Opinia w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie zużytego sprzętu elektrycznego i elektronicznego (WEEE).

(WEEE)

(2010/C 280/02)

(Dz.U.UE C z dnia 16 października 2010 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, w szczególności jej art. 17,

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ

I. WPROWADZENIE

1. W dniu 3 grudnia 2008 r. Komisja przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie zużytego sprzętu elektrycznego i elektronicznego (WEEE) (zwany dalej "wnioskiem")⁽¹⁾. Wniosek ma na celu przekształcenie dyrektywy 2002/96/WE w sprawie zużytego sprzętu elektrotechnicznego i elektronicznego (WEEE) przyjętej w dniu 27 stycznia 2003 r. (zwanej dalej "dyrektywą")⁽²⁾ bez zmiany przyczyn lub czynników napędowych związanych ze zbieraniem i recyklingiem WEEE.

2. Nie skonsultowano się z EIOD zgodnie z wymogami art. 28 ust. 2 rozporządzenia (WE) nr 45/2001⁽³⁾. Działając z własnej inicjatywy, EIOD przyjął zatem obecną opinię w oparciu o art. 41 ust. 2 tego rozporządzenia. EIOD zaleca włączenie odniesienia do niniejszej opinii w preambułę wniosku.

3. EIOD zdaje sobie sprawę, że niniejsza porada ma miejsce na późnym etapie procesu legislacyjnego, niemniej jednak uważa wydanie niniejszej opinii za stosowne i przydatne, ponieważ we wniosku poruszono znaczące kwestie ochrony danych nieuwzględnione w jego tekście. Celem niniejszej opinii nie jest zmiana głównego i dominującego celu i treści wniosku, którego "istotą"⁽⁴⁾ pozostaje ochrona środowiska, a przywołanie dodatkowego wymiaru, który staje się coraz ważniejszy dla naszego społeczeństwa informacyjnego⁽⁵⁾.

4. Zdając sobie sprawę z ograniczonego zakresu procedury przekształcenia, EIOD niemniej jednak nalega, aby ustawodawca uwzględnił te zalecenia zgodnie z art. 8 porozumienia międzyinstytucjonalnego w sprawie procedury przekształcania (które przewiduje możliwość zmiany przepisów niezmienionych)⁽⁶⁾.

II. KONTEKST I PODSTAWA WNIOSKU ORAZ JEGO ZNACZENIE DLA OCHRONY DANYCH

5. Wniosek ma na celu uaktualnienie istniejącej dyrektywy dotyczącej unieszkodliwiania, ponownego użycia i recyklingu WEEE. Do powstania wniosku, zgodnie z tym, co przewidziano w art. 17 ust. 5 dyrektywy, doprowadziły problemy techniczne, prawne i administracyjne występujące w ciągu pierwszych lat wykonania tej dyrektywy.

6. Sprzęt elektryczny i elektroniczny (EEE) stanowi dużą grupę produktów, która obejmuje różne rodzaje nośników mogących przechowywać dane osobowe, takich jak sprzęt informatyczny i telekomunikacyjny (np. komputery osobiste, laptopy, terminale komunikacji elektronicznej). W obecnym kontekście technologicznym i gospodarczym sprzęt ten charakteryzuje się coraz szybszym cyklem innowacyjnym oraz - z uwagi na konwergencję technologiczną - dostępnością urządzeń wielofunkcyjnych. Rozwój elektronicznych nośników informacji szybko przyspiesza, szczególnie pod względem ich pojemności i rozmiaru, i dlatego siły rynkowe powodują, że obrót EEE (zawierającym duże ilości danych osobowych, często szczególnie chronionych) ulega podobnemu przyspieszeniu. W rezultacie nie tylko WEEE "jest uważany za najszybciej rosnący strumień odpadów w UE"⁽⁷⁾, ale również - w przypadku jego niewłaściwego unieszkodliwienia - istnieje oczywiste większe ryzyko utraty i rozpowszechnienia danych osobowych przechowywanych na danym rodzaju EEE.

7. Przez długi czas polityka Unii Europejskiej w dziedzinie ochrony środowiska i zrównoważonego rozwoju miała na celu ograniczanie marnowania zasobów naturalnych i wprowadzanie środków zapobiegających zanieczyszczeniu.

