16.10.2010   

SL

Uradni list Evropske unije

C 280/16

1.

Komisija je 3. decembra 2008 sprejela predlog Direktive Evropskega parlamenta in Sveta o odpadni električni in elektronski opremi (OEEO) (v nadaljnjem besedilu: predlog) (1). Cilj predloga je prenoviti Direktivo 2002/96/ES o odpadni električni in elektronski opremi (OEEO), ki je bila sprejeta 27. januarja 2003 (v nadaljnjem besedilu: direktiva) (2), ne da bi se pri tem spremenili motivi in vzroki za zbiranje in recikliranje OEEO.

2.

Komisija se ni posvetovala z Evropskim nadzornikom za varstvo podatkov (ENVP), kot to zahteva člen 28(2) Uredbe (ES) št. 45/2001 (3). ENVP je tako na lastno pobudo sprejel to mnenje na podlagi člena 41(2) iste uredbe. ENVP priporoča, da se v preambulo predloga vključi sklic na to mnenje.

3.

ENVP se zaveda, da ta nasvet prihaja na koncu zakonodajnega postopka, vendar vseeno meni, da je primerno in koristno izdati to mnenje, ker predlog odpira pomembna vprašanja v zvezi z varstvom podatkov, ki jih besedilo predloga ne obravnava. Namen tega mnenja ni spremeniti glavnega in prevladujočega namena in vsebine predloga, ki se še naprej osredotoča (4) na zaščito okolja, ampak želi samo dodati novo dimenzijo, ki postaja čedalje pomembnejša za našo informacijsko družbo (5).

4.

ENVP, ki se tudi zaveda omejenega obsega postopka prenovitve, kljub temu poziva zakonodajalca, naj upošteva ta priporočila v skladu s členom 8 Medinstitucionalnega sporazuma o postopku prenovitve (v katerem je določena možnost spremembe nespremenjenih določb) (6).

5.

Namen predloga je posodobiti sedanjo Direktivo v zvezi z odstranjevanjem, ponovno uporabo in recikliranjem OEEO. Tehnične, pravne in upravne težave v prvih letih izvajanja Direktive so privedle do tega predloga, kot je bilo predvideno v členu 17(5) Direktive.

6.

Električna in elektronska oprema (EEO) predstavlja široko skupino izdelkov, ki ima vgrajene ali vstavljene raznolike medije za shranjevanje osebnih podatkov – kot je na primer oprema IT in telekomunikacijska oprema (na primer osebni računalniki, prenosni računalniki, elektronski terminali za komunikacijo) – in za katero so v sedanjem tehnološkem in gospodarskem okviru značilni čedalje hitrejši inovacijski cikli ter, zaradi tehnološkega zbliževanja, dostopnost večnamenskih naprav. Razvoj na področju elektronskih medijev za shranjevanje se hitro pospešuje, še posebej pri zmogljivosti shranjevanja in velikosti, zato tržne sile podobno hitro pospešujejo nadomeščanje EEO (ki vsebuje veliko osebnih podatkov, velikokrat občutljivih) z novo opremo. Rezultat tega je, da se OEEO šteje za najhitreje rastoč tok odpadkov v EU (7), in da v primeru neprimernega odstranjevanja obstaja povečana nevarnost izgube in razširjanja osebnih podatkov, ki so shranjeni v tem tipu EEO.

7.

Že dlje časa so bile politike Evropske unije na področjih okolja in trajnostnega razvoja usmerjene v zmanjševanje netrajnostne uporabe naravnih virov in uvajanje ukrepov za zmanjšanje onesnaževanja.

8.

Odstranjevanje, ponovna uporaba in recikliranje OEEO spadajo v ta okvir. Ti ukrepi poskušajo preprečiti odlaganje električne in elektronske opreme skupaj z mešanimi odpadki, tako da proizvajalce zavezujejo, da zagotovijo odlaganje na način, ki je v skladu z Direktivo.

9.

Med različnimi ukrepi, ki jih predvideva Direktiva, je zlasti dobro izpostaviti tiste, ki so namenjeni ponovni uporabi (tj. kateri koli postopek, s katerim se OEEO ali njeni sestavni deli uporabijo za namen, za katerega so bili zasnovani, vključno z nadaljnjo uporabo opreme ali njenih sestavnih delov, ki so bili vrnjeni na zbirališča, distributerjem ali proizvajalcem), recikliranju (tj. predelavi odpadnih materialov v proizvodnem postopku za prvotni ali drug namen) in poiskati druge oblike predelave OEEO, da se zmanjša odlaganje odpadkov (glej člene 1, 3(d) in 3(e) Direktive).

10.

Ti postopki, zlasti ponovna uporaba in recikliranje OEEO, še posebej opreme IT in telekomunikacijske opreme, lahko, še bolj kot prej, predstavljajo tveganje, da se bodo osebe, ki zbirajo OEEO ali prodajajo in kupujejo uporabljene ali reciklirane naprave, začele zavedati, da so v teh napravah lahko shranjeni osebni podatki. Taki podatki so lahko pogosto občutljivi ali se nanašajo na veliko število posameznikov.

11.

Zaradi vseh teh razlogov ENVP meni, da je nujno, da se vse zainteresirane strani (uporabniki in proizvajalci EEO) zavedajo tveganja za osebne podatke, še posebej v zadnjem stadiju življenjskega cikla EEO. Na tej stopnji, čeprav je njena gospodarska vrednost nižja, bo EEO verjetno vsebovala veliko količino osebnih podatkov in bo tako imela visoko „intrinzično“ vrednost za osebe, na katere se podatki nanašajo in/ali druge osebe.

12.

ENVP nima nobenih pripomb na splošni cilj Predloga in v celoti podpira sprejeto pobudo, ki naj bi izboljšala okolju prijazne politike na področju OEEO.

13.

Vendar se Predlog in Direktiva osredotočata samo na okoljska tveganja, povezana z odlaganjem OEEO. Ne upošteva drugih dodatnih tveganj za posameznike in/ali organizacije, ki bi se lahko pojavila pri postopkih odlaganja, ponovne uporabe ali recikliranja OEEO, še posebej tveganj, povezanih z verjetnostjo protipravne pridobitve, razkritja ali razširjanja osebnih podatkov, shranjenih v OEEO.

14.

Pri tem je pomembno opozoriti, da se Direktiva 95/46/ES (8) uporablja za „kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki“, kar vključuje njihov „izbris ali uničenje“ (člen 2(b)). Odlaganje EEO lahko vključuje postopek obdelave informacij. Zaradi tega se Predlog in pravkar omenjena Direktiva prekrivata, in tako bi se pravila o varstvu podatkov lahko uporabljala za dejavnosti, ki jih obravnava Predlog.

15.

ENVP namerava izpostaviti znatna tveganja, ki lahko vplivajo na posameznike in/ali organizacije, ki delujejo kot „upravljavci podatkov“ (9), pri čemer OEEO, še posebej oprema IT in telekomunikacijska oprema, v času odstranjevanja vsebuje osebne podatke o uporabnikih te opreme in/ali tretjih osebah. Nezakonit dostop do takih osebnih podatkov, ki jih včasih sestavljajo podatki posebnih kategorij, ki razkrivajo raso ali etično pripadnost, politična prepričanja, vero ali filozofska prepričanja in članstvo v sindikatih ter podatki v zvezi z zdravjem ali spolnim življenjem (tako imenovani „občutljivi podatki“) (10), ali njihovo razkritje, lahko dejansko vpliva na zasebnost in dostojanstvo ljudi, na katere se te informacije nanašajo, ter na druge zakonite interese teh posameznikov/organizacij (npr. ekonomski podatki).

16.

ENVP na splošno meni, da je treba poudariti pomen sprejetja ustreznih varnostnih ukrepov na vsaki stopnji obdelave osebnih podatkov (od začetka do konca), kakor je to bilo vedno znova poudarjeno v drugih mnenjih (11). To še toliko bolj velja za občutljivo fazo, v kateri upravljavec namerava odstraniti naprave, ki vsebujejo osebne podatke.

