13.10.2017 |
BG |
Официален вестник на Европейския съюз |
C 345/138 |
Становище на Европейски икономически и социален комитет относно „Предложение за регламент на Европейския парламент и на Съвета относно зачитането на личния живот и защитата на личните данни в електронните съобщения и за отмяна на Директива 2002/58/ЕО (Регламент за неприкосновеността на личния живот и електронните съобщения)“
(COM(2017) 10 final — 2017/0003 (COD)
(2017/C 345/23)
Докладчик: |
Laure BATUT |
Консултация |
Европейски парламент, 16.2.2017 г. Съвет на Европейския съюз, 9.3.2017 г. |
Правно основание |
член 16 и член 114 от Договора за функционирането на Европейския съюз |
|
|
Компетентна секция |
„Транспорт, енергетика, инфраструктури, информационно общество“ |
Приемане от секцията |
14.6.2017 г. |
Приемане на пленарна сесия |
5.7.2017 г. |
Пленарна сесия № |
527 |
Резултат от гласуването („за“/„против“/„въздържал се“) |
155/0/5 |
1. Заключения и препоръки
1.1. |
ЕИСК изразява силно съжаление, че поради припокриването на текстовете относно защитата на данните, техния обем и обърканост, постоянните препратки от единия текст към другия, необходими за тяхното разбиране, е малко вероятно те да бъдат прочетени от хора извън тесен кръг специалисти и добавената им стойност не е достъпна за гражданите, което важи за целия проект на регламент. Той препоръчва публикуването в интернет на обобщена брошура, която да ги описва и да ги направи достъпни за всички. |
1.2. |
ЕИСК подчертава, че от предложените възможности в оценката на въздействието, Комисията е избрала тази, която „умерено“ ще засили неприкосновеността на личния живот. Дали това е с цел да се гарантира баланс с интересите на промишлеността? Комисията не уточнява кои елементи на „значително“ засилване на неприкосновеността на личния живот биха навредили на интересите на промишлеността. Тази позиция има за цел да отслаби текста от самото му създаване. |
1.3. |
ЕИСК препоръчва Комисията:
|
2. Елементи на законодателния контекст
2.1. |
Мрежите за електронни съобщения значително са се разширили от влизането в сила на директиви 95/46 и 2002/58/ЕО (2) относно правото на неприкосновеност на личния живот в електронните съобщения. |
2.2. |
Общият регламент относно защитата на данните (ОРЗД), приет през 2016 г. [Регламент (ЕС) 2016/679], се превърна в основа за действия и определи основните принципи, в това число относно данните от съдебната и наказателната област. По силата на този регламент лични данни могат да се събират единствено при спазване на строги условия, за легитимни цели и при зачитане на поверителността (член 5 от ОРЗД). |
2.2.1. |
През октомври 2016 г. Комисията представи предложение за директива за установяване на Европейски кодекс за електронни съобщения (3) (съдържащо 300 страници), което все още не е прието, но на което тя се позовава за конкретни определения, които не присъстват нито в ОРЗД, нито в разглеждания текст. |
2.2.2. |
В две предложения от януари 2017 г. се конкретизират определени аспекти, като за основа се взема ОРЗД; става въпрос за предложението за регламент относно защитата на физическите лица във връзка с обработването на лични данни от институциите и органите на Съюза (COM(2017) 8 final), докладчик: г-н Pegado Liz] и за разглеждания текст (COM(2017) 10 final) относно зачитането на личния живот и защитата на личните данни. |
2.3. |
Трите посочени по-горе текста ще влязат в сила на една и съща дата, 25 май 2018 г., и имат за цел да се постигне хармонизация на правата и процедурите за надзор. |
2.4. |
Следва да се отбележи, че за да се улесни този подход, беше взето решение да се използва, с цел защита на личния живот, европейски регламент, а не директива. |
3. Въведение
3.1. |
Гражданското общество иска да разбере дали в очертаващия се изцяло цифровизиран свят Съюзът внася добавена стойност, която гарантира пространство, в което личният живот може да се развива без страх от накърняване на неприкосновеността му. |
3.2. |
