[pic] | ЕВРОПЕЙСКА КОМИСИЯ |

Брюксел, 22.4.2010

COM(2010)170 окончателен

ДОКЛАД НА КОМИСИЯТА

относно състоянието на защитата на данните в Информационната система за вътрешния пазар

ДОКЛАД НА КОМИСИЯТА

относно състоянието на защитата на данните в Информационната система за вътрешния пазар

Резюме

Комисията е удовлетворена от начина, по който са гарантирани личните права и свободи по отношение на личните данни (по-нататък „защита на данните“) в Информационната система за вътрешния пазар (IMI). IMI представлява защитена и многоезична интернет система за обмяна на информация, която помага на държавите-членки да изпълняват задълженията си в рамките на административното сътрудничество. Освен това Комисията е доволна от прилагането на Препоръката относно насоки за защита на данните в IMI.

Държавите-членки не са докладвали за проблеми във връзка със защитата на данните. Това оправдава поетапния подход, съгласуван с Европейския надзорен орган по защита на данните, за изграждане на правната уредба за IMI в съответствие с технологичното развитие и разширяването на системата върху други области на законодателството на вътрешния пазар.

През 2010 г. Комисията ще провери дали IMI може да бъде разширена, така че да обхване и други области на вътрешния пазар, и ще придобие повече опит от практическото използване на системата в сферата на услугите. През първото тримесечие 2011 г. тя ще публикува работен документ на службите на Комисията относно функционирането и развитието на системата IMI през 2010 г., който ще включи и темата на защитата на данните.

Предмет на настоящия доклад

В настоящия доклад, чието изготвяне бе обявено в Препоръката на Комисията относно насоки за защита на данните в Информационната система за вътрешния пазар[1] (по-нататък „Препоръката“), се разглежда прилагането на Препоръката от страна на държавите-членки и Комисията и се оценява състоянието на защита на данните в IMI. В него са разгледани и нови въпроси, които не се съдържат в Препоръката – по-специално въпросът за включването на новата Директивата за услугите в обхвата на системата.

При изготвянето на доклада Комисията взе предвид коментарите, получени от държавите-членки както в рамките на проведена през ноември 2009 г. аd-hoc консултация[2], така и чрез редовни контакти с координатори на IMI и представители на държавите-членки в заседанията на IMAC-IMI (Вътрешен пазар – комитет на IMI).

Развитието на IMI през 2009 г.

2009 г. беше от решаващо значение за развитието на IMI. Използването на IMI за законодателството относно професионалните квалификации се разпростира вече върху 20 нови професии и повечето средства са отделени за разширяването на IMI с цел системата да обхване и Директивата за услугите[3].

Национални координатори на IMI участваха в пилотния проект относно обмен на информация във връзка с Директивата за услугите (въз основа на действителни и фиктивни случаи) и в обученията, проведени в Брюксел[4]. Комисията публикува нова версия на софтуера (1.7), която позволява на компетентните органи да се регистрират сами. В края на годината бе публикувана и временна версия 2.0, включваща отделна приложна програма за предупредителния механизъм[5]. Тази нова програмна версия започна да функционира пълноценно през първото тримесечие на 2010 г.

Благодарение на съвместните усилия на Комисията и държавите-членки до края на януари 2010 г. в IMI бяха регистрирани 4508 компетентни органа, от които 3698 имат достъп и до новата област на услугите, като се очаква този брой значително да нарасне през следващите няколко месеца. Средният брой различни потребители, които ежедневно влизат в интернет, се увеличи от 40 през януари 2009 г. до 180 през декември същата година.

Общ брой заявки, изпратени за едно тримесечие за отделните законодателни области през 2009 г.

[pic]

В областта на професионалните квалификации системата е доста развита и определеният ѝ успех показва потенциала на IMI като инструмент за административното сътрудничество в ЕС. Изпратени са средно 350 заявки на тримесечие. Повече от 90 % от изпратените през 2009 г. заявки относно професионалните квалификации произхождаха от EС-15, т.е. държавите-членки, които се присъединиха преди 2004 г., което ясно отразява посоката на трудовата миграция. Полша и Румъния бяха получателите на 32 % от всичките заявки.