17.

Upoštevanje varnostnih ukrepov je predpogoj za učinkovito zagotavljanje pravice do zaščite osebnih podatkov.

18.

Tako ne bi bilo skladno najprej uvesti dolžnost za vzpostavitev (včasih dragih) varnostnih ukrepov med običajnimi postopki obdelave osebnih podatkov (kot to predvideva člen 17 Direktive 95/46/ES, kadar je to ustrezno (12)), potem pa preprosto pozabiti na uvedbo ustreznih zaščitnih naprav pri odstranjevanju OEEO.

19.

Podobno razhajanje bi bilo, če bi vprašanju varnosti podatkov dali tak pomen, da je bilo treba obvestilo o kršitvah posebnih podatkov uvesti s členom 2 Direktive 2009/136/ES (13), potem pa ne bi dali nobenega zagotovila ali zaščitne naprave med odstranjevanjem in ob ponovni uporabi ali recikliranju OEEO.

20.

ENVP obžaluje, da predlog ne upošteva morebitnih škodljivih vplivov odstranjevanja OEEO na varnost osebnih podatkov, ki so shranjeni v „rabljenih“ napravah.

21.

Ta vidik prav tako ni bil upoštevan v oceni učinkov, ki jo je izdelala Komisija (14), čeprav so izkušnje pokazale, da bi lahko brez sprejetja ustreznih varnostnih ukrepov pri odstranjevanju OEEO ogrozili varnost osebnih podatkov (15). Zaradi zapletenosti s tem povezanih vprašanj (na primer o velikem številu zakonitih metod, tehnologij in zainteresiranih strani v ciklu odstranjevanja OEEO) ENVP meni, da bi bilo primerno izvesti „ocene učinkov glede zasebnosti in varstva podatkov“ za postopke, povezane z odstranjevanjem OEEO.

22.

Kljub temu ENVP močno priporoča, da se razvijejo „najboljše razpoložljive tehnologije“ za zasebnost, varstvo podatkov in varnost na tem področju.

23.

Dodaten dokaz je, da so med javnimi posvetovanji pred prenovitvijo Direktive zainteresirane strani, predvsem podjetja s področja IT in elektronskih komunikacij, včasih izpostavile vprašanja varnosti in varovanja osebnih podatkov (16).

24.

Za konec je treba izpostaviti tudi, da so nekateri nacionalni organi za varovanje podatkov objavili smernice za zmanjšanje tveganj, ki se lahko pojavijo, če niso sprejeti potrebni varnostni ukrepi, še posebej pri odlaganju materiala, za katerega se uporablja Direktiva (17).

25.

ENVP znova opozarja, da se Direktiva 95/46/ES uporablja med stopnjo odlaganja OEEO, ki vsebuje osebne podatke. Upravljavci podatkov – še posebej tisti, ki uporabljajo IT opremo in komunikacijske naprave – morajo zato izpolnjevati svoje varnostne obveznosti, da preprečijo nepravilno razkritje ali razširjanje osebnih podatkov. Zaradi tega in da ne bi odgovarjali za kršitev varnostnih ukrepov, bi morali upravljavci podatkov iz javnega ali zasebnega sektorja v sodelovanju z uradnimi osebami za varstvo podatkov (če so prisotni) sprejeti ustrezne politike za odstranjevanje OEEO, ki vsebuje osebne podatke.

26.

Če upravljavci podatkov, ki odstranjujejo EEO, nimajo potrebnih sposobnosti in/ali tehničnega znanja za brisanje zadevnih osebnih podatkov, bi lahko to nalogo zaupali usposobljenim obdelovalcem (na primer centrom za pomoč, proizvajalcem opreme in distributerjem) pod pogoji, določenimi v členu 17 (2), (3) in (4) Direktive 95/46/ES. Ti obdelovalci bodo potem potrdili zadevne postopke in/ali jih izvedli.

27.

Zaradi teh razlogov ENVP ugotavlja, da bi bilo treba pri prenovitvi Direktive določbam, namenjenim varovanju okolja, dodati načela varovanja podatkov.