Данните, които се произвеждат без прекъсване, правят възможно проследяването и определянето на самоличността на всички ползватели навсякъде. Обработването на данните в центрове, намиращи се физически в по-голямата си част извън Европа, поражда тревога. |
3.3. |
Големите информационни масиви се превърнаха във валута; интелигентната им обработка позволява профилиране на физическите и юридическите лица, превръщането им в стока и извличането на печалба често без знанието на ползвателите. |
3.4. |
На първо място, обаче, появата на нови участници в сектора на обработка на данни, различни от доставчиците на достъп до интернет, трябва да доведе до преразглеждане на текстовете. |
4. Обобщено съдържание на предложението
4.1. |
С този текст Комисията би желала да установи баланс между потребителите и промишлеността:
|
4.2. |
Предложението има за цел разгръщане на ОРЗД, който е с общо приложение, с каквото са и поверителността на личните данни и правото на заличаване, и се отнася до конкретния аспект, свързан с неприкосновеността на личния живот и защитата на личните данни в далекосъобщенията, като се предлага въвеждането на по-взискателни правила относно защитата на личния живот, както и координиран надзор и санкции. |
4.3. |
В него не се предвиждат конкретни мерки относно „пропуските“ във връзка с личните данни, произтичащи от самите ползватели, но още в началните разпоредби (член 5) на предложението се потвърждава принципът на поверителност на електронните съобщения. |
4.4. |
Доставчиците могат да обработват съдържанието на електронните съобщения:
|
4.5. |
Те са задължени да изтрият или анонимизират съдържанието след получаването му от адресатите. |
4.6. |
Съгласно член 4, параграф 11 от ОРЗД „съгласие“ на субекта на данните означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята му посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени. |
4.7. |
В проекта се запазва изискването за изрично изразено съгласие, определено от ОРЗД, като тежестта на доказване се носи от операторите. |
4.8. |
Обработката“ се основава на това съгласие. Отговарящият за обработката трябва да е „в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни“ (член 7, параграф 1 от ОРЗД). |
4.9. |
Определени ограничения (на права и задължения) на поверителността биха могли да се внесат от правото на ЕС или от националното право, за да се гарантират обществени интереси или провеждане на инспекция. |
4.10. |
Физическите лица трябва да са дали съгласието си, за да бъдат включени в обществено достъпен електронен указател, при наличие на възможност за проверка и поправяне на отнасящите се за тях данни (член 15). |
4.11. |
Право на възражение ще позволява на всеки ползвател да блокира употребата на данните си, предоставени на трета страна (например на търговец), а след това и при изпращане на всяко съобщение (член 16). Новите правила ще дадат на ползвателите по-голяма възможност за управление на параметрите им („бисквитки“, идентификатори), а нежеланите съобщения (спам, съобщения, SMS, повиквания) ще могат да се блокират при липса на съгласие от страна на ползвателя. |
4.12. |
Относно идентификацията на повикващия и блокирането на нежелани повиквания (членове 12 и 14) в регламента се подчертава, че тези права се отнасят и за юридическите лица. |
4.13. |
Структурирането на система за надзор е съобразено с ОРЗД (глава VI относно надзорните органи и глава VII относно сътрудничеството между надзорните органи). |
4.13.1. |
Държавите членки и техните национални органи, отговарящи за защитата на данните, ще трябва да следят за спазването на правилата за поверителност. Останалите надзорни органи ще могат в рамките на взаимопомощ да изготвят възражения, евентуално подадени пред националните надзорни органи. Те си сътрудничат с последните и с Европейската комисия в рамките на механизъм за съгласуваност (член 63 от ОРЗД). |
4.13.2. |
Европейският комитет по защита на данните (ЕНОЗД) от своя страна има задачата да следи за съгласуваното прилагане на разглеждания регламент (членове 68 и 70 от ОРЗД). |
Той може при необходимост да публикува насоки, препоръки и добри практики, за да способства за прилагането на регламента.
