|
30.7.2021 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 274/41 |
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2021/1232
z dnia 14 lipca 2021 r.
w sprawie tymczasowego odstępstwa od niektórych przepisów dyrektywy 2002/58/WE w odniesieniu do wykorzystywania technologii przez dostawców usług łączności interpersonalnej niewykorzystujących numerów do przetwarzania danych osobowych i innych danych do celów zwalczania niegodziwego traktowania dzieci w celach seksualnych w internecie
(Tekst mający znaczenie dla EOG)
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 ust. 2 w związku z art. 114 ust. 1,
uwzględniając wniosek Komisji Europejskiej,
po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,
uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego (1),
stanowiąc zgodnie ze zwykłą procedurą ustawodawczą (2),
a także mając na uwadze, co następuje:
|
(1) |
W dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady (3) ustanowiono przepisy zapewniające prawo do prywatności i poufności w odniesieniu do przetwarzania danych osobowych w ramach wymiany danych w sektorze łączności elektronicznej. Dyrektywa ta stanowi dookreślenie i uzupełnienie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (4). |
|
(2) |
Dyrektywę 2002/58/WE stosuje się do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej. Do dnia 21 grudnia 2020 r. zastosowanie miała definicja „usługi łączności elektronicznej” zawarta w art. 2 lit. c) dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady (5). Tego dnia dyrektywa 2002/21/WE została uchylona na mocy dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 (6). Definicja „usługi łączności elektronicznej” zawarta w art. 2 pkt 4 dyrektywy (UE) 2018/1972 obejmuje usługi łączności interpersonalnej niewykorzystujące numerów zdefiniowane w art. 2 pkt 7 tej dyrektywy. Usługi łączności interpersonalnej niewykorzystujące numerów, obejmujące na przykład telefonię internetową, usługi komunikatorów internetowych i poczty elektronicznej w przeglądarce internetowej, zostały zatem objęte zakresem stosowania dyrektywy 2002/58/WE w dniu 21 grudnia 2020 r. |
|
(3) |
Zgodnie z art. 6 ust. 1 Traktatu o Unii Europejskiej (TUE) Unia uznaje prawa, wolności i zasady określone w Karcie praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”). Art. 7 Karty chroni prawo podstawowe każdej osoby do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się, co obejmuje również poufność komunikacji. Art. 8 Karty zawiera prawo do ochrony danych osobowych. |
|
(4) |
Art. 3 ust. 1 Konwencji Organizacji Narodów Zjednoczonych o prawach dziecka z 1989 r. (zwanej dalej „Konwencją o prawach dziecka”) oraz art. 24 ust. 2 Karty stanowią, że we wszystkich działaniach dotyczących dzieci, zarówno podejmowanych przez władze publiczne, jak i instytucje prywatne, należy przede wszystkim uwzględnić najlepszy interes dziecka. Art. 3 ust. 2 Konwencji o prawach dziecka i art. 24 ust. 1 Karty przywołują ponadto prawo dzieci do takiej ochrony i opieki, jaka jest konieczna dla ich dobra. |
|
(5) |
Ochrona dzieci, zarówno w internecie, jak i poza nim, jest jednym z priorytetów Unii. Niegodziwe traktowanie w celach seksualnych i wykorzystywanie seksualne dzieci stanowią poważne naruszenia praw człowieka i praw podstawowych, w szczególności praw dzieci do ochrony przed wszelkimi formami przemocy, niegodziwego traktowania i zaniedbania, złego traktowania lub wykorzystywania, w tym niegodziwego traktowania w celach seksualnych, zgodnie z Konwencją o prawach dziecka i Kartą. Digitalizacja przyniosła społeczeństwu i gospodarce wiele korzyści, ale przyniosła ona także wyzwania, a wśród nich nasilenie zjawiska niegodziwego traktowania dzieci w celach seksualnych w internecie. W dniu 24 lipca 2020 r. Komisja przyjęła komunikat zatytułowany „Strategia UE na rzecz skuteczniejszej walki z niegodziwym traktowaniem dzieci w celach seksualnych” (zwana dalej „Strategią”). Celem Strategii jest zapewnienie skutecznej reakcji na poziomie Unii na przestępstwo, jakim jest niegodziwe traktowanie dzieci w celach seksualnych. |
|
(6) |
Zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2011/93/UE (7) niniejsze rozporządzenie nie reguluje polityki państw członkowskich w zakresie czynności seksualnych podejmowanych dobrowolnie przez dzieci, które mogą być uznawane za normalne odkrywanie seksualności w trakcie rozwoju człowieka, z uwzględnieniem różnych tradycji kulturowych i prawnych oraz nowych form nawiązywania i podtrzymywania relacji między dziećmi i nastolatkami, w tym poprzez technologie informacyjno-komunikacyjne. |
|
(7) |