8. Ramy te obejmują unieszkodliwianie, ponowne użycie i recykling WEEE. Środki te dążą do zapobiegania unieszkodliwianiu sprzętu elektrycznego i elektronicznego razem z odpadami mieszanymi, nakładając na producentów obowiązek zapewnienia unieszkodliwiania w sposób określony w dyrektywie.

9. Wśród różnych środków przewidzianych w dyrektywie należy w szczególności zwrócić uwagę na te, które mają na celu ponowne użycie (tj. każdą czynność, w której wyniku WEEE lub ich części składowych używa się w tym samym celu, dla jakiego były przewidziane, w tym dalsze użycie urządzeń lub ich części składowych, które zwrócono do punktów zbiórki, dystrybutorów, zakładów recyklingu lub wytwórców), recykling (tj. ponowne przetworzenie odpadów w procesie produkcji do pierwotnego celu lub do innych celów) oraz znalezienie innych form odzyskania WEEE, aby ograniczyć ilość unieszkodliwianych odpadów (zob. art. 1 i 3 lit. d) i e) dyrektywy).

10. Działania te, w szczególności ponowne użycie i recykling WEEE, zwłaszcza sprzętu informatycznego i telekomunikacyjnego, mogą stanowić ryzyko, i to większe niż w przeszłości, że podmioty prowadzące zbiórkę WEEE lub sprzedające i kupujące urządzenia używane lub pochodzące z recyklingu mogą zdać sobie sprawę z danych osobowych przechowywanych na tych urządzeniach. Dane te często mogą być szczególnie chronione lub dotyczyć dużej liczby osób fizycznych.

11. Z tego względu EIOD uważa, że wszystkim zainteresowanym stronom (użytkownikom i producentom EEE) należy jak najszybciej uświadomić zagrożenia dla danych osobowych, szczególnie na końcowym etapie cyklu życia EEE. Mimo że na tym etapie EEE ma mniejszą wartość gospodarczą, prawdopodobnie zawiera duże ilości danych osobowych, a zatem może mieć dużą wartość "rzeczywistą" dla osoby, której dane dotyczą, lub innych osób.

III. ANALIZA WNIOSKU

III.1. Stosowanie dyrektywy 95/46/WE

12. EIOD nie ma żadnych uwag w odniesieniu do ogólnego celu omawianego wniosku i w pełni popiera podjętą inicjatywę, która ma na celu ulepszenie przyjaznej dla środowiska polityki w dziedzinie WEEE.

13. Wniosek i dyrektywa koncentrują się jednak wyłącznie na zagrożeniach dla środowiska, jakie wiążą się z unieszkodliwianiem WEEE. Wniosek nie uwzględnia innych dodatkowych zagrożeń dla osób fizycznych lub organizacji, które mogą być wynikiem operacji unieszkodliwiania, ponownego użycia lub recyklingu WEEE, a w szczególności zagrożeń związanych z prawdopodobieństwem niewłaściwego uzyskania, ujawnienia lub rozpowszechnienia danych osobowych przechowywanych na WEEE.

14. Należy zauważyć, że dyrektywa 95/46/WE⁽⁸⁾ stosuje się do "każdej operacji lub zestawu operacji dokonywanych na danych osobowych", w tym ich "usuwania lub niszczenia" (art. 2 lit. b). Unieszkodliwianie EEE może obejmować operacje przetwarzania danych. Z tego względu wniosek i wspomniana dyrektywa częściowo się pokrywają, a zatem zasady ochrony danych mogą w takiej sytuacji stosować się do działań objętych wnioskiem.

III.2. Unieszkodliwianie WEEE a środki bezpieczeństwa

15. EIOD chce zwrócić uwagę na znaczące zagrożenia, które mogą mieć wpływ na osoby fizyczne i organizacje działające jako "administratorzy danych"⁽⁹⁾, gdy WEEE, w szczególności sprzęt informatyczny i telekomunikacyjny, zawiera w trakcie unieszkodliwiania dane osobowe dotyczące użytkowników tych urządzeń lub stron trzecich. Bezprawny dostęp do takich danych osobowych, które czasami obejmują szczególne kategorie danych ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane osobowe dotyczące stanu zdrowia lub życia seksualnego (tak zwane "dane szczególnie chronione")⁽¹⁰⁾, lub ich ujawnienie rzeczywiście mogą wpłynąć na prywatność i godność osób, których dane te dotyczą, jak również na inne uzasadnione interesy tych osób fizycznych/organizacji (np. gospodarcze).

16. Ogólnie rzecz biorąc, EIOD uważa za konieczne podkreślenie znaczenia przyjęcia stosownych środków bezpieczeństwa na każdym etapie (od początku do końca) przetwarzania danych osobowych, co wielokrotnie stwierdził w innych opiniach⁽¹¹⁾. Ma to a fortiori zastosowanie na szczególnie wrażliwym etapie, gdy administrator danych zamierza unieszkodliwić urządzenia zawierające dane osobowe.

17. Stosowanie środków bezpieczeństwa jest często warunkiem wstępnym mającym na celu skuteczne zagwarantowanie prawa do ochrony danych osobowych.

18. Dlatego też sprzeczne z logiką byłoby obowiązkowe wprowadzenie (czasem kosztownych) środków bezpieczeństwa do zwykłych operacji przetwarzania danych osobowych (jak w stosownych przypadkach przewiduje art. 17 dyrektywy 95/46/WE⁽¹²⁾), a następnie pominięcie uwzględnienia wprowadzenia odpowiednich zabezpieczeń w odniesieniu do unieszkodliwiania WEEE.

19. Podobnie sprzeczne z logiką byłoby podkreślenie znaczenia kwestii bezpieczeństwa danych poprzez wprowadzenie wymogu powiadamiania o naruszeniu danych na mocy art. 2 dyrektywy 2009/136/WE⁽¹³⁾, a następnie niezapewnienie żadnych gwarancji ani zabezpieczeń w trakcie unieszkodliwiania WEEE, jak również w przypadku ponownego użycia lub recyklingu WEEE.

20. EIOD z przykrością stwierdza, że wniosek nie uwzględnia potencjalnie szkodliwego wpływu unieszkodliwiania WEEE na ochronę danych osobowych przechowywanych na sprzęcie "używanym".

21. Ten aspekt nie jest również brany pod uwagę w ocenie wpływu dokonanej przez Komisję⁽¹⁴⁾, chociaż doświadczenie pokazało, że niepodjęcie właściwych środków bezpieczeństwa w przypadku unieszkodliwiania WEEE

może zagrażać ochronie danych osobowych⁽¹⁵⁾. Ze względu na złożoność kwestii związanych z tym problemem (na przykład ogromną liczbę różnych zasadnych metod, technologii i zainteresowanych stron w cyklu unieszkodliwiania WEEE) EIOD uważa, że stosowne byłoby dokonanie "oceny wpływu na prywatność i ochronę danych" w odniesieniu do procesów związanych z unieszkodliwianiem WEEE.

22. Niemniej jednak EIOD zdecydowanie zaleca opracowanie "najlepszych dostępnych technik" odnośnie do prywatności, ochrony danych i bezpieczeństwa w tej dziedzinie.

23. Kolejnym dowodem jest fakt, że w trakcie konsultacji społecznych poprzedzających przekształcenie dyrektywy, zainteresowane strony, w szczególności przedsiębiorstwa z sektora technologii informacyjnych i łączności elektronicznej, od czasu do czasu podnosiły kwestie dotyczące bezpieczeństwa i ochrony danych osobowych⁽¹⁶⁾.

24. Warto także podkreślić, że niektóre krajowe organy ochrony danych opublikowały wytyczne w celu zminimalizowania zagrożeń, które mogą wynikać z niepodjęcia koniecznych środków bezpieczeństwa, szczególnie w zakresie unieszkodliwiania materiałów, do których stosuje się dyrektywa⁽¹⁷⁾.