4.14. |
Крайните ползватели, било то физически или юридически лица, имат на разположение средства за правна защита, чрез които да защитят интересите си, накърнени вследствие на нарушения; те могат да получат обезщетение за понесените вреди. |
4.15. |
Сумите, предвидени за административно наказание „глоба“ или „имуществена санкция“, се считат за възпиращи, тъй като могат да достигнат за всяко нарушение до десет милиона евро и до 2 % от общия годишен световен оборот за предходната финансова година за предприятие, като се взема по-високата сума (член 23); в случаите, в които не е налице административно наказание „глоба“ или „имуществена санкция“, държавите членки определят санкциите и уведомяват Комисията за тях. |
4.16. |
Новият текст относно неприкосновеността на личния живот и използването на лични данни ще влезе в сила на 25 май 2018 г., на същата дата, на която ще влязат в сила ОРЗД от 2016 г., регламентът относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза, и предложението за директива за установяване на Европейски кодекс за електронни съобщения (COM(2016) 590 final), ако бъдат приети. |
4.17. |
Приложно поле lex specialis за прилагане на ОРЗД:
|
Правното основание за предложението са член 16 (защита на данните) и член 114 (единен пазар) от ДФЕС, както и членове 7 и 8 от Хартата на основните права. Регламентът има за цел да допълни ОРЗД що се отнася до данните, които могат да се считат за лични.
— |
ratione personae: участници |
Това са от една страна крайните потребители, физически и юридически лица, както са определени в проекта на Европейски кодекс за електронните съобщения, и от друга всички доставчици на съобщителни услуги, не само традиционните, а най-вече новите участници, чиито нови услуги не предлагат гаранции на ползвателите. Т.нар. съобщителни услуги „over-the-top“ (ОТТ) (съобщения в реално време, SMS, интернет телефония, множество интерфейси и т.н.) понастоящем са изключени от приложното поле на съществуващите текстове.
— |
ratione materiae: данните |
Предложението не съдържа разпоредба относно съхранението на данните при компютърните услуги „в облак“ и оставя на държавите членки да действат по свое усмотрение при спазването на член 23 от ОРЗД относно ограниченията на правото на възражение и на практиката на Съда на Европейския съюз (вж. параграф 1.3 от обяснителния меморандум).
Ползвателят трябва да даде съгласието си относно съхранението на генерираните в системите данни и метаданни (дата, час, местоположение и т.н.), освен ако тези данни не трябва да се анонимизират или заличат.
— |
ratione loci: къде? |
Организациите осъществяват дейностите по обработка в държавите членки, или пък една от тези организации, намираща се в държава членка, ще се счита за „водеща“ за целите на надзора, като националните надзорни органи ще играят ролята си, а Европейският надзорен орган по защита на данните (ЕНОЗД) ще упражнява надзор над целия процес.
4.18. |
Целите на ЕС: цифровият единен пазар
|
5. Общи бележки
5.1. |
Комитетът приветства едновременното въвеждане в целия ЕС на съгласуван набор от правила за защита на правата на физическите и юридическите лица във връзка с използването на цифрови данни посредством електронните съобщения. |
5.1.1. |
Той приветства ролята на ЕС на защитник на правата на гражданите и потребителите. |
5.1.2. |
Той подчертава, че макар целта да е хармонизация, тълкуването на множество понятия е оставено на държавите членки, което превръща регламента в нещо като директива, която оставя широко поле за търгуване на личните данни. По-специално здравната сфера е отворена врата за събиране на огромни количества лични данни. |
5.1.3. |
Член 11, параграф 1, член 13, параграф 2, член 16, параграфи 4 и 5 и член 24 са по-скоро разпоредби, които биха могли да бъдат квалифицирани като „транспониране“, което би било подходящо за директива, а не за регламент. На операторите е оставена твърде голяма свобода на действие с цел подобряване на качеството на услугите (членове 5 и 6). Този регламент би трябвало да бъде неразделна част от предложението за директива за т.нар. Европейски кодекс за електронните съобщения (COM(2016) 590 final]. |
