(2015/C 301/01)(Dz.U.UE C z dnia 12 września 2015 r.)
W dniu 24 czerwca 2015 r. trzy główne instytucje UE - Parlament Europejski, Rada i Komisja Europejska - rozpoczęły określone mianem nieformalnych rozmów trójstronnych negocjacje w ramach procedury współdecyzji w sprawie wnioskowanego ogólnego rozporządzenia o ochronie danych 1 . Podstawą rozmów trójstronnych jest wniosek Komisji ze stycznia 2012 r., rezolucja ustawodawcza Parlamentu z dnia 12 marca 2014 r. oraz podejście ogólne Rady przyjęte w dniu 15 czerwca 2015 r. 2 . Wszystkie trzy instytucje zobowiązały się do prac nad rozporządzeniem w ramach ogólniejszego pakietu reform w zakresie ochrony danych, który obejmuje wnioskowaną dyrektywę dotyczącą organów policji i wymiaru sprawiedliwości. Proces ten powinien się zakończyć pod koniec 2015 r., a formalne przyjęcie obydwu instrumentów będzie prawdopodobnie możliwe na początku 2016 r., po czym nastąpi dwuletni okres przejściowy 3 .
Europejski Inspektor Ochrony Danych (EIOD) jest niezależną instytucją UE. Inspektor nie bierze udziału w rozmowach trójstronnych, ale na mocy art. 41 ust. 2 rozporządzenia nr 45/2001 jest odpowiedzialny "za zapewnienie, że podstawowe prawa i wolności osób fizycznych, w szczególności prawo do prywatności są respektowane przez instytucje i organy wspólnotowe w odniesieniu do przetwarzania danych osobowych" oraz "za doradzanie instytucjom i organom wspólnotowym i podmiotom danych we wszystkich kwestiach związanych z przetwarzaniem danych osobowych". Inspektor i jego zastępca zostali powołani w grudniu 2014 r., przy czym wyraźnie wskazano, że mają działać w sposób bardziej konstruktywny i aktywny; w marcu 2015 r. opublikowali pięcioletnią strategię, wskazując, w jaki sposób zamierzają wypełnić tę misję oraz rozliczyć się z tego zadania 4 .
Niniejsza opinia stanowi pierwszy ważny krok w realizacji strategii EIOD. Przyjmując za punkt wyjścia dyskusje z instytucjami UE, państwami członkowskimi, społeczeństwem obywatelskim, przemysłem oraz innymi zainteresowanymi stronami, udzielamy rad mających pomóc uczestnikom rozmów trójstronnych w osiągnięciu na czas właściwego konsensusu. Opinia dotycząca ogólnego rozporządzenia o ochronie danych składa się z dwóch części:
Opinię opublikowano na naszej stronie internetowej oraz za pośrednictwem aplikacji mobilnej. Jesienią 2015 r. zostanie ona uzupełniona o zalecenia dotyczące zarówno motywów rozporządzenia, jak i - po przyjęciu przez Radę ogólnego stanowiska w sprawie dyrektywy - ochrony danych w związku z działaniami organów policji i wymiaru sprawiedliwości.
Kompleksowa opinia EIOD w sprawie proponowanego przez Komisję pakietu reform z marca 2012 r. pozostaje w mocy. Trzy lata później musieliśmy jednak zaktualizować nasze rady, aby ustosunkować się bezpośrednio do stanowisk współustawodawców, a także przedstawić konkretne zalecenia 5 . Podobnie jak w przypadku opinii z 2012 r., niniejszy dokument jest spójny z opiniami i stwierdzeniami Grupy Roboczej Art. 29, w tym zawartymi w przyjętym w dniu 17 czerwca dodatku dotyczącym "podstawowych tematów w świetle rozmów trójstronnych", w powstaniu którego EIOD uczestniczył jako pełnoprawny członek Grupy Roboczej 6 .
