This document is an excerpt from the EUR-Lex website
Document 52009XX0606(04)
Second opinion of the European Data Protection Supervisor on the review of Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)
It-tieni opinjoni tal-Kontrollur Ewropew għall-Protezzjoni tad-Data dwar ir-reviżjoni tad-Direttiva 2002/58/KE dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika)
It-tieni opinjoni tal-Kontrollur Ewropew għall-Protezzjoni tad-Data dwar ir-reviżjoni tad-Direttiva 2002/58/KE dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika)
ĠU C 128, 6.6.2009, p. 28–41
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
6.6.2009 |
MT |
Il-Ġurnal Uffiċjali tal-Unjoni Ewropea |
C 128/28 |
It-tieni opinjoni tal-Kontrollur Ewropew għall-Protezzjoni tad-Data dwar ir-reviżjoni tad-Direttiva 2002/58/KE dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika)
2009/C 128/04
IL-KONTROLLUR EWROPEW GĦALL-PROTEZZJONI TAD-DATA,
Wara li kkunsidra t-Trattat li jistabbilixxi l-Komunità Ewropea, u b'mod partikolari l-Artikolu 286 tiegħu,
Wara li kkunsidra l-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea, u b'mod partikolari l-Artikolu 8 tagħha,
Wara li kkunsidra d-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill tal-24 ta' Ottubru 1995 dwar il-protezzjoni ta' individwi fir-rigward tal-ipproċessar ta' data personali u dwar il-moviment liberu ta' dik id-data,
Wara li kkunsidra d-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta' Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika,
Wara li kkunsidra r-Regolament (KE) Nru 45/2001 tal-Parlament Ewropew u tal-Kunsill tat-18 ta' Diċembru 2000 dwar il-protezzjoni ta' individwi fir-rigward tal-ipproċessar ta' data personali mill-istituzzjonijiet u l-korpi tal-Komunità u dwar il-moviment liberu ta' dik id-data, u b’mod partikolari l-Artikolu 41 tiegħu,
ADOTTA L-OPINJONI LI ĠEJJA:
I. INTRODUZZJONI
Sfond
1. |
Fit-13 ta' Novembru 2007, il-Kummissjoni Ewropea adottat Proposta li temenda, fost l-oħrajn, id-Direttiva dwar il-privatezza u l-komunikazzjoni elettronika, normalment imsejħa d-Direttiva dwar il-Privatezza Elettronika (1) (minn hawn ′il quddiem il-“Proposta” jew il-“Proposta tal-Kummissjoni”). Fl-10 ta' April 2008, il-Kontrollur Ewropew għall-Protezzjoni tad-Data (KEPD) adotta Opinjoni dwar il-Proposta tal-Kummissjoni fejn ipprovda rakkomandazzjonijiet għat-titjib tal-Proposta biex jipprova jgħin jiżgura li t-tibdiliet proposti jirriżultaw fl-aħjar protezzjoni possibbli tal-privatezza u d-data personali tal-individwi (“L-Ewwel Opinjoni tal-KEPD”) (2). |
2. |
Il-KEPD laqa′ l-ħolqien propost mill-Kummissjoni ta' sistema ta' notifika obbligatorja ta' ksur tas-sigurtà li teħtieġ li l-kumpanniji jinnotifikaw lill-individwi meta d-data personali tagħhom tkun ġiet kompromessa. Barra minn hekk, huwa faħħar ukoll id-dispożizzjoni l-ġdida li tippermetti li persuni ġuridiċi (pereżempju assoċjazzjonijiet tal-konsumaturi u fornituri ta' servizzi tal-Internet) jieħdu azzjoni kontra l-ispammers biex jissupplimentaw aktar l-għodod eżistenti fil-ġlieda kontra l-ispamm. |
3. |
Matul id-diskussjonijiet Parlamentari li ppreċedew l-ewwel qari tal-Parlament Ewropew, il-KEPD ta aktar pariri billi kkummenta fuq ċerti kwistjonijiet li tqajmu fir-rapporti abbozzati mill-kumitati tal-Parlament Ewropew li huma kompetenti għar-reviżjoni tad-Direttiva Servizz Universali (3) u d-Direttiva dwar il-Privatezza Elettronika (“Kummenti”) (4). Il-Kummenti primarjament indirizzaw kwistjonijiet relatati mal-ipproċessar tad-data dwar it-traffiku u l-protezzjoni tad-drittijiet ta' proprjetà intellettwali. |
4. |
Fl-24 ta' Settembru 2008, il-Parlament Ewropew (“PE”) adotta riżoluzzjoni leġislattiva dwar id-Direttiva dwar il-Privatezza Elettronika (“l-ewwel qari”) (5). Il-KEPD qies b'mod pożittiv diversi mill-emendi tal-PE li ġew adottati wara l-Opinjoni u l-Kummenti tal-KEPD imsemmija hawn fuq. Fost il-bidliet importanti kien hemm l-inklużjoni tal-fornituri ta' servizzi tas-soċjetà tal-informazzjoni (jiġifieri kumpanniji li joperaw fuq l-Internet) fl-ambitu tal-obbligu li jinnotifikaw ksur tas-sigurtà. Il-KEPD laqa′ wkoll l-emenda li tippermetti lill-persuni ġuridiċi u fiżiċi jressqu azzjonijiet għall-ksur ta' kwalunkwe dispożizzjoni tad-Direttiva dwar il-Privatezza Elettronika (mhux biss għal ksur tad-dispożizzjonjiet dwar l-ispamm kif propost inizjalment mill-Proposta tal-Kummissjoni). L-ewwel qari tal-Parlament kien segwit mill-adozzjoni mill-Kummissjoni ta' proposta emendata dwar il-Privatezza Elettronika (minn hawn ′il quddiem il-“Proposta Emendata”) (6). |
5. |
Fis-27 ta' Novembru 2008, il-Kunsill laħaq ftehim politiku dwar reviżjoni tar-regoli dwar il-pakkett tat-telekomunikazzjoni, inkluża d-Direttiva dwar il-Privatezza Elettronika, li ser isir il-Pożizzjoni Komuni tal-Kunsill (“Pożizzjoni Komuni”) (7). Il-Pożizzjoni Komuni ser tiġi nnotifikata lill-PE skont l-Artikolu 251(2) tat-Trattat li jistabbilixxi l-Komunità Ewropea, li jista' jinvolvi l-proposta ta' emendi mill-PE. |
Fehmiet ġenerali dwar il-Pożizzjoni tal-Kunsill
6. |
Il-Kunsill immodifika l-elementi essenzjali tat-test tal-Proposta u ma aċċettax ħafna mill-emendi adottati mill-PE. Filwaqt li l-Pożizzjoni Komuni ċertament fiha elementi pożittivi, inġenerali, il-KEPD huwa mħasseb dwar il-kontenut tagħha, partikolarment peress li l-Pożizzjoni Komuni ma tinkorporax xi wħud mill-emendi pożittivi proposti mill-PE, il-Proposta Emendata jew l-opinjonijiet tal-KEPD u tal-Awtoritajiet Ewropej għall-Protezzjoni tad-Data li nħarġu permezz tal-Grupp ta' Ħidma tal-Artikolu 29 (8). |
7. |
Għall-kuntrarju, f'diversi każijiet, id-dispożizzjonijiet fil-Proposta Emendata u l-emendi tal-PE, li joffru salvagwardji għaċ-ċittadini, ġew imħassra jew imdgħajfa sostanzjalment. B'riżultat, il-livell ta' protezzjoni mogħti lill-individwi fil-Pożizzjoni Komuni ġiet imdgħajfa sostanzjalment. Huwa għal dawn ir-raġunijiet li l-KEPD issa qed joħroġ it Tieni Opinjoni, bit-tama li kif id-Direttiva dwar il-Privatezza Elettronika tkun għaddejja mill-proċess leġislattiv, jiġu adottati emendi ġodda li jerġgħu jistabbilixxu s-salvagwardji għall-protezzjoni tad-data. |
8. |
Din it-Tieni Opinjoni tiffoka fuq xi tħassib essenzjali u ma tirrepetix il-punti kollha li saru fl-Ewwel Opinjoni jew il-Kummenti tal-KEPD, li jibqgħu kollha validi. B'mod partikolari, din l-Opinjoni tiddiskuti l-punti li ġejjin:
|
9. |
Fl-indirizzar tal-kwistjonijiet ta' hawn fuq, din l-Opinjoni tanalizza l-Pożizzjoni Komuni tal-Kunsill u tqabbilha mal-ewwel qari tal-PE u l-Proposta Emendata tal-Kummissjoni. L-Opinjoni tinkludi rakkomandazzjonijiet immirati lejn ir-razzjonalizzazzjoni tad-dispożizzjonijiet tad-Direttiva dwar il-Privatezza Elettronika u l-iżgurar li d-Direttiva tkompli tipproteġi b'mod adegwat il-privatezza u d-data personali tal-individwi. |
II. ID-DISPOŻIZZJONIJIET DWAR IN-NOTIFIKA TA' KSUR TAS-SIGURTÀ
10. |
Il-KEPD jappoġġa l-adozzjoni ta' skema ta' notifika ta' ksur tas-sigurtà li skontha l-awtoritajiet u l-individwi jiġu notifikati meta d-data personali tagħhom tkun ġiet kompromessa (9). In-notifiki ta' ksur tas-sigurtà jistgħu jgħinu lill-individwi biex jieħdu l-passi meħtieġa għat-tnaqqis ta' kwalunkwe ħsara potenzjali li tirriżulta mill-kompromess. Barra minn hekk, l-obbligu li jintbagħtu notifiki li jinfurmaw dwar ksur tas-sigurtà jinkoraġġixxu lill-kumpanniji biex itejbu s-sigurtà tad-data u jsaħħu r-responsabbiltà tagħhom fir-rigward tad-data personali li għaliha huma responsabbli. |
11. |
Il-Proposta Emendata tal-Kummissjoni, l-ewwel qari tal-Parlament Ewropew u l-Pożizzjoni Komuni tal-Kunsill jirrappreżentaw tliet approċċi differenti għan-notifika ta' ksur tas-sigurtà li qed titqies bħalissa. Kull wieħed mit-tliet approċċi għandu aspetti pożittivi. Madankollu, il-KEPD jemmen li hemm lok għal titjib f'kull approċċ u jagħti parir li jittieħed kont tar-rakkomandazzjonijiet deskritti hawn taħt meta jkunu qed jiġu kkunsidrati l-passi finali għall-adozzjoni ta' skema ta' ksur tas-sigurtà. |
12. |
Fl-analizzar tat-tliet skemi tan-notifika ta' ksur tas-sigurtà, hemm ħames punti kritiċi li għandhom jiġu kkunsidrati: (i) id-definizzjoni ta' ksur tas-sigurtà; (ii) l-entitajiet koperti mill-obbligu ta' notifika (“entitajiet koperti”); (iii) l-istandard li jirriżulta fl-obbligu ta' notifika; (iv) l-identifikazzjoni tal-entità responsabbli biex tiddetermina jekk ksur tas-sigurtà jilħaqx jew jonqosx milli jilħaq l-istandard, u (v) ir-riċevituri tan-notifika. |
Sintesi tal-approċċi tal-Kummissjoni, il-Kunsill u l-PE
13. |
