6.6.2009   

BG

Официален вестник на Европейския съюз

C 128/1

1.

На 28 май 2008 г. председателството на Съвета на Европейския съюз обяви пред Корепер, че с оглед на срещата на върха на ЕС на 12 юни 2008 г. контактната група на високо равнище ЕС—САЩ относно обмена на информация и защитата на неприкосновеността на личния живот и личните данни, е завършила своя доклад. Докладът бе оповестен на 26 юни 2008 г. (1)

2.

В него се определят общи принципи за защита на неприкосновеността на личния живот и личните данни като първа стъпка към обмен на информация със Съединените щати за целите на борбата с тероризма и тежката транснационална престъпност.

3.

При оповестяването на доклада председателството на Съвета заяви, че би приветствало всяка идея за последващи действия по доклада и по-конкретно реакции на направените в доклада препоръки за бъдещи действия. С настоящото становище, основаващо се на публично обявеното актуално положение и без да се засягат други допълнителни позиции, които би могъл да изрази в хода на развитието на дискусията по този въпрос, ЕНОЗД се отзовава на тази покана.

4.

ЕНОЗД отбелязва, че работата на контактната група на високо равнище (КГВР) се осъществява, особено след 11 септември 2001 г., в обстановка на развитие на обмена на данни между ЕС и САЩ, посредством международни споразумения или други видове правни инструменти. Сред тях са споразуменията на Европол и Евроюст със САЩ, както и споразуменията за резервационните данни на пътниците и случаят Swift, които доведоха до размяна на писма между длъжностни лица от ЕС и САЩ за установяване на минимални гаранции за защита на данните (2).

5.

Освен това ЕС води преговори и договаря подобни инструменти, които предвиждат обмяна на лични данни с други трети държави. Такъв скорошен пример е Споразумението между Европейския съюз и Австралия относно обработката и предаването на произхождащи от Европейския съюз резервационни данни за пътниците (PNR данни) от въздушни превозвачи на Австралийската митническа служба (3).

6.

От този контекст става ясно, че исканията на правоприлагащите органи на трети държави за лична информация непрекъснато се разширяват по обем, както и че те обхващат не само традиционни правителствени бази данни, но и други видове досиета, по-специално досиета, съдържащи данни, събирани от частния сектор.

7.

Като важен елемент ЕНОЗД припомня също, че въпросът за предаването на лични данни на трети държави в рамките на полицейското и съдебно сътрудничество по наказателноправни въпроси е разгледан в Рамковото решение на Съвета относно защитата на личните данни, обработвани в рамките на полицейско и съдебно сътрудничество по наказателноправни въпроси, което вероятно ще бъде прието преди края на 2008 г. (4)

8.

Може само да се очаква този трансатлантически обмен на информация да нараства и да засегне и допълнителни сектори, в които се обработват лични данни. В този контекст диалогът относно „трансатлантическото правоприлагане“ се приветства, но същевременно е и чувствителен въпрос. Приветства се, тъй като би могъл да предостави по-ясна рамка за обмена на данни, който се осъществява или предстои да се осъществи. Чувствителен въпрос е, тъй като подобна рамка би узаконила значително по обем предаване на данни в областта на правоприлагането — област, в която въздействието върху лицата е особено силно, а стриктните и надеждни предпазни клаузи и гаранции са още по-необходими (5).

9.

В следващата глава от настоящото становище ще бъде разгледано актуалното положение и възможните бъдещи действия. В глава III ще бъдат разгледани обхватът и естеството на инструмента, които биха позволили обмен на информация. В глава IV на становището ще бъдат анализирани в генерален план правните въпроси, свързани със съдържанието на евентуално споразумение. Ще бъдат разгледани условията за оценка на нивото на защита, предвидено в Съединените щати, и ще бъде обсъден въпросът за използването на регулаторната рамка на ЕС като критерий за оценка на това ниво на защита. В тази глава ще бъдат изброени и основните изисквания, които трябва да бъдат включени в такова споразумение. Накрая, в глава V на становището ще бъде направен анализ на принципите на неприкосновеността на личния живот, приложени към доклада.

10.

ЕНОЗД оценява актуалното положение по следния начин. Постигнат е известен напредък при определянето на общи стандарти относно обмена на информация и защитата на неприкосновеността на личния живот и личните данни.

11.

Същевременно все още не е приключила подготовката за каквото и да било споразумение между ЕС и САЩ. Необходима е допълнителна работа. В самия доклад на КГВР се посочват редица нерешени въпроси, най-важен сред които е този за „правната защита“. Продължават разногласията по въпроса за необходимия обхват на съдебната защита (6). Други пет нерешени въпроса са посочени в глава 3 от доклада. От настоящото становище става ясно, че много други въпроси остават нерешени, например въпросът за обхвата и естеството на един евентуален инструмент за обмен на информация.

12.

Тъй като предпочитаният в доклада вариант е обвързващо споразумение — предпочитание, което ЕНОЗД споделя — предпазливият подход става още по-необходим. Преди да бъде постигнато споразумение, е необходима допълнителна и задълбочена подготовка.

13.

Накрая, според ЕНОЗД, би било най-добре сключването на споразумение да се осъществи в рамките на Договора от Лисабон, в зависимост, разбира се, от влизането му в сила. Действително, в рамките на Договора от Лисабон не би възникнала правна несигурност относно разделителните линии между стълбовете на ЕС. Освен това ще бъде гарантирано пълноценното участие на Европейския парламент, както и съдебният контрол от страна на Съда на ЕО.

14.

При тези обстоятелства, най-добрият начин за действие би бил разработването на пътна карта за постигане на евентуално споразумение на по-късен етап. Една такава пътна карта би могла да включва следните елементи:

15.

Според ЕНОЗД от решаващо значение е обхватът и естеството на един евентуален инструмент, включително принципите за защита на личните данни, да бъдат ясно определени, като първа стъпка от по-нататъшното разработване на този инструмент.

16.

По отношение на обхвата важни въпроси, на които предстои да бъде намерен отговор, са:

17.

В определението на естеството следва да бъдат изяснени следните въпроси:

18.

Въпреки че в доклада на КГВР не се посочва ясно точният обхват на бъдещия инструмент, съдържащите се в него принципи дават възможност да се заключи, че инструментът предвижда да обхване предаване, извършвано както между частни страни и публични органи (7), така и между публични органи.

19.

ЕНОЗД вижда логика в това един бъдещ инструмент да бъде приложим и за предаване, осъществявано между частни страни и публични органи. Разработването на такъв инструмент се осъществява на фона на постъпващи през последните години искания от страна на САЩ за информация от частни страни. Действително ЕНОЗД отбелязва, че частните страни все повече се превръщат в системен източник на информация от гледна точка на правоприлагането, както на равнище ЕС, така и на международно ниво (8). Случаят SWIFT установи важен прецедент, при който към частна компания бе отправено искане за системно предаване на данни под формата на информационни масиви до правоприлагащите органи на трета държава (9). Същата логика следва събирането на резервационни данни на пътниците от авиокомпаниите. В становището си по проекта за рамково решение за европейска система за резервационни данни на пътниците ЕНОЗД вече постави под въпрос легитимността на тази тенденция (10).

20.

Съществуват още две причини за колебание по отношение на включването на предаване между частни страни и публични органи в обхвата на бъдещия инструмент.

21.

На първо място, такова включване би могло да произведе нежелан ефект на територията на самия ЕС. ЕНОЗД храни сериозни опасения, че ако данните на частни компании (например финансови институции) могат по принцип да бъдат предавани на трети държави, това би могло да доведе до силен натиск същият тип данни да бъдат еднакво налични и за правоприлагащите органи в рамките на ЕС. Схемата за резервационните данни на пътниците е пример за такова нежелателно развитие, което започна със събиране на информационни масиви от данни на пътниците от страна на САЩ, за да се транспонира след това и във вътрешния европейски контекст (11), без необходимостта и пропорционалността на системата да са били ясно демонстрирани.

22.

На второ място, в становището си по предложението на Комисията относно ЕС и резервационните данни на пътниците ЕНОЗД постави и въпроса за рамката на защитата на данните (първи или трети стълб), която е приложима към условията на сътрудничеството между публичните органи и частните страни: дали разпоредбите следва да се основават на качеството на контрольора на данните (частния сектор) или на преследваната цел (правоприлагане)? Разделителната линия между първия и третия стълб съвсем не е ясна в ситуации, когато на частни страни се налагат задължения за обработване на лични данни за целите на правоприлагането. В този контекст е особено важно, че в неотдавнашното си становище по делото относно запазването на данни генерален адвокат Bot (12) предлага да се установи разделителна линия за такива ситуации, но към предложението си добавя: „Тази разделителна линия определено не е защитена от критики и в някои отношения би могла да изглежда изкуствена.“ Освен това ЕНОЗД отбелязва, че решението на Съда по отношение на резервационните данни на пътниците (13) не отговаря напълно на въпроса за приложимата правна рамка. Така например фактът, че някои дейности не са обхванати от Директива 95/46/ЕО не означава автоматично, че тези дейности могат да бъдат регулирани в рамките на третия стълб. В резултат, това вероятно оставя празнота по отношение на приложимото право и във всеки случай води до правна несигурност по отношение на правните гаранции, с които разполагат субектите на данните.

23.

От тази гледна точка ЕНОЗД изтъква необходимостта от гаранции, че бъдещият инструмент с общи принципи за защита на данните не може сам по себе си да легитимира трансатлантическо предаване на лични данни между частни страни и публични органи. Такова предаване може да бъде включено в бъдещ инструмент само при условие че:

Нещо повече, ЕНОЗД отбелязва несигурността относно приложимата рамка за защита на данните и поради това настоява предаването на лични данни между частни страни и публични органи в никакъв случай да не се включва в правото на ЕС в настоящия му вид.

24.

Точният обхват на обмена на информация остава неясен. Като първа стъпка в бъдещата работа по общия инструмент, следва да бъде изяснен предвижданият обхват на един такъв инструмент. По-конкретно остават въпроси относно това дали:

25.

Определянето на целта на евентуално споразумение също оставя място за несигурност. Целите на правоприлагането са ясно посочени във въведението, както и в първия принцип, приложен към доклада, и ще бъдат допълнително анализирани в глава IV на настоящото становище. Както ЕНОЗД вече отбелязва, в тези изявления личи, че обменът на данни би се съсредоточил върху въпроси от областта на третия стълб, но би могло да възникне съмнение дали това не е само една първа стъпка към по-широк обмен на информация. Изглежда ясно, че целите на „обществената сигурност“, посочени в доклада, включват борбата с тероризма, организираната престъпност и други престъпления. Дали обаче това има за цел да позволи и обмен на данни за целите на други обществени интереси, като евентуални рискове за общественото здраве?

26.

ЕНОЗД препоръчва целта да бъде ограничена до ясно определена обработка на данни и да бъдат аргументирани изборите на политика, довели до такова определяне на целта.

27.

Широкият обхват на този доклад следва да бъде разглеждан в контекста на перспективата за глобалната трансатлантическа зона за сигурност, обсъждана от така наречената „Група за бъдещето“ (14). Публикуваният през юни 2008 г. доклад на тази група поставя известен акцент върху външното измерение на политиката в областта на вътрешните работи. В него се застъпва становището, че „до 2014 г. Европейският съюз следва да вземе решение във връзка с политическата цел за установяване на евро-атлантическо пространство на сътрудничество със САЩ в областта на свободата, сигурността и правосъдието със САЩ“. Такова сътрудничество би излязло извън рамките на сигурността в стриктния смисъл на думата и най-малкото би довело до включване на въпросите, регулирани от сегашния дял IV от Договора за ЕО, като имиграция, визи и сътрудничество в областта на убежището и гражданското право. Трябва да се постави въпросът доколко едно споразумение по основните принципи на защита на данните, като посочените в доклада на КГВР, би могло и следва да бъде основа за обмен на информация в такава широка област.

28.

При нормални обстоятелства, до 2014 г. стълбовата структура ще престане да съществува и ще има едно правно основание за защита на данните в рамките на самия ЕС (по силата Договора от Лисабон, член 16 от Договора за функционирането на Европейския съюз). Същевременно фактът, че на равнище ЕС съществува хармонизация по отношение на регулирането на защитата на данните, не предполага, че всяко споразумение с трета държава може да позволява предаване на всякакви лични данни, независимо от целта. В зависимост от контекста и условията на обработка могат да бъдат необходими адаптирани гаранции за защита на данните в специфични области като правоприлагането. ЕНОЗД препоръчва последиците от тези различни перспективи да бъдат отчетени при подготовката на едно бъдещо споразумение.

29.

Във всички случаи в краткосрочен план е важно да се определи в рамките на кой стълб ще бъдат водени преговорите по споразумението. Това е особено необходимо заради вътрешната регулаторна рамка за защита на данните, която ще бъде засегната от такова споразумение. Ще бъде ли това рамка от областта на първия стълб — основно Директива 95/46/ЕО с нейния специфичен режим за предаване на данни към трети държави — или ще бъде рамка от областта на третия стълб с по-малко строг режим за предаване към трети държави? (15)

30.

Въпреки че, както вече бе споменато, целите на правоприлагането преобладават, в доклада на КГВР все пак се отбелязва събирането на данни от частни структури, а целите могат да бъдат тълкувани и в широк смисъл, който да надхвърли стриктната сигурност, като се включат напр. въпроси на имиграцията и граничния контрол, а евентуално и общественото здраве. С оглед на тази неопределеност, би било силно препоръчително да се изчака хармонизацията на стълбовете по силата на правото на ЕС съгласно предвиденото в Договора от Лисабон, да се установят ясно правното основание за преговорите и конкретната роля на европейските институции, по-специално на Европейския парламент и на Комисията.

31.

Следва да се изясни дали заключенията от обсъжданията ще доведат до сключване на Меморандум за разбирателство или друг необвързващ инструмент, или до обвързващо международно споразумение.

32.

ЕНОЗД подкрепя изразеното в доклада предпочитание за обвързващо споразумение. Според ЕНОЗД едно официално обвързващо споразумение е необходима предпоставка за всяко предаване на данни извън ЕС независимо от целта, за която се предават данните. Предаването на данни към трети държави не може да се осъществява без наличието на адекватни условия и гаранции, включени в конкретна (и обвързваща) правна рамка. С други думи един меморандум за разбирателство или друг необвързващ инструмент може да бъде полезен за предоставяне на насоки за преговори за допълнителни обвързващи споразумения, но в никакъв случай не може да замени необходимостта от обвързващо споразумение.

33.

Разпоредбите на инструмента следва да бъдат еднакво обвързващи за САЩ и за ЕС и неговите държави-членки.

34.

Освен това следва да се гарантира, че лицата имат право да упражняват правата си, и особено да получат правна защита, въз основа на договорените принципи. Според ЕНОЗД този резултат може да бъде постигнат най-добре, ако съществените разпоредби на инструмента са формулирани така, че да произвеждат пряк ефект спрямо гражданите на Европейския съюз и да е възможно позоваване на тях в Съда. Следователно в инструмента трябва ясно да бъден посочен прекият ефект на разпоредбите на международното споразумение, както и условията на неговото транспониране във вътрешното европейско и национално право, за да се гарантира ефективността на мерките.

35.

Друг фундаментален въпрос е степента, в която това споразумение е самостоятелно или трябва да бъде допълвано за всеки конкретен случай от допълнителни споразумения относно специфичен обмен на данни. Действително е спорно дали едно споразумение с един набор от стандарти би могло да обхване по адекватен начин многобройните специфични особености на обработката на данни в рамките на третия стълб. Още по-съмнително е дали то би могло да позволи, без допълнителни дискусии и гаранции, бланкетно одобрение на всяко предаване на лични данни, независимо от целта и естеството на съответните данни. Освен това споразуменията с трети държави не са задължително постоянни, тъй като могат да бъдат свързани с конкретни заплахи, да бъдат обект на преразглеждане и на клаузи за прекратяване. От друга страна, едни общи минимални стандарти, установени в обвързващ инструмент, биха могли да улеснят всяка допълнителна дискусия по предаването на лични данни във връзка с конкретни бази данни или операции по обработка.

36.

Ето защо ЕНОЗД би подкрепил по-скоро разработването на минимален набор от критерии за защита на данните, който да бъде допълван при всеки конкретен случай с допълнителни специфични разпоредби, както е посочено в доклада на КГВР, отколкото алтернативата за самостоятелно споразумение. Тези допълнителни специфични разпоредби са предпоставка, за да се разреши предаването на данни в конкретен случай. По този начин би се насърчил хармонизираният подход по отношение на защитата на данните.

37.

Следва да бъде разгледан и въпросът за това как едно евентуално споразумение от общ характер би се съобразило с вече сключените споразумения между ЕС и САЩ. Следва да се отбележи, че тези съществуващи споразумения нямат същия обвързващ характер: специално следва да бъдат отбелязани споразумението за резервационните данни на пътниците (това, което представя по-добре правната сигурност), споразумението с Европол и Евроюст, или размяната на писма по случая SWIFT (16). Дали една нова обща рамка би допълнила тези съществуващи инструменти или те ще останат непроменени, а новата рамка ще се прилага само за друг бъдещ обмен на лични данни? Според ЕНОЗД съображенията за правна последователност налагат хармонизиран набор от правила, приложими и допълващи както съществуващите, така и бъдещи обвързващи инструменти относно предаването на данни.

38.

Предимството на прилагането на общо споразумение към съществуващи инструменти би било укрепването на техния обвързващ характер. Това би било особено желателно по отношение на инструменти, които не са правно обвързващи, например размяната на писма по случая SWIFT, тъй като това най-малкото би наложило съответствие с набор от общи принципи за неприкосновеността на личния живот.

39.

В настоящата глава ще бъдат разгледани начините за оценка на нивото на защита на специфична рамка или инструмент, както и въпросът за критериите, които да се използват, и за необходимите основни изисквания.

40.

Според ЕНОЗД следва да бъде ясно, че един от основните резултати на бъдещия инструмент би бил, че предаването на лични данни към Съединените щати може да се осъществява само дотолкова, доколкото органите на САЩ гарантират адекватно ниво на защита (и обратно).

41.

ЕНОЗД счита, че само една реална проверка за адекватност би осигурила достатъчно гаранции по отношение на нивото на защита на личните данни. Според него едно общо рамково споразумение с обхват, еднакъв с този от доклада на КГВР, трудно би издържало реална проверка за адекватност. Адекватността на генералното споразумение може да бъде призната, само ако бъде съчетана с адекватността на специфични споразумения, сключени за всеки конкретен случай.

42.

Оценката на нивото на защита, предоставяно от трети държави, не е необичайна практика, особено за Европейската комисия. в рамките на първия стълб адекватността е изискване за предаване. Тя е оценявана по няколко повода по силата на член 25 от Директива 95/46/ЕО въз основа на специфични критерии, и потвърдена с решения на Европейската комисия (17). В рамките на третия стълб такава система не е изрично предвидена: оценка на адекватността на защитата се предвижда само в специфичния контекст на членове 11 и 13 от все още неприетото рамково решение за защита на данните (18) и се предоставя на държавите-членки.

43.