Niektórzy dostawcy pewnych usług łączności interpersonalnej niewykorzystujących numerów (zwani dalej „dostawcami”), takich jak usługi aplikacji webmail i usługi komunikatorów internetowych, już stosują dobrowolnie specjalne technologie do wykrywania w swoich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i do zgłaszania ich organom ścigania i organizacjom działającym w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, poprzez skanowanie treści, takich jak zdjęcia i tekst, albo danych o ruchu pochodzących z łączności elektronicznej z wykorzystaniem, w niektórych przypadkach, danych historycznych. Technologią stosowaną w tych działaniach może być technologia haszowania zdjęć i filmów oraz klasyfikatory i sztuczna inteligencja do analizy tekstu lub danych o ruchu. Gdy stosowana jest technologia haszowania, materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych w internecie są zgłaszane w przypadku trafienia, które oznacza zgodność stwierdzoną w wyniku porównania zdjęcia lub filmu z niepowtarzalnym, nieprzekształcalnym podpisem cyfrowym (zwanym dalej „skrótem”) z bazy danych prowadzonej przez organizację działającą w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, która zawiera zweryfikowane materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych w internecie. Dostawcy ci kontaktują się z krajowymi numerami interwencyjnymi służącymi zgłaszaniu materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie oraz z organizacjami, znajdującymi się zarówno w Unii, jak i w państwach trzecich, których celem jest identyfikacja dzieci, ograniczenie wykorzystywania seksualnego dzieci oraz ich niegodziwego traktowania w celach seksualnych i zapobieganie wiktymizacji dzieci. Takie organizacje mogą nie być objęte zakresem stosowania rozporządzenia (UE) 2016/679. W ujęciu zbiorczym takie dobrowolne działania odgrywają znaczącą rolę w umożliwianiu identyfikacji i ratowania ofiar, których prawa podstawowe do godności człowieka oraz do integralności cielesnej i psychicznej są poważnie naruszane. Takie dobrowolne działania mają również istotne znaczenie dla ograniczania dalszego rozpowszechniania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie, dla przyczyniania się do identyfikacji sprawców i prowadzenia w ich sprawach postępowań przygotowawczych w sprawach karnych oraz dla zapobiegania przestępstwom związanym z niegodziwym traktowaniem dzieci w celach seksualnych, wykrywania i ścigania takich przestępstw oraz prowadzenia w ich sprawach postępowań przygotowawczych w sprawach karnych. |
|
(8) |
Niezależnie od ich uzasadnionego celu dobrowolne działania dostawców w celu wykrywania w swoich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i do zgłaszania ich stanowią ingerencję w podstawowe prawa do poszanowania życia prywatnego i rodzinnego oraz do ochrony danych osobowych wszystkich użytkowników usług łączności interpersonalnej niewykorzystujących numerów (zwanych dalej „użytkownikami”). Żadne ograniczenie w korzystaniu z podstawowego prawa do poszanowania życia prywatnego i rodzinnego, w tym do poufności komunikacji, nie może być uzasadnione wyłącznie tym, że dostawcy stosowali pewne technologie w czasie, gdy usługi łączności interpersonalnej niewykorzystujące numerów nie były objęte zakresem definicji „usługi łączności elektronicznej”. Takie ograniczenia są dopuszczalne wyłącznie pod pewnymi warunkami. Zgodnie z art. 52 ust. 1 Karty, takie ograniczenia muszą być przewidziane ustawą i szanować istotę prawa do życia prywatnego i rodzinnego oraz do ochrony danych osobowych, a także, z zastrzeżeniem zasady proporcjonalności, muszą być konieczne i rzeczywiście odpowiadać celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób. Jeżeli takie ograniczenia wiążą się trwale z ogólnym i powszechnym monitorowaniem i analizowaniem komunikatów wszystkich użytkowników, wówczas naruszają one prawo do poufności komunikacji. |
|
(9) |
Do dnia 20 grudnia 2020 r. przetwarzanie danych osobowych przez dostawców za pomocą dobrowolnych środków na potrzeby wykrywania w swoich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i zgłaszania ich oraz usuwania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie ze swoich usług było regulowane wyłącznie rozporządzeniem (UE) 2016/679. Zgodnie z dyrektywą (UE) 2018/1972, której termin transpozycji upływał w dniu 20 grudnia 2020 r., dostawcy zostali objęci zakresem stosowania dyrektywy 2002/58/WE. Aby kontynuować stosowanie takich dobrowolnych środków po dniu 20 grudnia 2020 r., dostawcy powinni spełnić warunki określone w niniejszym rozporządzeniu. Przetwarzanie danych osobowych prowadzone za pomocą takich dobrowolnych środków będzie nadal podlegać rozporządzeniu (UE) 2016/679. |
|
(10) |
