Opinia Europejskiego Inspektora Ochrony Danych (EIOD) w sprawie proponowanych wspólnych ram statystyk europejskich dotyczących osób fizycznych i gospodarstw domowych.

Dzienniki UE

Dz.U.UE.C.2017.87.1

Akt nienormatywny
Wersja od: 21 marca 2017 r.

Opinia Europejskiego Inspektora Ochrony Danych (EIOD) w sprawie proponowanych wspólnych ram statystyk europejskich dotyczących osób fizycznych i gospodarstw domowych

(2017/C 87/01)

(Dz.U.UE C z dnia 21 marca 2017 r.)

Wniosek ma na celu ustanowienie wspólnych ram statystyk europejskich dotyczących osób fizycznych i gospodarstw domowych na podstawie danych zbieranych głównie metodą doboru próby na poziomie indywidualnym.

W odpowiedniej części wniosku zawarto odniesienia do wykorzystania rejestrów administracyjnych, jak również innych źródeł lub innowacyjnych podejść do dostarczania danych statystycznych w kontekście dużych zbiorów danych. Nowe innowacyjne podejścia mogą okazać się obiecujące dla statystyk i badań, wiążą się one jednak również z ryzykiem i stwarzają wyzwania, przy czym prawodawcy muszą zapewnić, aby potencjalnych korzyści nie osiągano kosztem praw osób fizycznych. Prawodawcy, aby zapewnić skuteczną ochronę prawa do prywatności i prawa do ochrony danych osobowych, powinni przewidzieć potencjalne ryzyko i wyzwania, jakie mogą nieść za sobą te obiecujące techniki, i powinni zapewnić odpowiednie zabezpieczenia.

EIOD zaleca zatem zmianę art. 8 w celu zapewnienia, aby dane pochodzące z rejestrów administracyjnych i innych źródeł danych były przetwarzanie w sposób zgodny z obowiązującymi przepisami dotyczącymi ochrony danych oraz aby osoby fizyczne dostarczające dane w sposób bezpośredni czyniły tak wyłącznie dobrowolnie (z zastrzeżeniem niektórych wyjątków przewidzianych przepisami prawa i odpowiednich zabezpieczeń).

Odnośnie do powiązania z rejestrami administracyjnymi, zgodnie z art. 11, EIOD podkreśla potrzebę zapewnienia, aby dane pozwiązywane były zgodnie z przepisami dotyczącymi ochrony danych, z zastrzeżeniem zasad konieczności, proporcjonalności i szczególnych zabezpieczeń wynikających z przepisów prawa państwa członkowskiego lub Unii.

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę Praw Podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych,

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 28 ust. 2,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

1. 

Kontekst i cel wniosku

1.
W dniu 8 sierpnia 2016 r. Komisja Europejska ("Komisja") opublikowała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego wspólne ramy europejskich statystyk dotyczących osób fizycznych i gospodarstw domowych, opartych na danych na poziomie indywidualnym zbieranych metodą doboru próby (zwany dalej "wnioskiem") 1 . Tego samego dnia Komisja zwróciła się do Europejskiego Inspektora Ochrony Danych (EIOD), jako niezależnego organu doradczego, o wydanie opinii. W dniu 25 listopada 2016 r. taki wniosek przedłożyła również Rada Unii Europejskiej ("Rada").
2.
Jak wskazano w art. 1 ("Przedmiot"), celem wniosku jest ustanowienie wspólnych ram europejskich statystyk dotyczących osób fizycznych i gospodarstw domowych w oparciu o dane na poziomie indywidualnym, zbierane metodą doboru próby.
3.
Europejski Inspektor Ochrony Danych odnotowuje cele polityki zawarte we wniosku. Z zadowoleniem przyjmuje:
-
fakt, że Komisja zwróciła się do EIOD o konsultacje oraz że w motywie 23 proponowanego rozporządzenia zawarto odniesienie dotyczące tych konsultacji,
-
włączenie motywu 20 dotyczącego obowiązujących przepisów dotyczących ochrony danych (dyrektywa 95/46/WE i rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady), oraz
-
odniesienie do przepisów dotyczących ochrony danych podczas powiązania danych dotyczących osoby fizycznej pochodzących z różnych rejestrów (art. 11).

2. 