В настоящия случай обхватът на упражнението засяга целите на правоприлагането, а дискусиите се провеждат от Комисията под наблюдението на Съвета. Този контекст е различен от оценката на принципите на безопасното пристанище или на адекватността на канадското законодателство и е свързан в по-голяма степен с неотдавнашните преговори в областта на резервационните данни на пътниците, проведени със САЩ и Австралия в контекста на правната рамка в областта на третия стълб. Същевременно принципите, определени от КГВР, са споменати и в контекста на Програмата за премахване на визовия режим, която се отнася до границите и имиграцията, и следователно до въпроси от областта на първия стълб.

44.

ЕНОЗД препоръчва всяка констатация за адекватност по силата на бъдещия инструмент да доразвива опита в тези различни области. ЕНОЗД препоръчва доразвиване на понятието „адекватност“ в контекста на бъдещия инструмент, въз основа на критерии, подобни на тези, използвани при предходно определяне на адекватността.

45.

Вторият елемент от нивото на защита се отнася до взаимното признаване на системите на ЕС и САЩ. В това отношение в доклада на КГВР се посочва, че целта следва да бъде „да се получи признание за ефективността на системите за защита на неприкосновеността и данните на всяка от страните в областите, обхванати от тези принципи“ (19) и да се постигне „еквивалентно и реципрочно прилагане на правото на защита на неприкосновеността и личните данни“.

46.

За ЕНОЗД е очевидно, че взаимното признаване (или реципрочността) е възможно единствено, ако е гарантирано адекватно ниво на защита. С други думи, бъдещият инструмент следва да хармонизира едно минимално ниво на защита (чрез констатиране на адекватност, като отчита необходимостта от специфични споразумения за всеки конкретен случай). Реципрочност би могла да бъде призната, само ако е изпълнено това предварително условие.

47.

Първият елемент, който трябва да бъде взет предвид, е реципрочността на съществени разпоредби от областта на защитата на данните. Според ЕНОЗД евентуално споразумение следва да разглежда концепцията за реципрочност на съществени разпоредби за защита на данните по начин, който гарантира от една страна, че обработката на данни в рамките на територията на ЕС (и на САЩ) изцяло зачита разпоредбите на вътрешното право относно защитата на данните, а от друга страна, че обработката извън държавата на произход на данните и попадаща в обхвата на споразумението, зачита принципите на защитата на данните, включени в споразумението.

48.

Вторият елемент е реципрочност на механизмите за правна защита. Следва да се гарантира, че европейските граждани разполагат с адекватни средства за защита, когато отнасящи се до тях данни се обработват в Съединените щати (независимо от правото, което се прилага за тази обработка), както и че Европейският съюз и неговите държави-членки предоставят същите права на гражданите на САЩ.

49.

Третият елемент е реципрочност на достъпа на правоприлагащите органи до лични данни. Ако някой инструмент позволява на властите на САЩ достъп до данни, произхождащи от Европейския съюз, реципрочността би изисквала същият достъп да бъде предоставен на органите на ЕС във връзка с данните, произхождащи от САЩ. Реципрочността не трябва да засяга ефективността на защитата на субекта на данните. Това е предпоставка за разрешаване на „трансатлантически“ достъп за органите по правоприлагане. По-конкретно това означава, че:

50.

Конкретизирането на условията за оценка (адекватност, еквивалентност, взаимно признаване) е от съществено значение, тъй като то определя съдържанието по отношение на точността, правната сигурност и ефективността на защитата. Съдържанието на бъдещия инструмент трябва да бъде прецизно и точно.

51.

Освен това следва да се поясни, че всяко специфично споразумение, сключено като последваща стъпка, ще трябва да включва подробни и пълни гаранции за защита на данните във връзка със субекта на предвиждания обмен на данни. Само такова двойно ниво на конкретни принципи за защита на данните би гарантирало необходимото „близко съответствие“ между общото споразумение и специфичните споразумения, както вече бе посочено в точки 35 и 36 от настоящото становище.

52.

Специално внимание заслужава степента, в която споразумение със САЩ би могло до послужи като модел за други трети държави. ЕНОЗД отбелязва, че освен САЩ, горепосоченият доклад на групата „Група за бъдещето“ определя и Русия като стратегически партньор на ЕС. Доколкото принципите са неутрални и съответстват на фундаментални гаранции в ЕС, те биха могли да установят полезен прецедент. Същевременно конкретни аспекти, свързани например с правната рамка на получаващата държава или с целите на предаване, биха попречили на адекватното транспониране на споразумението. От също толкова решаващо значение ще бъде наличието на демократично управление в тези трети държави: следва да се гарантира, че договорените принципи ще бъдат ефективно зачитани и прилагани в държавата-получател.

53.

Имплицитната или експлицитна адекватност следва винаги да съответства на международната и европейска правна рамка и по-специално на съвместно договорените гаранции за защита на данните. Те са залегнали в Насоките на ООН, Конвенция 108 на Съвета на Европа и допълнителния протокол към нея, насоките на ОИСР и проекта за рамково решение за защита на данните, както и — по отношение на аспектите от областта на първия стълб — в Директива 95/46/ЕО (20). Всички тези инструменти съдържат подобни принципи, които са широко признати като сърцевината на защитата на личните данни.

54.

Още по-важно е посочените по-горе принципи да бъдат надлежно отчетени, като се взима предвид въздействието на потенциално споразумение, подобно на споразумението, предвидено от КГВР. Инструмент, който се отнася до целия сектор на прилагане на трета държава, действително би могъл да създаде безпрецедентна ситуация. Съществуващите решения за адекватност в областта на първия стълб и сключените споразумения с трети държави в областта на третия стълб на ЕС (Европол, Евроюст) винаги са били свързвани със специфично предаване на данни, докато тук може да бъде възможно предаване с много по-широк обхват, като се има предвид преследваната мащабна цел (борба с криминални престъпления, национална и обществена сигурност, гранично прилагане) и неизвестното количество засегнати бази данни.

55.

Условията, които трябва да бъдат изпълнени в контекста на предаване на лични данни към трети държави, са развити в работен документ на работната група по член 29 (21). Всяко споразумение относно минималните принципи за неприкосновеност на личния живот следва да издържи проверка за съответствие, гарантираща ефективността на гаранциите за защита на данните.

56.

Освен тези три основни изисквания особено внимание следва да се обърне на специфичните особености, свързани с обработката на лични данни в контекста на правоприлагането. Това е действително област, в която основните права могат да се превърнат в обект на известни ограничения. Ето защо следва да бъдат създадени гаранции, които да компенсират ограничаването на правата на лицата, особено по отношение на следните аспекти, с оглед на въздействието им върху лицето:

57.

В настоящата глава се прави анализ на включените в документа на КГВР 12 принципа от следната гледна точка:

58.

Първият принцип, посочен в приложението към доклада на КГВР, гласи, че личната информация се обработва за легитимни цели на правоприлагането. Както бе посочено по-горе, за Европейския съюз това означава предотвратяване, задържане, разследване или наказателно преследване на наказуеми деяния. За САЩ обаче тълкуването на правоприлагането надхвърля наказуемите деяния и включва „цели на граничното прилагане, обществената сигурност и националната сигурност“. Последиците от тези несъответствия в обявените цели на ЕС и САЩ остават неясни. Макар в доклада да се споменава, че на практика целите могат да съвпадат до голяма степен, от решаващо значение остава да се установи точно до каква степен те не съвпадат. В областта на правоприлагането с оглед на въздействието на предприетите мерки върху лицата, принципът за ограничаването на целта трябва да бъде стриктно спазван, а обявените цели трябва да бъдат ясни и дефинирани. Отчитайки предвидената в доклада реципрочност, сближаването на тези цели също изглежда важно. Накратко, необходимо е изясняване на тълкуването на този принцип.

59.

ЕНОЗД приветства разпоредбата, изискваща точна, съответстваща, своевременна и пълна лична информация, според нуждите на законосъобразната обработка. Този принцип е главно условие за всяка ефективна обработка на данни.

60.

Принципът ясно показва връзката между събраната информация и необходимостта от тази информация за постигане на целите на правоприлагането, установени в закона. Това изискване за законово основание е позитивен елемент за удостоверяване на легитимността на обработката. Въпреки това ЕНОЗД отбелязва, че макар и това да укрепва правната сигурност на обработката, правното основание за такава обработка се съдържа в правото на трета държава. Правото на трета държава не може само по себе си да съставлява легитимно основание за предаване на лични данни (22). В контекста на доклада на КГВР изглежда се предполага, че легитимността на правото на трета държава, т.е. на САЩ, се признава по принцип. Следва да се държи сметка, че ако такива аргументи могат да бъдат приети тук, отчитайки факта, че САЩ са демократична държава, същата схема не би била валидна и не би могла да бъде транспонирана в отношенията с друга трета държава.

61.

Всяко предаване на лични данни трябва да има връзка с въпроса, да бъде необходимо и уместно, съгласно приложението към доклада на КГВР. ЕНОЗД изтъква, че за да бъде пропорционална, обработката не трябва да навлиза ненужно в личното пространство, а условията на процеса да бъдат балансирани, като се отчитат правата и интересите на субектите на данни.

62.

Поради тази причина достъпът до информация следва да се предоставя за всеки отделен случай, в зависимост от практическите нужди в контекста на конкретно разследване. Постоянният достъп на правоприлагащите органи на трета държава до бази данни, намиращи се в ЕС, би бил разглеждан като непропроционален и недостатъчно аргументиран. ЕНОЗД припомня, че дори в контекста на съществуващи споразумения за обмен на данни, напр. в случая със споразумението за резервационните данни на пътниците, обменът на данни се основава на специфични обстоятелства и се сключва за ограничен период от време (23).

63.

По същата логика срокът на запазване на данните следва да бъде регулиран: данните следва да бъдат съхранявани, само докато са необходими, като се отчита преследваната специфична цел. Ако са престанали да имат отношение към определената цел, те следва да бъдат заличавани. ЕНОЗД категорично се противопоставя на изграждането на „складове“ за данни, в които да се съхранява информация за нищо неподозиращи лица с оглед на евентуална бъдеща необходимост.

64.

В принципите са разработени мерки и процедури за опазване на данните от злоупотреба, промени и от други рискове, както и разпоредба за ограничаване на достъпа на оправомощени лица. ЕНОЗД счита това за удовлетворително.

65.

Освен това принципът би могъл да бъде допълнен от разпоредба, посочваща, че следва да се водят дневници на лицата, които имат достъп до данните. Това би повишило ефективността на гаранциите за ограничаване на достъпа и би предотвратило злоупотреба с данните.

66.

Освен това в случай на нарушения на сигурността следва да бъде предвидено взаимно информиране: получателите в САЩ, както и в ЕС, биха носили отговорност за информиране на своите партньори в случай, че данните, които получават са предмет на незаконно разкриване. Това би допринесло за повишена отговорност в посока към сигурност при обработката на данни.

67.

Според ЕНОЗД предвиденото изключение, което позволява всякаква обработка на чувствителни данни, за които вътрешното право предвижда „подходящи гаранции“, значително отслабва принципа, който забранява обработка на чувствителна информация. Тъкмо поради чувствителния характер на данните всяка дерогация от принципа за забрана трябва да бъде адекватно и точно аргументирана със списък от цели и обстоятелства, при които определен тип чувствителни данни могат да бъдат обработвани, както и посочване на качеството на контрольорите, оправомощени да обработват такъв тип данни. ЕНОЗД счита, че една от гаранциите, които трябва да бъдат приети, и, че чувствителните данни не следва да съставляват сами по себе си елемент, който би могъл да предизвика разследване. Достъп до тях може да се предоставя при определени обстоятелства, но само като допълнителна информация по отношение на субекта на данни, който вече се разследва. Тези гаранции и условия трябва да бъдат изброени изчерпателно в текста на принципа.

68.

Както е изтъкнато в точки 55—56 от настоящото становище, отговорността на публичните органи, които обработват лични данни, трябва да бъде ефективно гарантирана, и в споразумението да бъдат предоставени гаранции за начина, по който ще бъде осъществявана тази отговорност. Това е още по-важно, като се има предвид липсата на прозрачност, която традиционно се свързва с обработката на лични данни в контекста на правоприлагането. От тази гледна точка, споменаването — какъвто е понастоящем случаят с приложението, че публичните органи носят отговорност, без да се предоставят каквито и да било допълнителни обяснения относно условията и последиците от тази отговорност, не е удовлетворителна гаранция. ЕНОЗД препоръчва в текста на инструмента да бъде включено обяснение в този смисъл.

69.

ЕНОЗД напълно подкрепя включването на разпоредба, предвиждаща независим и ефективен надзор, упражняван от един или няколко публични надзорни органа. Според ЕНОЗД трябва ясно да се заяви по какъв начин се тълкува понятието „независимост“, по-специално от кого са независими и на кого докладват тези органи. В това отношение са необходими критерии, които следва да отчитат институционалната и функционална независимост във връзка с изпълнителните и законодателните органи. ЕНОЗД припомня, че това е съществен елемент за гарантиране на ефективно съответствие с договорените принципи. Правомощията на тези органи за намеса и прилагане са решаващи и от гледна точка на въпроса за отговорността на публичните органи, които обработват лични данни, както е посочено по-горе. Тяхното съществуване и компетентност следва да бъдат ясно разпознаваеми за субектите на данни, за да им се позволи да упражняват своите права, особено ако няколко органа са компетентни в зависимост от контекста на обработката.

70.

Нещо повече, ЕНОЗД препоръчва в едно бъдещо споразумение да се предвидят и механизми за сътрудничество между надзорните органи.

71.

Необходими са специфични гаранции, когато става въпрос за достъп и нанасяне на поправки в контекста на правоприлагането. В този смисъл ЕНОЗД приветства принципа, който гласи, че на лицата се предоставя/следва да се предостави достъп до и средства за търсене на „поправка и/или заличаване на тяхна лична информация“. Същевременно остава известна несигурност по отношение на определението за лица (следва да бъдат защитени всички субекти на данни, а не само гражданите на съответната държава) и на условията, при които лицата могат да оспорват обработката на свързана с тях информация. Необходимо е уточняване на понятието „подходящи случаи“, при които може или не може да се повдига възражение. За субектите на данни следва да бъде ясно при какви обстоятелства — в зависимост от вида орган, вида разследване или други критерии — те ще могат да упражняват правата си.

72.

Освен това ако липсва пряка възможност за повдигане на възражение по повод на обработка по аргументирани причини, следва да се предвиди възможност за непряка проверка посредством независим орган, отговарящ за надзора на обработката.

73.

ЕНОЗД изтъква още веднъж важността на ефективната прозрачност, за да се даде възможност на лицата да упражняват правата си и да се допринесе за цялостната отговорност на публичните органи, обработващи лични данни. ЕНОЗД подкрепя принципите във вида, в който се предлагат, и се застъпва по-конкретно за необходимостта от общо и индивидуално информиране на лицето. Това е отразено в принципа, изведен в точка 9 от приложението.

74.

Същевременно в глава 2, А. B („Договорени принципи“) от доклада се отбелязва, че в САЩ под „прозрачност“ може да се разбира „индивидуално или съчетано публикуване във Федералния регистър, индивидуално информиране, и разкриване в рамките на съдебно производство“. Трябва да бъде ясно, че сама по себе си публикацията в официален вестник не е достатъчна, за да гарантира подходящо информиране на субекта на данни. Освен необходимостта от индивидуално информиране ЕНОЗД припомня, че информацията трябва да бъде предоставена във форма и на език, който е лесно разбираем за субекта на данни.

75.

За да се гарантира ефективното упражняване на правата им, лицата трябва да могат да подават оплакване пред независим орган за защита на данните, както и да разполагат със средства за правна защита пред независим и безпристрастен съдебен орган. И двете възможности за правна защита следва да бъдат еднакво достъпни.

76.

Достъпът до независим орган за защита на данните е необходим, тъй като предоставя гъвкава и не толкова скъпа помощ, в контекст (правоприлагането), който би могъл да бъде неразбираем за лицата. Органите по защита на данните могат да предоставят помощ и при упражняване на права на достъп от името на субектите на данни, в случаите когато изключения препятстват последните да получат пряк достъп до свои лични данни.

77.

Достъпът до съдебната система е допълнителна и необходима гаранция, че субектите на данни могат да търсят правна защита от орган, който принадлежи към клон на демократична система, различна от публичните институции, които реално обработват техните данни. Съдът на ЕО (24) счита такова ефективно средство за правна защита пред съд за „съществено с цел на индивида да се гарантира ефективна защита на правото му. (...) [Той] отразява общ принцип на правото на Общността, който подчертава общите за държавите-членки конституционни традиции и е залегнал в членове 6 и 13 от Европейската конвенция за защита на правата на човека и основните свободи.“ Наличието на съдебно средство за защита е изрично предвидено и в член 47 от Хартата на основните права на Европейския съюз, и в член 22 от Директива 95/46 ЕО, без да се засяга възможността за административна защита.

78.

ЕНОЗД приветства разпоредбата, предвиждаща подходящи гаранции в случаи на автоматизирана обработка на лична информация. ЕНОЗД отбелязва, че общото разбиране за това, което се счита за „значимо противодействие по отношение на съответните интереси на лицето“ би изяснило условията за прилагане на този принцип.

79.

Условията за извършване на последващо предаване са в някои случаи неясни. По-конкретно, когато последващото предаване трябва да съответства на международни договорености и споразумения между изпращащите и получаващите държави, следва да бъде уточнено дали това се отнася до споразумения между двете държави, които са започнали предаването, или двете държави, участващи в последващото предаване. Според ЕНОЗД при всички случаи са необходими споразумения между двете държави, които са започнали първото предаване.

80.

Освен това ЕНОЗД отбелязва доста широкото определение за „легитимни обществени интереси“, което позволява последващо предаване. Обхватът на обществената сигурност остава неясен, а разширяването на предаването в случай на нарушаване на етичните правила или на регулираните професии изглежда неоправдано и прекомерно в контекста на правоприлагането.

81.

ЕНОЗД приветства съвместната дейност на органите на ЕС и САЩ в областта на правоприлагането, където защитата на личните данни е от решаващо значение. Въпреки това ЕНОЗД би желал да наблегне на факта, че въпросът е комплексен, особено що се отнася до неговия точен обхват и естество, поради което заслужава внимателен и задълбочен анализ. Въздействието на един трансатлантически инструмент върху защитата на данните следва да бъде обмислено внимателно във връзка със съществуващата правна рамка и последствията за гражданите.

82.

ЕНОЗД призовава за повече яснота и конкретни разпоредби, по-специално по отношение на следните аспекти:

83.

ЕНОЗД набляга на факта, че следва да се избягва всякакво прибързване при изработването на принципите, тъй като това само би довело до незадоволителни решения, обратни на желаните по отношение на защитата на данните. Следователно най-добрият начин за бъдеща работа на този етап е разработването на пътна карта за постигане на евентуално споразумение на по-късен етап.

84.

Освен това ЕНОЗД призовава за повече прозрачност в процеса на изработване на принципите за защита на данните. Единствено чрез привличане на всички участници, включително Европейския парламент, инструментът би могъл да извлече полза от демократичния дебат и да получи необходимата подкрепа и признание.