25. EIOD powtarza, że dyrektywa 95/46/WE ma zastosowanie na etapie unieszkodliwiania WEEE zawierającego dane osobowe. Z tego względu administratorzy danych - w szczególności wykorzystujący urządzenia informatyczne i komunikacyjne - są zobowiązani do spełniania swoich obowiązków dotyczących bezpieczeństwa, aby zapobiec niedozwolonemu ujawnieniu lub rozpowszechnieniu danych osobowych. W tym celu oraz aby uniknąć pociągnięcia do odpowiedzialności za naruszenie środków bezpieczeństwa administratorzy danych w sektorze publicznym lub prywatnym powinni - przy współpracy z inspektorami ochrony danych (tam, gdzie są obecni) - przyjąć właściwą politykę unieszkodliwiania WEEE zawierającego dane osobowe.

26. Jeżeli administratorzy danych unieszkodliwiający EEE nie posiadają potrzebnych umiejętności lub technicznej wiedzy eksperckiej, aby usunąć dane osobowe, o których mowa, mogą powierzyć to zadanie uprawnionym przetwarzającym (np. centrom pomocy, producentom sprzętu i dystrybutorom) na warunkach przewidzianych w art. 17 ust. 2, 3 i 4 dyrektywy 95/46/WE. Z kolei przetwarzający poświadczą przeprowadzenie operacji, o których mowa, lub je wykonają.

27. Z powyższych względów EIOD dochodzi do wniosku, że przekształcenie dyrektywy powinno obejmować dodanie zasad ochrony danych do przepisów mających na celu ochronę środowiska.

28. EIOD zaleca zatem Radzie i Parlamentowi Europejskiemu włączenie do obecnego wniosku przepisu szczegółowego stwierdzającego, że dyrektywa stosuje się do unieszkodliwiania WEEE bez uszczerbku dla przepisów dyrektywy 95/46/WE.

III.3. Ponowne użycie lub recykling WEEE a środki bezpieczeństwa

29. Ze względu na fakt, że podmioty odpowiedzialne za czynności unieszkodliwiania znajdują się w sytuacji umożliwiającej podjęcie niezależnej decyzji co do danych przechowywanych na EEE, można by te podmioty uważać za "administratorów danych"⁽¹⁸⁾. Dlatego też muszą one przyjąć wewnętrzne procedury w celu uniknięcia niepotrzebnych operacji przetwarzania jakichkolwiek danych osobowych przechowywanych na WEEE, a mianowicie operacji innych niż te, które są całkowicie niezbędne do potwierdzenia skutecznego usunięcia danych znajdujących się na tym sprzęcie.

30. Ponadto nie mogą zezwolić nieupoważnionym osobom fizycznym na uzyskanie wiedzy o danych przechowywanych na EEE lub ich przetwarzanie. Większe ryzyko niewłaściwego ujawnienia lub rozpowszechnienia danych osobowych oraz konieczność zapobieżenia nieupoważnionemu dostępowi do danych osobowych występują szczególnie, gdy nośniki informacji są poddane recyklingowi lub ponownie użyte i tym samym ponownie wprowadzone na rynek.

31. Z tego względu EIOD zaleca Radzie i Parlamentowi Europejskiemu włączenie do obecnego wniosku przepisu szczegółowego zakazującego wprowadzania do obrotu używanych urządzeń, wobec których wcześniej nie zastosowano odpowiednich środków bezpieczeństwa zgodnie z najnowocześniejszymi normami technicznymi (na przykład wielokrotnego nadpisywania) w celu usunięcia wszelkich danych osobowych, jakie mogą zawierać.

III.4. Poszanowanie prywatności i bezpieczeństwa od samego początku

32. Nadchodzące ramy prawne dotyczące e-odpadów powinny nie tylko zawierać przepis szczegółowy odnoszący się do szerszej "zasady ekoprojektu" sprzętu (zob. art. 4 wniosku w sprawie "projektu produktu"), ale również - jak stwierdzono w innych opiniach EIOD⁽¹⁹⁾ - przepis odnoszący się do zasady "poszanowania prywatności od samego początku"⁽²⁰⁾ lub, co dokładniej dotyczy tej dziedziny, "bezpieczeństwa od samego początku"⁽²¹⁾. Prywatność i ochrona danych powinny być uwzględniane, o ile to możliwe, w projekcie sprzętu elektrycznego lub elektronicznego "w sposób domyślny", aby umożliwić użytkownikom usunięcie - w prosty sposób i bezpłatnie - danych osobowych, które mogą być obecne na urządzeniach w przypadku ich unieszkodliwiania⁽²²⁾.