Il-Parlament Ewropew, il-Kummissjoni u l-Kunsill kollha adottaw approċċi diversi għan-notifika ta' ksur tas-sigurtà. L-ewwel qari tal-PE mmodifika l-iskema oriġinali ta' notifika ta' ksur tas-sigurtà li tressqet fil-Proposta tal-Kummissjoni (10). Skont l-approċċ tal-PE, l-obbligu ta' notifika japplika mhux biss għall-fornituri ta' servizzi ta' komunikazzjoni elettronika disponibbli għall-pubbliku iżda wkoll għall-fornituri ta' servizzi tas-soċjetà tal-informazzjoni (“PPECS” u “ISSPs”). Barra minn hekk, skont dan l-approċċ il-ksur kollu fir-rigward tad-data personali jkollu jiġi nnotifikat lill-awtorità regolatorja nazzjonali jew lill-awtoritajiet kompetenti (flimkien “awtoritajiet”). Jekk l-awtoritajiet ikollhom jiddeterminaw li l-ksur huwa serju, huma jkunu jeħtieġu li l-PPECs u l-ISSPs jinnotifikaw lill-persuna affettwata mingħajr dewmien. F'każ ta' ksur li jirrappreżenta periklu imminenti u dirett, il-PPECS u l-ISSPs jinnotifikaw lill-individwi qabel ma jinnotifikaw lill-awtoritajiet u ma jistennewx deċiżjoni regolatorja. Eċċezzjoni għall-obbligu ta' notifika lill-konsumaturi tkopri entitajiet li jistgħu juru lill-awtoritajiet li “ġew applikati miżuri tekniċi ta' protezzjoni adatti” li jrendu d-data mhux intelliġibbli għal kwalunkwe persuna li mhix awtorizzata li taċċessaha. |
14. |
Skont l-approċċ tal-Kunsill, in-notifika għandha tingħata kemm lill-abbonati kif ukoll lill-awtoritajiet, iżda biss f'każijiet fejn l-entità koperta tqis li l-ksur jirrappreżenta riskju serju għall-privatezza tal-abbonat (jiġifieri serq jew frodi tal-identità, ħsara fiżika, umiljazzjoni sinifikanti jew dannu għar-reputazzjoni). |
15. |
Il-Proposta Emendata tal-Kummissjoni żżomm l-obbligu tal-PE li l-awtoritajiet jiġu nnotifikati dwar kull ksur. Madankollu, b'kuntrast għall-approċċ tal-PE, il-Proposta Emendata tinkludi eċċezzjoni għall-ħtieġa ta' notifika fir-rigward ta' individwi kkonċernati fejn il-PPEC juri lill-awtorità kompetenti li (i) mhuwiex “raġonevolment probabbli” li tirriżulta l-ebda ħsara (p.e., telf ekonomiku, ħsara soċjali jew serq tal-identità) bħala riżultat tal-ksur jew (ii) ġew applikati “miżuri ta' protezzjoni teknoloġiċi xierqa” għad-data kkonċernata mill-ksur. Għalhekk, l-approċċ tal-Kummissjoni jinkludi analiżi bbażata fuq il-ħsara inkonessjoni ma' notifiki individwali. |
16. |
Huwa importanti li jkun innotat li skont l-approċċi tal-PE (11) u tal-Kummissjoni, huma l-awtoritajiet li fl-aħħar nett għandhom ir-responsabbiltà li jiddeterminaw jekk il-ksur huwiex serju jew huwiex raġonevolment probabbli li jikkawża ħsara. B'kuntrast, skont l-approċċ tal-Kunsill, id-deċiżjoni tkun ir-responsabbiltà tal-entitajiet ikkonċernati. |
17. |
Kemm l-approċċi tal-Kunsill kif ukoll dawk tal-Kummissjoni japplikaw biss għall-PPECS, u mhux, għall-ISSPs, kif jagħmel l-approċċ tal-PE. |
Id-definizzjoni ta' ksur tas-sigurtà
18. |
Il-KEPD bi pjaċir jinnota li t-tliet proposti leġislattivi fihom l-istess definizzjoni ta' notifika ta' ksur tas-sigurtà, li hija deskritta bħala “ta' ksur dwar […] sigurtà li jwassal għall-qerda, it-telf, l-alterazzjoni, il-kxif ta' jew l-aċċess għal dejta personali mingħajr awtorizzazzjoni, imxandra, maħżuna jew ipproċessata xort′oħra […]” (12). |
19. |
Kif deskritt aktar hawn taħt, din id-definizzjoni tintlaqa′ tajjeb dment li tkun wiesgħa biżżejjed biex tkopri l-parti l-kbira tas-sitwazzjonijiet rilevanti li fihom tista' tkun ġustifikata notifika ta' ksur tas-sigurtà. |
20. |
L-ewwel nett, id-definizzjoni tinkludi każijiet fejn ikun seħħ aċċess mhux awtorizzat għal data personali minn parti terza, bħall-hacking ta' server li jkun fih data personali u l-ġbir ta' tali informazzjoni. |
21. |
It-tieni nett, din id-definizzjoni tinkludi wkoll sitwazzjonijiet fejn kien hemm telf jew żvelar ta' data personali, waqt li jkun għad irid jintwera li seħħ aċċess mhux awtorizzat. Dan jinkludi sitwazzjonijiet bħal fejn id-data personali tista' tkun intilfet (p.e. CD-ROMs, USB drives u tagħmir portabbli ieħor), jew tkun saret disponibbli għall-pubbliku minn utenti regolari (fajl ta' data dwar l-impjegat ikun sar disponibbli temporanjament u involontarjament fi spazju aċċessibbli għall-pubbliku permezz tal-Internet). Peress li spiss ma jkun hemm l-ebda evidenza li turi li tali data tista' jew ma tistax, f'xi ħin jew ieħor, tkun aċċessata jew użata minn partijiet terzi mhux awtorizzati, jidher li huwa adatt li dawn il-każijiet jiġu inklużi fl-ambitu tad-definizzjoni. Għalhekk, il-KEPD jirrakkomanda li tinżamm din id-definizzjoni. Il-KEPD jirrakkomanda wkoll li d-definizzjoni ta' ksur tas-sigurtà tiġi inkluża fl-Artikolu 2 tad-Direttiva dwar il-Privatezza Elettronika, peress li dan ikun aktar konsistenti mal-istruttura ġenerali tad-Direttiva u jipprovdi aktar ċarezza. |
Entitajiet li għandhom ikunu koperti mill-obbligu ta' notifika
22. |
L-obbligu ta' notifika skont l-approċċ tal-PE japplika kemm għall-PPECS kif ukoll għall-ISSPs. Madankollu, skont l-iskemi tal-Kunsill u tal-Kummissjoni, il-PPECS bħall-kumpanniji tat-telekomunikazzjoni u l-fornituri tal-aċċess għall-Internet biss ser ikunu obbligati li jinnotifikaw individwi fejn dawn iġarrbu ksur tas-sigurtà li jwassal għall-kompromess ta' data personali. Setturi oħra ta' attività, pereżempju, banek online, bejjiegħa bl-imnut online, fornituri ta' servizzi tas-saħħa online u oħrajn li mhumiex marbutin b'dan l-obbligu. Għar-raġunijiet żviluppati hawn taħt, il-KEPD jemmen li minn perspettiva ta' politika pubblika huwa kritiku li jiġi żgurat li s-servizzi tas-soċjetà tal-informazzjoni li jinkludu negozji online, banek online, fornituri ta' servizzi tas-saħħa online eċċ. ikunu koperti wkoll bil-ħtieġa ta' notifika. |
23. |
L-ewwel nett, il-KEPD jinnota li għalkemm il-kumpanniji tat-telekomunikazzjoni huma ċertament il-mira ta' ksur tas-sigurtà li jiġġustifika obbligu ta' notifika, l-istess jgħodd għal tipi oħra ta' kumpanniji/fornituri. Bejjiegħa bl-imnut online, banek online, spiżeriji online, x'aktarx iġarrbu l-istess ammont ta' ksur tas-sigurtà daqs kumpanniji tat-telekomunikazzjoni, jekk mhux aktar. Għalhekk, il-konsiderazzjonijiet tar-riskju mhumiex ibbilanċjati favur li jiġi limitat l-ambitu tal-ħtieġa ta' notifika ta' ksur għall-PPECS. Il-ħtieġa għal approċċ usa′ tidher mill-esperjenza ta' pajjiżi oħra. Pereżempju, fl-Istati Uniti kważi l-Istati kollha (aktar minn 40 f'dan il-punt) daħħlu fis-seħħ liġijiet dwar in-notifika ta' ksur tas-sigurtà li għandhom kamp ta' applikazzjoni usa′, u jkopru mhux biss il-PPECS iżda kwalunkwe entità li żżomm id-data personali meħtieġa. |
24. |
It-tieni nett, filwaqt li ksur tat-tipi ta' data personali pproċessati regolarment mill-PPECS ovvjament jista' jkollu effett fuq il-privatezza ta' individwu, l-istess japplika, jekk mhux aktar, għat-tipi ta' informazzjoni personali pproċessati mill-ISSPs. Ċertament, il-banek u istituzzjonijiet finanzjarji oħra jista' jkollhom fil-pussess tagħhom informazzjoni kunfidenzjali ħafna (eż. dettalji tal-kontijiet tal-bank), li l-iżvelar tagħha jista' jippermetti l-użu għal finijiet ta' serq tal-identità. Minbarra dan, l-iżvelar ta' informazzjoni sensittiva ħafna dwar is-saħħa minn servizzi tas-saħħa online jista' jkun ta' ħsara partikolari għall-individwi. Għalhekk, it-tipi ta' data personali li jistgħu jiġu kompromessi jitolbu wkoll applikazzjoni usa′ tan-notifika ta' ksur tas-sigurtà li tkun tinkludi, mill-inqas, l-ISSPs. |
25. |
Tqajmu xi kwistjonijiet legali kontra t-twessigħ tal-kamp ta' applikazzjoni ta' dan l-artikolu, jiġifieri l-entitajiet koperti minn din il-ħtieġa. B'mod partikolari, il-fatt li l-kamp ta' applikazzjoni ġenerali tad-Direttiva dwar il-Privatezza Elettronika jikkonċerna biss il-PPECS tressaq bħala ostakolu għall-applikazzjoni tal-obbligu li l-ISSPs jiġu nnotifikati wkoll. |
26. |
F′dan il-kuntest, il-KEPD jixtieq ifakkar li: (i) Ma hemm ċertament l-ebda ostakolu legali għall-inklużjoni ta' atturi oħra li mhumiex PPECS fil-kamp ta' applikazzjoni ta' ċerti dispożizzjonijiet tad-direttiva. Il-leġislatur Komunitarju għandu diskrezzjoni sħiħa f'dan ir-rigward. (ii) Hemm preċedenti oħra fid-Direttiva dwar il-Privatezza Elettronika eżistenti għall-applikazzjoni għal entitajiet oħra li mhumiex PPECS. |
27. |
Pereżempju, l-Artikolu 13 japplika mhux biss għall-PPECS iżda għal kwalunkwe kumpannija li tibgħat komunikazzjonijiet mhux mitluba, u jeħtieġ il-kunsens opt-in minn qabel biex dan isir. Barra minn hekk, l-Artikolu 5(3) tad-Direttiva dwar il-Privatezza Elettronika, li jipprojbixxi inter alia l-ħżin ta' informazzjoni bħal cookies fit-tagħmir tat-terminal ta' utent, jorbot mhux biss lill-PPECS iżda wkoll lil kull min jipprova jaħżen informazzjoni jew jikseb aċċess għal informazzjoni maħżuna fit-tagħmir tat-terminal ta' individwi. Barra minn hekk, fil-proċess leġislattiv attwali, il-Kummissjoni saħansitra pproponiet it-twessigħ tal-applikazzjoni tal-Artikolu 5(3) meta teknoloġiji simili (cookies/spyware) mhux biss jinbagħtu permezz ta' sistemi ta' komunikazzjoni elettronika iżda permezz ta' kwalunkwe metodu ieħor possibbli (distribuzzjoni permezz ta' downloads mill-Internet jew permezz ta' mezzi esterni ta' ħżin tad-data bħal CD-ROMs, USB sticks, flash drives, eċċ.). Dawn l-elementi kollha jintlaqgħu tajjeb u għandhom jinżammu, iżda jistabbilixxu wkoll preċedenti rilevanti għad-diskussjoni attwali dwar il-kamp ta' applikazzjoni. |
