6.6.2009   

PL

Dziennik Urzędowy Unii Europejskiej

C 128/1

1.

W dniu 28 maja 2008 r. prezydencja Rady Unii Europejskiej – z myślą o szczycie UE zaplanowanym na 12 czerwca 2008 r. – przekazała COREPER-owi informację o tym, że grupa kontaktowa wysokiego szczebla UE–USA ds. wymiany informacji oraz ochrony prywatności i danych osobowych (zwana dalej „grupą kontaktową”) ostatecznie zakończyła prace nad swoim sprawozdaniem. W dniu 26 czerwca 2008 r. sprawozdanie to zostało podane do wiadomości publicznej (1).

2.

W sprawozdaniu starano się wskazać wspólne zasady, którym podlegałaby ochrona prywatności i danych, a tym samym poczynić pierwszy krok ku wymianie informacji między UE a USA w celu walki z terroryzmem i z poważną przestępczością międzynarodową.

3.

W swoim oświadczeniu prezydencja Rady zakomunikowała, że oczekuje na wszelkie pomysły co do realizacji sprawozdania, a zwłaszcza na opinie o zawartych w nim zaleceniach na temat dalszych działań. Wydając niniejszą opinię, Inspektor odpowiada na to zaproszenie; opiera się przy tym na upublicznionych informacjach o stanie prac i zastrzega możliwość zabrania głosu także później, jeżeli prace te będą się rozwijać.

4.

Inspektor odnotowuje, że prace grupy kontaktowej toczyły się w sytuacji, gdy – zwłaszcza po dniu 11 września 2001 r. – dzięki umowom międzynarodowym lub innym rodzajom aktów rozwijała się wymiana danych pomiędzy USA i UE. Wśród wspomnianych umów i innych aktów należy wymienić umowy Europolu i Eurojustu z USA, umowy w sprawie danych o przelocie pasażera (PNR), a także sprawę SWIFT, która zaowocowała wymianą listów pomiędzy przedstawicielami UE i USA służącą ustanowieniu minimalnych gwarancji ochrony danych (2).

5.

Ponadto UE negocjuje i zatwierdza podobne akty przewidujące wymianę danych osobowych z innymi krajami trzecimi. Ostatnim tego przykładem jest Umowa między Unią Europejską a Australią o przetwarzaniu i przekazywaniu przez przewoźników lotniczych australijskiej służbie celnej danych dotyczących przelotu pasażera (danych PNR) pochodzących z Unii Europejskiej (3).

6.

Wynika z tego, że zapotrzebowanie organów ochrony porządku publicznego z krajów trzecich na dane osobowe wciąż rośnie i oprócz tradycyjnych rządowych baz danych zaczyna obejmować także innego rodzaju rejestry, zwłaszcza takie, w których znajdują się dane zgromadzone przez sektor prywatny.

7.

Inspektor chciałby zwrócić uwagę na jeszcze jedną ważną kwestię, a mianowicie na to, że problem przekazywania danych osobowych do krajów trzecich w ramach współpracy policyjnej i sądowej w sprawach karnych poruszono także w decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (4); decyzja ta powinna zostać przyjęta jeszcze w 2008 r.

8.

Należy się spodziewać, że transatlantycka wymiana informacji będzie rosła i obejmie kolejne sektory, w których przetwarza się dane osobowe. W tej sytuacji rozmowy o „transatlantyckim egzekwowaniu prawa” są potrzebne, a jednocześnie trudne. Są potrzebne w tym sensie, że mogą skutkować bardziej przejrzystymi przepisami prawnymi o wymianie danych, która już się odbywa lub będzie się odbywać w przyszłości. Są także trudne, ponieważ takie przepisy mogłyby umożliwić masowe przekazywanie danych w sektorze egzekwowania prawa, którego wpływ na obywateli jest wyjątkowo poważny, a więc w którym tym bardziej muszą obowiązywać ścisłe i niezawodne zabezpieczenia i gwarancje (5).

9.

W następnym rozdziale niniejszej opinii skoncentrowano się na obecnym stanie prac i na możliwościach dalszych działań. W rozdziale III skupiono się na zakresie i charakterze aktu, który pozwoli wymieniać się informacjami. W rozdziale IV rozpatrzono – z ogólnego punktu widzenia – kwestie prawne związane z treścią ewentualnej umowy. Poruszono takie sprawy jak warunki pomagające ocenić gwarantowany przez USA stopień ochrony danych oraz omówiono stosowanie unijnych ram regulacyjnych jako punktu odniesienia pozwalającego ocenić wspomniany stopień ochrony danych. W rozdziale tym zamieszczono także wykaz podstawowych wymogów, które należy zawrzeć w takiej umowie. Natomiast w rozdziale V przeanalizowano załączone do sprawozdania zasady rządzące prywatnością.

10.

Inspektor ocenia obecny stan prac następująco: osiągnięto pewne postępy w wypracowywaniu definicji wspólnych norm wymiany informacji oraz ochrony prywatności i danych osobowych.

11.

Jednak prace przygotowawcze zmierzające do opracowania dowolnego rodzaju umowy pomiędzy UE a USA jeszcze się nie zakończyły. Potrzeba dodatkowych wysiłków. Już w samym sprawozdaniu grupy kontaktowej wskazano kilka nierozstrzygniętych kwestii, z których najważniejszą jest sprawa środków odwoławczych. Nie porozumiano się jeszcze co do niezbędnego zakresu sądowych środków odwoławczych (6). W rozdziale 3 sprawozdania wymieniono jeszcze pięć innych nierozstrzygniętych kwestii. Ponadto z niniejszej opinii wynika, że nie rozwiązano jeszcze wielu innych problemów, np. tego, jaki zakres i charakter ma mieć akt dotyczący wymiany informacji.

12.

Ponieważ w sprawozdaniu za pożądaną opcję uznano wiążącą umowę – a Inspektor podziela tę opinię – tym bardziej potrzeba rozwagi. Zanim dojdzie do porozumienia, należy przeprowadzić dalsze uważne i dogłębne przygotowania.

13.

Ponadto, zdaniem Inspektora, najlepiej, gdyby do zawarcia umowy doszło, gdy obowiązywać będzie Traktat Lizboński – o ile oczywiście wejdzie on w życie. W jego przypadku nie ma wątpliwości co do rozgraniczenia między poszczególnymi filarami UE, a zatem sprzyja on pewności prawa. Ponadto zagwarantuje pełne zaangażowanie ze strony Parlamentu Europejskiego oraz kontrolę sądową ze strony Trybunału Sprawiedliwości.

14.

W tej sytuacji najlepszym sposobem dalszych działań byłoby przygotowanie planu prac, który prowadziłby do sporządzenia umowy na późniejszym etapie. Taki plan mógłby zawierać następujące elementy:

15.

Inspektor sądzi, że niezwykle ważne jest, by w pierwszej kolejności wyraźnie zdefiniować zakres i charakter ewentualnego aktu, w tym zasady rządzące ochroną danych, ponieważ pozwoli to następnie dalej go rozwijać.

16.

Jeżeli chodzi o zakres aktu, należy odpowiedzieć na następujące istotne pytania:

17.

Definiując charakter aktu, należy sprecyzować następujące kwestie:

18.

Choć w sprawozdaniu grupy kontaktowej nie powiedziano wyraźnie, jaki zakres miałby dokładnie mieć przyszły akt, z zasad, o których mowa w tym dokumencie, można wywnioskować, że ma objąć przekazywanie danych zarówno między podmiotami prywatnymi a publicznymi (7), jak i między władzami publicznymi.

19.

Inspektor dostrzega logikę przemawiającą za zastosowaniem przyszłego aktu do przekazywania danych między podmiotami prywatnymi a publicznymi. Dokument ten jest opracowywany, ponieważ w ostatnich latach z USA nadchodzą prośby o udostępnianie informacji przez podmioty prywatne. Inspektor odnotowuje, że podmioty prywatne faktycznie coraz częściej stają się źródłem informacji przeznaczonych do celów egzekwowania prawa – zarówno na szczeblu UE, jak i na szczeblu międzynarodowym (8). Ważny precedens stanowiła sprawa SWIFT, kiedy to prywatne przedsiębiorstwo zostało poproszone o systematyczne przekazywanie hurtowej ilości danych organom ochrony porządku publicznego z kraju trzeciego (9). Ta sama logika przemawia za gromadzeniem danych o przelocie pasażera od linii lotniczych. Jednak już w opinii na temat projektu decyzji ramowej o europejskim systemie takich danych Inspektor zakwestionował zgodność tych działań z prawem (10).

20.

Istnieją jeszcze dwa inne powody, dla których objęcie przyszłym aktem przekazywania danych między podmiotami prywatnymi a publicznymi budzi wątpliwości.

21.

Po pierwsze, działanie takie może przynieść niepożądane skutki na terytorium samej UE. Inspektor ma poważne obawy, że jeśli dane pochodzące od prywatnych przedsiębiorstw (np. instytucji finansowych) z zasady będą mogły być przekazywane krajom trzecim, spowoduje to poważną presję, by tego samego rodzaju dane były również udostępniane organom ochrony porządku publicznego w UE. Przykładem takiego niepożądanego następstwa wydarzeń jest system danych o przelocie pasażera, który rozpoczął się od hurtowego gromadzenia danych pasażerów przez USA, a następnie został przeniesiony na wewnętrzny europejski grunt (11), choć nie wykazano wyraźnie potrzeby ani adekwatności takiego systemu.

22.

Po drugie, w opinii na temat wniosku Komisji w sprawie europejskiego systemu danych o przelocie pasażera Inspektor poruszył także problem tego, które przepisy prawne (pierwszy czy trzeci filar) należy stosować, określając warunki współpracy miedzy podmiotami publicznymi a prywatnymi: czy reguły powinny zależeć od cech administratora danych (sektor prywatny) czy od wyznaczonego celu (egzekwowanie prawa)? Rozgraniczenie między pierwszym a trzecim filarem nie jest jasne w sytuacjach, gdy na podmioty prywatne nakłada się obowiązek przetwarzania danych osobowych do celów egzekwowania prawa. Znaczący w tym kontekście jest fakt, że rzecznik generalny Yves Bot w swojej niedawnej opinii w sprawie zatrzymywania danych (12) proponuje rozgraniczyć te sytuacje, ale dodaje: „Taka linia demarkacyjna nie jest oczywiście przyjmowana w pełni bezkrytycznie i może się pod pewnymi względami wydawać sztuczna”. Inspektor odnotowuje również, że wyrok Trybunału w sprawie danych o przelotach pasażera (13) nie daje pełnej odpowiedzi na pytanie o stosowne przepisy prawne. Na przykład fakt, że niektóre działania nie są objęte dyrektywą 95/46/WE nie oznacza automatycznie, że mogą być regulowane w ramach trzeciego filaru. W efekcie wyrok prawdopodobnie pozostawia lukę co do tego, które prawodawstwo należy stosować, a w każdym razie sprzyja niepewności prawa, jeżeli chodzi o gwarancje prawne przysługujące osobom, których dane dotyczą.

23.

W związku z powyższym Inspektor zwraca uwagę, że należy dopilnować, by przyszły akt, zawierający ogólne zasady ochrony danych, nie legitymizował jako takiego transatlantyckiego przekazywania danych osobowych między podmiotami prywatnymi a publicznymi. O takim przekazywaniu danych przyszły akt może mówić tylko wtedy, gdy:

Ponadto Inspektor zwraca uwagę, że istnieje niepewność co do stosownych przepisów prawnych o ochronie danych, i dlatego apeluje, by w żadnym wypadku nie przewidywać w umowie przekazywania danych osobowych między podmiotami prywatnymi a publicznymi na mocy obecnie obowiązującego prawa UE.

24.

Niejasny jest dokładny zakres wymiany informacji. Podczas dalszych prac zmierzających do sporządzenia wspólnego aktu należy w pierwszej kolejności sprecyzować jego planowany zakres. Wątpliwości budzi przede wszystkim to, czy:

25.

Zdefiniowany cel ewentualnej umowy również pozostawia pewne wątpliwości. O celach związanych z egzekwowaniem prawa wyraźnie wspomniano we wprowadzeniu do przedmiotowego sprawozdania oraz w omówieniu pierwszej załączonej zasady; zostaną one dokładniej przeanalizowane w rozdziale IV niniejszej opinii. Inspektor już teraz zwraca uwagę, że ze stwierdzeń tych wynika, iż wymiana danych będzie dotyczyć głównie spraw objętych trzecim filarem, ale można się zastanawiać, czy nie jest to pierwszy krok do szerszej wymiany informacji. Wydaje się jasne, że wspomniane w sprawozdaniu cele z zakresu „bezpieczeństwa publicznego” to między innymi walka z terroryzmem, przestępczością zorganizowaną i innymi przestępstwami. Czy oznacza to jednak, że dopuszczalna byłaby wymiana danych w innego rodzaju interesie publicznym, np. w przypadku zagrożeń dla zdrowia publicznego?

26.

Inspektor zaleca, by ograniczyć cel umowy do dokładnie określonego przetwarzania danych i uznać za zasadne decyzje polityczne prowadzące do takiego zdefiniowania celu.

27.

Szeroki zakres przedmiotowego sprawozdania należy interpretować w powiązaniu z problemem globalnego transatlantyckiego obszaru bezpieczeństwa – tematem omawianym przez tzw. grupę ds. przyszłości (14). Sprawozdanie tej grupy, wydane w czerwcu 2008 r., kładzie pewien nacisk na zewnętrzny wymiar polityki wewnętrznej. Mówi ono, że „do roku 2014 Unia Europejska powinna się także określić co do politycznego celu, jakim byłoby stworzenie euro-atlantyckiej przestrzeni współpracy z USA w dziedzinie wolności, bezpieczeństwa i sprawiedliwości”. Taka współpraca wykroczyłaby poza sprawy bezpieczeństwa sensu stricto i objęłaby kwestie podlegające obecnie tytułowi IV Traktatu WE, takie jak imigracja, wizy i azyl oraz współpraca w dziedzinie prawa cywilnego. Należy zadać pytanie, do jakiego stopnia umowa w sprawie podstawowych zasad ochrony danych, takich jak zasady wymienione w sprawozdaniu grupy kontaktowej, może i powinna służyć za podstawę do wymiany informacji w tak szerokiej dziedzinie.

28.

W normalnych warunkach do 2014 roku struktura filarowa przestanie istnieć, a ochrona danych w UE będzie mieć jedną podstawę prawną (na mocy traktatu lizbońskiego: art. 16 Traktatu o funkcjonowaniu Unii Europejskiej). Jednak fakt, że na szczeblu UE obowiązuje harmonizacja przepisów o ochronie danych, nie oznacza, że jakakolwiek umowa z krajem trzecim miałby umożliwiać przekazywanie jakichkolwiek danych osobowych do jakichkolwiek celów. Zależnie od kontekstu i warunków przetwarzania danych, w określonych dziedzinach, takich jak egzekwowanie prawa, potrzebne mogą być specjalnie dostosowane gwarancje ochrony danych. Inspektor zaleca, by podczas opracowywania przyszłej umowy wziąć pod uwagę skutki ewentualnych przyszłych zmian.

29.

Najpierw należy przede wszystkim określić, w ramach którego filaru negocjowana będzie umowa. Jest to niezbędne, ponieważ umowa taka będzie miała wpływ na wewnętrzne ramy regulacyjne dotyczące ochrony danych. Czy będą to akty prawne podlegające pierwszemu filarowi – głównie dyrektywa 95/46/WE i jej specjalny system przekazywania danych do krajów trzecich – czy może akty podlegające trzeciemu filarowi i przewidujące mniej rygorystyczny system przekazywania danych do krajów trzecich (15)?

30.

Choć – jak już wspomniano – przeważają cele związane z egzekwowaniem prawa, jednak grupa kontaktowa w swoim sprawozdaniu wspomina o gromadzeniu danych od podmiotów prywatnych, a same cele można interpretować szeroko, odnosząc je nie tylko do samego bezpieczeństwa, np. do imigracji i kontroli granicznej, lecz także np. do zdrowia publicznego. W związku z tymi niejasnościami najlepiej byłoby poczekać na harmonizację filarów w prawie UE przewidzianą w traktacie lizbońskim i dopiero wtedy wyraźnie ustalić podstawę prawną negocjacji oraz dokładną rolę instytucji europejskich, zwłaszcza Parlamentu Europejskiego i Komisji.

31.

Należy wyjaśnić, czy efektem rozmów będzie protokół ustaleń lub inny niewiążący akt, czy może wiążąca umowa międzynarodowa.

32.

Inspektor podobnie jak autorzy sprawozdania opowiada się za wiążącą umową. Jego zdaniem oficjalna wiążąca umowa jest niezbędnym warunkiem tego, by jakiekolwiek dane mogły być przekazywane poza UE, bez względu na cel ich przekazywania. Nie można przekazywać danych do kraju trzeciego, jeżeli nie istnieje konkretny (i wiążący) akt prawny zawierający odpowiednie warunki i zabezpieczenia. Innymi słowy, protokół ustaleń lub inny niewiążący akt mogą być użyteczne jako wskazówka w negocjacjach nad dalszymi wiążącymi umowami, ale nigdy nie mogą takich umów zastąpić.

33.

Postanowienia aktu powinny być wiążące zarówno dla USA, jak i dla UE i jej państw członkowskich.

34.

Należy ponadto dopilnować, by na podstawie uzgodnionych zasad osoby fizyczne mogły korzystać ze swoich praw, a zwłaszcza sięgać po środki odwoławcze. Inspektor jest zdania, że najlepiej byłoby w tym celu tak sformułować merytoryczne postanowienia aktu, by miały bezpośredni skutek wobec mieszkańców Unii Europejskiej i by można się było na nie powołać przed sądem. Dlatego też w akcie należy wyjaśnić, że postanowienia umowy międzynarodowej mają bezpośredni skutek i że zawiera ona warunki transpozycji aktu do wewnętrznego prawa europejskiego i krajowego, by zapewnić skuteczność środków.

35.

Zasadniczą kwestią jest także to, w jakim stopniu umowa ma być samodzielnym aktem, a w jakim powinna być uzupełniana – w pojedynczych przypadkach – dalszymi umowami dotyczącymi konkretnej wymiany danych. Wątpliwe jest, czy pojedyncza umowa mogłaby w dostateczny sposób, za pomocą jednego zbioru norm, objąć różnorodne specyficzne cechy przetwarzania danych w ramach trzeciego filaru. Jeszcze bardziej wątpliwe jest, czy powinna dopuszczać – bez dodatkowych rozmów i zabezpieczeń – ogólną zgodę na wszelkiego rodzaju przekazywanie danych osobowych, bez względu na cel tego działania i na charakter danych. Poza tym umowy z krajami trzecimi niekoniecznie są zawierane na stałe, ponieważ mogą się wiązać z określonymi zagrożeniami, mogą podlegać przeglądowi, w tym przeglądowi wygaśnięcia. Z drugiej strony wspólne minimalne normy zatwierdzone w wiążącym akcie mogłyby sprzyjać dalszym rozmowom o przekazywaniu danych osobowych związanych z określonymi bazami danych lub z określonym procesem przetwarzania.

36.

Dlatego Inspektor opowiada się raczej za minimalnymi kryteriami ochrony danych, które uzupełniano by w pojedynczych przypadkach o dodatkowe postanowienia szczegółowe, jak wspomniano w sprawozdaniu grupy kontaktowej, niż za samodzielną umową. Te dodatkowe postanowienia są wstępnym warunkiem, od którego zależałaby możliwość przekazania danych w konkretnym przypadku. Sprzyjałoby to zharmonizowanemu podejściu do ochrony danych.

37.

Należy również przeanalizować, jak ewentualna umowa ogólna miałaby się do już obowiązujących umów między UE a USA. Należy zauważyć, że umowy te nie mają jednakowo wiążącego charakteru: wystarczy wspomnieć zwłaszcza umowę w sprawie danych o przelocie pasażera (dającą większą pewność prawa), umowy z Europolem i Eurojustem czy wymianę listów w sprawie SWIFT (16). Czy nowa umowa ogólna miałaby uzupełniać te akty czy raczej pozostawiłaby je nienaruszone, a stosowała się wyłącznie do przyszłej wymiany danych osobowych? Zdaniem Inspektora dla spójności prawa potrzebny byłby zharmonizowany zbiór reguł, który miałby zastosowanie zarówno do obowiązujących, jak i przyszłych wiążących umów o przekazywaniu danych i który by te umowy uzupełniał.

38.

Zastosowanie umowy ogólnej do już obowiązujących aktów pozwoliłoby nadać im bardziej wiążący charakter. Byłoby to szczególnie pożądane w przypadku aktów, które nie są prawnie wiążące, np. wymiany listów w sprawie SWIFT, ponieważ nakładałoby przynajmniej obowiązek przestrzegania kilku ogólnych zasad odnoszących się do prywatności.

39.

W niniejszym rozdziale uwagę poświęcono temu, w jaki sposób ocenić stopień ochrony danych, który zapewniają określone przepisy prawne lub określony akt, w tym – jakie punkty odniesienia i jakie podstawowe wymogi stosować.

40.

Zdaniem Inspektora powinno być jasne, że przyszły akt ma dać przede wszystkim następujący efekt: przekazywanie danych osobowych do USA może mieć miejsce tylko wtedy, gdy władze tego kraju zapewnią odpowiedni stopień ich ochrony (i odwrotnie).

41.

Inspektor sądzi, że o dostatecznym stopniu ochrony danych osobowych zaświadczyć może tylko faktyczna próba adekwatności. Uważa on, że ogólna umowa ramowa o zakresie tak szerokim, jak zaproponowano w sprawozdaniu grupy kontaktowej, mogłaby takiej próby nie przejść. Adekwatność umowy ogólnej można ocenić tylko w połączeniu z adekwatnością umów szczegółowych zawartych w pojedynczych przypadkach.

42.

Ocena stopnia ochrony, jaki zapewniają kraje trzecie, nie jest niczym niezwykłym, zwłaszcza dla Komisji Europejskiej: w ramach pierwszego filaru odpowiedni stopień ochrony jest warunkiem przekazania danych. Kilkakrotnie oceniano go na mocy art. 25 dyrektywy 95/46 z użyciem konkretnych kryteriów i potwierdzano decyzjami Komisji Europejskiej (17). W ramach trzeciego filaru systemu takiego nie przewidziano wyraźnie: dokonywanie oceny, czy ochrona jest odpowiednia, zalecono wyłącznie w szczególnej sytuacji określonej w art. 11 i 13 jeszcze nieprzyjętej decyzji ramowej o ochronie danych (18) i pozostawiono to zadanie państwom członkowskim.

43.

W obecnie omawianym przypadku próba obejmuje także cele związane z egzekwowaniem prawa, a rozmowy prowadzi Komisja pod nadzorem Rady. Kontekst sytuacyjny jest inny niż wtedy, gdy oceniano zasady dotyczące bezpiecznego transferu danych osobowych (safe harbour principles) lub prawodawstwo kanadyjskie, i bardziej wiąże się z niedawnymi negocjacjami w sprawie danych o przelocie pasażera prowadzonymi z USA i z Australią na mocy prawodawstwa z trzeciego filaru. O zasadach zaproponowanych przez grupę kontaktową wspomniano jednak także w kontekście programu znoszenia wiz, który dotyczy granic i imigracji, a więc kwestii z pierwszego filaru.