Когато се разглеждат тези числа, трябва да се отбележи, че на 56 % от заявките бе отговорено в рамките на една седмица.

Време, необходимо за разглеждане на заявка във връзка с Директивата за професионалните квалификации, през 2009 г.

Приети заявки | Натрупване | Заявки, на които е отговорено | Натрупване |

В рамките на 3 дни | 741 | 57,0 % | 518 | 43,0 % |

В рамките на 1 седмица | 216 | 73,7 % | 167 | 56,8 % |

В рамките на 2 седмици | 166 | 86,5 % | 170 | 71,0 % |

В рамките на 4 седмици | 120 | 95,7 % | 164 | 84,6 % |

В рамките на 8 седмици | 35 | 98,4 % | 106 | 93,4 % |

над 8 седмици | 21 | 100,0 % | 80 | 100,0 % |

Общо: | 1299 | 1205 |

(* Несъответствието между приетите заявки и заявките, на които е отговорено, е в резултат на заявките, които бяха оттеглени или все още в процес на отговаряне към края на декември 2009 г.)

Подобряване на защитата на данните в IMI, поетапен подход

Системата IMI следва подхода на така наречената „вградена в проекта защита на личните данни“ („Privacy by design“), т.е. спазването на защитата на данните е предвидено в системите, съдържащи информация, още от самото начало. Съображенията относно защитата на данните са и част от ежедневното използване на системата и са включени в учебните материали – това е подход, който излиза извън рамките на формалната и теоретична защита на данните. Този принцип изглежда дава резултат, тъй като държавите-членки не са докладвали в IMI за нито един инцидент във връзка със защитата на данните, а също така не са получени оплаквания и от субекти на данни.

За изминалите две години Комисията беше в диалог с органите за защита на данните и Европейския надзорен орган по защита на данните (EНОЗД). Основният принцип на поетапния подход се състои в това, че — на базата на факта, че системата гарантира висока степен на техническа и процедурна защита на данни и че Комисията ясно се стреми към продължаване на подобряването ѝ — правната уредба за IMI следва да е в съответствие с технологичното развитие и системата да се разширява върху други области на законодателството за вътрешния пазар.

Поетапният подход позволи на Комисията в становище от 12 декември 2007 г., основано на ограничения опит във връзка със системата, да разгледа всички изразени от ЕНОЗД опасения и да приеме три правни документа относно защитата на данните в IMI:

а) Решение на Европейска комисия от 12 декември 2007 г. относно защитата на личните данни при въвеждането на Информационната система за вътрешния пазар (IMI)[6]

б) Препоръка на Европейската комисията от 26 март 2009 г. относно насоки за защита на данните в Информационната система за вътрешния пазар (IMI)[7]

в) Решение на Европейска комисия от 2 октомври 2009 г. за определяне на практическите процедури за електронен обмен на информация между държавите-членки в съответствие с глава VI от Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар[8].

В раздел 6 на настоящия доклад са разгледани всички останали въпроси, както и съдържанието и навременността на бъдещи мерки, включително евентуално приемане на правен инструмент.

Прилагане на Препоръката на Комисията

Подобрения, извършени от държавите-членки

Контакти с органите за защита на данните

Препоръката „ поощри координаторите на IMI да установят контакти със своите национални органи за защита на данни, за да им бъдат давани указания и оказвана помощ относно най-подходящата форма за прилагане на настоящите насоки в рамките на националното законодателство“ . В отчетите си до Комисията повечето държави-членки посочиха, че са провели консултации със своите национални органи за защита на данни. Тези консултации са дали допълнителна увереност на ползвателите на IMI, че лични данни може да се обменят чрез IMI при спазване на законите за защита на данните, и същевременно на националните регулаторни органи е дадена възможност да установят работни отношения с представители на публичните администрации, които високо ценят защитата на данните и се стремят към това този действително европейски проект да се превърне в успех.

