16.10.2010   

SK

Úradný vestník Európskej únie

C 280/16

1.

Dňa 3. decembra 2008 Komisia prijala návrh smernice Európskeho parlamentu a Rady o odpade z elektrických a elektronických zariadení (OEEZ) (ďalej len „návrh“) (1). Cieľom návrhu je prepracovať smernicu 2002/96/ES o odpade z elektrických a elektronických zariadení (OEEZ) prijatú 27. januára 2003 (ďalej len „smernica“) (2) bez zmeny pohnútok alebo dôvodov pre zber a recykláciu OEEZ.

2.

S európskym dozorným úradníkom pre ochranu údajov (ďalej len „EDPS“) sa nekonzultovalo, ako sa vyžaduje podľa článku 28 ods. 2 nariadenia (ES) č. 45/2001 (3). EDPS konajúc z vlastného podnetu preto prijal toto stanovisko založené na článku 41 ods. 2 uvedeného nariadenia. EDPS odporúča, aby sa odkaz na toto stanovisko zahrnul do preambuly návrhu.

3.

EDPS si uvedomuje, že toto odporúčanie prichádza neskoro v štádiu legislatívneho procesu, ale napriek tomu považuje za primerané a užitočné vydať toto stanovisko, pretože návrh vyvoláva závažné otázky, pokiaľ ide o ochranu údajov. Cieľom tohto stanoviska nie je zmena hlavného a prvoradého účelu a obsahu návrhu, ktorého „ťažisko“ (4) naďalej spočíva v ochrane životného prostredia, má sa ním len vniesť ďalší rozmer, ktorý je pre našu informačnú spoločnosť čoraz dôležitejší (5).

4.

EDPS si tiež uvedomuje obmedzené možnosti postupu prepracovania, napriek tomu vyzýva zákonodarcu, aby zohľadnil tieto odporúčania v súlade s článkom 8 medziinštitucionálnej dohody o postupe prepracovania (v ktorom je ustanovená možnosť zmien a doplnení nezmenených ustanovení) (6).

5.

Cieľom návrhu je aktualizovať existujúcu smernicu týkajúcu sa zneškodnenia, opätovného používania a recyklácie OEEZ. Technické, právne a administratívne problémy v prvých rokoch vykonávania smernice viedli k návrhu, ako sa predpokladalo v článku 17 ods. 5 smernice.

6.

Elektrické a elektronické zariadenia (EEZ) sú širokou skupinou výrobkov, ktorá zahŕňa rôznorodý súbor médií schopných uchovávať osobné údaje, ako napríklad IT a telekomunikačné zariadenia (napr. osobné počítače, laptopy, terminály elektronickej komunikácie), charakterizovaných v súčasnom technologicko-ekonomickom kontexte čoraz rýchlejšími inovačnými cyklami a v dôsledku technologickej konvergencie dostupnosťou viacúčelových prístrojov. Vývoj v oblasti elektronických pamäťových médií sa prudko zrýchľuje, najmä vo vzťahu ku kapacite a veľkosti pamäte, a preto trhové sily spôsobujú, že dochádza tiež k zrýchľovaniu obratu EEZ (obsahujúcich veľké množstvá často citlivých osobných údajov). Výsledkom je nielen to, že OEEZ „sa považuje za najrýchlejšie rastúci tok odpadu v EÚ“ (7), ale aj to, že v prípade nevhodného zneškodňovania existuje zvýšené riziko straty a šírenia osobných údajov uchovávaných v EEZ tohto typu.

7.

Politiky Európskej únie týkajúce sa životného prostredie a trvalo udržateľného rozvoja sa už dlho zameriavajú na obmedzovanie odpadu z prírodných zdrojov a zavádzanie opatrení na zabránenie znečisťovaniu.

8.

Zneškodňovanie, opätovné používanie a recyklácia OEEZ sú zahrnuté do tohto rámca. Cieľom týchto opatrení je zabrániť zneškodňovaniu elektrických a elektronických zariadení spolu so zmiešaným odpadom uložením povinnosti výrobcom, aby zabezpečili zneškodňovanie takým spôsobom, ako predpisuje smernica.

9.

