02009L0136 — PL — 21.12.2020 — 001.001


Dokument ten służy wyłącznie do celów informacyjnych i nie ma mocy prawnej. Unijne instytucje nie ponoszą żadnej odpowiedzialności za jego treść. Autentyczne wersje odpowiednich aktów prawnych, włącznie z ich preambułami, zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i są dostępne na stronie EUR-Lex. Bezpośredni dostęp do tekstów urzędowych można uzyskać za pośrednictwem linków zawartych w dokumencie

►B

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY 2009/136/WE

z dnia 25 listopada 2009 r.

zmieniająca dyrektywę 2002/22/WE w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników, dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej oraz rozporządzenie (WE) nr 2006/2004 w sprawie współpracy między organami krajowymi odpowiedzialnymi za egzekwowanie przepisów prawa w zakresie ochrony konsumentów

(Tekst mający znaczenie dla EOG)

(Dz.U. L 337 z 18.12.2009, s. 11)

zmieniona przez:

 

 

Dziennik Urzędowy

  nr

strona

data

►M1

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2018/1972 Tekst mający znaczenie dla EOG z dnia 11 grudnia 2018 r.

  L 321

36

17.12.2018


sprostowana przez:

►C1

Sprostowanie, Dz.U. L 241, 10.9.2013, s.  9 (2009/136/WE)

►C2

Sprostowanie, Dz.U. L 162, 23.6.2017, s.  56 (2009/136/WE)




▼B

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY 2009/136/WE

z dnia 25 listopada 2009 r.

zmieniająca dyrektywę 2002/22/WE w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników, dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej oraz rozporządzenie (WE) nr 2006/2004 w sprawie współpracy między organami krajowymi odpowiedzialnymi za egzekwowanie przepisów prawa w zakresie ochrony konsumentów

(Tekst mający znaczenie dla EOG)



▼M1 —————

▼B

Artykuł 2

Zmiany dyrektywy 2002/58/WE (dyrektywa o prywatności i łączności elektronicznej)

W dyrektywie 2002/58/WE (dyrektywa o prywatności i łączności elektronicznej) wprowadza się następujące zmiany:

1) 

art. 1 ust. 1 otrzymuje brzmienie:

„1.  
Niniejsza dyrektywa przewiduje harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz w celu zapewnienia swobodnego przepływu we Wspólnocie tego typu danych oraz urządzeń i usług łączności elektronicznej.”;
2) 

w art. 2 wprowadza się następujące zmiany:

a) 

lit. c) otrzymuje brzmienie:

„c) 

»dane dotyczące lokalizacji« oznaczają wszelkie dane przetwarzane w sieci łączności elektronicznej lub w ramach usług łączności elektronicznej, wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług łączności elektronicznej;”;

b) 

skreśla się lit. e);

►C1  c) 

dodaje się literę w brzmieniu:

„i) 

»naruszenie danych osobowych« oznacza ◄ naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej we Wspólnocie.”;

3) 

art. 3 otrzymuje brzmienie:

„Artykuł 3

Usługi

Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności we Wspólnocie, włącznie z publicznymi sieciami łączności służącymi do zbierania danych i obsługi urządzeń identyfikacyjnych.”;

4) 

w art. 4 wprowadza się następujące zmiany:

a) 

tytuł otrzymuje brzmienie:

„Bezpieczeństwo przetwarzania”;

b) 

dodaje się ustęp w brzmieniu:

„1a.  

Bez uszczerbku dla dyrektywy 95/46/WE środki, o których mowa w ust. 1, muszą co najmniej:

— 
zapewniać, aby do danych osobowych mógł mieć dostęp wyłącznie uprawniony personel w dozwolonych prawem celach,
— 
chronić przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
— 
zapewnić wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Właściwe organy krajowe muszą być w stanie kontrolować środki przyjęte przez dostawcę publicznie dostępnych usług łączności elektronicznej oraz wydawanie zaleceń dotyczących najlepszych praktyk dotyczących poziomu bezpieczeństwa, do jakiego środki te powinny prowadzić.”;

c) 

dodaje się ustępy w brzmieniu:

„3.  

