|
20.7.2017 |
PL |
Dziennik Urzędowy Unii Europejskiej |
C 234/3 |
Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie prywatności i łączności elektronicznej (rozporządzenie w sprawie prywatności i łączności elektronicznej)
(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)
(2017/C 234/03)
W niniejszej opinii przedstawiono stanowisko EIOD na temat wniosku dotyczącego rozporządzenia w sprawie prywatności i łączności elektronicznej, które ma uchylić i zastąpić dyrektywę o prywatności i łączności elektronicznej.
Bez rozporządzenia w sprawie prywatności i łączności elektronicznej unijne ramy w zakresie prywatności i ochrony danych byłyby niekompletne. Chociaż ogólne rozporządzenie o ochronie danych jest wspaniałym osiągnięciem, potrzebujemy konkretnych narzędzi prawnych, aby chronić prawo do życia prywatnego gwarantowane art. 7 Karty praw podstawowych UE, którego kluczowym elementem jest poufność komunikacji. Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje zatem i wspiera wniosek, który ma na celu właśnie powyższe. Europejski Inspektor Ochrony Danych popiera również wybór instrumentu prawnego, mianowicie rozporządzenia, które będzie stosowane bezpośrednio i przyczyni się do większego stopnia ujednolicenia i spójności. Z zadowoleniem przyjmuje ambicję zapewnienia wysokiego poziomu ochrony odnośnie do treści i metadanych oraz wspiera cel rozszerzenia obowiązków w zakresie poufności na szerszy zakres usług, w tym tak zwanych usług OTT, co odzwierciedla postęp technologii. Uważa również, iż decyzja o nadaniu uprawnień wykonawczych jedynie organom ochrony danych oraz dostępność mechanizmów współpracy i spójności w przyszłej Europejskiej Radzie Ochrony Danych przyczyni się do spójniejszego i skuteczniejszego wykonywania przepisów w całej Unii.
Jednocześnie EIOD ma pewne obawy co do tego, czy wniosek w obecnym brzmieniu rzeczywiście może zagwarantować realizację obietnicy zapewnienia wysokiego poziomu ochrony prywatności w łączności elektronicznej. W dziedzinie prywatności i łączności elektronicznej potrzebne są nowe ramy prawne, przy czym muszą być one inteligentniejsze, precyzyjniejsze i silniejsze. Nadal jest wiele do zrobienia: złożoność zasad przedstawionych we wniosku zniechęca. Komunikaty rozkłada się na metadane, dane dotyczące treści, dane emitowane przez urządzenie końcowe. Każdemu z tych elementów przypisano inny poziom poufności i dla każdego przewidziano odrębne wyjątki. Taka złożoność może stwarzać ryzyko – prawdopodobnie niezamierzonych – luk w ochronie.
Większość definicji, na których opiera się rozporządzenie, będzie przedmiotem negocjacji i decyzji podejmowanych w kontekście innego instrumentu prawnego – europejskiego kodeksu łączności elektronicznej. Nie istnieje dzisiaj prawne uzasadnienie dla wiązania tych dwóch instrumentów w tak ścisły sposób, a definicje ukierunkowane na konkurencję i rynek zamieszczone w kodeksie nie są adekwatne do celu w kontekście praw podstawowych. Europejski Inspektor Ochrony Danych opowiada się zatem za zawarciem zestawu potrzebnych definicji w samym rozporządzeniu w sprawie prywatności i łączności elektronicznej z uwzględnieniem jego zakładanego zakresu i zakładanych celów.
Musimy również zwrócić szczególną uwagę na kwestię przetwarzania danych pochodzących z łączności elektronicznej przez administratorów danych innych niż dostawcy usług łączności elektronicznej. Dodatkowe środki ochrony proponowane odnośnie do danych pochodzących z łączności byłyby pozbawione sensu, jeżeli można by je było łatwo obejść – przykładowo – poprzez przesyłanie danych do osób trzecich. Należy również zapewnić, aby zasady w zakresie prywatności elektronicznej nie dopuszczały możliwości stosowania niższej normy ochrony niż ta przewidziana w ogólnym rozporządzeniu o ochronie danych. Należy przykładowo zapewnić rzeczywistą możliwość wyrażenia zgody, dając użytkownikom swobodny wybór zgodnie z wymogiem zawartym w ogólnym rozporządzeniu o ochronie danych. Konieczne jest zaprzestanie stosowania tak zwanych „tracking walls”. Ponadto w ramach nowych zasad konieczne jest ustanowienie rygorystycznych wymogów co do uwzględnienia ochrony prywatności już w fazie projektowania oraz domyślnej ochrony prywatności. Co więcej, w niniejszej opinii EIOD porusza również inne istotne kwestie, w tym ograniczenia zakresu praw.