Konkrétne, spomedzi rôznych opatrení predpokladaných v smernici, je potrebné poukázať na opatrenia navrhované na opätovné používanie (t. j. proces, pri ktorom sa OEEZ alebo ich súčiastky použijú na rovnaký účel, na aký boli určené vrátane ďalšieho užívania zariadení alebo ich súčiastok, ktoré sa odovzdali do zberní, obchodníkom, do recyklačných zariadení alebo výrobcom), na recykláciu (t. j. opätovné spracovanie odpadových materiálov vo výrobnom procese na pôvodný účel alebo iné účely) a nájsť iné spôsoby zhodnotenia takýchto odpadov, aby sa znížilo množstvo odpadu na zneškodnenie [pozri články 1 a 3 písm. d) a e) smernice].

10.

Tieto činnosti, konkrétne opätovné používanie a recyklácia OEEZ, najmä IT a telekomunikačných zariadení môžu predstavovať riziko, väčšie ako v minulosti, že osoby, ktoré zbierajú OEEZ alebo predávajú a nakupujú používané alebo recyklované zariadenia, by mohli zistiť akékoľvek osobné údaje v nich uchovávané. Takéto údaje môžu byť často citlivé, alebo sa môžu týkať veľkého počtu osôb.

11.

Na základe všetkých týchto dôvodov EDPS považuje za naliehavé, aby všetky zainteresované strany (užívatelia a výrobcovia EEZ) boli informované o rizikách v súvislosti s osobnými údajmi, najmä v konečnom štádiu životného cyklu EEZ. V tomto štádiu, aj keď z ekonomického hľadiska sú EEZ menej hodnotné, môžu obsahovať veľké množstvo osobných údajov, a preto by mohli mať vysokú „vecnú“ hodnotu pre dotknutú osobu a/alebo iné osoby.

12.

EDPS nemá žiadne pripomienky k všeobecnému cieľu návrhu a plne podporuje prijatú iniciatívu, ktorej cieľom je zlepšiť ekologické politiky v oblasti OEEZ.

13.

Návrh sa však rovnako ako aj smernica zameriava výlučne na environmentálne riziká súvisiace so zneškodňovaním OEEZ. Nezohľadňujú sa v ňom ďalšie riziká pre osoby a/alebo organizácie, ktoré môžu vyplynúť zo zneškodňovania, opätovného používania alebo recyklácie OEEZ, najmä v súvislosti s pravdepodobnosťou nedovoleného nadobudnutia, zverejnenia alebo šírenia osobných údajov uchovávaných v OEEZ.

14.

Je potrebné uviesť, že smernica 95/46/ES (8) sa uplatňuje na „akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch“ vrátane ich „vymazania alebo zničenia“ [článok 2 písm. b)]. Zneškodňovanie EEZ môže zahŕňať operácie na spracovanie údajov. Z tohto dôvodu dochádza k prekrývaniu medzi návrhom a práve uvedenou smernicou a predpisy na ochranu údajov by sa ako také mohli uplatňovať na činnosti, na ktoré sa vzťahuje návrh.

15.

Zámerom EDPS je poukázať na závažné riziká, ktoré môžu ovplyvniť osoby a/alebo organizácie pôsobiace ako „prevádzkovatelia údajov“ (9), ak OEEZ, najmä IT a telekomunikačné zariadenia, obsahujú v čase zneškodnenia osobné údaje týkajúce sa užívateľov týchto prístrojov a/alebo tretích strán. Nezákonný prístup k takýmto osobným informáciám alebo zverejnenie takýchto osobných informácií niekedy pozostávajúcich z osobitných kategórií údajov prezrádzajúcich rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odborových zväzoch a údaje týkajúce sa zdravotného stavu alebo pohlavného života (tzv. „citlivé údaje“) (10) skutočne môžu ovplyvniť súkromie a dôstojnosť osôb, na ktoré sa informácie vzťahujú, ako aj iné legislatívne záujmy týchto osôb/organizácií (napr. ekonomické záujmy).

16.

Vo všeobecnosti EDPS považuje za potrebné zdôrazniť význam prijatia primeraných bezpečnostných opatrení v každom štádiu (od začiatku až po koniec) spracovania osobných údajov, ako opakovane uviedol vo svojich stanoviskách (11). Tým viac to platí v citlivej fáze, keď prevádzkovateľ údajov má v úmysle zneškodniť prístroje obsahujúce osobné údaje.

17.