28. |
Barra minn hekk, fil-proċess leġislattiv attwali l-Kummissjoni u l-PE u x'aktarx il-Kunsill, ipproponew Artikolu 6.6 (a) ġdid, diskuss hawn taħt, li japplika għal entitajiet oħra li mhumiex PPECS. |
29. |
Fl-aħħar nett, b'kont meħud tal-elementi pożittivi komprensivi derivati mill-obbligu li jiġi nnotifikat ksur tas-sigurtà, huwa probabbli li ċ-ċittadini jistennew dawn il-benefiċċji meta d-data personali tagħhom tkun ġiet kompromessa mhux biss mill-PPECS iżda wkoll mill-ISSPs. L-aspettativi taċ-ċittadini jistgħu ma jintlaħqux jekk, pereżempju, ma dawn jiġux notifikati meta bank online ikun tilef l-informazzjoni dwar il-kont bankarju tagħhom. |
30. |
B′konklużjoni, il-KEPD hu konvint li l-benefiċċji sħaħ tan-notifika ta' ksur tas-sigurtà jinkisbu aħjar biss jekk il-kamp ta' applikazzjoni tal-entitajiet koperti jinkludi kemm il-PPECS kif ukoll l-ISSPs. |
L-istandard li jinstiga n-notifika
31. |
Rigward l-instigatur tan-notifika, kif imfisser aktar hawn taħt, il-KEPD huwa tal-fehma li l-istandard “raġonevolment probabbli li jikkawża ħsara” tal-Proposta Emendata huwa l-aktar standard adatt mit-tlieta proposti. Madankollu, huwa importanti li jiġi żgurat li “ħsara” tkun wiesgħa biżżejjed biex tkopri l-każijiet rilevanti kollha ta' effetti negattivi fuq il-privatezza jew interessi leġittimi oħra tal-individwi. Altrimenti, ikun preferibbli li jinħoloq standard ġdid li skontu n-notifika tkun obbligatorja “jekk ikun raġonevolment probabbli li l-ksur jikkawża effetti ħżiena għall-individwi”. |
32. |
Kif deskritt fil-qosor fit-taqsima preċedenti, il-kondizzjonijiet li taħthom għandha tiġi pprovduta notifika lill-individwi (imsejħa “l-instigatur” jew “standard”) ivarjaw taħt l-approċċi tal-PE, il-Kummissjoni u l-Kunsill. Ovvjament, il-volum tan-notifiki li individwi jirċievu, ser jiddependi, fil-parti l-kbira, fuq l-instigatur jew l-istandard stabbilit għan-notifika. |
33. |
Skont l-iskemi tal-Kunsill u l-Kummissjoni, in-notifika għandha tiġi pprovduta jekk il-ksur jirrappreżenta “ksur serju tal-privatezza tal-abbonat” (Kunsill) u jekk “ikun raġonevolment probabbli li ssir ħsara lill-konsumatur bħala riżultat tal-ksur” (Kummissjoni). Skont l-iskema tal-PE, l-instigatur tan-notifika huwa “l-gravità tal-ksur” (jiġifieri l-individwi għandhom jiġu nnotifikati jekk il-ksur jitqies li jkun “serju”). Ma tkunx meħtieġa notifika f'livell anqas minn dan il-limitu minimu (13). |
34. |
Il-KEPD jifhem li jekk data personali tkun ġiet kompromessa, jista' jiġi argumentat li l-individwi li għalihom tappartjeni d-data huma intitolati li jkunu jafu dwar dan, tkun xi tkun iċ-ċirkostanza. Madankollu, huwa tajjeb li wieħed jaħseb jekk din hix soluzzjoni adatta fid-dawl ta' interessi u konsiderazzjonijiet oħra. |
35. |
Ġie ssuġġerit li obbligu biex jintbagħtu notifiki kull meta data personali tkun ġiet kompromessa, fi kliem ieħor mingħajr kwalunkwe limitu, tista' twassal għal sovranotifikazzjoni u “notice fatigue”, li jistgħu jirriżultaw f'desensizzazzjoni. Kif deskritt aktar hawn taħt, il-KEPD huwa sensittiv għal dan l-argument; madankollu, fl-istess ħin huwa jrid jenfasizza t-tħassib tiegħu li s-sovranotifikazzjoni tista' tkun indikatur possibbli ta' nuqqas ġenerali ta' prassi tas-sigurtà tal-informazzjoni. |
36. |
Kif imsemmi hawn fuq, il-KEPD jara l-konsegwenzi negattivi potenzjali ta' sovranotifikazzjoni u jixtieq jgħin biex jiżgura li l-qafas legali adottat għal notifika ta' ksur tas-sigurtà ma jipproduċix dan ir-riżultat. Kieku l-individwi kellhom jirċievu notifiki frekwenti ta' ksur ukoll f'dawk is-sitwazzjonijiet fejn ma jkun hemm l-ebda effett ħażin, ħsara jew periklu, nistgħu nispiċċaw biex indgħajfu wieħed mill-għanijiet prinċipali tal-forniment ta' notifika peress li individwi jistgħu, ironikament, jinjoraw notifiki f'dawk il-każijiet fejn huma jkunu verament jeħtieġu jieħdu passi biex jipproteġu lilhom infushom. Għalhekk huwa importanti li jkun hemm bilanċ tajjeb fl-għoti ta' notifika li jkollha sinifikat għaliex, jekk l-individwi ma jirreaġġixxux għan-notifiki li jirċievu, l-effikaċja tal-iskemi ta' notifika titnaqqas ħafna. |
37. |
Sabiex jiġi adottat standard adatt li ma jwassalx għal sovranotifikazzjoni, minbarra li jitqies l-instigatur għan-notifika, għandhom jitqiesu fatturi oħra, partikolarment, id-definizzjoni ta' ksur tas-sigurtà u l-informazzjoni koperta mill-obbligu ta' notifika. F'dan ir-rigward, il-KEPD jinnota li taħt it-tliet approċċi proposti, il-volum ta' notifiki jista' jkun għoli fid-dawl tad-definizzjoni wiesgħa ta' ksur tas-sigurtà diskussa hawn fuq. Dan it-tħassib dwar sovranotifikazzjoni huwa enfasizzat aktar minħabba l-fatt li d-definizzjoni ta' ksur tas-sigurtà tkopri kull tip ta' data personali. Għalkemm il-KEPD jikkunsidra li dan huwa l-approċċ korrett (li t-tipi ta' data personali soġġetti għan-notifika ma jkunux limitati), għall-kuntrarju ta' approċċi oħra bħal-liġijiet tal-Istati Uniti fejn il-ħtiġiet huma ffokati fuq is-sensittività tal-informazzjoni, madankollu dan huwa fattur li għandu jitqies. |
38. |
Fid-dawl ta' dan ta' hawn fuq, u b'kont meħud tal-fatturi varjabbli differenti kkunsidrati kollha flimkien, il-KEPD jikkunsidra li huwa adatt li jiżdied limitu minimu jew standard li taħtu ma jkunx obbligatorju li ssir notifika. |
39. |
L-istandards proposti, jiġifieri l-ksur jirrappreżenta “riskju serju għall-privatezza” jew huwa “raġonevolment probabbli li jikkawża ħsara” t-tnejn jidhru li jinkludu, pereżempju, ħsara soċjali jew għar-reputazzjoni u telf ekonomiku. Pereżempju, dawn l-istandards ikunu jindirizzaw każijiet ta' espożizzjoni għal serq tal-identità permezz tar-rilaxx ta' identifikaturi mhux pubbliċi bħan-numri tal-passaporti, kif ukoll l-espożizzjoni ta' informazzjoni dwar il-ħajja privata ta' individwu. Il-KEDP jilqa′ dan l-approċċ. Huwa jinsab konvint li l-benefiċċji tan-notifika ta' ksur tas-sigurtà ma jinkisbux għal kollox jekk is-sistema ta' notifika tkopri biss ksur li jwassal għal ħsara ekonomika. |
40. |
Miż-żewġ standards proposti, il-KEPD jippreferi l-istandard tal-Kummissjoni “raġonevolment probabbli li jikkawża ħsara”, għaliex din tipprovdi livell aktar adatt ta' protezzjoni lill-individwi. Ksur huwa aktar probabbli li jikkwalifika għan-notifika jekk ikun “raġonevolment probabbli li jikkawża ħsara” lill-privatezza tal-individwi milli jekk ikollu jippreżenta “riskju serju” li ssir ħsara bħal din. Għalhekk, jekk ikun kopert biss ksur li jippreżenta riskju serju għall-privatezza tal-individwi, in-numru ta' ksur li jkollu jiġi notifikat ikun limitat konsiderevolment. Li jkun kopert biss ksur bħal dan jagħti ammont eċċessiv ta' diskrezzjoni lill-PPECS u l-ISSPs dwar jekk tkunx tinħtieġ notifika, peress li tkun ħafna eħfef għalihom li jiġġustifikaw konklużjoni li ma jeżisti l-ebda “riskju serju” ta' ħsara milli li l-ebda ħsara mhi “raġonevolment probabbli li sseħħ”. Filwaqt li sovranotifikazzjoni għandha ċertament tiġi evitata, meta jitqiesu l-fatturi kollha, il-benefiċċju tad-dubju għandu jingħata għall-protezzjoni tal-interessi tal-individwi, u l-individwi għandhom jiġu protetti mill-inqas meta ksur ikun raġonevolment probabbli li jikkawżalhom ħsara. Barra minn dan, it-terminu “raġonevolment probabbli” ser ikun aktar effettiv fil-prattika, kemm għal entitajiet koperti kif ukoll għall-awtoritajiet kompetenti, peress li jeħtieġ evalwazzjoni oġġettiva tal-każ u l-kuntest rilevanti tiegħu. |
41. |
Barra minn hekk, ksur ta' data personali jista' jikkawża ħsara li hija diffiċli tikkwantifikata u li tista' tvarja. Fil-fatt, l-iżvelar tal-istess tip ta' data jista' jikkawża ħsara sinifikanti lil individwu wieħed u inqas lil ieħor, skont iċ-ċirkostanzi individwali. Standard li jkun jeħtieġ li l-ħsara tkun materjali, sinifikanti jew serja ma jkunx adatt. Pereżempju, l-approċċ tal-Kunsill, li jeħtieġ li l-ksur jaffettwa serjament il-privatezza ta' persuna, ma jkunx jipprovdi protezzjoni adegwata lill-individwi peress li tali standard jeħtieġ li l-effett fuq il-privatezza jkun “serju”. Dan jagħti wkoll lok għal evalwazzjoni suġġettiva. |
42. |
Filwaqt li kif deskritt hawn fuq “raġonevolment probabbli li jikkawża ħsara” jidher li huwa standard adatt għan-notifika ta' ksur tas-siġurtà, il-KEPD madankollu jibqa′ mħasseb li dan jista' ma jinkludix is-sitwazzjonijiet kollha fejn tkun ġustifikata notifika lill-individwi, jiġifieri s-sitwazzjonijiet kollha fejn huwa raġonevolment probabbli li jkun hemm effetti negattivi għall-privatezza jew id-drittijiet leġittimi l-oħra tal-individwi. Għal din ir-raġuni, jista' jiġi kkunsidrat standard li jkun jeħtieġ notifika “jekk ikun raġonevolment probabbli li l-ksur jikkawża effetti ħżiena għall-individwi”. |