5.1.4. |
ЕИСК изразява дълбоко съжаление, че поради припокриването, обема и объркаността на тези текстове, е малко вероятно те да бъдат прочетени от хора извън тесен кръг специалисти. Необходимо е постоянно да се следват препратките между двата текста. Освен това, добавената стойност не е видима за гражданите. Този затруднен прочит и сложността на предложението противоречат на идеята на програмата за пригодност и резултатност на регулаторната рамка (REFIT) и на целта за „по-добро законотворчество“, ще затруднят тълкуването му и ще създадат празноти в защитата. |
5.1.5. |
Предложението за регламент например не съдържа определение на понятието „оператор“; необходимо е да се направи справка с проекта за Европейски кодекс за електронни съобщения (4), който все още не е влязъл в сила и с който ще бъдат променени правилата в сектора в рамките на цифровия единен пазар, по-специално Рамкова директива 2002/21/ЕО, Директивата за разрешение 2002/20/ЕО, Директивата за универсалната услуга 2002/22/ЕО, Директивата за достъпа 2002/19/ЕО, Регламент (ЕО) № 1211/2009 за създаване на ОЕРЕС, Решението за радиочестотния спектър 676/2002/ЕО, Решение 2002/622/ЕО за създаване на Група за политиката в областта на радиочестотния спектър и Решение 243/2012/ЕС за създаване на многогодишна програма за политиката в областта на радиочестотния спектър. Основната отправна точка определено остава ОРЗД (вж. параграф 2.2), а целта на разглежданото предложение е да го допълни, което го поставя в спомагателна позиция спрямо ОРЗД. |
5.2. |
ЕИСК подчертава по-специално съдържанието на член 8 относно защитата на информацията, съхранявана в крайните устройства и възможните изключения, който е от основно значение, тъй като оставя на информационното общество възможността за достъп до личните данни. Набляга също така на съдържанието на член 12 относно ограничаване на идентификацията на повикваща и свързана линия. Тези членове са трудни за разбиране от неспециалист. |
5.2.1. |
Съгласно директивата от 1995 г. (член 2) „лични данни“ означава „всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“)“. Разглежданият регламент разширява защитата на данните до метаданните и вече се прилага както спрямо физическите, така и спрямо юридическите лица. Целесъобразно е отново да се подчертае, че проектът преследва двойна цел: от една страна, защитата на личните данни и, от друга страна, осигуряване на свободното движение на данните и електронните съобщителни услуги на територията на ЕС (член 1). |
5.2.2. |
ЕИСК подчертава, че желанието да бъдат защитени данните на юридическите лица (член 1, параграф 2) ще влезе в противоречие с други текстове, където такова желание отсъства: не е посочено ясно, че те ще трябва да се прилагат в случая на юридическите лица (вж. ОРЗД, данните в европейските институции). |
5.3. |
ЕИСК иска да узнае дали истинската цел на това предложение не е по-скоро да се постави ударение върху член 1, параграф 2 от него, а именно да „се гарантира свободното движение на данни от електронни съобщения и електронни съобщителни услуги в рамките на Съюза“, което не се ограничава, нито забранява по причини, свързани със зачитането на неприкосновеността на личния живот и тайната на съобщенията на физическите лица, отколкото действително да се гарантира заявеното в член 1, параграф 1 от него, а именно „правата на зачитане на личния живот и тайната на съобщенията и защитата на физическите и юридическите лица при обработката на лични данни“. |
5.4. |
Всичко почива на изразяването на съгласие от страна на физическото или юридическото лице. Следователно според ЕИСК ползвателите трябва да бъдат информирани, образовани и да проявяват предпазливост, тъй като щом дадат съгласието си, доставчикът ще може да обработва допълнително съдържанието и метаданните, за да получи възможно най-голям дял и печалба. Колко хора знаят, преди да приемат „бисквитка“, че тя е механизъм за проследяване? Ограмотяването на ползвателите как да упражняват своите права, както и анонимизирането и шифроването, би трябвало да бъдат приоритети, свързани с този регламент. |
6. Конкретни бележки
6.1. |