33. To podejście jest wyraźnie popierane w art. 3 ust. 3 lit. c) dyrektywy 1999/5/WE⁽²³⁾ w sprawie urządzeń radiowych i końcowych urządzeń telekomunikacyjnych oraz w art. 14 ust. 3 dyrektywy 2002/58/WE⁽²⁴⁾.

34. Producenci powinni zatem "wbudowywać" środki ochrony prywatności i bezpieczeństwa poprzez rozwiązania technologiczne⁽²⁵⁾. W tych ramach należy również promować i wspierać inicjatywy mające na celu informowanie zainteresowanych stron o potrzebie usunięcia wszelkich danych osobowych przed unieszkodliwieniem WEEE (w tym producentów, którzy w tym celu udostępniają bezpłatne oprogramowanie)⁽²⁶⁾.

IV. WNIOSKI

35. Biorąc pod uwagę powyższe rozważania, EIOD zaleca, aby organy ochrony danych, w szczególności za pośrednictwem grupy roboczej art. 29, oraz EIOD byli ściśle zaangażowani w inicjatywy związane z unieszkodliwianiem WEEE na zasadzie konsultacji na dostatecznie wczesnym etapie przed opracowaniem odpowiednich środków.

36. Biorąc jednak pod uwagę kontekst, w którym dane osobowe są przetwarzane, EIOD zaleca, aby wniosek zawierał przepisy szczegółowe:

– stwierdzające, że dyrektywę WEEE stosuje się bez uszczerbku dla przepisów dyrektywy 95/46/WE,

– zakazujące wprowadzania do obrotu używanych urządzeń, wobec których wcześniej nie zastosowano odpowiednich środków bezpieczeństwa zgodnie z najnowocześniejszymi normami technicznymi w celu usunięcia wszelkich danych osobowych, jakie mogą zawierać,

– odnoszące się do zasady "poszanowania prywatności od samego początku" lub "bezpieczeństwa od samego początku": prywatność i ochrona danych powinny być uwzględniane, o ile to możliwe, w projekcie sprzętu elektrycznego lub elektronicznego "w sposób domyślny", aby umożliwić użytkownikom usunięcie - w prosty sposób i bezpłatnie - danych osobowych, które mogą być obecne na urządzeniach w przypadku ich unieszkodliwiania.

37. EIOD zdecydowanie zaleca zatem, aby zgodnie z dyrektywą 95/46/WE wprowadzić we wniosku następujące zmiany:

– motyw (11): "Ponadto niniejszą dyrektywę należy stosować bez uszczerbku dla przepisów dotyczących ochrony danych, w szczególności dyrektywy 95/46/WE. Ponieważ sprzęt elektryczny i elektroniczny (EEE) jest dużą grupą produktów, która obejmuje różne rodzaje nośników mogących przechowywać dane osobowe (takie jak sprzęt informatyczny i telekomunikacyjny), związane z nimi czynności unieszkodliwiania, w szczególności ponowne użycie i recykling, mogą stanowić zagrożenie nieupoważnionym dostępem do danych osobowych przechowywanych na WEEE. Dlatego też w miarę możliwości środki ochrony prywatności i bezpieczeństwa danych powinny być domyślnie włączone w projekt sprzętu elektrycznego i elektronicznego umożliwiającego przechowywanie danych osobowych, aby umożliwić użytkownikom usunięcie - w prosty sposób i bezpłatnie - wszelkich takich danych obecnych w czasie unieszkodliwiania.",

– artykuł 2 ust. 3: "Niniejszą dyrektywę stosuje się bez uszczerbku dla przepisów dotyczących ochrony danych, w szczególności dyrektywy 95/46/WE.".