Przegląd i kluczowe zastrzeżenia

4.
Głównym zastrzeżeniem EIOD jest niejednoznaczność obecnego projektu w zakresie możliwości wykorzystania danych "administracyjnych" i danych pochodzących z "dużych zbiorów danych", takich jak dane dotyczące lokalizacji telefonu, dokumentacja firmowa i podatkowa, dokumentacja dotycząca ubezpieczenia społecznego i medyczna, dane z urzędów pracy i organizacji zarządzających systemem ubezpieczeń społecznych. Podczas gdy duże zbiory danych niosą za sobą nowe możliwości i większą wydajność przy tworzeniu statystyk publicznych, wiążą się one również ze szczególnym ryzykiem; EIOD zaleca zatem uważne zbadanie stosownych przepisów 2 .
5.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjąłby również większą przejrzystość co do faktu, że w sytuacji, gdy informacje dostarczane są bezpośrednio przez osoby fizyczne, obywa się to na zasadzie dobrowolności, za zgodą wynikającą z art. 6 i 7 ogólnego rozporządzenia o ochronie danych ("GDPR") 3 , stanowiącą postawę prawną przetwarzania danych osobowych; chyba że dostarczenie informacji jest wymagane na mocy prawa Unii lub państwa członkowskiego zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych.
6.
W świetle powyższych zastrzeżeń EIOD ze szczególnym zadowoleniem przyjąłby fakt, gdyby prawodawcy wprowadzili większą przejrzystość w treści proponowanego art. 8 (dotyczącego źródeł danych i metod).
7.
Pozostałe przepisy, które zdaniem EIOD mogłyby zostać dopracowane, obejmują:
-
art. 2 lit. e) dotyczący definicji "rejestrów administracyjnych",
-
motyw 4 dotyczący wykorzystania "źródeł administracyjnych" do celów statystycznych,
-
motyw 20 dotyczący obowiązujących przepisów w zakresie ochrony danych i pojęcia "ważny interes publiczny",
-
art. 11 ust. 1 dotyczący operatów losowania.

3. 

Zalecenia

3.1. 

Odniesienia do obowiązujących przepisów dotyczących ochrony danych (motyw 20)

8.
W zależności od daty wejścia w życie proponowanego rozporządzenia może zaistnieć potrzeba zaktualizowania odniesień do obowiązującego prawa w motywie 20. W szczególności może zaistnieć potrzeba zastąpienia ich odniesieniami do ogólnego rozporządzenia o ochronie danych (GDPR), które zaczną obowiązywać dnia 25 maja 2018 r., i odniesieniami do nowego instrumentu prawnego zastępującego rozporządzenie (WE) nr 45/2001.
9.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjąłby również zawarcie w treści motywu odniesienia do zachowania zgodności z gwarancjami dotyczącymi przetwarzania danych do celów statystycznych na mocy art. 89 ogólnego rozporządzenia o ochronie danych.
10.
Biorąc pod uwagę fakt, że wniosek przewiduje możliwość wykorzystywania danych z nowych źródeł danych, na przykład danych dotyczących lokalizacji uzyskanych z rejestrów telefonii komórkowej (zob. Sekcję 3.4 dotyczącą art. 8 poniżej), EIOD zaleca również zawarcie szczególnego odniesienia do dyrektywy o prywatności i łączności elektronicznej 4 , która obecnie jest aktualizowana (lub do nowego rozporządzenia w sprawie prywatności i łączności elektronicznej, jeśli będzie miało zastosowanie biorąc pod uwagę aktualność).

3.2. 

Odniesienia do "ważnego interesu publicznego" (motyw 20)

11.
W celu ułatwienia odniesienia do powyższego odbiorcom niebędącym ekspertami EIOD zaleca, aby po słowach "ważny interes publiczny" dodać "zgodnie z art. 8 ust. 4 dyrektywy 95/46/WE". Jeżeli treść motywu będzie zawierać odniesienie do ogólnego rozporządzenia o ochronie danych, odpowiednim przepisem będzie art. 9 ust. 2 lit. g) ogólnego rozporządzenia o ochronie danych.

3.3. 

