|
11.5.2012 |
SL |
Uradni list Evropske unije |
C 136/1 |
Mnenje Evropskega nadzornika za varstvo podatkov o zakonodajnih predlogih o alternativnem in spletnem reševanju potrošniških sporov
2012/C 136/01
EVROPSKI NADZORNIK ZA VARSTVO PODATKOV JE –
ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 16 Pogodbe,
ob upoštevanju Listine Evropske unije o temeljnih pravicah ter zlasti členov 7 in 8 Listine,
ob upoštevanju Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (1),
ob upoštevanju Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov ter zlasti člena 41 Uredbe (2) –
SPREJEL NASLEDNJE MNENJE:
I. UVOD
I.1 Posvetovanje z ENVP in namen mnenja
|
1. |
Komisija je 29. novembra 2011 sprejela dva zakonodajna predloga o alternativnem reševanju sporov (v nadaljnjem besedilu: predloga):
|
|
2. |
ENVP je 6. decembra 2011 prejel v posvetovanje predlog ARS in predlog SRS. Neuradno posvetovanje z ENVP je bilo opravljeno že pred sprejetjem predlogov, na katerem je ta predložil neuradne pripombe. ENVP pozdravlja takšno zgodnje posvetovanje in dejstvo, da je bila večina priporočil iz teh pripomb vključena v predloga. |
|
3. |
To mnenje skuša analizirati obdelavo osebnih podatkov, kar je predvideno s predlogoma, in razložiti, kako rešujeta vprašanja glede varstva podatkov. Osredotočeno bo na predlog SRS, ker ta vključuje centralizirano obdelavo osebnih podatkov, povezanih s spori, na spletni platformi. |
I.2 Namen predlogov
|
4. |
Sistemi alternativnega reševanja sporov (v nadaljnjem besedilu: ARS) ponujajo alternativni način za reševanje sporov, ki je običajno cenejši in hitrejši od postopka pred sodiščem. Predlog ARS skuša zagotoviti, da so takšni sistemi vzpostavljeni v vseh državah članicah EU, da bi se lahko reševali vsi čezmejni potrošniški spori zaradi prodaje blaga ali zagotavljanja storitev v EU. |
|
5. |
Predlog SRS gradi na takšni dostopnosti do ARS za potrošniške spore v vsej EU. Uvaja spletno platformo (v nadaljnjem besedilu: platforma SRS), ki jo bodo potrošniki in trgovci lahko uporabili za pošiljanje pritožb v zvezi s čezmejnimi spletnimi transakcijami pristojnemu organu ARS. |
II. SPLOŠNE PRIPOMBE
|
6. |
ENVP podpira cilje predlogov in pozdravlja dejstvo, da so bila načela varstva podatkov upoštevana že v najzgodnejših fazah sestavljanja predlogov. |
|
7. |
ENVP prav tako pozdravlja sklicevanja na uporabo zakonodaje o varstvu podatkov v predlogu SRS (5) in na uporabo nacionalne zakonodaje o izvajanju Direktive 95/46/ES v okviru predloga ARS (6), pa tudi sklicevanja na posvetovanje z njim (7). |
III. POSEBNE PRIPOMBE
III.1 Vloga upravljavcev: potreba po jasni dodelitvi odgovornosti
|
8. |
Podatke za vsakega od sporov, ki bodo vloženi prek platforme SRS, bodo v skladu s predlogom SRS obdelovali trije različni akterji:
Člen 11(4) določa, da vsak od teh akterjev velja za upravljavca v zvezi z obdelavo osebnih podatkov, ki je povezana z njihovimi odgovornostmi. |
|
9. |
Vendar je lahko veliko teh upravljavcev odgovornih za obdelavo istih osebnih podatkov (9). Na primer, podatke, ki so povezani z določenim sporom in so bili vloženi prek platforme SRS, lahko prouči več posrednikov za SRS in pristojni sistem ARS, ki bo obravnaval spor. Tudi Komisija lahko obdeluje te osebne podatke zaradi delovanja in vzdrževanja platforme SRS. |
|
10. |