38. Ponadto EIOD uważa, że należy wziąć pod uwagę wprowadzenie następujących zmian:

– artykuł 4 ust. 2: "Państwa członkowskie wspierają środki promujące projektowanie i produkcję sprzętu elektrycznego i elektronicznego, który ułatwia usuwanie wszelkich danych osobowych zawartych na EEE w czasie jego unieszkodliwiania",

– artykuł 8 ust. 7: "Państwa członkowskie gwarantują, że jakikolwiek zebrany WEEE zawierający dane osobowe, który podlega obróbce w celu recyklingu lub ponownego użycia, nie jest wprowadzany do obiegu, dopóki dane te nie zostaną usunięte z wykorzystaniem najlepszych dostępnych technik.",

– artykuł 14 ust. 6.: "Państwa członkowskie mogą wymagać, aby użytkownicy EEE zawierającego dane osobowe otrzymywali od producentów lub dystrybutorów, np. w instrukcji użytkowania lub w punkcie sprzedaży, informacje odnoszące się do konieczności usunięcia danych osobowych, które mogą być przechowywane na EEE przed jego unieszkodliwieniem".

Sporządzono w Brukseli dnia 14 kwietnia 2010 r.

Peter HUSTINX

Europejski Inspektor Ochrony Danych

______

⁽¹⁾ COM(2008) 810 wersja ostateczna.

⁽²⁾ Dz.U. L 37 z 13.2.2003, s. 24.

⁽³⁾ Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, Dz.U. L 8 z 12.1.2001, s. 1.

⁽⁴⁾ Zob. Trybunał Sprawiedliwości, 23.2.1999, sprawa C-42/97 Parlament Europejski przeciwko Radzie Unii Europejskiej, [1999] Zb.Orz. s. I-869, pkt 43.

⁽⁵⁾ Zob. także m.in. Trybunał Sprawiedliwości, 30.1.2001, sprawa C-36/98 Królestwo Hiszpanii przeciwko Radzie Unii Europejskiej, [1999] Zb.Orz. s. I-779, pkt 59: "W przypadku gdy analiza wspólnotowego aktu prawnego wykaże, że omawiany akt ma dwa cele lub dwa elementy składowe, a jeden z tych aspektów można zidentyfikować jako główny lub dominujący, podczas gdy drugi ma jedynie charakter pomocniczy, wówczas ten akt prawny powinien zostać oparty na jednej podstawie prawnej, a mianowicie na tej, która wymagana jest z racji głównego lub dominującego celu lub takiego elementu składowego".

⁽⁶⁾ Porozumienie międzyinstytucjonalne z dnia 28 listopada 2001 r. w sprawie bardziej uporządkowanego wykorzystania techniki przekształcania aktów prawnych, Dz.U. C 77 z 28.3.2002, s. 1.

⁽⁷⁾ Zob. dokument roboczy służb Komisji towarzyszący wnioskowi dotyczącemu dyrektywy Parlamentu Europejskiego i Rady w sprawie zużytego sprzętu elektrycznego i elektronicznego (WEEE) (wersja przekształcona). Ocena skutków z 3.12.2008 (COM(2008) 810 wersja ostateczna) SEC(2008) 2933, s. 17.

⁽⁸⁾ Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. L 281 z 23.11.1995, s. 31.

⁽⁹⁾ Zob. definicja "administratora danych" w art. 2 lit. d) dyrektywy 95/46/WE.

⁽¹⁰⁾ Zob. art. 8 dyrektywy 95/46/WE.

⁽¹¹⁾ Zob. opinia EIOD w sprawie agencji do spraw zarządzania operacyjnego wielkoskalowymi systemami informatycznymi (Dz.U. C 70 z 19.3.2010, s. 13), pkt 46 i 47; opinia w sprawie wniosku dotyczącego dyrektywy w sprawie stosowania praw pacjenta w transgranicznej opiece zdrowotnej (Dz.U. C 128 z 6.6.2009, s. 20), pkt 27-31.

⁽¹²⁾ Zob. art. 3 tejże dyrektywy.

⁽¹³⁾ Dyrektywa Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. zmieniająca dyrektywę 2002/22/WE w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników, dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej oraz rozporządzenie (WE) nr 2006/2004 w sprawie współpracy między organami krajowymi odpowiedzialnymi za egzekwowanie przepisów prawa w zakresie ochrony konsumentów, Dz.U. L 337 z 18.12.2009, s. 11.