1. WPROWADZENIE I KONTEKST
Niniejsza opinia (opinia) stanowi odpowiedź na wniosek Komisji Europejskiej (Komisji) o opinię Europejskiego Inspektora Ochrony Danych (EIOD), jako niezależnego organu nadzoru i organu doradczego, w sprawie wniosku dotyczącego rozporządzenia w sprawie prywatności i łączności elektronicznej (1) (wniosku). Wniosek ma uchylić i zastąpić dyrektywę 2002/58/WE o prywatności i łączności elektronicznej (dyrektywę o prywatności i łączności elektronicznej) (2). Komisja zwróciła się również z wnioskiem o opinię Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych (Grupy Roboczej Art. 29), do której to opinii EIOD wniósł swój wkład jako członek Grupy (3).
Niniejsza opinia stanowi kontynuację opinii wstępnej 5/2016 w sprawie przeglądu dyrektywy o prywatności i łączności elektronicznej (2002/58/WE) (4), wydanej przez EIOD w dniu 22 lipca 2016 r. Europejski Inspektor Ochrony Danych może również służyć radą na kolejnych etapach procedury ustawodawczej.
Przedmiotowy wniosek jest jedną z kluczowych inicjatyw w ramach strategii jednolitego rynku cyfrowego (5); celem tej inicjatywy jest zwiększenie zaufania do usług cyfrowych w UE i bezpieczeństwa tych usług, głównie poprzez zapewnienie wysokiego poziomu ochrony obywateli i równych warunków działania wszystkim uczestnikom rynku w całej UE.
Celem wniosku jest unowocześnienie i aktualizacja dyrektywy o prywatności i łączności elektronicznej, co stanowi element szerzej zakrojonych starań o zapewnienie spójnych i zharmonizowanych ram prawnych służących ochronie danych w Europie. Dyrektywa o prywatności i łączności elektronicznej dookreśla i uzupełnia dyrektywę 95/46/WE (6), która zostanie zastąpiona przyjętym niedawno ogólnym rozporządzeniem o ochronie danych (7).
W pierwszej kolejności EIOD w części 2 podsumowuje główne spostrzeżenia dotyczące wniosku, koncentrując się na pozytywnych aspektach wniosku. Po drugie, w części 3, przedstawia swoje główne nierozwiane obawy i zalecenia dotyczące tego, jak się do nich odnieść. Dodatkowe obawy i zalecenia dotyczące dalszych ulepszeń opisano w załączniku do niniejszej opinii, w którym omówiono wniosek w sposób bardziej szczegółowy. Odniesienie się do obaw, o których wspomniano w niniejszej opinii i załączniku do niej, oraz dopracowanie tekstu rozporządzenia w sprawie prywatności i łączności elektronicznej nie tylko służyłoby lepszej ochronie użytkowników końcowych i innych zainteresowanych osób, których dane dotyczą, ale również wprowadziłoby większą pewność prawa dla wszystkich zainteresowanych stron.
4. WNIOSKI
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje wniosek Komisji dotyczący unowocześnionego, zaktualizowanego i wzmocnionego rozporządzenia w sprawie prywatności i łączności elektronicznej. Podziela pogląd, iż nadal istnieje potrzeba funkcjonowania konkretnych zasad służących ochronie poufności i bezpieczeństwa łączności elektronicznej w UE oraz uzupełnienia i uszczegółowienia wymogów ogólnego rozporządzenia o ochronie danych. Uznaje również, że potrzebujemy prostych, ukierunkowanych i neutralnych technologicznie przepisów, które zapewnią zdecydowaną, inteligentną i skuteczną ochronę na najbliższą przyszłość.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje zadeklarowany ambitny zamiar zapewnienia wysokiego poziomu ochrony zarówno w odniesieniu do treści, jak i metadanych, w szczególności kluczowych elementów pozytywnych wymienionych w części 2.1.
Chociaż zasadniczo EIOD z zadowoleniem przyjmuje omawiany wniosek, ma pewne obawy co do szeregu przepisów, które stwarzają ryzyko podważenia intencji Komisji, jaką jest zapewnienie wysokiego poziomu ochrony prywatności w łączności elektronicznej. W szczególności EIOD kieruje następujące główne zastrzeżenia:
|
— |
definicje zawarte we wniosku nie mogą być zależne od odrębnej procedury ustawodawczej dotyczącej dyrektywy ustanawiającej europejski kodeks łączności elektronicznej (8) (wniosek dotyczący europejskiego kodeksu łączności elektronicznej), |
|
— |
należy wzmocnić przepisy dotyczące zgody użytkownika końcowego. Osoby korzystające z usług oraz wszystkie strony aktu łączności muszą być pytane o zgodę niezależnie od tego, czy subskrybują one te usługi czy nie. Ponadto należy również chronić osoby, których dane dotyczą, a które nie są stronami aktu łączności, |
|
— |
należy dopilnować, aby relacja między ogólnym rozporządzeniem o ochronie danych a rozporządzeniem w sprawie prywatności i łączności elektronicznej nie pozostawiała luk prawnych w ochronie danych osobowych. Dane osobowe gromadzone na podstawie zgody użytkownika końcowego lub na innej zgodnej z prawem podstawie przewidzianej rozporządzeniem w sprawie prywatności i łączności elektronicznej nie mogą być następnie przetwarzane w zakresie wykraczającym poza zakres takiej zgody lub wyjątku stosowanego w oparciu o podstawę prawną, jakie mogłyby wystąpić na mocy ogólnego rozporządzenia o ochronie danych, ale nie występują na mocy rozporządzenia w sprawie prywatności i łączności elektronicznej, |
|
— |
wniosek nie świadczy o dostatecznych ambicjach co do tak zwanych „tracking walls” (zwanych również „cookie walls”). Dostęp do stron internetowych nie może być zależny od przymuszenia osoby do wyrażenia „zgody” na monitorowanie jej aktywności na różnych stronach internetowych. Innymi słowy EIOD wzywa prawodawców do zapewnienia pełnej dobrowolności zgody, |
|
— |
wniosek nie gwarantuje, że przeglądarki (i innego typu oprogramowanie wprowadzane na rynek i umożliwiające łączność elektroniczną) domyślnie będą ustawione w taki sposób, aby zapobiegać śledzeniu „cyfrowego śladu” osób fizycznych, |
|
— |
wyjątki dotyczące śledzenia lokalizacji urządzenia końcowego są zbyt szerokie i pozbawione odpowiednich zabezpieczeń, |
|
— |
wniosek przewiduje możliwość wprowadzania ograniczeń przez państwa członkowskie; należałoby wprowadzić konkretne zabezpieczenia. |
Powyższe główne zastrzeżenia wraz z zaleceniami dotyczącymi tego, jak się do nich odnieść, przedstawiono w niniejszej opinii. Europejski Inspektor Ochrony Danych, poza przekazaniem ogólnych komentarzy i przedstawieniem kluczowych obaw wyrażonych we właściwej treści opinii, formułuje również – niekiedy bardziej techniczne – uwagi i zalecenia dotyczące wniosku w załączniku, w szczególności w celu usprawnienia pracy prawodawców i innych zainteresowanych stron chcących ulepszyć tekst rozporządzenia w procesie legislacyjnym. Europejski Inspektor Ochrony Danych odnotowuje również znaczenie szybkich prac prawodawców nad tym niezwykle ważnym aktem, które pozwolą zapewnić, aby rozporządzenie w sprawie prywatności i łączności elektronicznej mogło zgodnie z założeniem obowiązywać od dnia 25 maja 2018 r., a więc dnia, od którego zastosowanie będzie miało samo ogólne rozporządzenie o ochronie danych.
Wraz ze zwiększoną rolą łączności elektronicznej w naszym społeczeństwie i gospodarce wzrasta również znaczenie poufności komunikacji, o której mowa w art. 7 Karty praw podstawowych Unii Europejskiej. Zabezpieczenia przedstawione w niniejszej opinii odegrają kluczową rolę w zapewnieniu skutecznej realizacji długoterminowych celów strategicznych określonych przez Komisję w strategii jednolitego rynku cyfrowego.
Sporządzono w Brukseli dnia 24 kwietnia 2017 r.
Giovanni BUTTARELLI
Europejski Inspektor Ochrony Danych
(1) Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej), COM(2017) 10 final, 2017/0003 (COD).
(2) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz.U. L 201 z 31.7.2002, s. 37).
(3) Opinia 1/2017 Grupy Roboczej Art. 29 w sprawie proponowanego rozporządzenia w sprawie prywatności i łączności elektronicznej (2002/58/WE) (WP247) przyjęta w dniu 4 kwietnia 2017 r. Zob. także opinia 3/2016 Grupy Roboczej Art. 29 w sprawie oceny i przeglądu dyrektywy o prywatności i łączności elektronicznej (2002/58/WE) (WP240) przyjęta w dniu 19 lipca 2016 r.
(4) Zob.https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf.
(5) Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów, Strategia jednolitego rynku cyfrowego dla Europy (COM(2015) 192 final z dnia 6 maja 2015 r.), dostępny na stronie: http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52015DC0192&qid=1472468539690&from=PL.
(6) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).
(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(8) Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady ustanawiającej europejski kodeks łączności elektronicznej, COM(2016) 590 final/2, 2016/0288(COD) z dnia 12 października 2016 r.