Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria C
  3. Dz.U.UE.C.2012.136.1

Opinia w sprawie wniosków ustawodawczych dotyczących alternatywnych metod rozstrzygania sporów konsumenckich oraz internetowego systemu rozstrzygania sporów konsumenckich.

Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosków ustawodawczych dotyczących alternatywnych metod rozstrzygania sporów konsumenckich oraz internetowego systemu rozstrzygania sporów konsumenckich

(2012/C 136/01)

(Dz.U.UE C z dnia 11 maja 2012 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 41,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWADZENIE

I.1. Konsultacje z EIOD i cel niniejszej opinii

1.
W dniu 29 listopada 2011 r. Komisja przyjęła dwa wnioski ustawodawcze dotyczące alternatywnych metod rozstrzygania sporów (zwane dalej "wnioskami"):
wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie alternatywnych metod rozstrzygania sporów konsumenckich (zwany dalej "wnioskiem w sprawie ADR")(3),
wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie internetowego systemu rozstrzygania sporów konsumenckich (zwany dalej "wnioskiem w sprawie ODR")(4).
2.
W dniu 6 grudnia 2011 r. EIOD otrzymał do konsultacji wniosek w sprawie ADR i wniosek w sprawie ODR. Również przed przyjęciem tych wniosków przeprowadzono nieformalne konsultacje z EIOD, który przedstawił nieformalne uwagi. EIOD przyjmuje z zadowoleniem przeprowadzenie takich wczesnych konsultacji oraz fakt, że większość zaleceń zawartych w jego uwagach włączono do wniosków.
3.
Celem niniejszej opinii jest analiza przetwarzania danych osobowych przewidzianego we wnioskach oraz wyjaśnienie, w jaki sposób odnoszą się one do zagadnień związanych z ochroną danych osobowych. Uwaga zostanie poświęcona głównie wnioskowi w sprawie ODR, ponieważ dotyczy on zcentralizowanego przetwarzania danych osobowych związanego ze sporami przekazanymi do platformy internetowej.

I.2. Cel wniosków

4.
Alternatywne metody rozstrzygania sporów konsumenckich (ADR) zapewniają alternatywne sposoby rozwiązywania sporów; sposoby te są zazwyczaj mniej kosztowne i szybsze niż wszczynanie procedur sądowych. Celem wniosku w sprawie ADR jest zapewnienie tego rodzaju rozwiązań we wszystkich państwach członkowskich UE, tak aby możliwe było rozstrzyganie wszelkich transgranicznych sporów konsumenckich związanych ze sprzedażą produktów lub świadczeniem usług w UE.
5.
Wniosek w sprawie ODR oparty jest na idei powszechnej dostępności w UE alternatywnych metod rozstrzygania sporów konsumenckich. Przewiduje on utworzenie platformy internetowego rozstrzygania sporów (zwanej dalej "platformą ODR"), którą konsumenci i przedsiębiorcy będą mogli wykorzystywać w celu przesyłania skarg związanych z transgranicznymi transakcjami internetowymi właściwemu podmiotowi ADR.

II. UWAGI OGÓLNE

6.
EIOD popiera cel wniosku i z zadowoleniem przyjmuje fakt, że zasady ochrony danych osobowych zostały uwzględnione od najwcześniejszego etapu procesu opracowywania przepisów.
7.
EIOD przyjmuje również z zadowoleniem odniesienia do stosowania przepisów dotyczących ochrony danych we wniosku w sprawie ODR(5) oraz odniesienia do stosowania krajowych przepisów wdrażających dyrektywę 95/46/WE w kontekście wniosku w sprawie ADR(6), jak również odniesienia do konsultacji z EIOD(7).

III. UWAGI SZCZEGÓŁOWE

III.1. Rola administratorów danych: konieczność jasnego wskazania obszarów odpowiedzialności

8.
Zgodnie z wnioskiem w sprawie ODR w kontekście każdego sporu przekazanego za pośrednictwem platformy ODR dane będą przetwarzane przez trzy rodzaje podmiotów:
podmioty ADR,
doradców ds. ODR, którzy będą zapewniać wsparcie w procesie rozstrzygania sporów przekazywanych poprzez platformę ODR(8),
Komisję.

W art. 11 ust. 4 stwierdzono, że każdy z tych podmiotów należy uważać za administratora danych w odniesieniu do czynności przetwarzania danych osobowych związanych z jego obowiązkami.