Dyrektywa 2002/58/WE nie zawiera żadnych szczegółowych przepisów dotyczących przetwarzania danych osobowych przez dostawców w związku ze świadczeniem usług łączności elektronicznej na potrzeby wykrywania w ich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i zgłaszania ich oraz usuwania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie z ich usług. Zgodnie z art. 15 ust. 1 dyrektywy 2002/58/WE państwa członkowskie mogą jednak uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych między innymi w art. 5 i 6 tej dyrektywy, które dotyczą poufności komunikacji i danych o ruchu, na potrzeby zapobiegania przestępstwom związanym z niegodziwym traktowaniem dzieci w celach seksualnych, wykrywania ich, prowadzenia w ich sprawach postępowań przygotowawczych w sprawach karnych oraz ich ścigania. Wobec braku takich krajowych środków ustawodawczych oraz w oczekiwaniu na przyjęcie długoterminowych ram prawnych na poziomie Unii służących zwalczaniu niegodziwego traktowania dzieci w celach seksualnych, po dniu 21 grudnia 2020 r. dostawcy nie mogą już opierać się na rozporządzeniu (UE) 2016/679 jako podstawie do dalszego stosowania dobrowolnych środków na potrzeby wykrywania w swoich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i zgłaszania ich oraz usuwania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie ze swoich usług. Niniejsze rozporządzenie nie stanowi podstawy prawnej przetwarzania danych osobowych przez dostawców, którego jedynym celem jest wykrywanie w ich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i zgłaszanie ich oraz usuwanie materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie z ich usług, lecz przewiduje odstępstwo od niektórych przepisów dyrektywy 2002/58/WE. Niniejsze rozporządzenie ustanawia dodatkowe zabezpieczenia, których muszą przestrzegać dostawcy, jeżeli chcą powoływać się na jego przepisy. |
|
(11) |
Przetwarzanie danych do celów niniejszego rozporządzenia może wiązać się z przetwarzaniem szczególnych kategorii danych osobowych określonych w rozporządzeniu (UE) 2016/679. Przetwarzanie zdjęć i filmów za pomocą specjalnych środków technicznych umożliwiających jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości uznaje się za przetwarzanie szczególnych kategorii danych osobowych. |
|
(12) |
Niniejsze rozporządzenie przewiduje tymczasowe odstępstwo od art. 5 ust. 1 i art. 6 ust. 1 dyrektywy 2002/58/WE, które chronią poufność komunikacji i dane o ruchu. Dobrowolne korzystanie przez dostawców z technologii przetwarzania danych osobowych i innych danych w zakresie niezbędnym do wykrywania w ich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i zgłaszania ich oraz usuwania materiałów przedstawiających niegodziwe w internecie traktowanie dzieci w celach seksualnych w internecie z ich usług podlega odstępstwu przewidzianemu w niniejszym rozporządzeniu, pod warunkiem że spełnia warunki określone w niniejszym rozporządzeniu, a zatem podlega gwarancjom i warunkom określonym w rozporządzeniu (UE) 2016/679. |
|
(13) |
Dyrektywa 2002/58/WE została przyjęta na podstawie art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE). Ponadto nie wszystkie państwa członkowskie wprowadziły środki ustawodawcze zgodnie z dyrektywą 2002/58/WE w celu ograniczenia zakresu praw i obowiązków dotyczących poufności komunikacji i danych o ruchu określonych w tej dyrektywie, a wprowadzenie takich środków wiąże się ze znacznym ryzykiem rozdrobnienia, które może negatywnie wpłynąć na rynek wewnętrzny. W związku z tym niniejsze rozporządzenie powinno opierać się na art. 114 TFUE. |
|
(14) |
Ponieważ dane związane z łącznością elektroniczną z udziałem osób fizycznych zazwyczaj kwalifikują się jako dane osobowe, podstawą niniejszego rozporządzenia powinien również być art. 16 TFUE, który stanowi szczególną podstawę prawną na potrzeby przyjęcia zasad dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres stosowania prawa Unii, a także zasad dotyczących swobodnego przepływu takich danych. |
|
(15) |
Rozporządzenie (UE) 2016/679 stosuje się do przetwarzania danych osobowych w związku ze świadczeniem usług łączności elektronicznej przez dostawców, którego jedynym celem jest wykrywanie w ich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i zgłaszanie ich oraz usuwanie materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie z ich usług, w zakresie, w jakim przetwarzanie to wchodzi w zakres odstępstwa przewidzianego w niniejszym rozporządzeniu. |
|
(16) |
Rodzaje technologii wykorzystywanych na potrzeby niniejszego rozporządzenia powinny powodować jak najmniejszą ingerencję w prywatność zgodnie z aktualnym stanem techniki w branży. Technologie te nie powinny być wykorzystywane do systematycznego filtrowania ani skanowania tekstu w komunikatach, chyba że ma to na celu wyłącznie wykrywanie schematów dających ewentualne konkretne powody, aby podejrzewać przypadki wystąpienia niegodziwego traktowania dzieci w celach seksualnych w internecie i nie powinny one pozwalać na wydedukowanie treści komunikatów. W przypadku technologii wykorzystywanej do identyfikacji nagabywania dzieci takie konkretne powody do podejrzeń powinny opierać się na obiektywnie określonych czynnikach ryzyka, takich jak różnica wieku i prawdopodobny udział dziecka w skanowanej komunikacji. |
