EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52012XX0511(01)

Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosków ustawodawczych dotyczących alternatywnych metod rozstrzygania sporów konsumenckich oraz internetowego systemu rozstrzygania sporów konsumenckich

OJ C 136, 11.5.2012, p. 1–4 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

11.5.2012   

PL

Dziennik Urzędowy Unii Europejskiej

C 136/1


Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosków ustawodawczych dotyczących alternatywnych metod rozstrzygania sporów konsumenckich oraz internetowego systemu rozstrzygania sporów konsumenckich

2012/C 136/01

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1),

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (2), w szczególności jego art. 41,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

I.   WPROWADZENIE

I.1.   Konsultacje z EIOD i cel niniejszej opinii

1.

W dniu 29 listopada 2011 r. Komisja przyjęła dwa wnioski ustawodawcze dotyczące alternatywnych metod rozstrzygania sporów (zwane dalej „wnioskami”):

wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie alternatywnych metod rozstrzygania sporów konsumenckich (zwany dalej „wnioskiem w sprawie ADR”) (3),

wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie internetowego systemu rozstrzygania sporów konsumenckich (zwany dalej „wnioskiem w sprawie ODR”) (4).

2.

W dniu 6 grudnia 2011 r. EIOD otrzymał do konsultacji wniosek w sprawie ADR i wniosek w sprawie ODR. Również przed przyjęciem tych wniosków przeprowadzono nieformalne konsultacje z EIOD, który przedstawił nieformalne uwagi. EIOD przyjmuje z zadowoleniem przeprowadzenie takich wczesnych konsultacji oraz fakt, że większość zaleceń zawartych w jego uwagach włączono do wniosków.

3.

Celem niniejszej opinii jest analiza przetwarzania danych osobowych przewidzianego we wnioskach oraz wyjaśnienie, w jaki sposób odnoszą się one do zagadnień związanych z ochroną danych osobowych. Uwaga zostanie poświęcona głównie wnioskowi w sprawie ODR, ponieważ dotyczy on zcentralizowanego przetwarzania danych osobowych związanego ze sporami przekazanymi do platformy internetowej.

I.2.   Cel wniosków

4.

Alternatywne metody rozstrzygania sporów konsumenckich (ADR) zapewniają alternatywne sposoby rozwiązywania sporów; sposoby te są zazwyczaj mniej kosztowne i szybsze niż wszczynanie procedur sądowych. Celem wniosku w sprawie ADR jest zapewnienie tego rodzaju rozwiązań we wszystkich państwach członkowskich UE, tak aby możliwe było rozstrzyganie wszelkich transgranicznych sporów konsumenckich związanych ze sprzedażą produktów lub świadczeniem usług w UE.

5.

Wniosek w sprawie ODR oparty jest na idei powszechnej dostępności w UE alternatywnych metod rozstrzygania sporów konsumenckich. Przewiduje on utworzenie platformy internetowego rozstrzygania sporów (zwanej dalej „platformą ODR”), którą konsumenci i przedsiębiorcy będą mogli wykorzystywać w celu przesyłania skarg związanych z transgranicznymi transakcjami internetowymi właściwemu podmiotowi ADR.

II.   UWAGI OGÓLNE

6.

EIOD popiera cel wniosku i z zadowoleniem przyjmuje fakt, że zasady ochrony danych osobowych zostały uwzględnione od najwcześniejszego etapu procesu opracowywania przepisów.

7.

EIOD przyjmuje również z zadowoleniem odniesienia do stosowania przepisów dotyczących ochrony danych we wniosku w sprawie ODR (5) oraz odniesienia do stosowania krajowych przepisów wdrażających dyrektywę 95/46/WE w kontekście wniosku w sprawie ADR (6), jak również odniesienia do konsultacji z EIOD (7).

III.   UWAGI SZCZEGÓŁOWE

III.1.   Rola administratorów danych: konieczność jasnego wskazania obszarów odpowiedzialności

8.

Zgodnie z wnioskiem w sprawie ODR w kontekście każdego sporu przekazanego za pośrednictwem platformy ODR dane będą przetwarzane przez trzy rodzaje podmiotów:

podmioty ADR,

doradców ds. ODR, którzy będą zapewniać wsparcie w procesie rozstrzygania sporów przekazywanych poprzez platformę ODR (8),

Komisję.

W art. 11 ust. 4 stwierdzono, że każdy z tych podmiotów należy uważać za administratora danych w odniesieniu do czynności przetwarzania danych osobowych związanych z jego obowiązkami.

9.

Wielu z tych administratorów można jednakże uznać za odpowiedzialnych za przetwarzanie tych samych danych osobowych (9). Przykładowo, dane związane z konkretnym sporem, przesłane poprzez platformę ODR, mogą być badane przez kilku zajmujących się danym sporem doradców ds. ODR oraz przez właściwy dla tego sporu system ADR. Komisja może również przetwarzać te dane osobowe w celu prowadzenia i obsługiwania platformy ODR.

10.

W tym kontekście EIOD przyjmuje z zadowoleniem fakt, że w motywie 20 wniosku w sprawie ODR wskazano, że przepisy dotyczące ochrony danych mają zastosowanie do wszystkich tych podmiotów. Jednakże w części ustawodawczej wniosku należy sprecyzować co najmniej, do którego administratora danych osoby, których dane dotyczą powinny kierować swoje wnioski o dostęp, poprawienie, blokowanie i usuwanie danych, a także który administrator zostanie pociągnięty do odpowiedzialności w przypadku konkretnych naruszeń przepisów dotyczących ochrony danych (na przykład naruszenia bezpieczeństwa). Odpowiednie informacje powinny również zostać przedstawione osobom, których dane dotyczą.

III.2.   Ograniczenie dostępu i okres zatrzymania

11.

Zgodnie z art. 11 wniosku w sprawie ODR dostęp do danych osobowych przetwarzanych przez platformę ODR jest ograniczony do:

podmiotu ADR właściwego do celów rozstrzygnięcia sporu,

doradców ds. ODR zapewniających wsparcie przy rozstrzyganiu sporu (np. w celu ułatwienia komunikacji pomiędzy stronami a właściwym podmiotem ADR lub, aby poinformować konsumentów o sposobach dochodzenia roszczeń poza platformą ODR),

Komisji, jeśli jest to niezbędne do prowadzenia i obsługiwania platformy ODR, w tym w celu monitorowania stosowania platformy przez podmioty ADR i doradców ds. ODR (10).

12.

EIOD przyjmuje z zadowoleniem powyższe zastosowanie zasady celowości i ograniczenie praw dostępu. Nie jest jednakże jasne, czy wszyscy doradcy ds. ODR (co najmniej 54) będą mieli dostęp do danych osobowych związanych ze wszystkimi sporami. EIOD zaleca doprecyzowanie, że każdy doradca ds. ODR będzie miał dostęp wyłącznie do danych niezbędnych do wypełnienia swoich obowiązków wynikających z art. 6 ust. 2.

13.

W odniesieniu do okresu zatrzymania EIOD przyjmuje z zadowoleniem art. 11 ust. 3, który umożliwia przechowywanie danych osobowych jedynie przez czas konieczny do rozstrzygnięcia sporu oraz realizację prawa osoby, której dane dotyczą, do dostępu do danych. Przyjmuje również z zadowoleniem obowiązek automatycznego usunięcia danych po 6 miesiącach od daty zakończenia sporu.

III.3.   Przetwarzanie specjalnych kategorii danych: możliwa potrzeba kontroli wstępnej

14.

Przy uwzględnieniu celu wniosków możliwe jest przetwarzanie danych osobowych związanych z konkretnymi naruszeniami. Możliwe jest również przetwarzanie danych dotyczących zdrowia w przypadku sporów związanych ze sprzedażą towarów i świadczeniem usług związanych ze zdrowiem.

15.

Przetwarzanie danych osobowych w ramach platformy ODR może zatem podlegać kontroli wstępnej dokonywanej przez krajowe organy ochrony danych oraz przez EIOD zgodnie z wymogami art. 27 rozporządzenia (WE) nr 45/2001 oraz art. 20 dyrektywy 95/46/WE (11). EIOD przyjmuje, że Komisja jest świadoma, że przed uruchomieniem platformy ODR konieczne jest stwierdzenie, czy przetwarzanie powinno podlegać kontroli wstępnej.

III.4.   Należy przeprowadzić konsultacje z EIOD w sprawie aktów delegowanych i wykonawczych związanych z formularzem skargi

16.

Informacje podawane w elektronicznym formularzu skargi (zwanym dalej „formularzem”) wyszczególnione zostały w załączniku do wniosku w sprawie ODR. Obejmują one dane osobowe stron (imię i nazwisko lub nazwę, adres oraz w stosownych przypadkach adres e-mail i stronę internetową) oraz dane mające na celu ustalenie, który podmiot ADR jest właściwy do zajęcia się danym sporem (miejsce zamieszkania konsumenta w momencie zamówienia towarów lub usług, rodzaje towarów lub usług itp.).

17.

EIOD przyjmuje z zadowoleniem art. 7 ust. 6, w którym przypomina się, że w formularzu i załącznikach do niego mogą być przetwarzane tylko te dane, które są dokładne i istotne i nie są zbędne. Lista danych zawartych w załączniku musi również być zgodna z zasadą celowości.

18.

Ta lista może być jednak zmieniana w drodze aktów delegowanych, a zmiany wprowadzane w formularzu będą regulowane w drodze aktów wykonawczych (12). EIOD zaleca dodanie odniesienia do obowiązku przeprowadzenia konsultacji z EIOD jeśli akty te będą dotyczyć przetwarzania danych osobowych.

III.5.   Środki bezpieczeństwa: konieczność przeprowadzenia oceny wpływu na prywatność

19.

EIOD przyjmuje z zadowoleniem przepisy dotyczące poufności i bezpieczeństwa. Środki bezpieczeństwa wyszczególnione w art. 12 wniosku w sprawie ODR obejmują kontrolę dostępu, plan bezpieczeństwa i zarządzanie zdarzeniami związanymi z bezpieczeństwem.

20.

EIOD zaleca również dodanie odniesienia do konieczności przeprowadzenia oceny wpływu na prywatność (w tym oceny ryzyka) oraz odniesienia do konieczności regularnego prowadzenia kontroli i sporządzania sprawozdań na temat zgodności z przepisami dotyczącymi ochrony danych.

21.

Dodatkowo EIOD pragnie przypomnieć, że przy tworzeniu narzędzi technologii informacyjnej przeznaczonych do stworzenia platformy ODR należy od bardzo wczesnych etapów uwzględnić ochronę prywatności i danych (koncepcja „privacy-by-design”), w tym stosować narzędzia umożliwiające użytkownikom lepsze chronienie danych osobowych (na przykład zatwierdzanie i kodowanie).

III.6.   Informacje dla osób, których dotyczą dane

22.

EIOD przyjmuje z zadowoleniem motyw 21 wniosku w sprawie ODR, w którym stwierdza się, że osoby, których dane dotyczą, powinny być informowane o przetwarzaniu ich danych osobowych oraz o ich prawach poprzez dostępną publicznie informację o polityce prywatności. Jednakże obowiązek informowania osób, których dane dotyczą, powinien być również zawarty w części legislacyjnej wniosku w sprawie ODR.

23.

Dodatkowo osoby, których dane dotyczą, powinny być również informowane o tym, który administrator danych jest odpowiedzialny za realizację ich praw. Informacja o polityce prywatności powinna być wyraźnie widoczna dla wszystkich osób wypełniających formularz.

IV.   WNIOSKI

24.

EIOD przyjmuje z zadowoleniem fakt, że zasady ochrony danych osobowych zostały włączone do tekstu dokumentu, w szczególności w odniesieniu do zasady celowości, ograniczenia dostępu, ograniczenia okresu zatrzymania i środków bezpieczeństwa. Zaleca on jednakże:

sprecyzowanie obowiązków administratorów danych i odpowiednie informowanie osób, których dane dotyczą,

wyjaśnienie ograniczenia praw dostępu do danych,

uzupełnienie przepisów dotyczących bezpieczeństwa,

wzmiankę o konieczności skonsultowania się z EIOD w sprawie aktów delegowanych i aktów wykonawczych związanych z przetwarzaniem danych osobowych.

25.

EIOD pragnie również przypomnieć, że przetwarzanie danych osobowych w ramach platformy ODR może podlegać kontroli wstępnej dokonywanej przez EIOD oraz przez krajowe organy ochrony danych.

Sporządzono w Brukseli dnia 12 stycznia 2012 r.

Giovanni BUTTARELLI

Zastępca Europejskiego Inspektora Ochrony Danych


(1)  Dz.U. L 281 z 23.11.1995, s. 31.

(2)  Dz.U. L 8 z 12.1.2001, s. 1.

(3)  COM(2011) 793 wersja ostateczna.

(4)  COM(2011) 794 wersja ostateczna.

(5)  Motyw 20 i 21 oraz art. 11 ust. 4 wniosku w sprawie ODR.

(6)  Motyw 16 wniosku w sprawie ADR.

(7)  Preambuły i uzasadnienia wniosków.

(8)  Każde państwo członkowskie będzie musiało wskazać jeden punkt kontaktowy na potrzeby ODR, który będzie siedzibą co najmniej dwóch doradców ds. ODR. Komisja stworzy sieć punktów kontaktowych ODR.

(9)  Zob. opinia nr 1/2010 Grupy Roboczej ds. Ochrony Danych powołanej na mocy art. 29 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta w dniu 16 lutego 2010 r. (WP 169), s. 17–24, dostępna pod adresem: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_pl.pdf

(10)  Zob. art. 11 ust. 2 wniosku w sprawie ODR.

(11)  Artykuł 27 rozporządzenia (WE) nr 45/2001 zawiera wymóg, by przetwarzanie „danych odnoszących się do zdrowia i dotyczących podejrzeń o popełnienie przestępstwa, przestępstw, wyroków karnych lub środków bezpieczeństwa” podlegało kontroli wstępnej EIOD. Zgodnie z art. 20 ust. 1 dyrektywy 95/46/WE kontroli wstępnej organu ochrony danych podlegają operacje przetwarzania mogące stwarzać określone zagrożenia związane z ochroną danych, zgodnie z krajowymi przepisami dotyczącymi ochrony danych.

(12)  Motywy 23–24 oraz art. 7 ust. 4–5 wniosku w sprawie ODR.


Top