Лични данни би трябвало да се събират само от организации, които сами по себе си отговарят на много строги условия, стремящи се да постигат известни и легитимни цели (ОРЗД). |
6.2. |
Комитетът отново изразява съжаление във връзка с твърде големия брой изключения и ограничения по отношение на утвърдените принципи на законодателството в областта на защитата на личните данни (5). Равновесието между свобода и сигурност, вместо между основни права на човека и промишленост, би трябвало да остане запазена марка на Европейския съюз. В своя анализ на проекта за регламент (WP 247, 4.4.2017 г., становище 1/2017, параграф 17) работната група, създадена по член 29, настоятелно изтъкна, че той намалява нивото на защита, определена в ОРЗД, особено по отношение на местоположението на терминала, липсата на ограничение на обхвата на данните, които могат да бъдат събирани, и не въвежда защита на неприкосновеността на личния живот по подразбиране (параграф 19). |
6.3. |
Данните са своего рода продължение на личността, самоличност в сянка. Данните принадлежат на лицето, което ги е създало, но след обработката им попадат извън обхвата на неговото влияние. По отношение на съхранението и предаването на данни отговорността е на всяка отделна държава и липсва хармонизация поради възможните ограничения на правата, предоставени от проектодокумента. Комитетът подчертава риска от различия, свързани с факта, че ограничаването на правата се оставя на преценката на държавите членки. |
6.4. |
Възниква въпрос най-вече по отношение на лицата, работещи в предприятия: на кого принадлежат данните, които те генерират в хода на работата си? И как тези данни са защитени? |
6.5. |
Организацията на контрола не е особено ясна (6). Въпреки надзора на ЕНОЗД гаранциите срещу произвол не изглеждат достатъчни и не може да се прецени времето, необходимо за това, процедурите да доведат до санкция. |
6.6. |
ЕИСК призовава за създаване на европейски портал, в който да бъдат събирани и осъвременявани всички европейски и национални текстове, всички права, средствата за правна защита, съдебната практика, практически материали с цел да се помогне на гражданите и потребителите да се ориентират в „джунглата“ от текстове и практики така, че да могат да упражняват правата си. Този портал би трябвало да се основава поне на изискванията на Директива (ЕС) 2016/2102 от 26 октомври 2016 г. относно достъпността на уебсайтовете и мобилните приложения на организациите от обществения сектор и на принципите, посочени в съображения 12, 15 и 21 от предложението за директива, наречена Европейски акт за достъпността 2015/0278 (COD) и да предлага достъпно и разбираемо съдържание на всички крайни потребители. ЕИСК би изразил готовност си да участва във фазите на дефиниране на този портал. |
6.7. |
В член 22 липсва позоваване на „колективните искове“, както ЕИСК вече посочи в становището си относно Европейския кодекс за електронни съобщения. |
6.8. |
Ограничаването на материалното приложно поле (член 2, параграф 2), разширяването на правомощието за обработка на данните без съгласието на титуляря им (член 6, параграфи 1 и 2) и слабо вероятното предположение за получаване на съгласието на ВСИЧКИ заинтересовани ползватели (точка 3, буква б) и член 8, параграфи 1, 2 и 3), ограниченията на правата, които могат да бъдат наложени от държавите членки, ако счетат, че тези ограничения представляват „необходими, подходящи и пропорционални“ мерки, са също така правила, чието съдържание е податливо на толкова тълкувания, че противоречи на истинската защита на неприкосновеността на личния живот. Освен това трябва да се обърне специално внимание на защитата на данните на ненавършилите пълнолетие лица. |
6.9. |
ЕИСК изразява задоволство от правото на контрол, посочено в член 12, но отбелязва твърде ограничената му формулировка, в която изглежда се отдава предпочитание на използването на телефонни повиквания от „непознати“ или „скрити“ номера, сякаш анонимността се препоръчва, при положение че идентифицирането на повикванията би трябвало да бъде принципът. |
6.10. |
Нежеланите съобщения (член 16) и директният маркетинг вече са включени в предмета на директивата за нелоялни търговски практики (7). Схемата би трябвало да бъде по подразбиране приемане (opt-in), а не отказ (opt-out). |