|
(17) |
Powinny istnieć odpowiednie procedury i mechanizmy ochrony prawnej zapewniające osobom fizycznym składanie skarg do dostawców. Takie procedury i mechanizmy mają znaczenie, w szczególności, w przypadku usunięcia treści, które nie stanowią niegodziwego traktowania dzieci w celach seksualnych w internecie, lub w przypadku zgłoszenia ich organom ścigania lub organizacji działającej w interesie publicznym przeciwko niegodziwemu traktowania dzieci w celach seksualnych. |
|
(18) |
W celu zapewnienia jak największej dokładności i wiarygodności technologia wykorzystywana na potrzeby niniejszego rozporządzenia powinna, zgodnie z aktualnym stanem techniki w branży, ograniczać liczbę i współczynniki błędów (wyniki fałszywie dodatnie) w możliwie jak największym stopniu oraz, w razie potrzeby, powinna niezwłocznie korygować wszelkie takie błędy, które mimo wszystko mogą wystąpić. |
|
(19) |
Dane dotyczące treści i dane o ruchu oraz dane osobowe wygenerowane podczas wykonywania działań objętych zakresem stosowania niniejszego rozporządzenia oraz okres, w którym dane te są następnie przechowywane w przypadku, gdy zachodzi podejrzenie niegodziwego traktowania dzieci w celach seksualnych w internecie, powinny pozostawać ograniczone do tego, co jest bezwzględnie konieczne do wykonywania tych działań. Wszelkie dane należy natychmiast trwale usunąć z chwilą, gdy nie są one już bezwzględnie konieczne do jednego z celów określonych w niniejszym rozporządzeniu, w tym w przypadkach gdy nie zachodzi podejrzenie niegodziwego traktowania dzieci w celach seksualnych w internecie, a w każdym razie nie później niż 12 miesięcy od dnia wykrycia przypadku, co do którego zachodzi podejrzenie niegodziwego traktowania dzieci w celach seksualnych w internecie. Powinno to pozostawać bez uszczerbku dla możliwości przechowywania odpowiednich danych dotyczących treści i danych o ruchu zgodnie z dyrektywą 2002/58/WE. Niniejsze rozporządzenie nie wpływa na stosowanie obowiązków prawnych do zabezpieczenia danych, które mają zastosowanie do dostawców na podstawie prawa Unii lub prawa krajowego. |
|
(20) |
Niniejsze rozporządzenie nie uniemożliwia dostawcom, którzy zgłosili organom ścigania przypadki niegodziwego traktowania dzieci w celach seksualnych w internecie, zwracania się do tych organów o potwierdzenie przyjęcia zgłoszenia. |
|
(21) |
Aby zapewnić przejrzystość i odpowiedzialność w odniesieniu do działań podejmowanych na mocy odstępstwa przewidzianego w niniejszym rozporządzeniu, dostawcy powinni – do dnia 3 lutego 2022 r., a następnie do 31 stycznia każdego roku – publikować sprawozdania i przedkładać je właściwemu organowi nadzorczemu wyznaczonemu zgodnie z rozporządzeniem (UE) 2016/679 (zwanemu dalej „organem nadzorczym”) i Komisji. Takie sprawozdania powinny obejmować przetwarzanie objęte zakresem stosowania niniejszego rozporządzenia, w tym informacje dotyczące rodzaju i ilości przetwarzanych danych, konkretnych podstaw przetwarzania danych osobowych na mocy rozporządzenia (UE) 2016/679, podstaw przekazywania danych osobowych poza Unię na mocy rozdziału V rozporządzenia (UE) 2016/679 w stosownych przypadkach, liczby zidentyfikowanych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie z rozróżnieniem między materiałami przedstawiającymi niegodziwe traktowanie dzieci w celach seksualnych w internecie a nagabywaniem dzieci, liczby skarg złożonych przez użytkowników w ramach wewnętrznego mechanizmu ochrony prawnej lub przypadków skorzystania ze środka ochrony prawnej przed sądem oraz sposobu rozstrzygnięcia takich skarg i postępowań sądowych, liczby i współczynników błędów (wyniki fałszywie dodatnie) dotyczących poszczególnych zastosowanych technologii, środków zastosowanych w celu ograniczenia poziomu błędu i osiągniętego poziomu błędu, polityki zatrzymywania danych oraz zastosowanych zabezpieczeń w zakresie ochrony danych na mocy rozporządzenia (UE) 2016/679, oraz nazw organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, którym udostępniono dane na mocy niniejszego rozporządzenia. |
|
(22) |
