Opinia na temat wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania danych przetwarzanych w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej zmieniającej dyrektywę 2002/58/WE (COM(2005) 438 wersja ostateczna).
Dz.U.UE.C.2005.298.1
Akt nienormatywny(2005/C 298/01)
(Dz.U.UE C z dnia 29 listopada 2005 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając Kartę Praw Podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1) oraz dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywę o prywatności i łączności elektronicznej)(2),
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(3), w szczególności jego art. 41,
uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 otrzymany od Komisji w dniu 23 września 2005 r.,
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
I.
Wstęp
Wstęp
II.
Uwagi ogólne
Uwagi ogólne
– przechowywanie informacji o poszczególnych osobach zostało uznane za ingerencję w życie prywatne, nawet jeżeli nie zawierają one informacji wrażliwych (Amann(4)),
– to samo dotyczy praktyki "meteringu" połączeń telefonicznych polegającego na użyciu urządzenia elektronicznego rejestrującego w sposób automatyczny numery wybierane przez dany telefon oraz daty, godziny i czas trwania każdego połączenia (Malone(5)),
– uzasadnienie ingerencji powinno być bardziej istotne niż szkodliwy wpływ, jaki samo istnienie omawianych przepisów mogłoby mieć na osoby, których dotyczą dane (Dudgeon(6)).
– dane muszą być zatrzymywane przez okres o wiele dłuższy od okresu ich zatrzymywania przez dostawców publicznych usług łączności elektronicznej lub publiczne sieci łączności (obydwie te kategorie są dalej zwane "dostawcami usług"),
– na mocy dyrektywy 2002/58/WE, a w szczególności jej art. 6, dane mogą być zbierane i przechowywane z powodów bezpośrednio związanych z samym procesem komunikacji, w tym naliczania płatności(7). Następnie dane muszą zostać usunięte (z zastrzeżeniem wyjątków). Zgodnie z omawianym wnioskiem zatrzymywanie danych do celów ścigania przestępstw jest obowiązkowe. Wychodzi się więc z przeciwnego założenia,
– dyrektywa 2002/58/WE zapewnia bezpieczeństwo i poufność danych. Omawiany wniosek nie może prowadzić do luk prawnych w tym zakresie; wymagane są ścisłe gwarancje oraz wyjaśnienie ograniczeń związanych z celami ich zatrzymywania,
– wprowadzenie obowiązku zatrzymywania danych, przewidziane w omawianym wniosku, prowadzi do powstania dużych baz danych i skutkuje powstaniem szczególnego ryzyka dla osoby, której dotyczą dane. Można tutaj wspomnieć o komercyjnym wykorzystaniu danych oraz ich użyciu do oszukańczego pozyskiwania poufnych informacji osobistych (phishing) lub eksploracji danych (data mining) przez organy ścigania lub krajowe służby bezpieczeństwa.
Konieczność zatrzymywania danych dotyczących ruchu oraz danych dotyczących lokalizacji
Proporcjonalność
– ograniczyć okresy zatrzymywania danych. Okresy te muszą odpowiadać udokumentowanym potrzebom organów ścigania,
– ograniczyć ilość danych, które mają być przechowywane. Ilość ta musi odpowiadać udokumentowanym potrzebom organów ścigania oraz należy uniemożliwić dostęp do zawartości informacyjnej komunikatu,
– zawierać odpowiednie środki bezpieczeństwa w celu ograniczenia dostępu do danych i ich dalszego wykorzystania, zagwarantowania ich bezpieczeństwa oraz zapewnienia, że osoby, których dotyczą te dane, mogą korzystać ze swoich praw w stosunku do nich.
Odpowiednie środki bezpieczeństwa
– samych dostawców usług. Mogą oni odczuwać pokusę wykorzystania danych do własnych celów komercyjnych. Konieczne są gwarancje uniemożliwiające kopiowanie plików danych,
– organy ścigania: wniosek oferuje im prawo dostępu, ale tylko w szczególnych wypadkach i zgodnie z przepisami prawa krajowego (art. 3 ust. 2 wniosku). Nie powinien być możliwy dostęp do danych w celach ich eksploracji lub pozyskiwania poufnych informacji osobistych. Wymiana danych z organami innych Państw Członkowskich powinna być jasno uregulowana,
– służby wywiadowcze (odpowiedzialne za bezpieczeństwo narodowe).