ENVP v zvezi s tem pozdravlja dejstvo, da uvodna izjava 20 predloga SRS določa, da zakonodaja o varstvu podatkov velja za vse te akterje. Kljub temu pa bi moral zakonodajni del predloga SRS določati vsaj to, na katere od upravljavcev bi morali posamezniki, na katere se nanašajo osebni podatki, nasloviti zahtevke za dostop, popravljanje, blokiranje in brisanje ter kateri upravljavec bi odgovarjal v primeru posebnih kršitev zakonodaje o varstvu podatkov (na primer pri kršitvah varnosti). Ustrezno bi bilo treba obvestiti tudi posameznike, na katere se nanašajo osebni podatki. |
III.2 Omejitev dostopa in obdobje hrambe
|
11. |
V skladu s členom 11 predloga SRS je dostop do osebnih podatkov, ki se obdelujejo prek platforme SRS, dovoljen samo:
|
|
12. |
ENVP pozdravlja te omejitve glede namena in pravic dostopa. Vendar ni jasno, ali bodo vsi posredniki za SRS (najmanj 54 posrednikov) imeli dostop do osebnih podatkov, povezanih z vsemi spori. ENVP priporoča pojasnitev, da bo vsak posrednik za SRS imel dostop samo do tistih podatkov, ki s potrebni za izpolnitev njegovih obveznosti iz člena 6(2). |
|
13. |
ENVP v zvezi z obdobjem hrambe pozdravlja člen 11(3), ki dovoljuje hrambo osebnih podatkov samo za obdobje, potrebno za reševanje spora in uresničevanje pravice posameznika, na katerega se nanašajo osebni podatki, do dostopa. Pozdravlja tudi obveznost, da se podatki 6 mesecev po rešitvi spora samodejno brišejo. |
III.3 Obdelava posebnih vrst podatkov: morebitna potreba po predhodnem preverjanju
|
14. |
Če upoštevamo namen predlogov, obstaja možnost, da se bodo obdelovali osebni podatki, povezani s sumi kršitev. V okviru sporov v zvezi s prodajo medicinskega blaga ali zagotavljanjem zdravstvenih storitev bi se lahko obdelovali tudi zdravstveni podatki. |
|
15. |
Nacionalni organi za varstvo podatkov in ENVP lahko predhodno preverijo obdelavo osebnih podatkov v okviru platforme SRS, kakor zahtevata člen 27 Uredbe (ES) št 45/2001 in člen 20 Direktive 95/46/ES (11). ENVP razume, da se Komisija zaveda, da je treba pred začetkom delovanja platforme SRS nujno oceniti, ali je potrebno predhodno preverjanje obdelave podatkov. |
III.4 Z ENVP se je treba posvetovati o delegiranih in izvedbenih aktih v zvezi z obrazcem za predložitev pritožbe
|
16. |
Informacije, ki jih je treba navesti v elektronskem obrazcu za predložitev pritožbe (v nadaljnjem besedilu: obrazec), so podrobno opisane v Prilogi k predlogu SRS. To vključuje osebne podatke strank (ime, naslov in, če je to ustrezno, e-naslov in naslov spletnega mesta) ter podatke, da se ugotovi, kateri organ ARS je pristojen za obravnavanje ustreznega spora (prebivališče potrošnika v času naročila blaga ali storitev, vrsta naročenega blaga ali storitev itd.). |
|
17. |
ENVP pozdravlja člen 7(6), ki opominja, da je z obrazcem in njegovimi prilogami mogoče obdelati samo podatke, ki so točni, smotrni in ne presegajo svojega namena. Seznam podatkov v Prilogi spoštuje tudi načelo omejitve namena. |
|
18. |
Vendar je ta seznam mogoče spreminjati z delegiranimi akti, podrobnosti obrazca pa bodo urejali izvedbeni akti (12). ENVP priporoča navedbo sklicevanja na potrebo po posvetovanju z ENVP, če se ti akti nanašajo na obdelavo osebnih podatkov. |
III.5 Varnostni ukrepi: potreba po oceni učinka na zasebnost
|
19. |