Aby wspierać organy nadzorcze w wykonywaniu ich zadań, Komisja powinna zwrócić się do Europejskiej Rady Ochrony Danych o wydanie wytycznych dotyczących zgodności przetwarzania objętego odstępstwem określonym w niniejszym rozporządzeniu z rozporządzeniem (UE) 2016/679. Przy dokonywaniu przez organy nadzorcze oceny, czy ugruntowana lub nowo powstająca technologia, która ma być wykorzystana, jest zgodna z aktualnym stanem techniki w branży, powoduje jak najmniejszą ingerencję w prywatność oraz jest stosowana w oparciu o odpowiednią podstawę prawną zgodnie z rozporządzeniem (UE) 2016/679, wytyczne te powinny, w szczególności, pomóc organom nadzorczym w doradztwie w ramach procedury uprzednich konsultacji przewidzianej w tym rozporządzeniu. |
|
(23) |
Niniejsze rozporządzenie ogranicza prawo do ochrony poufności komunikacji i stanowi odstępstwo od decyzji podjętej na mocy dyrektyw (UE) 2018/1972, zgodnie z którą usługi łączności interpersonalnej niewykorzystujące numerów podlegają tym samym przepisom co wszystkie inne usługi łączności elektronicznej w odniesieniu do prywatności, gdy jedynym celem jest wykrywanie w tych usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i zgłaszanie ich organom ścigania lub organizacjom działającym w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych oraz usuwanie materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie z tych usług. Okres stosowania niniejszego rozporządzenia powinien zatem zostać ograniczony do trzech lat od daty rozpoczęcia jego stosowania w celu zapewnienia czasu niezbędnego do przyjęcia nowych długoterminowych ram prawnych. W przypadku gdy długoterminowe ramy prawne zostaną przyjęte i wejdą w życie przed tą datą, powinny one uchylić niniejsze rozporządzenie. |
|
(24) |
W odniesieniu do wszelkich innych działań objętych zakresem stosowania dyrektywy 2002/58/WE, dostawcy powinni podlegać szczegółowym obowiązkom określonym w tej dyrektywie, a w konsekwencji właściwym uprawnionym organom wyznaczonym na podstawie tej dyrektywy do monitorowania i prowadzenia postępowań wyjaśniających. |
|
(25) |
Pełne szyfrowanie transmisji jest ważnym narzędziem służącym zapewnieniu bezpieczeństwa i poufności komunikacji użytkowników, w tym dzieci. Jakiekolwiek ograniczenie szyfrowania mogłoby być potencjalnie wykorzystywane przez osoby trzecie działające w złej wierze. Żaden z przepisów niniejszego rozporządzenia nie powinien być zatem interpretowany jako zakaz lub ograniczenie pełnego szyfrowania transmisji. |
|
(26) |
Prawo do poszanowania życia prywatnego i rodzinnego, w tym poufność komunikacji, jest podstawowym prawem gwarantowanym na podstawie art. 7 Karty. Jest to zatem również warunek wstępny bezpiecznej komunikacji między ofiarami niegodziwego traktowania dzieci w celach seksualnych a zaufanymi osobami dorosłymi lub organizacjami zaangażowanymi w walkę z takim traktowaniem dzieci oraz komunikacji między ofiarami a ich prawnikami. |
|
(27) |
Niniejsze rozporządzenie nie powinno naruszać przepisów prawa krajowego dotyczących tajemnicy zawodowej, na przykład przepisów dotyczących ochrony komunikacji zawodowej między lekarzami a pacjentami, między dziennikarzami a informatorami lub między prawnikami a klientami, zwłaszcza że poufność komunikacji między prawnikami a klientami ma kluczowe znaczenie dla zapewnienia skutecznego korzystania z prawa do obrony, stanowiącego zasadniczą część prawa do rzetelnego procesu sądowego. Niniejsze rozporządzenie powinno także pozostawać bez uszczerbku dla przepisów krajowych dotyczących rejestrów organów publicznych lub organizacji oferujących doradztwo osobom znajdującym się w trudnej sytuacji. |
|
(28) |
Dostawcy powinni przekazać Komisji nazwy organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, którym zgłaszają – na podstawie niniejszego rozporządzenia – potencjalne przypadki niegodziwego traktowania dzieci w celach seksualnych w internecie. Wprawdzie wyłącznie dostawcy działający w charakterze administratorów są odpowiedzialni za ocenę, którym stronom trzecim mogą udostępnić dane osobowe na podstawie rozporządzenia (UE) 2016/679, jednak Komisja powinna zapewnić przejrzystość przekazywania informacji o potencjalnych przypadkach niegodziwego traktowania dzieci w celach seksualnych w internecie, publikując na swoich stronach internetowych wykaz zgłoszonych jej organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych. Ten publiczny wykaz powinien być łatwo dostępny. Powinno być także możliwe używanie tego wykazu przez dostawców do identyfikowania odpowiednich organizacji do celów globalnej walki z niegodziwym traktowaniem dzieci w celach seksualnych w internecie. Wykaz ten powinien pozostawać bez uszczerbku dla obowiązków dostawców działających w charakterze administratorów na podstawie rozporządzenia (UE) 2016/679, w tym w odniesieniu do obowiązku, zgodnie z którym przekazywanie danych osobowych poza Unię musi odbywać się zgodnie z rozdziałem V tego rozporządzenia, oraz do spełniania wszystkich obowiązków określonych w rozdziale IV tego rozporządzenia. |
|
(29) |