⁽¹⁴⁾ Dokument roboczy służb Komisji towarzyszący wnioskowi dotyczącemu dyrektywy Parlamentu Europejskiego i Rady w sprawie zużytego sprzętu elektrycznego i elektronicznego (WEEE) (wersja przekształcona), SEC(2008) 2933 z 3.12.2008; zob. jednak Uniwersytet Narodów Zjednoczonych, 2008 Review of Directive 2002/96/EC on Waste Electrical and Electronic Equipment (WEEE), Komisja Europejska, Belgia, 2007 r., s. 273 (http://ec.europa.eu/environment/waste/weee/pdf/final_rep_unu.pdf); "Data security is also an issue - removing personal data from a hard-drive" (Ważną kwestią jest również bezpieczeństwo danych - usuwanie danych osobowych z dysku twardego).

⁽¹⁵⁾ Zob. np. dostępny w Internecie artykuł BBC "Children's files on eBay computer" z dnia 4 maja 2007 r., w którym odnotowano, że na aukcji na portalu eBay sprzedano komputer zawierający dane osobowe na temat opieki zastępczej i adopcji dzieci (http://news.bbc.co.uk/2/hi/uk_news/england/6627265.stm); zob. także dostępny w Internecie artykuł BBC "Bank customer data sold on eBay" z dnia 26 sierpnia 2008 r., w którym odnotowano, że na aukcji na portalu eBay sprzedano dysk twardy zawierający dane osobowe pochodzące z banku posiadającego milion klientów (http://news.bbc.co.uk/2/hi/uk_news/7581540.stm).

⁽¹⁶⁾ Zob. HP, Stakeholder Consultation on the Review of Directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical and Electronic Equipment (WEEE), s. 7-8; DELL (projekt uwag), WEEE Review Policy Options of the stakeholder consultation on the review of directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical And Electronic Equipment (WEEE), s. 2, pkt 1.1. i 4, pkt 1.3. (3.6.2008); Royal Philips Electronics Position and Proposal, Stakeholder consultation on the Revision of the WEEE Directive, s. 12 (5.6.2008) (http://circa.europa.eu/Public/irc/env/weee_2008_review/library). Zob. także WEEE Consultation Response, Summary of responses and Government response to fourth consultation on implementation of Directives 2002/96/EC and 2003/108/EC on Waste Electrical and Electronic Equipment, grudzień 2006 r., s. 30: "Ochrona i bezpieczeństwo danych. Niektóre przedsiębiorstwa gospodarujące odpadami chciałyby, aby wydano pewne wytyczne dotyczące ochrony i bezpieczeństwa danych, szczególnie w świetle faktu, że przedsiębiorstwa te będą dokonywać obróbki danych szczególnie chronionych" (http://www.berr.gov.uk/files/file35961.pdf).

⁽¹⁷⁾ Landesbeauftragter für Datenschutz und Informationsfreiheit Bremen, Entwicklung eines Konzeptes zur Löschung und Datenträgervernichtung durch Behörden und Unternehmen, dnia 16 maja 2007 r. (http://www.datenschutz-bremen.de/rtf/datenloeschung.rtf); Garante per la protezione dei dati personali, Electrical and Electronic Waste and Data Protection, dnia 13 października 2008 r. (http://www.garanteprivacy.it/garante/doc.jsp?ID=1583482), wspomniane także w dwunastym sprawozdaniu rocznym grupy roboczej art. 29 ds. ochrony danych, dnia 16 czerwca 2009 r., s. 57; zob. także zalecenia Międzynarodowej Grupy Roboczej ds. Ochrony Danych w Telekomunikacji, Recommendation on Data Protection and E-Waste, Sofia, 12-13.3.2009 (http://www.datenschutz-berlin.de/attachments/650/675.38.14.pdf?1264671551).

⁽¹⁸⁾ "Pojęcie administratora danych jest (...) funkcjonalne w tym sensie, że ma na celu przydzielanie obowiązków tam, gdzie występuje faktyczny wpływ, a zatem opiera się raczej na analizie okoliczności faktycznych niż na analizie formalnej": zob. grupa robocza art. 29 ds. ochrony danych, WP 169, Opinia 1/2010 w sprawie pojęć "administrator danych" i "przetwarzający", przyjęta dnia 16 lutego 2010 r.