Dodržiavanie bezpečnostných opatrení je skutočne často nevyhnutnou podmienkou efektívneho zaručenia práva na ochranu osobných údajov.

18.

Preto by bolo nekonzistentné, aby sa uložila povinnosť zaviesť (niekedy s vysokými nákladmi) bezpečnostné opatrenia pri bežných činnostiach spracovávania osobných údajov [ako sa predpokladá v článku 17 smernice 95/46/ES v prípade potreby (12) ] a potom jednoducho opomenúť posúdenie zavedenia primeraných záruk týkajúcich sa zneškodňovania OEEZ.

19.

Podobne nekonzistentné by bolo zdôrazňovať otázku bezpečnosti údajov do tej miery, že oznamovanie prípadov porušenia ochrany údajov sa musí zaviesť prostredníctvom článku 2 smernice 2009/136/ES (13)) a potom neposkytnúť žiadnu záruku alebo bezpečnostné opatrenie počas zneškodňovania OEEZ, ako aj v prípade opätovného používania alebo recyklácie OEEZ.

20.

EDPS vyjadruje poľutovanie, že v návrhu sa nezohľadňujú potenciálne škodlivé vplyvy zneškodňovania OEEZ na ochranu osobných údajov uchovávaných v „použitých“ zariadeniach.

21.

Tento aspekt sa v hodnotení vplyvu, ktorý uskutočnila Komisia (14), neposudzoval, aj keď zo skúseností vyplýva, že neprijatie primeraných bezpečnostných opatrení v prípade zneškodňovania OEEZ by mohlo ohroziť ochranu osobných údajov (15). Na základe zložitosti príslušných aspektov (napríklad množstva zákonných metód, technológií a zainteresovaných strán v cykle zneškodňovania OEEZ) sa EDPS domnieva, že by bolo vhodné vykonať „hodnotenie vplyvu na ochranu súkromia a osobných údajov“ v súvislosti s procesmi týkajúcimi sa zneškodňovania OEEZ.

22.

EDPS však dôrazne odporúča, aby sa vypracovali „najlepšie dostupné techniky“ pre ochranu súkromia a údajov v tejto oblasti.

23.

Ako ďalší dôkaz slúži to, že počas verejnej diskusie pred prepracovaním smernice zainteresované strany niekedy upozornili na aspekty týkajúce sa bezpečnosti a ochrany osobných údajov, najmä podniky z oblasti IT a elektronických komunikácií (16).

24.

Napokon je potrebné poukázať na to, že niektoré vnútroštátne orgány pre ochranu údajov uverejnili usmernenia na minimalizáciu rizík, ktoré môžu vyplynúť z neprijatia potrebných bezpečnostných opatrení, najmä pri zneškodňovaní materiálov, na ktoré sa vzťahuje smernica (17).

25.

EDPS opakovane upozorňuje, že smernica 95/46/ES sa uplatňuje v štádiu zneškodňovania OEEZ obsahujúcich osobné údaje. Prevádzkovatelia údajov, najmä tí, ktorí používajú IT a komunikačné prístroje, sú preto povinní dodržiavať svoje povinnosti v oblasti bezpečnosti na zabránenie nedovoleného zverejnenia alebo šírenia osobných údajov. Prevádzkovateľ údajov vo verejnom alebo súkromnom sektore v spolupráci s úradníkmi pre ochranu osobných údajov (ak sú prítomní) by na tieto účely a z dôvodu, aby sa mu nepripísala zodpovednosť za porušenie bezpečnostných opatrení, mal prijať príslušné metódy na zneškodňovanie OEEZ obsahujúcich osobné údaje.

26.

Ak prevádzkovatelia údajov zneškodňujúci EEZ nemajú požadované zručnosti a/alebo technické know-how na vymazanie príslušných osobných údajov, mohli by touto úlohou poveriť kvalifikovaných spracovateľov (napr. asistenčné strediská, výrobcov zariadení a distribútorov) podľa podmienok ustanovených v článku 17 ods. 2, 3 a 4 smernice 95/46/ES. Títo spracovatelia následne poskytnú osvedčenie o vykonaní príslušných činností a/alebo ich vykonajú.

27.

Na základe týchto úvah EDPS dospel k záveru, že pri prepracovaní smernice by sa mali doplniť zásady ochrany údajov k ustanoveniam vyhradeným ochrane životného prostredia.

28.