44.

Inspektor zaleca, aby sprawdzając na mocy przyszłego aktu, czy stopień ochrony danych jest odpowiedni, zawsze korzystano z doświadczeń zebranych we wspomnianych dziedzinach. Zaleca, by w kontekście przyszłego aktu rozwinąć pojęcie „odpowiedniego stopnia ochrony danych”, opierając się na podobnych kryteriach jak te, które stosowano we wcześniejszych próbach adekwatności.

45.

Drugi element, który składa się na stopień ochrony danych, wiąże się ze wzajemnym uznawaniem przez UE i USA swoich systemów. W tej kwestii sprawozdanie grupy kontaktowej stwierdza, że należy „doprowadzić do wzajemnego uznawania skuteczności systemów ochrony prywatności i danych w dziedzinach objętych przedmiotowymi zasadami” (19) oraz do „równorzędnego i wzajemnego stosowania prawa o ochronie prywatności i danych osobowych”.

46.

Inspektor uważa za oczywiste, że wzajemnie uznawać swoje systemy (reguła wzajemności) można tylko wtedy, gdy gwarantowany jest odpowiedni stopień ochrony danych. Innymi słowy, w przyszłym akcie należy zapewnić zharmonizowany minimalny stopień ochrony (dzięki badaniu stopnia ochrony danych i uwzględnianiu zapotrzebowania na umowy szczegółowe w pojedynczych przypadkach). Tylko pod tym warunkiem może obowiązywać reguła wzajemności.

47.

Pierwszym elementem, który należy mieć na uwadze, jest wzajemność merytorycznych przepisów o ochronie danych. Zdaniem Inspektora umowa zrealizuje koncepcję wzajemności merytorycznych przepisów o ochronie danych, o ile zagwarantuje z jednej strony, że przetwarzanie danych na terytorium UE (i USA) będzie się odbywać z pełnym poszanowaniem wewnętrznego prawa o ochronie danych, a z drugiej strony – że przetwarzanie danych objętych przedmiotową umową poza krajem, z którego pochodzą, będzie się odbywać z poszanowaniem przewidzianych w tej umowie zasad ochrony danych.

48.

Drugim elementem wzajemności są mechanizmy odwoławcze. Należy dopilnować, by obywatele UE dysponowali odpowiednimi środkami odwoławczymi, gdy dane ich dotyczące będą przetwarzane w USA (niezależnie od tego, na mocy jakiego prawa odbywa się przetwarzanie), ale również – by Unia Europejska i jej państwa członkowskie dawały takie same prawa obywatelom USA.

49.

Trzecim elementem jest wzajemność dostępu, jaki do danych osobowych mają organy ochrony porządku publicznego. Jeżeli jakikolwiek akt daje władzom USA dostęp do danych pochodzących z Unii Europejskiej, wzajemność wymaga, by taki sam dostęp do danych pochodzących z USA uzyskały władze UE. Wzajemność nie może osłabić ochrony osoby, której dotyczą dane. To warunek, od którego zależy transatlantycki dostęp organów ochrony porządku publicznego do danych osobowych. Konkretnie oznacza to, że:

50.

Należy wyszczególnić warunki oceny (odpowiedni stopień ochrony, równoważność, wzajemne uznawanie swoich systemów), ponieważ od tego zależy treść umowy, to znaczy jej precyzyjność, pewność prawa i skuteczność ochrony danych. Treść przyszłego aktu musi być precyzyjna i ścisła.

51.

Poza tym należy pamiętać, że każda umowa szczegółowa zawarta w dalszej kolejności będzie musiała przewidywać dokładne i kompletne zabezpieczenia w zakresie ochrony danych w stosunku do osoby, której dotyczą wymieniane dane. Tylko takie dwustopniowe, konkretne zasady ochrony danych sprawią, że umowa ogólna i umowy szczegółowe będą się dopełniać, o czym już wspomniano w pkt 35 i 36 niniejszej opinii.

52.

Na szczególną uwagę zasługuje to, do jakiego stopnia umowa z USA może posłużyć za wzór dla umów z innymi krajami trzecimi. Inspektor zwraca uwagę, że w wyżej wspomnianym sprawozdaniu grupy kontaktowej jako strategicznego partnera UE wskazano oprócz USA także Rosję. O ile zasady zawarte w umowie będą neutralne i zgodne z podstawowymi unijnymi zabezpieczeniami, mogą stanowić użyteczny precedens. Jednak przeciw bezpośredniej transpozycji umowy przemawia jej specyfika związana np. z przepisami prawnymi kraju otrzymującego dane lub z celem przekazywania tych danych. Równie decydujący będzie stan demokracji w krajach trzecich: należy się upewnić, czy kraj otrzymujący dane będzie faktycznie respektował i skutecznie wdrażał uzgodnione zasady.

53.

Odpowiedni stopień ochrony danych – ewidentny lub domniemany – zawsze powinien być zgodny z międzynarodowymi i europejskimi przepisami prawnymi, a zwłaszcza ze wspólnie uzgodnionymi zabezpieczeniami w dziedzinie ochrony danych. Są one zapisane w wytycznych ONZ, w konwencji Rady Europy nr 108 i protokole dodatkowym do tej konwencji, w wytycznych OECD, w projekcie decyzji ramowej o ochronie danych, a także – w przypadku pierwszego filaru – w dyrektywie 95/46/WE (20). We wszystkich tych aktach zamieszczono podobne zasady, które są powszechnie uznawane za podstawę ochrony danych osobowych.

54.

To, by wspomniane wyżej zasady zostały należycie uwzględnione, jest tym ważniejsze, jeśli wziąć pod uwagę skutki ewentualnej umowy przedstawione w sprawozdaniu grupy kontaktowej. Akt dotyczący całego sektora egzekwowania prawa w kraju trzecim byłby faktycznie sytuacją bez precedensu. Dotychczasowe decyzje o odpowiednim stopniu ochrony danych podlegające pierwszemu filarowi oraz umowy zawarte z krajami trzecimi w ramach trzeciego filaru UE (Europol, Eurojust) zawsze były związane z konkretnym przekazywaniem danych, tymczasem w przedmiotowym przypadku możliwe byłoby przekazywanie danych w dużo szerszym zakresie z uwagi na rozległy cel umowy (zwalczanie przestępstw, bezpieczeństwo krajowe i publiczne, wzmocnienie granic) oraz nieznaną liczbę odnośnych baz danych.

55.

Warunki, których należy przestrzegać, przekazując dane osobowe do krajów trzecich, zostały przedstawione w dokumencie roboczym Grupy Roboczej Art. 29 (21). Wszelkie umowy w sprawie minimalnych zasad dotyczących prywatności powinny przestrzegać tych warunków, a tym samym dbać, by zabezpieczenia w dziedzinie ochrony danych były skuteczne.

56.

Poza trzema powyższymi podstawowymi wymogami szczególną uwagę należy zwrócić na szczegóły związane z przetwarzaniem danych osobowych w kontekście egzekwowania prawa. Jest to obszar, w którym prawa podstawowe mogą podlegać pewnym ograniczeniom. Należy więc zadbać o zabezpieczenia, które zrekompensują ograniczenie tych praw, zwłaszcza w przypadku poniższych kwestii i ich skutków dla osób fizycznych:

57.

W niniejszym rozdziale przeanalizowano 12 zasad zawartych w dokumencie grupy kontaktowej; przyjęto następującą perspektywę:

58.

Pierwsza zasada wymieniona w załączniku do sprawozdania grupy kontaktowej przewiduje, że dane osobowe są przetwarzane do legalnych celów egzekwowania prawa. Jak wspomniano powyżej, dla Unii Europejskiej oznacza to zapobieganie przestępstwom, ich wykrywanie, prowadzenie dochodzeń w ich sprawie lub ich ściganie. Tymczasem w USA egzekwowanie prawa interpretuje się szerzej niż tylko w odniesieniu do przestępstw i rozumie pod tym pojęciem także „wzmacnianie granic oraz cele związane z bezpieczeństwem publicznym i narodowym”. Nie jest jasne, jakie mogą być skutki takich rozbieżności. Choć w sprawozdaniu stwierdzono, że w praktyce cele mogą się w dużym stopniu pokrywać, rozstrzygająca będzie dokładna wiedza o tym, do jakiego stopnia się nie pokrywają. W sferze egzekwowania prawa, ponieważ podjęte środki mają wpływ na osoby fizyczne, należy ściśle przestrzegać zasady ograniczonego celu, a cele wyraźnie wskazać i opisać. Z uwagi na przewidzianą w sprawozdaniu regułę wzajemności istotne wydaje się także zbliżenie tych celów. Krótko mówiąc, należy sprecyzować, jak rozumiana jest przedmiotowa zasada.

59.

Inspektor z zadowoleniem przyjmuje przepis wymagający dokładności, istotności, terminowości i kompletności danych osobowych jako cech niezbędnych do ich legalnego przetwarzania. Taka zasada jest podstawowym warunkiem wszelkiego skutecznego przetwarzania danych.

60.

Zasada ta wyraźnie wiąże gromadzone dane z faktem, że są niezbędne do wypełnienia ustanowionych w prawie celów związanych z jego egzekwowaniem. Wymóg istnienia podstawy prawnej to pozytywny element, dający pewność co do legalności przetwarzania danych. Inspektor zwraca jednak uwagę, że choć zasada ta daje większą pewność prawa w przypadku przetwarzania danych, podstawą prawną tego przetwarzania jest ustawodawstwo kraju trzeciego. Ustawodawstwo kraju trzeciego nie może samo w sobie stanowić legalnej podstawy przekazywania danych osobowych (22). W kontekście sprawozdania grupy kontaktowej wydaje się, że z zasady uznano legalność ustawodawstwa kraju trzeciego, tzn. USA. Należy pamiętać, że nawet jeśli założenie takie jest uzasadnione w obecnym przypadku, ponieważ USA są państwem demokratycznym, to ten sam schemat nie byłby zasadny w przypadku stosunków z innym krajem trzecim i nie mógłby zostać powielony.

61.

Jak stwierdzono w załączniku do sprawozdania grupy kontaktowej, każde przekazanie danych osobowych musi być istotne, niezbędne i odpowiednie. Inspektor podkreśla, że przetwarzanie danych będzie proporcjonalne, gdy nie będzie się wiązać z nadmierną ingerencją, a jego warunki będą wyważone tak, by uwzględnić prawa i interesy osób, których dane dotyczą.

62.

Dlatego dostępu do danych należy udzielać na zasadzie pojedynczych przypadków, zależnie od praktycznych potrzeb związanych z konkretnym dochodzeniem. Stały dostęp organów ochrony porządku publicznego z kraju trzeciego do baz danych znajdujących się w UE można by uznać za nieproporcjonalny i niedostatecznie uzasadniony. Inspektor przypomina, że nawet w kontekście obowiązujących umów o wymianie danych, np. umowy w sprawie danych o przelocie pasażera, wymiana danych wynika ze szczególnych okoliczności i odbywa się przez ograniczony czas (23).

63.

Postępując zgodnie z takim samym założeniem, należy uregulować okres zatrzymywania danych: dane należy przechowywać jedynie przez czas potrzebny do wypełnienia realizowanego celu. Jeżeli przestały być istotne dla wskazanego celu, należy je usunąć. Inspektor zdecydowanie sprzeciwia się magazynowaniu danych o osobach niebędących podejrzanymi, na wypadek gdyby dane te okazały się potrzebne w późniejszym czasie.

64.

W ramach przedmiotowych zasad przewidziano środki i procedury, które chronią dane przed nadużyciami, modyfikacjami i innymi zagrożeniami, oraz przepisy, które dają dostęp do danych tylko upoważnionym osobom. Inspektor uważa to rozwiązanie za satysfakcjonujące.

65.

Dodatkowo można by uzupełnić tę zasadę przepisem o ustanowieniu rejestru osób, które korzystają z dostępu do danych. Zwiększyłoby to skuteczność zabezpieczeń mających ograniczyć dostęp do danych i zapobiec nadużyciom w stosunku do nich.

66.

Poza tym należy przewidzieć wzajemne informowanie się o naruszeniu bezpieczeństwa: podmioty z USA i UE otrzymujące dane powinny mieć za zadanie informować partnerów, w razie gdyby dane zostały w sposób bezprawny ujawnione. Przyczyni się to do bardziej odpowiedzialnego przetwarzania danych.

67.

Zasadę zabraniającą przetwarzania danych szczególnie chronionych znacznie osłabia – zdaniem Inspektora – odstępstwo pozwalające przetwarzać takie dane, jeśli prawo wewnętrzne przewiduje „odpowiednie zabezpieczenia”. Właśnie z uwagi na charakter tych danych wszelkie odstępstwa od zakazu muszą być stosownie i dokładnie uzasadnione i musi im towarzyszyć wykaz celów i okoliczności pozwalających przetwarzać określony rodzaj danych szczególnie chronionych oraz wskazówki co do cech administratorów upoważnionych do przetwarzania tego rodzaju danych. Jeżeli chodzi o zabezpieczenia, które należy wprowadzić, Inspektor uważa między innymi, że dane szczególnie chronione nie powinny same w sobie stanowić powodu do wszczęcia dochodzenia. W pewnych szczególnych okolicznościach mogłyby być udostępniane, ale tylko jako informacje dodatkowe o osobie, wobec której już toczy się dochodzenie. W opisie zasady należy wyliczyć pewną ograniczoną liczbę takich zabezpieczeń i warunków.

68.

Jak stwierdzono już w pkt 55–56 niniejszej opinii, należy skutecznie zadbać o odpowiedzialność podmiotów publicznych przetwarzających dane osobowe, a w umowie przewidzieć sposoby egzekwowania takiej odpowiedzialności. Jest to tym ważniejsze, że w kontekście egzekwowania prawa brak jest przejrzystości tradycyjnie związanej z przetwarzaniem danych osobowych. W związku z tym stwierdzenie – zawarte w załączniku do sprawozdania – o odpowiedzialności podmiotów publicznych bez dokładniejszego objaśnienia warunków i skutków takiej odpowiedzialności nie stanowi satysfakcjonującej gwarancji. Inspektor zaleca, by w tekście aktu zamieścić takie objaśnienie.

69.

Inspektor w pełni popiera przepis o niezależnym i skutecznym nadzorze ze strony co najmniej jednego publicznego organu nadzoru. Uważa, że należy sprecyzować, jak rozumiana jest taka niezależność, a zwłaszcza od kogo organy te są niezależne i komu podlegają. Do tego celu potrzebne są kryteria, które powinny uwzględniać niezależność instytucjonalną i operacyjną od organów wykonawczych i ustawodawczych. Inspektor przypomina, że to jeden z istotnych elementów, od których zależy, czy można będzie skutecznie egzekwować przestrzeganie zasad. Z uwagi na kwestię odpowiedzialności podmiotów publicznych przetwarzających dane osobowe – o czym mowa wyżej – bardzo istotne jest także, by organom tym przysługiwała możliwość interwencji i egzekwowania prawa. O istnieniu i kompetencjach takich organów należy wyraźnie poinformować osoby, których dane dotyczą, tak by mogły korzystać ze swoich praw, zwłaszcza gdy zależnie od kontekstu przetwarzania danych właściwość przypada kilku organom.

70.

Ponadto Inspektor zaleca, by w przyszłej umowie zadbano także o mechanizmy współpracy między organami nadzoru.

71.

Potrzeba szczególnych gwarancji, jeżeli chodzi o dostęp do danych i ich poprawianie w kontekście egzekwowania prawa. W związku z tym Inspektor z zadowoleniem przyjmuje zasadę stwierdzającą, że osobom fizycznym powinien przysługiwać dostęp do ich danych osobowych oraz „możliwość ich poprawiania lub usuwania”. Pozostają jednak pewne niejasności co do definicji osób fizycznych (chronione powinny być wszystkie osoby, których dotyczą dane, a nie tylko obywatele danego kraju) i co do sytuacji, w których osoby fizyczne mogłyby się sprzeciwić przetwarzaniu swoich danych. Trzeba sprecyzować, czym są „odpowiednie przypadki”, w których można wnieść sprzeciw lub nie można tego zrobić. Dla osób, których dotyczą dane, powinno być jasne, w jakich okolicznościach – np. w zależności od rodzaju organu, rodzaju dochodzenia lub innych kryteriów – będą mogły korzystać ze swoich praw.

72.

Poza tym, jeżeli z uzasadnionych powodów nie istnieje bezpośrednia możliwość sprzeciwienia się przetwarzaniu danych, możliwa powinna być pośrednia weryfikacja z pomocą niezależnego organu odpowiedzialnego za nadzór nad przetwarzaniem danych.

73.

Inspektor jeszcze raz podkreśla, jak ważna jest faktyczna przejrzystość, by umożliwić osobom fizycznym korzystanie ze swoich praw i przyczynić się do ogólnej odpowiedzialności władz publicznych za przetwarzanie danych osobowych. Popiera opracowane zasady i wyraźnie zwraca uwagę, że do obywateli należy kierować zarówno powiadomienia ogólne, jak i indywidualne. Odzwierciedlono to w zasadzie zapisanej w pkt 9 załącznika.

74.

Jednak w rozdziale 2 A.B sprawozdania („Uzgodnione zasady”) wspomniano, że w USA przejrzystość może obejmować „pojedynczo lub łącznie – publikację w Rejestrze Federalnym, powiadomienie indywidualne oraz upublicznienie w ramach postępowania sądowego”. Należy wyjaśnić, że publikacja w dzienniku urzędowym nie jest wystarczającą gwarancją, że osoby, których dotyczą dane, uzyskają odpowiednie informacje. Inspektor przypomina, że potrzeba indywidualnych powiadomień i że informacje należy przedstawić w formie i języku łatwo zrozumiałym dla osób, których dotyczą dane.

75.

Aby osoby fizyczne mogły skutecznie korzystać ze swoich praw, muszą mieć możliwość zgłaszania skarg do niezależnego organu ochrony danych oraz możliwość odwoływania się do niezależnego i bezstronnego sądu. Obie te możliwości powinny być równie dostępne.

76.

Dostęp do niezależnego organu ochrony danych jest niezbędny, ponieważ zapewnia elastyczną i mniej kosztowną pomoc w kontekście egzekwowania prawa, który dla obywateli może być dość nieprzejrzysty. Organy ochrony danych mogą także świadczyć pomoc, korzystając – w imieniu osób, których dotyczą dane – z prawa dostępu do ich danych, jeżeli wyjątkowe okoliczności uniemożliwiają tym osobom bezpośredni dostęp do tych danych.

77.

Dostęp do sytemu sądowego jest dodatkową i nieodzowną gwarancją tego, że osoby, których dane dotyczą, będą mogły się odwołać do organu reprezentującego w systemie demokratycznym inny rodzaj władzy niż instytucje publiczne przetwarzające dane tych osób. Taki skuteczny środek pozwalający odwołać się do sądu został uznany przez Europejski Trybunał Sprawiedliwości (24) za „niezbędny, by zapewnić obywatelom skuteczną ochronę ich praw. (…) Odzwierciedla on ogólną zasadę prawa wspólnotowego, która podkreśla tradycje konstytucyjne wspólne państwom członkowskim i została zapisana w art. 6 i 13 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności”. Istnienie sądowego środka odwoławczego wyraźnie przewidziano w art. 47 Karty praw podstawowych Unii Europejskiej oraz w art. 22 dyrektywy WE 95/46 – niezależnie od wszelkich administracyjnych środków odwoławczych.

78.

Inspektor z zadowoleniem przyjmuje przepis przewidujący odpowiednie zabezpieczenia w przypadku automatycznego przetwarzania danych osobowych. Zwraca uwagę, że warunki stosowania tej zasady stałyby się jaśniejsze, gdyby wspólnie ustalono, co oznaczają „znaczące niekorzystne działania dotyczące stosownych interesów osoby fizycznej”.

79.

Niektóre z warunków decydujących o przekazaniu danych kolejnym krajom są niejasne. Przede wszystkim należy sprecyzować tam, gdzie jest mowa o tym, że przekazywanie danych kolejnym krajom musi być zgodne z międzynarodowymi ustaleniami i umowami między krajem wysyłającym dane a krajem je odbierającym, czy zapis ten odnosi się do dwóch krajów, które zapoczątkowały pierwsze przekazanie danych, czy do dwóch krajów, między którymi odbywa się dalsze przekazanie. Inspektor jest zdania, że umowy pomiędzy dwoma krajami, które zapoczątkowały pierwsze przekazanie danych, są potrzebne w każdym przypadku.

80.

Inspektor zwraca również uwagę na bardzo szeroką definicję „legalnego interesu publicznego”, który jest podstawą przekazania danych dalszym krajom. Zakres bezpieczeństwa publicznego pozostaje niejasny, a objęcie przekazywaniem danych także przypadków naruszenia etyki zawodów regulowanych wydaje się w kontekście egzekwowania prawa nieuzasadnione i nadmierne.

81.

Inspektor z zadowoleniem przyjmuje wspólne prace władz UE i USA w dziedzinie egzekwowania prawa, dla której ochrona danych jest sprawą kluczową. Chciałby mimo to wyraźnie zwrócić uwagę na fakt, że problem jest złożony – zwłaszcza jeśli chodzi o jego dokładny zakres i charakter – a zatem wymaga uważnej i wnikliwej analizy. Należy uważnie przeanalizować wpływ transatlantyckiego aktu na ochronę danych, biorąc przy tym pod uwagę obowiązujące przepisy prawne i skutki dla obywateli.

82.

Inspektor apeluje o większą precyzję i uszczegółowienie postanowień zwłaszcza w następujących sprawach:

83.

Inspektor wyraźnie zwraca uwagę na fakt, że opracowując przedmiotowe zasady, należy unikać pośpiechu, który prowadziłby w przypadku ochrony danych do niesatysfakcjonujących rozwiązań powodujących skutki odwrotne do zamierzonych. Najlepszym rozwiązaniem w obecnej chwili byłoby przygotowanie planu prac, który prowadziłby do ewentualnego sporządzenia umowy na późniejszym etapie.

84.

Inspektor apeluje również o większą przejrzystość podczas opracowywania zasad rządzących ochroną danych. Tylko dzięki zaangażowaniu wszystkich zainteresowanych stron, w tym Parlamentu Europejskiego, przyszły akt odniesie korzyść z demokratycznej debaty i zdobędzie niezbędne poparcie i uznanie.

—

Umowa z dnia 6 grudnia 2001 r. pomiędzy Stanami Zjednoczonymi Ameryki a Europejskim Urzędem Policji oraz Dodatkowa umowa pomiędzy Europolem a USA w sprawie wymiany danych osobowych i informacji pokrewnych (opublikowana na stronie internetowej Europolu);

—

Umowa z dnia 6 listopada 2006 r. pomiędzy Stanami Zjednoczonymi Ameryki a Eurojustem w sprawie współpracy sądowej (opublikowana na stronie internetowej Eurojustu);

—

Umowa między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) (umowa PNR z 2007 r.), podpisana w Brukseli w dniu 23 lipca 2007 r. i w Waszyngtonie w dniu 26 lipca 2007 r. (Dz.U. L 204 z 4.8.2007, s. 18);

—

Wymiana listów z dnia 28 czerwca 2007 r. pomiędzy władzami USA i UE w sprawie programu śledzenia środków finansowych należących do terrorystów.

