|
20.7.2017 |
SL |
Uradni list Evropske unije |
C 234/3 |
Povzetek mnenja evropskega nadzornika za varstvo podatkov o predlogu uredbe o zasebnosti in elektronskih komunikacijah (uredba o e-zasebnosti)
(Celotno besedilo tega mnenja je na voljo v angleščini, francoščini in nemščini na spletišču evropskega nadzornika za varstvo podatkov (v nadaljnjem besedilu: ENVP) www.edps.europa.eu.)
(2017/C 234/03)
V tem mnenju je opisano stališče ENVP glede predloga uredbe o zasebnosti in elektronskih komunikacijah, ki bo razveljavila in nadomestila direktivo o zasebnosti in elektronskih komunikacijah.
Brez uredbe o e-zasebnosti bi bil okvir zasebnosti in varstva podatkov EU nepopoln. Čeprav je splošna uredba o varstvu podatkov velik dosežek, potrebujemo določeno pravno orodje za zaščito pravice do zasebnega življenja, ki jo zagotavlja člen 7 Listine Evropske unije o temeljnih pravicah, katere bistvena sestavina je zaupnost komunikacij. Zato ENVP pozdravlja in podpira predlog, katerega namen je narediti prav to. Prav tako podpira izbiro pravnega instrumenta, to je uredbe, ki se bo neposredno uporabljala ter prispevala k višji ravni usklajenosti in skladnosti. Pozdravlja prizadevanja za zagotovitev visoke ravni varstva glede vsebine in metapodatkov ter podpira cilj razširiti obveznost zaupnosti na številne druge storitve, vključno s tako imenovanimi povrhnjimi storitvami (storitvami OTT), kar odraža napredek tehnologije. Prav tako meni, da bosta odločitev o tem, da se pooblastila za izvrševanje podelijo le organom za varstvo podatkov, ter razpoložljivost mehanizma sodelovanja in skladnosti v okviru prihodnjega Evropskega odbora za varstvo podatkov prispevala k bolj usklajenemu in učinkovitemu izvrševanju v EU.
Obenem ima ENVP pomisleke, ali lahko ta predlog dejansko izpolni obljubo zagotovitve visoke ravni varstva zasebnosti na področju elektronskih komunikacij. Potrebujemo namreč nov pravni okvir za e-zasebnost, vendar mora biti ta pametnejši, jasnejši in močnejši. Narediti je potrebno še veliko: zapletenost predpisov, kot je opisano v predlogu, je zastrašujoča. Komunikacije so razrezane na metapodatke, podatke o vsebini in podatke, ki jih oddaja terminalska oprema. Vsaka skupina je upravičena do drugačne ravni zaupnosti in za vsako veljajo drugačne izjeme. Zaradi te zapletenosti lahko pride do tveganja (morda nenamernih) vrzeli v varstvu.
O večini opredelitev pojmov, na katerih temelji predlog, se bo treba še pogajati in odločiti v okviru drugega pravnega instrumenta: Evropskega zakonika o elektronskih komunikacijah. Danes ne obstaja pravna utemeljitev za tako tesno povezovanje obeh instrumentov, saj so opredelitve v zakoniku usmerjene v konkurenco in trg ter preprosto ne ustrezajo namenu glede temeljnih pravic. ENVP zato zagovarja vključitev sklopa potrebnih opredelitev pojmov v uredbo o e-zasebnosti, ob upoštevanju njenega predvidenega področja uporabe in ciljev.
Posebno pozornost je treba nameniti tudi vprašanju obdelave elektronskih komunikacijskih podatkov, ki jo izvajajo upravljavci, ki niso ponudniki elektronskih komunikacijskih storitev. Zagotavljanje dodatnih varnostnih ukrepov za komunikacijske podatke bi bilo nesmiselno, če bi se dalo tem ukrepom brez težav izogniti, na primer s prenosom podatkov tretjim osebam. Prav tako je treba zagotoviti, da predpisi glede e-zasebnosti ne omogočajo nižje ravni varstva, kot je opredeljena v splošni uredbi o varstvu podatkov. Obstajati mora, na primer, resnična privolitev, da se uporabnikom prosto ponudi izbira, kot to predpisuje splošna uredba o varstvu podatkov. Odpraviti je treba „zidove sledenja“. Poleg tega je treba z novimi predpisi določiti stroge zahteve za vgrajeno zasebnost in zasebnost s privzetimi nastavitvami. ENVP v tem mnenju obravnava tudi druga pereča vprašanja, vključno z omejitvami obsega pravic.