Декларации за поверителност

По предложение на ЕНОЗД Препоръката също така поощри координаторите на IMI да обсъдят с местните органи за защита на данните съдържанието на декларациите за поверителност. В Препоръката обаче не беше възможно да се разгледа този въпрос много подробно, защото държавите-членки — въпреки пълното хармонизиране на Директивата за защита на данните — имат известна свобода на действие при прилагането на някои разпоредби. Отчетите на държавите-членки потвърждават, че съществуват различни национални практики по отношение на съдържанието и формата на декларациите за поверителност. Малко повече от половината но държавите-членки бяха на мнение, че правилните форма и съдържание на информацията, предоставяна на отделни лица, следва да се определят на местно равнище от всеки компетентен орган в съответствие с местните закони. За разлика от тях в някои държави-членки са предложени приспособими модели за цялата държава[9].

Повишаване на осведомеността и обучение

Едно от най-важните постижения на Препоръката е фактът, че тя повиши осведомеността относно защитата на данни сред действащите лица в IMI, и ползвателите на IMI, които вече са запознати с общите принципи на защита на данните, и че тя даде практически предложения за гарантиране на висока степен на защита на данните в IMI. Благодарение на Препоръката в учебните материали по IMI, съставени за компетентните органи, са включени и препратки към насоките за защита на данните.

Подобрения, извършени от Комисията

План на IMI за защитеност на данните

Защитеността и поверителността на данните се уреждат от Решение на Европейската комисия от 16 август 2006 г. за сигурността на информационните системи, използвани от Комисията[10]. Това решение е актуализирано с приетите през 2009 г. правила за прилагане и най-новите насоки и стандарти, които отговарят до голяма степен на международните стандарти. Мерките за защита на данните в IMI са съответно преразгледани и актуализирани и през 2009 г. бе съставен обширен план за защитеността на данните, който ще бъде преразгледан отново през 2010 г.

Технически подобрения

Ако обменът на информация се отнася до чувствителни данни, на екрана сега вече се появява напомняне, че информацията е чувствителна и занимаващото се със съответния случай служебно лице трябва да изисква тази информация само ако тя е абсолютно необходима и пряко свързана с упражняване на служебните му задължения или за извършването на дадена услуга. Съображенията относно защита на данните са взети предвид в пълен обем и при разработването и прилагането на новия предупредителен механизъм (вж. раздел 5.2.3.2 по-долу).

Освен това подобрен е и уебсайтът на IMI, за да може потребителите да намират съответните документи по-интуитивно. Разделът за защита на данните[11] е актуализиран с всички правни текстове относно защита на данните, кореспонденцията с ЕНОЗД и използвани в системата въпросници. За целите на прозрачността и по предложение на Европейския надзорен орган са идентифицирани въпросите, които имат отношение към чувствителни данни.

Новата законодателна област на Директивата за услугите

Използване на IMI по отношение на Директивата за услугите

В Директивата за услугите няма конкретно позоваване на IMI (а само по-общо — на електронна система за обмен на информация). Поради това беше необходимо да се посочи официално, че системата IMI ще бъде използвана за такава цел. Това беше направено посредством решение[12], прието от Комисията в съответствие с процедурата, предвидена в Директивата за услугите („Решението за комитология“).

В Решението за комитология се определят практически процедури за обмен на информация в областта на услугите в IMI. То допринася за високата степен на защита на данните в системата и придава допълнителна прозрачност и точност на общите правила, посочени в Решение 2008/49/EО и насоките за защита на данните, съдържащи се в Препоръката. Решението допуска да се вземат при необходимост по-късно, въз основа на опита със системата, допълнителни мерки за защита на данните[13].

Структура на предупредителния механизъм, улесняваща защитата на данни

Предупредителният механизъм представлява система за предупреждение, определена в член 29, параграф 3 и член 32 от Директивата за услугите, допълващ системата RAPEX за продуктите. Той съдейства за предотвратяване на рисковете за получателите, дължащи се на услуги.

Предупредителният механизъм позволява на държавите-членки да изпълнят правното си задължение на обмен на информация и следователно е напълно законен от гледна точка на защита на данните. Комисията обаче осъзнава и последиците на такава система за защитата на данните. Поради тази причина тя отдели голямо внимание на структурата ѝ и осигури съобразността ѝ със защитата на данни. Освен това тя призовава държавите-членки, които при изпращане и получаване на предупреждения отговарят за защита на данните, да следят за правилното прилагане на правилата.