43. |
Dan l-istandard alternattiv għandu l-benefiċċju addizzjonali ta' konsistenza mal-leġislazzjoni tal-UE dwar il-protezzjoni tad-data. Tabilħaqq, id-Direttiva dwar il-Protezzjoni tad-Data spiss tirreferi għal effetti ħżiena fuq id-drittijiet u l-libertajiet tas-suġġetti tad-data. Pereżempju, l-Artikolu 18 u l-Premessa 49 li jittrattaw l-obbligu ta' reġistrazzjoni ta' operazzjonijiet ta' pproċessar tad-data mal-awtoritajiet għall-protezzjoni tad-data jawtorizzaw lill-Istati Membri li jkun hemm eżenzjoni minn dan l-obbligu fejn l-ipproċessar “aktarx li ma jkollux effett ħażin fuq id-drittijiet u l-libertajiet tas-suġġett tad-data”. Tintuża formulazzjoni simili fl-Artikolu 16.6 tal-Pożizzjoni Komuni sabiex persuni ġuridiċi jkunu jistgħu jressqu azzjonijiet kontra l-ispammers. |
44. |
Barra minn hekk, b'kont meħud ta' dan ta' hawn fuq, wieħed jistenna wkoll li entitajiet koperti u partikolarment awtoritajiet kompetenti li jinfurzaw il-leġislazzjoni dwar il-protezzjoni tad-data jkunu aktar familjari mal-istandard ta' hawn fuq u b'hekk jiffaċilitaw il-valutazzjoni tagħhom dwar jekk ksur jilħaqx l-istandard meħtieġ. |
Entità li tiddetermina jekk ksur tas-sigurtà jilħaqx jew jonqosx milli jilħaq l-istandard
45. |
Skont l-approċċ tal-PE (ħlief f'każijiet ta' periklu imminenti) u l-Proposta Emendata tal-Kummissjoni, ser tkun ir-responsabbiltà tal-awtoritajiet tal-Istati Membri li jiddeterminaw jekk ksur tas-sigurtà jilħaqx jew jonqosx milli jilħaq l-istandard li jinstiga d-dmir li l-individwi kkonċernati jiġu notifikati. |
46. |
Il-KEPD jemmen li l-involviment ta' awtorità għandu rwol importanti fid-determinazzjoni ta' jekk l-istandard jintlaħaqx jew le peress li dan huwa, sa ċertu punt, garanzija għall-applikazzjoni korretta tal-liġi. Tali sistema tista' tipprevjeni kumpanniji milli jivvalutaw b'mod mhux adatt il-ksur bħala mhux ta' ħsara/serju u b'hekk jevitaw li jinnotifikaw meta, fil-fatt, tali notifika tkun meħtieġa. |
47. |
Min-naħa l-oħra, il-KEPD jinsab imħasseb li sistema fejn l-awtoritajiet ikunu meħtieġa jwettqu l-valutazzjoni tista' ma tkunx prattika u tkun diffiċli li tiġi applikata, jew fil-prattika tista' tirriżulta li tkun kontraproduttiva. Tista' għalhekk anki tnaqqas is-salvagwardji għall-protezzjoni tad-data għall-individwi. |
48. |
Tabilħaqq, taħt approċċ bħal dan, l-awtoritajiet għall-protezzjoni tad-data x'aktarx jirċievu ammonti eċċessivi ta' notifiki ta' ksur tas-sigurtà u jistgħu jiffaċċjaw diffikultajiet serji fit-twettiq tal-valutazzjonijiet meħtieġa. Huwa importanti li wieħed jiftakar li sabiex issir valutazzjoni ta' jekk ksur jilħaqx l-istandard, l-awtoritajiet ser ikollhom jingħataw biżżejjed informazzjoni kunfidenzjali, spiss ta' natura teknika kumplessa, li huma jkollhom jipproċessaw fi żmien qasir ħafna. B'kont meħud tad-diffikultà tal-valutazzjoni u l-fatt li xi awtoritajiet għandhom riżorsi limitati, il-KEPD jibża′ li ser ikun diffiċli ħafna li l-awtoritajiet jikkonformaw ma' dan l-obbligu u jistgħu jieħdu r-riżorsi minn prijoritajiet importanti oħra. Barra minn hekk, tali sistema tista' tagħmel pressjoni żejda fuq l-awtoritajiet; tabilħaqq, jekk dawn jiddeċiedu li l-ksur ma jkunx serju u minkejja dan l-individwi jġarrbu ħsara, l-awtoritajiet jistgħu potenzjalment jinżammu responsabbli. |
49. |
Id-diffikultà ta' hawn fuq tidher akbar jekk wieħed jieħu kont li l-ħin huwa fattur ewlieni fil-minimizzazzjoni tar-riskji derivati mill-ksur tas-sigurtà. Dment li l-awtoritajiet ma jkunux jistgħu jagħmlu l-valutazzjoni f'limiti ta' żmien qosra ħafna, il-ħin addizzjonali meħtieġ mill-awtoritajiet biex jagħmlu tali valutazzjonijiet jista' jżid il-ħsara li jġarrbu l-individwi kkonċernati. Għalhekk, dan il-pass addizzjonali li huwa maħsub biex jipprovdi aktar protezzjoni għall-individwi jista' ironikament jirriżulta li joffri anqas protezzjoni minn sistemi bbażati fuq notifikazzjoni diretta. |
50. |
Għar-raġunijiet ta' hawn fuq, il-KEPD jikkunsidra li jkun preferibbli li titwaqqaf sistema li biha huma l-entitajiet ikkonċernati li għandhom jagħmlu l-valutazzjoni dwar jekk il-ksur jilħaqx jew jonqosx milli jilħaq l-istandard, kif previst fl-approċċ tal-Kunsill. |
51. |
Madankollu, biex jiġu evitati riskji ta' abbuż possibbli, pereżempju ta' entitajiet li jonqsu milli jinnotifikaw f'ċirkostanzi fejn in-notifika tkun meħtieġa b'mod ċar, huwa tal-akbar importanza li jiġu inklużi ċerti salvagwardji għall-protezzjoni tad-data deskritti hawn taħt. |
52. |
L-ewwel nett, l-obbligu li japplika għall-entitajiet koperti biex iwettqu determinazzjonijiet dwar jekk għandhomx jinnotifikaw għandu ovvjament ikun akkumpanjat minn obbligu ieħor li jeħtieġ in-notifika mandatorja lill-awtoritajiet tal-ksur kollu li jilħaq l-istandard meħtieġ. F'dawk il-każijiet l-entitajiet ikkonċernati għandhom ikunu meħtieġa li jinfurmaw lill-awtoritajiet dwar il-ksur u r-raġunijiet tad-determinazzjoni tagħhom rigward in-notifika u l-kontenut ta' kwalunkwe notifika li tkun saret. |
53. |
It-tieni nett, l-awtoritajiet għandhom jingħataw rwol superviżorju reali. Fit-twettiq ta' dan ir-rwol, l-awtoritajiet għandhom jitħallew, iżda ma jkunux obbligati, li jinvestigaw iċ-ċirkostanzi tal-ksur u li jeħtieġu kwalunkwe azzjoni ta' rimedju li tista' tkun adatta (14). Dan għandu jinkludi mhux biss in-notifika ta' individwi (meta dan ikun għadu ma sarx) iżda wkoll l-abbiltà li jiġi impost obbligu li tittieħed linja ta' azzjoni għall-prevenzjoni ta' aktar ksur. L-awtoritajiet għandhom jingħataw setgħat u riżorsi effettivi f'dan ir-rigward, u l-awtoritajiet għandu jkollhom l-ispazju meħtieġ biex jiddeċiedu meta jirreaġixxu għal notifika ta' ksur tas-sigurtà. Fi kliem ieħor, dan ikun jippermetti lill-awtoritajiet li jkunu selettivi u li jagħmlu investigazzjonijiet ta', pereżempju, ksur ta' sigurtà kbir u li verament ikun ta' ħsara, fejn jivverifikaw u jinfurzaw konformità mal-ħtiġiet tal-liġi. |
54. |
Sabiex jinkiseb dan ta' hawn fuq, minbarra s-setgħat rikonoxxuti skont id-Direttiva dwar il-Privatezza Elettronika bħall-Artikolu 15.a.3 u d-Direttiva dwar il-Protezzjoni tad-Data, il-KEPD jirrakkomanda li jiddaħħal il-lingwaġġ li ġej: “Jekk l-abbonat jew l-individwu kkonċernat ma jkunx diġà ġie nnotifikat, l-awtorità nazzjonali kompetenti, wara li tkun ikkunsidrat in-natura tal-ksur, tista' teħtieġ lill-PPECS jew l-ISSP li jagħmlu dan”. |
55. |
Barra minn hekk, il-KEPD jirrakkomanda li l-PE u l-Kunsill jikkonfermaw l-obbligu propost mill-PE (l-Emenda 122, artikolu 4.1.a) li l-entitajiet iwettqu valutazzjoni u identifikazzjoni tar-riskju fis-sistemi tagħhom u rigward id-data personali li huma bi ħsiebhom jipproċessaw. Abbażi ta' dan l-obbligu, l-entitajiet għandhom iħejju definizzjoni mfassla u preċiża tal-miżuri tas-sigurtà li jiġu applikati fil-każijiet tagħhom u li għandhom ikunu għad-dispożizzjoni tal-awtoritajiet. Jekk iseħħ ksur tas-sigurtà, dan l-obbligu jgħin lill-entitajiet koperti – u eventwalment lill-awtoritajiet ukoll fir-rwol superviżorju tagħhom – biex jiddeterminaw jekk il-kompromess ta' tali informazzjoni jistax jikkawża effetti ħżiena jew ħsara lill-individwi. |
56. |
It-tielet nett, l-obbligu li japplika għall-entitajiet koperti li jagħmlu determinazzjonijiet rigward jekk huma għandhomx jinnotifikaw individwi għandu jiġi akkumpanjat minn obbligu li jinżamm rekord intern tal-verifika dettaljat u komprensiv li jiddeskrivi kwalunkwe ksur li jkun sar u kwalunkwe notifika ta' dan kif ukoll kwalunkwe miżura li tittieħed biex jiġi evitat ksur futur. Dan ir-rekord intern tal-verifika għandu jkun għad-dispożizzjoni tal-awtoritajiet għar-reviżjoni u l-investigazzjoni possibbli tagħhom. Dan jippermetti lill-awtoritajiet biex iwettqu ir-rwol superviżorju tagħhom. Dan jista' jinkiseb bl-adozzjoni ta' lingwaġġ fuq il-linji li ġejjin: “Il-PPECS u l-ISSPs għandu jkollhom u jżommu rekords komprensivi li jagħtu dettalji tal-ksur tas-sigurtà kollu li jkun seħħ, l-informazzjoni teknika rileventi relatata ma' dan u l-azzjoni ta' rimedju li tkun ittieħdet. Ir-rekords għandu jkun fihom ukoll referenza għan-notifiki kollha maħruġa lill-abbonati jew lill-individwi kkonċernati u lill-awtoritajiet nazzjonali kompetenti, inklużi d-data u l-kontenut tagħhom. Ir-rekords għandhom jiġu ppreżentati lill-awtorità nazzjonali kompetenti meta din titlob hekk.” |
57. |
Ovvjament, sabiex tiġi żgurata konsistenza fl-implimentazzjoni ta' dan l-istandard kif ukoll aspetti rilevanti oħra tal-qafas tal-ksur tas-sigurtà, bħall-format u l-proċeduri għan-notifika, ikun adatt li l-Kummissjoni tadotta miżuri tekniċi ta' implimentazzjoni, wara li tikkonsulta mal-KEPD, il-Grupp ta' Ħidma tal-Artikolu 29 u partijiet interessati rilevanti oħra. |
Riċevituri tan-notifika
58. |
