8.2.2014 |
PL |
Dziennik Urzędowy Unii Europejskiej |
C 38/14 |
Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego oraz zmieniającej dyrektywy 2002/65/WE, 2006/48/WE i 2009/110/WE i uchylającej dyrektywę 2007/64/WE oraz dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę
(Niniejsza opinia jest dostępna w pełnym brzmieniu w języku angielskim, francuskim i niemieckim na stronie internetowej EIOD: http://www.edps.europa.eu)
(2014/C 38/07)
1. Wprowadzenie
1.1. Konsultacje z EIOD
1. |
W dniu 27 lipca 2013 r. Komisja przyjęła projekt wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego oraz zmieniającej dyrektywy 2002/65/WE, 2006/48/WE i 2009/110/WE i uchylającej dyrektywę 2007/64/WE (zwanej dalej „proponowaną dyrektywą”) oraz dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę (1). Wnioski te przesłano EIOD do konsultacji w dniu 28 lipca 2013 r. |
2. |
EIOD z zadowoleniem przyjmuje fakt przeprowadzenia z nim konsultacji przez Komisję oraz zamieszczenie odniesienia do niniejszej opinii w preambułach instrumentów. |
3. |
Przed przyjęciem proponowanego rozporządzenia EIOD miał możliwość przedstawienia Komisji nieformalnych uwag. Niektóre z nich zostały uwzględnione we wniosku. W efekcie tego zawarte w proponowanym rozporządzeniu gwarancje ochrony danych zostały wzmocnione. |
4. |
Wniosek dotyczący rozporządzenia nie budzi żadnych obaw z punktu widzenia ochrony danych, więc uwagi EIOD odnoszą się do proponowanej dyrektywy. |
1.2. Cele i zakres proponowanej dyrektywy
5. |
Celem proponowanej dyrektywy jest wsparcie procesu dalszego rozwoju ogólnounijnego rynku płatności elektronicznych, który umożliwi konsumentom, detalistom oraz innym uczestnikom rynku czerpanie w pełni z korzyści, jakie niesie unijny rynek wewnętrzny, zgodnie z założeniami strategii „Europa 2020” i agendy cyfrowej. Aby osiągnąć ten cel i wspierać większą konkurencję, wydajność i dalsze innowacje w dziedzinie e-płatności, Komisja dostrzega potrzebę zapewnienia jasności prawa i równych warunków działania, sprzyjających uniwersalnemu obniżaniu poziomu kosztów i cen dla użytkowników usług płatniczych, zapewniających większy wybór i przejrzystość usług płatniczych, ułatwiających świadczenie innowacyjnych usług płatniczych, a także zapewniających bezpieczne i przejrzyste usługi tego rodzaju. |
6. |
Komisja stwierdza, że cele te zostaną osiągnięte przez aktualizację i uzupełnienie dotychczasowych ram regulujących usługi płatnicze, ustanowienie przepisów zwiększających przejrzystość, innowacyjność i bezpieczeństwo w obszarze płatności detalicznych oraz zwiększenie spójności między przepisami poszczególnych państw członkowskich, z naciskiem na uzasadnione potrzeby konsumentów. |
3. Wnioski
EIOD z zadowoleniem przyjmuje zamieszczenie w art. 84 przepisu materialnego, w którym stwierdza się, że jakiekolwiek przetwarzanie danych osobowych w ramach proponowanej dyrektywy powinno odbywać się z pełnym poszanowaniem przepisów krajowych wdrażających dyrektywę 95/46/WE i dyrektywę 2002/58/WE, jak też przepisów rozporządzenia (WE) nr 45/2001.