6.11. |
На всеки три години се предвижда оценка от Комисията, но в цифровата сфера този срок е твърде дълъг. За времето, необходимо да се извършат две оценки, цифровият свят ще се е променил напълно. Въпреки това делегирането (член 25), което ще може да бъде разширявано, би трябвало да е с определена продължителност и евентуално да може да се подновява. |
6.12. |
Законодателството трябва да защитава правата на ползвателите (член 3 от ДЕС), като същевременно гарантира правната сигурност, необходима за осъществяването на търговска дейност. ЕИСК изразява съжаление, че предаването на данни от машина на машина не е включено в предложението: трябва да се направи справка с Европейския кодекс за електронни съобщения (предложение за директива, членове 2 и 4). |
6.12.1. |
Интернет на предметите (IoT) (8) ще превърне големите информационни масиви (BigData) в огромни (Huge Data), а след това и във всеобхватни информационни масиви (All Data). Това е ключ за бъдещите вълни на иновация. Машините, големи или малки, съобщават и си предават лични данни (вашият часовник регистрира ударите на сърцето ви и препраща информацията на компютъра на вашия лекар и др.). Множество участници в цифровата сфера лансираха собствени платформи за свързани устройства: Amazon, Microsoft, Intel или във Франция Orange и La Poste. |
6.12.2. |
Интернет на предметите в ежедневието може лесно да доведе до злонамерени вмешателства, а количеството лични данни, които могат да се събират от разстояние, расте (геолокализиране, данни за здравословното състояние, поточно предаване на видео и аудио материали). Между другото, празнотите в защитата на данните представляват интерес за застрахователните дружества, които започват да предлагат на клиентите си да снабдят със свързани устройства и да имат по-отговорно поведение. |
6.13. |
Множество интернет гиганти се опитват да развият първоначалното си приложение в платформа: в тази връзка е добре да се прави разграничение между приложението Facebook и платформата Facebook, която позволява на програмистите да разработват приложения, достъпни от профилите на ползвателите. От своя страна Amazon беше специализирано уеб приложение за онлайн търговия. Днес то се е превърнало в платформа, която дава възможност на трети страни — от физически лица до големи дружества — да продават продуктите си, като ползват ресурсите на Amazon: репутацията, логистиката и т.н. Всичко това минава през предаването на лични данни. |
6.14. |
Икономиката на сътрудничеството е съпътствана от бурното разпространение на платформи: „платформа, която чрез електронни средства установява контакт между множество предоставящи стоки или услуги лица, както и множество потребители“ (9). Въпреки че те се търсят заради дейността и работните места, които могат да осигурят, ЕИСК иска да узнае по какъв начин предаването на данните, които се генерират от тях, ще може да се контролира при прилагането както на ОРЗД, така и на разглеждания регламент. |
Брюксел, 5 юли 2017 година.
Председател на Европейския икономически и социален комитет
Georges DASSIS
(1) 11.6.2013-IP/13/525 и Memo13/531 — ГД „Правосъдие“.
(2) С Директива 2002/58/ЕО се забранява по-специално нежеланата поща („спам“) (член 13), като вследствие на изменението от 2009 г. се въвежда принципът на съгласие за включване, по силата на който операторът трябва да получи съгласието на адресата, преди да му изпраща „търговски съобщения“.
(3) COM(2016) 590 final от 12.10.2016 г., Предложение за директива на Европейския парламент и на Съвета за установяване на Европейски кодекс за електронни съобщения (ЕКЕС), стр. 2 (ОВ C 125, 21.4.2017 г., стр. 56).
(4) COM(2016) 593 final, COM(1) 594 final, COM(12,10) 2016 final (ОВ C 125, 21.4.2017 г., стр. 56).
(5) ОВ C 125, 21.4.2017 г., стр. 56 и ОВ C 110, 9.5.2006 г., стр. 83.
(6) Глава IV от разглеждания регламент препраща към условията на глава VII, по-специално към член 68 от ОРЗД.
(7) ОВ L 149, 11.6.2005 г, стр. 22, членове 8 и 9.
(8) WP247/17, 1.4.2017 г., параграф19 (ОВ C 12, 15.1.2015 г., стр. 1).
(9) ОВ C 125, 21.4.2017 г., стр. 56