⁽¹⁹⁾ Zob. np. The EDPS and EU Research and Technological Development. Policy paper, dnia 28 kwietnia 2008 r., s. 2; opinia EIOD w sprawie inteligentnych systemów transportowych (Dz.U. C 47 z 25.2.2010, s. 6); opinia EIOD w sprawie nadzoru nad bezpieczeństwem farmakoterapii (Dz.U. C 229 z 23.9.2009, s. 19).

⁽²⁰⁾ Argument przemawiający za szerokim stosowaniem tej zasady - zob. grupa robocza art. 29 ds. ochrony danych - Working Party on Police and Justice, The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data, WP 168, dokument przyjęty w dniu 1 grudnia 2009 r., s. 3 i 12; zob. także zalecenie Komisji w sprawie wdrażania zasad ochrony prywatności i ochrony danych w zastosowaniach wspieranych identyfikacją radiową, C(2009) 3200 wersja ostateczna, s. 8.

⁽²¹⁾ Zob. komunikat Komisji "Europejski program badań i innowacji w dziedzinie bezpieczeństwa" - wstępne stanowisko Komisji w sprawie głównych ustaleń i zaleceń europejskiego forum badań i innowacji w dziedzinie bezpieczeństwa (ESRIF), COM(2009) 691 wersja ostateczna, s. 6 i 14.

⁽²²⁾ Zob. także EIOD, opinia z dnia 18 marca 2010 r. w sprawie wspierania zaufania w społeczeństwie informacyjnym poprzez działanie na rzecz ochrony danych i prywatności.

⁽²³⁾ Artykuł 3 ust. 3 dyrektywy 1999/5/WE Parlamentu Europejskiego i Rady z dnia 9 marca 1999 r. w sprawie urządzeń radiowych i końcowych urządzeń telekomunikacyjnych oraz wzajemnego uznawania ich zgodności (Dz.U. L 91 z 7.4.1999, s. 10): "(...) Komisja może zdecydować, że aparatura należąca do niektórych klas sprzętu lub aparatura określonego typu ma być tak skonstruowana, aby (...) miała wbudowane systemy zabezpieczające w celu zapewnienia ochrony danych osobowych i prywatności użytkownika lub subskrybenta".

⁽²⁴⁾ "W miarę potrzeb, możliwe jest przyjęcie środków w celu zapewnienia, że terminal jest skonstruowany w sposób zgodny z prawem użytkowników do ochrony i kontroli używania ich danych osobowych, zgodnie z dyrektywą 1999/5/WE i decyzją Rady 87/95/EWG z dnia 22 grudnia 1986 r. w sprawie normalizacji w dziedzinie technologii informatycznych i telekomunikacji". Zob. także motyw 46 tejże dyrektywy, wspomniany w przypisie 13.

⁽²⁵⁾ Argument przemawiający za tą perspektywą polityki - zob. także V. Reding, Keynote Speech at the Data Protection Day, dnia 28 stycznia 2010 r., Parlament Europejski, Bruksela, SPEECH/10/16: "Przedsiębiorstwa muszą wykorzystywać swoją siłę innowacji do poprawienia ochrony prywatności i danych osobowych od samego początku cyklu rozwoju. Poszanowanie prywatności od samego początku to zasada leżąca w interesie zarówno obywateli, jak i przedsiębiorstw. Poszanowanie prywatności od samego początku doprowadzi do lepszej ochrony osób fizycznych, a także do zwiększenia zaufania do nowych usług i produktów, co z kolei będzie miało pozytywny wpływ na gospodarkę. Widziałam pewne zachęcające przykłady, lecz bardzo wiele pozostaje do zrobienia".

⁽²⁶⁾ Zob. np. Kanadyjska Królewska Policja Konna, B2-002 - IT Media Overwrite and Secure Erase Products (05/2009), http://www.rcmp-grc.gc.ca/ts-st/pubs/it-ti-sec/index-eng.htm