28.

ENVP zato Svetu in Evropskemu parlamentu priporoča, naj v sedanji Predlog vključita posebno določbo, ki bo navajala, da se Direktiva uporablja za odstranjevanje OEEO, brez poseganja v Direktivo 95/46/ES.

29.

Ker so v položaju, v katerem lahko samostojno sprejemajo odločitve v zvezi s podatki, ki jih vsebuje EEO, je osebe, ki so odgovorne za odstranjevanje, mogoče šteti za „upravljavce podatkov“ (18). Zaradi tega morajo sprejeti notranje postopke, s katerimi se bodo izognili nepotrebni obdelavi vseh osebnih podatkov, ki so shranjeni v OEEO, torej vsem drugim operacijam, ki niso izrecno potrebne za potrditev učinkovitega uničenja podatkov, ki jih OEEO vsebuje.

30.

Poleg tega ne smejo dovoliti nepooblaščenim posameznikom, da bi izvedeli podatke, shranjene na OEE, ali da bi jih obdelovali. Ko se mediji za shranjevanje reciklirajo ali znova uporabijo ter tako znova vstopijo na trg, se poveča tveganje za nezakonito razkritje ali razširjanje osebnih podatkov, pojavi pa se tudi potreba po preprečevanju nepooblaščenega dostopa do osebnih podatkov.

31.

ENVP zato priporoča, da Svet in Evropski parlament v sedanji predlog vključita posebno določbo, ki bo preprečevala trženje uporabljenih naprav, na katerih niso bili predhodno izvedeni ustrezni varnostni ukrepi v skladu z najnovejšimi tehničnimi standardi (na primer večkratno prepisovanje), da se izbrišejo vsi osebni podatki, katere bi te naprave lahko vsebovale.

32.

Nov pravni okvir v zvezi z elektronskimi odpadki bi moral vključevati posebno določbo v zvezi s širšim „načelom ekološke zasnove“ opreme (glej člen 4 Predloga v zvezi z „zasnovo izdelka“) in, kakor je bilo prej omenjeno v drugih mnenjih ENVP (19), določbo v zvezi z načelom „vgrajene zasebnosti“ (20) ali, še natančneje za to področje, načelom „vgrajene varnosti“ (21). Kolikor je to mogoče, bi morala biti zasebnost in varovanje podatkov „privzeto“ vključena v zasnovo električne in elektronske opreme, tako da bi uporabnik lahko v primeru odstranjevanja naprav preprosto in brezplačno izbrisal osebne podatke v njih (22).

33.

Ta pristop jasno podpirata člen 3.3(c) Direktive 1999/5/ES (23) o zasnovi radijske opreme in telekomunikacijske terminalske opreme in člen 14(3) Direktive 2002/58/ES (24).

34.

Zaradi tega bi morali proizvajalci s tehnološkimi rešitvami „vgraditi“ zaščitne naprave za zasebnost in varnost (25). V tem okviru bi bilo treba spodbujati in podpreti tudi pobude, ki zadevne osebe poučijo o potrebi, da se morebitni osebni podatki izbrišejo pred odlaganjem OEEO (vključno s proizvajalci, ki izdelujejo brezplačno programsko opremo za te namene) (26).

35.

Ob upoštevanju zgoraj navedenega ENVP priporoča, da so organi za varstvo podatkov, zlasti prek Delovne skupine iz člena 29, in ENVP tesno vključeni v pobude, povezane z odstranjevanjem OEEO, in sicer prek posvetovanja v dovolj zgodnji fazi pred oblikovanjem zadevnih ukrepov.

36.

Glede na okvir, v katerem se osebni podatki obdelujejo, ENVP priporoča, da naj Predlog vključuje naslednje posebne določbe:

37.

ENVP zato močno priporoča, da se Predlog v skladu z Direktivo 95/46 ES spremeni:

—   uvodna izjava (11):

—   člen 2(3):

38.

ENVP poleg tega meni, da bi bilo ustrezno razmisliti o naslednjih spremembah:

—   člen 4(2):

—   člen 8(7):

—   člen 14(6):