EDPS preto odporúča Rade a Európskemu parlamentu, aby do tohto návrhu zahrnul osobitné ustanovenie, v ktorom sa uvádza, že smernica sa uplatňuje na zneškodňovanie OEEZ bez toho, aby bola dotknutá smernica 95/46/ES.

29.

V prípade situácie umožňujúcej samostatné rozhodnutia týkajúce sa údajov uchovávaných na EEZ by sa subjekty poverené zneškodňovaním mohli považovať za „prevádzkovateľov údajov“ (18). Preto musia prijať interné postupy na zabránenie nepotrebným spracovateľským činnostiam týkajúcim sa všetkých osobných údajov uchovávaných v OEEZ, a to iných činností ako činnosti, ktoré sú striktne potrebné na overenie účinného odstránenia údajov, ktoré sa v ňom nachádzajú.

30.

Okrem toho nesmú dovoliť, aby sa mohli nepovolané osoby dozvedieť údaje uchovávané v EEZ alebo ich spracovať. Konkrétne, pri recyklácii alebo opätovnom používaní pamäťového média, a teda opätovnom uvedení na trh, existuje zvýšené riziko nedovoleného zverejnenia alebo šírenia osobných údajov, ako aj potreba zabrániť nedovolenému prístupu k osobným údajom.

31.

EDPS preto odporúča, aby Rada a Európsky parlament zahrnuli do tohto návrhu osobitné ustanovenie o zákaze uvedenia na trh použitých zariadení, ktoré predtým neprešli príslušnými bezpečnostnými opatreniami v súlade s najnovšími technickými štandardmi (napríklad viacnásobné prepísanie) na vymazanie všetkých osobných údajov, ktoré môžu obsahovať.

32.

Nadchádzajúci právny rámec o elektronickom odpade by nemal obsahovať len osobitné ustanovenie týkajúce sa širšej „zásady ekodizajnu“ zariadení (pozri článok 4 návrhu týkajúci sa „dizajnu produktu“), ale aj – ako už bolo uvedené v iných stanoviskách EDPS (19) – ustanovenie týkajúce sa zásady „ochrana súkromia už v štádiu návrhu“ (20) alebo presnejšie v tejto oblasti, „bezpečnosť už v štádiu návrhu“ (21). Pokiaľ je to možné, ochrana súkromia a údajov by sa mala štandardne zahrnúť do dizajnu elektrických a elektronických zariadení, aby sa užívateľom umožnilo vymazať – za použitia jednoduchých prostriedkov a bezplatne – osobné údaje, ktoré sa môžu nachádzať v zariadeniach pri ich zneškodňovaní (22).

33.

Tento prístup jasne podporuje článok 3.3 písm. c) smernice 1999/5/ES (23), pokiaľ ide o dizajn rádiových a koncových telekomunikačných zariadení a článok 14 ods. 3 smernice 2002/58/ES (24).

34.

Výrobcovia by mali preto „zabudovať“ záruky na ochranu súkromia a bezpečnosti prostredníctvom technických riešení (25). V tomto rámci by sa mali rozvíjať a podporovať aj iniciatívy zamerané na poskytovanie odporúčaní tým, ktorých sa to týka, o potrebe vymazať všetky osobné údaje pred zneškodnením OEEZ (vrátane výrobcov pripravujúcich bezplatný softvér dostupný na tento účel) (26).

35.

Na základe uvedeného EDPS odporúča, aby sa orgány na ochranu údajov, najmä prostredníctvom pracovnej skupiny zriadenej podľa článku 29 a EDPS, úzko zapájali do iniciatív týkajúcich sa zneškodňovania OEEZ prostredníctvom konzultácií v dostatočne včasnom štádiu pred prípravou príslušných opatrení.

36.

Vzhľadom na kontext, v rámci ktorého sa osobné údaje spracúvajú, EDPS odporúča, aby sa do návrhu zahrnuli osobitné ustanovenia:

37.

EDPS preto dôrazne odporúča zmenu a doplnenie návrhu v súlade so smernicou 95/46/ES takto:

—   Odôvodnenie (11):

—   Článok 2 ods. 3:

38.

Okrem toho EDPS považuje za primerané, aby sa zohľadnili tieto zmeny a doplnenia:

—   Článok 4 ods. 2:

—   Článok 8 ods. 7:

—   Článok 14 ods. 6.: