30.6.2012 |
PL |
Dziennik Urzędowy Unii Europejskiej |
C 192/7 |
Streszczenie opinii EIOD z dnia 7 marca 2012 r. w sprawie pakietu dotyczącego reform w zakresie ochrony danych
(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: http://www.edps.europa.eu)
2012/C 192/05
W dniu 25 stycznia 2012 r. Komisja przyjęła pakiet dotyczący reformy unijnych przepisów w zakresie ochrony danych, w tym wniosek dotyczący rozporządzenia określającego ogólne zasady ochrony danych oraz wniosek dotyczący dyrektywy w sprawie ochrony danych w sektorze organów ścigania.
W dniu 7 marca 2012 r. Europejski Inspektor Ochrony Danych (EIOD) wydał opinię zawierającą szczegółowy komentarz do obydwu wniosków ustawodawczych. Pełny tekst opinii dostępny jest na stronie internetowej EIOD. http://www.edps.europa.eu
W swojej opinii EIOD nakreśla w sposób skrótowy kontekst wniosków oraz przedstawia ich ogólną ocenę.
Inspektor z uznaniem przyjmuje proponowane rozporządzenie jako wielki krok naprzód w obszarze ochrony danych w Europie. Zaproponowane przepisy wzmocnią prawa osób fizycznych i zwiększą odpowiedzialność administratorów danych za sposób postępowania z danymi osobowymi. Ponadto skutecznie wzmacnia się rolę i zakres uprawnień krajowych organów nadzorczych (działających samodzielnie i wspólnie).
Ze szczególnym zadowoleniem EIOD przyjmuje fakt, iż rozporządzenie zostało zaproponowane jako instrument określający ogólne przepisy dotyczące ochrony danych. Proponowane rozporządzenie byłoby stosowane w państwach członkowskich bezpośrednio i eliminowałoby wiele zawiłości i niekonsekwencji wynikających ze zróżnicowania obowiązujących obecnie przepisów wykonawczych państw członkowskich.
Inspektor wyraża jednak poważne rozczarowanie proponowaną dyrektywą dotyczącą ochrony danych w obszarze organów ścigania. Inspektor z przykrością odnotowuje fakt, iż Komisja postanowiła uregulować przedmiotową kwestię przy pomocy odrębnego instrumentu prawnego, który nie zapewnia wystarczającego poziomu ochrony i znacznie ustępuje pod tym względem proponowanemu rozporządzeniu.
Pozytywnym aspektem proponowanej dyrektywy jest włączenie do jej zakresu przetwarzania ramowego, przez co staje się on szerszy niż w przypadku obecnej decyzji ramowej. Usprawnienie takie będzie jednak posiadało wartość dodaną wyłącznie wówczas, gdy dyrektywa spowoduje znaczne podniesienie poziomu ochrony danych w przedmiotowym obszarze, co w obecnym przypadku nie ma miejsca.
Głównym słabym punktem całego pakietu jest fakt, iż nie eliminuje on braku wszechstronności unijnych przepisów dotyczących ochrony danych. Pozostaje on bez wpływu na unijne instrumenty ochrony danych, np. na przepisy dotyczące ochrony danych przez instytucje i organy unijne, a także na szczegółowe instrumenty przyjęte w obszarze współpracy policyjnej i wymiarów sprawiedliwości w sprawach karnych, np. na decyzję z Prüm oraz na przepisy dotyczące Europolu i Eurojustu. Ponadto proponowane instrumenty w ujęciu łącznym nie regulują w pełni faktycznych okoliczności objętych zakresem obydwu obszarów polityki, takich jak wykorzystanie danych PNR lub danych telekomunikacyjnych na potrzeby organów ścigania.
W przypadku proponowanego rozporządzenia jednym z problemów horyzontalnych jest relacja pomiędzy przepisami unijnymi i krajowymi. Proponowane rozporządzenie stanowi znaczny postęp w kierunku stworzenia jednolitego prawa dla całej UE, choć przestrzeń koegzystencji i interakcji prawa unijnego i krajowego jest wciąż szersza, niż można by sądzić na pierwszy rzut oka. Inspektor wyraża pogląd, iż ustawodawca powinien w większym stopniu uwzględnić ten problem.
Druga istotna kwestia ogólna wiąże się z obecnością licznych przepisów uprawniających Komisję do przyjmowania aktów delegowanych i wykonawczych. Zakładając, że podejście takie ma służyć konsekwentnemu stosowaniu rozporządzenia, EIOD przyjmuje je z uznaniem, wyrażając jednak zastrzeżenia co do stopnia, w jakim istotne przepisy prawne pozostawiono w sferze uprawnień delegowanych. Niektóre z takich uprawnień należy zrewidować.
Na poziomie szczegółowym EIOD wskazuje na główne pozytywne aspekty proponowanego rozporządzenia, tj.:
— |
doprecyzowanie zakresu stosowania proponowanego rozporządzenia, |
— |
podniesienie wymogów dotyczących przejrzystości w stosunku do podmiotów danych oraz wzmocnienie prawa sprzeciwu, |
— |
wprowadzenie ogólnego wymogu zapewnienia przez administratorów zgodności z przepisami rozporządzenia oraz zdolności do jej udokumentowania, |
— |
wzmocnienie pozycji i roli krajowych organów nadzorczych, |
— |
ogólne ramy mechanizmu spójności. |
Główne negatywne aspekty proponowanego rozporządzenia to:
— |
nowa podstawa dla wyjątków od zasady celowości, |
— |
możliwości ograniczenia podstawowych zasad i praw, |
— |
wymóg prowadzenia przez administratorów dokumentacji wszystkich operacji przetwarzania, |
— |
przekazywanie danych do państw trzecich na zasadzie odstępstwa, |
— |
rola Komisji w mechanizmie spójności, |
— |
obligatoryjny charakter nakładania sankcji administracyjnych. |
W odniesieniu do dyrektywy EIOD wyraża pogląd, iż przedmiotowy wniosek pod wieloma względami nie spełnia wymogu spójnego i wysokiego poziomu ochrony danych. Pozostaje on bez wpływu na wszystkie istniejące instrumenty w tym obszarze, a w wielu przypadkach nie ma żadnego uzasadnienia dla odejścia od przepisów w brzmieniu przedstawionym w proponowanym rozporządzeniu.
Inspektor pragnie podkreślić, że choć obszar organów ścigania wymaga pewnych szczególnych przepisów, to każde odejście od ogólnych przepisów dotyczących ochrony danych wymaga należytego uzasadnienia w oparciu o właściwe zrównoważenie leżącego w interesie publicznym egzekwowania prawa i praw podstawowych obywateli.
Niepokój EIOD budzi przede wszystkim:
— |
brak przejrzystego sformułowania zasady celowości, |
— |
brak jakiegokolwiek wymogu zdolności właściwych organów do udokumentowania zgodności z dyrektywą, |
— |
słabe warunki dotyczące przesyłu do państw trzecich, |
— |
nieuzasadnione ograniczenie uprawnień organów nadzorczych. |
Zaleca się, co następuje:
Zalecenia dotyczące całego procesu reformy
— |
Jak najszybsze podanie do wiadomości publicznej harmonogramu drugiego etapu procesu reformy, |
— |
włączenie do proponowanego rozporządzenia przepisów dotyczących instytucji i organów unijnych lub przynajmniej uzgodnienie przepisów przed rozpoczęciem stosowania proponowanego rozporządzenia, |
— |
jak najszybsze przedstawienie wniosku dotyczącego wspólnych przepisów w zakresie wspólnej polityki zagranicznej i bezpieczeństwa w oparciu o art. 39 Traktatu UE. |
Zalecenia dotyczące proponowanego rozporządzenia
Kwestie horyzontalne
— |
Dodanie przepisu doprecyzowującego zakres terytorialny stosowania prawa krajowego w ramach rozporządzenia, |
— |
zrewidowanie delegacji kompetencji w art. 31 ust. 5 i ust. 6, art. 32 ust. 5 i ust. 6, art. 33 ust. 6 i ust. 7, art. 34 ust. 2 lit. a) i art. 44 ust. 1 lit. d) i ust. 7, |
— |
określenie odpowiednich i szczegółowych środków dotyczących MŚP wyłącznie w wybranych aktach wykonawczych zamiast w aktach delegowanych w art. 8 ust. 3, art. 14 ust. 7, art. 22 ust. 4 i art. 33 ust. 6, |
— |
uściślenie pojęcia „interesu publicznego” w każdym przepisie, w którym się ono pojawia. W każdym odnośnym przepisie wniosku należy wyraźnie określić szczególny interes publiczny w związku z kontekstem przewidzianego przetwarzania (zob. szczególnie motyw 87, art. 17 ust. 5, art. 44 ust. 1 lit. d) oraz art. 81 ust. 1 lit. b) i c)). W ramach wymogów dodatkowych można by zastrzec, iż podstawa taka może być stosowana jedynie w wyjątkowo nagłych sytuacjach lub z nadrzędnych względów ustawowych. |
Rozdział I – Przepisy ogólne
— |
Artykuł 2 ust. 2 lit. d): wprowadzenie kryterium rozróżniania działań publicznych i domowych ze względu na nieograniczoną liczbę osób fizycznych, które mogą mieć dostęp do informacji, |
— |