W przypadku naruszenia danych osobowych, dostawca publicznie dostępnych usług łączności elektronicznej bez zbędnej zwłoki powiadamia o tym przypadku naruszenia danych osobowych właściwy organ krajowy.

W przypadku gdy naruszenie danych osobowych może wywrzeć niekorzystny wpływ na dane osobowe lub prywatność abonenta lub osoby fizycznej, dostawca bez zbędnej zwłoki powiadamia również o takim naruszeniu abonenta lub osobę fizyczną.

Powiadomienie danego abonenta lub osoby fizycznej o naruszeniu danych osobowych nie jest wymagane, jeżeli dostawca wykazał zgodnie z wymogami właściwego organu, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie bezpieczeństwa. Tego rodzaju technologiczne środki ochrony muszą sprawiać, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

Bez uszczerbku dla obowiązku powiadomienia przez dostawcę danych abonentów lub osób fizycznych, jeżeli dostawca nie powiadomił jeszcze abonenta lub osoby fizycznej o naruszeniu danych osobowych, właściwy organ krajowy – po rozważeniu możliwych niekorzystnych skutków tego naruszenia – może wymagać, aby dostawca to uczynił.

Powiadomienie skierowane do abonenta lub osoby fizycznej zawiera co najmniej opis charakteru naruszenia danych osobowych oraz dane punktów kontaktowych, w których można uzyskać więcej informacji; zawiera ono także informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków tego naruszenia danych osobowych. Powiadomienie właściwego organu krajowego zawiera ponadto opis konsekwencji naruszenia danych osobowych i opis proponowanych lub podjętych przez dostawcę środków mających zaradzić naruszeniu.

4.  

Z zastrzeżeniem wszelkich technicznych środków wykonawczych przyjętych na mocy ust. 5 właściwe organy krajowe mogą przyjąć wytyczne i w razie konieczności wydać instrukcje dotyczące okoliczności, w których dostawcy zobowiązani są do powiadamiania o naruszeniu danych osobowych, a także dotyczące formy takiego powiadomienia oraz sposobu, w jaki ma być dokonane takie powiadomienie. Właściwe organy krajowe muszą mieć również możliwość kontrolowania, czy dostawcy spełniają swoje obowiązki związane z powiadamianiem określone w niniejszym ustępie, oraz nakładają odpowiednie kary w przypadku niewykonywania tych obowiązków.

Dostawcy prowadzą rejestr naruszeń ochrony danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań naprawczych; rejestr ten musi być wystarczający, tak aby umożliwić właściwemu organowi krajowemu sprawdzenie zgodności z przepisami ust. 3. Rejestr zawiera wyłącznie informacje niezbędne do realizacji tego celu.

5.  

W celu zapewnienia spójności we wdrażaniu środków, o których mowa w ust. 2, 3 i 4, Komisja – po konsultacji z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji (ENISA), Grupą Roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych powołaną na mocy art. 29 dyrektywy 95/46/WE oraz Europejskim Inspektorem Ochrony Danych – może przyjąć techniczne środki wykonawcze dotyczące okoliczności, formy i trybu mających zastosowanie do wymogów dotyczących informowania i powiadamiania, o których mowa w niniejszym artykule. Przyjmując te środki Komisja angażuje wszystkie zainteresowane strony, aby uzyskać w szczególności informacje o najlepszych dostępnych technicznych i ekonomicznych środkach wdrażania niniejszego artykułu.

Środki te, mające na celu zmianę elementów innych niż istotne niniejszej dyrektywy poprzez jej uzupełnienie, przyjmowane są zgodnie z procedurą regulacyjną połączoną z kontrolą, o której mowa w art. 14a ust. 2.”;

5) 

art. 5 ust. 3 otrzymuje brzmienie:

„3.  

Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.”;

6) 

art. 6 ust. 3 otrzymuje brzmienie:

„3.  

Do celów wprowadzania na rynek usług łączności elektronicznej lub świadczenia usług tworzących wartość wzbogaconą, dostawca publicznie dostępnych usług łączności elektronicznej może przetwarzać dane określone w ust. 1, w zakresie i przez czas niezbędny dla tego rodzaju usług lub wprowadzania ich na rynek, jeżeli abonent lub użytkownik, których dane dotyczą, uprzednio wyraził na to zgodę. Użytkownicy lub abonenci mają w każdej chwili możliwość odwołania swojej zgody na przetwarzanie danych o ruchu.”;

7) 

art. 13 otrzymuje brzmienie:

„Artykuł 13

Komunikaty niezamówione

1.  
Używanie automatycznych systemów wywołujących i systemów łączności bez ludzkiej ingerencji (automatyczne urządzenia wywołujące), faksów lub poczty elektronicznej do celów marketingu bezpośredniego może być dozwolone jedynie wobec abonentów lub użytkowników, którzy uprzednio wyrazili na to zgodę.
2.  
Niezależnie od przepisów ust. 1, w przypadku gdy osoba fizyczna lub prawna otrzymuje od swoich klientów szczegółowe elektroniczne dane kontaktowe dotyczące kontaktu z nimi za pomocą poczty elektronicznej, w kontekście sprzedaży produktu lub usługi, zgodnie z dyrektywą 95/46/WE, ta sama osoba fizyczna lub prawna może używać tych szczegółowych elektronicznych danych kontaktowych na potrzeby marketingu bezpośredniego swoich własnych podobnych produktów lub usług, pod warunkiem że klienci zostali jasno i wyraźnie poinformowani o możliwości sprzeciwienia się, w prosty i wolny od opłat sposób, takiemu wykorzystywaniu elektronicznych danych kontaktowych w chwili ich pobierania oraz przy każdej okazji otrzymywania wiadomości, w przypadku klientów, którzy początkowo nie sprzeciwili się takiemu wykorzystywaniu.
3.  
Państwa członkowskie podejmują odpowiednie środki w celu zapewnienia, aby niezamówione komunikaty do celów marketingu bezpośredniego, w przypadkach innych niż określone w ust. 1 i 2, nie były dozwolone bez zgody abonentów lub użytkowników bądź w odniesieniu do abonentów lub użytkowników, którzy nie życzą sobie otrzymywania tego typu komunikatów, przy czym wybór między tymi opcjami zostaje ustalony przez przepisy krajowe, z uwzględnieniem faktu, że obie te opcje muszą być dla abonenta lub użytkownika bezpłatne.
4.  
W każdym przypadku zakazana jest praktyka wysyłania poczty elektronicznej do celów marketingu bezpośredniego, która ukrywa lub zataja tożsamość nadawcy, w którego imieniu wysyłany jest komunikat, lub która narusza art. 6 dyrektywy 2000/31/WE, oraz bez ważnego adresu, na który odbiorca może wysłać żądanie zaprzestania takich komunikatów, lub która zachęca odbiorców do odwiedzenia stron internetowych naruszających ten artykuł dyrektywy 2000/31/WE.
5.  
Ust. 1 i 3 stosują się do abonentów będących osobami fizycznymi. Państwa członkowskie zapewniają również, aby – w ramach prawa wspólnotowego oraz mających zastosowanie przepisów krajowych – uzasadnione interesy abonentów innych niż osoby fizyczne były wystarczająco chronione w związku z uciążliwymi komunikatami.
6.  
►C2  Bez uszczerbku dla jakichkolwiek środków administracyjnych, w odniesieniu do których mogą zostać przyjęte przepisy, między innymi na mocy art. 15a ust. 2, państwa członkowskie zapewniają, aby każda osoba fizyczna lub prawna, która odczuła negatywne skutki naruszeń przepisów krajowych przyjętych na mocy niniejszego artykułu, a zatem mająca uzasadniony interes w tym, by położyć kres takim naruszeniom lub ich zakazać, ◄ w tym także dostawca usług łączności elektronicznej chroniący własne uzasadnione interesy gospodarcze, mogła podjąć działania prawne przeciwko takim naruszeniom. Państwa członkowskie mogą także ustalić szczególne zasady dotyczące sankcji mających zastosowanie do dostawców usług łączności elektronicznej, którzy przez zaniedbanie przyczyniają się do naruszeń przepisów krajowych przyjętych na podstawie niniejszego artykułu.”;
8) 

dodaje się artykuł w brzmieniu:

„Artykuł 14a

Procedura komitetowa

1.  
Komisja wspierana jest przez Komitet ds. Łączności ustanowiony na mocy art. 22 dyrektywy 2002/21/WE (dyrektywa ramowa).
2.  
W przypadku odesłania do niniejszego ustępu, stosuje się art. 5a ust. 1–4 i art. 7 decyzji 1999/468/WE, z uwzględnieniem przepisów jej art. 8.
3.  
W przypadku odesłania do niniejszego ustępu, stosuje się art. 5a ust. 1, 2, 4 i 6 oraz art. 7 decyzji 1999/468/WE, z uwzględnieniem przepisów jej art. 8.”;
9) 

w art. 15 dodaje się ustęp w brzmieniu:

„1b.  
Dostawcy ustanawiają wewnętrzne procedury odpowiedzi na wnioski o dostęp do danych osobowych użytkownika w oparciu o krajowe przepisy przyjęte zgodnie z art. 1. Na żądanie przedstawiają oni właściwemu organowi krajowemu informacje o tych procedurach, liczbie otrzymanych wniosków, ich uzasadnieniu prawnym oraz udzielonej przez nich odpowiedzi.”;
10) 

dodaje się artykuł w brzmieniu:

„Artykuł 15a

Wdrażanie i egzekwowanie

1.  
Państwa członkowskie ustanawiają przepisy dotyczące kar, w tym w stosownych przypadkach sankcji karnych, mających zastosowanie w przypadku naruszeń krajowych przepisów przyjętych zgodnie z niniejszą dyrektywą, i podejmują wszelkie niezbędne środki w celu zapewnienia, aby zasady te zostały wdrożone. Przewidziane sankcje muszą być skuteczne, proporcjonalne i odstraszające oraz mogą być stosowane w odniesieniu do okresu, w którym występowało jakiekolwiek naruszenie, nawet w przypadku gdy naruszenie to następnie naprawiono. Państwa członkowskie powiadamiają Komisję o tych przepisach najpóźniej do dnia 25 maja 2011 r. i powiadamiają ją niezwłocznie o wszelkich późniejszych zmianach mających na nie wpływ.
2.  
Bez uszczerbku dla wszelkich ewentualnie dostępnych środków prawnych, państwa członkowskie zapewniają, aby właściwy organ krajowy oraz, w stosownych przypadkach, inne podmioty krajowe dysponowały uprawnieniami do nakazania zaprzestania naruszeń, o których mowa w ust. 1.
3.  
Państwa członkowskie zapewniają, aby właściwe organy krajowe oraz, w stosownych przypadkach, inne podmioty krajowe dysponowały uprawnieniami i środkami niezbędnymi do prowadzenia dochodzeń, w tym uprawnieniami do uzyskiwania wszelkich istotnych informacji, których mogą potrzebować, aby monitorować i egzekwować przestrzeganie przepisów krajowych przyjętych zgodnie z niniejszą dyrektywą.
4.  

Właściwe krajowe organy regulacyjne mogą przyjmować środki w celu zapewnienia efektywnej współpracy transgranicznej w zakresie egzekwowania przepisów krajowych przyjętych zgodnie z niniejszą dyrektywą oraz tworzenia zharmonizowanych warunków świadczenia usług obejmujących transgraniczny przepływ danych.

Krajowe organy regulacyjne przekazują Komisji – w odpowiednim czasie przed przyjęciem takich środków – podsumowanie podstawy do działania, przewidywane środki i proponowany przebieg działań. Po zbadaniu takich informacji oraz konsultacjach z ENISA i Grupą Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych ustanowioną na mocy art. 29 dyrektywy 95/46/WE, Komisja może zgłaszać do nich uwagi lub wydawać zalecenia, w szczególności w celu zapewnienia, aby przewidywane środki nie wpływały niekorzystnie na funkcjonowanie rynku wewnętrznego. Przy podejmowaniu decyzji dotyczącej omawianych środków krajowe organy regulacyjne uwzględniają w jak największym stopniu uwagi lub zalecenia Komisji.”.