– ograniczać dostęp do danych i ich dalsze wykorzystanie,
– zapewniać odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony baz danych. Obejmuje to odpowiednie usunięcie danych na koniec okresu zatrzymania oraz informacje o żądaniach dostępu do danych i ich wykorzystania zgłaszanych przez różne grupy zainteresowanych podmiotów,
– zapewnić wykonywanie praw osób, których dotyczą dane, nie tylko poprzez potwierdzenie ogólnych zasad ochrony danych,
– zawierać bodźce zachęcające dostawców usług do inwestowania w infrastrukturę techniczną.
III.
Podstawa prawna a projekt decyzji ramowej
Podstawa prawna a projekt decyzji ramowej
IV.
Potrzeba harmonizacji
Potrzeba harmonizacji
V.
Uwagi dotyczące poszczególnych artykułów wniosku
Uwagi dotyczące poszczególnych artykułów wniosku
– właściwym organom krajowym,
– w określonych przypadkach;
– do celów zapobiegania, dochodzenia, wykrywania i ścigania poważnych przestępstw, takich jak terroryzm i przestępczość zorganizowana.
Artykuł 3 ust. 2 odwołuje się do ustawodawstwa krajowego Państw Członkowskich w celu szczegółowego określenia dalszych ograniczeń.
Artykuł 4: Kategorie danych, które mają być zatrzymywane
– umieszczenia wybranej techniki legislacyjnej z opisami funkcji w tekście samej dyrektywy, a szczegółów technicznych w załączniku. To rozwiązanie jest wystarczająco elastyczne, by adekwatnie dostosować się do rozwoju technologii, oraz oferuje obywatelom pewność prawną,
– rozróżnienia pomiędzy danymi telekomunikacyjnymi i internetowymi, pomimo faktu, że to rozróżnienie z technologicznego punktu widzenia traci na znaczeniu. Jednak z perspektywy ochrony danych rozróżnienie to jest istotne, gdyż w Internecie granica pomiędzy zawartością informacyjną komunikatu a danymi dotyczącymi ruchu nie jest jednoznaczna (patrz na przykład: uznanie w art. 1 ust. 2 dyrektywy, że informacje konsultowane za pomocą Internetu stanowią zawartość informacyjną komunikatu),
– poziomu harmonizacji: wniosek przewiduje wysoki poziom harmonizacji wraz z wyczerpującym wykazem kategorii danych, które podlegają zatrzymaniu (w przeciwieństwie do projektu decyzji ramowej, który zawiera wykaz minimalny z szerokim marginesem umożliwiającym dodawanie danych przez Państwa Członkowskie). Z perspektywy ochrony danych pełna harmonizacja jest kwestią podstawową (patrz: sekcja IV).
– artykuł 4 akapit drugi powinien zawierać bardziej szczegółowe kryteria w celu zapewnienia wyłączenia zawartości informacyjnej komunikatu. Należy dodać następujące zdanie: "Załącznik nie może zawierać danych, które ujawniałyby zawartość komunikatu",
– artykuł 5 otwiera możliwość wprowadzenia zmian do Załącznika za pomocą dyrektywy Komisji ("procedura komitologii"). EIOD zauważa, że zmiany do Załącznika mające znaczący wpływ na ochronę danych powinny raczej zostać wprowadzone za pomocą dyrektywy, zgodnie z procedurą współdecydowania(10).
Artykuł 7: Okresy zatrzymywania
– nie zapominając o wątpliwościach wyrażonych w niniejszej opinii w stosunku do konieczności zatrzymywania danych dotyczących ruchu przez okres do jednego roku, okres jednego roku odzwierciedla praktyki organów ścigania, jak wskazują dane przekazane przez Komisję i Prezydencję Rady,
– dane te pokazują również, że, z wyjątkiem szczególnych przypadków, zatrzymywania danych przez okres dłuższy niż jeden rok nie odzwierciedla praktyk organów ścigania,
– krótszy okres wynoszący 6 miesięcy dla danych związanych z łącznością elektroniczną zachodzącą z wykorzystaniem wyłącznie lub przede wszystkim protokołu IP jest istotny z punktu widzenia ochrony danych, gdyż zatrzymywanie komunikatów internetowych prowadzi do tworzenia ogromnych baz danych (data te zwykle nie są zatrzymywane do celów naliczania płatności), granica oddzielająca je od zawartości informacyjnej komunikatu jest niejednoznaczna, a zatrzymywanie przez okres dłuższy niż 6 miesięcy nie odzwierciedla praktyk organów ścigania.
– odpowiednio 6 miesięcy i jeden rok stanowią maksymalne okresy zatrzymywania danych,
– dane są usuwane na koniec okresu zatrzymania. Tekst powinien również jasno określać sposób usuwania danych. Zdaniem EIOD dostawca usług musi usunąć dane za pomocą środków automatycznych, przynajmniej w codziennej praktyce.
