18.10.2014   

HR

Službeni list Europske unije

L 300/63

(1)

Pametnim mrežama omogućuje se provedba ključnih energetskih politika. U kontekstu političkog okvira za razdoblje do 2030., smatra se da pametne mreže kao temelj budućeg energetskog sustava s niskom razinom emisija ugljika pospješuju transformaciju energetske infrastrukture kako bi se omogućilo uključivanje većeg udjela obnovljive energije iz varijabilnih izvora, povećala energetska učinkovitost te osigurala opskrba energijom. Pametne mreže predstavljaju priliku za rast konkurentnosti subjekata EU-a koji pružaju tehnološke usluge te platformu za tradicionalna energetska poduzeća i ona koja tek pristupaju tržištu kojom se omogućuje razvoj inovativnih energetskih usluga i proizvoda u mrežnoj infrastrukturi te s njima povezanih informacijskih i komunikacijskih tehnologija, automatizacije doma i uređaja.

(2)

Pametni mjerni sustavi predstavljaju važan korak prema pametnim mrežama. Njima se omogućuje aktivno sudjelovanje potrošača na energetskom tržištu, kao i fleksibilnost sustava s pomoću programa odgovora na potražnju i drugih inovativnih usluga. U skladu s Direktivom 2009/72/EZ Europskog parlamenta i Vijeća (1) i Direktivom 2009/73/EZ Europskog parlamenta i Vijeća (2), države članice moraju osigurati uvođenje pametnih mjernih sustava kojima se olakšava aktivno sudjelovanje potrošača na tržištima opskrbe električnom energijom i plinom.

(3)

Pri uporabi pametnih mjernih sustava i a fortiori svim daljnjim razvojima pametnih mreža i uređaja otvara se mogućnost obrade podataka o pojedinoj osobi, tj. osobnih podataka kako su definirani u članku 2. Direktive 95/46/EZ Europskog parlamenta i Vijeća (3).

(4)

U Mišljenju 12/2011 (4) Radne skupine za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovane u skladu s člankom 29. Direktive 95/46/EZ navodi se da se pametnim mjernim sustavima i pametnim mrežama otvara mogućnost obrade sve većih količina osobnih podataka te dostupnosti tih podataka širem krugu primatelja nego što je trenutačno slučaj, čime za subjekte čiji se podaci obrađuju nastaju novi rizici koji ranije nisu postojali u energetskom sektoru.

(5)

U Mišljenju 04/2013 (5) Radne skupine navodi se da se pametnim mjernim sustavima i pametnim mrežama nagovještava nadolazeći „internet stvari” te da će se potencijalni rizici povezani s prikupljanjem detaljnih podataka o potrošnji u budućnosti vjerojatno povećati ako se ti podaci kombiniraju s onima iz drugih izvora, kao što su podaci o zemljopisnoj lokaciji, praćenje i profiliranje na internetu, sustavi za videonadzor te sustavi za radiofrekvencijsko prepoznavanje (6).

(6)

Podizanjem svijesti o obilježjima pametnih mreža i znatnim koristima od njih trebalo bi se omogućiti iskorištavanje svih potencijala te tehnologije te istodobno umanjiti rizike od korištenja njome nauštrb javnog interesa, čime bi ta tehnologija postala prihvatljivija.

(7)

Prava i obveze predviđeni Direktivom 95/46/EZ i Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (7) u potpunosti su primjenjivi na pametne mjerne sustave i pametne mreže pri obradi osobnih podataka.

(8)

Paket koji je Komisija donijela za reformiranje Direktive 95/46/EZ uključuje predloženu Uredbu o zaštiti podataka (8), koja bi se, ako bude donesena, primjenjivala na pametne mjerne sustave i pametne mreže pri obradi osobnih podataka.

(9)

U Komunikaciji Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija: „Pametne mreže: od inovacije do uvođenja” (9) od 12. travnja 2011. sigurnost i zaštita podataka istaknute su kao jedan od pet izazova pri uvođenju pametnih mreža te je naveden niz mjera za ubrzanje uvođenja, uključujući načelo zaštite privatnosti pri projektiranju (privacy by design) te procjenu sigurnosti i otpornosti mreža i informacija.

(10)

U Digitalnoj agendi za Europu navedene su prikladne mjere, posebno za zaštitu podataka u Uniji, sigurnost mreža i informacija i kibernetičke napade. U „Strategiji Europske unije za kibernetičku sigurnost: otvoren, siguran i zaštićen kibernetički prostor” (10) i Prijedlogu Direktive o mjerama za osiguravanje visoke opće razine sigurnosti mreža i informacija u Uniji koji je Komisija donijela 7. veljače 2013. (11) predložene su pravne mjere i poticaji za promicanje ulaganja, transparentnosti i svijesti potrošača, s ciljem povećanja sigurnosti mrežnog okoliša EU-a. Države članice trebale bi, u suradnji s industrijom, Komisijom i drugim dionicima, poduzeti primjerene mjere za osiguravanje koherentna pristupa sigurnosti i zaštiti osobnih podataka.