Dane statystyczne, które mają być dostarczone przez państwa członkowskie na mocy niniejszego rozporządzenia, są ważnymi wskaźnikami służącymi ocenie polityki, w tym środków ustawodawczych. Ponadto ważne jest, aby dostrzec wpływ wtórnej wiktymizacji nieodłącznie związanej z udostępnianiem zdjęć i filmów przedstawiających ofiary niegodziwego traktowania dzieci w celach seksualnych, gdyż takie zdjęcia i filmy mogą być rozpowszechniane przez lata, co nie znajduje pełnego odbicia w takich statystykach. |
|
(30) |
Zgodnie z wymogami określonymi w rozporządzeniu (UE) 2016/679, w szczególności z wymogiem, by państwa członkowskie zapewniały organom nadzorczym zasoby kadrowe, techniczne i finansowe niezbędne do skutecznego wykonywania ich zadań i uprawnień, państwa członkowskie powinny zapewnić organom nadzorczym analogiczne zasoby wystarczające do skutecznego wykonywania zadań i uprawnień na mocy niniejszego rozporządzenia. |
|
(31) |
Jeżeli dostawca przeprowadził ocenę skutków dla ochrony danych i skonsultował się z organami nadzorczymi w związku z daną technologią zgodnie z rozporządzeniem (UE) 2016/679 przed wejściem w życie niniejszego rozporządzenia, dostawca ten nie powinien mieć – na podstawie niniejszego rozporządzenia – obowiązku przeprowadzenia dodatkowej oceny skutków dla ochrony danych lub dodatkowej konsultacji, pod warunkiem że organy nadzorcze stwierdziły, że przetwarzanie danych za pomocą tej technologii nie spowoduje wysokiego ryzyka naruszenia praw i wolności osób fizycznych lub że administrator zastosował środki w celu zminimalizowania takiego ryzyka. |
|
(32) |
Użytkownicy powinni mieć prawo do skutecznego środka ochrony prawnej przed sądem, w przypadku gdy ich prawa zostały naruszone w wyniku przetwarzania danych osobowych i innych danych na potrzeby wykrywania przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie w ramach usług łączności interpersonalnej niewykorzystujących numerów i zgłaszania ich oraz usuwania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie z tych usług, na przykład gdy treści użytkownika lub jego tożsamość zostały zgłoszone organizacji działającej w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych lub organom ścigania lub gdy treści użytkownika zostały usunięte, jego konto zostało zablokowane lub usługa oferowana użytkownikowi została zawieszona. |
|
(33) |
Zgodnie z dyrektywą 2002/58/WE i zasadą minimalizacji danych przetwarzanie danych osobowych i innych danych powinno zostać ograniczone do danych dotyczących treści i powiązanych danych o ruchu, w takim zakresie, w jakim jest to bezwzględnie konieczne do osiągnięcia celu niniejszego rozporządzenia. |
|
(34) |
Odstępstwo przewidziane w niniejszym rozporządzeniu powinno obejmować kategorie danych, o których mowa w art. 5 ust. 1 i art. 6 ust. 1 dyrektywy 2002/58/WE, które mają zastosowanie do danych zarówno osobowych, jak i nieosobowych, przetwarzanych w kontekście świadczenia usług łączności interpersonalnej niewykorzystujących numerów. |
|
(35) |
Celem niniejszego rozporządzenia jest ustanowienie tymczasowego odstępstwa od niektórych przepisów dyrektywy 2002/58/WE nie powodując rozdrobnienia na rynku wewnętrznym. Ponadto przepisy krajowe prawdopodobnie nie zostałyby przyjęte na czas we wszystkich państwach członkowskich. Ponieważ cel ten nie może zostać osiągnięty w sposób wystarczający przez państwa członkowskie, natomiast możliwe jest jego lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 TUE. Zgodnie z zasadą proporcjonalności określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tego celu. Wprowadza ono tymczasowe i ściśle ograniczone odstępstwo od stosowania art. 5 ust. 1 i art. 6 ust. 1 dyrektywy 2002/58/WE, wraz z szeregiem zabezpieczeń w celu zapewnienia, że nie wykracza ono poza to, co jest konieczne do osiągnięcia wyznaczonego celu. |
|
(36) |
Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (8) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 10 listopada 2020 r., |
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Przedmiot i zakres stosowania
1. W niniejszym rozporządzeniu ustanawia się tymczasowe i ściśle ograniczone zasady stanowiące odstępstwo od niektórych obowiązków określonych w dyrektywie 2002/58/WE, którego jedynym celem jest umożliwienie dostawcom świadczącym niektóre usługi łączności interpersonalnej niewykorzystujące numerów (zwanym dalej „dostawcami”) stosowania, bez uszczerbku dla rozporządzenia (UE) 2016/679, określonych technologii przetwarzania danych osobowych i innych danych w zakresie bezwzględnie koniecznym do wykrywania w ich usługach przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie i zgłaszania ich oraz usuwania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie z ich usług.
