18.10.2014   

PL

Dziennik Urzędowy Unii Europejskiej

L 300/63

(1)

Inteligentne sieci umożliwiają realizację kluczowych elementów polityki energetycznej. W kontekście ram polityki na okres do 2030 r. inteligentne sieci, jako trzon przyszłego bezemisyjnego systemu energetycznego, są uznawane za czynnik ułatwiający transformację infrastruktury energetycznej w celu umożliwienia większego udziału energii ze źródeł odnawialnych o nieprzewidywalnej charakterystyce produkcji oraz w celu poprawy efektywności energetycznej i zapewnienia bezpieczeństwa dostaw. Inteligentne sieci dają możliwość zwiększenia konkurencyjności europejskich dostawców technologii, a także stanowią platformę, na której tradycyjne przedsiębiorstwa energetyczne lub nowe podmioty na rynku mogą rozwijać innowacyjne usługi i produkty energetyczne w infrastrukturze sieciowej oraz związane z nimi technologie informacyjno-komunikacyjne (ICT), automatykę domową i urządzenia.

(2)

Inteligentne systemy pomiarowe to ważny krok w kierunku inteligentnych sieci. Dostarczają one narzędzi pozwalających konsumentom na aktywny udział w rynku energii oraz umożliwiających elastyczność systemu dzięki systemom reagowania na popyt i innym innowacyjnym usługom. Zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2009/72/WE (1) oraz dyrektywą Parlamentu Europejskiego i Rady 2009/73/WE (2) państwa członkowskie są zobowiązane do wdrożenia inteligentnych systemów pomiarowych wspomagających aktywne uczestnictwo konsumentów w rynkach dostaw energii elektrycznej i gazu.

(3)

Inteligentne systemy pomiarowe — a tym bardziej dalszy rozwój inteligentnych sieci i urządzeń — niosą ze sobą możliwość przetwarzania danych osób fizycznych, tj. danych osobowych określonych w art. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (3).

(4)

Opinia nr 12/2011 (4) Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołanej zgodnie z art. 29 dyrektywy 95/46/WE, stanowi, że inteligentne systemy pomiarowe i inteligentne sieci dają możliwość przetwarzania coraz większej ilości danych osobowych oraz udostępniania danych osobowych szerszemu kręgowi odbiorców niż obecnie, co stwarza nowe, nieznane wcześniej w sektorze energii zagrożenia dla osób, których dane dotyczą.

(5)

Jak stwierdzono w opinii nr 04/2013 (5) Grupy Roboczej, inteligentne systemy pomiarowe i inteligentne sieci to zapowiedź zbliżającego się nieuchronnie „internetu przedmiotów”, a potencjalne zagrożenia związane z gromadzeniem szczegółowych danych dotyczących zużycia mogą w przyszłości wzrosnąć w przypadku połączenia tych informacji z danymi pochodzącymi z innych źródeł, takich jak geolokalizacja, śledzenie i profilowanie w internecie, systemy nadzoru wideo i systemy identyfikacji radiowej (RFID) (6).

(6)

Szerzenie wiedzy na temat cech i istotnych korzyści płynących z inteligentnych sieci powinno pomóc w pełnej realizacji potencjału tej technologii, a tym samym zmniejszać ryzyko wykorzystania jej ze szkodą dla interesu publicznego i w ten sposób podnieść poziom jej akceptacji.

(7)

Prawa i obowiązki określone w dyrektywie 95/46/WE i w dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady (7), mają pełne zastosowanie do środowiska inteligentnych systemów pomiarowych i inteligentnych sieci, w przypadkach gdy przetwarzane są dane osobowe.

(8)

Przyjęty przez Komisję pakiet dotyczący reformy dyrektywy 95/46/WE zawiera wniosek w sprawie rozporządzenia o ochronie danych (8), które, jeżeli zostanie przyjęte, będzie mieć zastosowanie do środowisk inteligentnych systemów pomiarowych i inteligentnych sieci, w przypadkach gdy przetwarzane są dane osobowe.