EIOD zaleca, aby:
— |
odniesienia do obowiązującego prawa o ochronie danych zawrzeć w konkretnych zabezpieczeniach mających zastosowanie w każdej sytuacji, w której przewidywane jest przetwarzanie danych osobowych, |
— |
jasno wskazać w projekcie dyrektywy, że świadczenie usług płatniczych może wiązać się z przetwarzaniem danych osobowych, |
— |
wyraźnie wyjaśnić w proponowanej dyrektywie, że przetwarzanie danych osobowych może odbywać się w zakresie niezbędnym do świadczenia usług płatniczych, |
— |
dodać przepis materialny nakładający obowiązek uwzględnienia ochrony prywatności już w fazie projektowania lub domyślnej ochrony prywatności we wszystkich systemach przetwarzania danych opracowanych i wykorzystywanych w ramach proponowanej dyrektywy, |
— |
w odniesieniu do wymiany informacji: (i) wyszczególnić cele, do których dane osobowe mogą być przetwarzane przez właściwe organy krajowe, bank centralny UE, krajowe banki centralne i pozostałe organy, o których jest mowa w art. 25; (ii) określić rodzaj danych osobowych, jakie mogą być przetwarzane na podstawie proponowanej dyrektywy; oraz (iii) ustalić proporcjonalny okres zatrzymywania danych na potrzeby przetwarzania lub przynajmniej wprowadzić precyzyjne kryteria ustalania takiego okresu, |
— |
w art. 22 wprowadzić wymóg, aby właściwe organy zwracały się o dokumenty i informacje w drodze formalnej decyzji, wskazując podstawę prawną i cel wniosku oraz wymagane informacje i termin ich dostarczenia, |
— |
w art. 31 wskazać, że zasady określone w odniesieniu do udzielania informacji użytkownikom mają również zastosowanie do udzielania informacji na temat przetwarzania danych osobowych zgodnie z art. 10 i 11 dyrektywy 95/46/WE, |
— |
w przypadku pojęcia „dostępności wystarczających środków pieniężnych” w art. 58 i 59 jasno wskazać, że informacje przekazywane stronie trzeciej powinny mieć postać prostej odpowiedzi „tak” lub „nie” na pytanie, czy dostępne są wystarczające środki pieniężne, a nie na przykład informacji o saldzie rachunku, |
— |
w przypadku terminu „szczególnie chronione dane dotyczące płatności” w art. 58 skreślić wyrazy „szczególnie chronione”, stosując w zamian termin „dane dotyczące płatności”, |
— |
w motywie wyjaśnić, że obowiązki zgłaszania incydentów w zakresie bezpieczeństwa mają zastosowanie bez uszczerbku dla innych obowiązków zgłaszania incydentów określonych w pozostałym ustawodawstwie, w szczególności wymagań dotyczących naruszeń ochrony danych osobowych na mocy prawa o ochronie danych osobowych (określonych w dyrektywie 2002/58/WE oraz w proponowanym ogólnym rozporządzeniu o ochronie danych), jak też wymagań dotyczących zgłaszania incydentów w zakresie bezpieczeństwa planowanych w ramach proponowanej dyrektywy w sprawie bezpieczeństwa sieci i informacji, |
— |
zapewnić poszanowanie zasad poufności i bezpieczeństwa zgodnie z art. 16 i 17 dyrektywy 95/46/WE podczas przetwarzania danych osobowych oraz ich przekazywania przez różnych pośredników, |
— |
w proponowanej dyrektywie dodać przepis materialny nakładający obowiązek opracowania standardów na podstawie uprzednio dokonanych ocen wpływu na prywatność, |
— |
w proponowanej dyrektywie zamieścić odniesienie do konieczności przeprowadzenia konsultacji z EIOD w zakresie, w jakim wytyczne EUNB dotyczące aktualnego stanu wiedzy na temat autoryzacji klienta oraz wszelkich wyjątków od stosowania wzmocnionej autoryzacji klienta odnoszą się do przetwarzania danych osobowych. |
Sporządzono w Brukseli dnia 5 grudnia 2013 r.
Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych
(1) COM(2013) 547 final i COM(2013) 550 final.