Artykuł 2 ust. 2 lit. e): wskazanie, że wyjątek dotyczy właściwych organów publicznych. Motyw 16 powinien zostać uzgodniony z art. 2 ust. 2 lit. e), |
— |
Artykuł 4 ust. 1 pkt 2: dodanie bardziej przejrzystego wyjaśnienia w jednym z motywów, ze wskazaniem na fakt, że wystąpienie biskiego związku pomiędzy identyfikatorem a osobą powoduje zastosowanie zasad ochrony danych, |
— |
Artykuł 4 ust. 13: udoskonalenie kryteriów ustalania głównej siedziby zainteresowanego administratora, przy uwzględnieniu „dominującego wpływu” jednego zakładu na inne, w ścisłym powiązaniu z uprawnieniami do wdrażania przepisów dotyczących ochrony danych osobowych lub przepisów istotnych z punktu widzenia ochrony danych. Definicja może ewentualnie koncentrować się na głównej siedzibie grupy traktowanej jako całość, |
— |
Dodanie nowych definicji „przekazywania” i „ograniczenia przetwarzania”. |
Rozdział II – Główne zasady
— |
Artykuł 6: dodanie motywu w celu doprecyzowania, co wchodzi w zakres zadania realizowanego „w interesie publicznym lub wykonania władzy publicznej” w art. 6 ust. 1 lit. e), |
— |
Artykuł 6 ust. 4: wykreślenie przepisu lub, w ostateczności, ograniczenie go do niezgodnego z celem dalszego przetwarzania danych na podstawie art. 6 ust. 1 lit. a) i art. 6 ust. 1 lit. d). Wymagałoby to również zmiany motywu 40, |
— |
dodanie nowego przepisu dotyczącego reprezentacji wszystkich osób fizycznych nieposiadających wystarczającej zdolności (prawnej) lub z innych względów niezdolnych do działania, |
— |
Artykuł 9: uwzględnienie przestępstw i spraw, które nie zakończyły się wyrokiem skazującym w związku ze szczególnymi kategoriami danych. Rozszerzenie wymogu kontroli władz publicznych na wszystkie przesłanki opisane w art. 9 ust. 2 lit. j), |
— |
Artykuł 10: doprecyzowanie w motywie 45, że administrator danych nie powinien mieć możliwości powołania się na ewentualny brak informacji w celu odrzucenia wniosku o dostęp w sytuacji, kiedy informacje takie mogą zostać udzielone przez podmiot danych, aby umożliwić taki dostęp. |
Rozdział III – Prawa podmiotu danych
— |
Artykuł 14: dodanie informacji na temat istnienia pewnych operacji przetwarzania mających szczególny wpływ na osoby fizyczne oraz na temat konsekwencji takiego przetwarzania dla osób fizycznych, |
— |
Artykuł 17: dopracowanie przepisów w celu zapewnienia ich skuteczności w praktyce. Wykreślenie art. 17 ust. 3 lit. d), |
— |
Artykuł 18: doprecyzowanie, że wykonanie prawa pozostaje bez uszczerbku dla wynikającego z art. 5 lit. e) obowiązku usuwania danych, kiedy przestają być one potrzebne. Wykluczenie w art. 18 ust. 2 ograniczenia wyłącznie do danych przekazanych przez podmiot danych w oparciu o zgodę lub umowę, |
— |
Artykuł 19: uściślenie, jakie działania powinien podjąć administrator w przypadku braku porozumienia z podmiotem danych oraz uzgodnienie przepisów z brzmieniem art. 17 ust. 1 lit. c). Wyjaśnienie w jednym z motywów, co może kwalifikować się jako „ważne i uzasadnione podstawy”, |
— |
Artykuł 20: uwzględnienie prawa osób fizycznych do przedstawienia swojego punktu widzenia w art. 20 ust. 2 lit. a), podobnie jak w obecnym art. 15 dyrektywy 95/46/WE, |
— |
Artykuł 21: wprowadzenie szczegółowych gwarancji, zgodnie z którymi prawo krajowe powinno określać główne cele przetwarzania, kategorie przetwarzanych danych osobowe, szczegółowe cele i środki przetwarzania, administratora danych, kategorie osób uprawnionych do przetwarzania danych, wymaganą procedurę przetwarzania oraz gwarancje zapobiegające arbitralnej ingerencji organów publicznych. Uwzględnienie, w charakterze dodatkowych gwarancji, mechanizmu informowania podmotów danych o danym ograniczeniu oraz o przysługującym im prawie do przekazania sprawy organowi nadzorczemu w celu uzyskania dostępu pośredniego. Dodanie w art. 21 przepisu, zgodnie z którym możliwość stosowania ograniczeń przetwarzania przez administratorów prywatnych na potrzeby organów ścigania nie powinna zmuszać ich do zatrzymywania danych, które nie są bezwzględnie konieczne z punktu widzenia pierwotnego celu, ani do zmiany własnej architektury informatycznej. Usunięcie przesłanki określonej w art. 21 ust. 1 lit. e). |
Rozdział IV – Administrator danych i podmiot przetwarzający
— |
Artykuł 22: wyraźne odwołanie się do zasady rozliczalności, przynajmniej w motywie 60. Połączenie ust. 1 i ust. 3 w art. 22 oraz wyraźne wskazanie, iż środki powinny być odpowiednie i skuteczne. Dodanie ogólnego przepisu poprzedzającego szczegółowe obowiązki określone w art. 22 ust. 2, w którym omówione zostanie pojęcie „kontroli zarządczej”, w tym przydział zakresu obowiązków, szkolenie personelu oraz odpowiednie instrukcje i wymóg posiadania przez administratora przynajmniej przeglądu i ogólnego wykazu operacji przetwarzania wchodzących w zakres jego obowiązków. Dodanie nowego akapitu określającego wymóg przedstawienia opisu polityki i środków, o których mowa w art. 22 ust. 1, w ramach regularnych sprawozdań z prowadzonych działań publikowanych przez administratora w przypadku, gdy podejmie decyzję o takiej publikacji lub gdy jest do niej zobligowany, |
— |
Artykuł 23: wskazanie w art. 23 ust. 2 i motywie 61, iż podmiotom danych należy co do zasady pozostawić wybór w kwestii zezwolenia na wykorzystanie ich danych osobowych w szerszy sposób, |
— |
Artykuł 25 ust. 2 lit. a): wykreślenie wyjątku dotyczącego odpowiednich państw trzecich, |
— |
Artykuł 26: dodanie przepisu zobowiązującego podmiot przetwarzający do przyjęcia zasady uwzględnienia ochrony danych już w fazie projektowania zgodnie z listą specyfikacji w art. 26 ust. 2, |
— |
Artykuł 28: zrewidowanie lub wykreślenie wyjątków określonych w art. 28 ust. 4, |
— |
Artykuł 30: doprecyzowanie art. 30 w celu zapewnienia ogólnej odpowiedzialności administratora i dodanie przepisu zobowiązującego administratora do przyjęcia podejścia zarządzania bezpieczeństwem informacji w ramach organizacji, w tym, zależnie od potrzeby, do wdrożenia polityki bezpieczeństwa informacji stosownie do charakteru prowadzonego przetwarzania danych. Dodanie w art. 30 wyraźnego odniesienia do oceny skutków w zakresie ochrony danych, |
— |
Artykuł 31 i 32: określenie kryteriów i wymogów dotyczących ustalania przypadku naruszenia ochrony danych oraz okoliczności, w jakich należy je zgłosić. Zmiana określonego w art. 31 terminu 24 godzin na termin nieprzekraczający 72 godzin, |
— |
Artykuł 33: wykaz operacji przetwarzania w art. 33 ust. 2 lit. b), c) i d) nie powinien ograniczać się do przetwarzania wielkoskalowego. Uzgodnienie art. 33 ust. 5 z motywem 73. Ograniczenie art. 33 ust. 6 do elementów innych niż zasadnicze. Doprecyzowanie, że rozmiar przedsiębiorstwa w żadnym przypadku nie powinien decydować o zniesieniu obowiązku przeprowadzania oceny skutków w zakresie ochrony danych w związku z operacjami przetwarzania, które stwarzają określone ryzyko, |
— |
Artykuł 34: przeniesienie art. 34 ust. 1 do rozdziału V proponowanego rozporządzenia, |
— |
Artykuł 35–37: obniżenie określonego w art. 35 ust. 1 progu 250 pracowników oraz doprecyzowanie zakresu art. 35 ust. 1 lit. c). Dodanie gwarancji, w szczególności silniejszych warunków odwołania inspektora ochrony danych oraz określenie w art. 36 ust. 1 wymogu udostępnienia inspektorowi ochrony danych wszelkich istotnych informacji i pomieszczeń koniecznych do wykonywania powierzonych mu obowiązków. Wskazanie w art. 37 ust. 1 lit. a) roli inspektora ochrony danych w kwestii podnoszenia świadomości. |
Rozdział V – Przekazywanie do państw trzecich
— |
Wskazanie w motywie 79, że brak zastosowania rozporządzenia w odniesieniu do umów międzynarodowych jest ograniczony w czasie wyłącznie do już istniejących umów międzynarodowych. |
— |
dodanie klauzuli przejściowej, zgodnie z którą w określonym terminie odbędzie się przegląd takich umów międzynarodowych w celu ich uzgodnienia z rozporządzeniem, |
— |
Artykuł 41 (i motyw 82): doprecyzowanie, że w przypadku decyzji stwierdzającej brak odpowiedniego poziomu ochrony przekazywanie danych powinno być dopuszczalne wyłącznie na podstawie odpowiednich gwarancji lub gdy przetwarzanie takie objęte jest zakresem odstępstw, o których mowa w art. 44, |
— |
Artykuł 42: Wprowadzenie wymogu jednoznacznego uzasadnienia możliwości wykorzystania niewiążących prawnie instrumentów w celu zapewnienia odpowiednich gwarancji oraz ograniczenie takiej możliwości wyłącznie do przypadków, gdzie wykazano konieczność użycia takich instrumentów, |
— |
Artykuł 44 (i motyw 87): Wskazanie, iż możliwość przekazywania danych powinna dotyczyć wyłącznie przekazywania okazjonalnego, i powinna opierać się na starannej ocenie wszystkich okoliczności przekazania przeprowadzanej indywidualnie dla każdego przypadku. Zastąpienie lub doprecyzowanie odniesienia do „odpowiednich gwarancji” w art. 44 ust. 1 lit. h) i art. 44 ust. 3, |
— |
motyw 90: przekształcenie motywu w przepis prawa materialnego. Określenie odpowiednich gwarancji dla takich przypadków, w tym gwarancji sądowych oraz gwarancji z zakresu ochrony danych. |
Rozdział VI i rozdział VII – Niezależne organy nadzorcze, współpraca i zgodność
— |
Artykuł 48: uwzględnienie roli parlamentów krajowych w procedurze powoływania członków organów nadzorczych, |
— |
Artykuł 52 ust. 1: uwzględnienie obowiązku sporządzania wytycznych w sprawie wykorzystania różnych uprawnień egzekucyjnych, koordynowanych zależnie od potrzeby na poziomie unijnym przez Radę. Przepis taki mógłby również zostać wprowadzony w art. 66, |
— |
Artykuł 58: zastąpienie słowa „niezwłocznie” w art. 58 ust. 6 sformułowaniem „bez zwłoki” i wydłużenie terminu jednego miesiąca, o którym mowa w art. 58 ust. 7, do dwóch miesięcy/ośmiu tygodni, |
— |
Artykuł 58: położenie większego nacisku na zasadę większości poprzez określenie, iż wniosek jednego organu może zostać poddany pod głosowanie w przypadku, gdy dana sprawa nie dotyczy jednego z głównych środków opisanych w art. 58 ust. 2, |
— |
Artykuł 59 i 60: ograniczenie uprawnień Komisji poprzez wykreślenie możliwości uchylenia decyzji krajowego organu nadzorczego w danej sprawie poprzez przyjęcie aktu wykonawczego. Wskazanie, iż rola Komisji w fazie początkowej polega na zainicjowaniu przejęcia uprawnień Rady w sposób przewidziany w art. 58 ust. 4, zaś w fazie kolejnej na możliwości wydawania opinii. Dodanie odniesienia do dalszego postępowania przed Trybunałem Sprawiedliwości w kontekście procedury w sprawie naruszenia lub wniosku o decyzje tymczasowe, takie jak wniosek o zawieszenie wykonania, |
— |
Artykuł 66: dodanie przepisu, zgodnie z którym oceny odpowiedniego poziomu ochrony są konsultowane z Radą, |
— |
zrewidowanie obecnej oceny skutków sekretariatu Europejskiej Rady Ochrony Danych pod kątem zasobów finansowych i ludzkich (zob. załącznik do niniejszej opinii dostępny na stronie internetowej EIOD). |
Rozdział VIII – Środki ochrony prawnej, odpowiedzialność i sankcje
— |
Artykuł 73 i 76: doprecyzowanie mandatu, który organizacje muszą otrzymać od podmiotów danych, oraz wymaganego poziomu sformalizowania. Rozszerzenie przepisów dotyczących działań zbiorowych, |
— |
Artykuł 74 ust. 4: ograniczenie sposobu w jaki decyzja może „dotyczyć” podmiotu danych, z zawężeniem do bardziej precyzyjnego ryzyka skutków dla praw podmotów danych, |
— |
Artykuł 75 ust. 2: wskazanie, że odstępstwo nie dotyczy organu publicznego państwa trzeciego, |
— |
Artykuł 76 ust. 3 i ust. 4: określenie bardziej systematycznej procedury informowania na poziomie sądów, |
— |
doprecyzowanie kwestii interakcji z rozporządzeniem Bruksela I, |
— |
doprecyzowanie kwestii zgodności wykorzystania informacji otrzymanych od administratora (na podstawie art. 53) z ogólnym prawem do wolności od samooskarżenia, |
— |
Artykuł 77: dodanie przepisu, zgodnie z którym podmiot danych powinien zawsze mieć możliwość wystąpienia do administratora danych o wynagrodzenie szkody, niezależnie od tego, gdzie i jak doszło do jej powstania. Wprowadzenie kolejnego wynagrodzenia szkody w relacji pomiędzy administratorem danych a podmiotem przetwarzającym po ustaleniu podziału odpowiedzialności pomiędzy nimi. Dodanie przepisu, zgodnie z którym ma to zastosowanie również do odszkodowania z tytułu szkód niematerialnych lub szkody w postaci poczucia dyskomfortu, |
— |
wprowadzenie przepisu wykorzystującego pojęcie jednego podmiotu gospodarczego lub jednej jednostki gospodarczej, aby umożliwić obarczenie odpowiedzialnością grupy kapitałowej za naruszenie dokonane przez jedną z jej jednostek zależnych, |
— |
Artykuł 79: wprowadzenie zakresu uznania organów nadzorczych w kwestii sankcji administracyjnych. Dodanie specyfikacji wskazujących okoliczności, w których nakładana jest sankcja administracyjna. Wskazanie, iż niezastosowanie się do danego postanowienia organu nadzorczego w normalnym przypadku podlega wyższej sankcji administracyjnej niż pojedyncze naruszenie tego samego przepisu ogólnego. |
Rozdział IX – Szczególne sytuacje związane z przetwarzaniem danych
— |
Artykuł 80: przeformułowanie art. 80 i wskazanie, że państwa członkowskie stanowią przepisy przewidujące wyłączenia lub odstępstwa od wymienionych przepisów rozporządzenia, jeśli jest to niezbędne, aby pogodzić prawo do ochrony danych z prawem do wolności wypowiedzi. Dodanie, w przepisie prawa materialnego lub w motywie, że godzenie tych dwóch praw podstawowych nie powinno odbywać się ze szkodą dla istoty obydwu praw, |
— |
dodanie przepisu prawa materialnego dotyczącego publicznego dostępu do dokumentów, stanowiącego, iż dane osobowe zawarte w dokumentach będących w posiadaniu organów i podmiotów publicznych mogą być ujawniane publicznie wyłącznie takie działanie 1) jest dopuszczalne w świetle prawa unijnego lub krajowego; 2) jest niezbędne w celu pogodzenia prawa do ochrony danych z prawem do publicznego dostępu do dokumentów urzędowych oraz 3) w sprawiedliwy sposób równoważy różne zaangażowane interesy, |
— |
zastąpienie występującego w art. 81, 82, 83 i 84 sformułowania „w granicach niniejszego rozporządzenia” sformułowaniem „bez uszczerbku dla przepisów niniejszego rozporządzenia”, |
— |
Artykuł 81: Uzgodnienie art. 81 ust. 1 pkt 3 i art. 9 ust. 3 oraz doprecyzowanie zakresu i charakteru art. 81. Należy przedstawić dodatkowe wskazówki dotyczące wymogu uzyskania zgody, ustalenia zakresu obowiązków oraz wymogów bezpieczeństwa, |
— |
Artykuł 83: dodanie dodatkowych gwarancji w przypadku przetwarzania szczególnych kategorii danych. Doprecyzowanie w art. 83 ust. 1, że punktem wyjścia dla przetwarzania do celów badań naukowych powinno być wykorzystanie danych zanonimizowanych. Doprecyzowanie znaczenia słowa „oddzielnie” i zadbanie o to, by oddzielne przechowywanie zapewniało faktyczną ochronę podmiotów danych. Zastąpienie w art. 83 ust. 1 lit. b) odniesienia do „dan[ych] umożliwiając[ych] przypisanie informacji do zidentyfikowanego podmiotu danych lub do zidentyfikowania” odniesieniem do „danych umożliwiających odniesienie pewnych informacji do podmiotu danych”. Wykluczenie ograniczenia praw osób fizycznych przy pomocy aktów delegowanych. |
Zalecenia dotyczące proponowanej dyrektywy
Kwestie horyzontalne
— |
Artykuł 59: zmiany w poszczególnych aktach dotyczących współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych należy wprowadzić najpóźniej w chwili wejścia w życie proponowanej dyrektywy, |
— |
dodanie nowego przepisu wprowadzającego mechanizm oceny, w ramach którego przeprowadzane będą regularne, oparte na dowodach oceny operacji przetwarzania o określonej skali w celu ustalenia, czy faktycznie stanowią one konieczny i proporcjonalny środek służący przeciwdziałaniu przestępstwom, wykrywaniu ich, prowadzeniu dochodzeń w ich sprawie oraz ich ściganiu, |
— |
dodanie nowego przepisu określającego dopuszczalność przekazywania danych osobowych przez organy ścigania innym organom publicznym lub podmiotom prywatnym wyłącznie na szczególnych i ściśle określonych warunkach, |
— |
dodanie nowego przepisu dotyczącego szczególnych gwarancji w związku z przetwarzaniem danych dzieci. |
Rozdział I i rozdział II – Przepisy ogólne i zasady
— |
Artykuł 3 ust. 4: dalsze uzasadnienie zgodnie z art. 17 ust. 5 proponowanego rozporządzenia, |
— |
Artykuł 4 lit. b): dodanie wyjaśnienia w motywie, zgodnie z którym termin „wykorzystywanie zgodnie z prawem” należy interpretować w sposób zawężający, |
— |
Artykuł 4 lit. f): uzgodnienie z art. 5 lit. f) proponowanego rozporządzenia i wprowadzenie odpowiednich zmian w art. 18 i 23, |
— |
Artykuł 5: uwzględnienie osób niebędących podejrzanymi jako odrębnej kategorii. Wykreślenie sformułowania „w możliwym zakresie” i określenie konsekwencji kategoryzacji, |
— |
Artykuł 6: wykreślenie sformułowania „na ile to możliwe” w ust. 1 i 2, |
— |
Artykuł 7 lit. a): przekształcenie w samodzielny przepis stanowiący w sposób ogólny, że wszelkie operacje przetwarzania danych są dopuszczane przepisami prawa, stosownie do wymogów Karty praw podstawowych UE i EKPC, |
— |
Artykuł 7 lit. b)–d): zastąpienie dodatkowym, odrębnym przepisem wyliczającym w sposób wyczerpujący względy interesu publicznego, które mogą uzasadniać odstępstwo od zasady celowości, |
— |
dodanie nowego przepisu dotyczącego przetwarzania danych osobowych do celów historycznych, statystycznych i naukowych, |
— |
dodanie wymogu obligującego właściwy organ do wprowadzenia mechanizmów zapewniających ustalenie terminów na usunięcie danych osobowych i okresowy przegląd pod kątem konieczności przechowywania danych, łącznie z określeniem okresów przechowywania różnych kategorii danych osobowych oraz regularnymi kontrolami ich jakości, |
— |
Artykuł 8: dodanie w art. 8 dokładnego brzmienia motywu 26. Uwzględnienie elementów przewidzianych w ramach odpowiednich środków wykraczających poza normalne gwarancje. |
Rozdział III – Prawa podmiotu danych
— |
Artykuł 10: wykreślenie odniesienia do „wszystkich rozsądnych kroków” w art. 10 ust. 1 i ust. 2. Dodanie w art. 10 ust. 4 wyraźnego terminu i wskazanie, że informacji należy udzielić podmiotowi danych nie później niż w ciągu jednego miesiąca od otrzymania wniosku. Zastąpienie w art. 10 ust. 5 sformułowania „dokuczliwe” sformułowaniem „w oczywisty sposób nadmierne” i przedstawienie dodatkowych wskazówek na temat tego pojęcia w jednym z motywów, |
— |
dodanie nowego przepisu zobowiązującego administratora do powiadomienia każdego odbiorcy, któremu ujawniane zostały dane, o wszelkich przypadkach poprawienia, usunięcia lub zmiany takich danych, których dokonano zgodnie bądź niezgodnie z art. 15 lub 16, chyba że działanie takie okazuje się niemożliwe lub wiąże się z niewspółmiernie dużym wysiłkiem, |
— |
Artykuł 11 i 13: dodanie w art. 11 ust. 4 i art. 13 ust. 1 zdania stanowiącego, iż administrator zobowiązany jest do oceny każdego poszczególnego przypadku w drodze konkretnej i indywidualnej analizy pod kątem zastosowania częściowego lub całkowitego ograniczenia jednej z przesłanek. Zapewnienie ograniczonej interpretacji zakresu art. 11 ust. 5 i art. 13 ust. 2. Wykreślenie słowa „uchylające” w art. 11 ust. 4 i „odstąpienie” w motywie 33, |
— |
Artykuł 15 i 16: dodanie przesłanek i warunków ograniczenia prawa do poprawienia i prawa do usunięcia danych, |
— |
Artykuł 16: zastąpienie w art. 16 ust. 3 sformułowania „oznacza” sformułowaniem „ogranicza przetwarzanie”. Dodanie w art. 16 wymogu obligującego administratora do powiadomienia podmiotu danych przed uchyleniem wszelkich ograniczeń przetwarzania. |
Rozdział IV – Administrator i podmiot przetwarzający
— |
Artykuł 18: wskazanie, również w art. 4 lit. f), że wymóg prowadzenia dokumentacji wynika z ogólnego wymogu zdolności do udokumentowania zgodności z dyrektywą. Dodanie wymogu przechowywania informacji na temat podstawy prawnej przekazania, wraz z merytorycznym uzasadnieniem, zwłaszcza w przypadku, gdy przekazanie odbywa się na podstawie art. 35 lub 36, |
— |
Artykuł 19: uzasadnienie pojęcia ochrony danych „jako opcji domyślnej”, |
— |
Artykuł 23 ust. 2: uzgodnienie z art. 28 ust. 2 proponowanego rozporządzenia, |
— |
Artykuł 24: dodanie tożsamości odbiorców danych, |
— |
dodanie nowego przepisu obligującego właściwe organy do przeprowadzenia oceny skutków w zakresie ochrony danych, o ile w trakcie procesu ustawodawczego nie przeprowadzono już specjalnej oceny równoważnej z oceną skutków w zakresie ochrony danych, |
— |
Artykuł 26: ściślejsze uzgodnienie z procedurami określonymi w art. 34 ust. 2 proponowanego rozporządzenia, |
— |
Artykuł 30: uregulowanie kwestii konfliktu interesów ustalenie długości kadencji na minimum dwa lata, |
— |
Artykuł 31: określenie odpowiedniego przydziału administracyjnego, z należytym uwzględnieniem niezależnej roli inspektora ochrony danych, szczególnie w celu uniknięcia ewentualnych nierównych relacji lub wpływu administratorów danych wysokiego szczebla. |
Rozdział V – Przekazywanie do państw trzecich
— |
Artykuł 33: dodanie wymogu, zgodnie z którym przekazanie może nastąpić wyłącznie w przypadku, gdy administrator danych w państwie trzecim lub organizacja międzynarodowa jest właściwym organem w rozumieniu proponowanej dyrektywy, |
— |
Artykuł 35: wykreślenie art. 35 ust. 1 lit b) lub przynajmniej dodanie wymogu uprzedniego zatwierdzenia przez organ nadzorczy, |
— |
Artykuł 36: doprecyzowanie w motywie, że wszelkie odstępstwa zastosowane w celu uzasadnienia przekazania winny być interpretowane w sposób zawężający oraz nie powinny umożliwiać częstego, masowego i strukturalnego przekazywania danych osobowych; nawet w indywidualnych przypadkach nie należy dopuszczać do hurtowego przekazywania danych, a przekazywanie powinno się ograniczać do danych, które są ściśle niezbędne. Dodanie dodatkowych gwarancji, takich jak obowiązek szczegółowego dokumentowania operacji przekazywania, |
— |
Artykuł 35 i 36: wskazanie, iż w przypadku negatywnej decyzji w sprawie odpowiedniego poziomu ochrony przekazywanie powinno odbywać się na podstawie (i) art. 35 ust. 1 lit. a) w przypadku, gdy istnieje wiążąca prawnie umowa międzynarodowa zezwalająca na przekazywanie na określonych warunkach zapewniających odpowiedni poziom ochrony lub (ii) odstępstw określonych w art. 36 lit. a) lub c). |
Rozdział VI i rozdział VII – Mechanizmy nadzoru
— |
Artykuł 44: rozbudowanie w jednym z motywów informacji na temat zakresu „funkcji sądowych”, |
— |
Artykuł 46: uzgodnienie uprawnień organów nadzorczych w stosunku do krajowych organów policyjnych z uprawnieniami wynikającymi z wniosku dotyczącego rozporządzenia. Uzgodnienie art. 46 lit. a) z art. 53 proponowanego rozporządzenia oraz zastąpienie w art. 46 lit. a) i b) sformułowania „takie jak” sformułowaniem „w tym”, |
— |
Artykuł 47: wskazanie, iż roczne sprawozdanie z działalności organów nadzorczych należy składać parlamentowi krajowemu i podawać do wiadomości publicznej, |
— |
Artykuł 48: dodanie w art. 48 przepisów art. 55 ust. 2–7 proponowanego rozporządzenia, |
— |
rozważenie potrzeby usprawnienia mechanizmu współpracy również w ramach zakresu stosowania proponowanej dyrektywy. |
(Wersja skrócona. Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: http://www.edps.europa.eu)
Sporządzono w Brukseli dnia 7 marca 2012 r.
Peter HUSTINX
Europejski Inspektor Ochrony Danych