(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu)(2016/C 378/09)
(Dz.U.UE C z dnia 14 października 2016 r.)
STRESZCZENIE
W odpowiedzi na wniosek Komisji Europejskiej w niniejszej opinii przedstawiono stanowisko EIOD odnośnie do kluczowych kwestii związanych z przeglądem dyrektywy 2002/58/WE o prywatności i łączności elektronicznej.
W dziedzinie prywatności i łączności elektronicznej potrzebne są nowe ramy prawne, które będą bardziej inteligentne, bardziej precyzyjne i silniejsze: oprócz większej przejrzystości potrzeba także lepszego procesu egzekwowania. Ramy te muszą zapewniać poufność komunikacji, będącą prawem podstawowym zagwarantowanym w art. 7 Karty praw podstawowych Unii Europejskiej. Ponadto niezbędne są również przepisy, które uzupełnią, bądź w razie potrzeby, doprecyzują zabezpieczenia, o których mowa w ogólnym rozporządzeniu o ochronie danych. Należy również utrzymać obecny, wyższy poziom ochrony w sytuacji, gdy w dyrektywie o prywatności i łączności elektronicznej przewidziano bardziej szczegółowe zabezpieczenia niż te zawarte w ogólnym rozporządzeniu o ochronie danych. Definicje znajdujące się w ogólnym rozporządzeniu o ochronie danych, jego terytorialny zakres stosowania, mechanizm współpracy między organami odpowiedzialnymi za egzekwowanie przepisów oraz mechanizm spójności, a także możliwość zapewnienia elastyczności i wskazówek: wszystkie te elementy powinny być dostępne w dziedzinie prywatności i łączności elektronicznej.
Należy rozszerzyć zakres nowych ram prawnych. Muszą one uwzględniać zmiany technologiczne i społeczne oraz zapewniać osobom fizycznym taki sam poziom ochrony w przypadku wszystkich usług równoważnych pod względem funkcjonalnym, niezależnie od tego, czy są one świadczone np. przez tradycyjne firmy telekomunikacyjne, czy też jako usługi telefonii internetowej (VoIP) lub przez zainstalowane na telefonie komórkowym aplikacje do obsługi wiadomości tekstowych. Należy wręcz pójść krok dalej i objąć ochroną nie tylko usługi "równoważne pod względem funkcjonalnym", lecz również usługi oferujące nowe możliwości łączności. Ponadto nowe przepisy powinny nadal w sposób jednoznaczny obejmować łączność maszyna-maszyna w kontekście internetu rzeczy, niezależnie od rodzaju używanej sieci lub usługi łączności. Co się tyczy poufności komunikacji użytkowników, przepisy te powinny również zapewniać jej ochronę we wszystkich publicznie dostępnych sieciach, w tym w przypadku usług Wi-Fi oferowanych w hotelach, kawiarniach, sklepach i na lotniskach, w sieciach udostępnianych pacjentom przez szpitale, czy też studentom przez uczelnie wyższe, a także w hotspotach tworzonych przez administracje publiczne.
Należy zapewnić rzeczywistą możliwość wyrażenia zgody, dając użytkownikom swobodny wybór zgodnie z wymogiem zawartym w ogólnym rozporządzeniu o ochronie danych. Konieczne jest zaprzestanie stosowania tzw. "cookie walls", które skutkują odmową dostępu do danej strony internetowej w przypadku użytkowników niewyrażających zgody na wykorzystanie plików cookie. Poza wyraźnie określonymi wyjątkami (np. narzędzia analityczne administratora) żadna komunikacja nie powinna podlegać śledzeniu ani monitorowaniu bez dobrowolnie wyrażonej zgody, niezależnie od tego, czy ma to miejsce przy użyciu plików cookie, poprzez identyfikację urządzenia czy inne technologie. Użytkownikom należy również zapewnić przyjazne i skuteczne mechanizmy wyrażania i wycofywania zgody z poziomu przeglądarki (bądź innego oprogramowania lub systemu operacyjnego).