(11)

U Mišljenju Radne skupine za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovane u skladu s člankom 29. Direktive 95/46/EZ i Mišljenju Europskog nadzornika za zaštitu podataka od 8. lipnja 2012. (12) dane su smjernice za zaštitu osobnih podataka i jamčenje sigurnosti podataka koje su primjenjive na pametne mjerne sustave i pametne mreže pri obradi podataka. U Mišljenju 12/2011 o pametnom mjerenjuRadna skupinapreporučila je da države članice nastave sa svojim planovima provedbe za koje je potrebna procjena utjecaja na privatnost.

(12)

Kako bi se iskoristile pogodnosti pametnih mjernih sustava, jedan je od glavnih preduvjeta za uporabu te tehnologije pronalaženje odgovarajućih tehničkih i pravnih rješenja za zaštitu privatnosti osoba i zaštitu osobnih podataka kao temeljnih prava iz članaka 7. i 8. Povelje o temeljnim pravima Europske unije i članka 16. Ugovora o funkcioniranju Europske unije. U Preporuci Komisije 2012/148/EU (13) navedene su konkretne smjernice za zaštitu podataka i sigurnosne mjere za pametne mjerne sustave te su države članice i dionici pozvani da osiguraju nadzor pametnih mjernih sustava i pametnih mreža te poštovanje temeljnih prava i sloboda osoba.

(13)

U Preporuci 2012/148/EU navedeno je i da bi se procjenama utjecaja zaštite podataka trebalo omogućiti prepoznavanje rizika za zaštitu podataka u razvoju pametnih mreža od samog početka, u skladu s načelom zaštite podataka pri projektiranju. Najavljeno je i da će Komisija razviti obrazac za procjenu utjecaja zaštite podataka za pametne mreže i pametne mjerne sustave te da će za taj obrazac zatražiti mišljenje Radne skupine za zaštitu pojedinaca u vezi s obradom osobnih podataka.

(14)

U Preporuci 2012/148/EU naznačeno je i da bi obrascem za procjenu utjecaja zaštite podataka trebalo usmjeravati nadzornike podataka u provedbi temeljite procjene utjecaja zaštite podataka, u kojoj bi bile opisane predviđene obrade, procjena rizika za prava i slobode osoba čiji se podaci obrađuju, mjere predviđene za rješavanje rizika, zaštite, sigurnosne mjere te mehanizmi za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s Direktivom 95/46/EZ, uzimajući u obzir prava i legitimne interese osoba čiji se podaci obrađuju.

(15)

Predloženom Uredbom o zaštiti podataka kojom bi se zamijenila Direktiva 95/46/EZ procjene utjecaja zaštite podataka postale bi u određenim uvjetima obvezne, kao ključan instrument za poboljšanje odgovornosti nadzornika podataka. U tom će smislu obrazac za procjenu utjecaja zaštite podataka za pametne mreže i pametne mjerne sustave, iako sam po sebi nije obvezan, kao sredstvo pri procjeni i donošenju odluka pomagati nadzornicima podataka u sektoru pametnih mreža u ispunjavanju budućih zakonskih obveza prema predloženoj Uredbi o zaštiti podataka.

(16)

Svrha je obrasca za provedbu procjena utjecaja zaštite podataka izrađenog na razini Unije osiguravanje koherentnog poštovanja odredaba Direktive 95/46/EZ i Preporuke 2012/148/EU u svim državama članicama te promicanje zajedničke metodologije za nadzornike podataka kojom se jamči primjerena i usklađena obrada osobnih podataka diljem EU-a.

(17)

Tim bi se obrascem trebala olakšati primjena načela zaštite podataka pri projektiranju jer bi se nadzornike podataka poticalo da što prije provode procjene utjecaja zaštite podataka kako bi mogli predvidjeti moguće posljedice za prava i slobode osoba čiji se podaci obrađuju te uvesti stroge mjere zaštite. Te bi mjere nadzornici podataka trebali nadzirati i provjeravati tijekom cijelog razdoblja uporabe aplikacije ili sustava.

(18)

Izvješćem nastalim na temelju uvođenja obrasca trebalo bi se pridonijeti aktivnostima nacionalnih tijela za zaštitu podataka u pogledu kontrole i nadziranja usklađenosti obrade podataka te pogotovo rizika za zaštitu osobnih podataka.