—

Wytyczne ONZ w sprawie skomputeryzowanych rejestrów danych osobowych, przyjęte przez Zgromadzenie Ogólne w dniu 14 grudnia 1990 r., dostępne pod adresem: www.unhchr.ch/html/menu3/b/71.htm

—

Konwencja Rady Europy z dnia 28 stycznia 1981 r, o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, dostępna pod adresem: http://www.conventions.coe.int/treaty/en/Treaties/html/108.htm

—

Wytyczne OECD w sprawie ochrony prywatności i transgranicznego przepływu danych osobowych, przyjęte w dniu 23 września 1980 r., dostępne pod adresem: http://www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Projekt decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych, dostępny pod adresem http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=pl&DosId=193371

—

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. L 281 z 23.11.1995, s. 31.

6.6.2009   

PL

Dziennik Urzędowy Unii Europejskiej

C 128/13

1.

Dnia 30 maja 2008 r. przyjęto komunikat Komisji do Parlamentu Europejskiego, Rady i Europejskiego Komitetu Ekonomiczno-Społecznego „Droga do europejskiej strategii w dziedzinie e-sprawiedliwości” (dalej zwany „komunikatem”). Zgodnie z art. 41 rozporządzenia (WE) nr 45/2001, EIOD przedstawia niniejszą opinię.

2.

Celem komunikatu jest zaprezentowanie e-strategii, która ma pomóc zwiększyć zaufanie obywateli do europejskiej przestrzeni sprawiedliwości. Głównym celem e-sprawiedliwości powinna być pomoc w skuteczniejszym wymierzaniu sprawiedliwości w Europie, co ma przynieść korzyści obywatelom. Działania UE powinny ułatwiać obywatelom dostęp do informacji bez względu na bariery językowe, kulturowe i prawne wynikające z wielości systemów. Projekt planu działania i harmonogram różnych projektów są załączone do komunikatu.

3.

Opinia EIOD koncentruje się na aspektach komunikatu odnoszących się do przetwarzania danych osobowych, ochrony prywatności w sektorze łączności elektronicznej i swobodnego przepływu danych.

4.

Rada ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych (3) określiła w czerwcu 2007 roku kilka priorytetów rozwoju e-sprawiedliwości:

5.

Od tego czasu dokonano znacznych postępów w pracach nad e-sprawiedliwością. Według Komisji prace w tym zakresie muszą zagwarantować, że priorytetowo traktuje się projekty operacyjne i struktury zdecentralizowane, zapewniając jednocześnie koordynację na szczeblu europejskim, korzystając z istniejących instrumentów prawnych i stosując narzędzia informacyjno-komunikacyjne, tak by zwiększyć skuteczność działań. Parlament Europejski również poparł projekt e-sprawiedliwości (4).

6.

Komisja zachęca stale do stosowania nowoczesnych technologii informacyjnych zarówno w sprawach cywilnych, jak i karnych. Doprowadziło to do wypracowania takich instrumentów jak europejski nakaz zapłaty. Komisja prowadzi od 2003 roku portal Europejskiej Sieci Sądowniczej dotyczący spraw cywilnych i handlowych, udostępniany obywatelom w 22 językach. Komisja opracowała również i przygotowała europejski atlas sądowy. Narzędzia te są pierwszymi elementami przyszłych europejskich ram e-sprawiedliwości. Jeśli chodzi o sprawy karne, Komisja pracuje nad narzędziem, które umożliwi wymianę informacji pochodzących z rejestrów karnych państw członkowskich (5). Nie tylko Komisja, ale również Eurojust opracował bezpieczny system łączności z organami krajowymi.

7.

E-sprawiedliwość ma zaoferować wiele możliwości uczynienia w najbliższych latach europejskiej przestrzeni sądowej bardziej dostępnej obywatelom. By ustanowić ogólną strategię dotyczącą tej istotnej kwestii, Komisja przyjęła tenże komunikat w sprawie e-sprawiedliwości. W komunikacie przedstawiono obiektywne kryteria wyznaczania priorytetów, w szczególności w przypadku przyszłych projektów na szczeblu europejskim, by osiągnąć konkretne rezultaty w rozsądnym czasie.

8.

Dokument roboczy służb Komisji – dokument załączony do komunikatu przedstawiający obszerne streszczenie oceny wpływu – zawiera także pewne informacje dotyczące uwarunkowań (6). Sprawozdanie dotyczące skutków regulacji zostało przygotowane z uwzględnieniem opinii państw członkowskich, organów sądowniczych, przedstawicieli zawodów prawniczych, obywateli i przedsiębiorców. Nie zasięgano opinii EIOD. Sprawozdanie dotyczące skutków regulacji skoncentrowało się głównie na działaniach pozwalających na rozwiązanie problemów obejmujących jednocześnie wymiar europejski i kompetencje krajowe. Komunikat zalecał takie działania. Strategia ma skoncentrować się na stosowaniu telekonferencji, utworzeniu portalu e-sprawiedliwości, usprawnieniu narzędzi ułatwiających tłumaczenia – dzięki rozwojowi automatycznych, sieciowych narzędzi tłumaczeniowych, usprawnieniu komunikacji między organami prawnymi, zwiększeniu liczby połączeń między rejestrami krajowymi i narzędziami sieciowymi stosowanymi w przypadku procedur europejskich (np. w przypadku europejskiego nakazu zapłaty).

9.

EIOD popiera skoncentrowanie się na powyższych działaniach. Zgadza się, że konieczne jest kompleksowe podejście do e-sprawiedliwości. Popiera trójtorowe podejście zakładające konieczność poprawienia dostępu do wymiaru sprawiedliwości, usprawnienia współpracy między europejskimi organami prawnymi i zwiększenia skuteczności samego systemu sądownictwa. Przyjęcie takiego podejścia zakłada podjęcie działań przez wiele instytucji i osób:

10.

Komunikat odwołuje się do wniosku dotyczącego decyzji Rady w sprawie ustanowienia europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS). Dnia 16 września 2008 r. EIOD wydał opinię w sprawie tego wniosku (7). Poparł wniosek, z zastrzeżeniem uwzględnienia pewnych uwag. W szczególności wskazał, że dodatkowe gwarancje ochrony danych powinny zrekompensować obecny brak ogólnych ram prawnych dotyczących ochrony danych w obszarze współpracy policji i organów sądowniczych. Podkreślił więc konieczność skutecznego koordynowania nadzoru systemu ochrony danych, dokonywanego przez państwa członkowskie i Komisję jako dostawcę wspólnej infrastruktury łączności.

11.

Należy przywołać pewne zalecenia zawarte w opinii:

12.

Zalecenia te dobrze oddają kontekst, w jakim analizowany będzie komunikat.

13.

E-sprawiedliwość ma bardzo szeroki zakres, obejmujący ogólne stosowanie narzędzi informacyjno-komunikacyjnych w zarządzaniu wymiarem sprawiedliwości w Unii Europejskiej. Obejmuje wiele kwestii, także projekty mające na celu lepsze informowanie osób występujących na drogę sądową. Projekty dotyczą podawania w sieci informacji o systemach prawnych, prawie i orzecznictwie, systemy łączności elektronicznej łączące osoby występujące na drogę sądową i sądy oraz ustanowienie w pełni elektronicznych procedur. E-sprawiedliwość obejmuje również takie europejskie projekty jak zastosowanie elektronicznych narzędzi do nagrywania rozpraw i projekty zakładające wymianę informacji i łączność.

14.

Mimo że zakres ten jest bardzo szeroki, EIOD odnotował, że dostępna będzie informacja na temat postępowania karnego oraz cywilnych i handlowych systemów, ale nie na temat administracyjnych systemów sądowniczych. Zapewnione zostanie również połączenie z atlasem karnym i cywilnym, ale nie z administracyjnym, choć może lepiej byłoby, gdyby obywatele i przedsiębiorcy mieli dostęp do administracyjnych systemów sądowniczych, np. do postępowań administracyjnych i skarg. Należy także zapewnić połączenie ze Stowarzyszeniem Rad Stanu. Takie uzupełnienia mogłyby ułatwić obywatelom poszukiwania w gąszczu informacji – jakim często jest prawo administracyjne, z jego mnogością sądów – co poprawiłoby ich poziom rozumienia systemów prawa administracyjnego.

15.

Z tego względu EIOD zaleca włączenie procedur administracyjnych do e-sprawiedliwości. Działając w tych ramach, należałoby rozpocząć projekty z zakresu e-sprawiedliwości, by lepiej informować o zasadach ochrony danych oraz o krajowych organach ochrony danych, w szczególności jeśli chodzi o rodzaje danych przetwarzanych w obszarze e-sprawiedliwości. Byłoby to zgodne z tzw. inicjatywą londyńską rozpoczętą przez organy ochrony danych w listopadzie 2006 roku, mającą na celu „przekazywanie informacji na temat ochrony danych i zwiększanie jej efektywności”.

16.

Z uwagi na rosnącą wymianę danych osobowych między organami sądowniczymi przewidzianą komunikatem, obszar prawny dotyczący ochrony danych nabiera jeszcze większego znaczenia. Dlatego EIOD odnotowuje, że trzy lata po początkowym wniosku Komisji, 27 listopada, Rada Unii Europejskiej przyjęła decyzję ramową w sprawie ochrony danych osobowych w dziedzinie współpracy policyjnej i sądowej w sprawach karnych (8). Nowa decyzja zapewni ogólne ramy prawne ochrony danych w trzecim filarze, jako uzupełnienie przepisów dotyczących ochrony danych w pierwszym filarze zawartych w dyrektywie 95/46/WE.

17.

EIOD uznaje ten instrument prawny za pierwsze znaczące działanie na rzecz ochrony danych w obszarze współpracy policyjnej i sądowej. Jednak poziom ochrony danych przewidziany w ostatecznym tekście nie jest w pełni zadowalający. W szczególności, decyzja ramowa obejmuje jedynie wymianę danych policyjnych i sądowych między państwami członkowskimi, organami i systemami UE, a nie obejmuje krajowego przetwarzania danych. Ponadto przyjęta decyzja ramowa nie ustanawia obowiązku rozróżniania różnych kategorii osób, których dotyczą dane, takich jak podejrzani, skazani, świadkowie i ofiary, co zapewniałoby właściwą ochronę przetwarzania ich danych. Decyzja nie jest również w pełni zgodna z dyrektywą 95/46/WE, w szczególności jeśli chodzi o ograniczanie celów, dla których dane mogą być dalej przetwarzane. Nie przewiduje także niezależnej grupy właściwych krajowych i unijnych organów przetwarzających dane, co mogłoby zapewnić zarówno większą koordynację między takimi organami, jak i przyczyniać się znacząco do jednolitego stosowania decyzji ramowej.

18.

Oznacza to, że w sytuacji, gdy wiele robi się, by wypracować wspólne systemy transgranicznej wymiany danych osobowych, wciąż istnieją rozbieżności dotyczące zasad przetwarzania danych i egzekwowania przez obywateli ich praw w różnych państwach UE.

19.

EIOD ponownie przypomina, że zapewnienie wysokiego poziomu ochrony danych w przypadku współpracy policyjnej i sądowej oraz zgodności z dyrektywą 95/46/WE jest koniecznym uzupełnieniem innych środków wprowadzonych lub planowanych, by ułatwić transgraniczną wymianę danych dokonywaną przez organy egzekwowania prawa. Wynika to nie tylko z tego, że obywatele mogą oczekiwać poszanowania ich podstawowego prawa do ochrony danych osobowych, lecz także z tego, że organy egzekwowania prawa powinny zapewniać jakość wymienianych danych, co potwierdzono w załączniku do komunikatu w przypadku połączeń między rejestrami karnymi, oraz że takie organy w różnych państwach powinny być dla siebie wiarygodne, a także że dowody zebrane dzięki współpracy transgranicznej powinny mieć znaczenie z punktu widzenia prawa.

20.

EIOD zachęca więc instytucje UE do specjalnego uwzględnienia tych elementów nie tylko podczas wdrażania środków przewidzianych komunikatem, lecz także z zamiarem jak najszybszego rozpoczęcia analizy, która ma doprowadzić do dalszej poprawy ram prawnych ochrony danych w przypadku organów egzekwowania prawa.

21.

EIOD przyznaje, że wymiana danych osobowych ma kluczowe znaczenie dla tworzenia obszaru wolności, bezpieczeństwa i sprawiedliwości. Z tego względu EIOD popiera wniosek dotyczący strategii e-sprawiedliwości, podkreślając znaczenie ochrony danych w tym kontekście. Faktycznie poszanowanie ochrony danych jest nie tylko obowiązkiem nałożonym przez prawo, lecz także kluczowym elementem powodzenia planowanych systemów, np. zapewnienia jakości wymiany danych. Ma to również znaczenie dla instytucji i organów przetwarzających dane osobowe podczas opracowywania nowych polityk. Przepisy i zasady powinny zostać wdrożone i być stosowane w praktyce, a także specjalnie uwzględniane podczas fazy projektowania i tworzenia systemów informacyjnych. Prywatność i ochrona danych są głównymi czynnikami powodzenia dobrze funkcjonującego i zrównoważonego społeczeństwa informacyjnego. Rozsądne jest więc inwestowanie w nie i uczynienie tego jak najszybciej.

22.

W kontekście powyższego EIOD podkreśla, że komunikat nie przewiduje centralnej europejskiej bazy danych. Z zadowoleniem przyjmuje priorytetowe traktowanie systemów zdecentralizowanych. EIOD przypomina, że wydał opinię na temat ECRIS (9) i inicjatywy z Prüm (10). W opinii na temat ECRIS EIOD stwierdził, że systemy zdecentralizowane pozwalają uniknąć dodatkowego powielania danych osobowych w centralnej bazie danych. W opinii na temat inicjatywy z Prüm zalecił odpowiednie uwzględnienie skali systemu podczas analizowania połączeń między bazami danych. W szczególności należy przewidzieć konkretne formaty przekazywania danych, na przykład w przypadku przekazywania przy pomocy sieci wniosków o informacje z rejestrów karnych, z uwzględnieniem różnic językowych; należy też stale monitorować dokładność wymienianych danych. Te elementy należy wziąć pod uwagę również w kontekście inicjatyw wynikających ze strategii w ramach e-sprawiedliwości.

23.

Komisja Europejska zamierza przyczynić się do wzmocnienia i rozwoju narzędzi e-sprawiedliwości na szczeblu europejskim, w ścisłej koordynacji z państwami członkowskimi i innymi partnerami. Jednocześnie, wspierając wysiłki państw członkowskich, zamierza przygotować wiele własnych narzędzi komputerowych, by zwiększyć interoperacyjność systemów, ułatwić publiczny dostęp do wymiaru sprawiedliwości i komunikację między organami sądowniczymi oraz osiągnąć znaczący efekt skali na szczeblu europejskim. Jeśli chodzi o interoperacyjność oprogramowania wykorzystywanego przez państwa członkowskie, nie wszystkie z nich muszą koniecznie korzystać z tych samych programów – choć byłoby to najpraktyczniejsze – ale programy takie muszą być w pełni interoperacyjne.

24.

EIOD zaleca właściwe uwzględnienie w przypadku połączeń i interoperacyjności systemów zasady ograniczonego celu oraz standardów ochrony danych („domyślna ochrona prywatności”). Każda forma interakcji pomiędzy dwoma różnymi systemami powinna być rzetelnie udokumentowana. Interoperacyjność nigdy nie powinna prowadzić do sytuacji, w której organ nieupoważniony do dostępu lub wykorzystania pewnych danych mógłby uzyskać ten dostęp poprzez inny system. EIOD ponownie podkreśla, że interoperacyjność nie powinna usprawiedliwiać obchodzenia zasady ograniczonego celu (11).

25.

Ponadto innym kluczowym punktem jest zagwarantowanie, by transgranicznej wymianie danych osobowych towarzyszył zwiększony nadzór i współpraca organów ochrony danych. EIOD podkreślał już, w opinii z 29 maja 2006 r. na temat wniosku dotyczącego decyzji ramowej w sprawie wymiany informacji pochodzących z rejestrów karnych (12), że proponowana decyzja ramowa nie powinna ograniczać się do współpracy organów centralnych, lecz dotyczyć także współpracy rozmaitych właściwych organów zajmujących się ochroną danych. Stało się to tym istotniejsze, że negocjacje ostatnio przyjętej decyzji ramowej w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej (13) doprowadziły do usunięcia przepisu ustanawiającego grupę roboczą gromadzącą unijne organy zajmujące się ochroną danych i koordynującą ich działania w zakresie przetwarzania danych w ramach współpracy policyjnej i sądowej w sprawach karnych. Dlatego, by zapewnić skuteczny nadzór oraz dobrą jakość transgranicznego przepływu danych pochodzących z rejestrów karnych, należy ustanowić mechanizmy skutecznej koordynacji działań organów zajmujących się ochroną danych (14). Mechanizmy takie powinny uwzględniać również nadzorcze uprawnienia EIOD w zakresie infrastruktury s-TESTA (15). Narzędzia e-sprawiedliwości mogłyby wspierać te mechanizmy, co można osiągnąć w ścisłej współpracy z organami ochrony danych.

26.

W pkt 4.2.1 komunikatu wskazano, że ważne będzie, by wymiana informacji pochodzących z rejestrów karnych wychodziła poza współpracę sądową i obejmowała inne aspekty, np. dostęp do pewnych stanowisk. EIOD podkreśla, że jakiekolwiek przetwarzanie danych osobowych do celów innych niż te, do których je zebrano, powinno odbywać się z zachowaniem konkretnych warunków ustanowionych na mocy obowiązujących przepisów dotyczących ochrony danych. Przede wszystkim przetwarzanie danych osobowych do innych celów powinno być dozwolone tylko, gdy jest konieczne z punktu widzenia interesów określonych we wspólnotowych przepisach dotyczących ochrony danych (16) i gdy są one ustanowione środkami prawnymi.

27.

Jeśli chodzi o połączenia między rejestrami karnymi, komunikat stwierdza, że w ramach przygotowań do wejścia w życie decyzji ramowej w sprawie wymiany informacji pochodzących z rejestrów karnych Komisja opracuje dwa studia wykonalności, by ustrukturyzować projekt podczas jego opracowywania i by rozszerzyć zakres wymiany informacji i objąć nim obywateli państw trzecich skazanych w postępowaniach karnych. W 2009 roku Komisja udostępni państwom członkowskim oprogramowanie umożliwiające szybką wymianę informacji pochodzących z rejestrów karnych. Taki system, stosowany do wymiany informacji wraz z systemem s-TESTA, będzie miał efekt skali, gdyż państwa członkowskie nie będą musiały same przygotowywać stosownych narzędzi. Ułatwi również prowadzenie projektu.

28.

Z tego względu EIOD z zadowoleniem przyjmuje stosowanie infrastruktury s-TESTA, która okazała się skutecznym systemem wymiany danych, oraz zaleca, by elementy statystyczne dotyczące planowanych systemów wymiany danych zostały określone szczegółowo i odpowiednio uwzględniały konieczność zapewnienia nadzoru nad ochroną danych. Na przykład dane statystyczne mogą z założenia obejmować takie informacje jak liczba wniosków o dostęp lub sprostowań danych osobowych, długość lub stopień kompletności procesu uaktualniania, informacje o osobach mających dostęp do tych danych, a także przypadki naruszenia zasad bezpieczeństwa. Ponadto dane statystyczne i sprawozdania na nich oparte powinny być w całości udostępniane właściwym organom zajmującym się ochroną danych.

29.

Stosowanie tłumaczeń automatycznych jest przydatne i może zwiększyć wzajemne zrozumienie między właściwymi podmiotami w państwach członkowskich. Jednak stosowanie tłumaczeń automatycznych nie powinno prowadzić do pogorszenia jakości wymiany informacji, w szczególności gdy te informacje są wykorzystywane w przypadku podejmowania decyzji mających dla danych osób skutki prawne. EIOD wskazuje również, że ważne jest jasne określenie i ograniczenie zakresu stosowania tłumaczeń automatycznych. Stosowanie tłumaczeń automatycznych w przypadku przekazywania informacji, które nie zostały do tłumaczenia właściwie przygotowane, takich jak dodatkowe uwagi lub opisy dodawane w konkretnych przypadkach, może mieć wpływ na jakość przekazywanych informacji, więc również decyzji podejmowanych na ich podstawie, i powinno z zasady być niemożliwe (17). EIOD sugeruje uwzględnianie tego zalecenia w przypadku środków przyjętych w następstwie komunikatu.

30.

Komunikat zaleca utworzenie bazy danych tłumaczy przysięgłych, by zapewnić lepszą jakość tłumaczeń przysięgłych. EIOD wspiera ten cel, lecz przypomina, że taką bazę utworzyć można jedynie z uwzględnieniem stosownych przepisów dotyczących ochrony danych. W szczególności gdy baza danych zawiera dane dotyczące oceny pracy tłumaczy, mogłaby zostać najpierw sprawdzona przez właściwe organy zajmujące się ochroną danych.

31.

W pkt 5 komunikatu wskazano, że należy jasno rozgraniczyć zakresy odpowiedzialności Komisji, państw członkowskich i innych podmiotów zaangażowanych we współpracę sądowniczą. Komisja będzie odgrywać rolę koordynatora, wspierając wymianę, oraz przygotuje portal e-sprawiedliwości i będzie koordynować podawanie w nim informacji. Ponadto Komisja będzie nadal pracować nad połączeniem rejestrów karnych i będzie bezpośrednio odpowiedzialna za ramy prawa cywilnego, a także będzie wspierać sieć prawa karnego. Państwa członkowskie będą musiały uaktualnić informacje o ich systemach sądowniczych, które zostaną umieszczone na stronie e-sprawiedliwości. Inne podmioty to sieci prawa cywilnego i karnego oraz Eurojust. Przygotują one, w ścisłej współpracy z Komisją, narzędzia konieczne do skuteczniejszej współpracy sądowniczej, w szczególności narzędzia tłumaczenia automatycznego i system bezpiecznej wymiany. Projekt planu działania i harmonogram różnych projektów są załączone do komunikatu.

32.

Z tego względu EIOD podkreśla, że system ECRIS nie zakłada z jednej strony utworzenia centralnej europejskiej bazy danych, ani bezpośredniego dostępu do baz takich jak bazy zawierające rejestry karne innych państw członkowskich, a z drugiej – że na szczeblu krajowym odpowiedzialność za poprawność informacji jest scentralizowana i spada na organy centralne państw członkowskich. W ramach tego mechanizmu państwa członkowskie są odpowiedzialne za działanie krajowych baz danych i za skuteczność wymiany danych. Nie wyjaśniono, czy odpowiadają również za oprogramowanie zapewniające połączenia. Komisja udostępni państwom członkowskim oprogramowanie umożliwiające szybką wymianę informacji pochodzących z rejestrów karnych. Taki system odniesienia powinien być stosowany do wymiany informacji łącznie z systemem s-TESTA.

33.

EIOD uznaje, że również w przypadku podobnych inicjatyw w ramach e-sprawiedliwości wdrożyć można podobne systemy, a Komisja będzie odpowiedzialna za wspólną infrastrukturę, choć nie określono tego w komunikacie. EIOD sugeruje rozgraniczenie tego zakresu odpowiedzialności w przypadku środków przyjętych w następstwie komunikatu, co zapewniłoby pewność prawną.

34.