(9)

W komunikacie Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów z dnia 12 kwietnia 2011 r.„Inteligentne sieci energetyczne: od innowacji do wdrożenia” (9) wymieniono ochronę i bezpieczeństwo danych jako jedno z pięciu wyzwań we wdrażaniu inteligentnej sieci oraz zidentyfikowano środki mające przyspieszyć to wdrażanie, w tym uwzględnianie ochrony prywatności już w fazie projektowania oraz ocenę bezpieczeństwa i odporności sieci i informacji.

(10)

W Europejskiej agendzie cyfrowej określono zestaw odpowiednich środków, dotyczących w szczególności ochrony danych w Unii, w zakresie bezpieczeństwa sieci i informacji oraz ataków cybernetycznych. W „Strategii bezpieczeństwa cybernetycznego Unii Europejskiej: pt. »Otwarta, bezpieczna i chroniona cyberprzestrzeń«” (10) i we wniosku Komisji dotyczącym dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii z dnia 7 lutego 2013 r. (11) przedstawiono środki prawne i wprowadzono zachęty mające sprzyjać inwestycjom, przejrzystości i podnoszeniu świadomości użytkownika w celu zwiększenia bezpieczeństwa unijnego środowiska internetowego. Państwa członkowskie, we współpracy z branżą, Komisją i innymi zainteresowanymi stronami, powinny wprowadzić odpowiednie środki w celu zapewnienia spójnego podejścia w dziedzinie bezpieczeństwa i ochrony danych osobowych.

(11)

Opinie Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, ustanowionej na mocy art. 29 dyrektywy 95/46/WE, oraz opinia Europejskiego Inspektora Ochrony Danych z dnia 8 czerwca 2012 r. (12) zawierają wskazówki dotyczące zabezpieczania danych osobowych oraz zagwarantowania bezpieczeństwa danych przetwarzanych w ramach inteligentnych systemów pomiarowych i inteligentnych sieci. W swojej opinii nr 12/2011 na temat inteligentnych systemów pomiarowych ta grupa robocza zaleca państwom członkowskim dalsze prace nad planami realizacji, które wymagają oceny skutków w zakresie ochrony danych.

(12)

W celu zwiększenia korzyści płynących z inteligentnych systemów pomiarowych, jednym z najważniejszych warunków wstępnych korzystania z tej technologii jest znalezienie odpowiednich rozwiązań technicznych i prawnych gwarantujących prywatność osób fizycznych i ochronę danych osobowych jako praw podstawowych określonych w art. 7 i 8 Karty praw podstawowych Unii Europejskiej oraz w art. 16 Traktatu o funkcjonowaniu Unii Europejskiej. W zaleceniu Komisji 2012/148/UE (13) przedstawia się szczegółowe wytyczne dotyczące ochrony danych oraz środków bezpieczeństwa w odniesieniu do inteligentnych systemów pomiarowych oraz zachęca się państwa członkowskie i zainteresowane strony do zapewnienia monitoringu inteligentnych systemów pomiarowych i aplikacji inteligentnych sieci oraz poszanowania podstawowych praw i wolności osób.

(13)

W zaleceniu 2012/148/UE stwierdza się, że oceny skutków w zakresie ochrony danych powinny umożliwiać od samego początku identyfikację zagrożeń związanych z ochroną danych w projektach dotyczących inteligentnych sieci, zgodnie z zasadą uwzględnienia ochrony danych już w fazie projektowania. W zaleceniu tym zapowiada się opracowanie przez Komisję szablonu oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych, który ma zostać przedstawiony do zaopiniowania Grupie Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych.

(14)

W zaleceniu z dnia 9 marca 2012 r. stwierdza się również, że szablon oceny skutków w zakresie ochrony danych powinien pomagać administratorom danych w prowadzeniu pogłębionej oceny skutków w zakresie ochrony danych, w której opisane są przewidywane operacje przetwarzania, ocena zagrożeń dla praw i wolności osób, których dotyczą dane, środki przewidziane w celu sprostania zagrożeniom, zabezpieczenia, środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych oraz wykazać zgodność z przepisami dyrektywy 95/46/WE, z uwzględnieniem praw i uzasadnionych interesów osób, których dotyczą dane.