(19)

Obrascem bi se trebalo ne samo olakšati rješavanje novih problema u vezi sa zaštitom, privatnošću i sigurnošću koji se javljaju u području pametnih mreža već i pridonijeti uspješnom odgovaranju na izazove u postupanju s podacima povezane s razvojem maloprodajnog energetskog tržišta. Zapravo će važan dio vrijednosti budućeg maloprodajnog tržišta dolaziti upravo od podataka i šire integracije informacijskih i komunikacijskih tehnologija u energetski sustav. Prikupljanje podataka te organizacija pristupa tim podacima ključni su za stvaranje poslovnih prilika za nove subjekte, posebno agregatore, poduzeća za energetske usluge te informacijsko-komunikacijska poduzeća. Stoga će pitanja zaštite podataka, privatnosti i sigurnosti postajati sve važnija za pružatelje komunalnih usluga. Obrascem će se, osobito u početnoj fazi uvođenja pametnih mjernih sustava, pridonijeti nadzoru pametnih mjernih sustava te poštovanju temeljnih prava i sloboda osoba, tako što će se od samog početka utvrditi rizici za zaštitu podataka u razvoju pametnih mreža.

(20)

Nakon što je obrazac, u obliku u kojem su ga sastavili glavni dionici u sektoru pametnih mreža u postupku pod nadzorom Komisije, podnesen Radnoj skupini radi službenog savjetovanja, objavljeno je Mišljenje 04/2013. Nakon što je podnesen revidirani obrazac na temelju Mišljenja 04/2013, Radna skupina objavila je 4. prosinca 2013. Mišljenje 07/2013 (14). Dionici su razmotrili preporuke iz tih dvaju mišljenja.

(21)

U Mišljenju 07/2013 Radna skupina preporučila je organiziranje probne faze za uvođenje obrasca, u kojoj bi pojedina tijela za zaštitu podataka mogla razmisliti o pružanju potpore. Tom bi se probnom fazom trebalo pridonijeti osiguravanju da se pri uvođenju pametnih mreža obrascem pruža dovoljna zaštita podataka.

(22)

S obzirom na koristi koje bi od obrasca imali industrija, potrošači i nacionalna tijela za zaštitu podataka, države članice trebale bi surađivati s industrijom, dionicima iz civilnog društva i nacionalnim tijelima za zaštitu podataka kako bi potaknuli i poduprli uporabu i uvođenje obrasca za procjenu utjecaja zaštite podataka u ranoj fazi uvođenja pametnih mreža i pametnih mjernih sustava.

(23)

Komisija bi trebala pridonijeti provedbi ove Preporuke izravno te neizravno podupiranjem dijaloga i suradnje među dionicima, posebno centralizacijom i širenjem povratnih informacija tijekom probne faze među industrijom i nacionalnim tijelima za zaštitu podataka.

(24)

S obzirom na zaključke iz probne faze te nakon revizije Direktive 95/46/EZ, Komisija bi trebala procijeniti potrebu preispitivanja i dorade metodologije koja se promiče obrascem.

(25)

Ovom se Preporukom poštuju temeljna prava i načela koja su priznata u Povelji o temeljnim pravima Europske unije. Posebno, ovom se Preporukom nastoji zajamčiti potpuno poštovanje privatnog i obiteljskog života (članak 7. Povelje) te zaštita osobnih podataka (članak 8. Povelje).

(26)

Nakon savjetovanja s Europskim nadzornikom za zaštitu podataka,

1.

Ovom se Preporukom pružaju smjernice državama članicama o mjerama koje je potrebno poduzeti za pozitivno i opsežno širenje, priznavanje i uporabu obrasca za procjenu utjecaja zaštite podataka za pametne mreže i pametne mjerne sustave (dalje u tekstu: „obrazac DPIA”) kako bi se osigurala temeljna prava na zaštitu osobnih podataka i na privatnost pri uvođenju aplikacija i sustava za pametne mreže i pametnih mjernih sustava.

Obrazac DPIA dostupan je na internetskoj stranici Radne skupine za pametne mreže (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm).

2.

Države članice pozivaju se da prime na znanje sljedeće definicije:

3.

Kako bi se zajamčila zaštita osobnih podataka u cijeloj Uniji, države članice trebale bi poticati nadzornike podataka da primjenjuju obrazac DPIA za pametne mreže i pametne mjerne sustave te ih pritom poticati i da razmotre savjete Radne skupine za zaštitu pojedinaca u vezi s obradom osobnih podataka, posebno one iz njezina Mišljenja 07/2013 (17). Mišljenja Radne skupine dostupna su na internetskoj stranici Radne skupine za pametne mreže (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm).