Artykuł 3

Zmiana rozporządzenia (WE) nr 2006/2004

W załączniku do rozporządzenia (WE) nr 2006/2004 (rozporządzenie w sprawie współpracy w dziedzinie ochrony konsumentów) dodaje się następujący punkt:

„17. 

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej): art. 13 (Dz.U. L 201 z 31.7.2002, s. 37).”.

Artykuł 4

Transpozycja

1.  

Do dnia 25 maja 2011 r. państwa członkowskie przyjmują i publikują przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy. Państwa członkowskie niezwłocznie przekazują Komisji tekst tych przepisów.

Przepisy przyjęte przez państwa członkowskie zawierają odniesienie do niniejszej dyrektywy lub odniesienie takie towarzyszy ich urzędowej publikacji. Metody dokonywania takiego odniesienia określają państwa członkowskie.

2.  
Państwa członkowskie przekazują Komisji teksty podstawowych przepisów prawa krajowego przyjętych w dziedzinie objętej niniejszą dyrektywą.

Artykuł 5

Wejście w życie

Niniejsza dyrektywa wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 6

Adresaci

Niniejsza dyrektywa skierowana jest do państw członkowskich.

▼M1 —————

▼B




ZAŁĄCZNIK II




„ZAŁĄCZNIK VI

WSPÓŁDZIAŁANIE KONSUMENCKIEGO SPRZĘTU CYFROWEGO, O KTÓRYM MOWA W ART. 24

1.   Ujednolicony algorytm kodowania i odbiór »free-to-air«

Wszelki sprzęt konsumencki przeznaczony do odbioru tradycyjnego cyfrowego sygnału telewizyjnego (tzn. transmisji naziemnej, kablowej lub satelitarnej przeznaczonej w pierwszej kolejności do odbioru stacjonarnego, takiej jak DVB-T, DVB-C lub DVB-S), przeznaczony na sprzedaż lub do wynajęcia czy w inny sposób udostępniony na obszarze Wspólnoty, zdolny do dekodowania cyfrowych sygnałów telewizyjnych, powinien:

— 
umożliwiać dekodowanie takiego sygnału zgodnie z jednolitym europejskim algorytmem kodowania zalecanym przez uznaną organizację europejską do spraw norm; obecnie jest nią ETSI,
— 
wyświetlać sygnały transmitowane bez kodowania, pod warunkiem że w przypadku gdy taki sprzęt jest wypożyczony, osoba wypożyczająca podporządkowuje się odnośnej umowie o wypożyczeniu.

2.   Interoperacyjność analogowych i cyfrowych odbiorników telewizyjnych

Każdy analogowy odbiornik telewizyjny ze zintegrowanym ekranem o przekątnej obrazu większej niż 42 cm wprowadzany na rynek do sprzedaży lub na wynajem na obszarze Wspólnoty ma być wyposażony w co najmniej jedno gniazdo interfejsu otwartego, zgodnie z normą określoną przez uznaną europejską organizację normalizacyjną, np. jak podano w normie CENELEC EN 50 049-1:1997, pozwalające na proste przyłączenie urządzeń peryferyjnych, w szczególności dodatkowych dekoderów i odbiorników cyfrowych.

Każdy cyfrowy odbiornik telewizyjny ze zintegrowanym ekranem o przekątnej obrazu większej niż 30 cm, który wprowadza się na rynek do sprzedaży lub na wynajem na terenie Wspólnoty, ma być wyposażony w co najmniej jedno gniazdo interfejsu otwartego (znormalizowany przez standard lub zgodny ze standardem przyjętym przez uznaną europejską organizację normalizacyjną, lub zgodny ze specyfikacją przemysłową), np. ujednolicone złącze interfejsu DBV, pozwalające na proste przyłączenie urządzeń peryferyjnych i zdolne przesyłać wszystkie składniki cyfrowego sygnału telewizyjnego, łącznie z informacją związaną z usługami interaktywnymi i dostępnymi warunkowo.”