Предупредителният механизъм съдържа няколко мерки за защита на данните, които спадат към общите характеристики на системата IMI, както и някои специфични предпазни мерки, които трябва да гарантират следното:

а) Достъпът до данните е ограничен до отделни компетентни органи/ползватели

Съгласно общия подход в IMI достъпът до информация в рамките на предупредителния механизъм е строго ограничен до тези лица, на които е необходимо да са запознати с нея. Компетентните органи и ползвателите на IMI имат достъп до предупрежденията само, ако от държавите-членки им е предоставен конкретен достъп, не само до IMI като цяло, но и за специфичното приложение за предупрежденията. На компетентните органи и ползвателите на IMI не е разрешено по подразбиране да изпращат или получават предупреждения. Тази функция трябва да бъде активирана допълнително.

б) Ненужни предупреждения не се изпращат

Предупреждение не може да бъде изпратено без да се попълни контролен лист, за да се осигури, че критериите са изпълнени. Например трябва да е установено, че са налице конкретни действия или обстоятелства във връзка с услуга, които биха могли да причинят сериозни щети. Ако органът инициатор не изпълни всички приложими критерии, системата не му позволява изпращането на предупреждение.

Освен това предупреждението не се изпраща директно до други държави-членки, а първо се подава на координатор на предупрежденията в същата държава-членка. Този координатор на предупрежденията трябва още веднъж да провери дали предупреждението следва да се изпрати до други държави-членки.

в) Предупрежденията не се разпространяват сред повече получатели, отколкото е необходимо за спазване на посочените в законодателството изисквания за информация

Когато се изпращат предупреждения до други държави-членки, органът инициатор и координаторът на предупрежденията трябва да преценят кои държави-членки да получат предупреждението. Когато държавата-членка, в която се предлага дадена услуга, желае да изпраща предупреждение, то се получава по принцип само от държавата на установяване на доставчика на услугата и Комисията. Тази конфигурация по подразбиране гарантира, че добавянето на други държави-членки в списъка на получателите подлежи на решение, което се взема за всеки отделен случай в зависимост от това, на кого е необходимо да е запознат с информацията.

Освен това предупреждението не се изпраща до всички компетентни органи на съответната държава-членка, а само до входяща инстанция за предупреждения (обикновено до националния координатор на предупрежденията). Получателят ще реши кои компетентни органи в неговата държава-членка са засегнати и трябва да бъдат информирани.

г) Комисията получава предупреждения, както е предвидено в Директивата за услугите, но няма достъп до лични данни

В Директивата за услугите е предвидено, че всички предупреждения се изпращат и до Комисията, но за разлика от държавите-членки на нея не ѝ трябва достъп до личните данни. Следователно Комисията получава предупрежденията без личните данни.

д) Ако въпреки предпазните мерки се изпращат необосновани предупреждения, те могат бързо да бъдат оттеглени или неверните данни да бъдат поправени или заличени

Системата IMI позволява на даден компетентен орган, изпратил необосновано предупреждение, веднага да го оттегли, така че да стане невидимо за всички ползватели на IMI. Ако предупреждението е обосновано, но част от информацията трябва да се поправи, то иницииращият компетентен орган може да го извърши това по всяко време. Допълнително системата IMI позволява и на други компетентни органи, получили предупреждението, да насочат вниманието на това, че известна информация в него е невярна.

е) Предупрежденията се отменят веднага, щом като рискът вече не съществува. Данните стават невидими за всички ползватели и личните данни се заличават шест месеца след отмяната

След като рискът, довел до предупреждението, престане да съществува, предупреждението трябва да бъде отменено. Системата IMI следователно позволява на държавата-членка на установяване на доставчика да отмени предупреждението, а до отговорните органи се изпраща напомняне за това по електронната поща. Щом като дадено предупреждение е отменено, то става невидимо. Най-късно шест месеца след отмяната личните данни автоматически се заличават и се изтриват от системата.

Въпроси за допълнително разглеждане

Въпреки че повечето държави-членки изразиха положително мнение за защитата на данните в IMI, някои от държавите-членки поставиха въпроси, които се разглеждат в настоящия раздел на доклада.

Приложими правила относно защитеността и поверителността на данните

Обработването на лични данни в IMI включва съвместно обработване (от страна на Комисията и държавите-членки), съвместен контрол (от страна на различните ползвател и актьори) и съвместен надзор (от страна на националните органи за защита на данни и ЕНОЗД). При такъв комплексен сценарий не е винаги лесно да се възлагат отговорностите.

