

Търговските дейности на въпросните предприятия са:

3.

След предварително проучване Комисията констатира, че операцията, за която е уведомена, би могла да попадне в обхвата на Регламента на ЕО за сливанията. Въпреки това Комисията си запазва правото на окон- чателно решение по тази точка. В съответствие с известието на Комисията относно опростената процедура за разглеждане на определени концентрации по Регламента на ЕО за сливанията (2), следва да се отбележи, че това дело би могло да бъде разгледано по процедурата, посочена в известието.

4.

Комисията приканва заинтересованите трети страни да представят евентуалните си забележки по плани- раната операция.

Забележките трябва да бъдат получени от Комисията не по-късно от 10 дни след датата на настоящата публикация. Забележки могат да се изпращат до Комисията по факс (+32 22964301), по електронна поща на адрес: COMP-MERGER-REGISTRY@ec.europa.eu или по пощата с позоваване на COMP/M.6265 — CSN/AG Cementos Balboa/Corrugados Azpeitia/Corrugados Lasao/Stahlwerk Thuringen, на следния адрес:

22.6.2011   

BG

Официален вестник на Европейския съюз

C 181/40

1.

На 14 юни 2011 година Европейската комисия получи уведомление за планирана концентрация в съответствие с член 4 от Регламент (ЕО) № 139/2004 на Съвета (1), чрез която предприятие Talis International Holding GmbH (Германия), холдингово дружество на предприятието, към което принадлежи Talis Group („Talis“), придобива по смисъла на член 3, параграф 1, буква б) от Регламента за сливанията контрол над цялото предприятие Raphael Valves Industries (1975) („Raphael“, Израел) посредством покупка на дялове (акции).

2.

Търговските дейности на въпросните предприятия са, както за Talis, така и за Raphael: разработка, производство и търговия с клапи и други продукти и оборудване за водната промишленост, включително за производство, пренос и разпространение на вода и за канализационни системи.

3.

След предварително проучване Европейската комисия констатира, че операцията, за която е уведомена, би могла да попадне в обхвата на Регламента за сливанията. Въпреки това Европейската комисия си запазва правото на окончателно решение по тази точка. В съответствие с известието на Комисията относно опростена процедура за разглеждане на някои концентрации съгласно Регламента за сливанията (2) следва да се отбележи, че това дело би могло да бъде разгледано по процедурата, посочена в известието.

4.

Европейската комисия приканва заинтересованите трети страни да представят пред нея евентуалните си забележки по планираната операция.

Забележките трябва да бъдат получени от Европейската комисия не по-късно от 10 дни след датата на настоящата публикация. Забележки могат да се изпращат до Европейската комисия по факс (+32 22964301), по електронната поща (COMP-MERGER-REGISTRY@ec.europa.eu) или по пощата с позоваване на COMP/M.6253 — Talis International Holding/Raphael Valves Industries (1975) Ltd на следния адрес: