GDPR Regulation 2018

Streszczenie opinii EIOD w sprawie wniosku dotyczącego rozporządzenia dotyczącego ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez unijne instytucje, organy i jednostki organizacyjne oraz swobodnego przepływu takich danych i uchylającego rozporządzenie (WE) nr 45/2001 i decyzję nr 1247/2002/WE

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)

(2017/C 164/02)

Unia Europejska ogłasza nową generację norm w zakresie ochrony danych. Przyjęcie prawie rok temu ogólnego rozporządzenia o ochronie danych i dyrektywy dotyczącej ochrony danych w obszarze policji i wymiaru sprawiedliwości stanowi najbardziej ambitne przedsięwzięcie prawodawcy Unii zrealizowane do tej pory w celu zabezpieczenia praw podstawowych osoby fizycznej w epoce cyfrowej. Przyszedł czas, aby instytucje UE same dawały przykład poprzez stosowanie przepisów, które je obowiązują jako administratorów danych i przetwarzających dane. W ciągu ostatnich osiemnastu miesięcy EIOD prowadził dialog z instytucjami UE na najwyższym poziomie, aby przygotować je na nowe wyzwania związane z przestrzeganiem przepisów o ochronie danych, podkreślając nową zasadę rozliczalności za sposób przetwarzania danych. Celem niniejszej opinii jest podzielenie się przez EIOD nabytym w ciągu dwunastu lat doświadczeniem w dziedzinie niezależnego nadzoru, doradztwa w zakresie polityki i promowania, aby zaproponować ulepszenia proponowanego rozporządzenia dotyczącego przetwarzania danych osobowych przez instytucje i organy UE.

Rozporządzenie nr 45/2001 było przewodnikiem określającym bezpośrednie obowiązki administratorów danych, prawa osób, których dane dotyczą, i wyraźnie niezależny organ nadzorczy. Zadaniem UE jest zapewnienie zgodności z ogólnym rozporządzeniem o ochronie danych poprzez położenie nacisku na rozliczalność i gwarancje dla osób fizycznych, a nie na procedury. Pewne rozbieżności w przepisach regulujących przetwarzanie danych przez instytucje UE są uzasadnione, podobnie jak w treści ogólnego rozporządzenia o ochronie danych zawarto pewnie odstępstwa dotyczące sektora publicznego, powinny być one jednak ograniczone do minimum.

Z punktu widzenia osoby fizycznej ważne jest jednak, aby wspólne zasady określone unijnymi ramami dotyczącymi ochrony danych stosowano w sposób spójny niezależnie od tego, kto jest administratorem danych. Ważne jest również, aby całe ramy obowiązywały w tym samym czasie, mianowicie w maju 2018 r.; jest to termin pełnego wdrożenia ogólnego rozporządzenia o ochronie danych.

Komisja zwróciła się do EIOD z wnioskiem o wydanie opinii w sprawie wniosku zgodnie ze stałym porozumieniem zawartym pomiędzy tymi instytucjami. Europejski Inspektor Ochrony Danych jest zdania, że Komisja osiągnęła ogólną równowagę pomiędzy różnorodnymi interesami. W niniejszej opinii określono kilka obszarów wniosku, które mogłyby zostać ulepszone. Europejski Inspektor Ochrony Danych opowiada się za wprowadzeniem ulepszeń do treści proponowanego rozporządzenia, w szczególności odnośnie do ograniczeń praw osób, których dane dotyczą, i przepisu umożliwiającego instytucjom UE stosowanie w pewnych kontekstach mechanizmów certyfikacji. W odniesieniu do zadań i praw EIOD jako niezależnego organu wydaje się, że we wniosku zachowano rozsądną równowagę i odzwierciedlono zwykłe funkcje niezależnego organu ochrony danych wynikające z Karty praw podstawowych oraz potwierdzone w oparciu o najnowsze orzecznictwo Trybunału Sprawiedliwości, jako organu przestrzegania prawa, organu rozpatrywania skarg i doradcy prawodawcy w zakresie polityki mającej wpływ na ochronę danych i prywatności.

Europejski Inspektor Ochrony Danych zachęca prawodawcę Unii do osiągnięcia porozumienia w sprawie wniosku tak szybko, jak to będzie możliwe, aby umożliwić instytucjom UE wykorzystanie rozsądnego okresu przejściowego przed wejściem w życie nowego rozporządzenia.

1.   WPROWADZENIE I KONTEKST

1.1.   Kontekst

1.

W dniu 10 stycznia 2017 r. Komisja Europejska przyjęła wniosek dotyczący rozporządzenia dotyczącego ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez unijne instytucje, organy i jednostki organizacyjne oraz swobodnego przepływu takich danych i uchylający rozporządzenie (WE) nr 45/2001 i decyzję nr 1247/2002/WE (1)(„wniosek”).

2.

Podstawowe prawo do ochrony danych osobowych wynika z art. 8 Karty praw podstawowych Unii Europejskiej („Karta”) i art. 16 Traktatu o funkcjonowaniu Unii Europejskiej („TFUE”).

3.

Europejski Inspektor Ochrony Danych („EIOD”) jest niezależnym organem nadzorczym odpowiedzialnym za zapewnienie, aby instytucje, organy i jednostki organizacyjne UE („instytucje UE”) postępowały zgodnie z przepisami dotyczącymi ochrony danych podczas przetwarzania danych osobowych (2). Wymóg zapewnienia niezależnej kontroli w systemie ochrony danych UE wynika z przepisów prawa pierwotnego, art.16 ust. 2 TFUE i art. 8 ust. 3 Karty. Trybunał Sprawiedliwości stale podkreśla, że kontrola niezależnego organu jest istotnym elementem prawa do ochrony danych i określił kryteria tej niezależności (3). W szczególności organ nadzorczy musi działać w sposób w pełni niezależny, co oznacza, że posiada on kompetencje decyzyjne niezależne od bezpośredniego lub pośredniego wpływu zewnętrznego (4) i nie istnieje w odniesieniu do niego podejrzenie stronniczości (5).

4.

Głównym instrumentem prawnym mającym zastosowanie do przetwarzania danych osobowych przez instytucje UE jest rozporządzenie (WE) nr 45/2001 (6) („rozporządzenie nr 45/2001”), uzupełnione decyzją nr 1247/2002/WE (7).

5.

Po zakończeniu w dniu 27 kwietnia 2016 r. przedłużających się negocjacji dotyczących nowych unijnych ram ochrony danych – ogólnego rozporządzenia o ochronie danych i dyrektywy dotyczącej ochrony danych w obszarze policji i wymiaru sprawiedliwości – niniejszy wniosek, wraz z wnioskiem Komisji dotyczącym rozporządzenia w sprawie prywatności i łączności elektronicznej („rozporządzenie o prywatności elektronicznej” (8)), stanowi początek istotnego etapu w procesie zakończenia prac nad unijnymi ramami ochrony danych. Celem wniosku jest dostosowanie przepisów rozporządzenia nr 45/2001 do przepisów określonych w ogólnym rozporządzeniu o ochronie danych, aby stworzyć silniejsze i spójniejsze unijne ramy ochrony danych i umożliwić stosowanie obu tych instrumentów jednocześnie (9). Ponadto we wniosku zawarto nowe przepisy dotyczące ochrony końcowych urządzeń telekomunikacyjnych użytkowników końcowych, określone we wniosku Komisji dotyczącym rozporządzenia o prywatności elektronicznej.

6.

W strategii na lata 2015–2019 EIOD zobowiązał się do współpracy z Parlamentem Europejskim, Radą i Komisją w celu zapewnienia, aby aktualne przepisy wprowadzone na mocy rozporządzenia nr 45/2001 były zgodnie z treścią ogólnego rozporządzenia o ochronie danych oraz aby zmienione ramy weszły w życie najpóźniej z początkiem 2018 r. Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje fakt, że Komisja zwróciła się do niego z nieformalnym wnioskiem o wydanie opinii przed przyjęciem wniosku oraz że wniosek wydaje się uwzględniać wiele kwestii podniesionych przez niego w ramach jego dotychczasowych nieformalnych działań. Europejski Inspektor Ochrony Danych jest zdania, że aktualna wersja wniosku z punktu widzenia dostosowania do ogólnego rozporządzenia o ochronie danych jest więcej niż zadowalająca, chyba że precyzyjnie zdefiniowane szczególne cechy unijnego sektora publicznego uzasadniają inne podejście, i szczególnie docenia fakt, że Komisja osiągnęła równowagę różnych wchodzących w grę interesów.

7.

Podczas gdy w niniejszej opinii EIOD wskazuje kilka obszarów wniosku, które mogłyby zostać ulepszone, zachęca on prawodawcę Unii do osiągnięcia porozumienia w sprawie wniosku tak szybko, jak to będzie możliwe, aby umożliwić instytucjom UE wykorzystanie rozsądnego okresu przejściowego przed wejściem w życie nowego rozporządzenia.

1.2.   Cele wniosku i terminy

8.