(15)

Na mocy proponowanego rozporządzenia o ochronie danych, zastępującego dyrektywę 95/46/WE, oceny skutków w zakresie ochrony danych stałyby się pod pewnymi warunkami obowiązkowe jako podstawowe narzędzie służące podniesieniu odpowiedzialności administratorów danych. W takiej sytuacji szablon oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych, choć sam w sobie nieobowiązkowy, jako narzędzie oceny i podejmowania decyzji spełni swój cel, jakim jest wspieranie administratorów danych w sektorze inteligentnych sieci w przestrzeganiu przyszłych zobowiązań prawnych wynikających z proponowanego rozporządzenia o ochronie danych.

(16)

Szablon opracowany na poziomie unijnym w celu przeprowadzenia ocen skutków w zakresie ochrony danych ma na celu zagwarantowanie, że przepisy dyrektywy 95/46/WE i zalecenia 2012/148/UE będą przestrzegane w sposób spójny we wszystkich państwach członkowskich oraz że propagowana będzie wspólna metodyka dla administratorów danych zapewniająca odpowiednie i zharmonizowane przetwarzanie danych osobowych w całej UE.

(17)

Taki szablon powinien ułatwić stosowanie zasady ochrony danych już w fazie projektowania poprzez zachęcanie administratorów danych do jak najwcześniejszego przeprowadzania oceny skutków w zakresie ochrony danych, co pozwoli im przewidywać potencjalny wpływ na prawa i wolności osób, których dane dotyczą, oraz wprowadzać rygorystyczne zabezpieczenia. Takie środki powinny być monitorowane i poddawane przeglądom przez administratora danych w całym cyklu życia aplikacji lub systemu.

(18)

Sprawozdanie dotyczące wdrażania szablonu powinno również stanowić wkład w działania krajowych organów ds. ochrony danych w zakresie monitorowania i nadzorowania zgodności przetwarzania danych osobowych oraz, w szczególności, zagrożeń dla ochrony tych danych.

(19)

Szablon powinien nie tylko ułatwić rozwiązywanie nowych problemów związanych z ochroną danych, prywatnością oraz bezpieczeństwem w środowisku inteligentnych sieci, ale także pomóc w sprostaniu wyzwaniom dotyczącym przetwarzania danych w związku z rozwojem detalicznego rynku energii. Wartość przyszłego rynku detalicznego będzie w znacznej mierze wiązać się z danymi i głębszą integracją ICT z systemem energetycznym. Gromadzenie i organizacja dostępu do tych danych są kluczem do stworzenia możliwości biznesowych dla nowych podmiotów, zwłaszcza koncentratorów, przedsiębiorstw usług energetycznych lub branży ICT. Służby użyteczności publicznej będą więc musiały radzić sobie z coraz istotniejszymi kwestiami ochrony danych, prywatności i bezpieczeństwa. Szablon pomoże zapewnić — zwłaszcza w początkowej fazie rozpowszechniania inteligentnych liczników — monitorowanie aplikacji inteligentnych systemów pomiarowych i poszanowanie podstawowych praw i wolności osób dzięki identyfikacji zagrożeń dotyczących ochrony danych w projektach inteligentnych sieci już na samym początku.

(20)

Po przedłożeniu szablonu — opracowanego przez główne zainteresowane strony sektora inteligentnych sieci w procesie monitorowanym przez Komisję — Grupie Roboczej w celu formalnej konsultacji, wydano opinię nr 04/2013. Po przedłożeniu zmienionego szablonu na podstawie opinii nr 04/2013, Grupa Robocza wydała opinię nr 07/2013 z dnia 4 grudnia 2013 r. (14). Zainteresowane strony uwzględniły zalecenia sformułowane w tych dwóch opiniach.

(21)

W opinii nr 07/2013 Grupa Robocza zaleca organizowanie fazy testowej przed wprowadzeniem szablonu, podczas której swoją pomoc mogą zaproponować poszczególne organy ds. ochrony danych. Ta faza testowa powinna pomóc w zagwarantowaniu, że szablon zapewni lepszy poziom ochrony danych osobowych w kontekście wdrażania inteligentnych sieci.

(22)

W świetle korzyści, jakie przyniesie szablon przemysłowi, konsumentom i krajowym organom ds. ochrony danych, państwa członkowskie powinny współpracować z przedstawicielami przemysłu, społeczeństwa obywatelskiego i krajowych organów ds. ochrony danych, aby propagować i wspierać stosowanie i wdrażanie szablonu oceny skutków w zakresie ochrony danych na wczesnym etapie wdrażania inteligentnych sieci oraz rozpowszechnienia inteligentnych systemów pomiarowych.

(23)

Komisja powinna przyczynić się do wdrożenia niniejszego zalecenia bezpośrednio i pośrednio poprzez ułatwianie dialogu i współpracy między zainteresowanymi stronami, w szczególności dzięki gromadzeniu i rozpowszechnianiu informacji zwrotnych podczas fazy testowej między przemysłem a krajowymi organami ds. ochrony danych.

(24)

Na podstawie wniosków z fazy testowej i po przeglądzie dyrektywy 95/46/WE Komisja powinna ocenić potrzebę przeglądu i doskonalenia metodyki propagowanej w szablonie.

(25)

Niniejsze zalecenie opracowano z poszanowaniem praw podstawowych i zasad uznanych w Karcie praw podstawowych Unii Europejskiej. Celem niniejszego zalecenia jest w szczególności zapewnienie pełnego poszanowania życia prywatnego i rodzinnego (art. 7 karty) oraz prawa do ochrony danych osobowych (art. 8 karty).

(26)

Po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,

1.

W niniejszym zaleceniu przedstawiono wytyczne dla państw członkowskich w sprawie środków, jakie należy zastosować w celu udanego i szeroko zakrojonego rozpowszechnienia, uznania i stosowania szablonu oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych (zwanego dalej „szablonem oceny skutków”) w celu zagwarantowania podstawowych praw do ochrony danych osobowych i prywatności w kontekście wdrażania aplikacji inteligentnych sieci i systemów oraz rozpowszechnienia inteligentnych systemów pomiarowych.

Szablon oceny skutków dostępny jest na stronie internetowej grupy zadaniowej ds. inteligentnych sieci (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm).

2.

Państwa członkowskie są proszone o uwzględnienie następujących definicji:

3.

W celu zagwarantowania ochrony danych osobowych w całej Unii państwa członkowskie powinny zachęcać administratorów danych do stosowania szablonu oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych, a tym samym zachęcać ich do uwzględnienia zalecenia Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, a w szczególności jej opinii nr 07/2013 (17). Opinie Grupy Roboczej są dostępne na stronie internetowej grupy zadaniowej ds. inteligentnych sieci (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm).

4.

Państwa członkowskie powinny współpracować z branżą, zainteresowanymi przedstawicielami społeczeństwa obywatelskiego i krajowymi organami ds. ochrony danych, aby propagować i wspierać stosowanie i wdrażanie szablonu oceny skutków na wczesnym etapie wdrażania inteligentnych sieci i rozpowszechniania inteligentnych systemów pomiarowych.

5.

Państwa członkowskie powinny zachęcać administratorów danych do rozważenia — jako dodatkowego elementu oceny skutków w zakresie ochrony danych — najlepszych dostępnych technik, które zostaną określone przez państwa członkowskie we współpracy z branżą, Komisją i innymi zainteresowanymi stronami w odniesieniu do każdego z minimalnych wspólnych wymogów funkcjonalnych dotyczących inteligentnych pomiarów energii elektrycznej, wymienionych w pkt 42 zalecenia 2012/148/UE.

6.

Państwa członkowskie powinny wspierać administratorów danych w opracowywaniu i przyjmowaniu rozwiązań w ramach ochrony danych już w fazie projektowania oraz domyślnej ochrony danych, umożliwiających skuteczną ochronę danych.

7.

Państwa członkowskie powinny dopilnować, by administratorzy danych konsultowali się przed przetwarzaniem z odpowiednimi krajowymi organami ds. ochrony danych w kwestii oceny skutków w zakresie ochrony danych.

8.

Państwa członkowskie powinny dopilnować, aby administratorzy danych, po przeprowadzeniu oceny skutków w zakresie ochrony danych oraz zgodnie z obowiązkami nałożonymi na nich na mocy dyrektywy 95/46/WE, stosowali odpowiednie środki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych oraz rewidowali ocenę oraz adekwatność zidentyfikowanych środków w całym cyklu życia aplikacji lub systemu.

9.

Państwa członkowskie powinny wspierać organizację fazy testowej (18) z zastosowaniem rzeczywistych przypadków, w tym również poprzez poszukiwanie i zachęcanie do udziału w tej fazie testowej testerów z branży inteligentnych sieci i inteligentnych systemów pomiarowych.

10.

Państwa członkowskie powinny zapewnić, w trakcie tej fazy testowej, aby do wszystkich odpowiednich aplikacji lub systemów stosowano szablon, wskazówki (19) Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, jak również przepisy zawarte w sekcji III niniejszego zalecenia, w celu uzyskania optymalnych rezultatów w zakresie ochrony danych i zapewnienia jak największego wkładu w późniejszy przegląd szablonu.

11.

Państwa członkowskie powinny zachęcać i wspierać organy krajowe ds. ochrony danych, aby oferowały one swoje wsparcie i wskazówki administratorom danych w fazie testowej (20).

12.

Komisja zamierza bezpośrednio przyczyniać się do wdrożenia i monitorowania fazy testowej przez ułatwienie dialogu i współpracy między zainteresowanymi stronami, w szczególności dzięki zapewnieniu platformy dla zainteresowanych stron (21), służącej do organizacji spotkań z udziałem testerów, przedstawicieli przemysłu oraz społeczeństwa obywatelskiego, krajowych organów ds. ochrony danych i organów regulacji energetyki.

13.

Państwa członkowskie powinny zachęcać testerów do porozumiewania się i wymiany wyników testów z krajowymi organami ds. ochrony danych oraz z innymi zainteresowanymi stronami w ramach platformy zainteresowanych stron, z zastosowaniem trzech następujących kategorii kryteriów oceny:

W sprawozdaniach dotyczących oceny według tych kryteriów należy położyć nacisk na dostarczenie informacji potrzebnych do zastosowania zalecenia Komisji oraz szablonu we wszystkich odpowiednich aplikacjach lub systemach.

14.

Komisja zamierza zapewnić sporządzanie wykazu ocen skutków w zakresie ochrony danych, przeprowadzonych w fazie testowej. Wykaz ocen skutków w zakresie ochrony danych będzie dostępny na stronie internetowej grupy zadaniowej ds. inteligentnych sieci przez całą fazę testową i będzie regularnie aktualizowany, co pomoże w ciągłym i sprawnym doskonaleniu stosowania szablonu.

15.

Przed upływem dwóch lat od opublikowania niniejszego zalecenia w Dzienniku Urzędowym Unii Europejskiej państwa członkowskie powinny przedstawić Komisji sprawozdanie z oceny, w którym znajdą się istotne wnioski wynikające z fazy testowej.

16.

W terminie dwóch lat od daty opublikowania niniejszego zalecenia w Dzienniku Urzędowym Unii Europejskiej Komisja zamierza ocenić potrzebę przeglądu szablonu oceny skutków na podstawie sprawozdań z fazy testowej dostarczonych przez państwa członkowskie i w świetle powyższych kryteriów oceny. Komisja rozważy zorganizowanie specjalnego spotkania zainteresowanych stron w celu wymiany poglądów na temat tej oceny przed przystąpieniem do przeglądu.

17.

Przegląd ten powinien pomóc w zagwarantowaniu, że szablon oceny skutków zapewni osobom fizycznym lepszą ochronę danych w kontekście wdrażania inteligentnych sieci, a także odpowiednio uwzględni przepisy zmienionej dyrektywy 95/46/WE oraz opinię nr 07/2013 Grupy Roboczej.