Датските и германските органи за защита на данни са на мнение, че компетентните органи в своите територии, понеже трябва да спазват определени национални изисквания (например по-стриктен механизъм за удостоверяване, посочен в следващия раздел), следва да настояват и IMI да спазва тези изисквания или повече да не използват тази система. Компетентните органи препратиха тези свои искания на Комисията, която отговаря за сигурността на системата.

Комисията вярва, че IMI представлява сигурна система и че една действително европейска мрежа като IMI просто не може да функционира, ако всяка държава-членка настоява да бъдат спазвани нейните национали стандарти за информационна сигурност. Приемането на Директивата за защита на данните преди почти двайсет години имаше двойна цел — защитаване на основното право на защита на данни, от една страна, и гарантиране на свободното движение на лични данни между държавите-членки и между държавите-членки и институциите на ЕС[14], от друга страна.

На тази основа Комисията подчертава, че предвид високото равнище на гаранциите за защитата на данните в системата IMI и принципа на лоялното сътрудничество, залегнал в член 4, параграф 3 от Договора за Европейския съюз, националните органи за защита на данни не бива да създават препятствия на националните компетентни органи да използват системата.

Към по-строго потвърждаване на правото на достъп в IMI

Системата в IMI за потвърждаване на правото на достъп (IMI authentification system) представлява усъвършенствана версия на еднофакторното автентифициране, тъй като комбинира потребителско име и парола с ПИН код. Когато ползвателят търси достъп до системата, от него се иска да въведе случайно избрана комбинация от знаци на ПИН кода.

Датските и германските органи за защита на данни изразиха опасения относно системата в IMI за потвърждаване на правото на достъп. Комисията е убедена, че сегашният механизъм за потвърждаване на правото на достъп е подходящ, като се държи сметка за нивото на техниката и разходите при въвеждането, но е съгласна, че в дългосрочен план по-строго е желателно въвеждането на по-строго потвърждаване на правото на достъп. Тъй като държавите-членки са въвели различни системи за потвърждаване на правото на достъп, които не винаги са оперативно съвместими, предпочитаното решение за IMI за по-строго потвърждаване на правото на достъп вероятно ще бъде електронно идентифициране, управлявано на равнище държава-членка, което ще стане оперативно съвместимо посредством „мидълуер“ (междинен софтуер).

Една от възможностите е проектът STORK, който в момента се разработва от консорциум с участие на няколко държави-членки и се финансира в рамките на Програмата за подкрепа на политиката в областта на ИКТ от Рамковата програма за конкурентоспособност и иновации. Комисията ще следи внимателно за напредъка му през следващите месеци, които ще бъдат решаващи дали ще се използва в IMI.

Повече информация относно защитеността на данните е предоставена в раздел 7.2.

Съхраняване на данни

Политиката на съхраняването на данни в IMI е много строга[15], и някои актьори и ползватели заявиха, че следва да бъде преразгледана. Бързо заличаване на личните данни в системата не винаги е в интерес на субекта на данните, който може и да предпочете съхраняване на данните си в IMI за по-дълъг период, например във връзка със съдебни производства.

В едно наскоро постановено решение[16] на Съда на Европейския съюз е посочено, че правото на достъп до информация[17] се отнася не само за сегашните данни, но и за данни, съхранявани в миналото. Следователно съдът е на мнение, че ограничаването на достъпа чрез заличаване на данните може да е противозаконно, освен ако се докаже, че по-продължително съхраняване на информацията би представлявало прекомерна тежест за контролиращия орган. Комисията не е на мнение, че съхраняването на лична информация в IMI за по-дълъг период представлява прекомерна тежест и поради това възнамерява да разгледа възможността за по-дълъг период на съхраняване, който би могъл да включи и преходна фаза на блокиране на данните, през която данните стават невидими за всички ползватели, преди да се изтрият окончателно. Възможните последици от такова блокиране, включително въпросът кой да има достъп до блокираните данни и по какви причини, ще бъдат анализирани внимателно.

Това е добър пример за необходимостта от много изчерпателно разсъждаване преди да се определят правила за функционирането на IMI в един правно обвързващ инструмент. От съществено значение е Комисията и държавите-членки да разполагат с достатъчно голям опит със системата, за да избегнат формулирането на неефективни правила за защита на данните или дори такива с обратен ефект, като същевременно гарантират висока степен на защита на данните и включване в процеса на органите за защита на данните.

Национално ползване на IMI

Транспонирането на Директивата за услугите в Нидерландия предвижда използването на IMI за национални цели, т.е. и за обмен на информация между нидерландски власти. Европейската комисия подкрепя този подход, който показва потенциала на IMI да бъде използвана и за сътрудничеството между властите. Националното ползване на IMI от държавите-членки обаче подлежи на три условия:

а) обработването на лични данни и съхраняването на информация на сървърите на Комисията се считат за законосъобразни съгласно националното законодателство,

б) системата се използва такава, каквато е, със същите въпросници и функционални възможности, и

в) съответната държава-членка поема пълната отговорност по всички въпроси (защита на данните и други) във връзка с използването на системата за национални цели.

Затова на държавите-членки, заинтересовани да ползват IMI за национални цели, се препоръчва първо да се консултират със своите национални органи за защита на данни и след това да установят контакт с Комисията, за да обсъдят въпроса и да гарантират, че няма да възникнат проблеми по отношение на законите за защита на данните.

Специални мерки за защита на данните в правно обвързващото законодателство на Общността

В становището си от 12 декември 2007 г. и в кореспонденцията си с Комисията ЕНОЗД призова да бъдат формулирани специални, правно обвързващи мерки за защита на данните в законодателството на ЕС, тъй като обхватът на IMI се разширява и отвъд Директивата за услугите и Директивата за професионалните квалификации. Германските органи за защита на данни изразиха подобни възгледи.

През 2010 г. новата Комисия ще отправи нов поглед към функционирането на единния пазар и възможността за увеличаване на приноса на IMI за подобрено прилагане на законодателството на вътрешния пазар от държавите-членки. По този начин тя ще провери кои други области на посочената политика биха могли за се възползват от IMI.

Съществува вече обширен пакет от мерки за защита на данните и коментарите, получени от държавите-членки, бяха положителни. Поради тази причина Комисията смята, че не би било разумно да се внесе законодателно предложение преди да се определи обхватът на IMI и преди да се придобие опит от практическото използване на тази система в областта на услугите. Всяко бъдещо предложение трябва да съответства на това развитие, за да се осигури стабилна и отговаряща на бъдещите потребности база за IMI и защитата на данните.

Междувременно Комисията ще продължи да подобрява защитата да данните в IMI, в тясно сътрудничество с държавите-членки и ЕНОЗД, както е описано по-долу.

Бъдещи подобрения

Технически подобрения

Бъдеща актуализирана версия на софтуера ще включи автоматично напомняне и списъци за спешно приемане на отговор (така че заявките да не остават без решение по тях по-дълго, отколкото е необходимо). По отношение на онлайн процедурата за поправяне, блокиране или заличаване на данни, тъй като досега не са постъпили запитвания и вероятно няма да има много и в бъдеще, Комисията е на мнение, че ще бъде по-подходящо да се въведе по-опростена процедура, която да се документира надлежно с помощта на Специалния служител за защита на данните към Комисията и на ЕНОЗД.

Защитеност на данните

В съответствие с новите насоки и стандарти, приети наскоро от Комисията, през 2010 г. тя ще проведе нова оценка на риска за IMI и съответно ще актуализира плана за защитеност на данните, като ще установи кои части от системата трябва да бъдат разгледани, възможните рискове и необходимите мерки по отношение на инфраструктурата и софтуера. Ако в резултат от оценката на риска се окаже, че са необходими допълнителни мерки за сигурност, такива мерки постепенно ще се включват в бъдещите актуализирани версии на софтуера.

В началото на 2011 г. ще се извърши и външен одит, който ще се съсредоточи главно върху резултатите и стабилността на системата, но може да обхване и въпроси на защита и сигурност на данните.

Преглед на Директивата за професионалните квалификации

От 2010 до 2011 г. ще се извърши оценка на Директивата за професионалните квалификации. Тя ще включи и оценка на административното сътрудничество и използването на IMI, включително въпроси на защита на данните.