Załącznik zawiera wykazy grup projektów, które będą realizowane w ciągu następnych pięciu lat. Pierwszy projekt, przygotowanie stron e-sprawiedliwości, dotyczy portalu e-sprawiedliwości. Do jego realizacji konieczne jest studium wykonalności i przygotowanie portalu. Ponadto należy wdrożyć metody zarządzania i zapewnić informacje on-line we wszystkich językach unijnych. Projekty drugi i trzeci dotyczą połączeń między rejestrami karnymi. Projekt drugi dotyczy połączeń między krajowymi rejestrami karnymi. Projekt trzeci zakłada utworzenie europejskiego rejestru skazanych z państw trzecich; ma być poprzedzony studium wykonalności i przedstawieniem wniosku legislacyjnego. EIOD zauważa, że ten ostatni projekt nie jest już umieszczany w programie prac Komisji, i zastanawia się, czy oznacza to zmianę planów Komisji, czy po prostu odsunięcie realizacji tego projektu w czasie.

35.

W komunikacie wymieniono także trzy projekty z zakresu wymiany elektronicznej i trzy projekty z zakresu wspomagania tłumaczenia. Projekt pilotażowy rozpocznie się od stopniowego zestawiania terminologii prawnej w wielu językach. Inne istotne projekty dotyczą utworzenia interaktywnych formularzy, które mają towarzyszyć tekstom prawa europejskiego, oraz ułatwiania wykorzystywania przez organy sądownicze telekonferencji. Ponadto w ramach forów e-sprawiedliwości co roku będą odbywały się spotkania dotyczące tematów związanych z e-sprawiedliwością i coraz więcej szkoleń skierowanych do przedstawicieli zawodów prawniczych i dotyczących współpracy sądowniczej. EIOD zaleca, by takie spotkania i szkolenia odpowiednio uwzględniały przepisy i praktyki dotyczące ochrony danych.

36.

W załączniku przewidziano również szeroki zakres narzędzi europejskich, by ułatwić wymianę informacji między podmiotami w różnych państwach członkowskich. Istotną rolę wśród tych narzędzi odegra portal e-sprawiedliwości, za który odpowiadać będzie głównie Komisja.

37.

W przypadku wielu z tych narzędzi informacje i dane osobowe będą wymieniane i zarządzane przez różne podmioty zarówno na szczeblu krajowym, jak i na szczeblu UE; podmioty takie mają zobowiązania związane z ochroną danych i podlegają organom nadzoru ustanowionym na mocy dyrektywy 95/46/WE lub rozporządzenia (WE) nr 45/2001. EIOD wyjaśnił już w opinii w sprawie systemu informacyjnego rynku wewnętrznego (18), że kluczowe znaczenie ma zagwarantowanie, że odpowiedzialność za zgodność z zasadami ochrony danych jest zapewniana w sposób skuteczny i ciągły.

38.

Oznacza to z jednej strony konieczność jasnego określenia i przypisania odpowiedzialności za przetwarzanie danych osobowych w tych systemach; z drugiej – zapewnienie, gdzie właściwe, stosownych mechanizmów koordynacji, dotyczących w szczególności nadzoru.

39.

Zastosowanie nowych technologii jest jednym z najistotniejszych elementów inicjatyw w ramach e-sprawiedliwości: połączenia między rejestrami krajowymi, rozwój podpisu elektronicznego, bezpieczne sieci, wirtualne platformy wymiany i zwiększone zastosowanie telekonferencji będą kluczowymi elementami inicjatyw w ramach e-sprawiedliwości w najbliższych latach.

40.

Z tego względu kluczowe znaczenie ma zagwarantowanie, by kwestie ochrony danych były uwzględniane na jak najwcześniejszym etapie i wpisane w strukturę planowanych narzędzi. Szczególne znaczenie mają zarówno struktura systemu, jak i zapewnienie właściwych środków zabezpieczających. Dzięki podejściu zakładającemu „domyślną ochronę prywatności” właściwe inicjatywy e-sprawiedliwości mogłyby pomagać w skutecznym zarządzaniu danymi osobowymi, zapewniając jednocześnie zgodność z zasadami ochrony danych i bezpieczeństwo wymiany danych między różnymi organami.

41.

Ponadto EIOD podkreślił, że nowoczesne narzędzia powinny być stosowane nie tylko do zagwarantowania wymiany informacji, lecz także po to, by rozszerzyć zakres ochrony praw danych osób. Z tego względu EIOD z zadowoleniem przyjmuje danie w komunikacie obywatelom możliwości występowania on-line o informacje z rejestrów karnych w języku, który sami wybiorą (19). Jeśli chodzi o tę kwestię, EIOD przypomina, że z zadowoleniem przyjął, w opinii na temat wniosku Komisji w sprawie wymiany informacji pochodzących z rejestrów karnych, zapewnienie danej osobie możliwości wystąpienia do organu centralnego państwa członkowskiego o dotyczące jej informacje zawarte w rejestrze karnym, jeśli dana osoba jest lub była rezydentem lub obywatelem państwa członkowskiego składającego wniosek lub do którego wniosek jest kierowany. EIOD wskazał również na możliwość wykorzystania w zakresie koordynacji systemów ubezpieczeń społecznych organu, który jest najbliższy danej osobie, jako jednego okienka. EIOD wzywa jednak Komisję do dalszych kroków w tym kierunku przez zastosowanie nowoczesnych narzędzi, w szczególności dostępu on-line, co ma umożliwić obywatelom lepszą kontrolę nad ich danymi osobowymi, nawet w przypadku gdy poruszają się między różnymi państwami członkowskimi.

42.

EIOD popiera wniosek dotyczący ustanowienia e-sprawiedliwości i zaleca uwzględnienie uwag zawartych w niniejszej opinii, czyli:

6.6.2009   

PL

Dziennik Urzędowy Unii Europejskiej

C 128/20

1.

Dnia 2 lipca 2008 r. Komisja przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (dalej zwany „wnioskiem”) (1). Zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 Komisja przesłała wniosek EIOD do konsultacji.

2.

Celem wniosku jest ustanowienie wspólnotowych ram udzielania transgranicznej opieki zdrowotnej w UE w przypadkach gdy forma opieki poszukiwanej przez pacjentów świadczona jest w państwie członkowskim innym niż ich własne państwo. Wniosek obejmuje trzy główne obszary:

3.

Cele niniejszych ram są dwojakiego rodzaju: zagwarantowanie dostatecznej jasności na temat prawa do zwrotu kosztów opieki zdrowotnej udzielonej w innych państwach członkowskich oraz dopilnowanie, by w przypadku transgranicznej opieki zdrowotnej spełnione zostały konieczne wymagania w zakresie wysokiej jakości, bezpieczeństwa i skuteczności opieki zdrowotnej.

4.

Wdrożenie systemu transgranicznej opieki zdrowotnej niesie ze sobą konieczność wymiany odpowiednich danych osobowych dotyczących zdrowia pacjentów (dalej zwanych „danymi na temat zdrowia”) między upoważnionymi organizacjami oraz pracownikami służby zdrowia w różnych państwach członkowskich. Dane te uważane są za dane wrażliwe i podlegają ściślejszym zasadom ochrony danych zgodnie z art. 8 dyrektywy 95/46/WE, który dotyczy szczególnych kategorii danych.

5.

EIOD z zadowoleniem przyjmuje fakt, że zwrócono się do niego z prośbą o konsultacje w tej kwestii oraz że w preambule przedmiotowego wniosku zawarto odniesienie do tych konsultacji zgodnie z art. 28 rozporządzenia (WE) nr 45/2001.

6.

Po raz pierwszy formalnie zasięga się opinii EIOD w sprawie wniosku dotyczącego dyrektywy w dziedzinie opieki zdrowotnej. W związku z tym w niniejszej opinii zawarto pewne uwagi o szerszym zakresie, poruszając ogólne zagadnienia ochrony danych osobowych w sektorze opieki zdrowotnej, które mogą mieć zastosowanie do innych odpowiednich instrumentów prawnych (wiążących lub nie).

7.

Już na wstępie EIOD chciałby wyrazić swoje poparcie dla inicjatyw, które mają na celu poprawę warunków transgranicznej opieki zdrowotnej. Przedmiotowy wniosek należałoby w istocie rozpatrywać w kontekście ogólnego programu WE na rzecz poprawy zdrowia obywateli w społeczeństwie informacyjnym. Innymi inicjatywami w tym zakresie są planowana przez Komisję dyrektywa i komunikat w sprawie dawstwa i przeszczepów organów (2), zalecenie w sprawie interoperacyjności elektronicznych kart zdrowia (3), jak również planowany komunikat w sprawie telemedycyny (4). EIOD jest jednak zaniepokojony faktem, że wszystkie tego typu powiązane ze sobą inicjatywy nie są ściśle związane lub nie łączą się z dziedziną bezpieczeństwa danych i prywatności, opóźniając tym samym przyjęcie ujednoliconego podejścia do ochrony danych w dziedzinie ochrony zdrowia, zwłaszcza w odniesieniu do wykorzystania nowych technologii informacyjno-komunikacyjnych. Przykładowo w obecnym wniosku w motywie 10 wymienia się wyraźnie telemedycynę, nie ma jednak odniesienia do wymiaru ochrony danych w odpowiednim komunikacie Komisji. Oprócz tego, chociaż elektroniczne karty zdrowia są jednym z możliwych sposobów transgranicznego przekazywania danych medycznych, nie nawiązano do kwestii prywatności poruszonych w odpowiednim zaleceniu Komisji (5). Stwarza to wrażenie, że ogólna perspektywa prywatności w opiece zdrowotnej w dalszym ciągu nie jest jasno zdefiniowana, a w niektórych przypadkach całkowicie jej brakuje.

8.

Jest to również widoczne w obecnym wniosku, w związku z czym EIOD ubolewa nad faktem, że nie zajęto się w nim w sposób konkretny skutkami, jakie wniosek ten będzie miał dla ochrony danych. Oczywiście, można we wniosku tym znaleźć odniesienia do ochrony danych, mają one jednak charakter ogólny i nie odzwierciedlają w odpowiedni sposób specyficznych potrzeb i wymogów transgranicznej opieki zdrowotnej związanych z prywatnością.

9.

EIOD pragnie podkreślić, że ujednolicone i zdecydowane podejście do ochrony danych zastosowane w proponowanych instrumentach w dziedzinie opieki zdrowotnej nie tylko zagwarantuje podstawowe prawo obywateli do ochrony ich danych, ale przyczyni się również do dalszego rozwoju transgranicznej opieki zdrowotnej w UE.

10.

Najważniejszym celem Wspólnoty Europejskiej było ustanowienie rynku wewnętrznego, który stanowi przestrzeń bez granic wewnętrznych i na którym zapewniony jest swobodny przepływ towarów, osób, usług i kapitału. Umożliwienie obywatelom łatwiejszego przemieszczania się i osiedlania w państwach członkowskich innych niż ich państwo pochodzenia nieuchronnie pociągnęło za sobą kwestie związane z ochroną zdrowia. Z tego powodu w latach 90. Trybunał Sprawiedliwości zmierzył się w kontekście rynku wewnętrznego z zagadnieniami ewentualnego zwrotu kosztów leczenia poniesionych w innym państwie członkowskim. Trybunał Sprawiedliwości uznał, że swoboda świadczenia usług, o której mowa w art. 49 Traktatu WE, obejmuje swobodę przemieszczania się osób do innego państwa członkowskiego, aby poddać się leczeniu (6). W konsekwencji pacjenci, którzy poszukiwali opieki zdrowotnej poza granicami kraju, nie mogli być traktowani inaczej niż obywatele w ich własnym kraju, którzy otrzymywali takie samo leczenie bez przekraczania granicy.

11.

Te wyroki Trybunału dotykają meritum obecnego wniosku. Ponieważ orzecznictwo Trybunału opiera się na poszczególnych przypadkach, w obecnym wniosku planowano poprawić jasność, aby zagwarantować ogólniejsze i skuteczniejsze stosowanie swobody otrzymywania i świadczenia usług zdrowotnych. Jak już jednak wspomniano, przedmiotowy wniosek jest także częścią ambitniejszego programu, którego celem jest poprawa zdrowia obywateli w społeczeństwie informacyjnym i w którym UE widzi możliwość znacznego rozszerzenia transgranicznej opieki zdrowotnej dzięki wykorzystaniu technologii informacyjnych.

12.

Z oczywistych względów ustalenie zasad transgranicznej opieki zdrowotnej jest delikatną kwestią. Dotyka ona delikatnego obszaru, w którym państwa członkowskie stworzyły systemy krajowe różniące się między sobą na przykład pod względem ubezpieczenia i zwrotu kosztów leczenia lub organizacją infrastruktury opieki zdrowotnej, w tym sieci i zastosowań w zakresie informacji o opiece zdrowotnej. Chociaż w przedmiotowym wniosku prawodawca wspólnotowy skupia się wyłącznie na transgranicznej opiece zdrowotnej, zasady te przynajmniej wpłyną na sposób, w jaki są zorganizowane krajowe systemy opieki zdrowotnej.

13.

Poprawa warunków świadczenia trangranicznych usług opieki zdrowotnej przyniesie korzyść obywatelom. Jednocześnie będzie ze sobą niosła jednak również pewne ryzyko dla obywateli. Rozwiązania będzie wymagało wiele problemów natury praktycznej, które nieodmiennie łączą się z transgraniczną współpracą między ludźmi z innych państw posługującymi się różnymi językami. Ponieważ dobry stan zdrowia ma największe znaczenie dla każdego obywatela, należy wykluczyć wszelkie ryzyko niezrozumienia i wynikających z niego nieścisłości. Rozumie się samo przez się, że rozbudowanie transgranicznej opieki zdrowotnej w połączeniu z wykorzystaniem osiągnięć technologicznych ma ogromne znaczenie dla ochrony danych osobowych. Skuteczniejsza, a więc coraz szersza wymiana danych medycznych, rosnące odległości między osobami i konkretnymi instytucjami, różnice w krajowych przepisach wykonawczych dotyczących zasad ochrony danych rodzą problemy związane z bezpieczeństwem danych i pewnością prawną.

14.

Należy podkreślić, że dane medyczne należą do specjalnej kategorii danych, która zasługuje na szczególną ochronę. Jak niedawno orzekł Europejski Trybunał Praw Człowieka w kontekście art. 8 Europejskiej konwencji praw człowieka: „Ochrona danych osobowych, w szczególności danych medycznych ma podstawowe znaczenie, aby osoby prywatne mogły się cieszyć swoim prawem do poszanowania życia prywatnego i rodzinnego, które zostało zagwarantowane w art. 8 konwencji” (7). Zanim przejdziemy do wyjaśnienia bardziej rygorystycznych zasad przetwarzania danych medycznych, które zostały określone w dyrektywie 95/46/WE, poświęcimy kilka słów terminowi „dane na temat zdrowia”.

15.

W dyrektywie 95/46/WE nie ma bezpośredniej definicji danych na temat zdrowia. Powszechnie stosuje się szeroką interpretację, zgodnie z którą dane na temat zdrowia to najczęściej „dane osobowe, które mają wyraźny i ścisły związek z opisem stanu zdrowia osoby (8)”. W tym zakresie dane na temat zdrowia zwykle obejmują dane medyczne (np. skierowania i recepty lekarskie, wyniki badań medycznych, testów laboratoryjnych, prześwietleń itp.), jak również administracyjne i finansowe dane dotyczące zdrowia (np. dokumenty dotyczące przyjęcia do szpitala, numer ubezpieczenia społecznego, plany wizyt lekarskich, faktury za usługi opieki medycznej itp.). Należy zauważyć, że termin „dane medyczne” (9) jest również czasami stosowany w odniesieniu do danych na temat zdrowia; występuje również termin „dane dotyczące opieki zdrowotnej” (10). W niniejszej opinii będziemy się posługiwać terminem „dane na temat zdrowia”.

16.

Przydatna definicja „danych na temat zdrowia” znajduje się w normie ISO 27799: „wszelkie informacje, które dotyczą zdrowia fizycznego lub psychicznego danej osoby lub świadczenia danej osobie usług zdrowotnych, i które mogą obejmować: a) informacje na temat rejestracji danej osoby w celu świadczenia jej usług zdrowotnych; b) informacje na temat płatności lub kwalifikowalności danej osoby do otrzymania opieki zdrowotnej; c) liczbę, symbol lub oznaczenie przypisane do danej osoby, które pozwala na jej jednoznaczną identyfikację do celów opieki zdrowotnej; d) wszelkie informacje na temat danej osoby zebrane w procesie udzielania usług zdrowotnych tej osobie; e) informacje uzyskane podczas przeprowadzania testów lub badań części ciała lub płynów ustrojowych oraz f) identyfikację osoby (pracownika służby zdrowia), która udziela opieki medycznej danej osobie”.

17.

EIOD zdecydowanie opowiada się za przyjęciem w kontekście obecnego wniosku szczegółowej definicji terminu „dane dotyczące zdrowia”, która to definicja mogłaby również być wykorzystywana w innych odnośnych tekstach prawnych UE (zob. sekcja III poniżej).

18.

W art. 8 dyrektywy 95/46/WE ustalono zasady przetwarzania szczególnych kategorii danych. Zasady te są bardziej surowe, niż zasady dotyczące przetwarzania danych określone w art. 7 dyrektywy 95/46/WE. Jest to widoczne już w art. 8 ust. 1, w którym stwierdza się bezpośrednio, że państwa członkowskie zabraniają przetwarzania – między innymi – danych dotyczących zdrowia. W dalszych ustępach tego artykułu wymienia się kilka wyjątków od tego zakazu, ale są one węższe niż podstawy przetwarzania zwykłych danych określone w art. 7. Na przykład zakaz nie obowiązuje, jeżeli osoba, której dane dotyczą, udzieliła wyraźnej zgody (art. 8 ust. 2 lit. a)), w przeciwieństwie do wymogu wyrażenia jednoznacznej zgody zawartego w art. 7 lit. a) dyrektywy 95/46/WE. Ponadto w prawie państw członkowskich może zostać określone, że w pewnych przypadkach nawet wyrażenie zgody przez osobę, której dane dotyczą, nie może znieść tego zakazu. Art. 8 ust. 3 dotyczy wyłącznie przetwarzania danych dotyczących zdrowia. Zgodnie z tym ustępem zakaz, o którym mowa w ust. 1, nie ma zastosowania, w przypadku gdy przetwarzanie danych wymagane jest do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia lub też zarządzania opieką zdrowotną, jak również w przypadkach, gdy dane są przetwarzane przez pracownika służby zdrowia, zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającego obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy.

19.

W art. 8 dyrektywy 95/46/WE położono nacisk na fakt, że państwa członkowskie powinny stworzyć odpowiednie lub adekwatne zabezpieczenia. W art. 8 ust. 4 pozwala się na przykład państwom członkowskim ustalić dodatkowe wyłączenia od zakazu przetwarzania danych wrażliwych – ze względu na istotny interes publiczny – pod warunkiem ustanowienia odpowiednich środków zabezpieczających. Podkreśla się tym samym ogólnie odpowiedzialność, jaką państwa członkowskie ponoszą za dołożenie szczególnych starań przy przetwarzaniu danych wrażliwych, takich jak dane dotyczące zdrowia.

20.

Państwa członkowskie powinny zdawać sobie szczególnie sprawę z wyżej wymienionej odpowiedzialności, w przypadku gdy chodzi o zagadnienie transgranicznej wymiany danych na temat zdrowia. Jak wspomniano powyżej, transgraniczna wymiana danych na temat zdrowia zwiększa ryzyko nieprecyzyjnego lub nieuprawnionego przetwarzania danych. Może to oczywiście pociągać za sobą ogromne negatywne skutki dla osoby, której dane dotyczą. W procesie tym biorą udział zarówno państwo członkowskie ubezpieczenia (w którym pacjent jest osobą ubezpieczoną) oraz państwo członkowskie leczenia (w którym faktycznie udzielono transgranicznej opieki zdrowotnej), a co za tym idzie wspólnie ponoszą one odpowiedzialność.

21.

W tym kontekście ważnym zagadnieniem jest bezpieczeństwo danych na temat zdrowia. W przywoływanym wyżej niedawnym orzeczeniu Europejski Trybunał Praw Człowieka położył szczególny nacisk na poufność danych na temat zdrowia: „Poszanowanie poufności danych na temat zdrowia jest ważną zasadą w systemach prawnych wszystkich umawiających się stron konwencji. Kluczowe znaczenie ma nie tylko poszanowanie poczucia prywatności pacjenta, ale również ochrona jego zaufania do zawodów związanych ze służbą zdrowia oraz ogólnie do usług zdrowotnych” (11).

22.

Zasady dotyczące ochrony danych określone w dyrektywie 95/46/WE wymagają ponadto, by państwo członkowskie ubezpieczenia dostarczało pacjentowi odpowiednich, dokładnych i aktualnych informacji na temat przekazywania jego danych osobowych do innego państwa członkowskiego, przy jednoczesnym zagwarantowaniu bezpiecznego przekazania danych do tego państwa członkowskiego. Państwo członkowskie leczenia powinno również dopilnować, by dane te zostały w bezpieczny sposób przyjęte, oraz zgodnie z własnym prawem zagwarantować odpowiedni stopień ochrony w momencie ich faktycznego przetwarzania.

23.

EIOD chciałby, aby we wniosku wyraźnie podkreślono wspólną odpowiedzialność państw członkowskich, także z uwzględnieniem przekazywania danych drogą elektroniczną, zwłaszcza w kontekście nowych aplikacji TIK, jak omówiono poniżej.

24.

Poprawę w dziedzinie transgranicznej wymiany danych na temat zdrowia osiąga się głównie dzięki wykorzystaniu technologii informacyjnych. Chociaż wymiana danych w systemie transgranicznej opieki zdrowotnej w dalszym ciągu może odbywać się w formie papierowej (np. pacjent przenosi się do innego państwa członkowskiego, przywożąc ze sobą wszystkie istotne dane na temat swojego zdrowia, np. wyniki badań laboratoryjnych, skierowania lekarskie itp.), to jednak wyraźnie planowane jest wykorzystywanie w tym celu środków elektronicznych. Przekazywanie danych na temat zdrowia drogą elektroniczną będą wspierały utworzone (lub mające zostać utworzone) w państwach członkowskich (w szpitalach, klinikach itp.) systemy informacji o opiece zdrowotnej, jak również wykorzystanie nowych technologii, jak np. aplikacji do prowadzenia elektronicznych kart zdrowia (działających w miarę możliwości w Internecie), a także innych narzędzi, takich jak karty pacjenta i lekarza. Oczywiście, w zależności od systemów opieki zdrowotnej w państwach członkowskich, możliwe jest również łączne wykorzystanie formy papierowej i elektronicznej w przypadku wymiany danych.

25.

Aplikacje w zakresie e-zdrowia i telemedycyny, które wchodzą w zakres zastosowania proponowanej dyrektywy, będą polegały wyłącznie na wymianie elektronicznych danych na temat zdrowia (np. danych na temat funkcji życiowych, wyników obrazowania itp.) zwykle w połączeniu z innymi istniejącymi elektronicznymi systemami informacji o opiece zdrowotnej zlokalizowanymi w państwie członkowskim leczenia i w państwie członkowskim ubezpieczenia. Uwzględnia się tutaj systemy typu pacjent – lekarz (np. zdalne monitorowanie i diagnoza) oraz systemy typu lekarz – lekarz (np. telekonsultacje między pracownikami służby zdrowia w zakresie specjalistycznych porad na temat konkretnych przypadków zdrowotnych). Inne bardziej szczegółowe aplikacje wspomagające ogólne udzielanie opieki zdrowotnej w kontekście transgranicznym również mogą zależeć wyłącznie od elektronicznej wymiany danych, np. wystawianie elektronicznych recept (e-recepty – ang. ePrescription) lub elektronicznych skierowań (e-skierowań – ang. eReferral), które w niektórych państwach członkowskich są już wprowadzane na szczeblu krajowym (12).

26.

Mając na uwadze powyższe rozważania oraz istniejące zróżnicowanie między systemami opieki zdrowotnej w poszczególnych państwach członkowskich, jak również coraz intensywniejszy rozwój aplikacji w zakresie e-zdrowia, należy wyróżnić dwa główne problematyczne obszary w odniesieniu do ochrony danych osobowych w transgranicznej opiece zdrowotnej: a) różne stopnie bezpieczeństwa, które państwa członkowskie mogą stosować w odniesieniu do ochrony danych osobowych (pod kątem środków technicznych i organizacyjnych); oraz b) uwzględnienie prywatności w aplikacjach w zakresie e-zdrowia, zwłaszcza w przypadku nowych rozwiązań. Ponadto szczególnej uwagi mogą wymagać inne aspekty, takie jak wtórne wykorzystanie danych na temat zdrowia, zwłaszcza w dziedzinie tworzenia statystyk. Zagadnienia te zostały dokładniej przeanalizowane w dalszej części niniejszej sekcji.

27.

Niezależnie od faktu, że dyrektywy 95/46/WE i 2002/58/WE są jednolicie stosowane w Europie, interpretacja i wdrożenie niektórych elementów może być różna w poszczególnych państwach, zwłaszcza w tych obszarach, w których przepisy są ogólne i pozostawione do dalszej regulacji państwom członkowskim. W tym sensie głównym obszarem zainteresowania jest bezpieczeństwo przetwarzania, tj. środki (techniczne i organizacyjne), które państwa członkowskie podejmują, aby zagwarantować bezpieczeństwo danych na temat zdrowia.

28.

Chociaż w zakresie odpowiedzialności wszystkich państw członkowskich leży ścisła ochrona danych na temat zdrowia, w UE nie ma obecnie powszechnie przyjętej definicji „odpowiedniego” poziomu bezpieczeństwa w przypadku opieki zdrowotnej, którą można by zastosować w przypadku transgranicznej opieki zdrowotnej. Przykładowo więc szpital w jednym państwie członkowskim może być zobowiązany krajowymi przepisami dotyczącymi ochrony danych osobowych do przyjęcia szczególnych środków bezpieczeństwa (np. do określenia polityki bezpieczeństwa i kodeksów postępowania, szczegółowych zasad zlecania prac na zewnątrz i zatrudniania zewnętrznych wykonawców, wymagań dotyczących audytu itp.), natomiast w innym państwie członkowskim takie wymagania mogą nie istnieć. Tego typu niespójność może mieć wpływ na wymianę danych w kontekście transgranicznym, zwłaszcza w przypadku elektronicznej formy wymiany, ponieważ nie można zagwarantować, że w różnych państwach członkowskich dane będą chronione na tym samym poziomie (z technicznego i organizacyjnego punktu widzenia).

29.

W tej dziedzinie istnieje więc potrzeba dalszej harmonizacji definiowania wspólnego zestawu wymagań w zakresie bezpieczeństwa danych w opiece zdrowotnej, który powinien zostać powszechnie przyjęty przez podmioty świadczące usługi zdrowotne w państwach członkowskich. Potrzeba ta jest jak najbardziej zgodna z ogólną potrzebą zdefiniowania wspólnych zasad dotyczących systemów zdrowotnych UE, co określono w przedmiotowym wniosku.

30.

Należy tego dokonać w sposób ogólny, bez nakładania na państwa członkowskie specyficznych rozwiązań technicznych, ustalając jednak podstawy wzajemnego uznawania i zatwierdzania, np. w dziedzinie określenia polityki bezpieczeństwa, identyfikacji i uwierzytelniania pacjentów i pracowników służby zdrowia itp. Jako punkty odniesienia w tym zakresie można wykorzystywać istniejące normy europejskie i międzynarodowe (np. ISO i CEN) dotyczące opieki zdrowotnej i bezpieczeństwa, jak również powszechnie przyjęte i mające podstawy prawne rozwiązania techniczne (np. podpis elektroniczny (13)).

31.

EIOD popiera ideę harmonizacji bezpieczeństwa w służbie zdrowia na szczeblu UE i jest zdania, że Komisja powinna podjąć odpowiednie inicjatywy już w ramach przedmiotowego wniosku (zob. sekcja III poniżej).

32.

Prywatność i bezpieczeństwo powinny być częścią projektu i wdrożenia każdego systemu opieki zdrowotnej, zwłaszcza – jak wspomniano w przedmiotowym wniosku – w aplikacjach w zakresie e-zdrowia („domyślna ochrona prywatności”). Ten bezdyskusyjny wymóg został już uzasadniony w innych odpowiednich dokumentach dotyczących kierunków polityki (14), zarówno ogólnych, jak i dotyczących konkretnie opieki zdrowotnej (15).

33.

W ramach interoperacyjności systemów e-zdrowia omówionej w przedmiotowym wniosku należy jeszcze raz podkreślić koncepcję „domyślnej ochrony prywatności”, jako podstawę wszystkich przewidzianych rozwiązań. Koncepcję tę można zastosować na kilku różnych poziomach: organizacyjnym, semantycznym, technicznym.

34.

EIOD jest przekonany, że jako punkt wyjścia do integracji wymagań prywatności i bezpieczeństwa w początkowej fazie może posłużyć elektroniczne wystawianie recept (zob. sekcja III poniżej).

35.

Dodatkowym zagadnieniem, które można rozważać w ramach transgranicznej wymiany danych na temat zdrowia, jest wtórne wykorzystanie tych danych, zwłaszcza do celów statystycznych, jak określono w przedmiotowym wniosku.

36.

Jak już wspomniano w pkt 18, w art. 8 ust. 4 dyrektywy 95/46 przewidziano możliwość wtórnego wykorzystania danych na temat zdrowia. Jednak takie dalsze przetwarzanie powinno się odbywać tylko ze względu na „istotny interes publiczny” i pod warunkiem ustanowienia na mocy ustawy krajowej lub decyzji organu nadzorczego „odpowiednich środków zabezpieczających” (16). Ponadto w przypadku przetwarzania danych do celów statystycznych, jak wspomniano w opinii EIOD na temat proponowanego rozporządzenia w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz bezpieczeństwa i higieny pracy (17), dodatkowe ryzyko może wynikać z faktu, że pojęcia „poufność” i „ochrona danych” mogą mieć inne znaczenie w stosowaniu prawodawstwa dotyczącego ochrony danych, a inne – w prawodawstwie dotyczącym statystyki.

37.

EIOD pragnie zwrócić uwagę na powyższe elementy w kontekście przedmiotowego wniosku. Należy uwzględnić wyraźniejsze odniesienia do wymagań dotyczących ochrony danych w kontekście dalszego wykorzystywania danych na temat zdrowia (zob. sekcja III poniżej).

38.

We wniosku w różnych jego częściach zawarto szereg odniesień do ochrony danych i prywatności, mianowicie:

39.

EIOD z zadowoleniem przyjmuje fakt, że przy przygotowywaniu wniosku uwzględniono zagadnienie ochrony danych i że podjęto starania, aby wykazać ogólną potrzebę zachowania prywatności w kontekście transgranicznej opieki zdrowotnej. Jednak zawarte we wniosku przepisy dotyczące ochrony danych są albo zbyt ogólne, albo odnoszą się do obowiązków państw członkowskich w dość wybiórczy i rozproszony sposób:

Ponadto, jak już wspomniano we wprowadzeniu do niniejszej opinii, brakuje powiązania lub odniesienia do aspektów związanych z prywatnością poruszonych w innych instrumentach prawnych UE (wiążących lub nie) obowiązujących w dziedzinie opieki zdrowotnej, zwłaszcza w odniesieniu do stosowania nowych aplikacji TIK (takich jak telemedycyna lub elektroniczne karty zdrowia).

40.

W ten sposób, chociaż ogólnie stwierdza się, że ochrona prywatności jest wymaganiem związanym z transgraniczną opieką zdrowotną, nadal brakuje obrazu całości zarówno w kontekście zobowiązań państw członkowskich, jak i szczegółów związanych z transgranicznym charakterem udzielania opieki zdrowotnej (w przeciwieństwie do udzielania opieki zdrowotnej w kraju). Konkretniej:

41.

Ponadto pewne konkretne obawy budzi art. 18 dotyczący gromadzenia danych do celów statystycznych i do celów monitorowania. W pierwszym ustępie mówi się o „danych statystycznych i innych dodatkowych danych”; ponadto wspomina się w nim w liczbie mnogiej o „celach monitorowania”, a następnie wymienia obszary, których to monitorowanie dotyczy, tj. świadczenie transgranicznej opieki zdrowotnej, przeprowadzone leczenie, podmioty świadczące opiekę, pacjentów, koszty oraz rezultaty. W tym kontekście – i tak już dość niejasnym – dokonuje się ogólnego odniesienia do prawa w zakresie ochrony danych, nie ustanawia się jednak żadnych konkretnych wymagań dotyczących dalszego wykorzystania danych dotyczących zdrowia, o których mowa w art. 8 ust. 4 dyrektywy 95/46/WE. Dodatkowo w ust. 2 zawarto bezwarunkowe zobowiązanie do przekazywania Komisji dużej ilości danych przynajmniej raz w roku. Ponieważ nie dokonano wyraźnego odniesienia do oceny konieczności takiego przekazania, wydaje się, że sam prawodawca wspólnotowy już ustanowił konieczność dokonywania takiego przekazania do Komisji.

42.

EIOD przedstawia szereg zaleceń – w postaci opisanych poniżej pięciu podstawowych kroków do dokonania zmian – które pozwolą w odpowiedni sposób odnieść się do wspomnianych wyżej elementów.

43.

W art. 4 zdefiniowano podstawowe terminy stosowane w przedmiotowym wniosku. EIOD zdecydowanie zaleca wprowadzenie w tym artykule definicji danych na temat zdrowia. Należy przyjąć szeroką interpretację danych na temat zdrowia, podobną do opisanej w sekcji II niniejszej opinii (pkt 14 i 15).

44.

EIOD zdecydowanie zaleca również wprowadzenie do wniosku szczegółowego artykułu dotyczącego ochrony danych, w którym w jasny i zrozumiały sposób będzie można całościowo określić wymiar prywatności. W artykule tym należy a) opisać obowiązki państw członkowskich ubezpieczenia i leczenia, w tym – między innymi – konieczność zagwarantowania bezpieczeństwa przetwarzania; oraz b) określić główne obszary dalszych prac, np. harmonizację bezpieczeństwa i integrację zagadnienia prywatności w dziedzinie e-zdrowia. W tym celu można przygotować (w ramach proponowanego artykułu) szczegółowe przepisy, o których mowa w krokach 3 i 4 poniżej.

45.

W następstwie zmiany zaproponowanej w kroku 2 EIOD zaleca, aby Komisja przyjęła mechanizm pozwalający na ustalenie powszechnie akceptowalnego poziomu bezpieczeństwa danych dotyczących opieki zdrowotnej na poziomie krajowym, z uwzględnieniem norm technicznych obowiązujących w tej dziedzinie. Powinno to znaleźć odzwierciedlenie we wniosku. Ewentualnego wdrożenia można dokonać w drodze procedury komitetowej, która została już opisana w art. 19 i ma zastosowanie do pozostałych części wniosku. Ponadto można wykorzystać dodatkowe instrumenty służące stworzeniu odpowiednich wytycznych; można także skorzystać z pomocy wszystkich stron zainteresowanych, takich jak Grupa Robocza Art. 29 i EIOD.

46.

W art. 14 dotyczącym uznawania recept wystawionych w innym państwie członkowskim przewidziano opracowanie wspólnotowego wzoru recepty przyczyniającego się do interoperacyjności e-recept. Środek ten przyjmuje się w ramach procedury komitetowej, o której mowa w art. 19 ust. 2 przedmiotowego wniosku.

47.

EIOD zaleca, aby w proponowanym wzorze e-recepty uwzględnić zagadnienia prywatności i bezpieczeństwa już w momencie podstawowego definiowania semantycznego tego wzoru. Należy wyraźnie wspomnieć o tym w art. 14 ust. 2 lit. a). Ponownie duże znaczenie ma zaangażowanie wszystkich zainteresowanych stron. W związku z tym EIOD chciałby być informowany o dalszych działaniach podejmowanych w tej dziedzinie w ramach proponowanej procedury komitetowej oraz brać udział w tych działaniach.

48.

Aby uniknąć nieporozumień, EIOD zaleca wyjaśnienie pojęcia „innych dodatkowych danych”, które pojawia się w art. 18 ust. 1. Artykuł ten należałoby ponadto zmienić, tak aby w bardziej jednoznaczny sposób odnosił się do wymagań związanych z dalszym wykorzystaniem danych dotyczących zdrowia, o którym mowa w art. 8 ust. 4 dyrektywy 95/46/WE. Dodatkowo zawarty w drugim ustępie obowiązek przekazywania wszystkich danych Komisji powinien podlegać ocenie konieczności takiego przekazania do uzasadnionych celów, które należy zawczasu należycie określić.

49.

EIOD chciałby wyrazić poparcie dla inicjatyw, które mają na celu poprawę warunków transgranicznej opieki zdrowotnej. Wyraża jednak zaniepokojenie faktem, że inicjatywy WE w zakresie opieki zdrowotnej nie zawsze są należycie skoordynowane pod względem wykorzystania TIK, prywatności i bezpieczeństwa, co opóźnia przyjęcie ogólnego podejścia w zakresie ochrony danych w dziedzinie opieki zdrowotnej.

50.

EIOD z zadowoleniem przyjmuje odniesienie do prywatności, które uwzględniono w przedmiotowym wniosku. Konieczna jest jednak pewna liczba zmian – jak wyjaśniono w sekcji III niniejszej opinii – aby przedstawić jasne wymagania wobec państw członkowskich leczenia i ubezpieczenia, jak również w odpowiedni sposób odnieść się do wymiaru ochrony danych w kontekście transgranicznej opieki zdrowotnej:

6.6.2009   

PL

Dziennik Urzędowy Unii Europejskiej

C 128/28

1.

W dniu 13 listopada 2007 r. Komisja Europejska przyjęła wniosek w sprawie zmiany m.in. dyrektywy o prywatności i łączności elektronicznej, zwykle zwanej dyrektywą o e-prywatności (1) (wniosek ten w dalszej części niniejszego dokumentu jest zwany wnioskiem lub wnioskiem Komisji). W dniu 10 kwietnia 2008 r. EIOD przyjął opinię w sprawie wniosku Komisji, w której przedstawił zalecenia dotyczące udoskonalenia wniosku, tak by wynikiem proponowanych w nim zmian była jak najlepsza ochrona prywatności i danych osobowych osób (pierwsza opinia EIOD-a) (2).

2.

EIOD z zadowoleniem odniósł się do propozycji Komisji, by wprowadzić system obowiązkowego powiadamiania o przypadkach naruszenia bezpieczeństwa, zgodnie z którym firmy byłyby zobowiązane do powiadamiania osób w przypadku, gdyby ich dane osobowe zostały narażone. EIOD z uznaniem wyraził się również na temat nowego przepisu, który umożliwi osobom prawnym (np. stowarzyszeniom konsumenckim i dostawcom usługi dostępu do Internetu) podejmowanie działań przeciwko nadawcom niezamówionych komunikatów, by w ten sposób uzupełnić istniejące narzędzia walki ze tym zjawiskiem.

3.

Podczas dyskusji parlamentarnych, które poprzedziły pierwsze czytanie w Parlamencie Europejskim, EIOD przedstawił dalsze wskazówki, sporządzając uwagi odnośnie do poszczególnych kwestii, które zasygnalizowano w sprawozdaniach opracowanych przez komisje Parlamentu Europejskiego zajmujące się przeglądem dyrektyw o usłudze powszechnej (3) i o e-prywatności (uwagi) (4). Uwagi dotyczą przede wszystkim kwestii związanych z przetwarzaniem danych o ruchu i ochroną praw własności intelektualnej.

4.

W dniu 24 września 2008 r. Parlament Europejski (PE) przyjął uchwałę legislacyjną w sprawie dyrektywy o e-prywatności (pierwsze czytanie) (5). EIOD pozytywnie odniósł się do pewnych poprawek PE, które zostały przyjęte w związku z opinią i uwagami EIOD-a wspomnianymi powyżej. Wśród ważnych zmian było objęcie dostawców usług społeczeństwa informacyjnego (tj. firm działających w Internecie) obowiązkiem powiadamiania o przypadkach naruszenia bezpieczeństwa. EIOD z zadowoleniem odniósł się również do poprawki umożliwiającej osobom prawnym i fizycznym występowanie na drogę sądową w przypadku stwierdzenia naruszenia któregokolwiek z przepisów dyrektywy o e-prywatności (a nie tylko – jak pierwotnie proponowała w swoim wniosku Komisja – w przypadku pogwałcenia przepisów dotyczących niezamówionych komunikatów). Po pierwszym czytaniu w Parlamencie Europejskim Komisja przyjęła zmieniony wniosek dotyczący dyrektywy o e-prywatności (dalej zwany zmienionym wnioskiem) (6).

5.

W dniu 27 listopada 2008 r. Rada osiągnęła porozumienie polityczne w sprawie przeglądu zasad odnoszących się do pakietu telekomunikacyjnego, w tym do dyrektywy o e-prywatności, które stanie się wspólnym stanowiskiem Rady (wspólne stanowisko) (7). Na mocy art. 251 ust. 2 Traktatu ustanawiającego Wspólnotę Europejską o wspólnym stanowisku zostanie powiadomiony PE, który może zaproponować wprowadzenie do niego poprawek.

6.

Rada zmieniła istotne elementy tekstu wniosku i nie zaakceptowała wielu spośród poprawek przyjętych przez PE. Choć niewątpliwie wspólne stanowisko zawiera elementy, które należy ocenić pozytywnie, ogólnie rzecz biorąc, EIOD jest zaniepokojony jego treścią, przede wszystkim dlatego, że we wspólnym stanowisku nie uwzględniono niektórych spośród korzystnych poprawek zaproponowanych przez PE, zmienionego wniosku ani opinii EIOD-a i europejskich organów ochrony danych przekazanych za pośrednictwem Grupy Roboczej Art. 29 (8).

7.

Wręcz przeciwnie, w niejednym przypadku przepisy zawarte w zmienionym wniosku i poprawki PE, oferujące obywatelom pewne gwarancje, zostały skreślone lub znacznie osłabione. W rezultacie poziom ochrony przyznanej osobom we wspólnym stanowisku jest znaczenie słabszy. Z tego właśnie względu EIOD wydaje niniejszym drugą opinię, mając nadzieję, że wmiarę postępu procesu legislacyjnego dotyczącego dyrektywy o e-prywatności nowe poprawki zostaną przyjęte, co przywróci gwarancje dotyczące ochrony danych.

8.

W swojej drugiej opinii EIOD skupia się na pewnych podstawowych problemach i nie powtarza wszystkich zagadnień ujętych w pierwszej opinii czy w uwagach, które w całości pozostają w mocy. W niniejszej opinii omówiono w szczególności następujące zagadnienia:

9.

Poruszając powyższe kwestie, niniejsza opinia analizuje wspólne stanowisko Rady i porównuje je z tekstem będącym wynikiem pierwszego czytania w PE i ze zmienionym wnioskiem Komisji. W opinii zawarto zalecenia, które mają na celu udoskonalenie przepisów dyrektywy o e-prywatności i dopilnowanie, by dyrektywa ta nadal odpowiednio chroniła prywatność i dane osobowe osób.

10.

EIOD popiera przyjęcie mechanizmu powiadamiania o przypadkach naruszenia bezpieczeństwa, zgodnie z którym organy i osoby będą powiadamiane, jeśli ich dane osobowe zostały narażone (9). Powiadomienia o przypadkach naruszenia bezpieczeństwa mogą pomóc danym osobom podjąć konieczne kroki pozwalające złagodzić ewentualne szkody, które mogą wyniknąć z narażenia danych. Ponadto obowiązek przesyłania powiadomień z informacją o naruszeniu bezpieczeństwa zachęci firmy do polepszenia ochrony danych i zwiększenia odpowiedzialności za dane osobowe, które powierzono ich pieczy.

11.

Zmieniony wniosek Komisji, tekst powstały po pierwszym czytaniu w Parlamencie Europejskim i wspólne stanowisko Rady prezentują trzy różne podejścia do obecnie omawianej kwestii powiadamiania o przypadkach naruszenia bezpieczeństwa. Każde z tych podejść ma pewne zalety. EIOD uważa jednak, że każde z tych podejść można by jeszcze udoskonalić, i radzi uwzględnić zalecenia opisane poniżej, gdy rozważane będą końcowe działania w celu przyjęcia mechanizmu powiadomień o przypadkach naruszenia bezpieczeństwa.

12.

Gdy analizujemy wspomniane trzy podejścia do mechanizmów powiadamiania o naruszeniu, należy wziąć pod uwagę pięć niezmiernie ważnych punktów: i) definicję naruszenia bezpieczeństwa; ii) podmioty objęte obowiązkiem powiadamiania („podmioty objęte obowiązkiem”); iii) kryterium, którego spełnienie skutkuje koniecznością powiadomienia; iv) określenie podmiotu odpowiedzialnego za ustalenie, czy dane naruszenie bezpieczeństwa spełnia wspomniane kryterium oraz v) adresatów powiadomienia.

13.

Parlament Europejski, Komisja i Rada przyjęły różne podejścia do kwestii powiadamiania o naruszeniu bezpieczeństwa. W tekście będącym wynikiem pierwszego czytania w PE zmodyfikowano pierwotny mechanizm powiadamiania o naruszeniu bezpieczeństwa, zaproponowany przez Komisję w jej wniosku (10). W myśl podejścia PE, obowiązek powiadamiania mieliby nie tylko dostawcy publicznie dostępnych usług łączności elektronicznej (PPECS), ale również dostawcy usług społeczeństwa informacyjnego (ISSP). Ponadto, w myśl tego podejścia, o wszelkich przypadkach naruszenia danych osobowych należałoby powiadamiać krajowy organ regulacyjny lub właściwe organy (razem zwane „organami”). Gdyby te organy stwierdziły, że dane naruszenie jest poważne, wymagałyby od dostawców PPECS i dostawców ISSP bezzwłocznego powiadomienia o tym fakcie osoby, której dane zostały naruszone. W przypadku naruszeń, które stanowią natychmiastowe i bezpośrednie niebezpieczeństwo, dostawcy PPECS i dostawcy ISSP powiadamialiby dane osoby przed powiadomieniem organów i nie czekaliby na urzędowe rozstrzygnięcie. Wyjątek od obowiązku powiadamiania konsumentów dotyczy podmiotów, które przed organami mogą wykazać, że „zastosowane zostały odpowiednie technologiczne środki ochrony”, sprawiające, że dane te są nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

14.