2. Niniejsze rozporządzenie nie ma zastosowania do skanowania komunikacji audio.
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
|
1) |
„usługa łączności interpersonalnej niewykorzystująca numerów” oznacza usługę łączności interpersonalnej niewykorzystującą numerów zdefiniowaną w art. 2 pkt 7 dyrektywy (UE) 2018/1972; |
|
2) |
„materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych w internecie” oznaczają:
|
|
3) |
„nagabywanie dzieci” oznacza jakiekolwiek działanie umyślne stanowiące przestępstwo zgodnie z art. 6 dyrektywy 2011/93/UE; |
|
4) |
„niegodziwe traktowanie dzieci w celach seksualnych w internecie” oznacza materiały przedstawiające niegodziwe traktowanie dzieci w celach seksualnych w internecie oraz nagabywanie dzieci. |
Artykuł 3
Zakres odstępstwa
1. Art. 5 ust. 1 i art. 6 ust. 1 dyrektywy 2002/58/WE nie stosuje się do poufności komunikacji związanej z przetwarzaniem przez dostawców danych osobowych i innych danych w związku ze świadczeniem usług łączności interpersonalnej niewykorzystujących numerów, jeżeli:
|
a) |
przetwarzanie jest:
|
|
b) |
technologie wykorzystywane na potrzeby celu określonego w lit. a) pkt (i) niniejszego ustępu są zgodne z aktualnym stanem techniki w branży i powodują jak najmniejszą ingerencję w prywatność, w tym w odniesieniu do zasady ochrony danych w fazie projektowania i domyślnej ochrony danych, określonej w art. 25 rozporządzenia (UE) 2016/679, oraz – w zakresie, w jakim są wykorzystywane do skanowania tekstów w komunikatach – nie pozwalają wydedukować rzeczywistej treści komunikatów, a pozwalają jedynie wykryć schematy wskazujące na możliwe niegodziwe traktowanie dzieci w celach seksualnych w internecie; |
|
c) |
w odniesieniu do każdej określonej technologii wykorzystywanej na potrzeby celu określonego w lit. a) pkt (i) niniejszego ustępu przeprowadzono uprzednią ocenę skutków dla ochrony danych, o której mowa w art. 35 rozporządzenia (UE) 2016/679, oraz procedurę uprzednich konsultacji, o której mowa w art. 36 tego rozporządzenia; |
|
d) |
w odniesieniu do nowej technologii, to jest technologii stosowanej na potrzeby wykrywania materiałów przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie, która nie była stosowana przez żadnego dostawcę w związku z usługami świadczonymi użytkownikom usług łączności interpersonalnej niewykorzystujących numerów (zwanym dalej „użytkownikami”) w Unii przed dniem 2 sierpnia 2021 r., oraz w odniesieniu do technologii stosowanej na potrzeby identyfikacji potencjalnego nagabywania dzieci – dostawca składa właściwemu organowi sprawozdanie dotyczące środków podjętych w celu wykazania zgodności z pisemnym zaleceniem wydanym zgodnie z art. 36 ust. 2 rozporządzenia (UE) 2016/679 przez właściwy organ nadzorczy, wyznaczony zgodnie z rozdziałem VI sekcja 1 tego rozporządzenia (zwany dalej „organem nadzorczym”), w toku procedury uprzednich konsultacji; |
|
e) |
zastosowane technologie są wystarczająco wiarygodne, to znaczy ograniczają one w jak największym stopniu poziom błędów dotyczących wykrywania treści przedstawiających niegodziwe traktowanie dzieci w celach seksualnych w internecie, a w przypadku wystąpienia takich błędów ich skutki są niezwłocznie korygowane; |
|
f) |
technologie stosowane do wykrywania schematów potencjalnego nagabywania dzieci ograniczają się do stosowania odpowiednich kluczowych wskaźników i obiektywnie zidentyfikowanych czynników ryzyka, takich jak różnica wieku i prawdopodobny udział dziecka w skanowanej komunikacji, bez uszczerbku dla prawa do weryfikacji przez człowieka; |
|
g) |
dostawcy:
|
|
h) |
w przypadku gdy zidentyfikowano podejrzenie niegodziwego traktowania dzieci w celach seksualnych w internecie, dane dotyczące treści oraz powiązane dane o ruchu przetwarzane na potrzeby celu określonego w lit. a) pkt (i), oraz wygenerowane w wyniku takiego przetwarzania dane osobowe są przechowywane w bezpieczny sposób, wyłącznie do celów:
|
|
i) |
dane te są przechowywane nie dłużej niż jest to bezwzględnie konieczne do odpowiedniego celu określonego w lit. h), a w żadnym wypadku nie dłużej niż 12 miesięcy od dnia identyfikacji podejrzenia niegodziwego traktowania dzieci w celach seksualnych w internecie; |
|
j) |
każdy przypadek uzasadnionego i zweryfikowanego podejrzenia niegodziwego traktowania dzieci w celach seksualnych w internecie jest niezwłocznie zgłaszany właściwym krajowym organom ścigania lub organizacjom działającym w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych. |
2. Do dnia 3 kwietnia 2022 r. warunku określonego w ust. 1 lit. c) nie stosuje się do dostawców, którzy:
|
a) |
korzystali z określonej technologii przed dniem 2 sierpnia 2021 r. na potrzeby celu określonego w ust. 1 lit. a) pkt (i), bez zakończenia procedury uprzednich konsultacji w odniesieniu do tej technologii; |
|
b) |
rozpoczynają taką procedurę uprzednich konsultacji przed dniem 3 września 2021 r.; oraz |
|
c) |
należycie współpracują z właściwym organem nadzorczym w związku z procedurą uprzednich konsultacji, o której mowa w lit. b). |
3. Do dnia 3 kwietnia 2022 r., warunku określonego w ust. 1 lit. d) nie stosuje się do dostawców, którzy:
|
a) |
korzystali z technologii, o której mowa w ust. 1 lit. d), przed dniem 2 sierpnia 2021 r. bez zakończenia procedury uprzednich konsultacji w odniesieniu do tej technologii; |
|
b) |
rozpoczynają procedurę, o której mowa w ust. 1 lit. d), przed dniem 3 września 2021 r.; oraz |
|
c) |
należycie współpracują z właściwym organem nadzorczym w związku z procedurą, o której mowa w ust. 1 lit. d). |
Artykuł 4
Wytyczne Europejskiej Rady Ochrony Danych
Do dnia 3 września 2021 r. i zgodnie z art. 70 rozporządzenia (UE) 2016/679 Komisja zwraca się do Europejskiej Rady Ochrony Danych o opublikowanie wytycznych zapewniających właściwym organom nadzorczym wsparcie przy ocenie, czy przetwarzanie objęte zakresem stosowania niniejszego rozporządzenia – w odniesieniu do istniejących i nowych technologii wykorzystywanych na potrzeby celu określonego w art. 3 ust. 1 lit. a) pkt (i) niniejszego rozporządzenia – jest zgodne z rozporządzeniem (UE) 2016/679.