9.
Wielu z tych administratorów można jednakże uznać za odpowiedzialnych za przetwarzanie tych samych danych osobowych(9). Przykładowo, dane związane z konkretnym sporem, przesłane poprzez platformę ODR, mogą być badane przez kilku zajmujących się danym sporem doradców ds. ODR oraz przez właściwy dla tego sporu system ADR. Komisja może również przetwarzać te dane osobowe w celu prowadzenia i obsługiwania platformy ODR.
10.
W tym kontekście EIOD przyjmuje z zadowoleniem fakt, że w motywie 20 wniosku w sprawie ODR wskazano, że przepisy dotyczące ochrony danych mają zastosowanie do wszystkich tych podmiotów. Jednakże w części ustawodawczej wniosku należy sprecyzować co najmniej, do którego administratora danych osoby, których dane dotyczą powinny kierować swoje wnioski o dostęp, poprawienie, blokowanie i usuwanie danych, a także który administrator zostanie pociągnięty do odpowiedzialności w przypadku konkretnych naruszeń przepisów dotyczących ochrony danych (na przykład naruszenia bezpieczeństwa). Odpowiednie informacje powinny również zostać przedstawione osobom, których dane dotyczą.

III.2. Ograniczenie dostępu i okres zatrzymania

11.
Zgodnie z art. 11 wniosku w sprawie ODR dostęp do danych osobowych przetwarzanych przez platformę ODR jest ograniczony do:
podmiotu ADR właściwego do celów rozstrzygnięcia sporu,
doradców ds. ODR zapewniających wsparcie przy rozstrzyganiu sporu (np. w celu ułatwienia komunikacji pomiędzy stronami a właściwym podmiotem ADR lub, aby poinformować konsumentów o sposobach dochodzenia roszczeń poza platformą ODR),
Komisji, jeśli jest to niezbędne do prowadzenia i obsługiwania platformy ODR, w tym w celu monitorowania stosowania platformy przez podmioty ADR i doradców ds. ODR(10).
12.
EIOD przyjmuje z zadowoleniem powyższe zastosowanie zasady celowości i ograniczenie praw dostępu. Nie jest jednakże jasne, czy wszyscy doradcy ds. ODR (co najmniej 54) będą mieli dostęp do danych osobowych związanych ze wszystkimi sporami. EIOD zaleca doprecyzowanie, że każdy doradca ds. ODR będzie miał dostęp wyłącznie do danych niezbędnych do wypełnienia swoich obowiązków wynikających z art. 6 ust. 2.
13.
W odniesieniu do okresu zatrzymania EIOD przyjmuje z zadowoleniem art. 11 ust. 3, który umożliwia przechowywanie danych osobowych jedynie przez czas konieczny do rozstrzygnięcia sporu oraz realizację prawa osoby, której dane dotyczą, do dostępu do danych. Przyjmuje również z zadowoleniem obowiązek automatycznego usunięcia danych po 6 miesiącach od daty zakończenia sporu.

III.3. Przetwarzanie specjalnych kategorii danych: możliwa potrzeba kontroli wstępnej

14.
Przy uwzględnieniu celu wniosków możliwe jest przetwarzanie danych osobowych związanych z konkretnymi naruszeniami. Możliwe jest również przetwarzanie danych dotyczących zdrowia w przypadku sporów związanych ze sprzedażą towarów i świadczeniem usług związanych ze zdrowiem.
15.
Przetwarzanie danych osobowych w ramach platformy ODR może zatem podlegać kontroli wstępnej dokonywanej przez krajowe organy ochrony danych oraz przez EIOD zgodnie z wymogami art. 27 rozporządzenia (WE) nr 45/2001 oraz art. 20 dyrektywy 95/46/WE(11). EIOD przyjmuje, że Komisja jest świadoma, że przed uruchomieniem platformy ODR konieczne jest stwierdzenie, czy przetwarzanie powinno podlegać kontroli wstępnej.

III.4. Należy przeprowadzić konsultacje z EIOD w sprawie aktów delegowanych i wykonawczych związanych z formularzem skargi

16.
Informacje podawane w elektronicznym formularzu skargi (zwanym dalej "formularzem") wyszczególnione zostały w załączniku do wniosku w sprawie ODR. Obejmują one dane osobowe stron (imię i nazwisko lub nazwę, adres oraz w stosownych przypadkach adres e-mail i stronę internetową) oraz dane mające na celu ustalenie, który podmiot ADR jest właściwy do zajęcia się danym sporem (miejsce zamieszkania konsumenta w momencie zamówienia towarów lub usług, rodzaje towarów lub usług itp.).
17.
EIOD przyjmuje z zadowoleniem art. 7 ust. 6, w którym przypomina się, że w formularzu i załącznikach do niego mogą być przetwarzane tylko te dane, które są dokładne i istotne i nie są zbędne. Lista danych zawartych w załączniku musi również być zgodna z zasadą celowości.
18.
Ta lista może być jednak zmieniana w drodze aktów delegowanych, a zmiany wprowadzane w formularzu będą regulowane w drodze aktów wykonawczych(12). EIOD zaleca dodanie odniesienia do obowiązku przeprowadzenia konsultacji z EIOD jeśli akty te będą dotyczyć przetwarzania danych osobowych.

III.5. Środki bezpieczeństwa: konieczność przeprowadzenia oceny wpływu na prywatność

19.
EIOD przyjmuje z zadowoleniem przepisy dotyczące poufności i bezpieczeństwa. Środki bezpieczeństwa wyszczegól-

nione w art. 12 wniosku w sprawie ODR obejmują kontrolę dostępu, plan bezpieczeństwa i zarządzanie zdarzeniami związanymi z bezpieczeństwem.

20.
EIOD zaleca również dodanie odniesienia do konieczności przeprowadzenia oceny wpływu na prywatność (w tym oceny ryzyka) oraz odniesienia do konieczności regularnego prowadzenia kontroli i sporządzania sprawozdań na temat zgodności z przepisami dotyczącymi ochrony danych.
21.
Dodatkowo EIOD pragnie przypomnieć, że przy tworzeniu narzędzi technologii informacyjnej przeznaczonych do stworzenia platformy ODR należy od bardzo wczesnych etapów uwzględnić ochronę prywatności i danych (koncepcja "privacy-by-design"), w tym stosować narzędzia umożliwiające użytkownikom lepsze chronienie danych osobowych (na przykład zatwierdzanie i kodowanie).

III.6. Informacje dla osób, których dotyczą dane

22.
EIOD przyjmuje z zadowoleniem motyw 21 wniosku w sprawie ODR, w którym stwierdza się, że osoby, których dane dotyczą, powinny być informowane o przetwarzaniu ich danych osobowych oraz o ich prawach poprzez dostępną publicznie informację o polityce prywatności. Jednakże obowiązek informowania osób, których dane dotyczą, powinien być również zawarty w części legislacyjnej wniosku w sprawie ODR.
23.
Dodatkowo osoby, których dane dotyczą, powinny być również informowane o tym, który administrator danych jest odpowiedzialny za realizację ich praw. Informacja o polityce prywatności powinna być wyraźnie widoczna dla wszystkich osób wypełniających formularz.

IV. WNIOSKI

24.
EIOD przyjmuje z zadowoleniem fakt, że zasady ochrony danych osobowych zostały włączone do tekstu dokumentu, w szczególności w odniesieniu do zasady celowości, ograniczenia dostępu, ograniczenia okresu zatrzymania i środków bezpieczeństwa. Zaleca on jednakże:
sprecyzowanie obowiązków administratorów danych i odpowiednie informowanie osób, których dane dotyczą,
wyjaśnienie ograniczenia praw dostępu do danych,
uzupełnienie przepisów dotyczących bezpieczeństwa,
wzmiankę o konieczności skonsultowania się z EIOD w sprawie aktów delegowanych i aktów wykonawczych związanych z przetwarzaniem danych osobowych.
25.
EIOD pragnie również przypomnieć, że przetwarzanie danych osobowych w ramach platformy ODR może podlegać kontroli wstępnej dokonywanej przez EIOD oraz przez krajowe organy ochrony danych.

Sporządzono w Brukseli dnia 12 stycznia 2012 r.

Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych
______

(1) Dz.U. L 281 z 23.11.1995, s. 31.

(2) Dz.U. L 8 z 12.1.2001, s. 1.

(3) COM(2011) 793 wersja ostateczna.

(4) COM(2011) 794 wersja ostateczna.

(5) Motyw 20 i 21 oraz art. 11 ust. 4 wniosku w sprawie ODR.

(6) Motyw 16 wniosku w sprawie ADR.

(7) Preambuły i uzasadnienia wniosków.

(8) Każde państwo członkowskie będzie musiało wskazać jeden punkt kontaktowy na potrzeby ODR, który będzie siedzibą co najmniej dwóch doradców ds. ODR. Komisja stworzy sieć punktów kontaktowych ODR.