Rigward ir-riċevituri tan-notifiki, il-KEPD jippreferi t-terminoloġija tal-PE u tal-Kummissjoni minn dik tal-Kunsill. Tabilħaqq, il-PE biddel il-kelma “abbonati” għall-kelma “utenti”. Il-Kummissjoni tuża “abbonati” u “individwi kkonċernati”. Kemm il-lingwaġġ tal-PE kif ukoll dak tal-Kummissjoni jkun jinkludi bħala riċevituri tan-notifiki mhux biss l-abbonati attwali iżda wkoll l-abbonati preċedenti u partijiet terzi, bħall-utenti li jaħdmu ma' xi entitajiet koperti mingħajr ma jabbonaw magħhom. Il-KEPD jilqa′ dan l-approċċ u jappella lill-PE u lill-Kunsill biex iżommuh. |
59. |
Madankollu, il-KEPD jinnota numru ta' inkonsistenzi fir-rigward tat-terminoloġija fl-ewwel qari tal-PE li għandhom jitranġaw. Pereżempju, il-kelma “abbonati” nbidlet fil-parti l-kbira tal-każijiet, iżda mhux f'kollha, bil-kliem “utenti”, f'każijiet oħra bil-kelma “konsumaturi”. Dan għandu jiġi armonizzat. |
III. KAMP TA' APPLIKAZZJONI TAD-DIRETTIVA DWAR IL-PRIVATEZZA ELETTRONIKA: NETWERKS PUBBLIĊI U PRIVATI
60. |
L-Artikolu 3.1 tad-Direttiva dwar il-Privatezza Elettronika attwali jistabbilixxi l-entitajiet primarjament ikkonċernati mid-Direttiva, jiġifieri dawk li jipproċessaw data “f'konnessjoni mal-” provvista ta' servizzi pubbliċi ta' komunikazzjoni elettronika f'netwerks pubbliċi (imsejħa hawn fuq “PPECS”) (15). Eżempji ta' PPECS jinkludu l-provvista ta' aċċess għall-Internet, it-trasmissjoni ta' informazzjoni permezz ta' netwerks elettroniċi, konnessjonijiet mobbli u telefoniċi, eċċ. |
61. |
Il-PE għadda l-Emenda 121 li temenda l-Artikolu 3 tal-Proposta inizjali tal-Kummissjoni, li skontha l-kamp ta' applikazzjoni tad-Direttiva dwar il-Privatezza Elettronika twessa′ biex jinkludi “l-ipproċessar ta' data personali konnessa mal-provvista ta' servizzi ta' komunikazzjoni elettronika disponibbli pubblikament f’netwerks ta' komunikazzjoni pubblika u privata u netwerks privati pubblikament aċċessibbli fil-Komunità, […]” (l-Art. 3.1 Privatezza Elettronika). Sfortunatament, il-Kunsill u l-Kummissjoni sabuha diffiċli li jaċċettaw din l-emenda u għalhekk ma nkorporawx dan l-approċċ fil-Pożizzjoni Komuni u fil-Proposta Emendata. |
Applikazzjoni tad-Direttiva dwar il-Privatezza Elettronika għal netwerks privati pubblikament aċċessibbli
62. |
Għar-raġunijiet imfissra hawn taħt u biex jgħin it-trawwim ta' kunsens, il-KEPD iħeġġeġ li tinżamm l-essenza tal-Emenda 121. Minbarra dan, il-KEPD jissuġġerixxi li tiġi inkluża emenda biex tgħin il-kjarifika ulterjuri tat-tipi ta' servizzi li jkunu koperti mill-kamp ta' applikazzjoni mwessa′. |
63. |
In-netwerks privati spiss jintużaw biex jipprovdu servizzi ta' komunikazzjoni elettronika bħall-aċċess għall-Internet lil numru mhux definit ta' persuni, li potenzjalment jista' jkun kbir. Dan huwa l-każ, pereżempju, fl-aċċess għall-Internet f'Internet cafes kif ukoll f'lokalitajiet Wi-Fi disponibbli f'lukandi, ristoranti, ajruporti, ferroviji u fi stabbilimenti oħra miftuħa għall-pubbliku fejn tali servizzi spiss jiġu pprovduti bħala komplement għal servizzi oħra (xorb, akkomodazzjoni, eċċ). |
64. |
Fl-eżempji kollha ta' hawn fuq, servizz ta' komunikazzjoni, pereżempju l-aċċess għall-Internet, isir disponibbli għall-pubbliku mhux permezz ta' netwerk pubbliku, iżda aktar permezz ta' dak li jista' jiġi kkunsidrat bħala wieħed privat, jiġifieri netwerk operat privatament. Barra minn hekk, għalkemm fil-każijiet ta' hawn fuq is-servizz ta' komunikazzjoni huwa pprovdut lill-pubbliku, minħabba li t-tip ta' netwerk użat huwa privat aktar milli pubbliku, il-provvista ta' dawn is-servizzi x'aktarx mhijiex koperta mid-Direttiva dwar il-Privatezza Elettronika kollha jew mill-inqas minn xi wħud mill-artikoli tagħha (16). B'riżultat, id-drittijiet fundamentali ta' individwi ggarantiti mid-Direttiva dwar il-Privatezza Elettronika mhumiex protetti f'dawn il-każijiet u tinħoloq sitwazzjoni legali żbilanċjata għall-utenti li jaċċessaw l-istess servizzi ta' aċċess għall-Internet permezz ta' mezzi ta' telekomunikazzjoni pubbliċi meta mqabbla ma' dawk li jaċċessawhom permezz ta' mezzi privati. Dan minkejja l-fatt li r-riskju għall-privatezza u d-data personali tal-individwi f'dawn il-każijiet kollha jeżisti fl-istess grad bħal meta jintużaw in-netwerks pubbliċi biex iwasslu s-servizz. Fil-qosor, ma jidhirx li hemm raġuni li tiġġustifika t-trattament differenti skont id-Direttiva ta' servizzi ta' komunikazzjoni pprovduti permezz ta' netwerk privat meta mqabbel ma' dawk ipprovduti permezz ta' netwerk pubbliku. |
65. |
Għalhekk, il-KEPD jappoġġa emenda, bħall-Emenda 121 tal-PE, li skontha d-Direttiva dwar il-Privatezza Elettronika tkun tapplika wkoll għall-ipproċessar ta' data personali f'konnessjoni mal-provvista ta' servizzi ta' komunikazzjoni elettronika disponibbli għall-pubbliku f'netwerks ta' komunikazzjoni privati. |
66. |
Il-KEPD madankollu jagħraf li dan il-lingwaġġ jista' jwassal għal konsegwenzi imprevedibbli u possibbilment mhux intenzjonati. Fil-fatt, is-sempliċi referenza għal netwerks privati tista' tiġi interpretata li tkopri sitwazzjonijiet li b'mod ċar mhumiex intenzjonati li jkunu koperti mid-Direttiva. Pereżempju, jista' jiġi affermat li interpretazzjoni litterali jew stretta ta' dan il-lingwaġġ tista' tqiegħed lis-sidien tad-djar li jkollhom il-Wi-Fi (17), li jippermettu lil kull min huwa fil-qrib (normalment fid-dar) jikkonettja, fil-kamp ta' applikazzjoni tad-Direttiva; għalkemm din mhix l-intenzjoni tal-Emenda 121. Sabiex jiġi evitat dan l-eżitu, il-KEPD jissuġġerixxi li l-Emenda 121 tiġi fformulata mill-ġdid inkluż fil-kamp ta' applikazzjoni tad-Direttiva dwar il-Privatezza Elettronika “l-ipproċessar ta' data personali konnessa mal-provvista ta' servizzi ta' komunikazzjoni elettronika disponibbli pubblikament f’netwerks ta' komunikazzjoni pubbliċi jew dawk privati pubblikament aċċessibbli fil-Komunità, …” |
67. |
Dan jgħin jikkjarifika li huma biss in-netwerks privati li huma aċċessibbli għall-pubbliku li jkunu koperti taħt id-Direttiva tal-Privatezza Elettronika. Bl-applikazzjoni tad-dispożizzjonijiet tad-Direttiva dwar il-Privatezza Elettronika għal netwerks privati aċċessibbli għall-pubbliku biss (u mhux għan-netwerks privati kollha) jiġi stabbilit limitu sabiex id-Direttiva tkun tkopri biss servizzi ta' komunikazzjoni pprovduti f'netwerks privati li huma intenzjonalment aċċessibbli għall-pubbliku. Din il-formulazzjoni ser tgħin biex jiġi enfasizzat aktar li d-disponibbiltà tan-netwerk privat lill-membri tal-pubbliku inġenerali hija l-fattur ewlieni biex jiġi determinat jekk id-Direttiva tkunx tkopriha (minbarra l-provvista ta' servizz ta' komunikazzjoni disponibbli għall-pubbliku). Fi kliem ieħor, independentement minn jekk in-netwerk ikunx pubbliku jew privat, jekk in-netwerk isir intenzjonalment disponibbli għall-pubbliku sabiex jipprovdi servizz ta' komunikazzjoni pubblika, bħal aċċess għall-Internet, ukoll jekk tali servizz ikun komplementarju għal servizz ieħor (pereżempju akkomodazzjoni f'lukanda), dan it-tip ta' servizz/netwerk ikun kopert mid-Direttiva dwar il-Privatezza Elettronika. |
68. |
Il-KEPD jinnota li l-approċċ appoġġat hawn fuq li skontu d-dispożizzjonijiet tad-Direttiva dwar il-Privatezza Elettronika jiġu applikati għal netwerks privati aċċessibbli għall-pubbliku huwa konsistenti mal-approċċi adottati f'diversi Stati Membri, fejn l-awtoritajiet diġà qiesu tali tipi ta' servizzi kif ukoll is-servizzi pprovduti f'netwerks purament privati fil-kamp ta' applikazzjoni tad-dispożizzjonijiet nazzjonali li jimplimentaw id-Direttiva dwar il-Privatezza Elettronika (18). |
69. |
Għal aktar ċertezza legali rigward l-entitajiet koperti minn dan il-kamp ta' applikazzjoni l-ġdid, jista' jkun utli li tiġi inkluża emenda fid-Direttiva dwar il-Privatezza Elettronika li tiddefinixxi “netwerks privati aċċessibbli għall-pubbliku” li tkun taqra kif ġej “netwerk privat aċċessibbli għall-pubbliku tfisser netwerk operat privatament li għalih membri tal-pubbliku inġenerali normalment ikollhom aċċess fuq bażi bla restrizzjonijiet, kemm jekk bil-ħlas jew mingħajr jew flimkien ma' servizzi jew offerti oħra, soġġett għall-aċċettazzjoni tat-termini u l-kondizzjonijiet applikabbli.” |
70. |
Fil-prattika, l-approċċ ta' hawn fuq ikun ifisser li netwerks privati f'lukandi u stabbilimenti oħra li jipprovdu aċċess għall-Internet lill-pubbliku inġenerali permezz ta' netwerk privat ikunu koperti. Għall-kuntrarju, il-provvista ta' servizzi ta' komunikazzjoni f'netwerks purament privati fejn is-servizz ikun ristrett għal grupp limitat ta' individwi identifikabbli ma tkunx koperta. Għalhekk, pereżempju, netwerks privati virtwali u djar ta' konsumaturi mgħammra bil-Wi-Fi, ma jkunux koperti b'din id-Direttiva. Lanqas ma jkunu koperti servizzi pprovduti permezz ta' netwerks purament korporattivi. |
Netwerks privati fil-kamp ta' applikazzjoni tad-Direttiva dwar il-Privatezza Elettronika.