W celu lepszej ochrony poufności komunikacji elektronicznej niezbędne jest również utrzymanie i umocnienie obecnie obowiązującego wymogu wyrażenia zgody na przetwarzanie danych dotyczących ruchu i lokalizacji. Należy rozszerzyć zakres tego przepisu, tak aby obejmował on wszystkie podmioty, a nie tylko tradycyjne firmy telekomunikacyjne i dostawców usług internetowych.
Nowe przepisy powinny również w wyraźny sposób umożliwiać użytkownikom korzystanie z szyfrowania end-to-end (bez tzw. "backdoors") w celu ochrony ich komunikacji elektronicznej. Odszyfrowywanie, inżynieria odwrotna lub monitorowanie komunikacji chronionej przez szyfrowanie powinno być zakazane.
Ponadto nowe przepisy dotyczące prywatności i łączności elektronicznej powinny zapewniać ochronę przed niezamówionymi informacjami; należy je zaktualizować oraz umocnić poprzez zawarcie w nich wymogu, zgodnie z którym w przypadku wszystkich rodzajów niezamówionych informacji przesyłanych drogą elektroniczną, niezależnie od zastosowanego w tym celu środka, niezbędna jest uprzednia zgoda odbiorców.
I. WPROWADZENIE I KONTEKST
Niniejsza opinia wstępna (opinia) stanowi odpowiedź na wniosek Komisji Europejskiej (Komisji) o opinię Europejskiego Inspektora Ochrony Danych (EIOD), jako niezależnego organu nadzoru i organu doradczego, w sprawie przeglądu dyrektywy o prywatności i łączności elektronicznej 1 .
Konsultacje z EIOD przeprowadzono równolegle z konsultacjami społecznymi zorganizowanymi przez Komisję, które trwały do dnia 5 lipca 2016 r. 2 . Komisja zwróciła się również z wnioskiem o opinię Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych (Grupy Roboczej Art. 29), do której to opinii EIOD wniósł swój wkład jako członek Grupy 3 .
Niniejsza opinia zawiera wstępne stanowisko EIOD w sprawie przeglądu dyrektywy o prywatności i łączności elektronicznej i skupiono się w niej na tych kwestiach, o które w sposób szczególny wnioskowała Komisja. Opinia ta stanowi również wkład EIOD w proces konsultacji społecznych i jako taka może również odnosić się do innych kwestii, których Komisja nie wyszczególniła w swoim wniosku o opinię. Możemy również służyć radą na kolejnych etapach procedury ustawodawczej.
Przegląd dyrektywy o prywatności i łączności elektronicznej jest jedną z kluczowych inicjatyw w ramach strategii jednolitego rynku cyfrowego 4 ; celem tej inicjatywy jest zwiększenie zaufania do usług cyfrowych w UE i bezpieczeństwa tych usług, głównie poprzez zapewnienie wysokiego poziomu ochrony obywateli i równych warunków działania wszystkim uczestnikom rynku w całej UE.
Celem przeglądu jest unowocześnienie i aktualizacja dyrektywy o prywatności i łączności elektronicznej, co stanowi element szerzej zakrojonych starań o zapewnienie spójnych i zharmonizowanych ram prawnych służących ochronie danych w Europie. Dyrektywa o prywatności i łączności elektronicznej dookreśla i uzupełnia dyrektywę 95/46/WE 5 , która zostanie zastąpiona przyjętym niedawno ogólnym rozporządzeniem o ochronie danych 6 . W dyrektywie o prywatności i łączności elektronicznej zawarto szczególne przepisy, których głównym celem jest zapewnienie poufności i bezpieczeństwa łączności elektronicznej. Chroni ona również uzasadnione interesy abonentów będących osobami prawnymi.
XI. WNIOSKI
Wraz ze zwiększoną rolą łączności elektronicznej w naszym społeczeństwie i gospodarce wzrasta również znaczenie poufności komunikacji, o której mowa w art. 7 Karty praw podstawowych Unii Europejskiej. Zabezpieczenia przedstawione w niniejszej opinii odegrają kluczową rolę w zapewnieniu skutecznej realizacji długoterminowych celów strategicznych określonych przez Komisję w strategii jednolitego rynku cyfrowego.
Sporządzono w Brukseli dnia 22 lipca 2016 r.
|
Giovanni BUTTARELLI |
|
Europejski Inspektor Ochrony Danych |
|
|