4.

Države članice trebale bi surađivati s industrijom, dionicima iz civilnog društva i nacionalnim tijelima za zaštitu podataka kako bi potaknuli i poduprli širenje i uporabu obrasca DPIA u ranoj fazi uvođenja pametnih mreža i pametnih mjernih sustava.

5.

Države članice trebale bi poticati nadzornike podataka da kao dodatni element uz procjenu utjecaja zaštite podataka razmotre i najbolje dostupne tehnike koje će države članice u suradnji s industrijom, Komisijom i drugim dionicima utvrditi za svaki zajednički minimalni funkcionalni zahtjev za pametno mjerenje električne energije naveden u točki 42. Preporuke 2012/148/EU.

6.

Države članice trebale bi podupirati nadzornike podataka u razvoju i prilagodbi rješenja za zaštitu podataka pri projektiranju i standardnu zaštitu podataka kojima bi se omogućila učinkovita zaštita podataka.

7.

Države članice trebale bi osigurati da se nadzornici podataka savjetuju sa svojim nacionalnim tijelima za zaštitu podataka o procjeni utjecaja zaštite podataka prije same obrade.

8.

Države članice trebale bi osigurati da nadzornici podataka nakon provođenja procjene utjecaja zaštite podataka i u skladu s obvezama iz Direktive 95/46/EZ poduzmu odgovarajuće tehničke i organizacijske mjere kako bi osigurali zaštitu podataka te da preispituju procjenu i primjerenost utvrđenih mjera tijekom cijelog razdoblja uporabe aplikacije ili sustava.

9.

Države članice trebale bi pomoći da se organizira probna faza (18) s primjenom u stvarnim situacijama, među ostalim i traženjem i poticanjem ispitivača iz industrija pametnih mreža i pametnih mjernih sustava koji bi sudjelovali u toj fazi.

10.

Tijekom probne faze države članice trebale bi osigurati da se u svim relevantnim aplikacijama i sustavima primjenjuju obrazac, savjeti Radne skupine za zaštitu pojedinaca u vezi s obradom osobnih podataka (19) i odredbe iz odjeljka III. ove Preporuke kako bi se najbolje zaštitili podaci te osiguralo što je više moguće ulaznih podataka za kasniju reviziju obrasca.

11.

Države članice trebale bi poticati i podupirati nacionalna tijela za zaštitu podatka da tijekom cijele probne faze podupiru i usmjeravaju nadzornike podataka (20).

12.

Komisija planira izravno pridonijeti provedbi i praćenju probne faze time što će pomoći u ostvarivanju dijaloga i suradnje među dionicima, posebno platformom dionika (21) za organiziranje sastanaka dionika na kojima će prisustvovati ispitivači, predstavnici industrije i civilnog društva, nacionalna tijela za zaštitu podatka i energetski regulatori.

13.

Države članice trebale bi poticati ispitivače da izvješćuju o rezultatima probne faze i dijele ih s nacionalnim tijelima za zaštitu podataka i drugim relevantnim dionicima u okviru platforme dionika, na temelju tri kategorije kriterija za ocjenu:

Pri izvješćivanju o tim kriterijima za ocjenu naglasak bi trebao biti na pružanju informacija koje su važne za primjenu Preporuke Komisije i obrasca u svim odgovarajućim aplikacijama ili sustavima.

14.

Komisija namjerava osigurati sastavljanje inventara procjena utjecaja zaštite podataka provedenih u probnoj fazi. Inventar procjena utjecaja zaštite podataka bit će dostupan na internetskoj stranici Radne skupine za pametne mreže tijekom cijele probne faze i redovito će se ažurirati kako bi se brzo i trajno poboljšavala primjena obrasca.

15.

U roku od dvije godine nakon objavljivanja ove Preporuke u Službenom listu Europske unije, države članice trebale bi Komisiji dostaviti izvješća o procjeni s bitnim zaključcima iz probne faze.

16.

Dvije godine nakon objave ove Preporuke u Službenom listu Europske unije, Komisija namjerava procijeniti je li potrebna revizija obrasca DPIA na temelju izvješćâ država članica o probnoj fazi i prema gore navedenim kriterijima za ocjenu. Komisija će razmotriti organiziranje posebnog događaja za dionike radi razmjene stajališta o toj procjeni prije revizije.

17.

Tom bi se revizijom trebalo pridonijeti osiguravanju da se obrascem DPIA osobama pruži bolja zaštita podataka pri uvođenju pametnih mreža te da se njime poštuju odredbe revidirane Direktive 95/46/EZ i Mišljenje 07/2013 Radne skupine.