Wyjątkowa możliwość: dlaczego reforma jest tak ważna
Wielki wysiłek związany ze zmianą przepisów dotyczących danych osobowych w UE dobiega końca. Ogólne rozporządzenie o ochronie danych będzie potencjalnie dotyczyć przez najbliższe dziesięciolecia wszystkich osób fizycznych w UE i wszystkich organizacji w UE, które przetwarzają dane osobowe, oraz organizacji spoza UE, które przetwarzają dane osobowe osób fizycznych w UE 7 . Nadszedł czas, aby chronić podstawowe prawa i wolności osób fizycznych w opartym na danych społeczeństwie przyszłości.
Skuteczna ochrona danych daje uprawnienia osobom fizycznym oraz pobudza do działania odpowiedzialne przedsiębiorstwa i organy publiczne. Przepisy prawne w tym obszarze mają złożony i techniczny charakter, a ich interpretacja wymaga zasięgnięcia porady ekspertów, a w szczególności niezależnych organów ochrony danych, które rozumieją wyzwania związane z zapewnieniem zgodności z prawem. Ogólne rozporządzenie o ochronie danych będzie prawdopodobnie jednym z najdłuższych aktów prawnych Unii, więc UE musi obecnie zastosować selektywne podejście, skupiając się na przepisach naprawdę niezbędnych, a zarazem unikając szczegółowych zapisów, które mogłyby w niezamierzony sposób nadmiernie ingerować w technologie przyszłości. W wersjach poszczególnych instytucji nacisk kładzie się na przejrzystość i zrozumiałość przetwarzania danych osobowych, więc zasady tej należy także przestrzegać w samym rozporządzeniu, czyniąc je tak zwięzłym i łatwym do zrozumienia, jak jest to możliwe.
Ustalenie ostatecznej postaci aktu prawnego jest zadaniem Parlamentu Europejskiego i Rady jako współustawodawców, w czym będzie je wspomagać Komisja jako inicjator ustawodawstwa i strażnik traktatów. EIOD nie uczestniczy w rozmowach trójstronnych, lecz jest uprawniony do aktywnego doradztwa zgodnie z zakresem kompetencji określonym przy powołaniu Inspektora i jego zastępcy, a także przyjętą niedawno strategią EIOD. W niniejszej opinii wykorzystano ponad dziesięcioletnie doświadczenie w nadzorze nad przestrzeganiem przepisów dotyczących ochrony danych i doradztwie w kształtowaniu polityki, aby pomóc instytucjom osiągnąć wynik służący interesom osób fizycznych.
Ustawodawstwo jest sztuką rzeczy możliwych. Każda z dostępnych opcji, a więc wersji rozporządzenia proponowanych odpowiednio przez Komisję, Parlament i Radę, zawiera wiele godnych uznania przepisów, ale każdą z nich można też ulepszyć. Efekt nie będzie naszym zdaniem idealny, ale zamierzamy wspierać instytucje w osiągnięciu jak najlepszego wyniku. Dlatego też nasze zalecenia nie wychodzą poza zakres tych trzech wersji. Kierujemy się przy tym trzema nadrzędnymi celami:
Niniejsza opinia służy zapewnieniu przejrzystości i odpowiedzialności - te dwie zasady są być może najważniejszą nowością wprowadzoną w ogólnym rozporządzeniu o ochronie danych. Rozmowy trójstronne są obserwowane uważniej niż kiedykolwiek wcześniej. Nasze zalecenia mają charakter jawny i wzywamy wszystkie instytucje UE do przejęcia inicjatywy oraz dania przykładu, aby ta reforma ustawodawstwa była wynikiem przejrzystego procesu, nie zaś sekretnego kompromisu.
UE potrzebuje nowego porozumienia w sprawie ochrony danych - otwarcia nowego rozdziału. Reszta świata uważnie obserwuje przebieg prac. Pierwszorzędne znaczenie ma jakość nowego prawa oraz jego wzajemne oddziaływanie z globalnymi systemami i tendencjami prawnymi. Swoją opinią EIOD sygnalizuje gotowość do udzielenia pomocy, aby UE w jak największym stopniu skorzystała z tej historycznej szansy.
1 Wspólna deklaracja Parlamentu Europejskiego, Rady i Komisji w sprawie praktycznych zasad dotyczących stosowania procedury współdecyzji (art. 251 Traktatu WE) (2007/C 145/02), Dz.U. C 145 z 30.6.2007.
2 COM(2012)11 final; Rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych), P7_TA(2014)0212; Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) - Przygotowanie podejścia ogólnego, dokument Rady 9565/15 z 11.6.2015.
3 Pełny tytuł brzmi: Wniosek dotyczący dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych, COM(2012)10 final; Rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych, P7_TA(2014)0219. W sprawie terminu i zakresu rozmów trójstronnych zob. konkluzje Rady Europejskiej z 25- 26 czerwca 2015 r., EUCO 22/15; plan działania dotyczący rozmów trójstronnych wskazano podczas wspólnej konferencji prasowej Parlamentu, Rady i Komisji http://audiovisual.europarl.europa.eu/AssetDetail.aspx?id=690e8d8d-682d-4755-bfb6-a4c100eda4ed [ostatni dostęp 20.7.2015], ale nie opublikowano go oficjalnie. Ogólne rozporządzenie o ochronie danych wejdzie w życie 20 dni po jego opublikowaniu w Dzienniku Urzędowym i oczekuje się, że zacznie w pełni obowiązywać dwa lata po wejściu w życie (art. 91).
4 Ogłoszenie o wakacie na stanowisku Europejskiego Inspektora Ochrony Danych COM/2014/10354 (2014/C 163 A/02), Dz.U. C 163 A/6 z 28.5.2014. W strategii EIOD na lata 2015-2019 znalazła się zapowiedź "poszukiwania praktycznych rozwiązań, które unikają biurokracji, stanowią elastyczne podejście do innowacji technicznych i transgranicznych przepływów danych oraz umożliwiają osobom fizycznym skuteczniejsze egzekwowanie swoich praw w internecie oraz poza nim"; Dawanie przykładu: strategia EIOD na lata 2015-2019, marzec 2015 r.
5 Opinia EIOD z dnia 7 marca 2015 r. w sprawie pakietu dotyczącego reform w zakresie ochrony danych.
6 Zob. załącznik do listu Grupy Roboczej Art. 29 do komisarz ds. sprawiedliwości, konsumentów i równouprawnienia płci Vĕry Jourovej z 17.6.2015.
7 Trudno jest zwięźle podsumować zakres materialny i terytorialny ogólnego rozporządzenia o ochronie danych. Instytucje wydają się przynajmniej zgodne co do tego, że zakres ten obejmuje organizacje mające siedzibę w UE, które są odpowiedzialne za przetwarzanie danych osobowych zarówno w UE, jak i poza nią, oraz organizacje mające siedzibę poza UE, które przetwarzają dane osobowe osób fizycznych w UE w związku z oferowaniem towarów lub usług osobom fizycznym w UE bądź monitorowaniem tych osób (zob. określenie zakresu materialnego w art. 2 i zakresu terytorialnego w art. 3).
8 Inne wyniki wskazują, że siedmiu na dziesięciu respondentów jest zaniepokojonych możliwością wykorzystania ich informacji w celu innym niż ten, dla którego je zebrano, jeden na siedmiu uważa, że w każdym przypadku przed gromadzeniem i przetwarzaniem danych powinna być wymagana wyraźna zgoda, a dwie trzecie uznaje za ważną kwestię możliwość przeniesienia danych osobowych od starego do nowego usługodawcy; specjalny Eurobarometr 431 w sprawie ochrony danych z czerwca 2015 r. Porównywalne wyniki uzyskano w badaniu Pew Research z 2014 r.: 91 % Amerykanów uważa, że stracili kontrolę nad tym, w jaki sposób firmy zbierają i wykorzystują informacje osobiste, 80 % użytkowników serwisów społecznościowych jest zaniepokojonych możliwością dostępu do ich danych podmiotów zewnętrznych, takich jak reklamodawcy lub firmy, a 64 % twierdzi, że rząd powinien podjąć dodatkowe działania w celu uregulowania branży reklamowej; badanie panelowe Pew Research dotyczące prywatności ze stycznia 2014 r.
9 Komisja proponuje kompleksową reformę zasad ochrony danych, aby zwiększyć kontrolę użytkowników nad swoimi danymi oraz obniżyć koszty dla przedsiębiorstw.
11 Artykuł 2 ust. 2 lit. e).
12 Artykuł 1.
13 W art. 8 karty stwierdza się [podkreślenie dodano]:"1. Każdy ma prawo do ochrony danych osobowych, które go dotyczą.
2. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania.
3. Przestrzeganie tych zasad podlega kontroli niezależnego organu."
14 Artykuł 10. Do chwili powstania jasnej i prawnie wiążącej definicji "danych spseudonimizowanych" w odróżnieniu od "danych osobowych", ten rodzaj danych musi podlegać zasadom ochrony danych.
15 Artykuł 6 ust. 2 i art. 6 ust. 4. Ze względu na fakt, że występują pewne wątpliwości co do znaczenia pojęcia "zgodności", zalecamy - zgodnie z opinią Grupy Roboczej Art. 29 w sprawie celowości - zastosowanie ogólnych kryteriów oceny, czy przetwarzanie danych jest zgodne z celem (zob. art. 5 ust. 2).
16 Jednym ze sposobów zapewnienia zgodnego z prawem przetwarzania w przypadku braku zgody jest skuteczny rozdział funkcjonalny, ale uzasadnionego interesu nie należy interpretować zbyt szeroko. Właściwą alternatywą w niektórych sytuacjach może także być bezwarunkowe prawo do odmowy. Ocena, czy zgoda jest dobrowolna, zależy częściowo (a) od tego, czy istnieje znacząca nierównowaga między osobą, której dane dotyczą, a administratorem danych; oraz (b) w przypadku przetwarzania na mocy art. 6 ust. 1 lit. b) od tego, czy wykonanie umowy lub świadczenie usługi jest uzależnione od zgody na przetwarzanie danych, które nie są niezbędne do tych celów (zob. art. 7 ust. 4). Odzwierciedla to brzmienie przepisu zawartego w prawie konsumenckim UE; na mocy art. 3 ust. 1 dyrektywy 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich: "Warunki umowy, które nie były indywidualnie negocjowane, mogą być uznane za nieuczciwe, jeśli stoją w sprzeczności z wymogami dobrej wiary, powodują znaczącą nierównowagę wynikających z umowy, praw i obowiązków stron ze szkodą dla konsumenta".
17 Wśród takich reguł należy wymienić decyzje w sprawie odpowiedniej ochrony danych osobowych w określonych sektorach i na określonych terytoriach, okresowe przeglądy takich decyzji oraz wiążące reguły korporacyjne. Zob. art. 40-45.
18 Artykuł 73.
19 Artykuł 76. Jeżeli chodzi o trudności w dochodzeniu roszczeń związanych z naruszeniami przepisów o ochronie danych, zob. raport Agencji Praw Podstawowych Unii Europejskiej o dostępie do środków prawnych w zakresie ochrony danych osobowych w państwach członkowskich UE z 2013 r.
20 W przepisach UE nacisk kładzie się na samoocenę przedsiębiorstw w zakresie zgodności ich działań z art. 101 zakazującym porozumień antykonkurencyjnych, a na podmiotach zajmujących pozycję dominującą na rynku spoczywa "szczególna odpowiedzialność" za unikanie wszelkich działań, które mogłyby ograniczyć skuteczną konkurencję (pkt 9 wytycznych Komisji 2009/C 45/02); zob. wstępną opinię EIOD w sprawie prywatności i konkurencyjności w erze dużych zbiorów danych z 14.3.2014 r.
21 We wszystkich trzech wersjach rozporządzenia znajdują się odniesienia do "zrozumiałego sposobu i zrozumiałej formy, jasnego i prostego języka" (motyw 57 PE; art. 19 Komisji i Rady), "jasności i jednoznaczności" (motyw 99 PE; art. 10a PE) oraz dostarczenia "jasnych i łatwo zrozumiałych informacji" (art. 10 PE, art. 11 PE), jak też informacji, które są "zwięzłe, przejrzyste, jasne i łatwo dostępne" (motyw 25 PE, Komisji i Rady; art. 11 PE).
22 Z wersji Parlamentu i Rady w dużej mierze usunięto przepisy dotyczące aktów delegowanych. Naszym zdaniem UE mogłaby pójść jeszcze dalej i pozostawić te zagadnienia techniczne niezależnym organom dysponującym wiedzą specjalistyczną.
23 Wersja uwzględniająca nasze zalecenia miałaby około 20 000 słów, podczas gdy średnia długość wersji trzech instytucji wynosi około 28 000 słów.
24 Artykuł 22.
25 Artykuły 31 i 33.
26 Artykuł 39.
27 Artykuł 83. Badania naukowe i archiwizacja nie stanowią same w sobie podstawy prawnej przetwarzania, dlatego zalecamy skreślenie art. 6 ust. 2.
28 Artykuł 83a.
29 Grupa Robocza Art. 29 nakreśliła wizję zarządzania, mechanizmu zgodności i kompleksowej obsługi opartą na zaufaniu do niezależnych organów ochrony danych, która obejmuje trzy warstwy:- poszczególne organy ochrony danych wyposażone w szerokie uprawnienia i zasoby umożliwiające im prowadzenie postępowań w sprawach należących do ich kompetencji,
- skuteczną współpracę między organami ochrony danych z jasnym wskazaniem organu głównego w przypadkach transgranicznych,
- Europejską Radę Ochrony Danych, która musi być autonomiczna, posiadać własną osobowość prawną i dysponować wystarczającymi środkami, a jej członkami muszą być równoprawne organy ochrony danych działające w duchu solidarności, z uprawnieniami do podejmowania wiążących decyzji i wspierane przez podlegający przewodniczącemu Rady sekretariat zapewniający jej obsługę.
30 Zalecamy również doprecyzowanie kompetencji organów nadzoru oraz wyznaczenie organu głównego w przypadkach przetwarzania międzynarodowego przy jednoczesnym zachowaniu zdolności organów nadzoru do zajmowania się przypadkami ściśle lokalnymi. Zalecamy wprowadzenie uproszczonej wersji mechanizmu zgodności zapewniającej większą jasność co do sposobu identyfikacji przypadków, w których organy nadzoru muszą skonsultować się z Europejską Radą Ochrony Danych i w których Rada musi wydać wiążącą decyzję w celu zapewnienia spójnego stosowania rozporządzenia.
31 Komunikat Komisji w sprawie strategii jednolitego rynku cyfrowego dla Europy, COM(2015)192 final; konkluzje Rady Europejskiej z czerwca 2015 r., EUCO 22/15; konkluzje Rady na temat cyfrowej transformacji europejskiego przemysłu, 8993/15.
32 Artykuł 14 lit. h).
33 Artykuł 23.
34 Artykuł 18. Wskazujemy ponadto, że aby było ono skuteczne, prawo do przenoszenia danych musi mieć zastosowanie w szerokim zakresie, nie zaś tylko do operacji przetwarzania danych wykorzystujących dane dostarczone przez osobę, której one dotyczą.
35 Zalecamy na przykład pominięcie takich terminów, jak "w internecie", "w formie pisemnej" i "społeczeństwo informacyjne".
36 Preferowaną przez nas opcją byłoby dokonanie tego przepisem zawartym w ogólnym rozporządzeniu o ochronie danych.
37 Greenleaf, Graham, Global Data Privacy Laws 2015: 109 Countries, with European Laws Now a Minority (30 stycznia 2015 r.); (2015) 133 Privacy Laws & Business International Report, luty 2015; UNSW Law Research Paper No. 2015-21.