(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)(2017/C 234/03)
(Dz.U.UE C z dnia 20 lipca 2017 r.)
W niniejszej opinii przedstawiono stanowisko EIOD na temat wniosku dotyczącego rozporządzenia w sprawie prywatności i łączności elektronicznej, które ma uchylić i zastąpić dyrektywę o prywatności i łączności elektronicznej.
Bez rozporządzenia w sprawie prywatności i łączności elektronicznej unijne ramy w zakresie prywatności i ochrony danych byłyby niekompletne. Chociaż ogólne rozporządzenie o ochronie danych jest wspaniałym osiągnięciem, potrzebujemy konkretnych narzędzi prawnych, aby chronić prawo do życia prywatnego gwarantowane art. 7 Karty praw podstawowych UE, którego kluczowym elementem jest poufność komunikacji. Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje zatem i wspiera wniosek, który ma na celu właśnie powyższe. Europejski Inspektor Ochrony Danych popiera również wybór instrumentu prawnego, mianowicie rozporządzenia, które będzie stosowane bezpośrednio i przyczyni się do większego stopnia ujednolicenia i spójności. Z zadowoleniem przyjmuje ambicję zapewnienia wysokiego poziomu ochrony odnośnie do treści i metadanych oraz wspiera cel rozszerzenia obowiązków w zakresie poufności na szerszy zakres usług, w tym tak zwanych usług OTT, co odzwierciedla postęp technologii. Uważa również, iż decyzja o nadaniu uprawnień wykonawczych jedynie organom ochrony danych oraz dostępność mechanizmów współpracy i spójności w przyszłej Europejskiej Radzie Ochrony Danych przyczyni się do spójniejszego i skuteczniejszego wykonywania przepisów w całej Unii.
Jednocześnie EIOD ma pewne obawy co do tego, czy wniosek w obecnym brzmieniu rzeczywiście może zagwarantować realizację obietnicy zapewnienia wysokiego poziomu ochrony prywatności w łączności elektronicznej. W dziedzinie prywatności i łączności elektronicznej potrzebne są nowe ramy prawne, przy czym muszą być one inteligentniejsze, precyzyjniejsze i silniejsze. Nadal jest wiele do zrobienia: złożoność zasad przedstawionych we wniosku zniechęca. Komunikaty rozkłada się na metadane, dane dotyczące treści, dane emitowane przez urządzenie końcowe. Każdemu z tych elementów przypisano inny poziom poufności i dla każdego przewidziano odrębne wyjątki. Taka złożoność może stwarzać ryzyko - prawdopodobnie niezamierzonych - luk w ochronie.
Większość definicji, na których opiera się rozporządzenie, będzie przedmiotem negocjacji i decyzji podejmowanych w kontekście innego instrumentu prawnego - europejskiego kodeksu łączności elektronicznej. Nie istnieje dzisiaj prawne uzasadnienie dla wiązania tych dwóch instrumentów w tak ścisły sposób, a definicje ukierunkowane na konkurencję i rynek zamieszczone w kodeksie nie są adekwatne do celu w kontekście praw podstawowych. Europejski Inspektor Ochrony Danych opowiada się zatem za zawarciem zestawu potrzebnych definicji w samym rozporządzeniu w sprawie prywatności i łączności elektronicznej z uwzględnieniem jego zakładanego zakresu i zakładanych celów.
Musimy również zwrócić szczególną uwagę na kwestię przetwarzania danych pochodzących z łączności elektronicznej przez administratorów danych innych niż dostawcy usług łączności elektronicznej. Dodatkowe środki ochrony proponowane odnośnie do danych pochodzących z łączności byłyby pozbawione sensu, jeżeli można by je było łatwo obejść - przykładowo - poprzez przesyłanie danych do osób trzecich. Należy również zapewnić, aby zasady w zakresie prywatności elektronicznej nie dopuszczały możliwości stosowania niższej normy ochrony niż ta przewidziana w ogólnym rozporządzeniu o ochronie danych. Należy przykładowo zapewnić rzeczywistą możliwość wyrażenia zgody, dając użytkownikom swobodny wybór zgodnie z wymogiem zawartym w ogólnym rozporządzeniu o ochronie danych. Konieczne jest zaprzestanie stosowania tak zwanych "tracking walls". Ponadto w ramach nowych zasad konieczne jest ustanowienie rygorystycznych wymogów co do uwzględnienia ochrony prywatności już w fazie projektowania oraz domyślnej ochrony prywatności. Co więcej, w niniejszej opinii EIOD porusza również inne istotne kwestie, w tym ograniczenia zakresu praw.
Sporządzono w Brukseli dnia 24 kwietnia 2017 r.
|
Giovanni BUTTARELLI |
|
|
|
Europejski Inspektor Ochrony Danych |
1 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej), COM(2017) 10 final, 2017/0003 (COD).
2 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz.U. L 201 z 31.7.2002, s. 37).
3 Opinia 1/2017 Grupy Roboczej Art. 29 w sprawie proponowanego rozporządzenia w sprawie prywatności i łączności elektronicznej (2002/58/WE) (WP247) przyjęta w dniu 4 kwietnia 2017 r. Zob. także opinia 3/2016 Grupy Roboczej Art. 29 w sprawie oceny i przeglądu dyrektywy o prywatności i łączności elektronicznej (2002/58/WE) (WP240) przyjęta w dniu 19 lipca 2016 r.
6 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).
7 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
8 Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady ustanawiającej europejski kodeks łączności elektronicznej, COM(2016) 590 final/2, 2016/0288(COD) z dnia 12 października 2016 r.