Artykuł 8: Wymagania dotyczące przechowywania zatrzymanych danych
– wymagane dane są przekazywane przez dostawców usług właściwym organom (patrz: pkt 63),
– dostawcy usług powinni zainstalować niezbędne wyposażenie techniczne, w tym wyszukiwarki, w celu ułatwienia ukierunkowanego dostępu do określonych danych,
– dostawcy usług powinni zapewnić, że wyłącznie członkowie ich personelu o określonych kompetencjach technicznych mają dostęp do baz danych z przyczyn technicznych oraz że ci członkowie personelu są świadomi wrażliwego charakteru danych i pracują zgodnie ze ścisłymi wewnętrznymi zasadami poufności,
– przesyłanie danych powinno zachodzić nie tylko bez nieuzasadnionych opóźnień, ale także bez ujawniania innych danych dotyczących ruchu i lokalizacji niż dane niezbędne do spełnienia wnioskowanych celów.
Artykuł 9: Statystyka
Artykuł 10: Koszty
Artykuł 11: Zmiana dyrektywy 2002/58/WE
Artykuł 12: Ocena
– ocena powinna obejmować ocenę skuteczności wdrażania dyrektywy z perspektywy organów ścigania oraz ocenę oddziaływania na podstawowe prawa osób, których dotyczą zatrzymywane dane. Komisja powinna przedstawić wszelkie dowody, które mogłyby wpłynąć na wyniki oceny,
– ocena powinna się odbywać regularnie (co najmniej raz na dwa lata),
– Komisja powinna zostać zobowiązana do zgłaszania poprawek do wniosku w uzasadnionych przypadkach (podobnie jak w art. 18 dyrektywy 2002/58/WE).
VI.
Wnioski
Wnioski
– ograniczyć okresy zatrzymywania danych. Okresy te muszą odpowiadać udokumentowanym potrzebom organów ścigania,
– ograniczyć ilość danych, które mają być przechowywane. Ilość ta musi odpowiadać potrzebom organów ścigania oraz należy uniemożliwić dostęp do zawartości informacyjnej komunikatu,
– zawierać adekwatne środki bezpieczeństwa.
Całościowa ocena wniosku
– dodanie do wniosku szczegółowych przepisów dotyczących dostępu właściwych organów do danych dotyczących ruchu i lokalizacji oraz dalszego wykorzystania tych danych jako podstawowej i nierozdzielnej części podstawowego zagadnienia,
– dodanie do wniosku dalszych dodatkowych gwarancji ochrony danych (w przeciwieństwie do prostego odniesienie do gwarancji zawartych w istniejącym prawodawstwie, a w szczególności w dyrektywach 95/46/EC i 2002/58/EC), między innymi w celu zapewnienia wykonania praw osób, których dotyczą dane,
– dodanie do wniosku dalszych bodźców zachęcających dostawców usług do inwestowania w odpowiednią infrastrukturę techniczną, w tym bodźców finansowych. Ta infrastruktura może być odpowiednia wyłącznie pod warunkiem istnienia skutecznych wyszukiwarek.
Zalecenia dotyczące modyfikacji wniosku
– dodanie przepisu zapewniającego, że osoby inne niż właściwe organy nie mają dostępu do danych. Przepis ten może mieć następujące brzmienie: "dostęp do danych lub ich przetwarzanie jest możliwe wyłącznie w celach określonych w art. 3 ust. 2" lub "dostawcy usług skutecznie zapewniają możliwość dostępu wyłącznie właściwym organom",
– jasne wskazanie, że dane mogą być udostępnione wyłącznie w związku z określonym przestępstwem,
– ograniczenie przepisu do niektórych poważnych przestępstw,
– dodanie do wniosku jednego lub więcej artykułów dotyczących dostępu właściwych organów do danych dotyczących ruchu i lokalizacji oraz dalszego wykorzystania tych danych, a także przepisu określającego, że dostęp w określonych przypadkach powinien być kontrolowany przez organy sądowe Państw Członkowskich,
– dodanie ustępu poświęconego ochronie danych.
– dodanie do art. 4 akapit drugi następującego zdania: "Załącznik nie może zawierać danych, które ujawniałyby zawartość komunikatu",
– jasne wskazanie, że zmiany do Załącznika mające znaczący wpływ na ochronę danych, powinny zostać wprowadzone za pomocą dyrektywy, zgodnie z procedurą współdecydowania.