71. |
L-esklużjoni ta' netwerks privati per se kif issuġġerit hawn fuq għandha tiġi kkunsidrata bħala miżura temporanja li għandha tkun soġġetta għal aktar dibattitu. Tabilħaqq, meta minn naħa jitqiesu l-implikazzjonijiet fuq il-privatezza tal-esklużjoni ta' netwerks purament privati u, min-naħa l-oħra, li din taffettwa numru kbir ta' persuni li normalment jaċċessaw l-Internet permezz ta' netwerks korporattivi, fil-futur, jista' jkun meħtieġ li din tiġi kkunsidrata mill-ġdid. Għal din ir-raġuni, u sabiex jitrawwem dibattitu dwar dan is-suġġett, il-KEPD jirrakkomanda li tiġi inkluża premessa fid-Direttiva dwar il-Privatezza Elettronika li skontha l-Kummissjoni twettaq konsultazzjoni pubblika dwar l-applikazzjoni tad-Direttiva dwar il-Privatezza Elettronika għan-netwerks privati kollha, bil-kontribut tal-KEPD, l-awtoritajiet għall-protezzjoni tad-data u partijiet interessati rilevanti oħra. Minbarra dan, il-premessa tista' tispeċifika li bħala riżultat tal-konsultazzjoni pubblika, il-Kummissjoni għandha tagħmel kwalunkwe proposta adatta biex tespandi jew tillimita t-tipi ta' entitajiet li għandhom ikunu koperti mid-Direttiva dwar il-Privatezza Elettronika. |
72. |
Minbarra dan ta' hawn fuq, l-artikoli differenti tad-Direttiva dwar il-Privatezza Elettronika għandhom jiġu emendati kif meħtieġ sabiex id-dispożizzjonijiet operattivi kollha jirreferu espliċitament għal netwerks privati disponibbli għall-pubbliku flimkien ma' netwerks pubbliċi. |
IV. L-IPPROĊESSAR TAD-DATA DWAR IT-TRAFFIKU GĦAL FINIJIET TA' SIGURTÀ
73. |
Matul il-proċess leġislattiv relatat mar-reviżjoni tad-Direttiva dwar il-Privatezza Elettronika, kumpanniji li jipprovdu servizzi ta' sigurtà affermaw li kien jinħtieġ li tiġi introdotta dispożizzjoni fid-Direttiva dwar il-Privatezza Elettronika li tilleġittimizza l-ġbir tad-data dwar it-traffiku sabiex tiġi garantita sigurtà effettiva online. |
74. |
B′riżultat, il-PE daħħal l-Emenda 181, li ħolqot Artikolu 6.6(a) ġdid li jawtorizza espliċitament l-ipproċessar tad-data dwar it-traffiku għal finijiet ta' sigurtà: “Mingħajr ħsara għall-konformità mad-dispożizzjonijiet [minbarra] mal-Artikolu 7 tad-Direttiva 95/46/KE u l-Artikolu 5 ta' din id-Direttiva, Traffiku ta' dejta jista' jkun ipproċessat għall-interess leġittimu tal-kontrollur tad-dejta għall-iskop ta' implimentar ta' miżuri tekniċi li jiżguraw is-sigurtà tan-netwerk u tal-informazzjoni, kif definit mill-Artikolu 4 (c) tar-Regolament (KE) 460/2004 tal-Parlament Ewropew u tal-Kunsill tal-10 ta' Marzu 2004 li jistabbilixxi l-Aġenzija Ewropea ta' Sigurtà tan-Netwerk u tal-Informazzjoni, servizz ta' komunikazzjoni pubbliku elettroniku, netwerk ta' komunikazzjonijiet elettroniċi pubbliku jew privat, servizz ta' soċjetà ta' informazzjoni jew apparat ta' komunikazzjoni elettroniku u terminali relatat, minbarra fejn interessi bħal dawn ikunu maqbuża mill-interessi għad-drittijiet fundamentali u l-libertajiet tas-suġġett tad-dejta. Tali proċessar għandu jkun ristrett għal dak li huwa strettament neċessarju għall-iskopijiet ta' dan it-tip ta' attività ta' sigurtà”. |
75. |
Il-Proposta Emendata tal-Kummissjoni aċċettat din l-emenda fil-prinċipju, iżda neħħiet klawsola prinċipali maħsuba biex tiżgura li d-dispożizzjonijiet l-oħra tad-Direttiva kellhom jiġu rispettati meta titneħħa l-klawsola li taqra “Mingħajr ħsara […] …ta' din id-Direttiva”). Il-Kunsill adotta verżjoni abbozzata mill-ġdid, li mxiet jerġa′ pass ieħor lejn it-tnaqqis tal-protezzjonijiet importanti u l-ibbilanċjar tal-interessi li kienu kostruwiti fl-Emenda 181, fl-adozzjoni tal-lingwaġġ li jaqra kif ġej: “Id-data dwar it-traffiku tista' tiġi pproċessata safejn hu strettament meħtieġ biex tiġi żgurata […] s-sigurtà tan-netwerk u tal-informazzjoni, kif definit bl-Artikolu 4(c) tar-Regolament (KE) 460/2004 tal-Parlament Ewropew u tal-Kunsill tal-10 ta' Marzu 2004 li jistabbilixxi l-Aġenzija Ewropea dwar is-Sigurtà tan-Netwerks u l-Informazzjoni.” |
76. |
Kif imfisser aktar hawn taħt, l-Artikolu 6.6(a) mhuwiex meħtieġ u soġġett għar-riskju ta' abbuż, partikolarment jekk ikun adottat f'forma li ma tinkludix is-salvagwardji importanti, il-klawżoli li jirrispettaw dispożizzjonijiet oħra tad-Direttiva, u l-ibbilanċjar tal-interessi. Għalhekk, il-KEPD jirrakkomanda li dan l-Artikolu jitwarrab, jew mill-inqas, li jiġi żgurat li kwalunkwe artikolu bħal dan dwar din il-kwistjoni jkun jinkludi t-tipi ta' salvagwardji li ġew inklużi fl-Emenda 181 kif adotatta mill-PE. |
Bażijiet legali għall-ipproċessar tad-data dwar it-traffiku applikabbli għal servizzi ta' komunikazzjoni elettronika u kontrolluri oħra tad-data taħt il-leġislazzjoni attwali dwar il-protezzjoni tad-data
77. |
L-ambitu safejn il-fornituri ta' servizzi ta' komunikazzjoni elettronika disponibbli għall-pubbliku jistgħu legalment jipproċessaw data dwar it-traffiku huwa rregolat skont l-Artikolu 6 tad-Direttiva dwar il-Privatezza Elettronika, li jillimita l-ipproċessar tad-data dwar it-traffiku għal numru limitat ta' finijiet bħal kontijiet, interkonnessjoni u kummerċjalizzazzjoni. Dan l-ipproċessar jista' jseħħ biss soġġett għal kondizzjonijiet speċifikati, bħall-kunsens ta' individwi fil-każ ta' kummerċjalizzazzjoni. Minbarra dan, kontrolluri oħra tad-data bħall-fornituri ta' servizzi tas-soċjetà tal-informazzjoni jistgħu jipproċessaw data dwar it-traffiku skont l-Artikolu 7 tad-Direttiva dwar il-Protezzjoni tad-Data li tistabbilixxi li kontrolluri tad-data jistgħu jipproċessaw data personali jekk huma jikkonformaw ma' mill-inqas waħda minn lista ta' bażijiet legali enumerati, imsejħa wkoll il-bażijiet legali. |
78. |
Eżempju ta' bażi legali waħda bħal din huwa l-Artikolu 7(a) tad-Direttiva dwar il-Protezzjoni tad-Data, li jeħtieġ il-kunsens tas-suġġett tad-data. Pereżempju, jekk bejjiegħ bl-imnut online jixtieq jipproċessa data dwar it-traffiku għall-finijiet ta' reklamar jew biex jibgħat materjal ta' kummerċjalizzazzjoni, huwa jrid jikseb il-kunsens tal-individwu. Bażi legali oħra ppreżentata fl-Artikolu 7 tista' tippermetti, f'ċerti ċirkostanzi, l-ipproċessar ta' data dwar it-traffiku għal finijiet ta' sigurtà minn, pereżempju, kumpanniji tas-sigurtà li joffru servizzi tas-sigurtà. Dan huwa bbażat fuq l-Artikolu 7(f) li jistabbilixxi li l-kontrolluri tad-data jistgħu jipproċessaw data personali jekk dan “ikun meħtieġ għall-finijiet tal-interess leġittimu segwit mill-kontrollur jew mill-parti terza jew il-partijiet li lilhom tkun żvelata d-data, ħlief meta tali drittijiet jiġu wara l-interessi tad-drittijiet u l-libertajiet fundamentali tas-suġġett tad-data …” [traduzzjoni mhux uffiċjali]. Id-Direttiva dwar il-Protezzjoni tad-Data ma tispeċifikax każijiet fejn l-ipproċessar ta' data personali jkun jissodisfa din il-ħtieġa. Minflok, isiru determinazzjonijiet mill-kontrolluri tad-data, fuq bażi ta' każ b'każ, spiss bil-qbil tal-awtoritajiet nazzjonali għall-protezzjoni tad-data u awtoritajiet oħra. |
79. |
L-interazzjoni bejn l-Artikolu 7 tad-Direttiva dwar il-Protezzjoni tad-Data u l-Artikolu 6.6(a) tad-Direttiva dwar il-Privatezza Elettronika propost, għandha tiġi kkunsidrata. L-Artikolu 6.6(a) propost jispeċifika ċ-ċirkostanzi li taħthom jiġu ssodisfati l-ħtiġiet tal-Artikolu 7(f) deskritti hawn fuq. Tabilħaqq, billi jawtorizza l-ipproċessar tad-data dwar it-traffiku biex tiġi żgurata s-sigurtà tan-netwerk u tal-informazzjoni, l-Artikolu 6.6(a) jippermetti tali pproċessar għall-finijiet tal-interess leġittimu segwit mill-kontrollur tad-data. |
80. |
Kif imfisser aktar hawn taħt, il-KEPD jemmen li l-Artikolu 6.6(a) propost la huwa meħtieġ u lanqas huwa utli. Tabilħaqq, mill-perspettiva legali, fil-prinċipju, mhuwiex meħtieġ li jiġi stabbilit jekk tip partikolari ta' attività tal-ipproċessar tad-data, f'dan il-każ l-ipproċessar ta' data dwar it-traffiku għal finijiet ta' sigurtà, jissodisfax jew jonqosx milli jissodisfa l-ħtiġiet tal-Artikolu 7(f) tad-Direttiva dwar il-Protezzjoni tad-Data, f'liema każ, il-kunsens tal-individwu jista' jkun meħtieġ ex Artikolu 7(a). Kif innotat hawn fuq, din il-valutazzjoni normalment issir mill-kontrolluri tad-data, jiġifieri kumpanniji, fil-livell ta' implimentazzjoni, f'konsultazzjoni mal-awtoritajiet għall-protezzjoni tad-data, u fejn meħtieġ, mill-qrati. B'mod ġenerali, il-KEPD jemmen li, f'każijiet speċifiċi, l-ipproċessar leġittimu tad-data dwar it-traffiku għal raġunijiet ta' sigurtà, imwettaq mingħajr ma jitqiegħdu f'periklu d-drittijiet u l-libertajiet fundamentali tal-individwi, x'aktarx jissodisfa l-ħtiġiet tal-Artikolu 7(f) tad-Direttiva dwar il-Protezzjoni tad-Data u għalhekk jista' jitwettaq. Barra minn dan, ma hemm l-ebda preċedent ieħor fid-Direttiva dwar il-Protezzjoni tad-Data u d-Direttiva dwar il-Privatezza Elettronika sabiex ċerti tipi ta' attivitajiet tal-ipproċessar tad-data li jissodisfaw il-ħtiġiet tal-Artikolu 7(f) jintgħażlu jew jingħataw trattament speċjali, u ma ntweriet l-ebda ħtieġa għal tali eċċezzjoni. B'kuntrast, kif innotat hawn fuq, jidher li taħt ħafna ċirkostanzi, dan it-tip ta' attività jkun joqgħod tajjeb fit-test attwali. Għalhekk, fil-prinċipju mhix meħtieġa dispożizzjoni legali li tikkonferma din il-valutazzjoni. |