W przeszłości EIOD zalecał, aby do (ówczesnego) projektu ogólnego rozporządzenia o ochronie danych włączyć przepisy prawa materialnego dotyczące instytucji UE (10). Prawodawca unijny wybrał inne rozwiązanie: osobny instrument prawny mający zastosowanie do instytucji UE, dostosowany do ogólnego rozporządzenia o ochronie danych i obowiązujący jednocześnie z tym rozporządzeniem. Europejski Inspektor Ochrony Danych wspiera to podejście: nie do przyjęcia byłaby sytuacja, w której Komisja Europejska i inne instytucje UE nie byłyby związane przepisami równoważnymi z przepisami, które wkrótce będą obowiązywały na szczeblu państwa członkowskiego. Ponadto sprawowanie przez EIOD nadzoru nad zachowaniem przez instytucje UE zgodności z przepisami prawa materialnego, które byłyby podrzędne w stosunku do przepisów nadzorowanych przez jego krajowych odpowiedników, nie byłoby pożądane, w szczególności biorąc pod uwagę fakt, że EIOD będzie członkiem przyszłej Europejskiej Rady Ochrony Danych (11).

9.

Przyszłe przepisy regulujące kwestię przetwarzania danych osobowych przez instytucje UE powinny być zatem dostosowane do przepisów ogólnego rozporządzenia o ochronie danych, chyba że precyzyjnie zdefiniowane szczególne cechy unijnego sektora publicznego uzasadniają inne podejście. W tym względzie EIOD z zadowoleniem przyjmuje treść motywu 5 wniosku podkreślającą potrzebę możliwie maksymalnego dostosowania i wyjaśniającego, że „[w] każdym przypadku, w którym przepisy niniejszego rozporządzenia opierają się na tym samym założeniu, co przepisy [ogólnego rozporządzenia o ochronie danych], oba przepisy należy interpretować tak samo, w szczególności ze względu na fakt, że systematyka niniejszego rozporządzenia powinna być uznawana za tożsamą z systematyką [ogólnego rozporządzenia o ochronie danych]”.

10.

Jednocześnie dostosowanie do ogólnego rozporządzenia o ochronie danych nie może być ani całkowite, ani automatyczne. Ogólne rozporządzenie o ochronie danych obejmuje wiele klauzul umożliwiających państwom członkowskim utrzymanie lub wprowadzenie szczególnych przepisów w niektórych obszarach, w tym w obszarze organów publicznych (12). W przypadkach, w których ogólne rozporządzenie o ochronie danych określa szczególne przepisy dla organów publicznych (13) lub daje możliwość wdrożenia przepisów przez państwa członkowskie, można uznać, że wniosek odgrywa rolę porównywalną do roli prawa krajowego „wdrażającego” ogólne rozporządzenie o ochronie danych, jak na przykład treść art. 9 „Przekazywanie danych osobowych odbiorcom innym niż instytucje i organy unijne” lub art. 66 „Administracyjne kary pieniężne” wniosku (zob. sekcja 2.8.1 poniżej). Ponadto ważne jest zapewnienie zachowania obecnie obowiązującego wysokiego poziomu ochrony instytucji UE. Stąd potrzeba zachowania pewnych cech szczególnych rozporządzenia nr 45/2001, takich jak te określone w treści art. 25 „Ograniczenia” (zob. sekcja 2.3.1 poniżej) i art. 44 „Wyznaczenie inspektora ochrony danych” (zob. sekcja 2.4.5.1 poniżej).

11.

Oprócz dostosowania do przepisów ogólnego rozporządzenia o ochronie danych ważne jest również, aby zmienione przepisy stały się w pełni obowiązujące w tym samym momencie, co ogólne rozporządzenie o ochronie danych, tj. w dniu 25 maja 2018 r. Istniejąca sieć inspektorów ochrony danych stanowi skuteczny kanał udostępniania informacji i współpracy. W związku z tym EIOD jest przekonany, że zgodność zostanie osiągnięta po dość krótkim okresie przejściowym, na przykład trzech miesięcy.

12.

Zasada rozliczalności wynikająca z ogólnego rozporządzenia o ochronie danych – jak również niniejszy wniosek – wykracza poza zwykłą zasadę zachowania zgodności z przepisami i wymaga zmiany kulturowej. EIOD uruchomił „projekt rozliczalności”, aby ułatwić to przejście. W tym kontekście EIOD przez cały rok 2016 i 2017 pozostawał w kontakcie z siedmioma kluczowymi instytucjami i organami UE, aby wspierać przygotowania do terminowego wejścia w życie ogólnego rozporządzenia o ochronie danych.

1.3.   Zakres i związek z innymi instrumentami prawnymi

13.

Europejski Inspektor Ochrony Danych w przeszłości wielokrotnie wzywał Komisję do przedstawienia solidnego i kompleksowego systemu, który byłby ambitny i zwiększałby skuteczność i spójność ochrony danych w UE, aby zapewnić stabilne środowisko dla dalszego rozwoju w nadchodzących latach (14). Komisja wybrała inne podejście i zaproponowała odrębny instrument prawny dla ochrony danych w obszarze ścigania przestępstw (15). Sporządzono kilka wniosków dotyczących aktów prawnych wprowadzających odrębne „niezależne” systemy ochrony danych (16).

14.

Europejski Inspektor Ochrony Danych przyjmuje do wiadomości, że obecne ramy prawne dotyczące ochrony danych osobowych, choć fragmentaryczne, stanowią najlepsze możliwe dziś do osiągnięcia rozwiązanie (17). Europejski Inspektor Ochrony Danych rozumie, że niniejszy wniosek nadal będzie miał zastosowanie do instytucji UE, które dziś są objęte zakresem rozporządzenia nr 45/2001 (18) (głównie wszystkie byłe instytucje, organy i jednostki organizacyjne pierwszego i drugiego filaru (19)), nie będzie jednak miał wpływu na istniejące lub przyszłe „niezależne” systemy (20). Niniejszy wniosek będzie miał wpływ na te systemy jedynie jeżeli zostało to wyraźnie przewidziane w treści danego instrumentu prawnego i w zakresie przewidzianym w takim instrumencie. Europejski Inspektor Ochrony Danych zauważa to podejście, sugeruje jednak, aby zostało ono wyraźniej określone w preambule wniosku i być może również w art. 2 „Zakres stosowania”. Jednocześnie EIOD podkreśliłby, że fragmentacja i rosnąca złożoność ram prawnych dotyczących przetwarzania danych przez różne instytucje UE działające w ramach byłego filara pierwszego i trzeciego nie jest do końca zadowalającym rozwiązaniem i może wymagać ingerencji prawodawcy UE w perspektywie średnioterminowej.

15.

Rozporządzenie nr 45/2001 przewiduje środki na rzecz ochrony prywatności i poufności komunikacji w przypadkach, w których instytucje UE mają kontrolę nad infrastrukturą wykorzystywaną do komunikacji. Dlatego zawiera przepisy obejmujące część zakresu regulacyjnego dyrektywy 2002/58/WE („dyrektywa o prywatności i łączności elektronicznej”) (21)i ustanawia zasadę, że przepisy dotyczące ochrony praw podstawowych powinno się stosować w sposób spójny i jednolity w całej Unii, odnosząc się do odpowiednich instrumentów, takich jak dyrektywa o prywatności i łączności elektronicznej (22). Potrzeba zapewnienia takiego samego poziomu prywatności i poufności komunikacji z udziałem instytucji UE nie uległa zmianie, powinno się zatem utrzymać zasadę spójnego i jednolitego stosowania. Europejski Inspektor Ochrony Danych uważa zatem, że treść wniosku powinna zapewnić, aby stosowne przepisy ogólnego rozporządzenia o ochronie danych i przyszłego rozporządzenia o prywatności elektronicznej miały zastosowanie do instytucji UE mutatis mutandis. Dotyczy to zarówno zachowania poufności i prywatności w odniesieniu do usług komunikacji kontrolowanych przez instytucje UE, jak również innych zasad zawartych w przyszłym rozporządzeniu o prywatności elektronicznej, takich jak ochrona urządzeń końcowych i innych zasad, na przykład dotyczących śledzenia i spamu.

16.

Ponadto podczas gdy unijne przepisy dotyczące ochrony danych mają również zastosowanie do Europejskiego Obszaru Gospodarczego, a kraje EFTA zgodnie z ogólnym rozporządzeniem o ochronie danych mają obowiązek ustanowienia niezależnych organów nadzorczych, instytucje EFTA nie podlegają szczególnych przepisom dotyczącym ochrony danych i nadzoru, mimo iż wymieniają się danymi osobowymi z instytucjami UE. Europejski Inspektor Ochrony Danych uważa, ze przedmiotowy wniosek stanowi okazję do uregulowania tej kwestii.

3.   WNIOSKI

90.

Europejski Inspektor Ochrony Danych jest zdania, że wniosek z powodzeniem dostosowuje przepisy dotyczące instytucji UE do przepisów ogólnego rozporządzenia o ochronie danych, uwzględniając szczególnie cechy unijnego sektora publicznego. Zasadniczo we wniosku zachowano wysoki poziom ochrony danych przetwarzanych przez instytucje UE. Europejski Inspektor Ochrony Danych docenia w szczególności osiągniętą przez Komisję równowagę różnych wchodzących w grę interesów.

91.

Europejski Inspektor Ochrony Danych uważa, że wniosek wymaga dalszych ulepszeń, mianowicie w zakresie sposobów wprowadzania ograniczeń na mocy art. 25. W celu zapewnienia zgodności z wymogami w zakresie jakości prawa, o których mowa powyżej, należałoby zmienić art. 25 ust. 1 wniosku, aby prawa podstawowe mogły być ograniczane tylko na mocy aktów prawnych przyjętych na podstawie traktatów, nakładając w ten sposób na instytucje UE te same normy, które miałyby zastosowanie do państw członkowskich na mocy ogólnego rozporządzenia o ochronie danych. W zakresie, w jakim przewidziano ograniczenia art. 34 „Poufność łączności elektronicznej”, EIOD wzywa prawodawcę Unii do zapewnienia, aby ewentualne ograniczenia podstawowego prawa do prywatności komunikacji przez instytucje UE w ramach ich własnych działań podlegały takim samym normom przewidzianym przepisami prawa Unii zgodnie z interpretacją Trybunału Sprawiedliwości w tej dziedzinie.

92.

Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje fakt, że we wniosku zawarto odrębny artykuł dotyczący roli EIOD jako doradcy instytucji UE (art. 42 wniosku). Europejski Inspektor Ochrony Danych jest jednak zaniepokojony, że sformułowanie „po przyjęciu wniosków” (w przeciwieństwie do sformułowania „przyjmując projekty aktu prawnego” użytego w art. 28 ust. 2 rozporządzenia nr 45/2011) może zakwestionować długotrwałe zobowiązanie Komisji Europejskiej do nieformalnego konsultowania się z EIOD w sprawie projektów wniosków, zazwyczaj na etapie konsultacji pomiędzy służbami. Biorąc pod uwagę znaczenie nieformalnych konsultacji, EIOD oczekiwałby włączenia do treści wniosku motywu, w którym Komisja powtórzyłaby swoje zobowiązanie do tej od dawna stosowanej praktyki. Europejski Inspektor Ochrony Danych preferowałyby również zachowanie we wniosku brzmienia art. 28 ust. 2 rozporządzenia nr 45/2001 („przyjmując”), co umożliwi większą swobodę działania w tym względzie. Europejski Inspektor Ochrony Danych jest zdania, że art. 42 w proponowanym brzmieniu stanowi wystarczające wyjaśnienie odpowiednich zadań EIOD i Europejskiej Rady Ochrony Danych, pozwalające na uniknięcie zbędnego powielania w przyszłości.

93.

Europejski Inspektor Ochrony Danych uważa, że możliwość outsourcingu funkcji inspektora ochrony danych nie jest odpowiednim rozwiązaniem dla instytucji UE wykonujących władzę publiczną. W związku z powyższym należy usunąć drugą możliwość przewidzianą w treści art. 44 ust. 4 („lub wykonywać zadania na podstawie zamówienia publicznego na usługi”).

94.

Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje treść art. 66 wniosku, na mocy którego EIOD otrzymałby uprawnienia do nakładania administracyjnych kar pieniężnych. Zdaniem EIOD pozbawienie organu nadzorczego UE możliwości nakładania administracyjnych kar pieniężnych, w stosownych przypadkach, postawiłoby instytucje UE w pozycji uprzywilejowanej w porównaniu do instytucji sektora publicznego w wielu państwach członkowskich.

95.

Europejski Inspektor Ochrony Danych uważa, że mechanizmy certyfikacji mogą być bardzo przydatnym instrumentem dla instytucji UE i są już w pewnych kontekstach wykorzystywane, na przykład poświadczanie zgodności z ogólnie przyjętymi normami. Należy zatem włączyć odniesienia do stosowania certyfikacji (ale nie kodeksów postępowania) do treści art. 26 „Obowiązki administratora”, art. 27 „Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”, oraz art. 33 „Bezpieczeństwo przetwarzania”.

96.

Podczas gdy w niniejszej opinii EIOD wskazuje kilka obszarów, które mogłyby zostać ulepszone, zachęca on prawodawcę Unii do osiągnięcia porozumienia w sprawie wniosku tak szybko, jak to będzie możliwe, aby umożliwić instytucjom UE wykorzystanie rozsądnego okresu przejściowego zanim nowe rozporządzenie wejdzie w życie jednocześnie z ogólnym rozporządzeniem o ochronie danych, w maju 2018 r.

Bruksela, dnia 15 marca 2017 r.

Giovanni BUTTARELLI

Europejski Inspektor Ochrony Danych