—

Споразумение между Съединените американски щати и Европейската полицейска служба от 6 декември 2001 г., и Допълнително споразумение между Европол и САЩ относно обмена на лични данни и свързана информация, публикувано на уебсайта на Европол;

—

Споразумение между Съединените американски щати и Евроюст относно съдебното сътрудничество, 6 ноември 2006 г., публикувано на уебсайта на Евроюст;

—

Споразумение между Европейския съюз и Съединените американски щати относно обработка и предаване на резервационни данни на пътниците от въздушни превозвачи на Министерството на вътрешната сигурност (DHS) на Съединените щати (Споразумение относно резервационни данни на пътниците от 2007 г.), подписано в Брюксел, 23 юли 2007 г. и Вашингтон, 26 юли 2007 г., ОВ L 204, 4.8.2007 г., стр. 18.

—

Размяна на писма между органите на САЩ и ЕС относно програмата за проследяване на финасирането на тероризма, 28 юни 2007 г.

—

Насоки на ООН относно компютъризираните досиета с лични данни, приети от Общото събрание на 14 декември 1990 г., достъпни на www.unhchr.ch/html/menu3/b/71.html

—

Конвенция на Съвета на Европа за защита на лицата при автоматична обработка на лични данни, 28 януари 1981 г., досътпна на www.conventions.coe.int/treaty/en/Treaties/html/108.html

—

Насоки на ОИСР относно защитата на личната неприкосновеност и трансграничния поток на лични данни, приета на 23 септември 1980 г., достъпна на www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Проект за Рамково решение на Съвета относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, достъпен на http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

6.6.2009   

BG

Официален вестник на Европейския съюз

C 128/13

1.

На 30 май 2008 г. беше прието Съобщението на Комисията до Европейския парламент, Съвета и Европейския икономически и социален комитет „Към европейска стратегия в областта на електронното правосъдие“ (наричано по-нататък „Съобщението“). В съответствие с член 41 от Регламент (ЕО) № 45/2001 ЕНОЗД представя настоящото становище.

2.

Съобщението цели да предложи стратегия за електронно правосъдие, която да увеличи доверието на гражданите в Европейското пространство на правосъдие. Електронното правосъдие следва да си постави за основна цел да спомага за по-ефективно правораздаване в Европа в полза на гражданите. Действията на ЕС следва да предоставят на гражданите достъп до информация без бариери от лингвистично, културно или правно естество, произтичащи от разнообразието на системите. Към Съобщението е приложен проектоплан за действие и график за различните проекти.

3.

Настоящото становище на ЕНОЗД разглежда Съобщението дотолкова, доколкото то е свързано с обработката на лични данни, защитата на правото на неприкосновеност на личния живот в сектора на електронните комуникации и свободното движение на данни.

4.

През юни 2007 г. Съветът по правосъдие и вътрешни работи (3) определи няколко приоритета за развитието на електронно правосъдие:

5.

Оттогава насам свързаната с електронното правосъдие работа отбеляза значителен напредък. Комисията счита, че извършената в това отношение работа трябва да гарантира предимство на оперативни проекти и децентрализирани структури, като същевременно осигурява координация на европейско равнище, стъпва върху съществуващите правни инструменти и прилага инструменти на информационните технологии за подобряване на ефективността им. Подкрепа за проекта за електронно правосъдие изрази и Европейският парламент (4).

6.

Комисията системно насърчава използването на съвременни информационни технологии както във гражданскоправната, така и в наказателноправната област. Това доведе до създаването на инструменти като европейското платежно нареждане. От 2003 г. насам Комисията поддържа „портала“ на европейската съдебна мрежа по гражданскоправни и търговскоправни въпроси, който е достъпен за гражданите на 22 езика. Освен това Комисията разработи и въведе Европейския съдебен атлас. Тези инструменти са предшестващи елементи на бъдещата европейска рамка за електронно правосъдие. В наказателноправната област Комисията работи върху инструмент, позволяващ обмена на информация, извлечена от регистрите за съдимост на държавите-членки (5). Не само Комисията, но и Евроюст разработи съвместно с националните органи сигурни комуникационни системи.

7.

Целта на електронното правосъдие е да предложи множество възможности, които да направят европейското съдебно пространство по-осезаемо за гражданите в близките години. С цел изготвянето на цялостна стратегия по този важен въпрос Комисията прие Съобщението относно електронното правосъдие. В Съобщението се излагат обективни критерии за набелязването на приоритети, особено по отношение на бъдещи проекти на европейско равнище, за да се постигнат конкретни резултати в разумен срок.

8.

Известна, свързана с предисторията информация се съдържа и в работния документ на службите на Комисията — придружителен документ към съобщението с обобщение на оценката на въздействието (6). Докладът за оценката на въздействието е изготвен, като се отчитат реакциите на държавите-членки, съдебните органи, правните професии, гражданите и стопанския сектор. ЕНОЗД не беше потърсен за консултация. В оценката за доклада на въздействието се отдава предпочитание на избор на политика, насочена към разрешаване на проблемите, която да съчетава европейското измерение и националната компетентност. В Съобщението се избира този вид политика. Стратегията се съсредоточава върху използването на видеоконферентна връзка, създаването на портал за електронно правосъдие, подобряване на техническата база за превод чрез разработването на автоматизирани онлайн инструменти за превод, засилване на комуникацията между съдебните органи, подобряване на взаимовръзката между националните регистри и онлайн инструментите за европейски процедури (напр. европейското платежно нареждане).

9.

ЕНОЗД подкрепя съсредоточаването върху посочените по-горе действия. Като цяло ЕНОЗД се застъпва за цялостен подход към електронното правосъдие. ЕНОЗД одобрява нуждата едновременно от подобряване на достъпа до правосъдие, сътрудничеството между европейските съдебни органи и ефективността на самата съдебна система. В резултат на този подход са повлияни няколко организации и лица:

10.

Съобщението е тясно свързано с предложението за решение на Съвета относно създаването на Европейската информационна система за съдимост (ECRIS). На 16 септември 2008 г. ЕНОЗД прие становище по това предложение (7). Той се обяви в подкрепа на предложението, при условие че бъдат взети предвид няколко съображения. По-конкретно ЕНОЗД изтъкна, че допълнителните гаранции за защита на данните следва да компенсират липсата понастоящем на всеобхватна правна рамка относно защитата на данните в областта на сътрудничеството между полицейските и съдебните органи. Във връзка с това ЕНОЗД наблегна на необходимостта от ефективна координация в надзора на системата за защита на данните, която включва органите на държавите-членки и Комисията като доставчик на общата комуникационна инфраструктура.

11.

Някои препоръки от това становище, които заслужават да бъдат припомнени, са:

12.

Тези препоръки продължават да са показателни за контекста, в който ще бъде анализирано въпросното Съобщение на Комисията.

13.

Електронното правосъдие има много широк обхват, включващ принципното използване на информационни и компютърни технологии при правораздаването в Европейския съюз. В него се съдържат редица въпроси като проекти за по-ефективно предоставяне на информация на страните по съдебно дело. То включва онлайн информация за съдебните системи, законодателството и съдебната практика, системите за електронна комуникация, свързващи страните по съдебно дело и съдилищата и установяването на напълно електронни процедури. То обхваща и европейски проекти като използването на електронни инструменти за записване на съдебни заседания и проекти за обмен на информация или взаимовръзка.

14.

Въпреки широтата на обхвата ЕНОЗД отбелязва, че ще има информация относно наказателните производства и съдебните системи в областта на гражданското и търговското право, но не и относно административните съдебни системи. Ще има и връзка към атлас по гражданскоправни и наказателноправни въпроси, но не по административноправни въпроси, макар че може би било по-добре да се осигури достъп на гражданите и предприятията до административните съдебни системи, т.е. административното право и процедурите за обжалване. Следва да бъде предоставена връзка и към уебсайта на Асоциацията на върховните административни юрисдикции. Тези допълнения може да са по-полезни за гражданите, които се опитват да си проправят път из лабиринта — какъвто често е административното право с всички негови съдилища — за да бъдат по-добре осведомени за административните съдебни системи.

15.

Ето защо ЕНОЗД препоръчва включването в електронното правосъдие на административни производства. В рамките на този нов елемент следва да се постави начало на проекти в областта на електронното правосъдие с цел осигуряване на по-добра видимост на правилата за защита на данните, както и на националните органи по защита на данните, по-специално във връзка с видовете данни, обработвани в рамките на електронното правосъдие. Това би било в съответствие с т.нар. „Лондонска инициатива“, стартирана през ноември 2006 г. от органите по защита на данните и насочена към „Предоставяне на информация за защитата на данните и увеличаване на ефективността ѝ.“

16.

Приложимата правна рамка за защита на данните придобива още по-голяма важност в контекста на предвидения от Комисията нарастващ обмен на лични данни между съдебните органи. Във връзка с това ЕНОЗД отбелязва, че три години след първоначалното предложение на Комисията, на 27 ноември Съветът на Европейския съюз прие Рамковото решение относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (8). Това ново законодателство ще предостави обща правна рамка за защита на данните по въпроси, свързани с „третия стълб“ в допълнение към разпоредбите относно защитата на данните от „първия стълб“ на Директива 95/46/ЕО.

17.

ЕНОЗД приветства този правен инструмент като първа значителна стъпка към защита на данните в областта на полицейското и съдебно сътрудничество. При все това, постигнатото в окончателния текст ниво на защита на данните не е напълно задоволително. По-конкретно рамковото решение обхваща само полицейските и съдебните данни, обменени между държавите-членки, органите и системите на ЕС, и не включва вътрешни данни. Освен това приетото рамково решение не установява задължението за разграничаване между различни категории субекти на данни, като заподозрени лица, престъпници, свидетели и потърпевши, което да гарантира по-подходящи предпазни мерки при обработването на техните данни. То не осигурява пълна съгласуваност с Директива 95/46/ЕО, по-специално във връзка с ограничаването на целите, за които личните данни могат да бъдат подлагани на по-нататъшна обработка. Решението не предвижда и независима група от съответни органи по защита на данните на национално равнище и равнище ЕС, която би гарантирала както по-добра координация между органите по защита на данните, така и значителен принос към единно прилагане на рамковото решение.

18.

Това би означавало, че при толкова положени усилия за разработването на общи системи за трансграничен обмен на лични данни, все още съществуват отклонения по отношение на правилата, съгласно които се извършва обработката на тези данни, и съгласно които гражданите могат да упражняват правата си в различни държави на ЕС.

19.

ЕНОЗД припомня отново, че гарантирането на високо ниво на защита на данните в рамките на полицейското и съдебното сътрудничество, както и съгласуваността с Директива 95/46/EO, представлява необходимо допълнение към други въведени или предвидени мерки за улесняване на трансграничния обмен на лични данни за целите на правоприлагането. Това произтича не само от правото на гражданите на зачитане на фундаменталното право на защита на личните данни, но и от необходимостта правоприлагащите органи да гарантират качеството на обменяните данни — както е потвърдено в приложението към Съобщението във връзка с взаимосвързаността на регистрите за съдимост — доверието между органите в различни държави и най-сетне правната действителност на доказателствата, събрани в трансграничен контекст.

20.

Ето защо ЕНОЗД насърчава институциите на ЕС да вземат изрично под внимание тези елементи не само когато прилагат мерките, предвидени в Съобщението, но и с оглед на стартирането възможно най-скоро на разискванията за по-нататъшни подобрения на правната рамка за защита на данните в областта на правоприлагането.

21.

ЕНОЗД признава, че обменът на лични данни е съществен елемент от създаването на пространство на свобода, сигурност и правосъдие. По тази причина ЕНОЗД подкрепя предложението за стратегия за електронно правосъдие, като във връзка с това подчертава важността на защитата на данните. Наистина, спазването на защитата на данните е не само правно задължение, но и основен елемент за успеха на предвидените системи, напр. гарантиране на качеството на обмена на данни. Това важи както за институциите и органите, обработващи лични данни, така и при разработването на нови политики. Правилата и принципите следва да се прилагат и спазват в практиката и най-вече да се вземат предвид в етапа на проектиране и изграждане на информационни системи. Правото на неприкосновеност на личния живот и защита на данните са по същество „определящи фактори за успех“ на едно благоденстващо и балансирано информационно общество. Ето защо е разумно да се инвестира в тях и това да се направи възможно най-рано.

22.

Във връзка с това ЕНОЗД подчертава, че в Съобщението не се предвижда централна европейска база данни. ЕНОЗД приветства предпочитанието към децентрализирана архитектура. ЕНОЗД припомня, че е представил становище относно системата ECRIS (9) и относно инициативата от Прюм (10). В становището си относно ECRIS ЕНОЗД заяви, че чрез една децентрализирана архитектура се избягва допълнително дублиране на личните данни при въведеждането им в централна база данни. В становището си относно инициативата от Прюм ЕНОЗД препоръча при обсъждането на взаимовръзката между базите данни да се вземе надлежно предвид мащаба на системата. По-конкретно следва да се възприемат специфични формати за предаване на данни като онлайн запитвания за съдебни досиета, които отчитат и езиковите разлики, а прецизността на обмена на данни следва да се наблюдава непрекъснато. Тези елементи следва да бъдат взети предвид и в контекста на инициативи, произтичащи от стратегията за електронно правосъдие.

23.

Европейската комисия, в тясно сътрудничество с държавите-членки и други партньори, възнамерява да допринесе за укрепването и разработването на инструменти за електронно правосъдие на европейско равнище. Наред с подкрепата за усилията на държавите-членки самата Комисия възнамерява да разработи няколко компютърни инструмента за увеличаване на оперативната съвместимост на системите, за улесняване на публичния достъп до правосъдие и комуникацията между съдебните органи и за постигане на значителни икономии от обема на европейско равнище. Що се отнася до оперативната съвместимост на софтуера, използван от държавите-членки, не всички държави-членки трябва да използват непременно един и същ софтуер — въпреки че това би бил най-практичният вариант — но той трябва да бъде напълно оперативно съвместим.

24.

ЕНОЗД препоръчва взаимовръзката и съвместимостта на системите да взема надлежно предвид принципа за ограничаване в рамките на целта и да почива на стандартите за защита на данните („privacy by design“ или зачитане на неприкосновеността на личния живот още във фазата на разработване на продукта). Всяка форма на взаимодействие между различните системи следва да бъде щателно документирана. Оперативната съвместимост в никакъв случай не следва да води до ситуация, при която орган, който няма право на достъп или на използване на определени данни, може да получи такъв достъп чрез друга информационна система. ЕНОЗД би искал отново да подчертае, че сама по себе си оперативната съвместимост не следва да оправдава заобикалянето на принципа за ограничаване в рамките на целта (11).

25.

Наред с това друг решаващ момент е да се гарантира, че засиленият трансграничен обмен на лични данни се съпътства от засилен надзор и сътрудничество от страна на органите по защита на данните. В становището си от 29 май 2006 г. относно рамковото решение за обмен на информация от регистрите за съдимост ЕНОЗД (12) вече изтъкна, че предложеното рамково решение следва не само да разглежда сътрудничеството между централните органи, но и сътрудничеството между различните компетентни органи по защита на данните. Тази необходимост придоби още по-голямо значение след като преговорите по наскоро приетото рамково решение относно защитата на лични данни, обработвани в рамките на полицейското и съдебно сътрудничество (13) по наказателноправни въпроси, доведоха до заличаването на разпоредбата за създаване на работна група, обединяваща органите на ЕС по защита на данните и координираща тяхната дейност по отношение на обработката на данни в рамките на полицейското и съдебно сътрудничество по наказателноправни въпроси. Ето защо с оглед гарантирането на ефективен надзор и добро качество на трансграничния обмен на данни, извлечени от регистри за съдимост, следва да се осигурят механизми за ефективна координация между органите по защита на данните (14). Тези механизми следва да вземат предвид и компетентността на ЕНОЗД по отношение на надзора във връзка с инфраструктурата S-TESTA (15). Инструментите за електронно правосъдие биха могли да са в подкрепа на тези механизми, които могат да се разработят в тясно сътрудничество с органите по защита на данните.

26.

В точка 4.2.1 от Съобщението се посочва, че ще е важно обменът на извлечена от регистри за съдимост информация да надхвърли съдебното сътрудничество и да включи други цели, напр. достъп до определени постове. ЕНОЗД подчертава, че всяка обработка на лични данни за цели, различни от тези, за които са били събрани, следва да спазва специфичните условия, установени от приложимото законодателство за защита на данните. По-конкретно, обработката на лични данни за допълнителни цели следва да се допуска, само ако обслужва интересите, посочени в общностното законодателство в областта на защитата на данните (16) и при условие, че те са установени чрез законодателни мерки.

27.

По отношение на взаимовръзката на регистрите за съдимост в Съобщението се посочва, че като част от подготовката за влизането в сила на Рамковото решение относно обмена на информация от регистрите за съдимост Комисията ще стартира две проучвания за осъществимост, за да организира разработването на проекта и да включи в обмена на информация граждани на трети държави, осъдени за наказуеми деяния. През 2009 г. Комисията ще предостави на държавите-членки софтуер, който има за цел да позволи обмен на всички регистри за съдимост в кратки срокове. Тази система за справки заедно с използването на s-TESTA за обмен на информация ще донесе икономии от обема, тъй като няма да е необходимо държавите-членки да извършват своя собствена дейност по разработване. Това ще улесни и управлението на проекта.

28.

В този смисъл ЕНОЗД приветства използването на инфраструктурата на s-TESTA, която е доказала надеждността си като система за обмен на данни, и препоръчва подробно определяне на статистическите елементи, свързани с предвижданите системи за обмен на данни, и надлежно отчитане на необходимостта да се гарантира надзор върху защитата на данните. Статистическите данни например биха могли изрично да включват елементи като брой на исканията за достъп или коригиране на лични данни, дължина и изчерпателност на процеса на актуализиране, характеристика на лицата, които имат достъп до тези данни, както и случаите на нарушения на сигурността. Освен това статистическите данни и опиращите се върху тях доклади следва да бъдат изцяло предоставени на компетентните органи по защита на данните.

29.

Автоматизираният превод е полезен инструмент и вероятно ще способства за взаимното разбиране между съответните участници в държавите-членки. Използването на автоматизиран превод обаче не следва да води до понижаване на качеството на обменяната информация, особено ако тази информация се използва за вземането на решения с правни последици върху съответните лица. ЕНОЗД изтъква, че е важно използването на автоматизиран превод да бъде ясно дефинирано и с точно определени граници. Има вероятност използването на автоматизиран превод за предаването на информация, която не е била предварително преведена акуратно, като например добавени в отделни случаи допълнителни забележки или спецификации, да повлияе върху качеството на предаваната информация — и съответно на решенията, основаващи се на тях — и следва по принцип да се изключи (17). ЕНОЗД предлага тази препоръка да бъде взета предвид при изготвянето на мерките, произтичащи от Съобщението.

30.

В Съобщението се предлага създаването на база данни на съдебни писмени и устни преводачи, така че да се подобри качеството на съдебния писмен и устен превод. ЕНОЗД застава зад тази цел, но напомня, че към въпросната база данни ще се прилага съответното законодателство за защита на данните. По-конкретно, ако базата данни съдържа данни за оценяване на работата на преводачите, тя би могла да бъде обект на предварителна проверка от компетентните органи по защита на данните.

31.