Заключения

Комисията е удовлетворена от прилагането на Препоръката и състоянието на защитата на данните в IMI. Въпреки това тя ще продължи да работи за подобрения на системата, по-специално технически и такива по отношение на сигурността на данните.

Освен това Комисията възнамерява да проучи възможността за разширяване на IMI, така че да обхване и други области на вътрешния пазар, като едновременно се възползва от придобития опит от практическото ѝ прилагане в областта на услугите. Всяко бъдещо предложение за нормативен акт на ЕС ще вземе предвид това развитие и тези съображения, така че да бъде осигурена стабилна и отговаряща на бъдещите потребности база за IMI и защитата на данните.

През първото тримесечие на 2011 г. ще бъде публикуван работен документ на службите на Комисията относно функционирането и развитието на системата IMI през 2010 г. Този доклад ще обхване и въпроса за защитата на данни.

[1] C(2009) 2041 окончателен. OВ L 100, 18.4.2009 г., стр. 12—28.

[2] Седемнайсет държави-членки изпратиха коментарите си във връзка с консултацията, в която бяха зададени следните въпроси:- Установихте ли контакт с националния ви органи за защита на данните? Той изрази ли мнението си за прилагането на насоките в национален мащаб?- Съставихте ли обща декларация относно поверителността на данните за всички ползватели на IMI или това се осъществява локално от съответните ви компетентни органи (КО)?- Срещнаха ли вашите КО проблеми във връзка със защитата на данните, когато изпращаха или отговаряха на молби по IMI?- Докладваха ли вашите КО за проблеми във връзка със заниманието със съдебните досиета?- Получиха ли вашите КО искания от субектите на съответните данни относно достъп, заличаване или поправяне на данни?- Известно ли е на вашите КО, че има възможност за преждевременно заличаване на данни в системата? Те възползват ли се от тази възможност?- Включена ли е темата за защита на данните в обучението ви по IMI?

[3] Директива 2006/123/EО на Европейския Парламент и на Съвета от 12 декември 2006 г. за услугите, предлагани на вътрешния пазар, OВ L 376, 27.12.2006 г., стр. 36–68.

[4] През 2009 г. Комисията проведе три еднодневни курса за координатори по IMI в Брюксел, в които участваха по 60 души. През същия период в държавите-членки се проведоха общо повече от 100 обучения за съответните компетентни органи на местно, регионално и национално равнище.

[5] Вж. член 32 от Директивата за услугите.

[6] C(2007) 6306, OВ L 13, 16.1.2008 г., стр. 13—23.

[7] C(2009) 2041 окончателен, OВ L 100, 18.4.2009 г., стр. 12—28.

[8] C(2009) 7493, OВ L 263, 7.10.2009 г., стр. 32—34.

[9] Положителен пример за национален модел, разработен с техническото съдействие на националния орган за защита на данните, е декларацията за поверителност (cláusula de privacidad) на испанския екип на IMI:http://www.mpt.es/documentacion/sistema_IMI/documentos/protec_datos/ClausulaIMI_ES/document_es/Clausula_IMI.pdf.

[10] C(2006) 3602.

[11] http://ec.europa.eu/internal_market/imi-net/data_protection_en.html

[12] Решение на Комисията от 2 октомври 2009 г. за определяне на практическите процедури за електронен обмен на информация между държавите-членки в съответствие с глава VI от Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар.

[13] Вж. глава 13 на Препоръката, подраздел „Текуща дейност“, точка г).

[14] Този принцип е ясно посочен в член 12 от Директивата за защита на данните и в член 1.1 и съображение 13 от Регламента за защита на данните: „Целта е едновременно да се гарантира ефективно спазване на правилата, които уреждат защитата на основните права и свободи на отделните лица и свободното движение на лични данни между държавите-членки и институциите и органите на Общността или между институциите и органите на Общността във връзка с упражняването на съответните им компетенции.“

[15] Преждевременното заличаване на лични данни е възможно със само няколко кликвания и във всеки случай всички лични данни се изтриват автоматично шест месеца след приключването на иска за информация.

[16] C-553/07, Rotterdam срещу Rijkeboer.

[17] Вж. член 12, буква а) от Директива 95/46/ЕО.