W myśl podejścia Rady, powiadamiani byliby zarówno abonenci, jak i organy, jednak wyłącznie w przypadkach, gdy dany podmiot objęty obowiązkiem uzna, że naruszenie stanowi poważne zagrożenie dla prywatności abonenta (tj. może doprowadzić do kradzieży lub sfałszowania tożsamości, szkód fizycznych, znaczącego upokorzenia lub naruszenia dobrego imienia).

15.

W zmienionym wniosku Komisja podtrzymuje zaproponowany przez PE obowiązek powiadamiania organów o wszystkich przypadkach naruszenia bezpieczeństwa. W odróżnieniu od podejścia zaproponowanego w tekście PE zmieniony wniosek zawiera jednak wyłączenie z obowiązku powiadamiania osób, których dane zostały naruszone, jeśli dostawca PPECS może wykazać przed właściwym organem, że i) w następstwie naruszenia danych osobowych nie istnieje „uzasadnione prawdopodobieństwo” wystąpienia szkody (np. strat gospodarczych, szkody społecznej lub kradzieży tożsamości) lub że ii) do danych, których dotyczyło naruszenie bezpieczeństwa, zostały zastosowane „odpowiednie technologiczne środki ochrony”. A zatem podejście przyjęte przez Komisję zakłada analizę potencjalnych szkód, jeśli chodzi o powiadamianie poszczególnych osób.

16.

Trzeba zauważyć, że w myśl podejścia przyjętego przez PE (11) i Komisję ostatecznie to do organów należy ustalenie, czy naruszenie miało charakter poważny lub czy istnieje uzasadnione prawdopodobieństwo, że spowoduje ono szkody. Z kolei w myśl podejścia przyjętego przez Radę decyzję o powiadomieniu podejmują zainteresowane podmioty.

17.

Zarówno podejście przyjęte przez Radę, jak i podejście przyjęte przez Komisję dotyczą wyłącznie dostawców PPECS, a nie, jak w przypadku podejścia przyjętego przez PE, także dostawców ISSP.

18.

EIOD z zadowoleniem zauważa, że wszystkie trzy propozycje legislacyjne zawierają tę samą definicję powiadomienia o naruszeniu bezpieczeństwa; jest ono opisane jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub winny sposób przetwarzanych […]” (12).

19.

Jak wyjaśniono poniżej, EIOD przyjmuje z zadowoleniem tą definicję, ponieważ jest ona wystarczająca szeroka, by objąć większość stosownych sytuacji, w których można by uzasadnić obowiązek powiadamiania o naruszeniu.

20.

Po pierwsze, definicja ta obejmuje przypadki, gdy strona trzecia uzyskała nieuprawniony dostęp do danych osobowych, np. włamała się do serwera zawierającego dane osobowe i wyszukała takie informacje.

21.

Po drugie, definicja taka obejmowałaby także sytuacje, w których nastąpiła utrata lub ujawnienie danych osobowych, choć należy jeszcze wykazać, że stało się tak w wyniku nieuprawnionego dostępu. Chodziłoby o takie sytuacje, jak utrata danych osobowych (np. CD-ROM-ów, pamięci USB czy innych przenośnych urządzeń) lub ich publiczne udostępnienie przez regularnych użytkowników (np. gdy plik zawierający dane o pracownikach został przez nieuwagę czasowo udostępniony w dostępnym dla wszystkich miejscu w Internecie). Ponieważ często brak jest dowodów na to, że takie dane mogą lub nie mogą w jakimś momencie być dostępne nieuprawnionym stronom trzecim lub przez nie wykorzystane, wydaje się, że zakres definicji powinien obejmować także takie przypadki. Z tego względu EIOD zaleca, by zachować tę definicję. EIOD zaleca również, by definicję naruszenia bezpieczeństwa zawarto w art. 2 dyrektywy o e-prywatności, ponieważ przyczyniłoby się to do większej spójności z ogólną strukturą tej dyrektywy i zapewniło większą klarowność.

22.

W myśl podejścia przyjętego przez PE obowiązkiem powiadamiania objęci są zarówno dostawcy PPECS, jak i dostawcy ISSP. Jednak w myśl mechanizmów przewidzianych przez Radę i Komisję wyłącznie dostawcy PPECS, tacy jak firmy telekomunikacyjne lub dostawcy usługi dostępu do Internetu, będą mieli obowiązek powiadamiania danych osób w przypadku, gdy miało miejsce naruszenie bezpieczeństwa prowadzące do narażenia ich danych osobowych. Inne sektory działalności, np. banki internetowe, sklepy internetowe, podmioty świadczące usługi zdrowotne przez Internet i inne, nie mają obowiązku powiadamiania. Z powodów wyjaśnionych poniżej EIOD uważa, że z punktu widzenia porządku publicznego, niesłychanie istotne jest dopilnowanie, by usługi społeczeństwa informacyjnego, w tym przedsiębiorstwa internetowe, banki internetowe, podmioty świadczące usługi zdrowotnie przez Internet itd. również objęte były obowiązkiem powiadamiania.

23.

Po pierwsze, EIOD odnotowuje, że choć celem działań skutkujących naruszeniem bezpieczeństwa są z pewnością firmy telekomunikacyjne, co uzasadnia obowiązek powiadamiania, to samo odnosi się do pewnych typów firm/dostawców. Istnieje takie samo jeśli nie większe prawdopodobieństwo, że celem działań skutkujących naruszeniem bezpieczeństwa staną się internetowe sklepy, banki i apteki. A zatem, gdy rozważy się zagrożenie, nic nie przemawia za ograniczeniem zakresu obowiązku powiadomienia o naruszeniu bezpieczeństwa tylko do dostawców PPECS. Potrzebę szerszego podejścia unaoczniają doświadczenia innych państw. Na przykład w Stanach Zjednoczonych niemal wszystkie stany (w chwili obecnej ponad 40) wprowadziły ustawy dotyczące powiadamiania o naruszeniu bezpieczeństwa, które mają szerszy zakres zastosowania i obejmują nie tylko dostawców PPECS, lecz wszystkie podmioty przechowujące wymagane dane osobowe.

24.

Po drugie, choć oczywistym jest, że naruszenie typów danych osobowych regularnie przetwarzanych przez dostawców PPECS może mieć wpływ na prywatność danej osoby, to samo odnosi się – jeśli nie w większym stopniu – do typów informacji osobowych przetwarzanych przez dostawców ISSP. Banki i inne instytucje finansowe mogą z pewnością posiadać bardzo poufne informacje (np. dane konta bankowego), których ujawnienie może spowodować wykorzystanie ich do kradzieży tożsamości. Również ujawnienie bardzo wrażliwych informacji dotyczących stanu zdrowia przez podmioty świadczące usługi zdrowotne przez Internet może być szczególnie szkodliwe dla danych osób. Dlatego też typy danych osobowych, które mogą zostać narażone, również przemawiają za szerszym stosowaniem obowiązku powiadamiania o naruszeniu bezpieczeństwa, tak by objąć nim przynajmniej również dostawców ISSP.

25.

Rozszerzenie zakresu zastosowania tego artykułu, tj. zakresu podmiotów, które zostałyby objęte tym wymogiem, zakwestionowano z pewnych względów prawnych. Jako główną przeszkodę dla stosowania obowiązku powiadamiania również do dostawców ISSP podaje się fakt, że dyrektywa o e-prywatności ma jako taka zastosowanie wyłącznie do dostawców PPECS.

26.

W tym kontekście EIOD pragnąłby przypomnieć, że: i) z punktu widzenia prawa nic nie stoi na przeszkodzie, by zakresem stosowania pewnych przepisów tej dyrektywy objąć również podmioty inne niż dostawcy PPECS. Prawodawca wspólnotowy dysponuje w tym zakresie pełną swobodą. ii) W obowiązującej dyrektywie o e-prywatności istnieją już precedensy polegające na zastosowaniu do podmiotów innych niż dostawcy PPECS.

27.

Na przykład art. 13 ma zastosowanie nie tylko do dostawców PPECS, lecz również do każdej firmy, która wysyła niezamówione komunikaty; wymaga też od tych firm uprzedniego otrzymania zgody adresatów. Ponadto art. 5 ust. 3 dyrektywy o e-prywatności, zakazujący m.in. przechowywania informacji takich jak pliki cookie w urządzeniach końcowych użytkowników, obowiązuje nie tylko dostawców PPECS, lecz również każdego, kto próbuje przechowywać informacje lub uzyskać dostęp do informacji przechowywanych w urządzeniu końcowym danej osoby. Co więcej, w ramach obecnej procedury legislacyjnej Komisja zaproponowała nawet rozszerzenie zastosowania art. 5 ust. 3 na przypadki, w których podobne technologie (pliki cookie/oprogramowanie szpiegujące) nie są dostarczane jedynie za pośrednictwem systemów łączności elektronicznej, lecz wszelkimi innymi możliwymi metodami (w trakcie pobierania plików z Internetu lub za pośrednictwem zewnętrznych nośników danych, takich jak CD-ROM-y, pamięci USB itd.). Wszystkie te elementy należy pochwalić i powinny one zostać zachowane, stanowią one jednak również odpowiednie precedensy w ramach obecnej dyskusji dotyczącej zakresu zastosowania.

28.

Poza tym w ramach obecnej procedury legislacyjnej Komisja, PE i zapewne Rada zaproponowały nowy art. 6 ust. 6a, omówiony poniżej, który ma zastosowanie do podmiotów innych niż dostawcy PPECS.

29.

Na koniec, wziąwszy pod uwagę wszechstronne pozytywne aspekty obowiązku powiadamiania o przypadkach naruszenia bezpieczeństwa, obywatele prawdopodobnie będą oczekiwać takich korzyści, nie tylko gdy ich dane osobowe zostały narażone przez dostawców PPECS, lecz również przez dostawców ISSP. Oczekiwania obywateli mogą nie zostać spełnione, jeśli np. nie będą oni powiadamiani, gdy bank internetowy utracił informacje dotyczące ich konta bankowego.

30.

Podsumowując, EIOD jest przekonany, że wyciągnięcie pełnych korzyści z powiadamiania o naruszeniu bezpieczeństwa będzie łatwiejsze, jedynie gdy w zakres podmiotów objętych obowiązkiem wejdą zarówno dostawcy PPECS, jak i dostawcy ISSP.

31.

Jeśli chodzi o kryterium, którego spełnienie skutkuje koniecznością powiadomienia, to – jak wyjaśniono poniżej – EIOD jest zdania, że zawarte w zmienionym wniosku kryterium „uzasadnionego prawdopodobieństwa wystąpienia szkody” jest najwłaściwszym z trzech zaproponowanych kryteriów. Należy jednak dopilnować, by pojęcie „szkody” było wystarczające szerokie, by objąć wszystkie stosowne przypadki negatywnych skutków dla prywatności lub innych uzasadnionych interesów danych osób. W przeciwnym wypadku korzystniej byłoby stworzyć nowe kryterium, zgodnie z którym powiadomienie byłoby obowiązkowe, „jeśli istnieje uzasadnione prawdopodobieństwo, że naruszenie będzie miało niekorzystne skutki dla danych osób”.

32.

Jak opisano w poprzedniej części, PE, Komisja i Rada przyjęły różne podejścia, jeśli chodzi o warunki, po spełnieniu których dane osoby muszą zostać powiadomione (zwane „kryterium”). Oczywiście ilość powiadomień otrzymywanych przez dane osoby będzie w dużej mierze zależna od kryterium, którego spełnienie będzie skutkowało koniecznością powiadomienia.

33.

W myśl mechanizmów zaproponowanych przez Radę i Komisję, powiadomienie musi być przekazane, gdy naruszenie stanowi „poważne naruszenie prywatności abonenta” (Rada) lub gdy „w wyniku naruszenia istnieje uzasadnione prawdopodobieństwo wystąpienia szkody dla interesów konsumenta” (Komisja). W myśl systemu zaproponowanego przez PE kryterium, którego spełnienie skutkuje koniecznością powiadomienia danych osób, jest „powaga zagrożenia” (tj. powiadomienie danych osób jest wymagane, jeśli naruszenie zostanie uznane za „poważne”). Jeśli to kryterium nie zostanie spełnione, powiadomienie nie jest wymagane (13).

34.

EIOD rozumie, że można twierdzić, iż jeśli dane osobowe zostały narażone, osoby, do których te dane należą, mają prawo wiedzieć – w każdych okolicznościach – o tym zdarzeniu. Wypadałoby się jednak zastanowić, czy w świetle innych interesów i innych względów jest to właściwe rozwiązanie.

35.

Pojawiły się sugestie, że obowiązek wysyłania powiadomienia za każdym razem, gdy narażone zostały dane osobowe – innymi słowy bez ograniczeń – może prowadzić do nadmiernej liczby powiadomień i zmęczenia nimi, a co za tym idzie zobojętnienia na nie. Jak opisano poniżej EIOD potrafi zrozumieć ten argument; niemniej jednak chciałby podkreślić swoją obawę, że nadmierna liczba powiadomień jest możliwym wskaźnikiem szeroko zakrojonego zjawiska niedostatecznego zabezpieczania informacji.

36.

Jak wspomniano powyżej, EIOD dostrzega potencjalnie negatywne skutki nadmiernej liczby powiadomień i chciałby dopomóc w dopilnowaniu, by przyjęte ramy prawne dotyczące powiadamiania o naruszeniu bezpieczeństwa nie dały takiego skutku. Gdyby dane osoby miały otrzymywać częste powiadomienia o naruszeniu bezpieczeństwa nawet w sytuacjach, gdy takie naruszenie nie ma niekorzystnych skutków, takich jak szkoda czy cierpienie, mogłoby się to skończyć zaprzepaszczeniem jednego z kluczowych celów powiadamiania, gdyż – jak na ironię – osoby te mogłyby zignorować powiadomienia o takich przypadkach, w których faktycznie powinny podjąć działania, by się chronić. Znalezienie równowagi w przekazywaniu istotnych powiadomień jest zatem ważne, ponieważ jeśli dane osoby nie reagują na otrzymywane powiadomienia, skuteczność systemów powiadamiania bardzo maleje.

37.

Aby wybrać odpowiednie kryterium, którego stosowanie nie doprowadzi do nadmiernej liczby powiadomień, obok samego kryterium należy wziąć pod uwagę inne czynniki, zwłaszcza definicję naruszenia bezpieczeństwa i informacje objęte obowiązkiem powiadamiania. Z tego względu EIOD odnotowuje, że w myśl trzech proponowanych podejść liczba powiadomień może być wysoka z uwagi na szeroką definicję naruszenia bezpieczeństwa, omówioną powyżej. Tę obawę przed nadmierną liczbą powiadomień zwiększa jeszcze fakt, że definicja naruszenia bezpieczeństwa dotyczy wszystkich typów danych osobowych. Choć EIOD uważa, że nieograniczanie typów danych osobowych podlegających powiadamianiu to słuszne podejście – w odróżnieniu od innych podejść, takich jak przyjęte w ustawach amerykańskich, w których wymogi są skupione na wrażliwym charakterze informacji – czynnik ten należy jednak wziąć pod uwagę.

38.

W świetle powyższego i uwzględniając łącznie różne zmienne, EIOD uważa, że należałoby ustanowić pewne kryterium lub pewien próg, w przypadku niespełnienia lub nieprzekroczenia którego powiadomienie nie jest obowiązkowe.

39.

Oba zaproponowane kryteria tj. fakt, że naruszenie stanowi poważne zagrożenie dla prywatności, lub fakt, że istnieje uzasadnione prawdopodobieństwo wyrządzenia przez to naruszenie szkód, wydają się uwzględniać np. szkodę społeczną lub szkodę dla dobrego imienia oraz straty gospodarcze. Takie kryteria uwzględniałyby np. przypadki narażenia na kradzież tożsamości wskutek ujawnienia elementów niedostępnych publicznie, pozwalających zidentyfikować daną osobę, takich jaki numery paszportu, a także przypadki ujawnienia informacji na temat prywatnego życia danej osoby. EIOD z zadowoleniem przyjmuje to podejście. Jest przekonany, że nie można by wyciągnąć pełni pożytku z powiadamiania o naruszeniu bezpieczeństwa, jeśli system powiadamiania dotyczyłby wyłącznie naruszeń prowadzących do strat gospodarczych.

40.

Z dwóch zaproponowanych kryteriów EIOD opowiada się za zaproponowanym przez Komisję kryterium uzasadnionego prawdopodobieństwa powstania szkody, ponieważ zapewniłoby ono odpowiedniejszy poziom ochrony osób. Naruszenia znacznie łatwiej będzie zakwalifikować jako wymagające powiadomienia, jeśli będzie istnieć uzasadnione prawdopodobieństwo powstania szkody dla prywatności danych osób niż jeśli z naruszeniami takimi ma się wiązać poważne zagrożenie wystąpieniem takiej szkody. A zatem uwzględnianie wyłącznie naruszeń stanowiących poważne zagrożenie dla prywatności danych osób znacznie ograniczyłoby liczbę naruszeń objętych obowiązkiem powiadomienia. Uwzględnianie wyłącznie takich naruszeń pozostawiłoby dostawcom PPECS i ISSP nadmierną swobodę w podejmowaniu decyzji, czy wymagane jest powiadomienie, ponieważ o wiele łatwiej byłoby im stwierdzić, że nie istnieje poważne zagrożenie szkodą niż że nie istnieje uzasadnione prawdopodobieństwo powstania szkody. Oczywiście należy unikać nadmiernej liczby powiadomień, w sumie należy jednak docenić pożytek dla ochrony prywatności danych osób z istnienia wątpliwości, a osoby te należy chronić przynajmniej w przypadkach, w których istnieje uzasadnione prawdopodobieństwo, że dane naruszenie będzie miało dla nich niekorzystne skutki. Ponadto termin „uzasadnione prawdopodobieństwo” będzie skuteczniejszy w praktycznym stosowaniu, zarówno dla podmiotów objętych obowiązkiem powiadamiania, jak i dla właściwych organów, ponieważ wymaga on obiektywnej oceny przypadku i odpowiednich okoliczności jego zaistnienia.

41.

Ponadto naruszenia danych osobowych mogą powodować szkody, które trudno jest zmierzyć i które mogą mieć różny charakter. W zależności bowiem od indywidualnych okoliczności ujawnienie tego samego typu danych może spowodować znaczne szkody dla jednej osoby, a mniejsze – dla innej. Niepoprawne byłoby kryterium, zgodnie z którym szkoda powinna być rzeczowa, znaczna lub poważna. I tak podejście zaproponowane przez Radę, zgodnie z którym naruszenie powinno poważnie naruszać czyjąś prywatność, nie zapewniałoby właściwej ochrony osób, ponieważ zawiera ono wymóg, by skutek dla prywatności miał poważny charakter. Daje to również pole do subiektywnej oceny.

42.

Choć, jak opisano powyżej, uzasadnione prawdopodobieństwo powstania szkody wydaje właściwym kryterium powiadamiania o naruszeniu bezpieczeństwa, EIOD obawia się, że może ono nie obejmować wszystkich sytuacji, w których uzasadnione jest powiadomienie danych osób, tj. sytuacji, w których istnieje uzasadnione prawdopodobieństwo wystąpienia niegatywnych skutków dla prywatności lub innych zasadnych praw danych osób. Dlatego też można by rozważyć kryterium, zgodnie z którym powiadomienie byłoby konieczne, „jeśli istnieje uzasadnione prawdopodobieństwo, że naruszenie będzie miało niekorzystne skutki dla danej osoby”.

43.

To alternatywne kryterium jest na dodatek spójne z unijnymi przepisami dotyczącymi ochrony danych. Dyrektywa o ochronie danych często bowiem odwołuje się do niekorzystnych skutków dla praw i wolności osób, których dane dotyczą. Na przykład art. 18 i motyw 49, które dotyczą obowiązku prowadzenia rejestru operacji przetwarzania danych i udostępnienia go organom ochrony danych, upoważniają państwa członkowskie do zwolnienia z tego obowiązku w przypadkach, w których przetwarzanie danych „nie wpłynie niekorzystnie na prawa wolności osób, których dane dotyczą”. Podobne sformułowanie jest użyte w art. 16 ust. 6 wspólnego stanowiska i ma umożliwić osobom prawnym podejmowanie działań prawnych przeciwko autorom niezamówionych komunikatów.

44.

Ponadto, biorąc powyższe pod uwagę, można by również oczekiwać od podmiotów objętych obowiązkiem powiadamiania i w szczególności od organów właściwych do egzekwowania przepisów dotyczących ochrony danych, że będą lepiej zaznajomione z powyższym kryterium, dzięki czemu łatwiej im będzie dokonać oceny tego, czy dane naruszenie spełnia wyznaczone kryterium.

45.

W myśl podejścia zaproponowanego przez PE (z wyjątkiem przypadków, gdy zagrożenie jest natychmiastowe) i w myśl zmienionego wniosku Komisji to organy państw członkowskich podejmują decyzję, czy dane naruszenie odpowiada kryterium, którego spełnienie pociąga za sobą obowiązek powiadomienia danych osób.

46.

EIOD uważa, że zaangażowanie organu odgrywa istotną rolę w określaniu, czy kryterium zostało spełnione, ponieważ do pewnego stopnia stanowi to gwarancję właściwego stosowania przepisów. Taki system może zapobiec sytuacjom, w których firmy niewłaściwie ocenią, że naruszenie nie jest szkodliwe/poważne, i nie dokonają powiadomienia, choć w rzeczywistości jest ono konieczne.

47.

Z drugiej strony EIOD obawia się, że system, w ramach którego organy mają przeprowadzać taką ocenę, może być niepraktyczny i trudny w stosowaniu lub w praktyce może przynieść efekt przeciwny do zamierzonego. Może zatem nawet ograniczyć danym osobom gwarancje ochrony danych.

48.

W myśl takiego podejścia bowiem organy ochrony danych prawdopodobnie zostaną zalane powiadomieniami o naruszeniu bezpieczeństwa i dokonanie koniecznych ocen może im przysporzyć poważnych trudności. Należy pamiętać, że aby przeprowadzić ocenę tego, czy dane naruszenie spełnia kryterium, organy będą musiały dysponować wystarczającymi poufnymi informacjami, często skomplikowanymi technicznie, które będą musiały opracować bardzo szybko. Uwzględniając trudność oceny i fakt, że niektóre organy dysponują ograniczonymi zasobami, EIOD obawia się, że organom bardzo trudno będzie sprostać temu obowiązkowi i że jego realizacja może pochłonąć zasoby przeznaczone na inne ważne priorytety. Taki system może ponadto wywierać na organy nadmierną presję; jeśli bowiem zdecydują, że naruszenie nie jest poważne, a mimo to dane osoby ucierpią, organy mogą potencjalnie zostać obciążone odpowiedzialnością.

49.

Trudność ta staje się tym bardziej oczywista, jeśli weźmie się pod uwagę, że kluczowym czynnikiem w ograniczeniu zagrożeń wynikających z naruszeń bezpieczeństwa, jest czas. O ile organy nie będą w stanie przeprowadzić oceny w bardzo krótkim czasie, dodatkowy czas potrzebny im na przeprowadzenie takich ocen może spowodować, że szkody poniesione przez dane osoby będą większe. Dlatego też, ten dodatkowy etap, który w zamyśle ma zapewnić osobom lepszą ochronę, może – jak na ironię – doprowadzić to tego, że ochrona ta będzie mniej skuteczna niż w ramach systemów opartych na bezpośrednim powiadamianiu.

50.

Z wyżej podanych powodów EIOD jest zdania, że należałoby raczej ustanowić system, w myśl którego to dane podmioty przeprowadzałyby ocenę tego, czy naruszenie spełnia kryterium – tak, jak przewiduje to Rada w zaproponowanym podejściu.

51.

Aby jednak uniknąć ryzyka ewentualnych nadużyć, np. sytuacji, w której podmioty odmawiałyby powiadomienia, choć jasno wymagałyby tego okoliczności, sprawą najwyższej wagi jest, by istniały pewne gwarancje ochrony danych opisane poniżej.

52.

Po pierwsze, obowiązkowi spoczywającemu na objętych nim podmiotach i dotyczącemu podjęcia decyzji, czy powinny dokonać powiadomienia, musi rzecz jasna towarzyszyć inny obowiązek, polegający na obowiązkowym powiadamianiu organów o wszelkich naruszeniach, które spełniają wymagane kryterium. Dane podmioty powinny w takich przypadkach być zobowiązane do poinformowania organów o naruszeniu i o przyczynach podjęcia takiej czy innej decyzji dotyczącej powiadomienia, a także o treści dokonanego powiadomienia.

53.

Po drugie, organy powinny rzeczywiście mieć możliwość nadzoru. Wypełniając to zadanie, organy powinny mieć możliwość – ale nie obowiązek – badania okoliczności zaistnienia naruszenia i domagania się wszelkich niezbędnych działań naprawczych (14). Możliwości te powinny obejmować nie tylko powiadamianie danych osób (o ile nie zostało ono jeszcze dokonane), lecz również nakładanie obowiązku podjęcia działań służących zapobieżeniu kolejnym naruszeniom. Organom należy przyznać faktyczne uprawnienia i zasoby w tym zakresie; powinny one również dysponować niezbędnym polem manewru, jeśli chodzi o decyzję, kiedy reagować na powiadomienie o naruszeniu bezpieczeństwa. Innymi słowy, dałoby to organom możliwość dokonywania wyboru i angażowania się w dochodzenia w sprawie np. rzeczywiście szkodliwych naruszeń bezpieczeństwa na dużą skalę, przez sprawdzanie i egzekwowanie spójności z wymogami prawa.

54.

Aby umożliwić organom wykonanie tego założenia, oprócz uprawnień uznanych na mocy dyrektywy o e-prywatności np. w art. 15a ust. 3 i na mocy dyrektywy o ochronie danych, EIOD sugeruje dodanie fragmentu w brzmieniu: „Jeśli dany abonent lub dana osoba nie zostali jeszcze powiadomieni, to po zbadaniu charakteru naruszenia właściwy organ krajowy może wystąpić do dostawcy PPECS lub ISSP o dokonanie powiadomienia”.

55.

Ponadto EIOD zaleca, by PE i Rada potwierdziły – jak zaproponował EP (poprawka 122, art. 4. ust. 1 lit. a)) – że podmioty mają obowiązek przeprowadzić ocenę ryzyka i określić, których systemów mają zamiar użyć do przetwarzania konkretnych danych osobowych. Stosownie do tego obowiązku podmioty opracują zindywidualizowaną i dokładną definicję środków bezpieczeństwa, które będą stosowane w przypadku tych danych i którymi powinny dysponować organy. Jeśli nastąpi naruszenie bezpieczeństwa, istnienie takiego obowiązku pozwoli objętym nim podmiotom – i ostatecznie także podmiotom sprawującym swoje zadania nadzorcze – określić, czy narażenie takich informacji może mieć niekorzystne skutki dla danych osób lub wyrządzić im szkodę.

56.

Po trzecie, obowiązkowi spoczywającemu na objętych nim podmiotach polegającemu na podejmowaniu decyzji, czy powinny powiadomić dane osoby, powinien towarzyszyć obowiązek zachowania szczegółowych i kompleksowych, chronologicznie posegregowanych informacji odnoszących się do kontroli wewnętrznej i dotyczących wszelkich naruszeń, które miały miejsce, oraz wszelkich powiadomień, a także wszelkich środków podjętych, by zapobiec naruszeniom w przyszłości. Do tych chronologicznie posegregowanych informacji odnoszących się do kontroli wewnętrznej dostęp muszą mieć organy – do celów przeglądu i ewentualnego dochodzenia. Pozwoli to organom wywiązać się ze swoich zadań nadzorczych. Można by to osiągnąć, dodając fragment w brzmieniu: „Dostawcy PPECS i dostawcy ISSP prowadzą i zachowują kompleksowe rejestry zawierające szczegółowe informacje na temat wszelkich zaistniałych przypadków naruszenia bezpieczeństwa, stosowne informacje techniczne z tym związane oraz informacje na temat podjętych działań naprawczych. Rejestry te zawierają również informacje o wszelkich powiadomieniach przesłanych abonentom lub danym osobom oraz właściwym organom krajowym, w tym datę przesłania powiadomienia i jego treść. Akta te są przedstawiane na wniosek właściwego organu krajowego”.

57.

Oczywiście, aby zapewnić spójność wdrażania tego kryterium, a także innych odpowiednich aspektów ram naruszeń bezpieczeństwa, takich jak format i procedury powiadamiania, Komisja powinna przyjąć techniczne środki wykonawcze, po konsultacji z EIOD-em, Grupą Roboczą Art. 29 i odpowiednimi zainteresowanymi stronami.

58.

Jeśli chodzi o adresatów powiadomień, EIOD preferuje terminologię stosowaną przez PE i Komisję od terminologii zaproponowanej przez Radę. PE zastąpił bowiem wyraz „abonenci” wyrazem „użytkownicy”. Komisja używa terminów: „abonenci” i „osoba indywidualna”. Zarówno sformułowania stosowane przez PE, jak i sformułowania stosowane przez Komisję uwzględniają, że adresatami powiadomień są nie tylko obecni abonenci, lecz również dawni abonenci i strony trzecie, takie jak użytkownicy, którzy mają do czynienia z pewnymi podmiotami objętymi obowiązkiem powiadamiania, nie są jednak abonentami ich usług. EIOD cieszy się z takiego podejścia i apeluje do PE i Rady, by je zachowały.

59.

EIOD zauważa jednak pewne niespójności, jeśli chodzi o terminologię w tekście będącym wynikiem pierwszego czytania w PE; należy im zaradzić. Na przykład wyraz „abonenci” został zastąpiony w większości miejsc – choć nie we wszystkich – wyrazem „użytkownicy”, w niektórych zaś innych miejscach – wyrazem „konsumenci”. Terminy te należy uspójnić.

60.

Art. 3 ust. 1 obecnej dyrektywy o e-prywatności określa, jakich podmiotów przede wszystkim ona dotyczy; są to mianowicie podmioty przetwarzające dane „w związku z” świadczeniem publicznych usług łączności elektronicznej w publicznych sieciach łączności (wyżej zwane PPECS) (15). Przykładami usług PPECS są: dostarczanie dostępu do Internetu, przesyłanie informacji poprzez sieci elektroniczne, połączenia telefonii mobilnej i stacjonarnej itp.

61.

PE uchwalił poprawkę 121 zmieniającą art. 3 pierwotnego wniosku Komisji, zgodnie z którą zakres zastosowania dyrektywy o e-prywatności rozszerzono na „przetwarzanie danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych i prywatnych sieciach łączności oraz w publicznie dostępnych sieciach prywatnych we Wspólnocie, […]” (art. 3 ust. 1 dyrektywy o e-prywatności). Niestety zarówno Radzie, jak i Komisji trudno było zaakceptować tę poprawkę i dlatego takie podejście nie zostało uwzględnione ani w tekście wspólnego stanowiska ani w zmienionym wniosku.

62.

Z przyczyn wyjaśnionych poniżej i aby pomóc w osiągnięciu konsensusu, EIOD zachęca do zachowania istoty poprawki 121. EIOD sugeruje ponadto, by włączyć poprawkę, która pozwoli jeszcze doprecyzować typy usług, które zostałyby objęte rozszerzonym zakresem zastosowania.

63.

Prywatne sieci są często wykorzystywane do świadczenia usług łączności elektronicznej, takich jak dostęp do Internetu dla nieokreślonej liczby osób, która może być spora. Dzieje się tak np. w przypadku dostępu do Internetu w kafejkach internetowych, a także w punktach dostępu do Wi-Fi znajdujących się w hotelach, restauracjach, portach lotniczych, pociągach i innych placówkach dostępnych dla społeczeństwa, gdzie takie usługi są często świadczone jako dodatek do innych usług (np. napojów, zakwaterowania itd.).

64.

We wszystkich powyższych przykładach usługa łączności, np. dostęp do Internetu, jest udostępniana społeczeństwu nie za pośrednictwem sieci publicznej, lecz za pośrednictwem sieci, którą można uznać za prywatną, tj. sieci obsługiwanej przez podmiot prywatny. Poza tym, choć w powyższych przykładach usługa łączności jest świadczona społeczeństwu, to ze względu na to, że użyta sieć jest prywatna, a nie publiczna, można twierdzić, że usługi te nie podlegają wszystkim przepisom dyrektywy o e-prywatności lub przynajmniej niektórym z jej artykułów (16). W rezultacie w takich przypadkach prawa podstawowe osób zagwarantowane w dyrektywie o e-prywatności nie są chronione, zaś między użytkownikami korzystającymi z usług dostępu do Internetu za pośrednictwem publicznych firm telekomunikacyjnych i tymi, którzy mają dostęp do tych samych usług za pośrednictwem sieci prywatnych, powstaje nierówność względem prawa. Dzieje się tak, choć zagrożenia dla prywatności i danych osobowych osób są we wszystkich tych przypadkach takie same jak w przypadku, gdy do świadczenia danej usługi używane są sieci publiczne. Podsumowując – wydaje się, że nie istnieje powód, dla którego na mocy dyrektywy usługi łączności świadczone poprzez sieć prywatną miałyby być traktowane inaczej niż usługi świadczone przez sieć publiczną.

65.

Dlatego też EIOD opowiedziałby się za poprawką, taką jak poprawka 121 PE, zgodnie z którą dyrektywa o e-prywatności miałaby zastosowanie również do przetwarzania danych osobowych w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej w prywatnych sieciach łączności.

66.

EIOD rozumie jednak, że takie sformułowanie mogłoby mieć nieprzewidziane i prawdopodobnie niezamierzone skutki. Proste odniesienie do sieci prywatnych można by bowiem interpretować jako odniesienie również do sytuacji, których nie zamierzano regulować tą dyrektywą. Na przykład można by utrzymywać, że dosłowne lub ścisłe interpretowanie tego sformułowania mogłoby doprowadzić do tego, że zakresem zastosowania dyrektywy zostaliby objęci właściciele domów wyposażonych w bezprzewodowe sieci Wi-Fi (17), którzy umożliwiają podłączenie się wszystkim w zasięgu tych sieci (zwykle w domu); nie taki jednak zamysł przyświecał autorom poprawki 121. Aby uniknąć opisanej sytuacji, EIOD sugeruje, by zmienić brzmienie poprawki 121 i uwzględnić w zakresie zastosowania dyrektywy o e-prywatności „przetwarzanie danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności lub w publicznie dostępnych prywatnych sieciach łączności we Wspólnocie, ….”

67.

Dzięki takiemu sformułowaniu jasne byłoby, że dyrektywie o e-prywatności podlegają tylko te prywatne sieci, które są publicznie dostępne. Stosowanie przepisów dyrektywy o e-prywatności tylko do publicznie dostępnych sieci prywatnych (nie zaś do wszystkich sieci prywatnych) wyznacza pewną granicę, przez co dyrektywie podlegać będą tylko usługi łączności świadczone przez prywatne sieci, które są umyślnie udostępniane społeczeństwu. Takie sformułowanie pomoże ponadto podkreślić, że fakt udostępniania sieci prywatnej ogółowi społeczeństwa jest kluczowym czynnikiem przy określaniu, czy sieć ta będzie objęta dyrektywą (obok czynnika, jakim jest świadczenie publicznie dostępnej usługi łączności). Innymi słowy, bez względu na to, czy sieć jest publiczna czy prywatna, jeśli jest umyślnie udostępniana społeczeństwu i świadczy publiczną usługę łączności, taką jak dostęp do Internetu, to nawet jeśli taka usługa jest dodatkiem do innej usługi (np. zakwaterowania w hotelu), taki typ usługi/sieci podlegałby dyrektywie o e-prywatności.

68.

EIOD pragnie zauważyć, że poparte przez niego, przedstawione powyżej podejście, w myśl którego przepisy dyrektywy o e-prywatności są stosowane do publicznie dostępnych sieci prywatnych, jest spójne z podejściem przyjętym w wielu państwach członkowskich, w których organy już uznały, że takie typy usług, jak i usługi świadczone w sieciach o czysto prywatnym charakterze wchodzą w zakres zastosowania przepisów krajowych służących wykonaniu dyrektywy o e-prywatności (18).

69.

Aby zapewnić jeszcze większą pewność prawa co do podmiotów objętych nowym zakresem zastosowania, użyteczne może być włączenie do dyrektywy o e-prywatności poprawki z definicją „publicznie dostępnych sieci prywatnych”, która mogłaby brzmieć: „publicznie dostępna sieć prywatna oznacza sieć obsługiwaną przez podmiot prywatny, do której nieograniczony dostęp ma zwykle ogół społeczeństwa – odpłatnie lub nie albo w związku z innymi usługami lub ofertami – pod warunkiem zaakceptowania stosownych warunków użytkowania”.

70.

W praktyce powyższe podejście oznaczałoby, że dyrektywie podlegałyby sieci prywatne w hotelach i innych placówkach, które zapewniają dostęp do Internetu ogółowi społeczeństwa poprzez sieć prywatną. Z drugiej strony świadczenie usług łączności przez sieci o czysto prywatnym charakterze, z których to usług korzysta ograniczona liczba określonych osób, nie będzie objęte dyrektywą. A zatem dyrektywą nie byłyby objęte np. wirtualne sieci prywatne i domy konsumentów wyposażone w bezprzewodowe sieci Wi-Fi. Nie byłyby nią objęte również usługi świadczone za pośrednictwem sieci będących faktycznie sieciami wewnętrznymi.

71.

Wyłączenie sieci prywatnych jako takich, jak zasugerowano powyżej, należy uważać jako środek tymczasowy, który trzeba będzie jeszcze omówić. Zważywszy bowiem z jednej strony, że wyłączenie sieci o czysto prywatnym charakterze jako takich może mieć skutki dla prywatności, a z drugiej – że wyłączenie to dotyczy sporej liczby osób, które zwykle uzyskują dostęp do Internetu za pośrednictwem sieci wewnętrznych, być może w przyszłości trzeba będzie ponownie zastanowić się nad tą kwestią. Z tego względu i by wesprzeć debatę na ten temat, EIOD zaleca dodanie do dyrektywy o e-prywatności motywu, zgodnie z którym Komisja przeprowadzi konsultacji publiczne dotyczące stosowania dyrektywy o e-prywatności do wszystkich sieci prywatnych i weźmie również pod uwagę komentarze EIOD-a, organów ochrony danych i innych stosownych zainteresowanych stron. W motywie tym można ponadto wyjaśnić, że zgodnie z wynikiem tych konsultacji publicznych Komisja powinna przedstawić stosowny wniosek w sprawie rozszerzenia lub ograniczenia zakresu typów podmiotów, które powinny podlegać dyrektywie o e-prywatności.

72.

Oprócz powyższego działania należy odpowiednio zmienić różne artykuły dyrektywy o e-prywatności, tak by wszystkie przepisy operacyjne w wyraźny sposób odnosiły się nie tylko do sieci publicznych, lecz również publicznie dostępnych sieci prywatnych.

73.

W trakcie procedury legislacyjnej związanej z przeglądem dyrektywy o e-prywatności, firmy świadczące usługi bezpieczeństwa postulowały, by do dyrektywy o e-prywatności włączyć przepis dający prawne podstawy gromadzenia danych o ruchu do celów zagwarantowania rzeczywistego bezpieczeństwa sieci.

74.

W związku z tym PE dodał poprawkę 181, wprowadzającą nowy art. 6 ust. 6a; w artykule tym jednoznacznie zezwala się na przetwarzanie danych o ruchu do celów bezpieczeństwa: „Bez uszczerbku dla zgodności z postanowieniami innymi niż postanowienia art. 7 dyrektywy 95/46/WE i art. 5 tej dyrektywy, dane o ruchu można przetwarzać w uzasadnionym interesie kontrolera danych w celu wdrożenia technicznych środków zapewniających bezpieczeństwo sieci i informacji – zgodnie z definicją zawartą w art. 4 lit. (c) rozporządzenia (WE) 460/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. ustanawiającego Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji – publicznej usługi łączności elektronicznej, publicznej lub prywatnej sieci łączności elektronicznej, usługi społeczeństwa informacyjnego lub związanego z nimi urządzenia końcowego łączności elektronicznej, chyba że ważniejsze okazują się prawa podstawowe i wolności podmiotów, których dane te dotyczą. Przetwarzanie takie musi się ograniczać do zakresu ściśle niezbędnego do celów tego rodzaju działania mającego zapewniać bezpieczeństwo”.

75.

Komisja w swoim zmienionym wniosku zaakceptowała tę poprawkę co do zasady, jednak usunęła z jej tekstu kluczowy fragment, który miał zagwarantować, że przestrzegane będą inne przepisy dyrektywy (początkowy fragment od „Bez uszczerbku” do „tej dyrektywy”). Rada przyjęła przeredagowaną wersję, w której jeszcze osłabiono ważne zabezpieczenia i równowagę interesów wprowadzone poprawką 181 i nadano tekstowi brzmienie: „Dane o ruchu mogą być przetwarzane wyłącznie w zakresie niezbędnym do zapewnienia bezpieczeństwa sieci i informacji określonego w art. 4 lit. c) rozporządzenia (WE) nr 460/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. ustanawiającego Europejską Agencję Bezpieczeństwa Sieci i Informacji”.

76.

Jak wyjaśniono poniżej, art. 6 ust. 6a jest niepotrzebny i podatny na ryzyko nadużywania, zwłaszcza jeśli zostanie przyjęty w formie, która nie zawiera ważnych gwarancji, fragmentów dotyczących przestrzegania innych przepisów dyrektywy czy zachowania równowagi interesów. EIOD zaleca zatem usunięcie tego artykułu lub przynajmniej dopilnowanie, by każdy ewentualny artykuł dotyczący tego zagadnienia zawierał tego rodzaju gwarancje, jakie zawarte były w poprawce 181 przyjętej przez PE.

77.

Zakres, w jakim dostawcy publicznie dostępnych usług łączności elektronicznej mogą zgodnie z prawem przetwarzać dane o ruchu, jest regulowany art. 6 dyrektywy o e-prywatności, który zezwala na przetwarzanie danych o ruchu tylko do pewnych określonych celów, takich jak naliczenie opłat, rozliczenia międzyoperatorskie i marketing. Przetwarzanie takie można prowadzić, o ile spełnione zostaną wyszczególnione warunki, np. w przypadku marketingu – uzyskana zostanie zgoda danych osób. Inni administratorzy danych, tacy jak dostawcy usług społeczeństwa informacyjnego, mogą ponadto przetwarzać dane o ruchu na mocy art. 7 dyrektywy o ochronie danych, zgodnie z którym administratorzy danych mogą przetwarzać dane osobowe, jeśli czynność ta jest prowadzona zgodnie z co najmniej jedną z wymienionych w artykule podstaw prawnych.

78.

Przykładem takiej podstawy prawnej jest art. 7 lit. a) dyrektywy o ochronie danych wprowadzający wymóg uzyskania zgody osoby, której dane dotyczą. Na przykład, jeśli sklep internetowy chce przetwarzać dane o ruchu do celów sprzedaży ogłoszeń reklamowych lub materiałów marketingowych, musi uzyskać zgodę danej osoby. Zgodnie z inną podstawą prawną przedstawioną w art. 7 w pewnych okolicznościach możliwe jest przetwarzanie danych o ruchu do celów bezpieczeństwa, np. przez firmy oferujące usługi bezpieczeństwa. Wynika to z art. 7 lit. f), który stanowi, że administratorzy danych mogą przetwarzać dane osobowe, jeśli jest to „konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą …”. Dyrektywa o ochronie danych nie podaje przykładów sytuacji, w jakich przetwarzanie danych osobowych byłoby zgodne z tym wymogiem. Zamiast tego decyzję podejmują administratorzy danych – indywidualnie dla każdego przypadku – często za zgodą krajowych organów ochrony danych i innych organów.

79.

Należy wziąć pod uwagę wzajemną zależność między art. 7 dyrektywy o ochronie danych a proponowanym art. 6 ust. 6a dyrektywy o e-prywatności. Proponowany art. 6 ust. 6a precyzuje, w jakich okolicznościach spełnione zostałyby wymogi art. 7 lit. f) opisane powyżej. Zezwalając bowiem na przetwarzanie danych o ruchu w celu zapewnienia bezpieczeństwa sieci i informacji, art. 6 ust. 6a umożliwia takie przetwarzanie do celów uzasadnionych interesów administratora danych.

80.

Jak wyjaśniono poniżej, EIOD uważa, że proponowany art. 6 ust. 6a nie jest potrzebny ani użyteczny. Z punktu widzenia prawa bowiem zasadniczo nie ma potrzeby ustalania, czy szczególny typ czynności przetwarzania danych, w tym przypadku przetwarzanie danych o ruchu do celów bezpieczeństwa, spełnia wymogi art. 7 lit. f) dyrektywy o ochronie danych, w którym to przypadku może być konieczne uzyskanie zgody danej osoby na podstawie art. 7 lit. a). Jak zauważono powyżej, ocenę taką przeprowadzają zwykle na poziomie wykonawczym administratorzy danych, tj. firmy, w porozumieniu z organami ochrony danych, a w razie potrzeby – sądy. Ogólnie rzecz biorąc, EIOD uważa, że w pewnych przypadkach zgodne z prawem przetwarzanie danych o ruchu do celów bezpieczeństwa, prowadzone bez naruszania podstawowych praw i wolności osób, prawdopodobnie spełnia wymogi art. 7 lit. f) dyrektywy o ochronie danych, a zatem może być prowadzone. Ponadto ani dyrektywa o ochronie danych, ani dyrektywa o e-prywatności nie zawierają precedensu polegającego na wybieraniu lub szczególnym traktowaniu pewnego typu czynności przetwarzania danych, który odpowiadałoby wymogom art. 7 lit. f), i nie istnieją dowody, że taki wyjątek jest konieczny. Natomiast, jak zauważono powyżej, wydaje się, że w wielu okolicznościach tego typu czynność można by swobodnie pogodzić z obecnym tekstem. Dlatego też przepis prawny potwierdzający konieczność tej oceny jest w zasadzie niepotrzebny.

81.

Jak wyjaśniono powyżej, należy podkreślić, że poprawka 181 przyjęta przez PE, choć niepotrzebna, została jednak zredagowana, do pewnego stopnia uwzględniając zasady ochrony prywatności i ochrony danych zawarte w przepisach dotyczących ochrony danych. W swej poprawce 181 PE mógłby ponadto zająć się potrzebą ochrony danych i prywatności, na przykład, dodając wyrazy „w określonych przypadkach”, by zadbać o wybiórcze stosowanie tego artykułu, lub określając konkretny okres przechowywania danych.

82.

Poprawka 181 zawiera pewne elementy, które należy ocenić pozytywnie. Potwierdza, że przetwarzanie powinno być zgodne z wszelkimi zasadami ochrony danych, które mają zastosowanie do przetwarzania danych osobowych („Bez uszczerbku dla zgodności z postanowieniami […] dyrektywy 95/46/WE i […] tej dyrektywy”). Ponadto, choć w myśl poprawki 181 dozwolone jest przetwarzanie danych o ruchu do celów bezpieczeństwa, zachowano w niej równowagę między interesami podmiotu przetwarzającego dane o ruchu a interesami osób, których dane są przetwarzane, tak że takie przetwarzanie danych może być prowadzone, tylko jeśli interesy podmiotu przetwarzającego dane nie są ważniejsze niż interesy podstawowych praw i wolności danych osób („chyba że ważniejsze okazują się prawa podstawowe i wolności podmiotów, których dane te dotyczą”). Wymóg ten jest kluczowy, ponieważ dzięki niemu możliwe staje się przetwarzanie danych o ruchu w poszczególnych przypadkach; nie umożliwia on jednak danemu podmiotowi masowego przetwarzania danych o ruchu.

83.

Przeredagowana przez Radę wersja poprawki zawiera elementy godne pochwały, takie jak zachowane wyrażenie „ściśle niezbędny”, które podkreśla ograniczony zakres zastosowania tego artykułu. W wersji Rady zabrakło jednak gwarancji ochrony danych i prywatności, o których mowa powyżej. Choć w zasadzie obowiązują ogólne przepisy dotyczące ochrony danych, bez względu na to, czy są wyraźnie przywoływane w każdym przypadku, art. 6 ust. 6a w wersji zredagowanej przez Radę można jednak interpretować jako dający pełne uprawnienia uznaniowe do przetwarzania danych o ruchu, bez konieczności zapewnienia jakichkolwiek gwarancji ochrony danych i prywatności, które obowiązują za każdym razem, gdy przetwarzane są dane o ruchu. Można by zatem utrzymywać, że dane o ruchu wolno zbierać, przechowywać, a następnie użytkować bez konieczności przestrzegania zasad ochrony danych ani wypełniania konkretnych obowiązków, które tak czy inaczej mają zastosowanie do podmiotów odpowiedzialnych, takich jak zasada jakości czy obowiązek uczciwego i zgodnego z prawem przetwarzania czy dbania o poufność i bezpieczeństwo danych. Poza tym, skoro w samym artykule brak odniesienia do stosownych zasad ochrony danych, które ograniczają czas, przez jaki wolno informacje gromadzić, lub do określonych ram czasowych, wersję zaproponowaną przez Radę można interpretować jako zezwalającą na zbieranie i przetwarzanie danych o ruchu do celów bezpieczeństwa przez czas nieokreślony.

84.

Rada osłabiła ponadto gwarancje prywatności w niektórych fragmentach tekstu, używając ogólniejszych sformułowań. Usunięto na przykład odniesienie do „uzasadnionego interesu kontrolera danych”, co wzbudza wątpliwość co do typów podmiotów, którym wolno byłoby skorzystać z tego wyłączenia. Sprawą niesłychanej wagi jest uniknięcie utorowania jakiemukolwiek użytkownikowi czy podmiotowi prawnemu drogi do niewłaściwego wykorzystania tej poprawki.

85.

Ostatnie doświadczenia w ramach PE i Rady pokazują, że trudno jest określić w przepisach prawa zakres i warunki, po spełnieniu których wolno zgodnie z prawem przetwarzać dane do celów bezpieczeństwa. Jest mało prawdopodobne, by jakikolwiek obowiązujący czy przyjęty w przyszłości przepis zapobiegł oczywistym zagrożeniom wynikającym z nadmiernie szerokiego stosowania tego wyłączenia z przyczyn innych niż ściśle związane z bezpieczeństwem lub stosowania przez podmioty, które nie powinny mieć możliwości korzystania z tego wyłączenia. Nie oznacza to, że takie przetwarzanie nie jest dozwolone w żadnych okolicznościach. Jednak bardziej poprawną ocenę tego, czy dozwolone jest przetwarzanie i w jakim zakresie, można przeprowadzić na poziomie wykonawczym. Podmioty, które chciałyby zająć się takim przetwarzaniem, powinny omówić zakres i warunki z organami ochrony danych i ewentualnie z Grupą Roboczą Art. 29. Istnieje też inna możliwość: dyrektywa o e-prywatności mogłaby zawierać artykuł, który zezwala na przetwarzanie danych o ruchu do celów bezpieczeństwa, o ile uzyskana zostanie jednoznaczna zgoda organów ochrony danych.

86.

Biorąc pod uwagę z jednej strony zagrożenia, jakie art. 6 ust. 6a stwarza dla podstawowego prawa do ochrony danych i prywatności osób, a z drugiej strony fakt, że – jak wyjaśniono w niniejszej opinii – z punktu widzenia prawa artykuł ten jest niepotrzebny, EIOD doszedł do wniosku, że najlepszym wyjściem byłoby skreślenie proponowanego art. 6 ust. 6a w całości.

87.

Jeśli – wbrew zaleceniu EIOD-a – przyjęty zostanie jakikolwiek tekst w rodzaju art. 6 ust. 6a w jego obecnej wersji, powinien on przynajmniej zawierać gwarancje ochrony danych omówione powyżej. Powinien on również zostać odpowiednio zespolony z obecną strukturą art. 6, najlepiej jako nowy ustęp 2a.

88.

PE uchwalił poprawkę 133, która umożliwia dostawcom dostępu do Internetu i innym podmiotom prawnym, takim jak stowarzyszenia konsumenckie, występowanie na drogę sądową w przypadku naruszenia któregokolwiek z przepisów dyrektywy o e-prywatności (19). Niestety, ani Komisja ani Rada nie zaakceptowały tej poprawki. EIOD bardzo pozytywnie ocenia tę poprawkę i zaleca jej zachowanie.

89.

Aby zrozumieć znaczenie tej poprawki, trzeba zdać sobie sprawę, że w dziedzinie ochrony prywatności i danych szkoda wyrządzona danej osobie rozpatrywana jako pojedynczy przypadek zwykle sama w sobie nie jest wystarczająca, by wszcząć kroki prawne przed sądem. Pojedyncze osoby zwykle same nie występują na drogę sądową, tylko dlatego, że stały się adresatami niezamówionych komunikatów lub że ich imię i nazwisko zostało błędnie zamieszczone w książce telefonicznej. Poprawka ta pozwoliłaby stowarzyszeniom konsumenckim i związkom zawodowym zbiorowo reprezentującym interesy konsumentów występować na drogę sądową w ich imieniu. Większe zróżnicowanie mechanizmów egzekwowania prawdopodobnie będzie sprzyjać także lepszemu przestrzeganiu przepisów dyrektywy o e-prywatności, a co za tym idzie – chęci skutecznego ich stosowania.

90.

W prawnych ramach niektórych państw członkowskich istnieją prawne precedensy, które przewidują możliwość zbiorowego zadośćuczynienia, dzięki czemu konsumenci lub grupy interesów mogą występować o odszkodowanie od strony, która spowodowała szkodę.

91.

Ponadto ustawy o konkurencji (20) obowiązujące w niektórych państwach członkowskich upoważniają konsumentów i grupy interesów (obok poszkodowanego w wyniku nieuczciwej konkurencji) do wytaczania sprawy podmiotowi, który popełnił naruszenie. Uzasadnieniem takiego podejścia jest fakt, że firmy popełniające naruszenia ustawy o konkurencji prawdopodobnie odniosą korzyści, ponieważ konsumenci, którzy ponieśli tylko bardzo niewielkie szkody, zazwyczaj niechętnie wytaczają sprawę. To samo uzasadnienie można – ze stosownymi zmianami – zastosować w dziedzinie ochrony danych i prywatności.

92.

Co więcej, jak wspomniano powyżej, upoważnienie podmiotów prawnych, takich jak stowarzyszenia konsumenckie i dostawcy PPECS, do występowania na drogę sądową poprawia sytuację konsumentów i sprzyja ogólnemu lepszemu przestrzeganiu przepisów o ochronie danych. Jeśli firmy popełniające naruszenia będą bardziej narażone na pozwanie do sądu, prawdopodobnie włożą więcej wysiłku w przestrzeganie przepisów dotyczących ochrony danych, co w dłuższej perspektywie przyczyni się do zwiększenia poziomu ochrony prywatności i konsumentów. Z wszystkich tych powodów EIOD apeluje do PE i do Rady, by przyjęły przepis umożliwiający podmiotom prawnym występowanie na drogę sądową w przypadku naruszenia któregokolwiek z przepisów dyrektywy o e-prywatności.

93.

Tekst wspólnego stanowiska Rady, tekst będący wynikiem pierwszego czytania w PE oraz zmieniony wniosek Komisji zawierają, w różnym stopniu, elementy zasługujące na pozytywną ocenę, które przyczyniłyby się do wzmocnienia ochrony prywatności i danych osobowych osób.

94.

EIOD sądzi jednak, że teksty te można jeszcze udoskonalić, zwłaszcza jeśli chodzi o wspólne stanowisko Rady, w którym niestety nie uwzględniono pewnych poprawek PE służących dopilnowaniu odpowiedniej ochrony prywatności i danych osobowych osób. EIOD nalega, by PE i Rada przywróciły gwarancje prywatności, które były zawarte w tekście będącym wynikiem pierwszego czytania w PE.

95.

Ponadto EIOD uważa, że należy udoskonalić pewne przepisy dyrektywy. Odnosi się to w szczególności do przepisów dotyczących naruszenia bezpieczeństwa, ponieważ EIOD uważa, że pełne korzyści z powiadomień o naruszeniu będzie można wyciągnąć, gdy ramy prawne zostaną prawidłowo określone od samego początku. Na koniec – EIOD jest zdania, że należy poprawić i doprecyzować brzmienie pewnych przepisów dyrektywy.

96.

W świetle powyższego, EIOD zwraca się do PE i Rady, by zwiększyły starania na rzecz poprawienia i doprecyzowania pewnych przepisów dyrektywy o e-prywatności, a jednocześnie przywróciły w tekście poprawki przyjęte przez PE w pierwszym czytaniu, które miały na celu zapewnienie właściwego poziomu ochrony prywatności i danych. W tym celu w poniższych punktach 97, 98, 99 i 100 zawarto podsumowanie omawianych kwestii i przedstawiono pewne zalecenia i propozycje redakcyjne. EIOD apeluje do wszystkich zainteresowanych stron, by uwzględniły te zalecenia i propozycje, zanim dyrektywa o e-prywatności zostanie ostatecznie przyjęta.

97.

Parlament Europejski, Komisja i Rada przyjęły różne podejścia do kwestii powiadamiania o przypadkach naruszenia bezpieczeństwa. Różnice między trzema modelami są widoczne m.in., jeśli chodzi o podmioty objęte obowiązkiem powiadamiania, kryterium, którego spełnienie pociąga za sobą konieczność powiadomienia, osoby, których dane dotyczą, upoważnione do otrzymania powiadomienia itd. PE i Rada muszą dołożyć wszelkich starań, by opracować solidne ramy prawne dotyczące naruszeń bezpieczeństwa. W tym celu PE i Rada powinny:

98.

Usługi łączności są często udostępniane społeczeństwu nie za pomocą sieci publicznych, a sieci obsługiwanych przez podmioty prywatne (np. punkty dostępu do Wi-Fi znajdujące się w hotelach, portach lotniczych), które raczej nie podlegają dyrektywie. PE przyjął poprawkę 121 (art. 3) rozszerzającą zakres zastosowania dyrektywy, tak by podlegały jej publiczne i prywatne sieci łączności, a także publicznie dostępne sieci prywatne. W odniesieniu do powyższego PE i Rada powinny:

99.

PE przyjął w pierwszym czytaniu poprawkę 181 (art. 6 ust. 6a), w której zezwala się na przetwarzanie danych o ruchu do celów bezpieczeństwa. W tekście wspólnego stanowiska Rady zawarto nową wersję, w której osłabiono niektóre zabezpieczenia prywatności. Z tego względu EIOD zaleca, by PE i Rada:

100.

Parlament przyjął poprawkę 133 (art. 13 ust. 6), która daje podmiotom prawnym możliwość występowania na drogę sądową w przypadku stwierdzenia naruszenia którekolwiek z przepisów dyrektywy. Niestety, Rada nie zachowała poprawki w swoim tekście. Rada i PE powinny:

101.

W odniesieniu do wszystkich powyższych kwestii PE i Rada muszą sprostać wyzwaniu, jakim jest opracowanie właściwych zasad i przepisów, które są wykonalne, funkcjonalne i zgodne z prawem do prywatności i ochrony danych osób. EIOD ma nadzieję, że zaangażowane strony dołożą wszelkich starań, by sprostać temu wyzwaniu, i że niniejsza opinia pomoże im w osiągnięciu tego celu.

6.6.2009   

PL

Dziennik Urzędowy Unii Europejskiej

C 128/42

1.

W dniu 13 listopada 2008 r. Komisja przyjęła wniosek dotyczący dyrektywy Rady nakładającej na państwa członkowskie obowiązek utrzymywania minimalnych zapasów ropy naftowej lub produktów naftowych (dalej zwany „wnioskiem”) (3).

2.

Wniosek ma na celu zapewnienie wysokiego poziomu bezpieczeństwa zaopatrzenia w ropę naftową we Wspólnocie, za pomocą niezawodnych i przejrzystych mechanizmów opartych na solidarności między państwami członkowskimi, utrzymywanie minimalnych zapasów ropy naftowej lub produktów naftowych oraz wprowadzenie niezbędnych proceduralnych środków zapobiegania poważnym niedoborom.

3.

W dniu 14 listopada 2008 r. Komisja przekazała EIOD wniosek do konsultacji zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. EIOD z zadowoleniem przyjmuje fakt, że zasięgnięto jego opinii w tej kwestii i zauważa, że odniesienie do tej konsultacji znajduje się w preambule wniosku zgodnie z art. 28 rozporządzenia (WE) nr 45/2001.

4.

Przed przyjęciem wniosku Komisja konsultowała się z EIOD w sposób nieformalny w sprawie konkretnego artykułu zawartego we wniosku (obecnego art. 19). EIOD z zadowoleniem przyjął tę nieformalną konsultację, ponieważ umożliwiła ona mu przedstawienie pewnych propozycji przed przyjęciem wniosku przez Komisję.

5.

Bieżąca kwestia stanowi dobrą ilustrację tego, że należy być ciągle świadomym zasad ochrony danych. W sytuacji dotyczącej państw członkowskich i ich obowiązku utrzymywania awaryjnych zapasów ropy naftowej, które to zapasy są własnością głównie osób prawnych, przetwarzanie danych osobowych nie jest zbyt wyraźnie zaznaczone, jednak nawet jeśli nie jest ono przewidziane jako takie, może mimo wszystko mieć miejsce. W każdym przypadku należy zatem uwzględniać prawdopodobieństwo, że przetwarzanie danych osobowych ma miejsce i należy podejmować odpowiednie działania.

6.

W dyrektywie przedstawione są zasadniczo dwa działania, które mogłyby pociągać za sobą przetwarzanie danych osobowych w obecnej sytuacji. Pierwsze z nich to gromadzenie przez państwa członkowskie informacji o zapasach ropy naftowej i następnie przekazywanie tych informacji Komisji. Drugie działanie wiąże się z uprawnieniem Komisji do przeprowadzania kontroli w państwach członkowskich. Gromadzenie informacji o właścicielach zapasów ropy naftowej może obejmować dane osobowe, jak nazwiska i dane kontaktowe dyrektorów spółek. Gromadzenie tych informacji oraz ich przekazywanie Komisji stanowiłoby zatem przetwarzanie danych osobowych i miałyby do niego zastosowanie przepisy dyrektywy 95/46/WE lub rozporządzenia (WE) nr 45/2001 w zależności od tego, kto faktycznie przetwarza te dane. Także udzielenie Komisji prawa do przeprowadzania kontroli zapasów awaryjnych w państwach członkowskich, obejmującego prawo do gromadzenia informacji ogólnie, może obejmować gromadzenie, a zatem także i przetwarzanie, danych osobowych.

7.

Podczas nieformalnej konsultacji – która ograniczała się wyłącznie do przepisu dotyczącego uprawnienia do kontroli posiadanego przez Komisję – EIOD poradził Komisji, by ustaliła, czy przetwarzanie danych w ramach kontroli prowadzonej przez Komisję miałoby charakter incydentalny, czy odbywałoby się regularnie i służyło celom kontroli. Na podstawie wyniku tej oceny zaproponowano dwa podejścia.

8.

Jeżeli nie przewidziano przetwarzania danych i miałoby ono zatem wyłącznie charakter incydentalny, EIOD zalecił, by najpierw wyraźnie zaznaczyć, że przetwarzanie danych nie służy celom kontroli prowadzonej przez Komisję, a następnie by oświadczyć, że żadne dane osobowe, na które Komisja natknie się w trakcie kontroli, nie zostaną zgromadzone ani uwzględnione, a w przypadku niezamierzonego zgromadzenia zostaną natychmiast zniszczone. Ponadto EIOD zaproponował, by w ramach ogólnej klauzuli pomocniczej wprowadzić przepis stanowiący, że dyrektywa nie będzie naruszać przepisów o ochronie danych zawartych w dyrektywie 95/46/WE i w rozporządzeniu (WE) nr 45/2001.

9.

Jeżeli jednak przewiduje się, że przetwarzanie danych będzie się odbywało regularnie w ramach kontroli prowadzonej przez Komisję, EIOD zalecił, by Komisja wprowadziła tekst odzwierciedlający wynik właściwej oceny pod kątem ochrony danych. Ocena taka powinna zawierać następujące elementy: (I) faktyczny cel przetwarzania danych; (II) potrzebę przetwarzania danych do realizacji tego celu; i (III) proporcjonalność przetwarzania danych.

10.

Wprawdzie nieformalna porada EIOD dotyczyła wyłącznie uprawnień Komisji do prowadzenia kontroli, jednak jego uwagi miały również zastosowanie do drugiego głównego działania przedstawionego w proponowanej dyrektywie, mianowicie do gromadzenia i przekazywania Komisji informacji przez państwa członkowskie.

11.

Jak wyraźnie wynika z ostatecznego wniosku dotyczącego dyrektywy – Komisja stwierdziła, iż nie przewiduje się przetwarzania danych do celów dyrektywy. EIOD z zadowoleniem stwierdza, że pierwsze zaproponowane przez niego podejście zostało całkowicie uwzględnione we wniosku.

12.

EIOD wyraża zatem swoje poparcie dla sposobu, w jaki Komisja zapewniła przestrzeganie zasad ochrony danych w proponowanej dyrektywie. W pozostałej części niniejszej porady przekazane zostaną jedynie pewne szczegółowe zalecenia.

13.

Artykuł 15 proponowanej dyrektywy dotyczy obowiązku państw członkowskich polegającego na przekazywaniu Komisji cotygodniowych podsumowań statystycznych dotyczących wysokości zapasów handlowych przechowywanych na terytorium danego państwa. Informacje takie zazwyczaj zawierają niewiele danych osobowych. Mogą one jednak obejmować informacje o osobach fizycznych, które są właścicielami zapasów ropy naftowej, lub które pracują dla osoby prawnej, która jest właścicielem tych zapasów. Aby nie dopuścić do przekazywania takich informacji Komisji przez państwa członkowskie, w art. 15 ust. 1 stwierdza się, że jeśli państwa członkowskie przekazują te informacje, to „unikają podawania nazwisk właścicieli przedmiotowych zapasów”. Chociaż należy być świadomym, że usunięcie nazwiska nie zawsze spowoduje, że danych nie będzie można przyporządkować osobie fizycznej, wydaje się jednak, że w obecnej sytuacji (statystyczne podsumowania wysokości zapasów ropy naftowej) to dodatkowe sformułowanie będzie wystarczające, aby zagwarantować, że do Komisji nie będą przekazywane dane osobowe.

14.

Uprawnienia Komisji do prowadzenia kontroli są zawarte w art. 19 proponowanej dyrektywy. Artykuł ten wyraźnie wskazuje, że Komisja przyjęła pierwsze podejście, objaśnione w punkcie 8 powyżej. Artykuł ten stanowi, że przetwarzanie danych osobowych nie może być częścią kontroli przeprowadzanych przez Komisję. Nawet jeśli Komisja natknie się na takie dane, nie może ona ich uwzględnić i muszą one zostać zniszczone w razie ich niezamierzonego zgromadzenia. By ujednolicić brzmienie tego artykułu z brzmieniem przepisów prawa o ochronie danych i zapobiec nieporozumieniom, EIOD zaleca zastąpienie wyrazu „gromadzenie” w pierwszym zdaniu ustępu 2 wyrazem „przetwarzanie”.

15.

EIOD dostrzega także z zadowoleniem, że we wniosku zawarta jest ogólna klauzula pomocnicza dotycząca odnośnego prawodawstwa z zakresu ochrony danych. W art. 20 przypomina się wyraźnie państwom członkowskim oraz Komisji i innym organom Wspólnoty o ich obowiązkach w ramach dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001. Ponadto w klauzuli tej podkreśla się prawa, jakie osoby, których dane dotyczą, posiadają na mocy tych przepisów; prawa te obejmują prawo do przetwarzania danych, do dostępu do tych danych i prawo do poprawienia danych w razie wystąpienia błędów. Można by uczynić jedną uwagę co do miejsca tego przepisu we wniosku. Z racji ogólnego charakteru tego przepisu nie jest on ograniczony wyłącznie do uprawnienia Komisji do przeprowadzania kontroli. EIOD zaleca zatem, by artykuł ten przenieść do pierwszej części dyrektywy, np. po art. 2.

16.

Motyw 25 zawiera odwołanie do dyrektywy 95/46/WE i do rozporządzenia (WE) nr 45/2001. Cel tego motywu jest jednak niejasny, ponieważ wymienia się w nim tylko prawodawstwo dotyczące ochrony danych jako takie i nie przedstawia się dalszych stwierdzeń. W motywie powinno się wyraźnie stwierdzać, że przepisy dyrektywy nie naruszają wspomnianego prawodawstwa. Ponadto ostatnie zdanie motywu wydaje się oznaczać, że w prawodawstwie dotyczącym ochrony danych jednoznacznie żąda się od kontrolujących natychmiastowego zniszczenia przypadkowo zgromadzonych danych. Ogólną zasadą ochrony danych jest to, że dane osobowe nie są przetrzymywane dłużej niż jest to konieczne do celów, do których zostały zgromadzone lub do których są dalej przetwarzane. Jeżeli pierwsza część motywu zostanie skorygowana według propozycji, to ostatnie zdanie staje się zbędne. EIOD proponuje zatem skreślić ostatnie zdanie motywu 25.

17.

EIOD pragnie wyrazić poparcie dla sposobu, w jaki Komisja zapewniła przestrzeganie zasad ochrony danych w proponowanej dyrektywie.

18.

Na bardziej szczegółowym poziomie EIOD proponuje, co następuje:

6.6.2009   

PL

Dziennik Urzędowy Unii Europejskiej

C 128/45

6.6.2009   

PL

Dziennik Urzędowy Unii Europejskiej

C 128/46