Definicja rejestrów administracyjnych (art. 2 lit. e) i motyw 4)

12.
W art. 2 lit. e) wniosku zdefiniowano "rejestry administracyjne" jako "dane generowane na potrzeby własne przez źródło niestatystyczne, zwykle organ publiczny, którego celem nie jest dostarczanie statystyk". Terminu "rejestry administracyjne" użyto następnie w treści art. 8 oraz motywu 4.
13.
Definicja rejestrów administracyjnych wydaje się bardzo szeroka i wydaje się obejmować w praktyce "inne źródła danych", co jest kolejnym terminem stosowanym w treści art. 8. Tak zdefiniowany termin "dane administracyjne" może na przykład obejmować nie tylko rejestry administracyjne organów publicznych, ale również źródła takie jak dane dotyczące lokalizacji uzyskiwane z telefonu komórkowego, które w powszechnym znaczeniu tego terminu, nie zawsze uznaje się za "rejestr administracyjny".
14.
Nie wydaje się, aby miało to bezpośredni wpływ na poziom ochrony danych osobowych biorąc pod uwagę fakt, że art. 8 w każdym przypadku obejmuje "inne źródła danych". Niemniej jednak dla zapewnienia jasności prawodawcy mogliby rozważyć zmianę art. 2 lit. e) i zawężenie definicji "rejestrów administracyjnych". Alternatywnie prawodawcy mogliby usunąć art. 2 lit. e), a treść: "rejestry generowane przez organizację, zwykle organ publiczny, którego celem nie jest dostarczanie statystyk, oraz inne źródła, metody i innowacyjne podejścia..." włączyć do art. 8.
15.
Co więcej, jak EIOD wskazał powyżej, w treści motywu 4 zachęca się w szczególności do wykorzystywania źródeł administracyjnych dla celów statystycznych. Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje fakt, że w motywie tym podkreśla się potrzebę zapewnienia "jakości, dokładności, aktualności i porównywalności takich statystyk". Europejski Inspektor Ochrony Danych zaleca dodanie odniesienia do ochrony danych osobowych, aby ulepszyć ten przepis. Na przykład na końcu akapitu można dodać następującą treść: "oraz zabezpieczając prawo do ochrony danych osobowych".

3.4. 

Źródła danych oraz metody (art. 8)

16.
W treści art. 8 prawodawca oprócz danych udzielanych bezpośrednio przez respondentów odnosi się również do "rejestrów administracyjnych oraz innych źródeł, metod lub innowacyjnych podejść, o ile umożliwiają one tworzenie danych, które są porównywalne i zgodne z odpowiednimi wymogami szczegółowymi ustanowionymi w niniejszym rozporządzeniu".
17.
W art. 8 odzwierciedlono intencję zawartą na stronie 13 uzasadnienia, aby umożliwić i wspierać "stosowanie nowych form zbierania danych i alternatywnych źródeł danych, w tym danych administracyjnych oraz danych szacunkowych uzyskanych przez modelowanie i z dużych zbiorów danych". Zobacz wyżej wspomniany motyw 4 wniosku, zgodnie z którym promuje się "wykorzystywanie źródeł administracyjnych dzięki postępowi technicznemu" i art. 13 dotyczący studiów wykonalności i badań pilotażowych, w treści którego omawia się wykorzystanie innych źródeł danych.
18.
W obszarze statystyki, podobnie jak w innych obszarach, duże zbiory danych mogą przynieść korzyści, takie jak zwiększona skuteczność. Mogą one jednak również stwarzać dodatkowe ryzyko. Nowe ramy ochrony danych, w szczególności przyjęcie ogólnego rozporządzenia o ochronie danych, mają na celu zwalczanie tych zagrożeń w sposób zapewniający ochronę, jednocześnie pozwalający na elastyczność w zakresie dalszego wykorzystania danych, w tym do celów statystycznych.
19.
W obszarze prawa krajowego lub prawa Unii dotyczącego statystyk najprawdopodobniej wymagane będzie podjęcie dalszych środków prawodawczych, aby umożliwić powszechniejsze wykorzystanie dużych zbiorów danych w statystyce w sposób zgodny z obowiązującymi przepisami dotyczącymi ochrony danych.
20.
Aktualna wersja wniosku nie powinna sprawiać wrażenia, że treść art. 8 sama w sobie stanowi wystarczającą podstawę prawną do wykorzystania dużych zbiorów danych do celów określonych we wniosku. Istotne jest, aby treść motywów i art. 8 razem jasno stanowiły, że wykorzystanie dużych zbiorów danych podlega obowiązującym przepisom dotyczącym ochrony danych, w tym wymaga odpowiedniej podstawy prawnej na podstawie art. 6 ogólnego rozporządzenia o ochronie danych.
21.
W tym celu EIOD zaleca zmianę art. 8 w następujący sposób:

Artykuł 8

Źródła danych oraz metody

1. W celu dostarczenia danych, o których mowa w art. 1, państwa członkowskie wykorzystują jedno lub kilka z następujących źródeł danych, pod warunkiem że spełniają one wymogi jakościowe określone w art. 12 i są zbierane i dalej przetwarzane zgodnie z zabezpieczeniami przewidzianymi w obowiązujących przepisach dotyczących ochrony danych:

a) informacje udzielane bezpośrednio przez respondentów na zasadzie dobrowolności, na podstawie zgody osób, których dane dotyczą, udzielanych na mocy art. 4 [ogólnego rozporządzenia o ochronie danych] (chyba że dostarczenie informacji jest wymagane na mocy przepisów prawa Unii lub państwa członkowskiego obowiązujących administratora danych i określających stosowne środki zabezpieczające prawa i wolności i uzasadniony interes osób, których dane dotyczą);

b) rejestry administracyjne oraz inne źródła, metody lub innowacyjne podejścia, o ile umożliwiają one tworzenie danych, które są porównywalne i zgodne z odpowiednimi wymogami szczegółowymi ustanowionymi w niniejszym rozporządzeniu.

2. Państwa członkowskie przekazują Komisji (Eurostatowi) szczegółowe informacje na temat wykorzystanych źródeł i metod.

3.5. 

Operaty losowania (art. 11)

22.
Zgodnie z art. 11 ust. 1 operaty losowania obejmują "informacje niezbędne do powiązania osób fizycznych z innymi rejestrami administracyjnymi, o ile zezwalają na to przepisy o ochronie danych".
23.
Zaleca się przeformułowanie drugiej części zdania w następujący sposób: "w zakresie, w jakim powiązanie z takimi innymi rejestrami jest niezbędne i proporcjonalne, oraz wyraźnie dozwolone na mocy obowiązujących przepisów prawa Unii lub państwa członkowskiego obowiązujących administratora danych i określających stosowne środki zabezpieczające prawa i wolności i uzasadniony interes osób, których dane dotyczą".

4. 

Wnioski

24.
Europejski Inspektor Ochrony Danych zaleca:
-
włączenie do odniesienia dotyczącego obowiązujących przepisów zawartego w motywie 20 dyrektywy o prywatności i łączności elektronicznej oraz uaktualnienie wszystkich stosownych odniesień, jeżeli zajdzie taka potrzeba, w świetle aktualnej rewizji ram ochrony danych,
-
wyjaśnienie odniesienia do "ważnego interesu publicznego" w motywie 20,
-
istotną zmianę art. 8 w celu zapewnienia, aby dane pochodzące z rejestrów administracyjnych i innych źródeł danych były przetwarzane w sposób zgodny z obowiązującymi przepisami dotyczącymi ochrony danych oraz aby osoby fizyczne dostarczające dane w sposób bezpośredni czyniły tak wyłącznie dobrowolnie (z zastrzeżeniem niektórych wyjątków przewidzianych przepisami prawa i odpowiednich zabezpieczeń),
-
odnośnie do powiązania z rejestrami administracyjnymi zgodnie z art. 11 zapewnienie, aby dane pozwiązywane były zgodnie z przepisami dotyczącymi ochrony danych, z zastrzeżeniem zasad konieczności, proporcjonalności i szczególnych zabezpieczeń wynikających z przepisów prawa państwa członkowskiego lub Unii,
-
rozważenie zmiany definicji "rejestrów administracyjnych" w art. 2 lit. e) i dodanie odniesienia do prawa o ochronie danych osobowych w powiązanym z tym artykułem motywie 4.
Bruksela, dnia 1 marca 2017 r.
Wojciech Rafał WIEWIÓROWSKI
Zastępca Europejskiego Inspektora Ochrony Danych
1 COM(2016) 551 final.
2 W sprawie możliwości, ryzyka i wyzwań związanych z dużymi zbiorami danych zob. opinię EIOD 7/2015 pt. "Sprostanie wyzwaniom związanym z dużymi zbiorami danych": https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-11-19_Big_Data_ EN.pdf. Zobacz w szczególności sekcję 1.
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1.
4 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz.U. L 201 z 31.7.2002, s. 37).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .