SPRAWOZDANIE w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej

22.6.2011 - (2011/2025(INI))

Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
Sprawozdawca: Axel Voss


Procedura : 2011/2025(INI)
Przebieg prac nad dokumentem podczas sesji
Dokument w ramach procedury :  
A7-0244/2011
Teksty złożone :
A7-0244/2011
Debaty :
Teksty przyjęte :

PROJEKT REZOLUCJI PARLAMENTU EUROPEJSKIEGO

w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej

(2011/2025(INI))

Parlament Europejski,

–   uwzględniając Traktat o funkcjonowaniu UE, a w szczególności jego art. 16,

–   uwzględniając Kartę praw podstawowych Unii Europejskiej, zwłaszcza jej art. 7 i 8, oraz europejską Konwencję o ochronie praw człowieka i podstawowych wolności (EKPC), zwłaszcza jej art. 8 dotyczący poszanowania życia prywatnego i rodzinnego oraz art. 13 dotyczący skutecznego środka odwoławczego,

–   uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych[1],

–   uwzględniając decyzję ramową Rady 2008/977/WSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych[2],

–   uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych[3],

–   uwzględniając dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)[4],

–   uwzględniając Konwencję nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, której rozwinięciem jest dyrektywa nr 95/46/WE, jak i jej Protokół dodatkowy z dnia 8 listopada 2001 r. dotyczący organów nadzorczych oraz transgranicznych przepływów danych, uwzględniając też rekomendacje Komitetu Ministrów dla państw członkowskich, w szczególności rekomendację nr R(87) 15 dotyczącą ochrony danych osobowych wykorzystywanych w sektorze policji oraz rekomendację CM/Rec(2010)13 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych w kontekście profilowania,

–   uwzględniając wytyczne dotyczące regulacji odnoszących się do elektronicznych banków danych ogłoszone przez Zgromadzenie Ogólne ONZ w 1990 r.,

–   uwzględniając komunikat Komisji dla Parlamentu, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów pod tytułem „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej” (COM(2010)0609),

–   uwzględniając konkluzje Rady dotyczące komunikatu Komisji zatytułowanego „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej”[5],

–   uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 14 stycznia 2011 r. dotyczącą komunikatu Komisji zatytułowanego „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej”,

–   uwzględniając wspólny wkład grupy roboczej art. 29 ds. ochrony danych oraz grupy roboczej ds. policji i wymiaru sprawiedliwości dotyczący konsultacji Komisji Europejskiej w sprawie ram prawnych odnoszących się do podstawowego prawa ochrony danych osobowych, zatytułowany „Przyszłość prywatności”[6],

–   uwzględniając opinię nr 8/10 grupy roboczej art. 29 ds. ochrony danych, odnoszącą się do stosowanego prawa[7],

–   uwzględniając swoje poprzednie rezolucje w sprawie ochrony danych, a także rezolucję w sprawie programu sztokholmskiego[8],

–   uwzględniając art. 48 Regulaminu,

–   uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinie Komisji Przemysłu, Badań Naukowych i Energii, Komisji Rynku Wewnętrznego i Ochrony Konsumentów, Komisji Kultury i Edukacji oraz Komisji Prawnej (A7-0244/2011),

A.  mając na uwadze, że dyrektywa w sprawie ochrony danych 95/46/WE i dyrektywa pakietu telekomunikacyjnego UE 2009/140/WE umożliwiają swobodny przepływ danych osobowych na rynku wewnętrznym,

B.   mając na uwadze, że przepisy o ochronie danych stały się w UE, państwach członkowskich i poza ich granicami tradycją prawną, którą należy podtrzymywać i dalej rozwijać,

C.  mając na uwadze, że choć podstawowe założenia dyrektywy 1995/46/WE są nadal aktualne, widać różne podejścia przyjmowane przy ich wdrażaniu i egzekwowaniu w państwach członkowskich; mając na uwadze, że UE musi posiadać – po kompleksowej ocenie oddziaływania – całościowe, spójne, nowoczesne i wysokiego szczebla ramy regulacyjne umożliwiające skuteczną ochronę podstawowych praw obywateli, w szczególności ich prywatności, w odniesieniu do jakiegokolwiek przetwarzania danych osobowych jednostek w UE i poza jej granicami w każdych okolicznościach, w celu sprostania licznym wyzwaniom w zakresie ochrony danych, na przykład wyzwaniom spowodowanym globalizacją, rozwojem technologicznym, coraz popularniejszą aktywnością online, zastosowaniami związanymi z coraz szerszymi rodzajami działalności i obawami związanymi z bezpieczeństwem (tj. walką z terroryzmem); mając na uwadze, że takie ramy ochrony danych osobowych mogą zwiększyć pewność prawną, zredukować do minimum obciążenie administracyjne, zagwarantować równe szanse wszystkim podmiotom gospodarczym, stymulować wspólny rynek cyfrowy oraz zwiększyć bezpieczeństwo i zaufanie do zachowania administratorów danych i organów wykonawczych,

D.  mając na uwadze, że naruszanie przepisów o ochronie danych może spowodować poważne zagrożenie praw podstawowych przysługujących jednostkom i wartości państw członkowskich, do tego stopnia, że Unia i państwa członkowskie będą zobowiązane do podjęcia skutecznych działań przeciwko takim naruszeniom; mając na uwadze, że takie naruszanie prowadzi do braku zaufania obywateli, co z kolei osłabia celowe wykorzystywanie nowych technologii; mając też na uwadze, że niewłaściwe wykorzystanie i nadużywanie danych osobowych powinno w związku z tym podlegać właściwym, surowym i odstraszającym sankcjom, w tym sankcjom karnym,

E.   mając na uwadze, że inne właściwe prawa podstawowe zapisane w Karcie praw podstawowych oraz inne cele wyznaczone w Traktatach, takie jak prawo do wolności wypowiedzi i informacji oraz zasada przejrzystości, muszą zostać w pełni uwzględnione w działaniach na rzecz zagwarantowania podstawowego prawa do ochrony danych osobowych,

F.   mając na uwadze, że nowa podstawa prawna z art. 16 TFUE, a także uznanie prawa do ochrony danych osobowych z art. 8 Karty praw podstawowych oraz prawa do poszanowania życia prywatnego i rodzinnego z art. 7 Karty praw podstawowych za prawa autonomiczne koniecznie wymaga całościowego podejścia do ochrony danych we wszystkich obszarach, w których przetwarzane są dane osobowe, w tym w dziedzinie współpracy policyjnej i sądowej w sprawach karnych, w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa (WPZiB) – bez uszczerbku dla konkretnych przepisów określonych w art. 39 TUE – oraz w dziedzinie przetwarzania danych przez instytucje i organy UE,

G.  mając na uwadze, że podczas rozpatrywania rozwiązań legislacyjnych należy koniecznie uwzględnić szereg istotnych elementów, takich jak skuteczna i efektywna ochrona, udzielana w każdych okolicznościach i niezależnie od preferencji politycznych w określonym przedziale czasu; mając na uwadze, że ramy regulacyjne muszą charakteryzować się długookresową stabilnością, a wprowadzanie ograniczeń w wykonywaniu prawa do ochrony – jeżeli okaże się konieczne – musi być sporadyczne, zgodne z prawem, ściśle konieczne i proporcjonalne oraz należycie uzasadnione i nigdy nie może wpływać na zasadnicze elementy samego prawa[9],

H.  mając na uwadze, że gromadzenie, analiza, wymiana, niewłaściwe wykorzystanie danych oraz niebezpieczeństwo „profilowania”, możliwe dzięki rozwojowi technologicznemu, osiągnęły bezprecedensowe rozmiary i w związku z tym wymagają surowych przepisów chroniących dane, takich jak określenie prawa właściwego i zdefiniowanie obowiązków wszystkich zainteresowanych stron jeśli chodzi o stosowanie unijnego prawodawstwa w zakresie ochrony danych; mając na uwadze, że przedsiębiorstwa i sektor handlowy coraz częściej wykorzystują karty stałego klienta (karty do klubów, karty rabatowe, lojalnościowe itp.), które służą lub mogą służyć do tworzenia profili klientów,

I.    mając na uwadze, że obywatele nie dokonują zakupów w internecie tak samo bezpiecznie jak poza nim, z powodu obaw o kradzież tożsamości i braku przejrzystości co do sposobu, w jaki ich dane osobowe są przetwarzane i wykorzystywane,

J.    mając na uwadze, że technologia umożliwia w coraz większym stopniu, niezależnie od miejsca i czasu, tworzenie, przesyłanie, przetwarzanie i magazynowanie danych osobowych w wielu różnych formach, oraz mając na uwadze, że w tym kontekście sprawą najwyższej wagi jest, by osoby, których dane dotyczą, miały rzeczywistą kontrolę nad własnymi danymi,

K.  mając na uwadze, że podstawowe prawo do ochrony danych oraz prywatności obejmuje ochronę osób przed ewentualną inwigilacją oraz nadużywaniem ich danych przez same państwo, a także podmioty prywatne,

L.   mając na uwadze, że zapewnienie prywatności i bezpieczeństwa jest możliwe i że obydwie kwestie mają dla obywateli kluczowe znaczenie, co oznacza, że nie trzeba wybierać pomiędzy prywatnością a bezpieczeństwem,

M.  mając na uwadze, że na szczególną ochronę zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i praw w związku z przetwarzaniem danych osobowych; mając na uwadze, że młodzi ludzie ujawniają swoje dane osobowe w różnego rodzaju sieciach społecznych, które mnożą się coraz szybciej w internecie,

N.  mając na uwadze, że skuteczna kontrola przez osoby, których dane dotyczą, oraz krajowe organy ochrony danych wymaga przejrzystego zachowania administratorów danych,

O.  mając na uwadze, że nie wszyscy administratorzy danych prowadzą działalność internetową i że w związku z tym nowe przepisy o ochronie danych muszą obejmować środowisko zarówno internetowe, jak i pozainternetowe, z jednoczesnym uwzględnieniem ewentualnych różnic pomiędzy tymi środowiskami,

P.   mając na uwadze, że krajowe organy ochrony danych podlegają przepisom, które znacznie różnią się w 27 państwach członkowskich, w szczególności w odniesieniu do ich statusu, zasobów i kompetencji,

Q.  mając na uwadze, że silny europejski i międzynarodowy system ochrony danych jest niezbędną podstawą dla transgranicznego przepływu danych osobowych, mając też na uwadze, że obecne różnice w prawodawstwach z zakresu ochrony danych oraz ich egzekwowania oddziałują na ochronę praw podstawowych i wolności obywatelskich, pewność prawną i przejrzystość w stosunkach umownych, rozwój handlu elektronicznego i e-biznesu, zaufanie konsumentów do systemu, transakcje ponadgraniczne, globalną gospodarkę oraz jednolity rynek europejski; mając w tym kontekście na uwadze, że wymiana danych jest istotna z perspektywy umożliwienia i zapewnienia bezpieczeństwa publicznego na szczeblu lokalnym i międzynarodowym; mając na uwadze, że konieczność, proporcjonalność, celowość, nadzór i adekwatność są warunkami wstępnymi takiej wymiany,

R.   mając na uwadze, że obecne przepisy i warunki regulujące przekazywanie danych z UE do państw trzecich doprowadziły do stosowania różnych podejść i praktyk w różnych państwach członkowskich; mając na uwadze, że konieczne jest, by prawa podmiotów, których dane dotyczą, były w pełni szanowane w krajach trzecich, do których dane osobowe są przekazywane i w których się je przetwarza,