1. UVOD IN OZADJE
To mnenje (v nadaljnjem besedilu: mnenje) je odziv na zahtevo Evropske komisije (v nadaljnjem besedilu: Komisija) evropskemu nadzorniku za varstvo podatkov (v nadaljnjem besedilu: ENVP) kot neodvisnemu nadzornemu in svetovalnemu organu, naj predloži mnenje o predlogu uredbe o zasebnosti in elektronskih komunikacijah (1) (v nadaljnjem besedilu: predlog). Ta predlog naj bi razveljavil in nadomestil Direktivo 2002/58/ES o zasebnosti in elektronskih komunikacijah (Direktiva o zasebnosti in elektronskih komunikacijah) (2). Komisija je zaprosila za mnenje tudi Delovno skupino za varstvo podatkov iz člena 29 (WP29), h kateremu je kot polnopravni član mnenje prispeval tudi ENVP (3).
To mnenje sledi našemu predhodnemu mnenju 5/2016 o pregledu direktive o zasebnosti in elektronskih komunikacijah (2002/58/ES) (4), izdanemu 22. julija 2016. ENVP lahko zagotovi tudi dodatne nasvete glede nadaljnjih stopenj zakonodajnega postopka.
Predlog je ena ključnih pobud strategije za enotni digitalni trg (5), namenjena okrepitvi zaupanja v digitalne storitve v EU in njihove varnosti z osredotočenostjo na zagotavljanje visoke ravni varstva za državljane in enakih konkurenčnih pogojev za vse tržne akterje v EU.
Namen predloga je posodobitev in nadgradnja direktive o zasebnosti in elektronskih komunikacijah v okviru širših prizadevanj za zagotovitev celovitega in usklajenega pravnega okvira za varstvo podatkov v Evropi. Direktiva o zasebnosti in elektronskih komunikacijah podrobno opredeljuje in dopolnjuje Direktivo 95/46/ES (6), ki bo nadomeščena z nedavno sprejeto splošno uredbo o varstvu podatkov (7).
ENVP v razdelku 2 najprej povzame svoje glavne ugotovitve glede predloga, pri čemer se osredotoči na njegove pozitivne vidike. Nato v razdelku 3 izrazi svoje druge glavne pomisleke in navede priporočila za njihovo reševanje. Dodatni pomisleki in priporočila za nadaljnje izboljšave so opisani v prilogi k temu mnenju, v katerem je predlog podrobneje obravnavan. Z obravnavanjem pomislekov iz tega mnenja in priloge k temu mnenju ter nadaljnjimi izboljšavami besedila uredbe o e-zasebnosti bi se izboljšala varnost končnih uporabnikov in drugih zadevnih posameznikov, na katere se nanašajo podatki, zagotovila pa bi se tudi večja pravna varnost za vse vpletene zainteresirane strani.
4. SKLEPNE UGOTOVITVE
ENVP pozdravlja predlog Komisije za posodobljeno, nadgrajeno in okrepljeno uredbo o e-zasebnosti. Strinja se, da še vedno obstaja potreba po posebnih predpisih za zaščito zaupnosti in varnosti na področju elektronskih komunikacij v EU ter po dopolnitvi in podrobni opredelitvi zahtev iz splošne uredbe o varstvu podatkov. Meni, da potrebujemo preproste, ciljno usmerjene in tehnološko nevtralne zakonske določbe, ki zagotavljajo močno, pametno in učinkovito varstvo za predvidljivo prihodnost.
ENVP pozdravlja izraženo težnjo po zagotovitvi visoke ravni varstva za vsebino in metapodatke, zlasti za ključne pozitivne elemente iz razdelka 2.1.
Čeprav pozdravlja predlog, pa je še vedno zaskrbljen glede številnih določb, ki pomenijo tveganje za razvrednotenje namere Komisije po zagotovitvi visoke ravni varstva zasebnosti na področju elektronskih komunikacij. Njegovi glavni pomisleki so zlasti:
|
— |
opredelitve pojmov na podlagi predloga ne smejo biti odvisne od posebnega zakonodajnega postopka v zvezi z direktivo o Evropskem zakoniku o elektronskih komunikacijah (8), |
|
— |
okrepiti je treba določbe o privolitvi končnega uporabnika. Privolitev je treba zahtevati od posameznikov, ki uporabljajo storitve, ne glede na to, ali so te storitve naročili ali ne, in od vseh, ki sodelujejo v komunikaciji. Poleg tega je treba zaščititi tudi posameznike, na katere se nanašajo osebni podatki in ki ne sodelujejo v komunikaciji, |
|
— |
zagotoviti je treba, da razmerje med splošno uredbo o varstvu podatkov in uredbo o e-zasebnosti ne pusti lukenj v varstvu osebnih podatkov. Osebni podatki, ki so bili zbrani na podlagi privolitve končnega uporabnika ali na drugi pravni podlagi po uredbi o e-zasebnosti, se ne smejo naknadno nadalje obdelovati zunaj obsega takšne privolitve ali izjeme na pravni podlagi, ki bi lahko drugače bila na voljo na podlagi splošne uredbe o varstvu podatkov, ne pa na podlagi uredbe o e-zasebnosti, |
|
— |
predlog je premalo velikopotezen glede tako imenovanih „zidov sledenja“ (ki so znani tudi kot „zidovi piškotkov“). Posamezniku se dostop do spletnih strani ne sme pogojevati s prisilno privolitvijo k temu, da se mu sledi po spletnih straneh. Z drugimi besedami, ENVP poziva zakonodajalce, da zagotovijo, da bo privolitev resnično podana prostovoljno, |
|
— |
predlog ne zagotavlja, da bodo brskalniki (in druga programska oprema na trgu, ki omogoča elektronsko komunikacijo) privzeto nastavljeni tako, da bodo preprečevali zasledovanje digitalnih stopinj posameznikov, |
|
— |
izjeme glede zasledovanja lokacije terminalske opreme so preširoke in imajo premalo primernih zaščitnih ukrepov, |
|
— |
predlog vsebuje možnost, da države članice uvedejo omejitve; za te so potrebni posebni zaščitni ukrepi. |
To so glavni pomisleki, ki so opisani v tem mnenju, skupaj s priporočili za njihovo reševanje. ENVP poleg naših splošnih pripomb in glavnih pomislekov, ki so podrobno opisani v osrednjem delu besedila mnenja, v prilogi navaja tudi nadaljnje (in včasih bolj tehnične) pripombe in priporočila v zvezi s predlogom, zlasti, da bi olajšali delo zakonodajalcem in drugim zainteresiranim stranem, ki želijo nadalje izboljšati besedilo med zakonodajnim postopkom. Ne nazadnje opozarjamo tudi na to, kako pomembno je, da zakonodajalci hitro obdelajo ta pomemben dokument in s tem zagotovijo, da bo lahko uredba o e-zasebnosti, kot je bilo predvideno, začela veljati 25. maja 2018, to je na dan, ko začne veljati tudi splošna uredba o varstvu podatkov.
Pomembnost zaupnosti sporočil, kot je predpisana v členu 7 Listine, se povečuje z vedno večjo vlogo elektronskih sporočil v naši družbi in gospodarstvu. Zaščitni ukrepi, opisani v tem mnenju, bodo imeli ključno vlogo pri zagotavljanju uspeha dolgoročnih strateških ciljev Komisije, opisanih v strategiji za enotni digitalni trg.
V Bruslju, 24. aprila 2017
Giovanni BUTTARELLI
Evropski nadzornik za varstvo podatkov
(1) Predlog uredbe Evropskega parlamenta in Sveta o spoštovanju zasebnega življenja in varstvu osebnih podatkov na področju elektronskih komunikacij ter razveljavitvi Direktive 2002/58/ES (uredba o zasebnosti in elektronskih komunikacijah) (COM(2017) 10 final, 2017/0003 (COD)).
(2) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (UL L 201, 31.7.2002, str. 37).
(3) Mnenje Delovne skupine za varstvo podatkov iz člena 29 1/2017 o predlogu uredbe za uredbo o e-zasebnosti (2002/58/ES) (WP247), sprejeto 4. aprila 2017. Glejte tudi mnenje Delovne skupine za varstvo podatkov iz člena 29 3/2016 o oceni in pregledu Direktive 2002/58/ES o zasebnosti in elektronskih komunikacijah (WP240), sprejeto 19. julija 2016.
(4) Glejte https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf.
(5) Strategija za enotni digitalni trg za Evropo, sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij z dne 6. maja 2015 (COM(2015) 192 final), na voljo na naslovu: http://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:52015DC0192&from=SL.
(6) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).
(7) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(8) Predlog direktive Evropskega parlamenta in Sveta o Evropskem zakoniku o elektronskih komunikacijah (COM(2016) 590 final/2, 2016/0288/COD) z dne 12. oktobra 2016.