Il-verżjonijiet tal-PE, il-Kunsill, u l-Kummissjoni tal-Artikolu 6.6(a)
81. |
Kif imfisser hawn fuq, għalkemm mhux meħtieġ, huwa importanti li jiġi enfasizzat li l-Emenda 181 kif adottata mill-PE madankollu kienet, xi ftit jew wisq, abbozzata b'kont meħud tal-prinċipji tal-privatezza u l-protezzjoni tad-data inkorporati fil-leġislazzjoni dwar il-protezzjoni tad-data. L-Emenda 181 tal-PE tista' tindirizza wkoll l-interess tal-protezzjoni tad-data u l-privatezza, pereżempju, billi jiddaħħlu l-kliem “f'każijiet speċifiċi” sabiex tiġi żgurata l-applikazzjoni selettiva ta' dan l-artikolu jew bl-inklużjoni ta' perijodu speċifiku ta' konservazzjoni. |
82. |
L-Emenda 181 tinkludi xi elementi pożittivi. Hija tikkonferma li l-ipproċessar għandu jikkonforma ma' kwalunkwe prinċipju ieħor dwar il-protezzjoni tad-data applikabbli għall-ipproċessar ta' data personali (“Mingħajr ħsara … għall-konformità mad-dispożizzjonijiet […] tad-Direttiva 95/46/KE u […] ta' din id-Direttiva”). Barra minn dan, għalkemm l-Emenda 181 tippermetti l-ipproċessar tad-data dwar it-traffiku għal finijiet ta' sigurtà, hija toħloq bilanċ bejn l-interessi tal-entità li tipproċessa d-data dwar it-traffiku u dawk ta' individwi li d-data tagħhom tiġi pproċessata sabiex tali pproċessar tad-data jista' jseħħ biss jekk l-interessi għad-drittijiet u l-libertajiet fundamentali tal-individwi ma jiġux wara dawk tal-entità li tipproċessa d-data (“minbarra fejn interessi bħal dawn ikunu maqbuża mill-interessi għad-drittijiet fundamentali u l-libertajiet tas-suġġett tad-dejta”). Din il-ħtieġa hija essenzjali safejn hi tista' tippermetti l-ipproċessar tad-data dwar it-traffiku għal każijiet speċifiċi; madankollu, hija ma tippermettix li entità tipproċessa d-data dwar it-traffiku fi kwantitajiet kbar. |
83. |
Il-verżjoni tal-emenda abbozzata mill-ġdid tal-Kunsill tinkludi elementi ta' min ifaħħarhom, bħaż-żamma tat-terminu “strettament meħtieġ” li jenfasizza l-kamp ta' applikazzjoni limitat ta' dan l-Artikolu. Madankollu, il-verżjoni tal-Kunsill telimina s-salvagwardji għall-protezzjoni tad-data u għall-privatezza msemmija hawn fuq. Filwaqt li fil-prinċipju japplikaw dispożizzjonijiet ġenerali dwar il-protezzjoni tad-data, irrispettivament minn jekk issirx referenza speċifika f'kull każ, il-verżjoni tal-Kunsill tal-Artikolu 6.6(a) tista' madankollu tiġi interpretata bħala li tagħti setgħat ta' diskrezzjoni sħaħ għall-ipproċessar tad-data dwar it-traffiku mingħajr ma jkunu soġġetti għal kwalunkwe salvagwardja għall-protezzjoni tad-data u għall-privatezza li tapplika kull meta d-data dwar it-traffiku tiġi pproċessata. Għalhekk, jista' jiġi argumentat li d-data dwar it-traffiku tista' tinġabar, tinħażen, u tintuża ulterjorment mingħajr il-ħtieġa ta' konformità mal-prinċipji ta' protezzjoni tad-data u obbligi speċifiċi li nkella japplikaw għall-partijiet responsabbli, bħall-prinċipju ta' kwalità jew l-obbligu ta' pproċessar ġust u legali u li d-data tinżamm kunfidenzjali u sigura. Barra minn hekk, peress li ma ssir l-ebda referenza għall-prinċipji applikabbli ta' protezzjoni tad-data li jimponu limiti ta' żmien għall-ħżin tal-informazzjoni jew għal limiti ta' żmien speċifiċi fl-artikolu, il-verżjoni tal-Kunsill tista' tiġi interpretata bħala li tippermetti l-ġbir u l-ipproċessar tad-data dwar it-traffiku għal finijiet ta' sigurtà għal perijodu ta' żmien mhux speċifikat. |
84. |
Minbarra dan, il-Kunsill dgħajjef il-protezzjonijiet ta' privatezza f'ċerti partijiet tat-test billi potenzjalment wessa′ l-lingwaġġ. Pereżempju, ir-referenza għall-“interess leġittimu tal-kontrollur tad-dejta” tneħħiet, biex b'hekk tqajmu dubji rigward it-tipi ta' entitajiet li jkunu jistgħu jagħmlu użu minn din l-eċċezzjoni. Huwa tal-akbar importanza li jiġi evitat li jinfetaħ il-bieb biex kwalunkwe utent jew entità ġuridika tibbenefika minn din l-emenda. |
85. |
L-esperjenzi reċenti fil-PE u l-Kunsill juru li huwa diffiċli tiddefinixxi bil-liġi l-ambitu u l-kondizzjonijiet li taħthom l-ipproċessar tad-data għal finijiet ta' sigurtà jista' jitwettaq legalment. Mhux probabbli li kwalunkwe artikolu eżistenti jew futur ineħħi r-riskji ovvji ta' applikazzjoni wiesgħa ż-żejjed tal-eċċezzjoni għal raġunijiet minbarra dawk purament relatati mas-sigurtà jew minn entitajiet li m'għandhomx ikunu jistgħu jibbenefikaw mill-eċċezzjoni. Dan ma ifissirx li tali pproċessar ma jista' jsir fl-ebda każ. Madankollu, jekk ikunx jista' jitwettaq u safejn, jista' jiġi vvalutat aħjar fil-livell ta' implimentazzjoni. Entitajiet li jixtiequ jagħmlu tali pproċessar għandhom jiddiskutu l-kamp ta' applikazzjoni u l-kondizzjonijiet mal-awtoritajiet għall-protezzjoni tad-data u, possibbilment, mal-Grupp ta' Ħidma tal-Artikolu 29. Alternattivament, id-Direttiva dwar il-Privatezza Elettronika tista' tinkludi artikolu li jippermetti l-ipproċessar tad-data dwar it-traffiku għal finijiet ta' sigurtà, soġġett għall-awtorizzazzjoni espliċita mill-awtoritajiet għall-protezzjoni tad-data. |
86. |
B′kont meħud minn naħa waħda tar-riskji li l-Artikolu 6.6(a) jippreżenta għad-dritt fundamentali għall-protezzjoni tad-data u l-privatezza tal-individwi, u min-naħa l-oħra tal-fatt li, kif imfisser f'din l-Opinjoni, minn perspettiva legali, dan l-Artikolu mhuwiex meħtieġ, il-KEPD wasal għall-konklużjoni li l-aħjar eżitu jkun li l-Artikolu 6.6(a) propost jitħassar għal kollox. |
87. |
Jekk jiġi adottat kwalunkwe test fuq il-linji ta' kwalunkwe verżjoni attwali tal-Artikolu 6.6(a), kontra r-rakkomandazzjoni tal-KEPD, dan għandu fi kwalunkwe każ jinkorpora s-salvagwardji għall-protezzjoni tad-data diskussi hawn fuq. Huwa għandu jiġi wkoll integrat sew fl-istruttura eżistenti tal-Artikolu 6, preferibbilment bħala paragrafu 2a ġdid. |
V. L-ABBILTÀ TA' PERSUNI ĠURIDIĊI LI JIEĦDU AZZJONI GĦAL KSUR TAD-DIRETTIVA DWAR IL-PRIVATEZZA ELETTRONIKA
88. |
Il-PE għadda l-Emenda 133 li tagħti l-possibbiltà li fornituri tal-aċċess għall-Internet u entitajiet ġuridiċi oħra bħal assoċjazzjonijiet tal-konsumaturi jressqu azzjoni legali kontra ksur ta' kwalunkwe dispożizzjoni tad-Direttiva dwar il-Privatezza Elettronika (19). Sfortunatament, la l-Kummissjoni u lanqas il-Kunsill ma aċċettawha. Il-KEPD jikkunsidra li din l-emenda hija pożittiva ħafna u jirrakkomanda li tinżamm. |
89. |
Biex wieħed jifhem l-importanza ta' din l-emenda jrid jirrealizza li fil-qasam ta' privatezza u protezzjoni tad-data, il-ħsara li ssir lil persuna kkunsidrata individwalment, normalment fiha nfisha mhix suffiċjenti biex il-persuna tirrikorri għal azzjoni legali quddiem qorti. Individwi normalment ma jitilgħux il-qorti waħidhom għaliex intbagħtilhom l-ispamm jew għaliex isimhom kien inkluż f'direttorju meta mhux suppost. Din l-emenda tkun tippermetti lill-assoċjazzjonijiet tal-konsumaturi u lit-trade unions li jirrappreżentaw l-interessi tal-konsumaturi f'livell kollettiv biex jieħdu azzjoni legali f'isimhom quddiem il-qrati. Diversità akbar ta' mekkaniżmi ta' infurzar x'aktarx tinkoraġġixxi wkoll livell aħjar ta' konformità u għalhekk hija fl-interess tal-applikazzjoni effettiva tad-dispożizzjonijiet tad-Direttiva dwar il-Privatezza Elettronika. |
90. |
Hemm preċedenti legali fl-oqfsa legali ta' xi Stati Membri li diġà jipprevedu l-possibbiltà ta' rimedju kollettiv sabiex il-konsumaturi u l-gruppi ta' interess ikunu jistgħu jitolbu kumpens mill-parti li kkawżat il-ħsara. |
91. |
Barra minn hekk, xi liġijiet tal-Kompetizzjoni tal-Istati Membri (20) jintitolaw lill-konsumaturi, il-gruppi ta' interess (minbarra l-kompetitur affettwat) li jressqu kawża kontra l-entità li twettaq ksur. Il-loġika wara dan l-approċċ hija li kumpanniji li jiksru l-liġijiet tal-kompetizzjoni x'aktarx jipprofittaw peress li l-konsumaturi li jġarrbu ħsara marġinali biss normalment joqgħodu lura milli jressqu kawża. Din il-loġika tista' tiġi applikata mutantis mutandi fil-qasam tal-protezzjoni tad-data u l-privatezza. |
92. |
Aktar importanti, kif imsemmi hawn fuq, l-intitolament ta' entitajiet ġuridiċi bħall-assoċjazzjonijiet tal-konsumaturi u l-PPECS biex iressqu kawża ssaħħaħ il-pożizzjoni tal-konsumaturi u tippromwovi konformità ġenerali mal-leġislazzjoni dwar il-protezzjoni tad-data. Jekk kumpanniji li jwettqu ksur ikunu qed jiffaċċjaw riskju ogħla li jitħarrku, huma x'aktarx jinvestu aktar fil-konformità mal-leġislazzjoni dwar il-protezzjoni tad-data, li fil-perijodu twil iżżid il-livell ta' privatezza u l-protezzjoni tal-konsumatur. Għal dawn ir-raġunijiet kollha, il-KEPD jappella lill-PE u lill-Kunsill biex jadottaw dispożizzjoni li tippermetti lill-entitajiet ġuridiċi jressqu azzjoni legali kontra ksur ta' kwalunkwe dispożizzjoni tad-Direttiva dwar il-Privatezza Elettronika. |
VI. KONKLUŻJONI
93. |
Il-Pożizzjoni Komuni tal-Kunsill, l-ewwel qari tal-PE u l-Proposta Emendata tal-Kummissjoni jinkludu, fi gradi differenti, elementi pożittivi li jservu biex tissaħħaħ il-protezzjoni tal-privatezza tal-individwi u tad-data personali. |
94. |
Madankollu, il-KEPD jemmen li hemm lok għal titjib, partikolarment fir-rigward tal-Pożizzjoni Komuni tal-Kunsill li, sfortunatament, ma żammitx xi wħud mill-emendi tal-PE maħsuba biex jgħinu jiżguraw il-protezzjoni adegwata tal-privatezza tal-individwi u tad-data personali. Il-KEPD iħeġġeġ lill-PE u lill-Kunsill biex jerġgħu jistabbilixxu s-salvagwardji għall-privatezza inkorporati fl-ewwel qari tal-PE. |
95. |
Minbarra dan, il-KEPD jemmen li jkun adatt li xi wħud mid-dispożizzjonijiet tad-Direttiva jiġu razzjonalizzati. Dan huwa partikolarment minnu fil-każ tad-dispożizzjonijiet dwar il-ksur tas-sigurtà, peress li l-KEPD jemmen li l-benefiċċji sħaħ tan-notifika tal-ksur jiġu realizzati l-aħjar jekk il-qafas legali jiġi stabbilit mill-bidu. Fl-aħħar nett, il-KEPD jikkunsidra li jkun adatt li l-formulazzjoni ta' xi wħud mid-dispożizzjonijiet tad-Direttiva tittejjeb u tiġi kkjarifikata. |
96. |
Fid-dawl ta' dan ta' hawn fuq, il-KEPD iħeġġeġ lill-PE u lill-Kunsill biex iżidu l-isforzi għat-titjib u l-kjarifika ta' xi wħud mid-dispożizzjonijiet tad-Direttiva dwar il-Privatezza Elettronika, filwaqt li fl-istess ħin, jerġgħu jiddaħħlu l-emendi adottati fl-ewwel qari tal-PE mmirati biex jipprovdu livell adatt ta' privatezza u protezzjoni tad-data. Għal dan il-għan, il-punti 97, 98, 99 u 100 ta' hawn taħt jiġbru fil-qosor il-kwistjonijiet involuti u jressqu xi rakkomandazzjonijiet u proposti għall-abbozzar. Il-KEPD jappella lill-partijiet kollha involuti biex jieħdu kont tagħhom waqt il-progressjoni tad-Direttiva dwar il-Privatezza Elettronika lejn l-adozzjoni finali. |
Ksur tas-Sigurtà
97. |
Il-Parlament Ewropew, il-Kummissjoni u l-Kunsill kollha adottaw approċċi diversi għan-notifika tal-ksur tas-sigurtà. Jeżistu differenzi bejn it-tliet mudelli rigward, fost l-oħra, l-entitajiet koperti mill-obbligu, l-istandard jew l-instigatur għan-notifika, is-suġġetti tad-data li għandhom jiġu notifikati, eċċ. Jinħtieġ li l-PE u l-Kunsill jagħmlu l-almu tagħhom biex jaslu għal qafas legali sod għall-ksur tas-sigurtà. Għal dan il-għan, il-PE u l-Kunsill għandhom:
|
Netwerks Privati Aċċessibbli għall-Pubbliku
98. |
Servizzi ta' komunikazzjoni spiss isiru disponibbli għall-pubbliku mhux permezz ta' netwerk pubbliku, iżda permezz ta' netwerks operati privatament (pereżempju lokalitajiet Wi-Fi disponibbli f'lukandi, ajruporti), li bla dubju mhumiex koperti mid-Direttiva. Il-PE adotta l-Emenda 121 (Artikolu 3) li twessa′ l-kamp ta' applikazzjoni tad-Direttiva biex jinkludi netwerks ta' komunikazzjoni pubbliċi u privati, kif ukoll netwerks privati aċċessibbli għall-pubbliku. F'dan ir-rigward, il-PE u l-Kunsill għandhom:
|
L-Ipproċessar tad-Data dwar it-Traffiku għal Finijiet ta' Sigurtà
99. |
L-ewwel qari tal-PE adotta l-Emenda 181 (l-Artikolu 6.6(a)), li tawtorizza l-ipproċessar tad-data dwar it-traffiku għal finijiet tas-sigurtà. Il-Pożizzjoni Komuni tal-Kunsill adottat verżjoni ġdida li tnaqqas xi wħud mis-salvagwardji għall-privatezza. F'dan ir-rigward, il-KEPD jirrakkomanda li l-PE u l-Kunsill:
|
Azzjonijiet għal Ksur tad-Direttiva dwar il-Privatezza Elettronika
100. |
Il-Parlament adotta l-Emenda 133 (l-Artikolu 13.6) li tagħti lill-entitajiet ġuridiċi l-abbiltà li jressqu azzjoni legali kontra ksur ta' kwalunkwe dispożizzjoni tad-Direttiva. Sfortunatament il-Kunsill ma żammhiex. Il-Kunsill u l-PE għandhom:
|
Tintlaqa′ l-Isfida
101. |
Fil-materji kollha ta' hawn fuq, il-PE u l-Kunsill iridu jilqgħu l-isfida tat-tfassil ta' regoli u dispożizzjonijiet adegwati li jkunu jistgħu jitħaddmu u jkunu wkoll funzjonali u jirrispettaw id-drittijiet għall-privatezza u l-protezzjoni tad-data tal-individwi. Il-KEPD jinsab fiduċjuż li l-partijiet involuti ser jagħmlu ħilithom biex jilqgħu din l-isfida u jittama li din l-Opinjoni tikkontribwixxi għal dan l-isforz. |
Magħmul fi Brussell, id-9 ta’ Jannar 2009.
Peter HUSTINX
Kontrollur Ewropew għall-Protezzjoni tad-Data
(1) Ir-reviżjoni tad-Direttiva dwar il-Privatezza Elettronika hija parti minn proċess usa′ ta' reviżjoni mmirat li joħloq awtorità tat-telekomunikazzjoni tal-UE, ir-reviżjoni tad-Direttivi 2002/21/KE, 2002/19/KE, 2002/20/KE, 2002/22/KE u 2002/58/KE, kif ukoll ir-reviżjoni tar-Regolament (KE) Nru 2006/2004 (minn hawn ′il quddiem flimkien “reviżjoni tal-pakkett tat-telekomunikazzjoni”).
(2) L-Opinjoni tal-10 ta' April 2008 dwar il-Proposta għal Direttiva li temenda, fost l-oħra, id-Direttiva 2002/58/KE dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika), ĠU C 181, 18.7.2008, p. 1.
(3) Id-Direttiva 2002/22/KE dwar servizz universali u d-drittijiet tal-utenti li jirrelataw ma' netwerks u servizzi ta' komunikazzjonijiet elettroniċi, (Direttiva Servizz Universali), ĠU L 108, 24.4.2002, p. 51.
(4) Kummenti tal-KEPD dwar ċerti kwistjonijiet li jirriżultaw mir-rapport tal-IMCO dwar ir-reviżjoni tad-Direttiva 2002/22/KE (Servizz Universali) u d-Direttiva 2002/58/KE (Privatezza Elettronika), 2 ta' Settembru 2008. Disponibbli fuq: www.edps.europa.eu
(5) Riżoluzzjoni leġislattiva tal-Parlament Ewropew tal-24 ta' Settembru 2008 dwar il-proposta għal direttiva tal-Parlament Ewropew u tal-Kunsill li temenda d-Direttiva 2002/22/KE dwar servizz universali u d-drittijiet tal-utenti li jirrelataw ma' netwerks u servizzi ta' komunikazzjonijiet elettroniċi, id-Direttiva 2002/58/KE dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-setturi tal-komunikazzjoni elettronika u r-Regolament (KE) Nru 2006/2004 dwar kooperazzjoni fil-protezzjoni tal-konsumaturi (COM(2007) 698 – C6-0420/2007 – 2007/0248(COD).
(6) Proposta emendata għal Direttiva tal-Parlament Ewropew u tal-Kunsill li Temenda d-Direttiva 2002/22/KE dwar servizz universali u d-drittijiet tal-utenti li jirrelataw ma' netwerks u servizzi ta' komunikazzjonijiet elettroniċi, id-Direttiva 2002/58/KE dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika u r-Regolament (KE) Nru 2006/2004 dwar kooperazzjoni fil-protezzjoni tal-konsumaturi, Brussell, 6.11.2008 COM(2008) 723 finali.
(7) Disponibbli fuq il-Websajt pubblika tal-Kunsill.
(8) L-Opinjoni 2/2008 dwar ir-reviżjoni tad-Direttiva 2002/58/KE dwar il-privatezza u l-komunikazzjoni elettronika (Direttiva dwar il-Privatezza Elettronika), disponibbli fuq il-websajt tal-Grupp ta' Ħidma tal-Artikolu 29.
(9) Din l-Opinjoni tuża l-kelma “kompromessa” biex tirreferi għal kwalunkwe ksur fir-rigward tad-data personali li jkun seħħ b'riżultat tal-qerda, it-telf, l-alterazzjoni, l-iżvelar mhux awtorizzat jew l-aċċess, b'mod aċċidentali jew illegali, ta' data personali trasmessa, maħżuna jew ipproċessata b'xi mod ieħor.
(10) B′mod partikolari, l-Emendi 187, 124 sa 127 kif ukoll 27, 21 u 32 tal-PE jindirizzaw din il-kwistjoni.
(11) Ħlief f'każijiet ta' periklu imminenti u dirett fejn l-awtoritajiet koperti għandhom l-ewwel jinnotifikaw lill-konsumaturi.
(12) L-Artikolu 2 (i) tal-Pożizzjoni Komuni u l-Proposta Emendata u l-Artikolu 3.3 tal-ewwel qari tal-PE.
(13) Ara n-nota 11 f'qiegħ il-paġna rigward l-eċċezzjoni għal din ir-regola.
(14) L-Artikolu 15a.3 jagħraf din is-setgħa superviżorja billi jistabbilixxi li “l-Istati Membri għandhom jiżguraw li l-awtoritajiet kompetenti nazzjonali u, fejn rilevanti, korpi nazzjonali oħra jkollhom is-setgħat u r-riżorsi investigattivi kollha meħtieġa, inkluż il-possibbiltà li jiksbu kwalunkwe informazzjoni rilevanti li jistgħu jkunu jeħtieġu biex jissorveljaw u jinfurzaw dispożizzjonijiet nazzjonali adottati skont din id-Direttiva.”
(15) “Din id-Direttiva għandha tapplika għall-ipproċessar ta' data personali konnessa mal-provvista ta' servizzi ta' komunikazzjoni elettronika disponibbli pubblikament f’netwerks ta' komunikazzjoni pubblika.”
(16) Bil-kuntrarju, jista' jiġi argumentat li peress li s-servizz ta' komunikazzjoni huwa pprovdut lill-pubbliku, anki jekk in-netwerk ikun privat, il-provvista ta' tali servizzi hija koperta mill-qafas legali eżistenti, minkejja l-fatt li n-netwerk huwa privat. Fil-fatt, pereżempju, fi Franza, persuni li jħaddmu n-nies u li jipprovdu l-aċċess għall-Internet lill-impjegati tagħhom tqiesu bħala ekwivalenti għall-fornituri tal-aċċess għall-Internet li joffru aċċess għall-Internet fuq bażi kummerċjali. Din l-interpretazzjoni mhijiex aċċettata minn kulħadd.
(17) Tipikament Local Area Networks mingħajr wajer (LANs).
(18) Ara n-nota 16 f'qiegħ il-paġna.
(19) L-Artikolu 13.6 tal-ewwel qari tal-PE.
(20) Ara, pereżempju, § 8 UWG - Liġi Ġermaniża dwar il-Kompetizzjoni Inġusta.