Pełne zaangażowanie charakteryzujące się całościowym podejściem

1.   bardzo przychylnie odnosi się do komunikatu Komisji zatytułowanego „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej” oraz przyjętego w nim podejścia, skupiającego się na wzmocnieniu istniejących rozwiązań, przedstawieniu nowych zasad i mechanizmów oraz zapewnieniu spójności i wysokich standardów ochrony danych w kontekście zapewnionym wejściem w życie Traktatu z Lizbony (art. 16 TFUE), a obecnie także prawnie wiążącą Karta praw podstawowych, w szczególności jej art. 8;

2.   podkreśla, że normy i zasady określone w dyrektywie 95/46/WE stanowią idealny punkt wyjścia i należy dalej nad nimi pracować, rozszerzać je i wdrażać, czyniąc z nich element nowoczesnego prawa ochrony danych;

3.   podkreśla znaczenie art. 9 dyrektywy 95/46/WE, która zobowiązuje państwa członkowskie do przedstawienia odstępstw od przepisów o ochronie danych w sytuacjach, w których dane osobowe są wykorzystywane wyłącznie do celów dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego; wzywa w tym kontekście Komisję do zagwarantowania, że odstępstwa te zostaną zachowane i że podjęte zostaną wszelkie starania w celu oceny potrzeby zwiększenia zakresu tych odstępstw w świetle wszelkich nowych przepisów, tak by chronić wolność prasy;

4.   podkreśla, że podejście neutralne technologicznie, określone w dyrektywie 95/46/WE, należy zachować jako zasadę opracowywania nowych ram;

5.   uznaje, że rozwój technologiczny z jednej strony przyczynił się do wystąpienia nowych zagrożeń dla ochrony danych osobowych, zaś z drugiej strony doprowadził do znacznego wzrostu wykorzystania technologii informacyjnych w celach związanych z codziennością i zazwyczaj nieszkodliwych oraz że rozwój ten oznacza, że konieczne jest przeprowadzenie szczegółowej oceny obecnie obowiązujących przepisów o ochronie danych w celu zapewnienia, że przepisy te (i) nadal będą gwarantowały wysoki poziom ochrony, (ii) nadal będą sprzyjały osiągnięciu równowagi pomiędzy prawem do ochrony danych osobowych a prawem do wolności wypowiedzi i informacji oraz (iii) nie będą niepotrzebnie utrudniać codziennego przetwarzania danych osobowych, które zazwyczaj jest nieszkodliwe;

6.   uważa, że niezbędne jest rozszerzenie stosowania ogólnych przepisów o ochronie danych na obszar współpracy policyjnej i wymiarów sprawiedliwości, w tym przetwarzanie danych na szczeblu krajowym, ze szczególnym uwzględnieniem tendencji systematycznego ponownego wykorzystywania danych osobowych w sektorze prywatnym na potrzeby egzekwowania prawa, zapewniając równocześnie, w razie absolutnej konieczności oraz tam, gdzie to stosowne w społeczeństwie demokratycznym, ściśle dostosowane i zharmonizowane ograniczenia dotyczące niektórych praw do ochrony danych obywateli;

7.   podkreśla potrzebę ujęcia przetwarzania danych przez instytucje i organy Unii Europejskiej, uregulowanego na mocy rozporządzenia (WE) nr 45/2001, w zakresie nowych ram;

8.   uznaje, że może zaistnieć potrzeba zastosowania dodatkowych i ulepszonych środków w celu określenia, w jaki sposób ogólne zasady określone wszechstronnymi ramami mają zastosowanie do działań i przetwarzania danych w konkretnych sektorach, tak jak miało to już miejsce w przypadku dyrektywy o prywatności elektronicznej, lecz nalega, by takie przepisy sektorowe w żadnym wypadku nie zmniejszały poziomu ochrony przewidzianej w prawodawstwie ramowym, lecz by określały szczegółowo wyjątkowe, konieczne, uzasadnione i ściśle dostosowane odstępstwa od ogólnych zasad dotyczących ochrony danych;

9.   wzywa Komisję do zapewnienia, że obecny przegląd prawodawstwa UE z zakresu ochrony danych umożliwi:

      – pełną harmonizację na najwyższym szczeblu zapewniającą pewność prawa oraz jednolity i wysoki standard ochrony jednostek w każdych okolicznościach,

      – dalsze doprecyzowanie zasad dotyczących prawa właściwego w celu zapewnienia jednolitego poziomu ochrony jednostkom niezależnie od geograficznej lokalizacji administratora danych, również wtedy, gdy konieczne jest egzekwowanie zasad ochrony danych przez władze bądź na drodze sądowej;

10. jest zdania, że zmieniony system ochrony danych, przy jednoczesnym pełnym egzekwowaniu praw do prywatności i ochrony danych, powinien ograniczyć do minimum obciążenie biurokratyczne i finansowe oraz zaoferować instrumenty, które umożliwiają funkcjonowanie jako przedsiębiorców w związkach postrzeganych jako całość, a nie jako różnego rodzaju przedsiębiorstwa jednoosobowe; zachęca Komisję do przeprowadzenia ocen wpływu i dokonania szczegółowej oceny kosztów związanych z przedsięwzięciem nowych środków;

Wzmocnienie praw jednostki

11. wzywa Komisję do wzmocnienia obowiązujących zasad i założeń, takich jak przejrzystość, minimalizacja danych i celowość, świadoma, uprzednia i wyraźna zgoda, zawiadamianie o naruszeniu ochrony danych oraz prawa przysługujące osobom, których dane dotyczą, jak określono w dyrektywie 95/46/WE, przez co poprawi się ich wprowadzenie w życie w państwach członkowskich, w szczególności w odniesieniu do „globalnego środowiska internetowego”;

12. podkreśla fakt, że zgodę należy uznać za ważną wyłącznie wówczas, gdy jest jednoznaczna, świadoma, udzielona dobrowolnie, konkretna i wyraźna, oraz to, że należy wprowadzić w życie odpowiednie mechanizmy rejestracji zgody użytkowników lub jej cofnięcia;

13. zwraca uwagę na to, że dobrowolna zgoda nie może być wydawana w odniesieniu do umów o pracę;

14. wyraża zaniepokojenie w odniesieniu do nadużyć związanych z internetową reklamą behawioralną i przypomina, że dyrektywa w sprawie prywatności i łączności elektronicznej nakłada obowiązek wyraźnego i uprzedniego przyzwolenia osoby, której to dotyczy, na przesyłanie jej plików typu cookie oraz obserwowanie jej późniejszego zachowania w sieci w celu przesyłania jej spersonalizowanych ogłoszeń;

15. całkowicie popiera wprowadzenie w życie ogólnej zasady przejrzystości, a także wykorzystywanie technologii zwiększających przejrzystość oraz opracowywanie standardowych oświadczeń o ochronie prywatności, umożliwiających jednostkom sprawowanie kontroli nad danymi, które ich dotyczą; podkreśla, że informacja dotycząca przetwarzania danych musi być dostępna w jasnym i prostym języku oraz w sposób łatwo zrozumiały i dostępny.

16. podkreśla też znaczenie poprawy środków egzekwowania i świadomości prawa dostępu do danych, ich prostowania, likwidacji oraz zablokowania, a także znaczenie szczegółowego wyjaśnienia i skodyfikowania „prawa do zostania zapomnianym”[10] oraz umożliwienia przenoszalności danych[11], przy jednoczesnym zapewnieniu pełnego rozwoju i wdrożenia możliwości technicznych i organizacyjnych na potrzeby wykonania tych praw; podkreśla, że jednostki muszą mieć wystarczającą kontrolę nad swymi danymi online, by móc w odpowiedzialny sposób korzystać z internetu;

17. podkreśla, że obywatele muszą być w stanie bezpłatnie korzystać ze swych praw do danych; wzywa przedsiębiorstwa do powstrzymania się od wszelkich prób stawiania zbytecznych przeszkód w korzystaniu z prawa do dostępu, zmiany lub usuwania danych osobowych; podkreśla, że osoba, której dane dotyczą, musi w każdym momencie móc dowiedzieć się, które dane są przechowywane przez kogo, kiedy, w jakim celu, na jaki okres oraz w jaki sposób są one przetwarzane; podkreśla, że osoby, których dane dotyczą, muszą mieć możliwość likwidacji danych, ich zmiany lub zablokowania w sposób niebiurokratyczny oraz że muszą być poinformowane o każdym przypadku niewłaściwego wykorzystania danych lub ich naruszenia; domaga się również, aby dane musiały być ujawniane na żądanie zainteresowanej osoby oraz usuwane najpóźniej z chwilą, gdy osoba ta o to wystąpi; podkreśla konieczność jasnego komunikowania osobom, których dotyczą dane, poziomu ochrony danych w krajach trzecich; podkreśla, że prawo dostępu obejmuje nie tylko pełny dostęp do przetworzonych danych dotyczących własnej osoby, łącznie ze źródłem tych danych i ich odbiorcami, lecz również zrozumiałe informacje na temat logicznego udziału we wszelkich procesach automatycznego przetwarzania danych; podkreśla, że przetwarzanie automatyczne będzie stawało się coraz to ważniejsze w związku z profilowaniem i eksploracją danych;

18. zwraca uwagę, że tworzenie profili to jedna z głównych tendencji w świecie cyfrowym, ze względu na rosnące znaczenie sieci społecznościowych oraz zintegrowanych modeli przedsiębiorstw internetowych; wzywa zatem Komisję do włączenia przepisów dotyczących tworzenia profili, a także do jasnego zdefiniowania pojęć „profilu” i „tworzenia profilu”;

19. podkreśla potrzebę zwiększenia obowiązków administratorów danych związanych z udzielaniem informacji osobom, których dane dotyczą, i przychylnie odnosi się do faktu, że w komunikacie skupiono się na działaniach uświadamiających skierowanych do ogółu społeczeństwa, a konkretniej do młodych ludzi; podkreśla konieczność szczególnego traktowania osób podatnych na zagrożenia, zwłaszcza dzieci i osób starszych; zachęca różne strony do podejmowania takich działań uświadamiających i popiera wniosek Komisji dotyczący współfinansowania z budżetu Unii środków uświadamiających dotyczących ochrony danych; proponuje skuteczne rozpowszechnianie na szczeblu państw członkowskich informacji na temat praw i obowiązków osób fizycznych i przedsiębiorstw w zakresie zbierania, przetwarzania, przechowywania i przesyłania danych osobowych;

20. przypomina o konieczności zapewnienia specjalnej ochrony osobom znajdującym się w trudnej sytuacji, a w szczególności dzieciom, między innymi poprzez zapewnienie wysokiego poziomu ochrony danych jako standardowego wymogu oraz wprowadzenie właściwych dostosowanych środków w celu ochrony ich danych osobowych;

21. podkreśla potrzebę opracowania takiego prawodawstwa z zakresu ochrony danych, które uwzględniałoby szczególną potrzebę ochrony dzieci i małoletnich oraz podkreśla, że umiejętność korzystania z mediów musi stać się elementem edukacji formalnej, tak aby nauczyć dzieci i małoletnich odpowiedzialnego funkcjonowania w środowisku internetowym; w tym celu należy zwrócić szczególną uwagę na przepisy odnoszące się do gromadzenia i dalszego przetwarzania danych dzieci, wzmocnienie zasady celowości w odniesieniu do danych dzieci oraz sposobów pozyskiwania zgody dzieci, a także na ochronę przed reklamą behawioralną[12];

22. popiera dalsze wyjaśnienia i wzmocnienie gwarancji dotyczących przetwarzania danych szczególnie chronionych i wzywa do zastanowienia się nad potrzebą uwzględnienia nowych kategorii, takich jak dane genetyczne i biometryczne, zwłaszcza w kontekście zmian technologicznych (np. „przetwarzanie w chmurze”) i społecznych;

23. podkreśla, że dane osobowe dotyczące sytuacji zawodowej użytkownika, w których posiadaniu jest pracodawca, nie mogą być ujawniane ani przekazywane osobom trzecim bez uprzedniej zgody zainteresowanego;

Zwiększenie wymiaru związanegorynkiem wewnętrznym oraz skuteczniejsze egzekwowanie przepisówochronie danych

24. zauważa, że ochrona danych na rynku wewnętrznym powinna odgrywać coraz większą rolę i podkreśla, że skuteczna ochrona prawa do prywatności ma podstawowe znaczenie dla pozyskania zaufania konsumentów, które jest konieczne, by został uwolniony pełen potencjał wzrostu jednolitego rynku cyfrowego; przypomina Komisji, że warunkiem wstępnym osiągnięcia jednolitego rynku cyfrowego jest konieczność przyjęcia wspólnych zasad i przepisów tak dla towarów, jak i usług, gdyż usługi stanowią ważny składnik rynku cyfrowego;

25. ponownie wzywa Komisję do wyjaśnienia przepisów dotyczących prawa właściwego w dziedzinie ochrony danych osobowych;

26. uważa, że podstawową sprawą jest wzmocnienie obowiązków administratorów danych w celu zapewnienia zgodności z prawodawstwem w dziedzinie ochrony danych poprzez zastosowanie między innymi proaktywnych mechanizmów i procedur, i z zadowoleniem przyjmuje inne wytyczne zasugerowane w komunikacie Komisji;

27. przypomina, że w tym kontekście szczególną uwagę należy poświęcić administratorom danych, na których ciąży obowiązek zachowania tajemnicy zawodowej, oraz że w ich przypadku należy zastanowić się nad opracowaniem specjalnych struktur służących kontroli ochrony danych;

28. z zadowoleniem przyjmuje i popiera rozważania Komisji dotyczące wprowadzenia zasady odpowiedzialności, ponieważ ma ona kluczowe znaczenie dla zapewnienia odpowiedzialnego postępowania administratorów danych; jednocześnie wzywa Komisję do szczegółowego zbadania sposobów praktycznego wdrożenia tego typu zasady i oceny jej skutków;

29. przychylnie odnosi się do możliwości obowiązkowego mianowania inspektora ochrony danych w każdej organizacji, ponieważ z doświadczeń tych państw członkowskich UE, które już wyznaczyły inspektora ochrony danych, wynika, że koncepcja ta sprawdza się w praktyce; wskazuje jednak, że musi to podlegać ostrożnej ocenie w przypadku małych przedsiębiorstw i mikroprzedsiębiorstw w celu uniknięcia nakładania na te przedsiębiorstwa nadmiernych kosztów bądź obciążeń;

30. w tym kontekście również przychylnie odnosi się do starań na rzecz uproszczenia i ujednolicenia obecnego systemu powiadamiania;

31. za bardzo istotne uważa wprowadzenie obowiązku dokonywania ocen wpływu na prywatność w celu zidentyfikowania zagrożeń prywatności, przewidywania problemów i znajdowania proaktywnych rozwiązań;

32. uważa, że kwestią najwyższej wagi jest egzekwowalność praw przysługujących osobom, których dane dotyczą; odnotowuje, że można by wprowadzić procesy z powództwa zbiorowego jako narzędzia, dzięki którym osoby prywatne broniłyby zbiorowo swych praw w zakresie danych i dochodziły zwrotu odszkodowań z tytułu naruszenia ochrony danych osobowych; zauważa jednak, że wszelkie takie wprowadzenie zawsze musi podlegać ograniczeniom uniemożliwiającym ich nadużywanie; wzywa Komisję do sprecyzowania związku między wspomnianym komunikatem o ochronie danych a obecnie prowadzonymi publicznymi konsultacjami w sprawie roszczeń zbiorowych; wzywa w tym kontekście do opracowania mechanizmu dochodzenia roszczeń zbiorowych w związku z naruszaniem przepisów o ochronie danych w celu umożliwienia osobom, których dane dotyczą, uzyskania odszkodowania za poniesione szkody;

33. podkreśla konieczność właściwego i jednolitego stosowania przepisów w całej UE; wzywa Komisję do przewidzenia w swoim wniosku ustawodawczym surowych i odstraszających sankcji za niewłaściwe wykorzystanie i nadużywanie danych osobowych, w tym sankcji karnych;

34. zachęca Komisję do wprowadzenia ogólnego systemu obowiązkowego zawiadamiania o naruszeniu ochrony danych osobowych oraz objęcia nim, oprócz sektora telekomunikacyjnego, również innych sektorów, przy jednoczesnym zapewnieniu, że (a) system ten nie stanie się rutynowym ostrzeżeniem przed wszelkiego rodzaju naruszeniami, lecz dotyczyć będzie przede wszystkich takich naruszeń, które mogą wywrzeć negatywny wpływ na jednostki, oraz że (b) wszystkie naruszenia – bez wyjątku – będą rejestrowane i udostępniane organom ochrony danych lub innym właściwym organom na potrzeby i kontroli i oceny, przez co zapewnione zostaną równe szanse i jednolita ochrona dla wszystkich obywateli;

35. jest zdania, że koncepcje poszanowania prywatności od samego początku (ang. „privacy by design”) oraz prywatności jako opcji domyślnej (ang. „privacy by default”) stanowią wzmocnienie systemu ochrony danych oraz popiera rozważenie ich praktycznego zastosowania i dalszego rozwijania, jak i uznanie za fakt konieczności wspierania stosowania technologii podnoszących poziom ochrony prywatności; podkreśla, jak konieczne jest, by każde wdrożenie prywatności od samego początku („privacy by design”) opierało się na porządnym i konkretnym kryterium oraz definicjach w celu ochrony prawa użytkowników do prywatności i ochrony danych oraz zapewnienia pewności prawnej, przejrzystości, równych szans i swobodnego przepływu; uważa, że „poszanowanie prywatności od etapu koncepcji” powinno się opierać na zasadzie minimalizacji danych, rozumiejąc przez to, że wszystkie produkty, usługi i systemy powinny być tworzone w taki sposób, by gromadzono, wykorzystywano i przekazywano wyłącznie dane osobowe absolutnie konieczne do ich funkcjonowania;

36. zauważa, że rozwój i szersze stosowanie obliczania rozproszonego (ang. „cloud computing”) stawia przed nami nowe wyzwania w zakresie prywatności i ochrony danych osobowych; w związku z tym apeluje o jasne przedstawienie możliwości administratorów danych i przetwarzających dane oraz hostów, aby lepiej podzielić między nich spoczywające na nich zobowiązania prawne oraz aby zapewnić, że osoby, których dotyczą dane, wiedziały gdzie są one przechowywane, kto ma do nich dostęp, kto decyduje o sposobie ich wykorzystania oraz o istniejących systemach tworzenia zapasowych kopii danych i ich odzyskiwania;

37. wzywa zatem Komisję, aby podczas przeglądu dyrektywy 95/46/WE należycie uwzględniła kwestie ochrony prywatności dotyczące obliczania rozproszonego oraz zapewniła, że przepisy dotyczące ochrony danych będą miały zastosowanie do wszystkich zainteresowanych stron, w tym operatorów sieci telekomunikacji i nie tylko;

38. apeluje do Komisji, by zagwarantowała większe poczucie odpowiedzialności użytkowników internetu za kwestię danych osobowych i nalega w szczególności, aby agencje reklamowe i wydawcy wyraźnie informowali internautów, przed gromadzeniem dotyczących ich danych, o zamiarze zgromadzenia tych informacji;

39. z zadowoleniem przyjmuje nowo podpisane porozumienie w sprawie ram oceny oddziaływania ochrony prywatności i danych dla zastosowań związanych z identyfikacją radiową (RFID), które dąży do zapewnienia konsumentom prywatności, zanim na rynku zostaną wprowadzone identyfikatory RFID;

40. popiera starania na rzecz dalszego rozwijania inicjatyw samoregulacyjnych – takich jak kodeksy postępowania – i opowiada się za zastanowieniem się nad ustanowieniem dobrowolnych systemów certyfikacji na szczeblu UE jako działań uzupełniających środki legislacyjne, przy jednoczesnym zapewnieniu, że system ochrony danych na szczeblu UE nadal będzie opierał się na przepisach określających gwarancje na wysokim poziomie; zwraca się do Komisji, aby przeprowadziła ocenę wpływu inicjatyw samoregulacyjnych jako narzędzi umożliwiających lepsze egzekwowanie przepisów o ochronie danych;

41. uważa, że wszelka certyfikacja czy też program stosowania marki ochrony musi być spójny i wiarygodny, neutralny pod względem technologicznym, uznawany na całym świecie i przystępny cenowo, aby nie tworzyć barier blokujących udział;

42. popiera dalsze wyjaśnienie, wzmocnienie i ujednolicenie statusu i uprawnień krajowych organów ochrony danych, jak i badanie sposobów zapewnienia bardziej jednolitego stosowania unijnych zasad ochrony danych na całym rynku wewnętrznym; podkreśla też znaczenie zapewnienia spójności między uprawnieniami EIOD, krajowych organów odpowiedzialnych za ochronę danych oraz grupy roboczej utworzonej na mocy art. 29;

43. podkreśla, że w tym kontekście należy wzmocnić rolę i kompetencje grupy roboczej art. 29 w celu poprawy koordynacji i współpracy pomiędzy organami ochrony danych funkcjonującymi w państwach członkowskich, zwłaszcza w odniesieniu do potrzeby zapewnienia jednolitego stosowania przepisów o ochronie danych;

44. wzywa Komisję do wyjaśnienia w nowych ramach prawnych kluczowego pojęcia niezależności krajowych organów ochrony danych w kontekście braku jakichkolwiek wpływów zewnętrznych[13]; podkreśla, że krajowym organom ochrony danych należy dać konieczne zasoby oraz nadać im jednolite kompetencje do prowadzenia dochodzeń i nakładania sankcji;

Wzmocnienie całościowego podejścia do ochrony danych

45. wzywa Komisję do udoskonalenia i wzmocnienia bieżących procedur międzynarodowego przekazywania danych – prawnie wiążących umów i wiążących reguł korporacyjnych – oraz określenia, na podstawie wyżej wymienionych zasad ochrony danych osobowych, zasadniczych ambitnych aspektów unijnej ochrony danych, do wykorzystania w umowach międzynarodowych; podkreśla, że porozumienia UE z państwami trzecimi w zakresie wymiany danych osobowych muszą zapewniać obywatelom Unii Europejskiej taki sam poziom ochrony danych osobowych jak w Unii Europejskiej;