Artykuł 5
Skuteczne środki ochrony prawnej przed sądem
Zgodnie z art. 79 rozporządzenia (UE) 2016/679 oraz art. 15 ust. 2 dyrektywy 2002/58/WE użytkownicy mają prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uznają, że ich prawa zostały naruszone w wyniku przetwarzania danych osobowych i innych danych na potrzeby celu określonego w art. 3 ust. 1 lit. a) pkt (i) niniejszego rozporządzenia.
Artykuł 6
Organy nadzorcze
Organy nadzorcze wyznaczone na podstawie rozdziału VI sekcja 1 rozporządzenia (UE) 2016/679 monitorują przetwarzanie objęte zakresem stosowania niniejszego rozporządzenia zgodnie ze swoimi kompetencjami i uprawnieniami wynikającymi z tego rozdziału.
Artykuł 7
Publiczny wykaz organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych
1. Do dnia 3 września 2021 r. dostawcy przekazują Komisji wykaz nazw organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, którym zgłaszają, na mocy niniejszego rozporządzenia, przypadki niegodziwego traktowania dzieci w celach seksualnych w internecie. Dostawcy regularnie powiadamiają Komisję o wszelkich zmianach w tym zakresie.
2. Do dnia 3 października 2021 r. Komisja podaje do publicznej wiadomości wykaz nazw organizacji działających w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych, które zostały jej przekazane na mocy ust. 1. Komisja aktualizuje ten publiczny wykaz.
Artykuł 8
Dane statystyczne
1. Do dnia 3 sierpnia 2022 r., a następnie co roku, państwa członkowskie podają do wiadomości publicznej i przedkładają Komisji sprawozdania zawierające dane statystyczne dotyczące:
|
a) |
łącznej liczby zgłoszeń wykrytych przypadków niegodziwego traktowania dzieci w celach seksualnych w internecie, które zostały przekazane przez dostawców i organizacje działające w interesie publicznym przeciwko niegodziwemu traktowaniu dzieci w celach seksualnych właściwym krajowym organom ścigania z rozróżnieniem, jeżeli takie informacje są dostępne, na bezwzględną liczbę przypadków i przypadki zgłoszone kilkakrotnie oraz rodzaju dostawcy, w którego usługach wykryto przypadki niegodziwego traktowania dzieci w celach seksualnych w internecie; |
|
b) |
liczby dzieci zidentyfikowanych w drodze działań na podstawie art. 3, z rozróżnieniem na płeć; |
|
c) |
liczby skazanych sprawców. |
2. Komisja gromadzi dane statystyczne, o których mowa w ust. 1 niniejszego artykułu, i uwzględnia je podczas przygotowywania sprawozdania z wdrażania zgodnie z art. 9.
Artykuł 9
Sprawozdanie z wdrażania
1. Na podstawie sprawozdań przedkładanych zgodnie z art. 3 ust. 1 lit. g) pkt (vii) i danych statystycznych przekazywanych zgodnie z art. 8, do dnia 3 sierpnia 2023 r. Komisja przygotowuje sprawozdanie z wdrażania niniejszego rozporządzenia oraz przedkłada i przedstawia je Parlamentowi Europejskiemu i Radzie.
2. W sprawozdaniu z wdrażania Komisja analizuje, w szczególności:
|
a) |
warunki przetwarzania danych osobowych i innych danych określone w art. 3 ust. 1 lit. a) pkt (ii) oraz lit. b), c) i d); |
|
b) |
proporcjonalność odstępstwa przewidzianego w niniejszym rozporządzeniu, w tym ocenę danych statystycznych przedłożonych przez państwa członkowskie zgodnie z art. 8; |
|
c) |
zmiany związane z postępem technologicznym w zakresie działań objętych zakresem stosowania niniejszego rozporządzenia oraz stopień, w jakim postęp ten poprawia dokładność i zmniejsza liczbę i współczynniki błędów (wyniki fałszywie dodatnie). |
Artykuł 10
Wejście w życie i stosowanie
Niniejsze rozporządzenie wchodzi w życie trzeciego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie stosuje się do dnia 3 sierpnia 2024 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 14 lipca 2021 r.
W imieniu Parlamentu Europejskiego
D.M. SASSOLI
Przewodniczący
W imieniu Rady
A. LOGAR
Przewodniczący
(1) Dz.U. C 10 z 11.1.2021, s. 63.
(2) Stanowisko Parlamentu Europejskiego z dnia 6 lipca 2021 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 12 lipca 2021 r.
(3) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).
(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(5) Dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) (Dz.U. L 108 z 24.4.2002, s. 33).
(6) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (Dz.U. L 321 z 17.12.2018, s. 36).
(7) Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1).
(8) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).