(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)(2017/C 164/02)
(Dz.U.UE C z dnia 24 maja 2017 r.)
Unia Europejska ogłasza nową generację norm w zakresie ochrony danych. Przyjęcie prawie rok temu ogólnego rozporządzenia o ochronie danych i dyrektywy dotyczącej ochrony danych w obszarze policji i wymiaru sprawiedliwości stanowi najbardziej ambitne przedsięwzięcie prawodawcy Unii zrealizowane do tej pory w celu zabezpieczenia praw podstawowych osoby fizycznej w epoce cyfrowej. Przyszedł czas, aby instytucje UE same dawały przykład poprzez stosowanie przepisów, które je obowiązują jako administratorów danych i przetwarzających dane. W ciągu ostatnich osiemnastu miesięcy EIOD prowadził dialog z instytucjami UE na najwyższym poziomie, aby przygotować je na nowe wyzwania związane z przestrzeganiem przepisów o ochronie danych, podkreślając nową zasadę rozliczalności za sposób przetwarzania danych. Celem niniejszej opinii jest podzielenie się przez EIOD nabytym w ciągu dwunastu lat doświadczeniem w dziedzinie niezależnego nadzoru, doradztwa w zakresie polityki i promowania, aby zaproponować ulepszenia proponowanego rozporządzenia dotyczącego przetwarzania danych osobowych przez instytucje i organy UE.
Rozporządzenie nr 45/2001 było przewodnikiem określającym bezpośrednie obowiązki administratorów danych, prawa osób, których dane dotyczą, i wyraźnie niezależny organ nadzorczy. Zadaniem UE jest zapewnienie zgodności z ogólnym rozporządzeniem o ochronie danych poprzez położenie nacisku na rozliczalność i gwarancje dla osób fizycznych, a nie na procedury. Pewne rozbieżności w przepisach regulujących przetwarzanie danych przez instytucje UE są uzasadnione, podobnie jak w treści ogólnego rozporządzenia o ochronie danych zawarto pewnie odstępstwa dotyczące sektora publicznego, powinny być one jednak ograniczone do minimum.
Z punktu widzenia osoby fizycznej ważne jest jednak, aby wspólne zasady określone unijnymi ramami dotyczącymi ochrony danych stosowano w sposób spójny niezależnie od tego, kto jest administratorem danych. Ważne jest również, aby całe ramy obowiązywały w tym samym czasie, mianowicie w maju 2018 r.; jest to termin pełnego wdrożenia ogólnego rozporządzenia o ochronie danych.
Komisja zwróciła się do EIOD z wnioskiem o wydanie opinii w sprawie wniosku zgodnie ze stałym porozumieniem zawartym pomiędzy tymi instytucjami. Europejski Inspektor Ochrony Danych jest zdania, że Komisja osiągnęła ogólną równowagę pomiędzy różnorodnymi interesami. W niniejszej opinii określono kilka obszarów wniosku, które mogłyby zostać ulepszone. Europejski Inspektor Ochrony Danych opowiada się za wprowadzeniem ulepszeń do treści proponowanego rozporządzenia, w szczególności odnośnie do ograniczeń praw osób, których dane dotyczą, i przepisu umożliwiającego instytucjom UE stosowanie w pewnych kontekstach mechanizmów certyfikacji. W odniesieniu do zadań i praw EIOD jako niezależnego organu wydaje się, że we wniosku zachowano rozsądną równowagę i odzwierciedlono zwykłe funkcje niezależnego organu ochrony danych wynikające z Karty praw podstawowych oraz potwierdzone w oparciu o najnowsze orzecznictwo Trybunału Sprawiedliwości, jako organu przestrzegania prawa, organu rozpatrywania skarg i doradcy prawodawcy w zakresie polityki mającej wpływ na ochronę danych i prywatności.
Europejski Inspektor Ochrony Danych zachęca prawodawcę Unii do osiągnięcia porozumienia w sprawie wniosku tak szybko, jak to będzie możliwe, aby umożliwić instytucjom UE wykorzystanie rozsądnego okresu przejściowego przed wejściem w życie nowego rozporządzenia.
Bruksela, dnia 15 marca 2017 r.
|
Giovanni BUTTARELLI |
|
Europejski Inspektor Ochrony Danych |
1 COM(2017) 8 final; 2017/0002 (COD) (later, "the Proposal").
2 Article 286 EC rendered the (then) Community rules on data protection applicable to EU institutions and bodies and mandated the creation of a dedicated independent supervisory authority (later, the EDPS).
3 Case C-518/07 Commission v Germany, EU:C:2010:125; Case C-614/10 Commission v Austria, EU:C:2012:631; Case C-288/12 Commission v Hungary, EU:C:2014:237; Case C-362/14 Maximilian Schrems v Data Protection Commissioner, ECLI:EU:C:2015:650.
4 Case C-518/07 Commission v Germany, supra para. 19.
5 Case C-288/12 Commission v Hungary, supra para. 53.
6 See supra note 3.
7 Decision No 1247/2002/EC of the European Parliament, of the Council and of the Commission of 1 July 2002 on the regulations and general conditions governing the performance of the European Data Protection Supervisor's duties, OJ L 183, 12.7.2002, p. 1.
8 Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), COM(2017) 10 final, 2017/0003 (COD).
9 See Article 98 and recital 17 of the GDPR.
10 See e.g. the EDPS Opinion of 7 March 2012 on the data protection reform package, OJ C 192, 30.6.2012, p. 7.
11 EDPS Opinion of 7 March 2012 on the data protection reform package, p. 6.
12 See in particular Article 6(3) and recital 10 to the GDPR: "Regarding the processing of personal data for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Member States should be allowed to maintain or introduce national provisions to further specify the application of the rules of this Regulation. In conjunction with the general and horizontal law on data protection implementing Directive 95/46/EC, Member States have several sector-specific laws in areas that need more specific provisions. This Regulation also provides a margin of manoeuvre for Member States to specify its rules, including for the processing of special categories of personal data ('sensitive data'). To that extent, this Regulation does not exclude Member State law that sets out the circumstances for specific processing situations, including determining more precisely the conditions under which the processing of personal data is lawful."
13 E.g. last sentence of Article 6(1), Article 20(5), Article 27, Article 37, Article 41 or Article 46(2)(a) of the GDPR.
14 See in particular the EDPS Opinion of 14 January 2011 on the Communication "A comprehensive approach on personal data in the European Union", OJ L 181, 22.6.2011, p. 1.
15 See supra note 5.
16 Proposal for a Regulation of the European Parliament and of the Council on the European Union Agency for Law Enforcement Cooperation and Training (Europol) and repealing Decisions 2009/371/JHA and 2005/681/JHA, COM(2013) 173 final, now adopted as Regulation 2016/794 and published in OJ L 135 24.05.2016, p. 53; Proposal for a Council Regulation on the establishment of the European Public Prosecutor's Office, COM(2013) 534 final. See also the Council General approach [First reading] on the Proposal for a Regulation on the European Union Agency for Criminal Justice Cooperation (Eurojust) available at: http://data.consilium.europa.eu/doc/document/ST-6643-2015-INIT/en/pdf.
19 Regulation 45/2001 already today applies to, inter alia, the European Defence Agency, European Union Institute for Security Studies, and the European Union Satellite Centre.
20 Europol, Eurojust, EPPO, supra note 21.
21 Directive 2002/58/EC of the European Parliament and of theCouncil of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications, OJ L 201, 31.7.2002, p. 37, as amended (later, "the ePrivacy Directive").
22 Recitals 10-12 ePrivacy Directive.