ENVP pozdravlja določbe, ki so namenjene zagotavljanju zaupnosti in varnosti. Varnostni ukrepi, ki so podrobno opisani v členu 12 predloga SRS, vključujejo nadzor nad dostopom, varnostni načrt in upravljanje incidentov pri varovanju informacij. |
|
20. |
ENVP priporoča, da se doda tudi sklicevanje na potrebo po ocenjevanju učinka na zasebnost (vključno z oceno tveganja) in na dejstvo, da je treba redno preverjati skladnost z zakonodajo o varstvu podatkov in varnost podatkov ter poročati o tem. |
|
21. |
Poleg tega bi ENVP rad opomnil, da mora razvoj orodij informacijske tehnologije za vzpostavljanje platforme SRS že od najzgodnejših faz načrtovanja vključevati zasebnost in varstvo podatkov (vgrajena zasebnost), vključno z uvedbo orodij, ki uporabnikom omogočajo boljše varstvo osebnih podatkov (kot je avtentifikacija in šifriranje). |
III.6 Obveščanje posameznikov, na katere se nanašajo osebni podatki
|
22. |
ENVP pozdravlja uvodno izjavo 21 predloga SRS, ki določa, da je treba posameznike, na katere se nanašajo osebni podatki, seznaniti z obdelavo njihovih osebnih podatkov in njihovih pravicah z objavo javno dostopnega obvestila o varovanju zasebnosti. Vendar bi morala biti obveznost obveščanja posameznikov, na katere se nanašajo osebni podatki, vključena tudi v zakonodajni del predloga SRS. |
|
23. |
Poleg tega bi bilo treba posameznike, na katere se nanašajo osebni podatki, obvestiti tudi o tem, kateri upravljavec je odgovoren za uresničevanje njihovih pravic. Obvestilo o varovanju zasebnosti mora biti jasno vidno vsem, ki izpolnjujejo obrazec. |
IV. SKLEP
|
24. |
ENVP pozdravlja dejstvo, da so bila načela varstva podatkov vključena v besedilo, zlasti v zvezi z omejitvami namena uporabe in dostopa, omejitvami obdobja hrambe ter varnostnimi ukrepi. Vendar priporoča:
|
|
25. |
ENVP bi rad tudi opozoril, da lahko predhodno preveri obdelavo osebnih podatkov v okviru platforme SRS in da lahko to storijo tudi nacionalni organi za varstvo podatkov. |
V Bruslju, 12. januarja 2012
Giovanni BUTTARELLI
Pomočnik Evropskega nadzornika za varstvo podatkov
(1) UL L 281, 23.11.1995, str. 31.
(2) UL L 8, 12.1.2001, str. 1.
(3) COM(2011) 793 konč.
(4) COM(2011) 794 konč.
(5) Uvodni izjavi 20 in 21 ter člen 11(4) predloga SRS.
(6) Uvodna izjava 16 predloga ARS.
(7) Preambuli in obrazložitvena memoranduma predlogov.
(8) Vsaka država članica bo morala imenovati eno kontaktno točko za SRS, v katero bosta vključena vsaj dva posrednika za SRS. Komisija bo oblikovala mrežo kontaktnih točk za SRS.
(9) Glej tudi Mnenje 1/2010 delovne skupine za varstvo podatkov iz člena 29 o pojmih „upravljavec“ in „obdelovalec“, sprejetega 16. februarja 2010 (WP 169), str. 17–24, na voljo na spletnem naslovu http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_sl.pdf
(10) Glej člen 11(2) predloga SRS.
(11) Člen 27 Uredbe (ES) št. 45/2001 zahteva, da mora ENVP predhodno preveriti obdelavo „podatkov v zvezi z zdravjem in sumi kaznivih dejanj, kaznivimi dejanji, kazenskimi obsodbami ali varnostnimi ukrepi“. Nacionalni organ za varstvo podatkov mora v skladu s členom 20(1) Direktive 95/46/ES predhodno preveriti postopke obdelave, ki bodo verjetno predstavljali posebna tveganja za varstvo podatkov, kakor so opredeljena v nacionalni zakonodaji o varstvu podatkov.
(12) Uvodni izjavi 23 in 24 ter člen 7(4) in (5) predloga SRS.