46. jest zdania, że procedura badania adekwatności przez Komisję zyskałaby na dalszym uszczegółowieniu, ściślejszym wdrożeniu, egzekwowaniu i monitorowaniu oraz że należy lepiej sprecyzować kryteria i wymogi w zakresie oceny poziomu ochrony danych w kraju trzecim lub organizacji międzynarodowej z uwzględnieniem nowych zagrożeń prywatności i danych osobowych;

47. wzywa Komisję do dokonania szczegółowej oceny skuteczności i prawidłowego stosowania zasad bezpiecznego transferu danych osobowych;

48. z zadowoleniem przyjmuje stanowisko Komisji w sprawie wzajemności w poziomie ochrony danych osób, których dane są eksportowane do krajów trzecich lub w nich przechowywane; wzywa Komisję do podjęcia decydujących kroków w kierunku zacieśnienia współpracy regulacyjnej z krajami trzecimi z myślą o wyjaśnieniu prawa właściwego i spójności ustawodawstwa UE i krajów trzecich w zakresie ochrony danych; wzywa Komisję do priorytetowego potraktowania tego zagadnienia w ramach ponownie wznowionej Transatlantyckiej Rady Gospodarczej;

49. popiera starania Komisji dotyczące zacieśnienia współpracy z krajami trzecimi i organizacjami międzynarodowymi, w tym ONZ, Radą Europy i OECD, jak i innymi organizacjami normalizacyjnymi, takimi jak Europejski Komitet Normalizacyjny (CEN), Międzynarodowa Organizacja Normalizacyjna (ISO), konsorcjum World Wide Web (W3C) i grupa zadaniowa ds. inżynierii internetowej (IETF); zachęca do rozwijania międzynarodowych standardów[14] przy jednoczesnym zapewnieniu spójności między inicjatywami na rzecz standardów międzynarodowych a obecnymi przeglądami w UE, OECD i Radzie Europy;

50. zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Radzie i Komisji.

  • [1]  Dz.U. L 281 z 23.11.1995, s. 31.
  • [2]  Dz.U. L 350 z 30.12.2008, s. 60.
  • [3]  Dz.U. L 8 z 12.1.2001, s. 1.
  • [4]  Dz.U. L 201 z 31.7.2002, s. 37.
  • [5]  Posiedzenie nr 3071 Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych w Brukseli w dniach 24 i 25 lutego 2011 r., dokument dostępny pod linkiem http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf.
  • [6]  02356/09/EN WP 168.
  • [7]  0836/10/EN WP 179.
  • [8]  Na przykład: rezolucja legislacyjna Parlamentu Europejskiego z dnia 23 września 2008 r. w sprawie projektu wniosku dotyczącego decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (Dz.U. C 8E z 14.1.2010, s. 138); zalecenie Parlamentu Europejskiego z dnia 26 marca 2009 r. dla Rady w sprawie utrwalenia bezpieczeństwa i podstawowych wolności w Internecie (Dz.U. C 117E z 6.5.2010, s. 206); rezolucja Parlamentu Europejskiego z dnia 25 listopada 2009 r. w sprawie komunikatu Komisji do Parlamentu Europejskiego i Rady: „Przestrzeń wolności, bezpieczeństwa i sprawiedliwości w służbie obywateli – program sztokholmski” (Dz.U. C 285E z 21.10.2010, s. 12).
  • [9]  Por. opinia EIOD (nr 7) [30].
  • [10]  Należy w sposób jasny i precyzyjny określić wszystkie istotne elementy tego prawa.
  • [11]  Przenoszenie danych osobowych ułatwi sprawne funkcjonowanie zarówno rynku wewnętrznego, jak i internetu i jego charakterystycznej otwartości i interoperacyjności.
  • [12]  Można rozważyć kwestię limitu wiekowego dla dzieci, poniżej którego konieczne jest uzyskanie zgody rodzica, oraz mechanizmy sprawdzania wieku.
  • [13]  Zgodnie z art. 16 TFUE i art. 8 Karty.
  • [14]  Por. deklaracja madrycka: ogólnoświatowe standardy w globalnym świecie, październik 2009 r. oraz rezolucja w sprawie standardów międzynarodowych przyjęta przez XXXII Międzynarodową Konferencję Rzeczników Ochrony Danych Osobowych i Prywatności, Jerozolima, 27-29 października 2010 r.

OPINIA Komisji Przemysłu, Badań NaukowychEnergii (11.5.2011)

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej
(2011/2025(INI))

Sprawozdawca komisji opiniodawczej: Giles Chichester

WSKAZÓWKI

Komisja Przemysłu, Badań Naukowych i Energii zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, właściwej dla tej sprawy, o uwzględnienie w końcowym tekście projektu rezolucji następujących wskazówek:

1.   Podkreśla, że skuteczna ochrona prawa do prywatności ma podstawowe znaczenie dla zagwarantowania zaufania konsumentów, które jest wymagane, aby został uwolniony pełen potencjał wzrostu jednolitego rynku cyfrowego;

2.   uważa, że jednolity rynek cyfrowy wymaga koordynowanego na poziomie europejskim wspólnego systemu ochrony prywatności, aby zachęcać do handlu transgranicznego i niknąć zniekształceń rynku; podkreśla, że zapewnienie ochrony danym gospodarczym wymagającym jej szczególnie (np. numerów kart kredytowych, adresów) ma kluczowe znaczenie dla wiarygodności i konsumpcji w środowisku cyfrowym;

3.   przypomina Komisji, że warunkiem wstępnym osiągnięcia jednolitego rynku cyfrowego jest konieczność przyjęcia wspólnych zasad i przepisów tak dla towarów, jak i usług, gdyż usługi stanowią ważny składnik rynku cyfrowego;

4.   podkreśla, że przy każdym wniosku Komisja musi rozważyć wszystkie aspekty ochrony danych, w tym potwierdzoną konieczność, pewność prawną, zmniejszanie obciążeń administracyjnych, zachowywanie równych szans dla przedsiębiorców, wykonalność, koszt i prawdopodobną wartość;

5.   uznaje, że dyrektywa w sprawie ochrony danych (95/46/WE) doprowadziła do fragmentaryzacji ram prawnych z uwagi na różne podejścia przyjmowane przy ich wdrażaniu i egzekwowaniu w państwach członkowskich oraz że nowy postęp technologiczny przyczynił się do pojawienia się nowych wyzwań w zakresie ochrony danych; zgadza się zatem, że potrzeba przyjęcia nowych ram prawnych została zweryfikowana;

6.   przypomina Komisji, że trzeba kompleksowo ocenić skutki rozszerzenia kategorii danych szczególnie chronionych; twierdzi, że ostrzejsze zasady dotyczące obchodzenia się z danymi szczególnie chronionymi nie powinny wymagać licznych nowych zezwoleń prawnych, aby zachować konieczne i pożądane aplikacje służące przetwarzaniu danych, oraz, że listę danych szczególnie chronionych powinno się poszerzyć wyłącznie po to, by włączyć do niej wszystkie te dane, które są szczególnie chronione w (niemalże) wszystkich możliwych sytuacjach przetwarzania danych, jak np. dane genetyczne;

7.   wzywa Komisję do zmiany dyrektywy 95/46/WE nie tylko celem włączenia dodatkowych kategorii danych (np. dane genetyczne), lecz także celem uwzględnienia przyszłego rozwój „nowych danych”, oraz do przeprowadzenia gruntownego przeglądu dyrektywy w tym zakresie;

8.   przypomina Komisji, że nie wszyscy administratorzy danych są przedsiębiorstwami internetowymi; wzywa Komisję do zapewnienia, że nowe przepisy ochrony danych będą miały zastosowanie zarówno do środowiska on-line, jak i off-line;

9.   wzywa Komisję do dalszego regulowania gromadzenia, sprzedaży i nabywania danych osobowych poprzez włączenie tego aspektu w zakres jakichkolwiek nowych przepisów dotyczących ochrony danych; podkreśla, że takie dane nie są wykorzystywane jedynie w usługach online, ale również w marketingu bezpośrednim prowadzonym drogą pocztową;

10. zachęca Komisję, by przy zachowaniu wysokiego poziomu ochrony danych, przeprowadziła dokładną analizę wpływu na MŚP celem upewnienia się, że znajdują się w niekorzystnej sytuacji, czy to z powodu zbędnych obciążeń administracyjnych, wielokrotnych wymogów powiadamiania zagrażających ich działalności transgranicznej lub biurokracji; uwa

11. uważa, że dokonując przeglądu ram prawnych należy zapewnić elastyczność wymaganą dla nowych ram prawnych, by możliwe było zaspokojenie potrzeb w przyszłości, w miarę rozwoju technologii; zachęca Komisję do przeprowadzenia oceny wszelkich nowych postanowień zgodnie z zasadą proporcjonalności oraz do zapewnienia, że nie stawiają one barier handlowych, nie łamią prawa do rzetelnego procesu, czy nie prowadzą do nieuczciwej konkurencji; podkreśla, że nowe zasady muszą być ułożone tak, by chroniły prawa osób, których dotyczą dane, by były niezbędne do osiągnięcia tego celu oraz wystarczająco jasne, by zapewnić pewność prawa i umożliwić uczciwą konkurencję;

12. zwaraca uwagę, że tworzenie profili to jedna z głównych tendencji w świecie cyfrowym, ze względu na rosnące znaczenie sieci społecznościowych oraz zintegrowanych modeli przedsiębiorstw internetowych; wzywa zatem Komisję do włączenia przepisów dotyczących tworzenia profili, a także do jasnego zdefiniowania pojęć „profilu” i “tworzenia profilu”;

13. przypomina Komisji, że konieczne jest precyzyjne sformułowanie definicji pojęcia „prawo do bycia zapomnianym”, która jasno opisałaby wymogi oraz określiła, od kogo można egzekwować stosowanie tego prawa;

14. podkreśla, że obywatele muszą być w stanie bezpłatnie korzystać ze swych praw do danych, bez ponoszenia kosztów pocztowych ani innych; wzywa przedsiębiorstwa do powstrzymania się od wszelkich prób stawiania zbytecznych przeszkód w korzystaniu z prawa do przeglądu, zmiany lub usuwania danych osobowych;

15. wzywa Komisję do zapewnienia użytkownikom sieci społecznościowych możliwości pełnego wglądu w dotyczące ich dane, przy czym nie może to wymagać nieuzasadnionych nakładów z ich strony;

16. wzywa Komisję, by ułatwiła możliwości przenoszenia danych w Internecie, jednocześnie uwzględniając modele biznesowe dostawców usług, istniejące systemy techniczne i prawowite interesy zainteresowanych stron; podkreśla, że użytkownicy muszą mieć wystarczającą kontrolę nad swymi danymi online, by móc w pełny i odpowiedzialny sposób korzystać z Internetu;

17. uważa, że wszelka certyfikacja czy też program stosowania marki ochrony mogłyby opierać się na pewnym modelu, jak wspólnotowy system eko-zarządzania i audytu oraz że należy w każdym przypadku upewnić się, że są one spójne i wiarygodne; apeluje, by jakikolwiek podobny system obejmował indywidualne kody seryjne widoczne na świadectwach i sprawdzalne w centralnej publicznej bazie danych;

18. wzywa Komisję, by zachęcała do nasilania inicjatyw samoregulacji, do osobistej odpowiedzialności i prawa do kontrolowania własnych danych, w szczególności odnośnie do Internetu;

19. z zadowoleniem przyjmuje nowo podpisane porozumienie w sprawie ram oceny oddziaływania ochrony prywatności i danych dla zastosowań związanych z identyfikacją radiową (RFID), które dąży do zapewnienia konsumentom prywatności, zanim na rynku zostaną wprowadzone identyfikatory RFID;

20. zachęca wszystkie zaangażowane organy do współpracy celem osiągnięcia wspólnej normy określającej, kiedy można uznać, że osoba udzieliła zgody, oraz do przyjęcia wspólnego „wieku uprawniającego do udzielenia zgody” na wykorzystanie i przekazywanie danych;

21. z zadowoleniem przyjmuje fakt, że Komisja rozważa poszanowanie prywatności od samego początku, i zaleca, aby wszelkie stosowanie tej metody opierało się o istniejący UE model nowego podejścia i nowych ram prawnych w odniesieniu do towarów w celu zapewnienia swobodnego przepływu towarów i usług, zgodnie z ujednoliconymi wymogami ochrony prywatności i danych; podkreśla konieczność, by każde jej wdrożenie opierało się na porządnym i konkretnym kryterium oraz definicjach w celu zagwarantowania użytkownikom prawa do prywatności i ochrony danych, pewności prawnej, przejrzystości, równych szans i swobodnego przepływu; uważa, że „poszanowanie prywatności od etapu koncepcji” powinno się opierać na zasadzie minimalizacji danych, rozumiejąc przez to, że wszystkie produkty, usługi i systemy powinny być tworzone w taki sposób, by gromadzono, wykorzystywano i przekazywano wyłącznie dane osobowe absolutnie konieczne do ich funkcjonowania;

22. podkreśla konieczność właściwego i jednolitego stosowania w całej UE; zaleca, by Komisja dokonała przeglądu rodzajów sankcji, jakimi dysponują władze w przypadku udowodnionego naruszenia, biorąc pod uwagę możliwość nakładania odpowiednich sankcji dyscyplinarnych, w celu unikania dalszych naruszeń;

23. odnotowuje, że można by wprowadzić procesy z powództwa zbiorowego jako narzędzia, dzięki którym osoby prywatne broniłyby zbiorowo swych praw w zakresie danych i dochodziły zwrotu odszkodowań z tytułu naruszenia ochrony danych osobowych; zauważa jednak, że wszelkie takie wprowadzenie zawsze musi podlegać ograniczeniom uniemożliwiającym ich nadużywania; wzywa Komisję do sprecyzowania związku między wspomnianym komunikatem o ochronie danych a obecnie prowadzonymi publicznymi konsultacjami w sprawie roszczeń zbiorowych;

24. podkreśla, że państwa członkowskie powinny nadać większe uprawnienia krajowym organom sądowniczym i organom ochrony danych do sankcjonowania przedsiębiorstw za naruszenia ochrony danych lub niestosowanie przepisów dotyczących ochrony danych;

25. zachęca Komisję do wyjaśnienia i uzasadnienia istniejących zasad dotyczących przydatności, konieczność, skuteczności, jasności, wykonalności, a także uprawnień, kompetencji oraz działań w zakresie egzekwowania prawa przez władze, by zagwarantować, że istnieją jedne całościowe i jednolite ramy ochrony danych w UE, zapewniające wysoki i jednakowy poziom ochrony, nie zależnie od rodzaju przetwarzanych danych; wzywa, by zmienione przepisy były stosowane i wdrażane w całej UE, jak również na arenie międzynarodowej tak, żeby dane osobowe na stałe pozostały objęte prawodawstwem UE, niezależnie od transferu tych danych lub położenia administratora danych lub przetwarzającego, ułatwiając tym samym działalność transgraniczną bez ryzyka uszczerbku dla ochrony danych osobowych osób, których dotyczą;

26. uważa, że wszystkie przypadki przekazywania danych osobowych powinny podlegać wymogom identyfikacji (jeśli chodzi o pochodzenie i miejsce przeznaczenia) oraz, że informacje te powinny być udostępniane zainteresowanym osobom; podkreśla, że jeżeli dana osoba pragnie zmienić dane osobowe przechowywane przez administratora, jako właściciel danych powinna mieć możliwość przekazania swojego wniosku do pierwotnego źródła danych, jak i do jakiegokolwiek administratora, któremu dane te były udostępnione;

27. wzywa Komisję do sprecyzowania prawnej odpowiedzialności administratorów danych osobowych; podkreśla, że należy jasno określić, czy odpowiedzialny jest pierwszy czy ostatni znany administrator danych lub czy administratorzy podlegają wspólnej rozliczalności;

28. wzywa Komisję do promowania standardów UE w zakresie ochrony danych osobowych na wszystkich forach międzynarodowych i we wszystkich porozumieniach; w tym kontekście zwraca uwagę na swoją prośbę do Komisji o przedstawienie wniosku w sprawie rozszerzenia zakresu rozporządzenia Parlamentu Europejskiego i Rady dotyczącego prawa właściwego dla zobowiązań pozaumownych celem włączenia naruszenia ochrony danych i prywatności, oraz do Rady o wyrażenie zgody o podjęcie negocjacji w sprawie podpisania umowy międzynarodowej, która umożliwiłaby obywatelom skuteczne dochodzenie swych praw w przypadku naruszenia ich prawa do ochrony danych oraz prywatności zgodnie z prawem UE;

29. podkreśla, że zasady dotyczące zawiadomień o bezpieczeństwie i naruszeniu ochrony danych osobowych ustanowione w zmienionych ramach prawnych dotyczących telekomunikacji muszą znaleźć odbicie w każdym ogólnym narzędziu służącym zabezpieczaniu równych szans i jednolitej ochrony dla wszystkich obywateli.

WYNIK GŁOSOWANIA KOŃCOWEGO W KOMISJI

Data przyjęcia

9.5.2011

 

 

 

Wynik głosowania końcowego

+:

–:

0:

32

0

4

Posłowie obecni podczas głosowania końcowego

Ivo Belet, Bendt Bendtsen, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Lena Ek, Ioan Enciu, Adam Gierek, Norbert Glante, Fiona Hall, Romana Jordan Cizelj, Krišjānis Kariņš, Lena Kolarska-Bobińska, Bogdan Kazimierz Marcinkiewicz, Marisa Matias, Jaroslav Paška, Herbert Reul, Amalia Sartori, Britta Thomsen, Evžen Tošenovský, Ioannis A. Tsoukalas, Niki Tzavela, Marita Ulvskog, Kathleen Van Brempt, Henri Weber

Zastępca(y) obecny(i) podczas głosowania końcowego

Matthias Groote, Françoise Grossetête, Satu Hassi, Jolanta Emilia Hibner, Yannick Jadot, Oriol Junqueras Vies, Silvana Koch-Mehrin, Vladko Todorov Panayotov, Markus Pieper, Algirdas Saudargas

Zastępca(y) (art. 187 ust. 2) obecny(i) podczas głosowania końcowego

Alexandra Thein

OPINIA Komisji Rynku WewnętrznegoOchrony Konsumentów (14.4.2011)

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej
(2011/2025(INI))

Sprawozdawca: Matteo Salvini

WSKAZÓWKI

Komisja Rynku Wewnętrznego i Ochrony Konsumentów zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, właściwej dla tej sprawy, o uwzględnienie w końcowym tekście projektu rezolucji następujących wskazówek:

A.  mając na uwadze, że dyrektywa w sprawie ochrony danych 95/46/WE i dyrektywa pakietu telekomunikacyjnego UE 2009/140/WE umożliwiają swobodny przepływ danych osobowych na rynku wewnętrznym;

B.   mając na uwadze, że w internecie powstaje coraz więcej różnego rodzaju sieci społecznych i że przede wszystkim młodzi ludzie ujawniają przy tym swoje dane osobowe;

C.  mając na uwadze, że podstawowe założenia dyrektywy 1995/46/WE są nadal aktualne, globalizacja i szybki rozwój technologiczny przyniosły nowe wyzwania w zakresie ochrony danych osobowych w wyniku zwiększonego uzależnienia od kompleksowych informatycznych narzędzi technologicznych stosowanych do przetwarzania danych oraz zwiększonej działalności w internecie, w tym również handlu elektronicznego, e-zdrowia, elektronicznej administracji, rosnącej popularności sieci społecznościowych, rozwoju internetowych reklam behawioralnych lub obliczania rozproszonego (ang. cloud computing);

D.  mając na uwadze, że rosnąca wymiana indywidualnych danych osobowych w połączeniu z nowymi wynalazkami technologicznymi doprowadziły do zwiększonego gromadzenia, magazynowania i korzystania z danych osobowych, i spowodowały pojawienie się problemu z określeniem prawa właściwego i zdefiniowaniem obowiązków wszystkich zainteresowanych stron, jeśli chodzi o stosowanie unijnego ustawodawstwa w zakresie ochrony danych (np. firma w posiadaniu danych osobowych obywateli UE, której siedziba znajduje się poza UE i która zleca wykonawstwo firmom, które także mają siedzibę poza UE);

E.   mając na uwadze, że zmiana dyrektywy o ochronie danych 95/46/WE powinna polegać na kompleksowej reformie unijnych ram prawnych dotyczących ochrony danych, określając surowsze przepisy dotyczące gromadzenia danych, zwłaszcza jeśli chodzi o informowanie danej osoby o tym dlaczego, kto i jak długo gromadzi i wykorzystuje jej dane, i to zarówno w internecie, jak i poza nim;

F.   mając na uwadze, że obywatele nie dokonują zakupów w internecie tak samo bezpiecznie jak poza nim, z powodu obaw o kradzież tożsamości i braku przejrzystości co do sposobu w jaki ich dane osobowe są przetwarzane i wykorzystywane;

G.  mając na uwadze, że przedsiębiorstwa i sektor handlowy coraz częściej wykorzystują karty stałego klienta (np. karty do klubów, karty rabatowe lub lojalnościowe), które służą lub mogą służyć do tworzenia profili klientów;

H.  mając na uwadze, że dane gromadzone za pośrednictwem kart stałego klienta są wykorzystywane do tworzenia profili klientów, a ponadto mając na uwadze, że powstał rynek, na którym handluje się takimi danymi;

1.   wzywa do wzmocnienia wymiaru ochrony danych na rynku wewnętrznym w internecie i poza nim poprzez pełne ujednolicenie ustawodawstw państw członkowskich, po gruntownej ocenie skutków i analogicznie do ram prawnych dotyczących telekomunikacji, zgodnie z najwyższymi standardami ochrony danych w celu zwiększenia pewności prawnej, zapewnienia spójnego poziomu ochrony prywatności, zredukowania obciążenia administracyjnego i kosztów, zapobiegania ryzyku wyboru sądu ze względu na możliwość korzystniejszego wyroku pomiędzy bardziej lub mniej surowymi ustawodawstwami krajowymi państw członkowskich i zagwarantowania równych szans wszystkim podmiotom gospodarczym i administratorom danych; uważa, że będzie to stymulować wspólny rynek cyfrowy i zredukuje nadmierne koszty ponoszone przez przedsiębiorstwa, zwłaszcza przez MŚP;

2.   uważa, że wdrożenie unijnych przepisów dotyczących ochrony danych w UE jest nadal nierównomierne i fragmentaryczne, co ma negatywny wpływ na podstawowe prawa i swobody obywateli w zakresie ochrony danych i prywatności, pewności prawnej i przejrzystości w stosunkach umownych, rozwoju handlu elektronicznego i e-biznesu, zaufania konsumentów do systemu, transakcji ponadgranicznych i zapewnienia prawdziwie równych szans przedsiębiorstwom i MŚP w ramach wspólnego rynku;

3.   stwierdza, że ochrona danych na rynku wewnętrznym musi odgrywać coraz większą rolę;

4.   domaga się szybkiego opracowania na nowo istniejących ram prawnych UE dotyczących ochrony danych, szczególnie w kontekście rosnącego zagrożenia, jakie dla praw indywidualnych stanowią nowe formy przetwarzania danych, jak choćby tworzenie profili lub niepożądany transfer danych;

5.   apeluje zwłaszcza o dostosowanie przepisów o ochronie danych do podstawowych zasad zawartych w dyrektywie o prywatności i łączności elektronicznej we wszystkich obszarach ochrony danych w celu unikania rozwiązań cząstkowych;

6.   podkreśla zapotrzebowanie na funkcjonujący wspólny rynek odnośnie do spójnego, całościowego i skutecznego egzekwowania przepisów o ochronie danych, biorąc pod uwagę wpływ nowych technologii na prawa osób fizycznych, przejrzystość procedur i uzasadnione interesy zainteresowanych osób, przy jednoczesnym zagwarantowaniu możliwości przenoszenia danych osobowych w celu ułatwienia sprawnego funkcjonowania zarówno rynku wewnętrznego, jak i internetu i jego charakterystycznej otwartości i interoperacyjności;

7.   jest zdania, że wszelkie dane osobowe i informacje przekazywane pomiędzy różnymi wspólnymi punktami kontaktowymi i w ramach systemu wymiany informacji na rynku wewnętrznym (IMI) są przetwarzane, wykorzystywane i gromadzone tylko w zgodnych z prawem celach oraz że stosowane są niezbędne zabezpieczenia przed nadużyciami;

8.   zwraca uwagę na znaczenie aktualizacji dyrektywy w miarę światowego postępu technologicznego;

9.   uważa, że zasadniczo tworzenie profili powinno być dopuszczalne jedynie w oparciu o konkretne podstawy prawne lub o świadomą zgodę zainteresowanych osób, która powinna być dobrowolna i z której można się w każdej chwili wycofać;

10. zauważa, że rozwój i szersze stosowanie obliczania rozproszonego (ang. cloud computing) stawia przed nami nowe wyzwania w zakresie prywatności i ochrony danych osobowych; w związku z tym apeluje o jasne przedstawienie możliwości administratorów danych i przetwarzających dane oraz hostów, aby lepiej podzielić między nich spoczywające na nich zobowiązania prawne oraz aby osoby, których dotyczą dane, wiedziały gdzie są one przechowywane, kto ma do nich dostęp, kto decyduje o sposobie ich wykorzystania oraz o istniejących systemach tworzenia zapasowych kopii danych i ich odzyskiwania;

11. zwraca uwagę na konieczność działań edukacyjnych i służących pogłębianiu świadomości oraz ukierunkowanych strategii komunikacyjnych w zakresie ochrony danych dla usługodawców, jak również obywateli i konsumentów; wzywa do podjęcia pilnych środków służących zapewnieniu, że obywatele będą odpowiednio poinformowani o swych prawach i obowiązkach, jeśli chodzi o wykorzystywanie ich danych osobowych, krótko- i długofalowe konsekwencje udostępniania pewnego typu danych, różne modele wyrażania zgody, możliwość przenoszenia danych, ochronę ich prywatności oraz instrumenty, którymi dysponują, aby zapobiegać sytuacjom zagrażającym ich prawu do prywatności, takie jak tzw. prawo do bycia zapomnianym (a mianowicie prawo osób fizycznych do spowodowania zaprzestania dalszego gromadzenia, analizowania, przetwarzania czy wykorzystywania ich danych osobowych w jakikolwiek sposób oraz ich usunięcia, jeżeli przestały być potrzebne do przewidzianych prawem celów), w szczególności w środowisku internetowym;

12. wzywa Komisję do wzmocnienia, wyjaśnienia i ujednolicenia przepisów dotyczących dobrowolnej i świadomej zgody oraz do sprecyzowania warunków umów; domaga się, aby zasadniczo każda osoba musiała udzielić wcześniejszej zgody, zanim jej dane będzie można zebrać, ocenić, zapisać w formie profilu lub przekazać dalej; domaga się również, aby takie dane musiały być ujawniane na żądanie zainteresowanej osoby, a także usuwane najpóźniej z chwilą, gdy osoba ta o to wystąpi; podkreśla konieczność jasnego komunikowania osobom, których dotyczą dane, poziomu adekwatności ochrony danych w krajach trzecich;

13. zwraca uwagę, że kwestie ochrony danych dotyczą zarówno konsumentów i przedsiębiorstw jak i pracowników; domaga się zatem uwzględnienia wysokich standardów ochrony danych pracowników, aby ograniczać niestosowną kontrolę danych osobowych personelu;

14. wzywa Komisję do wyjaśnienia przepisów dotyczących prawa właściwego w dziedzinie ochrony danych osobowych, gdyż coraz trdniejsze staje się określenie obowiązków zainteresowanych stron z powodu globalizacji wymiany; podkreśla, że konieczne jest zagwarantowanie pewności prawnej administratorom danych i unikanie luk w ochronie danych osobowych, którą zapewnia dyrektywa 95/46/WE;

15. podkreśla, że osoby zainteresowane powinny mieć zawsze możliwość wpływu na dotyczące ich działania gospodarcze; ponadto osoby zainteresowane muszą mieć zawsze możliwość korzystania z przysługującego im prawa do podejmowania niezależnych decyzji w oparciu o przekazane im dostateczne informacje;

16. zwraca uwagę Komisji na wysoce strategiczny charakter lokalizacji centrów danych i na potencjalne konsekwencje umieszczenia takiej lokalizacji poza terytorium UE;

17. z zadowoleniem przyjmuje propozycje Komisji w sprawie systemu obowiązkowego zawiadamiania o naruszeniu ochrony danych osobowych w dyrektywie o prywatności i łączności elektronicznej, które powinny ponadto być stosowane w sposób spójny we wszystkich obszarach, w których wymagana jest ochrona danych; domaga się przeglądu i uproszczenia obowiązującego systemu obowiązkowego zawiadamiania o przetwarzaniu danych osobowych poza sektor telekomunikacji z uwzględnieniem poważnych przypadków łamania przepisów dotyczących ochrony, aby zagwarantować, że wymogi dotyczące przetwarzania danych nie obciążą nadmiernie administratorów danych i położyć kres zróżnicowaniu krajowych wymogów w tej dziedzinie; domaga się rozszerzenia systemu obowiązkowego zawiadamiania o naruszeniu ochrony danych osobowych poza sektor telekomunikacji na poważne przypadki łamania przepisów dotyczących ochrony danych, podkreślając znaczenie jednolitego systemu powiadamiania o naruszeniach;

18. podkreśla, że prawo osób do podejmowania niezależnych decyzji musi być traktowane priorytetowo i że każda osoba ma prawo otrzymać bezpłatnie informacje dotyczące zgromadzonych na jej temat danych oraz prawo do ich usunięcia, zwłaszcza profili, tworzonych w celach komercyjnych;

19. podkreśla znaczenie, jakie dla przechowujących dane osobowe ma wyznaczenie jednego administratora odpowiedzialnego za ochronę danych o jasno określonych zadaniach; uważa, że podmioty działające na wspólnym rynku powinny móc wyznaczyć administratora odpowiedzialnego za ochronę danych dla ich działań w UE;

20. wzywa Komisję, aby podczas przeglądu dyrektywy 95/46/WE należycie uwzględniła kwestie ochrony prywatności dotyczące obliczania rozproszonego oraz zapewniła, że przepisy dotyczące ochrony danych będą miały zastosowanie do wszystkich interesariuszy, w tym operatorów sieci telekomunikacji i nie tylko, gwarantując jednocześnie rozwój obliczania rozproszonego;

21. podkreśla, że procedury dotyczące dostępu do danych osobowych muszą być wyraźnie i natychmiast dostępne obywatelom we wszystkich państwach członkowskich, wspomagane siecią punktów kontaktowych i udostępniane w internecie; apeluje zwłaszcza o uproszczenie przepisów wykonawczych;

22. wzywa Komisję do zbadania możliwości dostępu, poprawiania i usuwania danych, a także korzystania z alternatywnych metod rozwiązywania sporów na rynku wewnętrznym, w szczególności w środowisku internetowym, oraz podkreśla, że konieczna jest odpowiednia polityka ścigania naruszeń;

23. zachęca do rozszerzenia zdolności władz krajowych do egzekwowania prawa, w tym wobec przedsiębiorstw spoza UE, których działalność jest ukierunkowana na konsumentów w UE;

24. podkreśla konieczność propagowania wykorzystania technologii podnoszących poziom ochrony prywatności i stosowania zasady uwzględniania ochrony prywatności w fazie projektowania, aby zagwarantować, że kwestie związane z ochroną prywatności zostaną uwzględnione podczas przyszłych faz rozwoju technologicznego; wzywa Komisję do zachęcenia dostawców technologii do włączenia podstawowych zasad ochrony prywatności, w tym minimalizacji danych, przejrzystości i kontroli użytkowników podczas rozwoju i wdrażania technologii w celu zagwarantowania wysokiego poziomu ochrony danych osobowych na całym wspólnym rynku;

25. wzywa Komisję do zbadania, we współpracy z CEN, możliwości opracowania standardów obsługi w zakresie zarządzania danymi osobowymi i rozwoju powiązanych narzędzi zarządzania informacją, z należytym uwzględnieniem ochrony prywatności w fazie projektowania; uważa, że takie standardy projektowe będą propagować najlepsze praktyki w rozwoju systemów zarządzania danymi, a w szczególności zwiększą bezpieczeństwo zarządzania bazami danych i aplikacji służących przechowywaniu; podkreśla jednak, że wszystkie wnioski powinny być neutralne pod względem technologicznym i przyjazne innowacjom;

26. wzywa Komisję do przeglądu wraz z CEN europejskich norm dotyczących przechowywania sprzętu z należytym uwzględnieniem ochrony prywatności w fazie projektowania i do zachęcania do rozwoju norm produkcji umożliwiających ostateczne usunięcie danych przechowywanych na sprzęcie, który nie jest już używany do przechowywania danych osobowych lub tak czy inaczej wychodzi z użytku; uważa ponadto, że takie standardy projektowe będą propagować najlepsze praktyki produkcyjne; podkreśla jednak, że wszystkie wnioski powinny być neutralne pod względem technologicznym i przyjazne innowacjom;

27. apeluje o zwiększenie roli Grupy Roboczej art. 29 i sformalizowanie jej roli w procesie wdrażania standardowych zasad ochrony danych i utrzymania jej niezależności od Komisji Europejskiej;

28. zwraca się do Komisji, aby przeprowadziła ocenę wpływu inicjatyw samoregulacyjnych jako narzędzi umożliwiających lepsze egzekwowanie przepisów o ochronie danych.

29. zachęca do rozwoju unijnego systemu certyfikacji w obszarze prywatności i ochrony danych. Powinien on być skonstruowany w taki sposób, aby unikać nadmiernego obciążania przedsiębiorstw – a zwłaszcza MŚP – kosztownymi i biurokratycznymi obowiązkami, które mogą zniechęcać do udziału w nim. System powinien być neutralny pod względem technologicznym, gotowy do stosowania na całym świecie i przystępny cenowo, aby nie tworzyć barier blokujących udział.

30. popiera utworzenie unijnego systemu certyfikacji dla stron internetowych zgodnego z ustawodawstwem UE w zakresie ochrony danych i wzorowanego na europejskiej marce ochrony danych osobowych (dobrowolna ogólnoeuropejska etykieta poświadczająca przestrzeganie przez produkty i usługi IT unijnego ustawodawstwa z zakresu ochrony danych), który miałby zastosowanie w całej UE i zastąpiłby różne istniejące prywatne systemy certyfikacji i oznakowania, które często są uznawane tylko na skalę lokalną; uważa, że przed jego przyjęciem należy przeprowadzić gruntowną ocenę skutków;

31. uważa, że rozwój i propagowanie inicjatyw samoregulacyjnych może poprawić stan obowiązujących ram ochrony danych, choć nie mogą one zastąpić środków ustawodawczych, zwłaszcza jeśli chodzi o ich egzekwowanie; zwraca się do Komisji i państw członkowskich, aby sprzyjały takim inicjatywom oraz opracowywały i wspierały instrumenty, dzięki którym samoregulacja staje się atrakcyjniejsza dla gospodarki;

32. wzywa Komisję, by zbyt daleko posunięta harmonizacja nie ograniczała sprawdzonych systemów ochrony danych, takich jak wewnętrzne kontrole ochrony danych w przedsiębiorstwach przeprowadzane przez zakładowych inspektorów ochrony danych oraz kontrole zewnętrzne dokonywane przez państwowe organy nadzoru ochrony danych;

33. popiera utworzenie wspólnych i jasnych kryteriów na szczeblu UE w celu przeprowadzenia kontroli w dziedzinie ochrony prywatności i danych.

34. z zadowoleniem przyjmuje stanowisko Komisji w sprawie wzajemności w poziomie ochrony danych osób, których dane są eksportowane do krajów trzecich lub w nich przechowywane; wzywa jednak Komisję do podjęcia decydujących kroków w kierunku zacieśnienia współpracy regulacyjnej z krajami trzecimi z myślą o wyjaśnieniu prawa właściwego i konwergencji ustawodawstwa UE i krajów trzecich w zakresie ochrony danych; wzywa Komisję do priorytetowego potraktowania tego zagadnienia w ramach ponownie wznowionej Transatlantyckiej Rady Gospodarczej;

35. wzywa do rozwoju łatwiejszych, wydajniejszych metod pozwalających na międzynarodowy transfer danych, przy zachowaniu odpowiednich poziomów ochrony danych i prywatności osób;

36. wzywa Komisję do podtrzymania obowiązujących wyłączeń i odstępstw zawartych w art. 9 dyrektywy 95/46/WE od pewnych przepisów dotyczących ochrony danych w celach dziennikarskich, aby chronić wolne i niezależne media w UE lub w celu uzyskania wyrazu artystycznego lub literackiego, aby wspierać twórczość.

WYNIK GŁOSOWANIA KOŃCOWEGO W KOMISJI

Data przyjęcia

13.4.2011

 

 

 

Wynik głosowania końcowego

+:

–:

0:

36

0

0

Posłowie obecni podczas głosowania końcowego

Pablo Arias Echeverría, Adam Bielan, Lara Comi, Anna Maria Corazza Bildt, António Fernando Correia De Campos, Jürgen Creutzmann, Christian Engström, Evelyne Gebhardt, Louis Grech, Małgorzata Handzlik, Iliana Ivanova, Philippe Juvin, Sandra Kalniete, Eija-Riitta Korhola, Edvard Kožušník, Kurt Lechner, Toine Manders, Mitro Repo, Robert Rochefort, Zuzana Roithová, Heide Rühle, Matteo Salvini, Christel Schaldemose, Andreas Schwab, Eva-Britt Svensson, Róża Gräfin von Thun und Hohenstein, Kyriacos Triantaphyllides, Emilie Turunen, Bernadette Vergnaud, Barbara Weiler

Zastępca(y) obecny(i) podczas głosowania końcowego

Ashley Fox, María Irigoyen Pérez, Pier Antonio Panzeri, Konstantinos Poupakis, Sylvana Rapti, Olle Schmidt

OPINIA Komisji Kultury i Edukacji (14.4.2011)

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej
(2011/2025(INI))

Sprawozdawca komisji opiniodawczej: Seán Kelly

WSKAZÓWKI

Komisja Kultury i Edukacji zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, właściwej dla tej sprawy, o uwzględnienie w końcowym tekście projektu rezolucji następujących wskazówek:

1.  podkreśla konieczność stworzenia lepszej i szerszej definicji danych osobowych wykorzystywanych z użyciem technologii internetowych i cyfrowych, w szczególności w odniesieniu do nowych form identyfikacji i śledzenia pojedynczych danych, zwłaszcza w zakresie plików http typu cookie i dyrektywy 2002/58/WE[1], w celu zagwarantowania pewności prawa na jednolitym rynku cyfrowym, aby w ten sposób umożliwić lepszą ochronę tych danych;

Przejrzystość

2.  podkreśla, że ważne jest informowanie użytkowników o właściwym organie ds. ochrony danych osobowych oraz o możliwościach dostępu do swoich danych osobowych, ich zmiany i usunięcia;

3.  podkreśla, że trzeba wdrożyć odpowiednie mechanizmy służące zapisywaniu zgody użytkowników lub wycofania zgody, przy czym zgoda ta musi być jasno wyrażona, a nie domyślna;

4.  przypomina, że każdy użytkownik Internetu powinien mieć prawo do „zostania zapomnianym” w ramach sieci społecznościowych i tzw. chmur obliczeniowych („cloud computing”); podkreśla w tym kontekście, że użytkownicy powinni mieć prawo do sprawowania kontroli nad tym, które aspekty ich danych osobowych są publicznie dostępne;

5.  podkreśla, że dane osobowe udostępnione pracodawcy i dotyczące sytuacji zawodowej użytkownika nie powinny być ujawniane ani przekazywane osobom trzecim bez uprzedniej zgody zainteresowanego;

6.  podkreśla, że oświadczenia o ochronie danych osobowych są dla użytkowników z reguły bardzo trudne do przeczytania i zrozumienia, dlatego też zachęca do wprowadzenia systemu informacyjnego, dzięki któremu osoba, której dotyczą dane, będzie mogła zrozumieć, jak jej dane osobowe będą przetwarzane po udzieleniu przez nią zgody;

Ochrona danych w przypadku dzieci i osób niepełnoletnich

7.  podkreśla potrzebę stworzenia szczególnych środków ochrony dzieci i osób niepełnoletnich w Internecie; przypomina, że kompetencje w zakresie mediów oraz TIK (technologii informacyjno-komunikacyjnych) powinny stanowić istotną część formalnej edukacji, tak by nauczyć dzieci i osoby niepełnoletnie odpowiedzialnego i bezpiecznego zachowania w Internecie;

8.  podkreśla, że dostawcy usług sieci społecznościowych muszą publikować informacje o swojej polityce bezpieczeństwa jasnym i zrozumiałym językiem oraz umieszczać je w widocznym miejscu, by niepełnoletni użytkownicy mieli możliwość uświadomienia sobie istniejących zagrożeń; zwraca szczególną uwagę na fakt, że niepełnoletnim należy udzielać odpowiednich wskazówek i dołożyć starań na rzecz ochrony ich anonimowości, jeżeli w Internecie występują pod pseudonimem; podkreśla, że należy również zachęcać niepełnoletnich do podawania na portalach sieci społecznościowych jak najmniejszej liczby informacji i uświadamiać im zagrożenia wynikające z ujawniania ich danych osobowych, takich jak zdjęcia, numer telefonu czy adres zamieszkania;

9.  dlatego zwraca się do państw członkowskich, aby w programach nauczania szkół i innych placówek edukacyjnych, również przeznaczonych dla małych dzieci, szerzej wprowadzały obowiązkową naukę korzystania z mediów, a także oferowały nauczycielom i wychowawcom odpowiednie możliwości zdobywania i poszerzania kwalifikacji;

10. apeluje, aby kontrolerzy danych mieli obowiązek wprowadzenia mechanizmów weryfikacji wieku, o ile ten proces nie zagraża prywatności ani nie uniemożliwia legalnym konsumentom dostępu do usług online;

11. wzywa do ustalenia szczególnych obowiązków i wymogów dotyczących przetwarzania danych odnoszących się do osób niepełnoletnich, a w szczególności dzieci, łącznie z zakazem gromadzenia danych szczególnie chronionych dotyczących dzieci; proponuje, aby gromadzenie informacji osobowych od niepełnoletnich było niedozwolone, chyba że jest przeznaczone do celów zgodnych z prawem;

12. uważa, że przy gromadzeniu i przetwarzaniu danych dotyczących uczniów i osób uczęszczających do innych placówek oświatowych należy zachowywać szczególną ostrożność, a ich dalsze przekazywanie może mieć miejsce wyłącznie po uzyskaniu zgody i musi uwzględniać interes dziecka;

13. proponuje wprowadzenie systemu oferującego poziom ochrony danych jasno zrozumiały dla osoby, której dotyczą dane, przed udzieleniem przez nią zgody, stanowiącego na przykład system oceniania nadzorowany przez niezależny organ;

Zwiększanie świadomości obywateli

14. zachęca Komisję i państwa członkowskie do organizowania publicznych kampanii informacyjnych skierowanych do osób niepełnoletnich, w szczególności do dzieci, i ich opiekunów, aby zwrócić ich uwagę na czyhające w Internecie zagrożenia dla ich prywatności, na kroki, jakie mogą przedsięwziąć, aby się bronić, oraz na konieczność przyjęcia na siebie odpowiedzialności; zauważa, że tego rodzaju informacje powinny być formułowane w sposób jasny i zrozumiały; ten wymóg powinien też w szczególności dotyczyć formułowania tekstów, które stanowią podstawę udzielenia wyraźnej zgody na wykorzystanie danych;

15. zaleca ponadto organizowanie szkoleń i kampanii informacyjnych skierowanych do kontrolerów danych i podmiotów zajmujących się przetwarzaniem danych oraz informowanie tych osób o ich obowiązkach i zakresie odpowiedzialności.

16. podkreśla znaczenie utrzymania – a w stosownych przypadkach wzmocnienia – odstępstwa w celach dziennikarskich, określonego w art. 9 dyrektywy 95/46/WE[2], które jest warunkiem koniecznym do prowadzenia działalności dziennikarskiej w coraz bardziej skomplikowanym technologicznym środowisku mediów oraz do pełnienia przez media roli w społeczeństwach demokratycznych.

WYNIK GŁOSOWANIA KOŃCOWEGO

Data przyjęcia

12.4.2011

 

 

 

Wynik głosowania końcowego

+:

–:

0:

29

0

0

Posłowie obecni podczas głosowania końcowego

Magdi Cristiano Allam, Maria Badia i Cutchet, Zoltán Bagó, Malika Benarab-Attou, Lothar Bisky, Piotr Borys, Jean-Marie Cavada, Silvia Costa, Santiago Fisas Ayxela, Mary Honeyball, Petra Kammerevert, Emma McClarkin, Marek Henryk Migalski, Katarína Neveďalová, Doris Pack, Chrysoula Paliadeli, Marie-Thérèse Sanchez-Schmid, Marietje Schaake, Marco Scurria, Joanna Senyszyn, Hannu Takkula, László Tőkés, Helga Trüpel, Gianni Vattimo, Marie-Christine Vergiat, Sabine Verheyen, Milan Zver

Zastępca(y) obecny(i) podczas głosowania końcowego

Nadja Hirsch, Seán Kelly

  • [1]  Dz.U. L 201 z 31.7.02, s. 37.
  • [2]  Dz.U. L 281, z 23.11.95, s. 31.

OPINIA Komisji Prawnej (25.5.2011)

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej
(2011/2025(INI))

Sprawozdawczyni komisji opiniodawczej: Françoise Castex

WSKAZÓWKI

Komisja Prawna zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, właściwej dla tej sprawy, o uwzględnienie w końcowym tekście projektu rezolucji następujących wskazówek:

1.  podkreśla, że szybkie tempo rozwoju technologicznego w globalnym społeczeństwie informacyjnym wymaga kompleksowych i spójnych przepisów o ochronie danych; zwraca uwagę, że wraz z wejściem w życie Traktatu z Lizbony i faktem, że Karta praw podstawowych stała się prawnie wiążąca, art. 16 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) mógłby stanowić szczegółową podstawę prawną przyjęcia jednego instrumentu prawnego dotyczącego ochrony danych osobowych, jeżeli będzie się opierać na najwyższym stopniu ochrony, jaki przewiduje prawo UE, co zapewniłoby większą pewność prawa; mając na uwadze, że w tym zakresie konieczne jest całkowite przestrzeganie postanowień art. 8 karty;

2.  uważa, że coraz bardziej złożony charakter kwestii związanych z ochroną danych oraz obecny brak ujednolicenia prawa krajowego państw członkowskich wymagają przyjęcia kompleksowego instrumentu o charakterze ogólnoeuropejskim; nawołuje Komisję do ustanowienia systemu zawiadamiania o naruszeniu ochrony danych osobowych działającego równolegle do systemu wprowadzonego dyrektywą o prywatności elektronicznej w odniesieniu do sektora telekomunikacji;

3.  apeluje do Komisji, by wykorzystała obecną sytuację jako okazję do ujednolicenia oraz zwiększenia wysokiego już poziomu ochrony podmiotów, których dotyczą dane, celem poprawy europejskiego ustawodawstwa w dziedzinie ochrony danych;

4.  podkreśla, że prawo dostępu obejmuje nie tylko pełny dostęp do przetwarzania danych o podmiocie, którego dotyczą dane, wraz z ich źródłem i odbiorcami, ale również czytelne informacje o logicznej strukturze automatycznego przetwarzania; podkreśla, że przetwarzanie automatyczne będzie stawało się nawet jeszcze ważniejsze w związku z profilowaniem i eksploracją danych;

5.  wzywa Komisję do zapewnienia synergii między prawami ochrony danych i prawami konsumentów;

6.  przypomina o konieczności zapewnienia specjalnej ochrony osobom znajdującym się w trudnej sytuacji, a w szczególności dzieciom, między innymi poprzez zapewnienie wysokiego poziomu ochrony danych jako standardowego wymogu oraz wprowadzenie właściwych dostosowanych środków w celu ochrony ich danych osobowych; uważa, że krajowe organy ochrony danych muszą prowadzić kampanie uświadamiające skierowane w szczególności do osób niepełnoletnich;

7.  wzywa Komisję Europejską, aby we wnioskach dotyczących ustalenia prawa właściwego uwzględniała niebezpieczeństwo związane z możliwością wyboru sądu w celu uzyskania korzystniejszego rozstrzygnięcia sprawy (ang. forum-shopping);

8.  opowiada się za wprowadzeniem ogólnej zasady przejrzystości w przetwarzaniu danych osobowych, która ułatwiłaby obywatelom sprawowanie kontroli nad dotyczącymi ich danymi;

9.  stanowczo popiera przedstawioną w komunikacie Komisji kwestię uznania świadomego wyrażenia zgody jako podstawowej zasady oraz zwraca się do Komisji o wyjaśnienie i zaostrzenie odpowiednich przepisów;

10. wyraża zaniepokojenie w odniesieniu do nadużyć związanych z internetową reklamą behawioralną i przypomina, że dyrektywa w sprawie prywatności i łączności elektronicznej nakłada obowiązek wyraźnego i uprzedniego przyzwolenia osoby, której to dotyczy, na przesyłanie jej plików typu cookie oraz obserwowanie jej późniejszego zachowania w sieci w celu przesyłania jej spersonalizowanych ogłoszeń;

11. wyraża zadowolenie z decyzji Komisji dotyczącej analizy warunków wprowadzenia ogólnego obowiązku informowania o naruszeniu danych osobowych, który to obowiązek ogranicza się obecnie jedynie do sektora telekomunikacji;

12. zwraca się do Komisji, by zaproponowała szczególne środki w odniesieniu do dzieci, które nie zawsze zdają sobie sprawę z ryzyka związanego z korzystaniem z Internetu;

13. podkreśla, że zmiana przepisów europejskich nie może powodować nadmiernych kosztów dla przedsiębiorstw europejskich, co mogłoby wpłynąć ujemnie na ich konkurencyjność w stosunku do ich rywali z krajów trzecich;

14. uważa, że należy zachęcać do samoregulacji, w szczególności za pośrednictwem kodeksów postępowania;

15. stwierdza, że ochrona danych osobowych dotyczy wszystkich, lecz wykonanie tego prawa nie może skutkować ochroną działalności przestępczej lub niezgodnej z prawem; w związku z powyższym przypomina, że art. 47 Karty praw podstawowych Unii Europejskiej jest poświęcony prawu do skutecznego środka odwoławczego w przypadku naruszenia praw i swobód gwarantowanych w prawie Unii;

16. popiera starania na rzecz dalszego rozwijania egzekwowalnych i prawnie wiążących inicjatyw samoregulacyjnych opartych na przepisach prawnych w ramach przeglądu ram prawnych ochrony danych, jak zasugerowano w komunikacie Komisji, i opowiada się za dalszym wspieraniem systemów certyfikacji na szczeblu UE; przypomina, że sektor zamówień publicznych powinien odgrywać w tym względzie wiodącą rolę;

17. zdecydowanie popiera komunikat Komisji i apeluje do państw członkowskich o dopilnowanie, by krajowe organy ds. ochrony danych dysponowały odpowiednimi uprawnieniami i zasobami własnymi umożliwiającymi właściwe wykonywanie ich zadań na szczeblu krajowym i zagwarantowanie ich niezależności;

18. zwraca się do Komisji o prowadzenie w dalszym ciągu dialogu z krajami trzecimi w celu ustanowienia spójnych międzynarodowych ram prawnych, gdyż postęp technologiczny, jak np. wykorzystywanie obliczeń rozproszonych (cloud computing), umożliwia podmiotom odpowiedzialnym za przetwarzanie danych prowadzenie działalności w wielu krajach; wzywa Komisję do umocnienia również pojęcia „wiążących reguł korporacyjnych” w dziedzinie międzynarodowego transferu danych;

19. wzywa Komisję do podjęcia środków na rzecz potwierdzenia i umocnienia pozycji i roli grupy roboczej utworzonej na mocy art. 29 w celu zapewnienia jej bezstronności i przejrzystości jej działań, w celu usprawnienia współpracy między organami krajowymi oraz dalszego ujednolicenia w odniesieniu do wdrażania zasad dotyczących ochrony danych osobowych; jednocześnie wzywa Komisję do przedstawienia propozycji ram prawnych, które zapewnią spójność wykonywania uprawnień przez EIOD, krajowe organy odpowiedzialne za ochronę danych oraz grupę roboczą utworzoną na mocy art. 29;

20. wzywa Komisję, by dopilnowała, że dyrektywa ta będzie zawierała jasne i ujednolicone definicje;

21. domaga się, by Komisja przewidziała wysoki poziom przejrzystości w odniesieniu do ram prawnych dotyczących przetwarzania danych osobowych;

22. wzywa Komisję do zapewnienia przestrzegania zasad minimalizacji danych i ograniczenia celowości;

23. podkreśla znaczenie prawa dostępu do danych, prawa do ich poprawiania i usuwania;

24. wzywa Komisję do stworzenia specjalnego systemu ograniczeń w odniesieniu do danych szczególnie chronionych, co będzie wymagało jasnej definicji tej kategorii danych;

25. wzywa Komisję do zagwarantowania, że odstępstwa dopuszczalne dla celów dziennikarskich przewidziane w art. 9 obowiązującej dyrektywy o ochronie danych zostaną zachowane i że podjęte zostaną wszelkie starania w celu oceny potrzeby zwiększenia zakresu tych odstępstw w świetle wszelkich nowych przepisów, tak by chronić wolność prasy;

26. apeluje do Komisji, by zagwarantowała większe poczucie odpowiedzialności użytkowników Internetu za kwestię danych osobowych, i nalega w szczególności, aby agencje reklamowe i wydawcy wyraźnie informowali internautów, przed gromadzeniem dotyczących ich danych, o zamiarze zgromadzenia tych informacji.

WYNIK GŁOSOWANIA KOŃCOWEGO W KOMISJI

Data przyjęcia

24.5.2011

 

 

 

Wynik głosowania końcowego

+:

–:

0:

23

0

2

Posłowie obecni podczas głosowania końcowego

Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Lidia Joanna Geringer de Oedenberg, Syed Kamall, Klaus-Heiner Lehne, Antonio Masip Hidalgo, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Dimitar Stoyanov, Alexandra Thein, Diana Wallis, Rainer Wieland, Cecilia Wikström, Zbigniew Ziobro, Tadeusz Zwiefka

Zastępca(y) obecny(i) podczas głosowania końcowego

Piotr Borys, Kurt Lechner, Eva Lichtenberger, József Szájer

Zastępca(y) (art. 187 ust. 2) obecny(i) podczas głosowania końcowego

Pablo Arias Echeverría

WYNIK GŁOSOWANIA KOŃCOWEGO W KOMISJI

Data przyjęcia

15.6.2011

 

 

 

Wynik głosowania końcowego

+:

–:

0:

49

1

0

Posłowie obecni podczas głosowania końcowego

Jan Philipp Albrecht, Rita Borsellino, Simon Busuttil, Carlos Coelho, Rosario Crocetta, Cornelis de Jong, Agustín Díaz de Mera García Consuegra, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Nathalie Griesbeck, Sylvie Guillaume, Ágnes Hankiss, Anna Hedh, Salvatore Iacolino, Sophia in ‘t Veld, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Timothy Kirkhope, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu, Claude Moraes, Jan Mulder, Georgios Papanikolaou, Judith Sargentini, Birgit Sippel, Csaba Sógor, Rui Tavares, Wim van de Camp, Daniël van der Stoep, Axel Voss, Renate Weber, Tatjana Ždanoka

Zastępca(y) obecny(i) podczas głosowania końcowego

Edit Bauer, Michael Cashman, Anna Maria Corazza Bildt, Luis de Grandes Pascual, Ioan Enciu, Heidi Hautala, Stavros Lambrinidis, Mariya Nedelcheva, Norica Nicolai, Zuzana Roithová, Michèle Striffler, Cecilia Wikström

Zastępca(y) (art. 187 ust. 2) obecny(i) podczas głosowania końcowego

Marita Ulvskog, Silvia-Adriana Ţicău