– odpowiednio 6 miesięcy i jeden rok stanowią maksymalne okresy zatrzymywania danych,
– dane są usuwane na koniec okresu zatrzymania. Tekst powinien również wyjaśniać sposób usuwania danych, to znaczy przez dostawcę usług za pomocą środków automatycznych, przynajmniej w codziennej praktyce.
– wymagane dane są przekazywane przez dostawców usług właściwym organom,
– dostawcy usług powinni zainstalować niezbędne wyposażenie techniczne, w tym wyszukiwarki, w celu ułatwienia ukierunkowanego dostępu do określonych danych,
– dostawcy usług powinni zapewnić, że wyłącznie członkowie ich personelu o określonych kompetencjach technicznych mają dostęp do baz danych z przyczyn technicznych oraz że ci członkowie personelu są świadomi wrażliwego charakteru danych i pracują zgodnie ze ścisłymi wewnętrznymi zasadami poufności,
– przesyłanie danych powinno zachodzić nie tylko bez nieuzasadnionych opóźnień, ale także bez ujawniania innych danych dotyczących ruchu i lokalizacji niż dane niezbędne do spełnienia celów określonych we wniosku.
– dodanie przepisu zobowiązującego dostawcę usług do przechowywania list logowania oraz do przeprowadzania systematycznych audytów własnych umożliwiających kontrolę stosowania w praktyce zasad ochrony danych krajowym organom ochrony danych.
– związek pomiędzy adekwatnością środków bezpieczeństwa a ich kosztami powinien zostać wyjaśniony w tekście przepisu,
– dodanie minimalnych standardów środków bezpieczeństwa, jakie powinni przyjąć dostawcy usług, by kwalifikować się do zwrotu kosztów przez Państwo Członkowskie,
– wyjaśnienie skutków finansowych wniosku w memorandum wyjaśniającym.
– wprowadzenie zmiany do art. 15 ust. 1 dyrektywy 2002/58/WE w celu skreślenia odniesień do art. 6 i 9 (tej samej dyrektywy) lub przynajmniej zmodyfikowania tych odniesień w celu wyjaśnienia, że Państwa Członkowskie nie posiadają już kompetencji pozwalającej na przyjmowanie aktów prawnych związanych z przestępstwami, innych niż omawiany wniosek.
– powinien on zawierać ocenę skuteczności wdrażania dyrektywy,
– ocena powinna się odbywać regularnie (co najmniej raz na dwa lata),
– Komisja powinna zostać zobowiązana do zgłaszania poprawek do wniosku w uzasadnionych przypadkach (podobnie jak w art. 18 dyrektywy 2002/58/WE).
Sporządzono w Brukseli dnia 26 września 2005 r.
Peter HUSTINX | |
Europejski Inspektor Ochrony Danych |
______
(1) Dz.U. L 281 z 23.11.1995, str. 31.
(2) Dz.U. L 201 z 31.7.2002, str. 37.
(3) Dz.U. L 8 z 12.1.2001, str. 1.
(4) Orzeczenie ETPC z dnia 16 lutego 2000 r., Amann, 2000-II, skarga 27798/95.
(5) Orzeczenie ETPC z dnia 2 sierpnia 1984 r., Malone, A82, skarga 8691/79.
(6) Orzeczenie ETPC z dnia 22 października 1981 r., Dudgeon, A45, skarga 7525.
(7) Patrz: także pkt 3 niniejszej opinii.
(8) Wolność a bezpieczeństwo - w poszukiwaniu należnej równowagi. Dokument brytyjskiej Prezydencji Unii Europejskiej z dnia 7 września 2005 r.
(9) Patrz: Stanowisko w sprawie ścigania przestępstw i wymiany informacji w UE (Position Paper on Law Enforcement and Information Exchange in the EU) przyjęte podczas Wiosennej Konferencji Europejskich Organów Ochrony Danych w Krakowie w dniach 25-26 kwietnia 2005 r.
(10) Patrz: opinia EIOD z dnia 23 marca 2005 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie Systemu Informacji Wizowej (VIS) oraz wymiany danych pomiędzy Państwami Członkowskimi na temat wiz krótkoterminowych (pkt 3.12).
(11) Patrz: opinia EIOD z dnia 23 marca 2005 r.w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie Systemu Informacji Wizowej (VIS) oraz wymiany danych pomiędzy Państwami Członkowskimi na temat wiz krótkoterminowych (pkt 3.9).
(12) Komisja odwołuje się do danych podanych przez ETNO (European Telecommunications Network Operators' Association) oraz sprawozdania posła do Parlamentu Europejskiego A. Alvaro dotyczącego projektu decyzji ramowej.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.