(9) Zob. opinia nr 1/2010 Grupy Roboczej ds. Ochrony Danych powołanej na mocy art. 29 w sprawie pojęć "administrator danych" i "przetwarzający", przyjęta w dniu 16 lutego 2010 r. (WP 169), s. 17-24, dostępna pod adresem: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_pl.pdf

(10) Zob. art. 11 ust. 2 wniosku w sprawie ODR.

(11) Artykuł 27 rozporządzenia (WE) nr 45/2001 zawiera wymóg, by przetwarzanie "danych odnoszących się do zdrowia i dotyczących podejrzeń o popełnienie przestępstwa, przestępstw, wyroków karnych lub środków bezpieczeństwa" podlegało kontroli wstępnej EIOD. Zgodnie z art. 20 ust. 1 dyrektywy 95/46/WE kontroli wstępnej organu ochrony danych podlegają operacje przetwarzania mogące stwarzać określone zagrożenia związane z ochroną danych, zgodnie z krajowymi przepisami dotyczącymi ochrony danych.

(12) Motywy 23-24 oraz art. 7 ust. 4-5 wniosku w sprawie ODR.

Zmiany w prawie

Ważne zmiany w zakresie ZFŚS
Ważne zmiany w zakresie ZFŚS

W piątek, 19 grudnia 2025 roku, Senat przyjął bez poprawek uchwalone na początku grudnia przez Sejm bardzo istotne zmiany w przepisach dla pracodawców obowiązanych do tworzenia Zakładowego Funduszu Świadczeń Socjalnych. Odnoszą się one do tych podmiotów, w których nie działają organizacje związkowe. Ustawa trafi teraz na biurko prezydenta.

Marek Rotkiewicz 19.12.2025
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy

Nowe okresy wliczane do okresu zatrudnienia mogą wpłynąć na wymiar urlopów wypoczynkowych osób, które jeszcze nie mają prawa do 26 dni urlopu rocznie. Pracownicy nie nabywają jednak prawa do rozliczenia urlopu za okres sprzed dnia objęcia pracodawcy obowiązkiem stosowania art. 302(1) Kodeksu pracy, wprowadzającego zaliczalność m.in. okresów prowadzenia działalności gospodarczej czy wykonywania zleceń do stażu pracy.

Marek Rotkiewicz 19.12.2025
To będzie rewolucja u każdego pracodawcy
To będzie rewolucja u każdego pracodawcy

Wszyscy pracodawcy, także ci zatrudniający choćby jednego pracownika, będą musieli dokonać wartościowania stanowisk pracy i określić kryteria służące ustaleniu wynagrodzeń pracowników, poziomów wynagrodzeń i wzrostu wynagrodzeń. Jeszcze więcej obowiązków będą mieli średni i duzi pracodawcy, którzy będą musieli raportować lukę płacową. Zdaniem prawników, dla mikro, małych i średnich firm dostosowanie się do wymogów w zakresie wartościowania pracy czy ustalenia kryteriów poziomu i wzrostu wynagrodzeń wymagać będzie zewnętrznego wsparcia.

Grażyna J. Leśniak 18.12.2025
Są rozporządzenia wykonawcze do KSeF
Są rozporządzenia wykonawcze do KSeF

Minister finansów i gospodarki podpisał cztery rozporządzenia wykonawcze dotyczące funkcjonowania KSeF – potwierdził we wtorek resort finansów. Rozporządzenia określają m.in.: zasady korzystania z KSeF, w tym wzór zawiadomienia ZAW-FA, przypadki, w których nie ma obowiązku wystawiania faktur ustrukturyzowanych, a także zasady wystawiania faktur uproszczonych.

Krzysztof Koślicki 16.12.2025
Od stycznia nowe zasady prowadzenia PKPiR
Od stycznia nowe zasady prowadzenia PKPiR

Od 1 stycznia 2026 r. zasadą będzie prowadzenie podatkowej księgi przychodów i rozchodów przy użyciu programu komputerowego. Nie będzie już można dokumentować zakupów, np. środków czystości lub materiałów biurowych, za pomocą paragonów bez NIP nabywcy. Takie zmiany przewiduje nowe rozporządzenie w sprawie PKPiR.

Marcin Szymankiewicz 15.12.2025
Senat poprawia reformę orzecznictwa lekarskiego w ZUS
Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025
Metryka aktu
Identyfikator:

Dz.U.UE.C.2012.136.1
Rodzaj: Opinia
Tytuł: Opinia w sprawie wniosków ustawodawczych dotyczących alternatywnych metod rozstrzygania sporów konsumenckich oraz internetowego systemu rozstrzygania sporów konsumenckich.
Data aktu: 12/01/2012
Data ogłoszenia: 11/05/2012