В точка 5 от Съобщението се изтъква, че отговорностите трябва ясно да се разпределят между Комисията, държавите-членки и други участници в съдебното сътрудничество. Комисията ще поеме общото координиране, като насърчава обмена на практики, и ще разработи, въведе и координира информацията относно портала за електронно правосъдие. Освен това Комисията ще продължи да работи за взаимното свързване на регистрите за съдимост и да носи пряка отговорност за мрежата за сътрудничество по гражданскоправни въпроси, както и да подкрепя мрежата за сътрудничество по наказателноправни въпроси. Държавите-членки ще трябва да актуализират съдържащата се на уебсайта за електронно правосъдие информация относно съдебните си системи. Другите участници са мрежите за съдебно сътрудничество по гражданскоправни и наказателноправни въпроси и Евроюст. В тясно взаимодействие с Комисията те ще разработят необходимите за по-ефективно съдебно сътрудничество инструменти, по-специално инструментите за автоматизиран превод и сигурна система за обмен. Към Съобщението е приложен проектоплан за действие и график за различните проекти.

32.

Във връзка с това ЕНОЗД подчертава, че от една страна в системата ECRIS няма създадена европейска база данни и не се предвижда пряк достъп до бази данни, като например съдържащите регистрите за съдимост на други държави-членки, докато от друга страна на национално равнище отговорността за коректността на информацията е съсредоточена в централните органи на държавите-членки. В рамките на този механизъм държавите-членки носят отговорност за работата с националните бази данни и за ефикасното извършване на обмена. Не е ясно дали те носят отговорност за софтуера за осъществяване на връзка. Комисията ще предостави на държавите-членки софтуер, който има за цел да позволи обмен на регистрите за съдимост в кратки срокове. Тази система за справки ще се съчетае с използването на s-TESTA за обменяне на информация.

33.

ЕНОЗД разбира, че в контекста на аналогични инициативи за електронно правосъдие подобни системи биха могли да бъдат внедрени и че Комисията ще носи отговорност за общата инфраструктура, макар това да не е уточнено в Съобщението. От съображения за правна сигурност ЕНОЗД предлага тази отговорност да се уточни в мерките, произтичащи от Съобщението.

34.

В приложението са изброени редица проекти, които да бъдат разработени през следващите пет години. Първият проект, разработка на интернет страници в областта на електронното правосъдие, се отнася до портала за електронно правосъдие. Необходимо е проучване за осъществимост и разработване на портала. Освен това е необходимо прилагане на методи за управление и онлайн информация на всички езици на ЕС. Вторият и третият проект се отнасят до взаимовръзката между регистрите за съдимост. Проект 2 касае взаимовръзката между националните регистри за съдимост. Проект 3 предвижда създаването на европейски регистър на осъдените граждани на трети държави след проучване за осъществимост и представянето на законодателно предложение. ЕНОЗД отбелязва, че последният проект вече не се споменава в работната програма на Комисията и изразява учудване дали това отразява промяна в предвидените проекти на Комисията или просто отлагане на конкретния проект.

35.

В Съобщението са посочени и три проекта в сферата на електронния обмен и три проекта за помощ в областта на преводите. Ще стартира пилотен проект за постепенно съставяне на сравнителен многоезичен юридически речник. Други проекти в тази област се отнасят до създаването на динамични форми, които да подкрепят европейските законодателни текстове, както и да насърчават използването на видеоконферентна връзка от съдебните органи. Най-накрая, като част от форумите за електронно правосъдие ще бъдат провеждани годишни срещи по теми, свързани с електронното правосъдие, и ще се организира обучение на професионалисти в областта на съдебното сътрудничество. ЕНОЗД предлага на тези срещи и обучения да се обръща достатъчно внимание на законите и практиките, свързани със защитата на данните.

36.

Ето защо приложението предвижда широк диапазон от европейски правни инструменти с цел улесняване обмена на информация между участниците в различните държави-членки. Важно място сред тези правни инструменти ще заема портала за електронно правосъдие, основна отговорност за който ще носи Комисията.

37.

Обща характеристика на много от тези правни инструменти е, че информацията и личните данни ще бъдат обменяни и управлявани от различни участници на национално равнище и на равнище ЕС, които са обект на задълженията за защита на данните и надзорните органи, създадени въз основа на Директива 95/46/ЕО или Регламент (ЕО) № 45/2001. Във връзка с това, както ЕНОЗД вече поясни в становището си относно информационната система за вътрешния пазар (18), от определящо значение е да се гарантира ефикасно и плавно изпълнение на отговорностите във връзка със спазването на правилата за защита на данните.

38.

Това изисква от една страна ясно определяне и разпределяне на отговорностите за обработката на лични данни в тези системи; от друга страна — установяването при необходимост на подходящи механизми за координация, особено във връзка с надзора.

39.

Използването на нови технологии е един от основните елементи на инициативите за електронно правосъдие: взаимовръзката между националните регистри, разработването на електронен подпис, сигурни мрежи, виртуални платформи за обмен и засилено използване на видеоконферентна връзка ще бъдат съществени елементи от инициативите за електронно правосъдие през следващите години.

40.

В този смисъл е особено важно въпросите, свързани със защитата на данните, да бъдат взети предвид на най-ранен етап и да бъдат вписани в архитектурата на предвидените инструменти. По-конкретно, особено важни са архитектурата на системата и прилагането на подходящи мерки за сигурност. Този подход на „privacy by design“ (зачитане на неприкосновеността на личния живот още във фазата на разработване на продукта) би позволил съответните инициативи в областта на електронното правосъдие да осигурят ефективно управление на личните данни, като същевременно гарантират съответствие с принципите за защита на данните и сигурност на обмена на информация между различните органи.

41.

Освен това ЕНОЗД подчертава, че инструментите в областта на технологиите следва да се използват не само за гарантиране обмена на информация, но и за укрепване на правата на съответните лица. Във връзка с това ЕНОЗД приветства факта, че в Съобщението се споменава възможността гражданите да поискат съдебното си досие онлайн и на език по свой избор (19). В този контекст ЕНОЗД припомня, че в становището си относно предложението на Комисията за обмен на информация от съдебни регистри е приветствал възможността засегнатото лице да поиска информация за своето съдебно досие от централния орган на държава-членка, ако пребивава или е пребивавало, било е или е гражданин на замолената или молещата държава. ЕНОЗД предложи и идеята органът, който е по-близо до заинтересованото лице, да се използва като „обслужване на едно гише“ в областта на координацията на системите за социална сигурност. Ето защо ЕНОЗД насърчава Комисията да продължи да следва същия път, като насърчава използването на технологични инструменти — и по-специално достъпа онлайн — които позволяват на гражданите да разполагат с по-добър контрол над личните си данни дори при преместване в различни държави-членки.

42.

ЕНОЗД подкрепя настоящото предложение за създаване на електронно правосъдие и препоръчва да се вземат предвид направените в настоящото становище препоръки, сред които:

6.6.2009   

BG

Официален вестник на Европейския съюз

C 128/20

1.

На 2 юли 2008 г. Комисията прие предложение за директива на Европейския парламент и на Съвета за прилагането на правата на пациентите при трансгранично здравно обслужване (наричано оттук нататък „предложението“) (1). В съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 Комисията изпрати предложението на ЕНОЗД за консултация.

2.

Целта на предложението е да се създаде общностна рамка за предоставянето на трансгранично здравно обслужване в границите на ЕС в случаите, когато пациентът получава здравните грижи, от които се нуждае, в друга държава-членка, различна от родната му страна. Това включва три основни области:

3.

Целите на тази рамка са две: да се внесе достатъчно яснота относно правата за възстановяване на разходи за здравно обслужване, предоставено в други държави-членки, и да се гарантира спазване на необходимите изисквания за качествено, безопасно и ефикасно здравеопазване при трансграничното здравно обслужване.

4.

Прилагането на схема за трансгранично здравно обслужване изисква обмен на съответните лични данни, свързани със здравословното състояние на пациентите (наричани оттук нататък „здравни данни“), между упълномощените организации и медицинските лица на различните държави-членки. Тези данни се считат за чувствителни и са обект на по-строгите правила за защита на данните, съгласно определението в член 8 от Директива 95/46/ЕО относно специални категории от данни.

5.

ЕНОЗД приветства факта, че с него е проведена консултация по този въпрос и че в преамбюла на предложението се прави позоваване на тази консултация, в съответствие с член 28 от Регламент (ЕО) № 45/2001.

6.

Това е първият случай на проведена официална консултация с ЕНОЗД относно предложение за директива в областта на здравното обслужване. Ето защо в настоящото становище някои от бележките имат по-широк обхват, като разглеждат общи въпроси, свързани със защитата на лични данни в сектора на здравното обслужване, които биха могли да са приложими и за други правни инструменти (обвързващи или не).

7.

ЕНОЗД би искал от самото начало да изрази подкрепата си за инициативите, насочени към подобряване на условията за трансгранично здравно обслужване. Това предложение следва всъщност да бъде разглеждано в контекста на цялостната програма на ЕО за подобряване на здравето на гражданите в информационното общество. Други инициативи във връзка с това са предвидените от Комисията директива и съобщение относно даряване и трансплантация на човешки органи (2), препоръката относно оперативната съвместимост на електронните здравни досиета (3), както и предвиденото съобщение относно телемедицината (4). Все пак ЕНОЗД изразява загриженост от факта, че няма тясна връзка или взаимовръзка между тези инициативи по отношение на неприкосновеността на личния живот и сигурността на данните, като по този начин се възпрепятства приемането на единен подход за защита на данните в областта на здравното обслужване, особено във връзка с използването на нови информационни и комуникационни технологии. Така например, макар съображение 10 от предложението за директива да съдържа изрично упоменаване на телемедицината, в настоящото предложение липсва позоваване на измерението, свързано със защитата на данните от съответното съобщение на Европейската комисия. Освен това, макар електронните здравни досиета да представляват възможност за трансгранично предаване на здравни данни, не се прави препратка към въпросите за неприкосновеността на личния живот, разгледани в съответната препоръка на Комисията (5). Това създава впечатлението, че все още няма ясно определена цялостна перспектива за неприкосновеността на личния живот в здравното обслужване, а в някои случаи тя липсва напълно.

8.

Това проличава и в настоящото предложение, в което ЕНОЗД със съжаление отбелязва, че последиците за защитата на данните не са разгледани по конкретен начин. Разбира се, налице са позовавания на защитата на данните, но те са предимно от общ характер и не отразяват адекватно специфичните потребности, свързани с неприкосновеността на личния живот и изискванията за трансгранично здравно обслужване.

9.

ЕНОЗД желае да подчертае, че прилагането на единен и стабилен подход към защитата на данните в рамките на предложените здравни инструменти не само ще гарантира на гражданите основното право на защита на техните данни, но и ще допринесе за по-нататъшното развитие на трансграничното здравно обслужване в ЕС.

10.

Целта на Европейската общност бе най-вече създаването на вътрешен пазар, обхващащ пространство без вътрешни граници, в което е гарантирано свободното движение на стоки, лица, услуги и капитали. Възможността гражданите да се придвижват и установяват по-лесно в други държави-членки, различни от държавите на техния произход, повдигна въпроси, свързани със здравното обслужване. По тази причина, през 90-те години на миналия век в контекста на вътрешния пазар Съдът на Европейските общности бе изправен пред въпроси, свързани с възможността за възстановяване на медицински разходи, направени в друга държава-членка. Съдът на Европейските общности отчете, че свободата за предоставяне на услуги съгласно член 49 от Договора за ЕО включва свободата за придвижване на лицата в друга държава-членка с цел получаване на медицинско лечение (6). В резултат на това не може повече да има различно третиране на пациенти, които са искали да получат трансгранично здравно обслужване, в сравнение с начина, по който са третирани граждани, получили същото медицинско лечение в своите държави на произход, без да преминават границата.

11.

Тези решения на Съда са в основата на настоящото предложение. Предвид това, че съдебната практика на Съда се основава на отделни случаи, настоящото предложение има за цел да внесе повече яснота, с което да гарантира по-общо и ефективно прилагане на свободите за получаване и предоставяне на здравни услуги. Но, както вече стана дума, предложението е част и от по-амбициозна програма с цел подобряване на здравословното състояние на гражданите в информационното общество, в която ЕС вижда широка възможност за подобряване на трансграничното здравно обслужване чрез използването на информационни технологии.

12.

По очевидни причини определянето на правила за трансгранично здравно обслужване е деликатен въпрос. Той засяга деликатна сфера, в която държавите-членки са установили различни национални системи, разминаващи се например по отношение на осигуряването и възстановяването на разходи или по отношение на организацията на инфраструктурата на здравното обслужване, включително информационни мрежи и приложения в областта на здравното обслужване. Макар общностният законодателят в настоящото предложение да се съсредоточава единствено върху трансграничното здравно обслужване, правилата ще се отразят най-малкото на начина, по който са организирани националните здравни системи.

13.

Подобряването на условията за трансгранично здравно обслужване ще бъде в полза на гражданите. В същото време обаче за тях ще възникнат и определени рискове. Налага се разрешаването на много практически проблеми, които съпътстват трансграничното сътрудничество между хора от различни страни, които говорят различни езици. Тъй като доброто здраве е от изключително значение за всеки гражданин, следва да се изключи всякакъв риск от неправилно предаване на информация и от последваща неточност. От само себе си се подразбира, че подобряването на трансграничното здравно обслужване, съчетано с използването на постиженията в информационните технологии, има важни последици за защитата на личните данни. По-ефикасен и следователно засилен обмен на здравни данни, увеличаващата се дистанция между хората и съответните случаи, различните национални законодателства за прилагане на правилата за защита на данните, повдигат въпроси относно сигурността на данните и правната сигурност.

14.

Трябва да се подчертае, че здравните данни се считат за специална категория данни, които налагат по-висока защита. Съгласно наскоро направеното изявление на Европейския съд за правата на човека в контекста на член 8 от Европейската конвенция за правата на човека: „Защитата на личните данни, по-специално на медицинските данни, е от основно значение за възможността дадено лице да упражнява правото си на зачитане на личния и семейния живот, съгласно предвиденото в член 8 от Конвенцията“ (7). Преди да се пристъпи към разясняване на определените в Директива 95/46/ЕО по-строги правила за обработване на здравни данни, ще бъдат казани няколко думи за понятието „здравни данни“.

15.

В Директива 95/46/ЕО не е включено изрично определение за здравни данни. Обикновено се прилага широко тълкувание, което често определя здравните данни като „лични данни, които имат ясна и тясна връзка с описанието на здравния статус на лицето“ (8). Във връзка с това здравните данни обикновено включват медицински данни (напр. лекарска консултация и предписания, експертизи, лабораторни тестове, рентгенови снимки и др.), както и административни и финансови данни, свързани със здравето (напр. документи, отнасящи се до постъпване в болница, номер на социалната осигуровка, определяне на час за преглед, фактури за предоставено здравно обслужване и др.). Следва да се отбележи, че терминът „медицински данни“ (9) понякога се използва и за обозначаване на данни, свързани със здравословното състояние, както и термина „данни за здравното обслужване“ (10). В рамките на настоящото становище ще бъде използвано понятието „здравни данни“.

16.

ISO 27799 предоставя полезно определение за „здравни данни“: „всяка информация, която се отнася до физическото или психическото здраве на дадено лице, или до предоставянето на здравна услуга на лицето, и която може да включва: a) информация за регистрацията на лицето с цел предоставяне на здравни услуги; б) информация за плащанията или правото за ползване на здравно обслужване по отношение на лицето; в) номер, символ или характеристика, дадени на лице с цел уникална идентификация за здравни цели; г) всякаква информация за лицето, събрана в хода на предоставянето на здравно обслужване на това лице; д) информация, извлечена от тестването или прегледа на част от тялото или на телесна субстанция; и е) идентификация на лице (работещо в сферата на здравното обслужване) в качеството му на доставчик на здравно обслужване на лицето“.

17.

ЕНОЗД е в голяма степен за приемането на специфично определение за термина „здравни данни“ в контекста на настоящото предложение, което би могло да се използва и в бъдеще в рамките на други свързани с областта правни текстове на ЕО (вж. Раздел III по-долу).

18.

Член 8 от Директива 95/46/ЕО посочва правилата за обработване на специални категории от данни. Тези правила са по-строги от правилата за обработване на други данни съгласно предвиденото в член 7 от Директива 95/46/ЕО. Това особено проличава от изричното посочване в член 8, параграф 1, че държавата-членка забранява обработването, inter alia, на данни, свързани със здравословното състояние. В последващите параграфи на този член се посочват няколко изключения от тази забрана, но те са в по-тесен смисъл в сравнение с основанията за обработване на обичайни данни съгласно член 7. Така например, забраната не се прилага, ако съответното физическо лице е дало изричното си съгласие за обработването на такива данни (член 8, параграф 2, буква a)), противно на изискването за недвусмислено съгласие в член 7, буква a) от Директива 95/46/ЕО. Освен това законодателството на дадена държава-членка може да определи, че в някои случаи забраната не може да бъде вдигната дори чрез съгласието на субекта на данните. Третият параграф от член 8 се отнася единствено за обработването на данни, свързани със здравословното състояние. В съответствие с този параграф забраната по първия параграф не се прилага, когато обработването на данни е необходимо за целите на профилактичната медицина, поставяне на медицинска диагноза, предоставяне на грижи или лечение, или за управлението на здравни служби, когато данните се обработват от медицинско лице, което, по силата на националното законодателство или на правила, установени от компетентни национални органи, е длъжно да спазва професионална тайна, или от друго лице, което е също обвързано с равностойно задължение за пазене на тайна.

19.

Член 8 от Директива 95/46/ЕО поставя по-голям акцент върху факта, че държавите-членки следва да осигурят подходящи или адекватни гаранции. Съгласно член 8, параграф 4 например, при условие, че съществуват подходящи гаранции, държавите-членки могат по съображения, свързани със значим обществен интерес, да определят други изключения, в допълнение към забраната за обработването на поверителни данни. Това най-общо подчертава отговорността на държавите-членки да отдадат специално внимание на обработването на чувствителни данни, като например данни, свързани със здравословното състояние.

20.

Държавите-членки следва да осъзнават в особена степен гореспоменатата отговорност, когато става дума за трансграничен обмен на здравни данни. Съгласно посоченото по-горе, трансграничният обмен на здравни данни увеличава риска от неточно или незаконно обработване на данни. Това очевидно може да има крайно негативни последици за субекта на данните. Както държавата-членка на осигуряване (там, където е осигурен пациентът), така и държавата-членка на лечение (където в действителност е предоставено трансграничното здравно обслужване) участват в този процес и следователно имат съвместна отговорност.

21.

В този контекст сигурността на здравните данни представлява важен въпрос. В цитирания по-горе скорошен случай Европейският съд за правата на човека отдаде специално значение на поверителността на здравните данни: „Зачитането на поверителността на здравните данни е изключително важен принцип в правните системи на всички договарящи се страни по Конвенцията. Особено важно е не само да се зачита усещането за неприкосновеност на личния живот на пациента, но и да се запази неговото доверие в лекарската професия и в здравните услуги по принцип“ (11).

22.

Правилата за защита на данните, съгласно Директива 95/46/ЕО, допълнително изискват от държавата-членка на осигуряване да предостави на пациента адекватна, коректна и актуална информация за прехвърлянето на неговите лични данни към друга държава-членка, както и да гарантира сигурното прехвърляне на данните към тази държава-членка. Държавата-членка на лечение също следва да обезпечи получаването на тези данни и да осигури съответно ниво на защита, когато данните са действително обработвани съгласно националното законодателство за защита на данните.

23.

ЕНОЗД изрази желание за ясно определение на съвместните отговорности на държавите-членки в предложението, като се вземе предвид и предаването на електронни данни, особено в контекста на нови приложения в областта на информационните и комуникационните технологии, както е посочено по-долу.

24.

Подобряването на трансграничния обмен на здравни данни се постига основно чрез използването на информационните технологии. Макар все още да е възможно извършването на обмен на данни на хартиен носител в схема за трансгранично здравно обслужване (напр. пациентът се придвижва в друга държава-членка и носи със себе си съответните здравни данни като лабораторни изследвания, лекарски консултации и др.), целта е вместо това да се използват електронни средства. Предаването на здравни данни по електронен път ще бъде подпомогнато от създаването (или от предстоящото създаване) в държавите-членки (в болници, клиники и др.) на информационни здравни системи, както и от използването на нови технологии като приложенията за електронни здравни досиета (функциониращи евентуално през интернет), и други инструменти като здравни карти на пациенти и лекари. Разбира се, също така е възможно използването на комбинирани хартиени и електронни формуляри за обмен на данни, в зависимост от здравните системи на на държавите-членки.

25.

Приложенията на електронното здравеопазване и телемедицината, които попадат в обхвата на предложението за директива, ще зависят изключително от обмена на електронни здравни данни (напр. жизненоважни параметри, образи и др.), обикновено съчетани с други съществуващи електронни здравни информационни системи, намиращи се в държавите-членки на лечение или осигуряване. Това включва системи, функциониращи на база пациент — лекар (напр. дистанционен преглед и диагноза), както и на база лекар — лекар (напр. телеконсултация между медицинските лица за експертно становище по конкретни здравни случаи). Други по-специфични здравни приложения, подпомагащи цялостното предоставяне на трансгранично здравно обслужване, също биха могли да зависят изцяло от електронния обмен на данни, напр. електронни рецепти (ePrescription) или електронни консултации (eReferral), което вече се прилага на национално равнище в някои държави-членки (12).

26.

Предвид гореспоменатите съображения, а така също и съществуващото многообразие от здравни системи на държавите-членки и интензивното развитие на приложения на електронното здравеопазване, възникват следните две основни сфери на загриженост по отношение на защитата на лични данни при трансграничното здравно обслужване: a) различните нива на сигурност, които могат да се прилагат от държавите-членки за защитата на личните данни (по отношение на техническите и организационни мерки) и б) включване на неприкосновеността на личния живот в приложенията на електронното здравеопазване, особено в нови разработки. Освен това, други аспекти като вторичното ползване на здравни данни, особено в областта на изготвянето на статистика, също може да изискват специално разглеждане. Тези въпроси са обект на допълнителен анализ в останалата част от настоящия раздел.

27.

Независимо от факта, че Директиви 95/46/ЕО и 2002/58/ЕО се прилагат по еднакъв начин в Европа, е възможно различно тълкуване и прилагане на някои елементи в различните страни, особено в области, където правните разпоредби са от общ характер и са от компетенцията на държавите-членки. В този смисъл основна загриженост представлява сигурността на обработването, т.е. мерките (технически и организационни), които държавите-членки предприемат, за да обезпечат сигурността на здравните данни.

28.

Макар строгото опазване на здравни данни да е отговорност на всички държави-членки, понастоящем няма общоприето определение за „подходящо“ ниво на сигурност за здравното обслужване в рамките на ЕС, което би могло да бъде прилагано в случай на трансгранично здравно обслужване. Така например, болница в дадена държава-членка може да бъде задължена по силата на национални регламенти за защита на данните да приеме специфични мерки за сигурност (като например определението за политика на сигурност и кодекс на поведение, специфични правила за наемане на външни изпълнители, изисквания за одит и др.), докато в други държави-членки ситуацията може да е различна. Тази непоследователност може да има последици върху транграничния обмен на данни, особено в електронен вид, предвид това, че сигурността на данните (от техническа и организационна гледна точка) не може да бъде гарантирана на същото равнище в различните държави-членки.

29.

Ето защо е необходимо по-нататъшно хармонизиране в тази област по отношение на определянето на общ набор от изисквания за сигурност за здравното обслужване, които следва да бъдат приети съвместно от доставчиците на здравно обслужване в държавите-членки. Тази необходимост определено съвпада с цялостната потребност от определяне на общи принципи в здравните системи на ЕС, съгласно посоченото в предложението.

30.

За тази цел следва да се възприеме по-общ подход, без да се налагат специфични технически решения на държавите-членки, но все пак като се създаде основа за взаимно признаване и приемане, напр. в областите на определяне на политика на сигурност, идентифициране и удостоверяване на пациенти и медицински лица и др. Като пътна карта в този случай могат да послужат съществуващите европейски и международни стандарти (напр. ISO и CEN) в областта на здравното обслужване и сигурността, както и утвърдени и правно основани технически понятия (напр. електронни подписи (13).

31.

ЕНОЗД подкрепя идеята за хармонизиране на сигурността в здравното обслужване на равнище ЕС и смята, че Комисията следва да предприеме съответни инициативи, вече в рамката на настоящото предложение (вж. раздел III по-долу).

32.

Неприкосновеността на личния живот и сигурността следва да бъдат част от проектирането и изпълнението на всяка здравна система, особено на приложенията на електронното здравеопазване, упоменати в настоящото предложение („защита на личния живот още при проектирането“). Това безспорно изискване беше вече подкрепено в други сходни политически документи (14) както от общ характер, така и отнасящи се конкретно до здравното обслужване (15).

33.

В рамките на обсъжданата в предложението оперативна съвместимост на електронното здравеопазване следва още веднъж да се акцентира върху понятието „защита на личния живот още при проектирането“ като основа за всички предвидени разработки. Това понятие се прилага на няколко различни равнища: организационно, семантично, техническо.

34.

ЕНОЗД смята, че електронните рецепти могат да послужат като начало за включването на изискванията за неприкосновеност на личния живот и сигурност на съвсем начален етап от разработката (вж. раздел III по-долу).

35.

Допълнително, в рамките на трансграничния обмен на здравни данни, може да бъде разгледан аспектът на вторичното ползване на здравни данни и по-специално използването на данни за статистически цели, както вече стана дума в настоящото предложение.

36.

Съгласно посоченото в точка 18 по-горе, член 8, параграф 4 от Директива 95/46/ЕО предвижда възможността за вторично ползване на здравни данни. Това допълнително обработване обаче следва да се направи единствено по съображения, свързани със значим обществен интерес и при условие, че съществуват подходящи гаранции, определени от националното законодателство или по решение на надзорния орган (16). Освен това, в случай на обработване на статистически данни, което също е упоменато в Становището на ЕНОЗД относно предложението за регламент относно статистиката на Общността за общественото здраве и здравето и безопасността на работното място (17), възниква допълнителен риск от различното значение, което понятията „поверителност“ и „защита на данните“ могат да имат в приложението на законодателството за защита на данните, от една страна, и законодателството в областта на статистиката, от друга страна.

37.

ЕНОЗД би искал да подчертае горепосочените елементи в контекста на настоящото предложение. Следва да бъдат включени по-недвусмислени позовавания на изискванията за защита на данните по отношение на последващото използване на здравни данни (вж. раздел III по-долу).

38.

В различни части от документа предложението включва редица позовавания на защитата на данните и неприкосновеността на личния живот, по-конкретно:

39.

ЕНОЗД приветства факта, че защитата на данните е взета предвид при изготвянето на предложението и че се прави опит да се покаже цялостната необходимост от неприкосновеност на личния живот в контекста на трансграничното здравно обслужване. Съществуващите разпоредби на предложението за защита на данните обаче са или твърде общи, или разглеждат отговорностите на държавите-членки по доста избирателен и неструктуриран начин:

Освен това, както вече бе упоменато във въведението на настоящото становище, няма връзка и/или позоваване на аспектите на неприкосновеността на личния живот, които са обект на разглеждане в други правни инструменти на ЕО (обвързващи или не) в областта на здравното обслужване, особено по отношение на използването на нови приложения на информационните и комуникационните технологии (като телемедицина или електронни здравни досиета).

40.

Ето защо, макар неприкосновеността на личния живот да се посочва по принцип като изискване за трансгранично здравно обслужване, все още няма пълна яснота както по отношение на задълженията на държавите-членки, така и по отношение на особеностите, въведени чрез трансграничния характер на предоставянето на здравно обслужване (за разлика от националното предоставяне на здравно обслужване). По-специално:

41.

Освен това, член 18, който разглежда събирането на данни за статистически и мониторингови цели, предизвиква известна загриженост. В параграф 1 се говори за „статистически и други допълнителни данни“; освен това се говори за „мониторингови цели“ в множествено число и впоследствие се посочват областите, обект на тези мониторингови цели, а именно предоставянето на трансгранично здравно обслужване, естеството на предоставените грижи, доставчиците и пациентите, разходите и резултатите. В този и без друго вече достатъчно неясен контекст се прави общо позоваване на законодателството в областта на защитата на данните, но не се установяват специфични изисквания за последващото използване на данни, свързани със здравето, както е установено в член 8, параграф 4 от Директива 95/46/ЕО. Освен това параграф 2 съдържа безусловното задължение големият обем данни да се предава на Комисията най-малко веднъж в годината. Тъй като липсва изрично упоменаване на оценка на необходимостта от такова предаване, очевидно самият общностен законодател вече е установил необходимостта от това предаване на Комисията.

42.

С цел адекватно разглеждане на посочените по-горе елементи ЕНОЗД представя редица препоръки под формата на пет основни стъпки за изменения, както е описано по-долу.

43.

В член 4 са определени основните понятия, използвани в предложението. ЕНОЗД силно препоръчва въвеждането в този член на определение за здравни данни. Следва да се прилага широко тълкувание на здравните данни, като описаното в раздел II от настоящото становище (точки 14 и 15).

44.

ЕНОЗД силно препоръчва и въвеждането в предложението на специфичен член относно защитата на данните, който би могъл да внесе яснота и разбиране относно цялото измерение на правото на неприкосновеност на личния живот. Този член следва а) да описва отговорностите на държавите-членки на осигуряване и на лечение, в това число — наред с другото — необходимостта от сигурност на обработването и б) да определи основните области за по-нататъшно развитие, т.е. хармонизиране на сигурността и интегриране на неприкосновеността на личния живот в електронното здравеопазване. Във връзка с тези въпроси могат да се предвидят специфични разпоредби (в рамките на предложения член), както е представено в стъпки 3 и 4 по-долу.

45.

След изменението в рамките на стъпка 2 ЕНОЗД препоръчва на Комисията да приеме механизъм за дефинирането на общоприето ниво на сигурност на здравните данни на национално равнище, като се отчитат съществуващите в областта технически стандарти. Това следва да намери отражение в предложението. Едно възможно прилагане би могло да бъде чрез използването на процедурата на комитети, както е вече описано в член 19, и което важи за други части на предложението. Освен това биха могли да се използват допълнителни инструменти за изготвянето на съответни насоки с участието на всички заинтересовани страни, като например работна група „Член 29“ и ЕНОЗД.

46.

Член 14 относно признаването на рецепти, издадени в друга държава-членка, предвижда разработването на общностен образец за рецепта и подпомагане на оперативната съвместимост на електронните рецепти. Тази мярка се приема чрез процедура на комитети, както е определено в член 19, параграф 2 от предложението.

47.

ЕНОЗД препоръчва, още на ниво основно семантично определяне, предложеният образец за електронна рецепта да включва принципите на неприкосновеност на личния живот и сигурност. Това следва да бъде изрично посочено в член 14, параграф 2, буква а). Още веднъж участието на съответните заинтересовани лица е от огромно значение. Във връзка с това ЕНОЗД би желал да бъде информиран и да участва в последващи действия по въпроса посредством предложената процедура на комитети.

48.

За да се избегнат недоразумения, ЕНОЗД би желал да се внесе яснота в понятието „други допълнителни данни“ в член 18, параграф 1. Членът следва допълнително да се измени, т.е. да посочва по-ясно изискванията за последващо използване на здравните данни, съгласно установеното в член 8, параграф 4 от Директива 95/46/ЕО. Освен това съдържащото се в параграф 2 задължение за предаване на всички данни на Комисията следва да подлежи на оценка на необходимостта от такова предаване за законни цели, които да са надлежно уточнени предварително.

49.

ЕНОЗД би искал да изрази подкрепа за инициативите за подобряване на условията на трансгранично здравно обслужване. Същевременно ЕНОЗД изразява загриженост от факта, че инициативите, свързани със здравното обслужване в ЕО, не винаги са добре съгласувани по отношение на използването на информационните и комуникационните технологии, на правото на неприкосновеност на личния живот и сигурност, което затруднява възприемането на всеобщ подход за защита на данните в областта на здравното обслужване.

50.

ЕНОЗД приветства направеното в настоящото предложение позоваване на правото на неприкосновеност на личния живот. Същевременно, както е посочено в раздел III от настоящото становище, са необходими редица изменения, както с цел предоставяне на ясни изисквания за държавите-членки на лечение и на осигуряване, така и за подходящо разглеждане на измерението на защита на данните в трансграничното здравно обслужване:

6.6.2009   

BG

Официален вестник на Европейския съюз

C 128/28

1.

На 13 ноември 2007 г. Европейската комисия прие предложение за изменение, наред с други, на Директивата относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации, обикновено наричана Директива за правото на неприкосновеност на личния живот и електронни комуникации (1) (оттук-нататък „предложение“ или „предложение на Комисията“). На 10 април 2008 г. ЕНОЗД прие становище относно предложението на Комисията, в което предостави препоръки за подобряване на предложението, за да се гарантира, че предложените промени ще осигурят възможно най-добра защита на правото на неприкосновеност на личния живот и лични данни на лицата („Първо становище на ЕНОЗД“) (2).

2.

ЕНОЗД приветства предложеното от Комисията създаване на система за задължително уведомяване за нарушения на сигурността, което изисква компаниите да уведомяват лицата, ако личните им данни са били изложени на риск. Освен това, ЕНОЗД приветства новата разпоредба, позволяваща на юридически лица (напр. потребителски асоциации и доставчици на интернет услуги) да предприемат съдебни действия срещу разпространители на нежелани съобщения с цел по-нататъшно укрепване на съществуващите инструменти за борба с нежеланите съобщения.

3.

По време на парламентарните обсъждания, предшестващи първото четене в Европейския парламент, ЕНОЗД предложи допълнителни съвети чрез оповестяването на бележки по определени въпроси, посочени в докладите, изготвени от комисиите на Европейския парламент, в чиято компетентност е преразглеждането на Директивите за универсалната услуга (3) и на Директивата за правото на неприкосновеност на личния живот и електронните комуникации („Бележки“) (4). В бележките бяха разгледани основно въпроси, свързани с обработката на данни за трафик и закрилата на правата върху интелектуалната собственост.

4.

На 24 септември 2008 г. Европейският парламент (ЕП) прие законодателна резолюция относно Директивата за правото на неприкосновеност на личния живот и електронни комуникации („първо четене“) (5). ЕНОЗД оцени положително няколко от измененията на ЕП, които бяха приети след посочените по-горе становище и бележки на ЕНОЗД. Сред важните промени беше включването на доставчици на услуги на информационното общество (т.е. компании, опериращи в интернет) в обхвата на задължението за уведомяване за нарушения на сигурността. ЕНОЗД приветства и изменението, позволяващо на юридически и физически лица да подават иск за нарушение на разпоредба на Директивата за неприкосновеност на личния живот и електронни комуникации (а не само за нарушение на разпоредбите относно нежеланите съобщения, както беше първоначално посочено в предложението на Комисията). Първото четене в Европейския парламент беше последвано от приемането от Комисията на изменено предложение относно директивата за неприкосновеност на личния живот и електронни комуникации (по-нататък „изменено предложение“) (6).

5.

На 27 ноември 2008 г. Съветът постигна политическо споразумение за преразглеждане на правилата за пакета за телекомуникациите, включително Директивата за неприкосновеност на личния живот и електронни комуникации, което ще приеме вид на обща позиция на Съвета („обща позиция“) (7). В съответствие с член 251, параграф 2 от Договора за създаване на Европейската общност ЕП ще бъде нотифициран за общата позиция, което може да доведе до предложение за изменения от страна на ЕП.

6.

Съветът измени съществени елементи от текста на предложението и не прие много от приетите от ЕП изменения. Макар общата позиция определено да съдържа положителни елементи, като цяло ЕНОЗД е загрижен от съдържащото се в нея, по-специално тъй като общата позиция не включва някои от положителните изменения, предложени от ЕП, измененото предложение или становищата на ЕНОЗД и на европейските органи по защита на данните, оповестени чрез работна група „Член 29“ (8).

7.

Тъкмо обратното, в редица случаи разпоредби в измененото предложение и измененията на ЕП, осигуряващи гаранции на гражданите, са заличени или значително отслабени. Вследствие, предлаганото на лицата ниво на защита в общата позиция е значително отслабено. Поради тези причини ЕНОЗД сега издава второ становище с надеждата, че в хода на придвижване на Директивата за неприкосновеност на личния живот и електронни комуникации в законодателния процес, ще бъдат приети нови изменения, които ще възстановят гаранциите за защита на данните.

8.

Настоящото второ становище разглежда някои основни поводи за безпокойство и не повтаря вече направените в първото становище на ЕНОЗД или в бележките коментари, които остават в сила. По-конкретно, настоящото становище разглежда следните въпроси:

9.

При разглеждането на посочените по-горе въпроси в настоящото становище се прави анализ на общата позиция на Съвета, която се сравнява с първото четене в ЕП и измененото предложение на Комисията. Становището съдържа препоръки, целящи рационализиране на разпоредбите на Директивата за неприкосновеност на личния живот и електронни комуникации и гарантиращи, че тя и занапред ще защитава адекватно правото на неприкосновеност на личния живот и личните данни на лицата.

10.

ЕНОЗД подкрепя приемането на система за задължително уведомяване за нарушения на сигурността, съгласно която органите и лицата ще бъдат уведомявани, ако личните им данни са били изложени на риск (9). Уведомяването за нарушения на сигурността може да помогне на лицата да предприемат необходимите стъпки за смекчаване на евентуалните вреди, породени от излагането на риск. Освен това, задължението за изпращане на уведомяване за нарушения на сигурността ще насърчи компаниите да подобрят сигурността на данните и ще засили отчетността им по отношение на личните данни, за които носят отговорност.

11.

Измененото предложение на Комисията, първото четене в Европейския парламент и общата позиция на Съвета представляват три различни подхода към уведомяването за нарушения на сигурността, които понастоящем са предмет на разглеждане. Всеки от трите подхода има положителни страни. При все това ЕНОЗД счита, че във всеки от подходите могат да се внесат подобрения и съветва при обмислянето на последните стъпки към приемане на системата за нарушения на сигурността да се вземат предвид направените по-долу препоръки.

12.

В анализа на трите системи за уведомяване за нарушения на сигурността трябва да се обсъдят пет основни въпроса: i) определението за нарушение на сигурността; ii) образуванията, обхванати от задължението за уведомяване („обхванати образувания“); iii) стандартът, който задейства задължението за уведомяване; iv) установяване на образуванието, което преценява дали определено нарушение на сигурността отговаря на стандарта или не, и v) получатели на уведомяването.

13.

Европейският парламент, Комисията и Съветът приеха различни подходи за уведомяване за нарушения на сигурността. По време на първото четене в ЕП бяха направени промени в изложената в предложението на Комисията първоначална система за уведомяване за нарушения на сигурността (10). Съгласно подхода на ЕП задължението за уведомяване се прилага не само спрямо доставчици на обществено достъпни електронни съобщителни услуги, но и по отношение на доставчици на услуги на информационното общество („ДОДЕСУ“ и „ДУИО“). Освен това, съгласно въпросния подход националният регулаторен орган или компетентните органи (съвместно „органите“) трябва да бъдат уведомявани за всяко нарушаване на личните данни. Ако органите установят, че нарушението е сериозно, те ще изискват ДОДЕСУ и ДУИО да уведомят засегнатото лице без забавяне. В случай на нарушения, които представляват неминуема и пряка опасност, ДОДЕСУ и ДУИО уведомяват лицата, преди да уведомят органите, и не изчакват регулаторно решение. Изключение от задължението за уведомяване на потребителите обхваща образувания, които могат да удостоверят пред органите, че „са използвани подходящи технически мерки за защита“, които правят данните неразбираеми за лице, което няма право на достъп до тях.

14.

Съгласно подхода на Съвета, уведомяване трябва да се изпрати както на абонатите, така и на органите, но само в случаите, когато обхванатото образувание счита, че нарушението представлява сериозен риск за неприкосновеността на личния живот на абоната (т.е. кражба или фалшифициране на самоличност, физическа вреда, значително накърняване на достойнството или репутацията).

15.

Измененото предложение на Комисията запазва въведеното от ЕП задължение за уведомяване на органите за всяко нарушение. Същевременно, за разлика от подхода на ЕП, измененото предложение съдържа изключение от изискването за уведомяване на засегнатите лица, когато ДОДЕСУ доказва пред компетентния орган, че i)„има малка вероятност“ да възникне вреда (напр. икономически загуби, социални вреди или кражба на самоличност) вследствие на нарушението или ii) са предприети „подходящи технологични мерки за защита“ на засегнатите от нарушението данни. Така, подходът на Комисията включва основан на щетите анализ във връзка с индивидуалното уведомяване.

16.

Важно е да се отбележи, че съгласно подходите на ЕП (11) и Комисията в крайна сметка тъкмо органите отговарят за това да се определи дали нарушението е сериозно или има вероятност да причини вреди. За сравнение, в подхода на Съвета решението се взема от засегнатите образувания.

17.

Както подходът на Комисията, така и този на Съвета се прилагат само спрямо ДОДЕСУ, а не, както в подхода на ЕП, спрямо ДУИО.

18.

ЕНОЗД отбелязва с радост, че трите законодателни предложения съдържат едно и също определение за уведомяването за нарушения на сигурността, което е описано като „нарушение на сигурността, водещо до случайното или незаконно унищожаване, загуба, промяна, неупълномощено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин […]“ (12).

19.

Както е посочено по-долу, това определение се приветства, доколкото то е достатъчно широко, за да обхване повечето ситуации, които биха могли да дадат основания за уведомяване за нарушения на сигурността.

20.

На първо място, определението включва случаи на неупълномощен достъп до лични данни на трета страна, като например незаконното проникване в сървър, съдържащ лични данни, и извличането на тази информация.

21.

На второ място, това определение включва и ситуации на загуба или разкриване на лични данни при все още недоказан неупълномощен достъп. Това включва ситуации като евентуална загуба на лични данни (напр. CD-ROM, устройства за съхранение на данни с USB интерфейс и други преносими устройства), или превръщането им в обществено достояние от редовни потребители (файлове с данни на служители, които са непреднамерено и временно на разположение в публично достъпна област чрез интернет). Тъй като често ще липсват доказателства, че тези данни могат или не, в определен момент, да бъдат достъпни за неупълномощени трети страни или използвани от тях, уместно е тези случаи да бъдат включени в обхвата на определението. ЕНОЗД следователно препоръчва да се запази това определение. Освен това ЕНОЗД препоръчва определението за нарушение на сигурността да се включи в член 2 от Директивата за неприкосновеност на личния живот и електронни комуникации, тъй като това би било в съответствие с общата структура на директивата и би внесло по-голяма яснота.

22.

Съгласно подхода на ЕП задължението за уведомяване се прилага спрямо ДОДЕСУ и ДУИО. Същевременно, в системите на Съвета и Комисията само ДОДЕСУ като телекомуникационни компании и доставчици на достъп до интернет ще бъдат задължени да уведомяват лицата, когато са пострадали от нарушения на сигурността, които водят до излагане на личните данни на риск. Други сектори на дейност, например банки онлайн, търговци на дребно онлайн, онлайн доставчици на здравни услуги и други не са обхванати от това задължение. Поради посочените по-долу причини ЕНОЗД счита, че в контекста на публичните политики от решаващо значение е да се гарантира, че изискването за уведомяване обхваща и услугите на информационното общество, сред които търговска дейност онлайн, банки онлайн, онлайн доставчици на здравни услуги и други.

23.

На първо място ЕНОЗД отбелязва, че макар и телекомуникационните компании несъмнено да са обект на нарушения на сигурността, които изискват задължение за уведомяване, същото важи и за други видове компании/ доставчици. Вероятността търговците на дребно онлайн, банките онлайн, аптеките онлайн да бъдат, подобно на телекомуникационните компании, обект на нарушения на сигурността, е също толкова, ако не и по-голяма. Следователно съображенията относно риска не подкрепят ограничаване на обхвата на изискването за уведомяване за нарушение до ДОДЕСУ. Опитът на други държави е нагледен пример за необходимостта от по-широк подход. Така например в САЩ почти всички щати (понастоящем повече от 40) са приели закони за уведомяване за нарушения на сигурността, които имат по-широк обхват на приложение и включват не само ДОДЕСУ, но и всяко образувание, което разполага с необходимите лични данни.

24.

На второ място, макар че нарушение на видовете лични данни, редовно обработвани от ДОДЕСУ, несъмнено може да окаже въздействие върху неприкосновеността на личния живот на лицето, същото, ако не в още по-голяма степен, важи за видовете лична информация, обработвана от ДУИО. Несъмнено, банки и други финансови институции може да разполагат със строго поверителна информация (напр. подробности за банкова сметка), чието разкриване може да позволи използване за кражба на самоличност. Освен това, разкриването от онлайн доставчици на здравни услуги на чувствителна информация, свързана със здравето, може да нанесе особени вреди на лицето. Ето защо, видовете лични данни, които могат да бъдат изложени на риск, също изискват по-широко приложение на уведомяването за нарушения на сигурността, което би включвало най-малкото ДУИО.

25.

Бяха повдигнати някои правни въпроси срещу разширяването на обхвата на приложението на този член, т.е. обхванатите от това изискване образувания. По-специално фактът, че обхватът като цяло на Директивата за неприкосновеност на личния живот и електронни комуникации засяга само ДОДЕСУ беше изтъкнат като пречка за прилагането на задължението за уведомяване и към ДУИО.

26.

Във връзка с това ЕНОЗД би желал да припомни, че: i) Няма никакви правни пречки в някои разпоредби на директивата да се включат и други участници освен ДОДЕСУ. Законодателят на Общността разполага с пълни правомощия в това отношение. ii) В сегашната Директива за неприкосновеност на личния живот и електронни комуникации има други прецеденти на прилагане спрямо образувания, различни от ДОДЕСУ.

27.

Така например член 13 се прилага не само към ДОДЕСУ, но и към всяка компания, която разпраща нежелани съобщения, като изисква предварително съгласие за това. Освен това, член 5, параграф 3 от Директивата за неприкосновеност на личния живот и електронни комуникации, който, inter alia, забранява съхраняването на информация, като бисквитки в крайното устройство на потребителя, е обвързващо не само за ДОДЕСУ, но и за всеки, който се опитва да съхранява информация или да получи достъп до информация, съхранявана в крайни устройства на лицата. Освен това, в рамките на сегашния законодателен процес Комисията дори предложи обхватът на член 5, параграф 3 да се разшири, когато подобни технологии (бисквитки/софтуер за наблюдение) се доставят не само чрез електронни съобщителни системи, но и чрез всякакви други възможни средства (разпространение чрез сваляне от интернет или чрез външен носител за съхранение на данни, като например CD-ROM, устройства за съхранение с USB интерфейс, устройства с флаш памет и т.н.). Всички тези елементи са положителни и следва да бъдат запазени, но те съставляват и подходящи прецеденти за настоящото обсъждане относно обхвата.

28.

Освен това, в сегашния законодателен процес Комисията, ЕП и евентуално Съветът предлагат нов член 6.6, параграф а), разгледан по-долу, който се прилага спрямо образувания, различни от ДОДЕСУ.

29.

Най-накрая, като се имат предвид общите положителни елементи, произтичащи от задължението за уведомяване за нарушения на сигурността, много вероятно е гражданите да очакват тези ползи, когато личните им данни са били изложени на риск, не само от ДОДЕСУ, но и от ДУИО. Очакванията на гражданите може да не бъдат изпълнени, ако те например не бъдат уведомени, когато онлайн банка е изгубила информация за тяхната банкова сметка.

30.

Накратко, ЕНОЗД е убеден, че ползите от уведомяването за нарушения на сигурността ще станат реални в пълна степен, само ако приложното поле на обхванатите образувания включва както ДОДЕСУ, така и ДУИО.

31.

По отношение на факторите, предизвикващи уведомяване, както е пояснено по-долу, ЕНОЗД счита, че стандартът „има вероятност да причини вреди“ в измененото предложение е най-подходящият сред трите предложени стандарта. Същевременно е важно да се гарантира, че понятието „вреди“ е достатъчно широко, за да обхване всички случаи на отрицателни последици за неприкосновеността на личния живот или други законни интереси на лицата. В противен случай би било за предпочитане да се създаде нов стандарт, според който уведомяването да е задължително „ако има вероятност нарушението да предизвика неблагоприятни последици за лицата“.

32.

Както беше посочено в предишния раздел, условията, при които лицата трябва да бъдат уведомявани (наричани „задействащ фактор“ или „стандарт“), се различават в подходите на ЕП, Комисията и Съвета. Очевидно, обемът на уведомяванията, които лицата ще получават, зависи до голяма степен от „задействащия фактор“ или определения стандарт за уведомяване.

33.

В подходите на Съвета и Комисията уведомяване трябва да се извърши, ако нарушението представлява „сериозно нарушение на неприкосновеността на личния живот на абоната“ (Съветът) и ако „в резултат на нарушението има вероятност от вреди за интересите на потребителя“ (Комисията). В подхода на ЕП задействащият фактор за уведомяване на лицата е „сериозност на нарушението“ (т.е. уведомяване на лицата е необходимо, ако нарушението се счита за „сериозно“). Под този праг уведомяване не е необходимо (13).

34.

ЕНОЗД осъзнава, че ако личните данни са били изложени на риск, може да се твърди, че лицата, на които принадлежат тези данни, при всички положения имат право да знаят за това. Същевременно е напълно справедливо да се помисли дали това решение е подходящо в контекста на други интереси и съображения.

35.

Беше посочено, че задължението за уведомяване във всички случаи, когато лични данни са били изложени на риск, иначе казано без ограничения, може да доведе до свръхуведомяване и „умора от уведомяване“, което от своя страна да предизвика понижена чувствителност (десенсибилизация). Както е посочено по-долу, ЕНОЗД се отнася предпазливо към този аргумент; същевременно би искал да подчертае загрижеността си от свръхуведомяването като евентуален признак на широкоразпространено неизпълнение на практики в областта на информационната сигурност.

36.

Както беше посочено по-горе, ЕНОЗД съзнава възможните неблагоприятни последици от свръхуведомяването и би желал да спомогне за това приетата правна рамка по отношение на уведомяването за нарушения на сигурността да не води до такъв резултат. Честото уведомяване на лицата при нарушения, дори тогава, когато няма неблагоприятни последици, вреди или бедствено положение, може да доведе до подкопаване на една от основните цели на уведомяването, тъй като по ирония лицата може да пренебрегнат уведомяването в тези случаи, когато всъщност може да е необходимо да вземат мерки за собствената си защита. Ето защо е важно да се постигне необходимото равновесие при изпращането на значимо уведомяване, тъй като липсата на реакция от лицата по отношение на полученото уведомяване значително намалява ефективността на системите за уведомяване.

37.

За да се приеме подходящ стандарт, който няма да доведе до свръхуведомяване, освен обмислянето на задействащ фактор за уведомяване трябва да бъдат взети предвид други фактори и по-специално определението за нарушение на сигурността и информацията, обхваната от задължението за уведомяване. Във връзка с това ЕНОЗД отбелязва, че според трите предложени подхода обемът на уведомяванията може да бъде висок в контекста на широкото определение за нарушения на сигурността, обсъдено по-горе. Това безпокойство от свръхуведомяване допълнително се засилва от факта, че определението за нарушение на сигурността обхваща всички видове лични данни. Макар ЕНОЗД да счита този подход за правилния (неограничаване на видовете лични данни, подлежащи на уведомяване) за разлика от други подходи като например законите на САЩ, където изискванията са съсредоточени върху чувствителността на информацията, все пак този фактор трябва да се вземе предвид.

38.

Във връзка с казаното по-горе и като се вземат съвкупно предвид различните променливи, ЕНОЗД счита, че е целесъобразно да се предвиди праг или стандарт, под който уведомяването не е задължително.

39.

И двата предложени стандарта, т.е. че нарушението представлява „сериозен риск за неприкосновеността на личния живот“ или че „има вероятност да нанесе вреди“ очевидно включват например социални или свързани с репутацията вреди и икономически загуби. Така например тези стандарти ще разглеждат случаи на излагане на кражба на самоличност чрез разпространението на непублични идентификатори като паспортни номера, както и разкриването на информация, свързана с личния живот на лицето. ЕНОЗД приветства този подход. ЕНОЗД е убеден, че ползите от уведомяването за нарушения на сигурността няма да се реализират напълно, ако системата за уведомяване обхваща само нарушенията, водещи до икономически вреди.

40.

От двата предложени стандарта ЕНОЗД отдава предпочитание на стандарта на Комисията „има вероятност да причини вреди“, тъй като той би осигурил по-подходящо ниво на защита на лицата. Много по-вероятно е нарушенията да изискват уведомяване, ако „има вероятност да причинят вреди“ на неприкосновеността на личния живот на лицата, отколкото ако крият „сериозен риск“ от такива вреди. Ето защо включването в обхвата единствено на нарушения, представляващи сериозен риск за неприкосновеността на личния живот на лицето, би ограничило значително броя на нарушенията, за които трябва да се извърши уведомяване. Включването в обхвата единствено на такива нарушения би предоставило на ДОДЕСУ и на ДУИО извънредна свобода на преценка дали е необходимо уведомяване, доколкото така би било много по-лесно те да оправдаят заключение, че няма „сериозен риск“ от вреди, отколкото че „няма вероятност да причини вреди“. Макар че свръхуведомяването със сигурност трябва да се избягва, при преценката трябва да се вземе предвид защитата на интересите на лицата по отношение на неприкосновеността на личния им живот и те следва да бъдат защитени поне тогава, когато има вероятност нарушението да им причини вреди. Освен това, понятието „има вероятност“ ще бъде по-ефективно на практика както за обхванатите образувания, така и за компетентните органи, тъй като налага обективно оценяване на случая и свързаните с него обстоятелства.

41.

Също така нарушения, свързани с личните данни, могат да причинят вреди, на които е трудно да се даде количествено изражение и които могат да бъдат различни. Всъщност, разкриването на един и същ вид данни може да причини, в зависимост от конкретните обстоятелства, значителни вреди на едно лице и по-малки на друго. Стандарт, който изисква вредите да са материални, значителни или сериозни, не би бил подходящ. Подходът на Съвета например, който изисква нарушението да засяга сериозно неприкосновеността на личния живот, би осигурил неадекватна защита на лицата, доколкото такъв стандарт изисква последиците за неприкосновеността на личния живот да са „сериозни“ Това дава възможност и за субективно оценяване.

42.

Въпреки че, както беше посочено по-горе, формулировката „има вероятност да причини вреди“ изглежда подходящ стандарт за уведомяване за нарушения на сигурността, ЕНОЗД остава загрижен, че тя може и да не изчерпва всички случаи, изискващи лицата да бъдат уведомени, т.е. всички случаи, в които има вероятност от отрицателни последици за неприкосновеността на личния живот и други законни права на лицата. Поради тази причина би могло да се помисли за стандарт, които изисква уведомяване, „ако има вероятност нарушението да предизвика неблагоприятни последици за лицата“.

43.

Този алтернативен стандарт има и допълнителното преимущество, че е в съответствие със законодателството на ЕС в областта на защитата на данните. Всъщност, в Директивата относно защитата на данните често се говори за неблагоприятни последици за правата и свободите на субектите на данни. Така например член 18 и съображение 49, които разглеждат задължението операциите по обработката на данни да се регистрират при органите по защита на данните, позволяват на държавите-членки да се освобождават от това задължение в случаи, когато „обработването не би могло да накърнява правата и свободите на съответните физически лица“. Подобна формулировка е използвана в член 16.6 от общата позиция, за да се даде възможност на юридически лица да завеждат искове срещу разпространители на нежелани съобщения.

44.

Освен това, като се вземе предвид посоченото по-горе, следва да се очаква обхванатите образувания и особено органите, отговарящи за прилагането на законодателството в областта на защитата на данните, да познават по-добре посочения по-горе стандарт и така по-лесно да преценяват дали определено нарушение отговаря на установения стандарт.

45.

В подхода на ЕП (освен в случаи на неминуема опасност) и измененото предложение на Комисията органите на държавите-членки определят дали нарушение на сигурността отговаря или не на стандарта, който задейства задължението за уведомяване на засегнатите лица.

46.

ЕНОЗД смята, че участието на орган е важно, за да се определи дали изискванията на един стандарт са изпълнени, доколкото този орган е до известна степен гарант за правилното прилагане на закона. Такава система може да предотврати неподходящото оценяване от компаниите на едно нарушение като безвредно/несериозно и последващото избягване на уведомяване, когато в действителност такова уведомяване е необходимо.

47.

От друга страна ЕНОЗД е загрижен, че режим, изискващ от органите да правят оценка, може да се окаже непрактичен и трудно приложим или на практика да доведе до обратен резултат. По този начин може дори да доведе до намаляване на гаранциите, свързани със защитата на данните на лицата.

48.

Всъщност, при такъв подход съществува вероятност органите по защита на данните да бъдат затрупани с уведомявания за нарушения на сигурността и може да срещнат сериозни трудности при извършването на необходимото оценяване. Важно е да се помни, че за да се прецени дали едно нарушение отговаря на стандарта, на органите трябва да се предостави достатъчно вътрешна информация, често от комплексно техническо естество, която те трябва да обработят много бързо. Като се има предвид трудността на оценката и фактът, че някои органи разполагат с ограничени средства, ЕНОЗД се опасява, че органите много трудно ще могат да спазят това задължение и могат да прибягнат до средства, предназначени за други важни приоритети. Освен това, подобна система може да обремени ненужно органите; всъщност, ако решат, че нарушението не е сериозно, и въпреки това на лицата бъдат нанесени вреди, органите може евентуално да бъдат държани отговорни.

49.

Посочената по-горе трудност допълнително се подсилва, ако се вземе предвид, че времето е определящо за свеждането до минимум на рисковете, произтичащи от нарушения на сигурността. Освен ако органите не съумеят да направят оценката в много кратки срокове, допълнителното време, необходимо за тази оценка, може да увеличи вредите за засегнатите лица. Следователно, тази допълнителна стъпка, която цели да осигури по-голяма защита на лицата, може, напротив, да доведе до по-ниска защита, отколкото основаните на пряко уведомяване системи.

50.

Поради посочените по-горе причини ЕНОЗД смята, че би било за предпочитане да се създаде система, при която съответните образувания да преценяват дали нарушението отговаря на стандарта или не, както е предвидено в подхода на Съвета.

51.

Същевременно, за да се избегне риска от евентуални злоупотреби, например на образувания, които отказват да извършат уведомяване в случаи, при които то очевидно е необходимо, от решаващо значение е да се включат определени гаранции, които са посочени по-долу.

52.

На първо място, задължението обхванати образувания да определят дали трябва да извършат уведомяване трябва, разбира се, да бъде придружено от друго задължение, налагащо задължителното уведомяване на органите за всички нарушения, които отговарят на необходимия стандарт. В тези случаи засегнатите образувания следва да бъдат задължени да уведомяват органите за нарушението, за основанията за своето решение относно уведомяването и за съдържанието на извършеното уведомяване.

53.

На второ място, органите трябва да получат същинска надзорна функция. При упражняването на тази функция органите трябва да имат възможност, но не задължението, да разследват обстоятелствата, свързани с нарушението, и да изискват подходящи действия за коригиране (14). Тук следва да се включва не само уведомяването на лица (когато то все още не е извършено), но и възможността да се налага задължение за предприемане на действия, които да предотвратят бъдещи нарушения. В това отношение органите следва да получат ефективни правомощия и средства, както и нужната свобода на действие да решават в кои случаи да предприемат действия за уведомяване за нарушения на сигурността. С други думи, това би позволило на органите да подхождат избирателно и да извършват разследвания например на наистина вредни нарушения на сигурността, като удостоверяват и прилагат съответствие с изискванията на закона.

54.

За да се постигне това, освен правомощията, признати съгласно Директивата за неприкосновеност на личния живот и електронни комуникации, като например член 15.а.3 и Директивата за защита на данните, ЕНОЗД препоръчва да се вмъкне следната формулировка: „Ако засегнатият абонат или лице още не е уведомено, компетентният национален орган, след като е преценил естеството на нарушението, може да изисква от ДОДЕСУ и ДУИО да направят това“.

55.

Освен това ЕНОЗД препоръчва ЕП и Съветът да потвърдят предложеното от ЕП задължение (изменение 122, член 4.1.а) на образувания да извършват оценка на риска и идентифициране на своите системи и личните данни, които възнамеряват да обработват. Въз основа на това задължение образуванията изготвят адаптирано и точно определение на мерките за сигурност, които ще бъдат прилагани в техния случай и които следва да бъдат на разположение на органите. Ако възникне нарушение на сигурността, това задължение ще улесни обхванатите образувания — и в крайна сметка и органите в тяхната надзорна функция — да определят дали излагането на риск на тази информация може да има неблагоприятни последици или да причини вреди на лицата.

56.

На трето място, задължението на обхванатите образувания да определят дали трябва да уведомят лицата трябва да се съпътства от задължение за провеждане на подробно и изчерпателно вътрешно проследяване (одитна следа), което описва всички възникнали нарушения и съответното уведомяване, както и мерките, предприети за избягване на бъдещи нарушения. Тази вътрешна одитна следа трябва да бъде на разположение на органите за преглед и евентуално разследване. Така органите ще могат да изпълняват надзорната си функция. Това може да се постигне чрез приемането на формулировка в следния смисъл: „ДОДЕСУ и ДУИО водят и поддържат подробен регистър, в който се описват всички нарушения на сигурността, свързаната с това техническа информация и предприетите действия за коригиране. В регистъра е описано и всяко уведомяване на засегнати абонати или лица и на компетентните национални органи, включително датата и съдържанието. Регистърът се предоставя на компетентния национален орган при поискване.“

57.

Разбира се, за да се гарантира последователност при прилагането на този стандарт, както и на други аспекти на рамката за нарушения на сигурността, като например формата и процедурите за уведомяване, би било целесъобразно Комисията да приеме технически мерки за прилагане, след консултации с ЕНОЗД, работна група „Член 29“ и съответните заинтересовани страни.

58.

Що се отнася до уведомяването ЕНОЗД предпочита формулировката на ЕП и Комисията пред тази на Съвета. Всъщност, ЕП е заменил формулировката „абонати“ с „ползватели“. Комисията използва „абонати“ и „засегнато лице“. Във формулировката на ЕП и на Комисията като получатели на уведомяването са включени не само настоящите, но и бившите абонати, както и трети страни, като например ползватели, които осъществяват връзка с някои обхванати образувания, без да са техни абонати. ЕНОЗД приветства този подход и призовава ЕП и Съвета да го запазят.

59.

Същевременно ЕНОЗД отбелязва някои несъответствия във формулировките в първото четене в ЕП, които следва да бъдат коригирани. Така например в повечето, но не във всички случаи формулировката „абонати“ е заменена с „ползватели“, в други случаи с „потребители“. Това следва да се хармонизира.

60.

Член 3.1 от сегашната Директива за неприкосновеност на личния живот и електронни комуникации установява образуванията, които са основно засегнати от директивата, т.е. тези, които обработват данни „във връзка с“ предоставянето на публично достъпни електронно комуникационни услуги в публични комуникационни мрежи (назовани по-горе ДОДЕСУ) (15). Примерите за ДОДЕСУ включват предоставяне на достъп до интернет, пренос на информация чрез електронни мрежи, мобилни и телефонни връзки и др.

61.

ЕП прие изменение 121, което изменя член 3 от първоначалното предложение на Комисията, съгласно който обхватът на приложение на Директивата за неприкосновеност на личния живот и електронни комуникации е разширен, за да се включи „обработката на лични данни във връзка с предоставянето на публично достъпни електронно комуникационни услуги в публични и частни комуникационни мрежи и публично достъпни частни мрежи в Общността, […]“ (член 3.1 от Директивата за неприкосновеност на личния живот и електронни комуникации). За съжаление, Съветът и Комисията не можаха да приемат това изменение и съответно не включиха този подход в общата позиция и измененото предложение.

62.

Поради посочените по-долу основания и за да спомогне за постигането на консенсус, ЕНОЗД предлага да се запази същността на изменение 121. Освен това ЕНОЗД предлага да се включи изменение, доуточняващо видовете услуги, които ще включва разширеният обхват.

63.

Частни мрежи често се използват за предоставяне на електронни комуникационни услуги, като например достъп до интернет на неопределен, потенциално голям брой лица. Такъв е например случаят с достъп до интернет в интернет-кафенета, както и на места с безжичен достъп в хотели, ресторанти, летища, влакове и други публични места, където такива услуги често се предоставят като допълнение към други услуги (напитки, настаняване и пр.)

64.

В горепосочените примери комуникационна услуга, напр. достъп до интернет, става публично достъпна не чрез публична мрежа, а по-скоро чрез частна, т.е. частно управлявана мрежа. Освен това, въпреки че в горните случаи комуникационната услуга се предоставя на обществеността, тъй като използваната мрежа е частна, а не публична, може да се твърди, че предоставянето на тези услуги не е обхванато в цялата Директива за неприкосновеност на личния живот и електронни комуникации или най-малкото в някои нейни членове (16). В резултат основните права на лицата, гарантирани от Директивата за неприкосновеност на личния живот и електронни комуникации, в тези случаи не са защитени и възниква неравностойна правна ситуация за ползватели, които имат достъп до същите услуги за достъп до интернет чрез публични телекомуникационни средства, спрямо онези, които имат достъп до тях чрез частни мрежи. И това въпреки факта, че във всички тези случаи съществува същата степен на риск за неприкосновеността на личния живот и личните данни на лицата, както когато за услугата се използват публични мрежи. Накратко, изглежда няма основание, което съгласно Директивата да оправдава различното третиране на комуникационни услуги, предоставяни чрез частна мрежа, спрямо тези, предоставяни чрез публична мрежа.

65.

Ето защо ЕНОЗД би подкрепил изменение като изменение 121 на ЕП, съгласно което Директивата за неприкосновеност на личния живот и електронни комуникации ще се прилага и при обработката на лични данни във връзка с предоставянето на публично достъпни електронно комуникационни услуги в частни комуникационни мрежи.

66.

ЕНОЗД обаче отчита, че тази формулировка би могла да има непредвидими и евентуално и нежелани последици. Всъщност, самото упоменаване на частни мрежи би могло да се тълкува като обхващащо положения, които директивата очевидно няма за цел да обхваща. Така например, би могло да се твърди, че буквалното или стриктно тълкуване на тази формулировка би могло да включи в обхвата на директивата собственици на жилища с безжичен достъп (17) , които дават възможност на всекиго в техния обхват (обикновено жилището) да осъществява връзка; макар че изменение 121 няма такава цел. За да се избегне такъв резултат, ЕНОЗД предлага изменение 121 да се перифразира, като включи в обхвата на приложение на Директивата за неприкосновеност на личния живот и електронни комуникации „обработката на лични данни във връзка с предоставянето на публично достъпни електронно комуникационни услуги в публични или публично достъпни частни комуникационни мрежи в Общността,...“

67.

Така ще бъде по-ясно, че само частни мрежи, които са публично достъпни, ще бъдат обхванати от Директивата за неприкосновеност на личния живот и електронни комуникации. Чрез прилагане на разпоредбите на Директивата за неприкосновеност само към публично достъпни частни мрежи (а не към всички частни мрежи) се въвежда ограничение, така че директивата обхваща само комуникационните услуги, предоставяни в частни мрежи, които умишлено са направени публично достъпни. Тази формулировка допълнително подчертава, че наличността на частната мрежа за членове на широката общественост е основният фактор при определянето дали директивата ще обхваща (освен предоставянето на публично достъпни комуникационни услуги). С други думи, независимо от това дали е публична или частна, ако мрежата умишлено е направена публично достъпна, за да предоставя публична комуникационна услуга, като например достъп до интернет, дори тази услуга да допълва друга (напр. настаняване в хотел), този вид услуга/ мрежа ще бъде обхваната от Директивата за неприкосновеност на личния живот и електронни комуникации.

68.

ЕНОЗД отбелязва, че подкрепеният по-горе подход, според който разпоредбите на Директивата за неприкосновеност на личния живот и електронни комуникации се прилагат спрямо публично достъпни частни мрежи, съответства на приетите в няколко държави-членки подходи, където органите вече са включили такива услуги, както и услугите, предоставяни в чисто частни мрежи, в обхвата на приложение на националните разпоредби за изпълнение на Директивата за неприкосновеност на личния живот и електронни комуникации (18).

69.

За по-голяма правна сигурност по отношение на образуванията, включени в новия обхват, може би ще е полезно в Директивата за неприкосновеност на личния живот да се включи изменение, което дава определение за „публично достъпни частни мрежи“ и което би могло да гласи, както следва: „публично достъпна частна мрежа означава частно управлявана мрежа, до която членове на широката общественост имат неограничен достъп, независимо дали чрез заплащане или заедно с други услуги или предложения, при приемане на приложимите договорености и условия.“

70.

На практика горният подход би означавал, че ще бъдат включени частни мрежи в хотели и други учреждения, които предоставят достъп до интернет на широката общественост чрез частна мрежа. Обратно, предоставянето на комуникационни услуги в чисто частни мрежи, където услугата е сведена до група определени лица, няма да бъде включено в обхвата. Ето защо виртуални частни мрежи например, както и жилища на потребители, оборудвани с безжичен достъп, няма да бъдат обхванати от директивата. Няма да бъдат обхванати и услуги, предоставени чрез чисто корпоративни мрежи.

71.

Изключването на частни мрежи сами по себе си, както е посочено по-горе, следва да се счита за междинна мярка, която да подлежи на по-нататъшно обсъждане. Всъщност, като се имат предвид от една страна последиците за неприкосновеността на личния живот от изключването на чисто частните мрежи като такива и от друга фактът, че се засягат голям брой хора, които обикновено осъществяват достъп до интернет чрез корпоративни мрежи, в бъдеще може да се наложи преразглеждане. Поради тази причина и за да допринесе за дебата по този въпрос, ЕНОЗД препоръчва в Директивата за неприкосновеност на личния живот и електронни комуникации да се включи съображение, според което Комисията ще проведе публични консултации относно прилагането на Директивата към всички частни мрежи, със съдействието на ЕНОЗД, органите по защита на данните и други заинтересовани страни. Освен това, в съображението би могло да се уточни, че в резултат на публичните консултации Комисията следва да изготви подходящо предложение за разширяване или ограничаване на видовете образувания, които следва да бъдат обхванати от директивата.

72.

Освен посоченото по-горе, различните членове от Директивата за неприкосновеност на личния живот и електронни комуникации следва да бъдат съответно изменени, така че във всички оперативни разпоредби освен публичните мрежи изрично да се посочват публично достъпните частни мрежи.

73.

В хода на законодателния процес, свързан с преразглеждането на Директивата за неприкосновеност на личния живот и електронни комуникации, компаниите, предоставящи услуги в областта на сигурността, заявиха, че е необходимо в директивата да бъде въведена разпоредба, узаконяваща събирането на данни за трафик за гарантиране на ефективна сигурност онлайн.

74.

Вследствие, ЕП вмъкна изменение 181, с което се създава нов член 6.6., буква а), изрично упълномощаващ обработката на лични данни за целите на сигурността: „Без да се засяга съответствието с разпоредбите, различни от член 7 от Директива 95/46/ЕО и член 5 от настоящата директива, данните за трафик могат да бъдат обработвани за целите на законните интереси на контролиращия данните орган с цел прилагане на технически мерки за гарантиране на мрежовата и информационната сигурност, както е определено в член 4, буква в) от Регламент (ЕО) № 460/2004 на Европейския парламент и на Съвета от 10 март 2004 г. за създаване на Европейска агенция за мрежова и информационна сигурност, на публична електронна съобщителна услуга, публична или частна електронна съобщителна мрежа, информационна обществена услуга или свързано крайно и електронно съобщително оборудване, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице. Такава обработка трябва да бъде строго ограничена до необходимото за целите на сигурността“.

75.

В измененото предложение на Комисията това изменение принципно беше възприето, но отпадна основна формулировка, целяща да гарантира, че останалите разпоредби на директивата трябва да бъдат спазвани при отстраняването на формулировката, която гласи „Без да се засяга […].. на настоящата директива“). Съветът прие преработен вариант, който представляваше още една стъпка към размиване на важните защити и балансиране на интересите, залегнали в изменение 181, чрез приемането на формулировка, която гласи следното: „Данните за трафик могат да се обработват до степента, строго необходима за гарантирането […] на мрежовата и информационна сигурност, посочена в член 4, буква в) от Регламент (ЕО) № 460/2004 на Европейския парламент и на Съвета от 10 март 2004 г. за създаване на Европейската агенция за мрежова и информационна сигурност.“

76.

Както е пояснено по-долу, член 6.6, буква а) е излишен и крие опасност от злоупотреби, особено ако бъде приет във вид, който не включва важните гаранции, клаузи, спазващи други разпоредби на директивата, и балансирането на интереси. Ето защо ЕНОЗД препоръчва този член да се отхвърли или поне да се направи необходимото всеки един член относно този въпрос да включва видовете гаранции, съдържащи се в изменение 181 на ЕП.

77.

Степента, в която ДОДЕСУ могат да обработват законно данни за трафик, е уредена по член 6 от Директивата за неприкосновеност на личния живот и електронни комуникации, който ограничава обработката на данни за трафик до определен брой цели, като изготвяне на сметка, взаимна връзка и търговия. Тази обработка може да се извърши само при определени условия, като например съгласие на лицето в случай на търговия. Освен това, други администратори на данни като ДУИО могат да обработват данни за трафик по член 7 от Директивата за защита на данните, който установява, че администраторите на лични данни могат да обработват лични данни при спазване на най-малко едно от посочените правни основания, наричани още правни съображения.

78.

Пример за такова правно основание е член 7, буква а) от Директивата за защита на данните, който изисква съгласието на субекта на данните. Така например, ако онлайн търговец на дребно желае да обработва данни за трафик с цел изпращане на реклами или търговски материали, той трябва да получи съгласието на лицето. Друго правно основание, посочено в член 7, допуска, в определени случаи, обработката на данни за трафик за целите на сигурността например от компании в сферата на сигурността, които предлагат услуги, свързани със сигурността. Това се основава на член 7, буква е), който установява, че администраторите на лични данни могат да обработват лични данни, ако това е „необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице.“. Директивата за защита на данните не уточнява случаите, в които обработката на лични данни отговаря на това изискване. Вместо това, решенията се вземат от администраторите на лични данни за всеки отделен случай, често със съгласието на националните органи по защита на данните и други органи.

79.

Следва да се обмисли взаимодействието между член 7 от Директивата за защита на данните и предложения член 6.6, буква а) от Директивата за неприкосновеност на личния живот и електронни комуникации. Предложеният член 6.6, буква а) уточнява обстоятелствата, при които посочените по-горе изисквания в член 7, буква е) ще бъдат изпълнени. Всъщност, като упълномощава обработката на данни за трафик с цел гарантиране на сигурността на мрежата и информацията, член 6.6, буква а) допуска такава обработка за целите на законните интереси, преследвани от администратора на лични данни.

80.

Както е обяснено по-долу, ЕНОЗД смята, че предложеният член 6.6, буква а) не е нито необходим, нито полезен. Всъщност, по принцип, от правна гледна точка е ненужно да се установява дали определен вид дейност, свързана с обработката на данни за трафик, в този случай обработката на данни за целите на сигурността, отговаря или не на изискванията в член 7, буква е) от Директивата за защита на данните, в който случай може да е необходимо съгласието на лицето по силата на член 7, буква а). Както вече беше отбелязано, тази оценка обикновено се прави от администраторите на лични данни, т.е. компании на ниво изпълнение, след консултации с органите по защита на данните, и при необходимост съдилищата. По принцип ЕНОЗД смята, че в определени случаи законната обработка на данни за трафик за целите на сигурността, която е извършена, без да се застрашават основни права и свободи на лицата, вероятно ще отговаря на изискванията на член 7, буква е) от Директивата за защита на данните и следователно може да бъде извършена. Освен това, в Директивата за защита на данните и в Директивата за неприкосновеност на личния живот и електронни комуникации няма друг случай на обособяване или предоставяне на специално третиране за определени дейности, свързани с обработката на данни, които биха задоволили изискванията на член 7, буква е), а и няма изразена необходимост за такова изключение. Напротив, както беше отбелязано по-горе, при много обстоятелства този вид дейност очевидно се вмества добре в сегашния текст. Следователно, правна разпоредба, потвърждаваща тази оценка, по принцип е ненужна.

81.

Както е обяснено, макар и ненужно, по-горе, важно е да се подчертае, че изменение 181 във вида, приет от Европейския парламент, беше все пак формулирано до известна степен, вземайки предвид принципите за неприкосновеност на личния живот и защитата на данните, залегнали в законодателството в областта на защитата на данните. Изменение 181 на ЕП би могло да разгледа още по-задълбочено интересите, свързани със защитата на данните и неприкосновеността на личния живот, чрез добавянето например на формулировката „в специфични случаи“, за да се гарантира избирателното прилагане на този член, или чрез включването на конкретен период на съхранение.

82.

Изменение 181 съдържа някои положителни елементи. То потвърждава, че обработката следва да спазва всички останали принципи за защита на данните, приложими към обработката на лични данни („Без да се засяга... съответствието с разпоредбите […] на Директива 95/46/ЕО и […] на настоящата директива“). Освен това, въпреки че изменение 181 допуска обработката на данни за трафик за целите на сигурността, то установява равновесие между интересите на образуванието, обработващо данни за трафик, и тези на лицата, чиито данни се обработват, така че подобна обработка на данни може да се извърши, само ако интересите, свързани с основните права и свободи на лицата, имат преимущество пред тези на образуванието, обработващо данните („с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице“). Това изискване е съществено дотолкова, доколкото допуска обработката на данни за трафик в специфични случаи; то обаче не позволява образувание да обработва данни за трафик на едро.

83.

Преработеният вариант на Съвета на изменението съдържа положителни елементи, като например запазването на формулировката „строго необходимо“, която подчертава ограничения обхват на приложение на този член. Във варианта на Съвета обаче са премахнати посочените по-горе гаранции, свързани със защитата на данните и неприкосновеността на личния живот. Макар по принцип да се прилагат общи разпоредби за защита на данните, независимо дали се прави конкретно позоваване във всеки отделен случай, вариантът на Съвета на член 6.6, буква а) може все пак да се тълкува като предоставящ пълни правомощия за вземане на решения за обработка на данни за трафик, без да се спазват гаранциите за защита на данните и неприкосновеност на личния живот, които се прилагат при всяка обработка на данни за трафик. Следователно може да се твърди, че данни за трафик могат да се събират, съхраняват и използват за по-нататъшни цели, без да е необходимо да се спазват принципите за защита на данните и специфични задължения, които иначе се прилагат спрямо отговорните страни, като например принципа за качество или задължението за справедлива и законна обработка и изискването да се пази поверителността и сигурността на данните. Освен това, тъй като липсва позоваване на приложимите принципи за защита на данните, които налагат срок за съхранение на информацията, или на специфичен срок в самия член, вариантът на Съвета може да се тълкува като позволяващ събирането и обработката на данни за трафик за целите на сигурността за неопределен период.

84.

В допълнение, чрез стремежа към разширяване на формулировките Съветът отслаби на определени места в текста защитите, свързани с неприкосновеността на личния живот. Така например позоваването на „законните интереси на администратора на лични данни“ беше премахнато, което повдига въпроси във връзка с видовете образувания, които биха могли да се възползват от това изключение. От решаващо значение е да се избегне допускането на възможността ползвател или юридическо лице да се възползва от това изменение.

85.

Скорошният опит в ЕП и Съвета показва, че е трудно да се определят посредством закона размерът и условията, съгласно които обработката на данни за целите на сигурността може да бъде законно извършена. Малко вероятно е съществуващ или бъдещ член да премахне очевидните рискове от прекалено широко прилагане на изключението по причини, различни от свързаните със сигурността, или от образувания, които не би следвало да могат да се възползват от изключението. Това не означава, че подобна обработка не може да се извърши в никой случай. Но по-добра оценка на това дали и до каква степен би могла да се извърши обработка може да бъде направена на ниво изпълнение. Образувания, които желаят да участват в такава обработка, следва да обсъдят обхвата и условията с органите по защита на данните и евентуално с работна група „Член 29“. Друга възможност е в Директивата за неприкосновеност на личния живот и електронни комуникации да се включи член, допускащ обработката на данни за трафик за целите на сигурността след изрично упълномощаване от органите по защита на данните.

86.

Като се вземат предвид от една страна рисковете, които крие член 6.6, буква а) за основното право на лицата на защита на данните и неприкосновеността на личния живот, а от друга страна и фактът, че, както се посочва в настоящото становище, от правна гледна точка този член е ненужен, ЕНОЗД стигна до заключението, че най-добрият изход би било пълното заличаване на предложения член 6.6, буква а).

87.

Ако въпреки препоръката на ЕНОЗД бъде приет текст в смисъла на някой от настоящите варианти на член 6.6 буква а), той при всяко положение следва да съдържа обсъдените по-горе гаранции за защита на данните. Той следва да бъде и подобаващо интегриран в съществуващата структура на член 6, за предпочитане като нов параграф 2а.

88.

ЕП прие изменение 133, което дава възможност на доставчиците на достъп до интернет и други юридически лица като потребителски асоциации да завеждат дела за нарушения на която и да е разпоредба на Директивата за неприкосновеност на личния живот и електронни комуникации (19). За съжаление, нито Комисията, нито Съветът приеха това изменение. ЕНОЗД счита това изменение за много положително и препоръчва то да бъде запазено.

89.

За да се разбере значението на това изменение, трябва да се осъзнае, че в областта на неприкосновеността на личния живот и защитата на данните нанесените на лице вреди, индивидуално погледнати, обикновено не са достатъчни сами по себе си, за да може това лице да предяви иск в съда. Обикновено лицата не отиват сами в съда заради това, че са получили нежелани съобщения или заради погрешно включване на името им в директория. Това изменение би позволило на потребителски асоциации и профсъюзи, представляващи интересите на потребителите, да предявяват иск от тяхно име на колективно ниво в съда. Освен това е вероятно по-голямото разнообразие от механизми за прилагане да доведе до по-голямо спазване и следователно да способства за ефективно прилагане на разпоредбите на Директивата за неприкосновеност на личния живот и електронни комуникации.

90.

В правната рамка на някои държави-членки съществуват прецеденти, в които вече е предвидена възможността за колективна правна защита, за да могат потребители или заинтересовани групи да търсят обезщетение от страната, причинила вреди.

91.

Освен това, законодателството на някои държави-членки в областта на конкуренцията (20) , дава право на потребители, заинтересовани групи (освен засегнатия конкурент) да заведат дело срещу образуванието, извършило нарушението. Основанието за този подход е, че е вероятно компании, действащи в нарушение на законодателството за конкуренцията, да се облагодетелстват, тъй като потребители, претърпели само леки вреди, по правило не са склонни да заведат дело. Това основание може да се прилага mutantis mutandi в областта на защитата на данните и неприкосновеността на личния живот.

92.

По-важното, както беше посочено по-горе, е, че предоставянето на право на юридически лица като потребителски асоциации и ДОДЕСУ да завеждат дела укрепва позицията на потребителите и съдейства за цялостното спазване на законодателството в областта на защитата на данните. Ако извършващите нарушения компании са изправени пред по-голям риск да бъдат съдени, те вероятно ще инвестират повече в спазването на законодателството в областта на защитата на данните, което в дългосрочен план увеличава степента на защита на неприкосновеността на личния живот и на потребителите. Предвид всички тези основания ЕНОЗД призовава ЕП и Съвета да приемат разпоредба, позволяваща на юридически образувания да предявяват иск за нарушения на която и да е от разпоредбите на Директивата за неприкосновеност на личния живот и електронни комуникации.

93.

Общата позиция на Съвета, първото четене в ЕП и измененото предложение на Комисията съдържат, в различна степен, положителни елементи, които биха послужили за увеличаване степента на защита на неприкосновеността на личния живот на лицата и техните лични данни.

94.

Същевременно ЕНОЗД смята, че има място за подобрения, по-специално по отношение на Общата позиция на Съвета, в която за съжаление не са запазени някои от измененията на ЕП, целящи да гарантират адекватната защита на неприкосновеността на личния живот на лицата и техните лични данни. ЕНОЗД призовава ЕП и Съвета да възстановят гаранциите, свързани с неприкосновеността на личния живот, залегнали в първото четене в ЕП.

95.

Освен това, ЕНОЗД смята за целесъобразно да се рационализират някои от разпоредбите на директивата. Това важи с особена сила за разпоредбите относно нарушения на сигурността, тъй като ЕНОЗД смята, че максималните ползи от уведомяването при нарушение ще бъдат най-добре постигнати, ако от самото начало има адекватна правна рамка. Най-сетне, ЕНОЗД смята за целесъобразно да се подобри и уточни формулировката на някои от разпоредбите на директивата.

96.

Във връзка с посоченото по-горе, ЕНОЗД призовава ЕП и Съвета да положат повече усилия за подобряване и уточняване на някои от разпоредбите на Директивата за неприкосновеност на личния живот и електронни комуникации, като същевременно възстановят приетите на първо четене в ЕП изменения, целящи да гарантират подходящо ниво на защита на неприкосновеността на личния живот и данните. За целта точки 97, 98, 99 и 100 по-долу представят накратко най-важните въпроси и правят някои препоръки и предложения по текста. ЕНОЗД призовава всички участващи страни да ги вземат предвид в хода на придвижването на Директивата за неприкосновеност на личния живот и електронни комуникации за окончателно приемане.

97.

Европейският парламент, Комисията и Съветът приеха различни подходи за уведомяване за нарушения на сигурността. Между трите модела има разлики по отношение, inter alia, на обхванатите от задължението образувания, на стандарта и фактора, задействащ уведомяването, субектите на данни, които могат да бъдат уведомявани и т.н. Необходимо е ЕП и Съветът да положат максимални усилия и да представят стабилна правна рамка за нарушения на сигурността. За целта ЕП и Съветът следва:

98.

Комуникационните услуги често се правят публично достъпни не чрез публични мрежи, а чрез частно управлявани мрежи (напр. места с безжичен достъп в хотели, летища), които, може да се твърди, не са включени в обхвата на директивата. ЕП прие изменение 121 (член 3), което разширява обхвата на приложение на директивата, като включва публични и частни комуникационни мрежи, както и публично достъпни частни мрежи. В това отношение ЕП и Съветът следва:

99.

ЕП прие на първо четене изменение 181 (член 6.6, буква а), което разрешава обработката на данни за трафик за целите на сигурността. В общата позиция на Съвета беше приет нов вариант, който разми някои от гаранциите, свързани с неприкосновеността на личния живот. В това отношение ЕНОЗД препоръчва ЕП и Съветът:

100.

Европейският парламент прие изменение 133 (член 13.6), което позволява на юридически лица да завеждат дела при нарушения на която и да е от разпоредбите на Директивата за неприкосновеност на личния живот и електронни комуникации. За съжаление Съветът не запази това изменение. Съветът и ЕП следва:

101.

По отношение на всички посочени по-горе въпроси ЕП и Съветът трябва да посрещнат предизвикателството да изготвят подходящи правила и разпоредби, които са работещи, функционални и зачитат правата на лицата на неприкосновеност на личния живот и защита на данните. ЕНОЗД изразява надежда, че участниците ще положат максимални усилия за посрещане на това предизвикателство и че настоящото становище ще допринесе в това начинание.

6.6.2009   

BG

Официален вестник на Европейския съюз

C 128/42

1.

На 13 ноември 2008 г. Комисията прие предложение за директива на Съвета относно налагане на задължение на държавите-членки да поддържат минимални запаси от суров нефт и/или нефтопродукти (по-нататък „предложението“) (3).

2.

Предложението цели да гарантира висока степен на сигурност на снабдяването с нефт в Общността чрез надеждни и прозрачни механизми, основани на солидарността между държавите-членки, поддържането на минимални количества запаси от нефт и нефтопродукти, както и въвеждане на необходимите процедурни средства за преодоляване на евентуална сериозна недостатъчност.

3.

На 14 ноември 2008 г., в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001, Комисията изпрати предложението на ЕНОЗД за консултация. ЕНОЗД приветства факта, че с него е проведена консултация по този въпрос и отбелязва, че в преамбюла на предложението се прави позоваване на тази консултация, в съответствие с член 28 от Регламент (ЕО) № 45/2001.

4.

Преди приемане на предложението Комисията проведе неофициална консултация с ЕНОЗД относно специфичен член от проекта за предложение (сегашния член 19). ЕНОЗД приветства неофициалната консултация, която му даде възможност да направи някои предложения преди приемането на предложението от Комисията.

5.

Разглежданият тук въпрос илюстрира добре факта, че правилата относно защитата на данните следва непрекъснато да се отчитат. В ситуация, която засяга държавите-членки и задължението им да поддържат минимални запаси от нефт при неотложни случаи, които са притежание основно на юридически образувания, обработката на лични данни не е толкова видна, но макар и да не е замислена като такава, тя все пак може да бъде извършвана. При всички положения следва да се разгледа вероятността за обработка на лични данни и да се предприемат съответни действия.

6.

В сегашната ситуация в директивата са посочени основно две дейности, които биха могли да включват обработката на лични данни. Първата дейност се състои в събирането от държавите-членки на информация относно запасите от нефт и предаването на тази информация на Комисията. Втората дейност е свързана с правомощието на Комисията да осъществява контрол в държавите-членки. Събирането на информация за собствениците на запаси от нефт би могло да включва лични данни, като например имената и данните за връзка на директорите на компаниите. Това събиране и последващото предаване на Комисията представлява в такъв случай обработка на лични данни и определя приложимостта или на националното законодателство, прилагащо разпоредбите на Директива 95/46/ЕО, или на Регламент (ЕО) № 45/2001, в зависимост от това кой всъщност обработва данните. Освен това предоставянето на правомощие на Комисията да извършва проверки, свързани със запасите от нефт в държавите-членки, което включва правомощието за събиране на информация по принцип, би могло да включва събирането и следователно обработката на лични данни.

7.

По време на неофициалната консултация, която се ограничи единствено до разпоредбата относно правомощието на Комисията за разследване, ЕНОЗД препоръча на Комисията да установи дали обработката на лични данни в рамките на извършвано от нея разследване би било инцидентно или ще се извършва редовно и ще служи за целите на разследването. Въз основа на резултатите от тази оценка бяха предложени два подхода.

8.

Ако обработката на лични данни не е била предвидена и следователно би била абсолютно инцидентна, ЕНОЗД препоръчва на първо място изрично да се изключи обработката на лични данни за целите на разследването на Комисията и на второ място да се посочи, че всякакви лични данни, на които би се натъкнала Комисията в хода на разследването, няма да се събират или вземат предвид, а ако са събрани по случайност, ще бъдат незабавно унищожени. Освен това ЕНОЗД предложи като обща предпазна клауза да се включи разпоредба, която да посочва, че директивата не засяга правилата относно защитата на данните, изложени в Директива 95/46/ЕО и Регламент (ЕО) № 45/2001.

9.

Ако от друга страна е било предвидено обработката на данни да се извършва редовно в рамките на разследване на Комисията, ЕНОЗД препоръча на Комисията да включи текст, който отразява резултата от подходяща оценка на защитата на данните. Тази оценка следва да включва следните елементи: (I) същинската цел на обработката на данни, (II) необходимостта от обработката на данни за постигането на тази цел, и (III) съразмерността на обработката на данни.

10.

Макар неофициалната консултация на ЕНОЗД да се отнасяше само до правомощието на Комисията за разследване, неговите забележки важат със същата сила за другата основна дейност, разяснена в предложената директива, а именно събирането и предаването на информация от държавите-членки на Комисията.

11.

Окончателното предложение за директива ясно показва заключението на Комисията, че не се предвижда обработка на лични данни за целите на директивата. ЕНОЗД със задоволство установява, че първият, предложен от него подход, е изцяло застъпен в предложението.

12.

Следователно ЕНОЗД изразява подкрепа за начина, по който Комисията е осигурила съответствие с правилата за защита на данните в предложената директива. Ето защо в настоящата консултация ще бъдат предоставени само някои подробни препоръки.

13.

Член 15 от предложението за директива разглежда наложеното на държавите-членки задължение да предоставят на Комисията седмични статистически справки за количествата запаси за търговски цели, съхранявани на тяхна територия. Тази информация обикновено съдържа малко лични данни. Тя обаче би могла да съдържа информация относно физическите лица, собственици на запасите от нефт, или работещи за юридическото образувание, което притежава запаса. За да се избегне предоставянето на такава информация от държавите-членки на Комисията, член 15, параграф 1 постановява, че ако държавите-членки направят това, те „не упоменават имената на собствениците на въпросните запаси“. Въпреки че следва да се съзнава факта, че премахването на име невинаги ще има за резултат данни, които чрез които не може да се стигне до физическо лице, в сегашната ситуация (статистически справки за нивата на запаси от нефт) тази допълнителна фраза ще бъде достатъчна да се гарантира, че не се извършва предаване на лични данни на Комисията.

14.

Правомощието на Комисията за разследване е установено в член 19 от предложението за директива. Въпросният член показва ясно, че Комисията е следвала първия подход, както е обяснено в точка 8 по-горе. В него се посочва, че събирането на лични данни не може да бъде част от извършваните от Комисията проверки. И дори ако Комисията се натъкне на такива данни, те не могат да се вземат предвид и, ако са събрани по случайност, трябва да бъдат унищожени. С цел привеждане на формулировката в съответствие с формулировката, използвана в законодателството в областта на защитата на данните, както и за да се избегне всякакво недоразумение, ЕНОЗД препоръчва думата „събиране“ в първото изречение на параграф 2 да се замени с думата „обработка“.

15.

ЕНОЗД установява със задоволство, че в предложението е включена и обща предпазна клауза във връзка със съответното законодателство в областта на защитата на данните. В член 20 ясно се припомнят задълженията на държавите-членки, Комисията и други органи на Общността съгласно Директива 95/46/ЕО и Регламент (ЕО) № 45/2001. Освен това се подчертават правата, които субектите на данни имат съгласно тези правила, като например правото да възразят срещу обработката на техните данни, правото на достъп до техните данни и правото да поискат коригиране на данните си в случай на неточност. Може би е нужна забележка относно мястото в предложението на тази разпоредба. Поради общия си характер тя не се ограничава само до правомощието на Комисията за разследване. Ето защо ЕНОЗД препоръчва членът да бъде преместен в първата част на директивата, например след член 2.

16.

Освен това в съображение 25 се прави позоваване на Директива 95/46/ЕО и Регламент (ЕО) № 45/2001. Целта на съображението обаче е доста неясна, тъй като само споменава законодателството относно защитата на данните като такова и не посочва нищо друго. Съображението следва ясно да посочва, че разпоредбите на директивата не засягат споменатото законодателство. Освен това последното изречение от съображението очевидно означава, че законодателството в областта на защитата на данните изрично изисква от администраторите незабавно да унищожават случайно събрани данни. Въпреки че може да е последица от изложените правила, подобно задължение не може да намерено в това законодателство. Общ принцип на защитата на данните е, че личните данни не се съхраняват по-дълго от необходимото за целите, за които са били събрани или впоследствие обработени. Ако първата част на съображението бъде адаптирана по току-що предложения начин, последното изречение става излишно. ЕНОЗД следователно предлага последното изречение от съображение 25 да бъде заличено.

17.

ЕНОЗД изразява подкрепа за начина, по който Комисията е осигурила съответствие с правилата за защита на данните в предложената директива.

18.

ЕНОЗД препоръчва по-конкретно следното:

6.6.2009   

BG

Официален вестник на Европейския съюз

C 128/45

6.6.2009   

BG

Официален вестник на Европейския съюз

C 128/46