Opinia w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywę 2006/126/WE Parlamentu Europejskiego i Rady w odniesieniu do praw jazdy z funkcją karty kierowcy.

Dzienniki UE

Dz.U.UE.C.2012.139.1

Akt nienormatywny
Wersja od: 15 maja 2012 r.

Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywę 2006/126/WE Parlamentu Europejskiego i Rady w odniesieniu do praw jazdy z funkcją karty kierowcy

(2012/C 139/01)

(Dz.U.UE C z dnia 15 maja 2012 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 28 ust. 2,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWADZENIE

1.
W dniu 11 listopada 2011 r. Komisja przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywę 2006/126/WE Parlamentu Europejskiego i Rady w odniesieniu do praw jazdy z funkcją karty kierowcy ("wniosek")(3).
2.
Wniosek stanowi jeden ze środków przedstawionych przez Komisję w celu usprawnienia wdrażania tachografów cyfrowych w Unii Europejskiej, zgodnie z zapowiedzią zawartą w komunikacie "Tachograf cyfrowy: mapa drogowa dla dalszych działań"(4). Omawiany wniosek stanowi uzupełnienie wniosku dotyczącego rozporządzenia zmieniającego rozporządzenie (EWG) nr 3821/85 w sprawie urządzeń rejestrujących stosowanych w transporcie drogowym przyjętego przez Komisję w dniu 19 lipca 2011 r. ("wniosek dotyczący rozporządzenia w sprawie urządzeń rejestrujących w transporcie drogowym")(5), w odniesieniu do którego EIOD wydał opinię w dniu 5 października 2011 r.(6).

I.1. Konsultacje z EIOD

3.
W dniu 11 listopada 2011 r. wniosek został przesłany przez Komisję do EIOD z prośbą o konsultację, zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001.
4.
EIOD ubolewa, że nie zapewniono mu możliwości przedstawienia Komisji nieformalnych uwag przed przyjęciem wniosku. EIOD zaleca zamieszczenie odniesienia do obecnych konsultacji w preambule wniosku.

I.2. Informacje ogólne

5.
We wniosku określono podstawę prawną i sposoby połączenia karty zawodowego kierowcy z prawem jazdy, nadając w ten sposób skuteczność art. 27 wniosku dotyczącego rozporządzenia w sprawie urządzeń rejestrujących w transporcie drogowym, w którym przedstawiono zasadę takiego połączenia. W art. 27 wspomnianego wniosku stanowi się, że ze skutkiem od dnia 19 stycznia 2018 r. karty kierowców zostaną połączone z prawami jazdy i będą wydawane, wznawiane, wymieniane i zastępowane zgodnie z przepisami dyrektywy 2006/126/WE.
6.
Karta kierowcy(7) to składnik systemu tachografów wprowadzonego na mocy rozporządzenia (EWG) nr 3821/85. Kartę kierowcy otrzymuje zawodowy kierowca i dzięki niej jest identyfikowany przez urządzenia rejestrujące. Na karcie możliwe jest też przechowywanie danych dotyczących czynności kierowcy do celów ewentualnej późniejszej kontroli. Znajduje się na niej pewna ilość danych określonych w załączniku IB do rozporządzenia (EWG) nr 3821/85, w tym informacje dotyczące prawa jazdy; wspomniany załącznik zostanie jednak zmieniony w celu dostosowania go do postępu technologicznego po przyjęciu wniosku dotyczącego rozporządzenia w sprawie urządzeń rejestrujących w transporcie drogowym.
7.
Połączenie karty zawodowego kierowcy z prawem jazdy zostało uznane przez Komisję, w wyniku konsultacji z zainteresowanymi stronami i oceny skutków(8), za rozwiązanie umożliwiające ograniczenie oszustw, a także zmniejszenie obciążeń administracyjnych i kosztów wydawania takich dokumentów. Celem wniosku jest umożliwienie "współistnienia obu funkcji w jednym dokumencie, tj. prawie jazdy z funkcją karty kierowcy"(9).

I.3. Kwestie dotyczące ochrony danych związane z wnioskiem

8.
Jak EIOD podkreślił już w opinii w sprawie wniosku dotyczącego rozporządzenia w sprawie urządzeń rejestrujących w transporcie drogowym(10), przewidywane połączenie karty kierowcy z prawem jazdy może mieć wpływ na obecny poziom ochrony danych kierowców.
9.
Biorąc pod uwagę potencjalną ilość rejestrowanych informacji o czynnościach kierowcy i jego miejscu pobytu (takich jak data, czas, odległość, geolokalizacja, prędkość itd.), karta kierowcy to więcej niż zwykły dokument tożsamości potwierdzający, że dana osoba jest zawodowym kierowcą. Z punktu widzenia ochrony danych jest zatem bardziej inwazyjna, gdyż ma na celu monitorowanie przestrzegania przez daną osobę przepisów socjalnych odnoszących się do transportu drogowego.
10.
Dlatego też zasadnicze znaczenie ma przetwarzanie danych w kontekście praw jazdy połączonych z kartami kierowców w sposób zgodny z ramami ochrony danych w UE, określonymi w art. 7 i 8 Karty praw podstawowych Unii Europejskiej, art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, a także w dyrektywie 95/46/WE(11).
11.
W niniejszej opinii EIOD skupi się na analizie dwóch głównych kwestii: (i) czy wykazano w wystarczającym stopniu, że połączenie prawa jazdy z kartą kierowcy jest niezbędne dla osiągnięcia wyznaczonych celów, biorąc pod uwagę wpływ takiego połączenia na prywatność; oraz (ii) czy w wystarczającym stopniu zagwarantowano zgodność przetwarzania danych kierowcy znajdujących się w połączonym dokumencie z zasadą proporcjonalności.

II. ANALIZA WNIOSKU

II.1. Konieczność połączenia kart kierowców z prawami jazdy?

12.
Połączenie kart zawodowych kierowców z prawami jazdy budzi szereg obaw związanych z prywatnością i ochroną danych. Przede wszystkim EIOD zauważa, że nie wykazano w wystarczającym stopniu konieczności połączenia karty kierowcy z prawem jazdy. W uzasadnieniu do wniosku Komisja stwierdza, że jest to "rozwiązanie" ułatwiające walkę z oszustwami i nadużyciami związanymi z kartami kierowców; z punktu widzenia ochrony danych nie wykazała jednak, że takie połączenie jest optymalnym sposobem osiągnięcia wspomnianego celu, ani nie wskazała, czy możliwe jest rozważenie innych, mniej inwazyjnych środków.
13.
Należy wziąć pod uwagę fakt, że połączenie obu dokumentów, służących dwóm zupełnie różnym celom, byłoby sprzeczne z zasadą celowości, określoną w art. 6 ust. 1 lit. b) dyrektywy 95/46/WE. Karta kierowcy to więcej niż zwykły dokument tożsamości potwierdzający, że dana osoba jest zawodowym kierowcą, gdyż jej celem jest monitorowanie przestrzegania przez zawodowego kierowcę przepisów socjalnych w transporcie drogowym. Komisja sama stwierdza, że efektem będą "obie funkcje w jednym dokumencie, tj. prawie jazdy z funkcją karty kierowcy(12).
14.
Sposoby połączenia również wiążą się z określonymi czynnikami ryzyka w zakresie prywatności i ochrony danych, których jeszcze nie wzięto pod uwagę. Nałożony w art. 1 wniosku na państwa członkowskie obowiązek dodania mikroczipa do wszystkich nowych, zintegrowanych praw jazdy wydawanych kierowcom budzi obawy dotyczące konieczności i proporcjonalności takiego środka w odniesieniu do celów przetwarzania. Należy poddać dogłębnej ocenie wpływ połączenia obu dokumentów na przetwarzanie danych oraz użycie mikroczipa w nowym, zintegrowanym prawie jazdy. EIOD zaleca zatem podjęcie decyzji o połączeniu karty kierowcy z prawem jazdy dopiero po przeprowadzeniu oceny wpływu na prywatność i bezpieczeństwo danych. Powinno to być wyraźnie zaznaczone w art. 1 wniosku.
15.
Nie jest jeszcze jasne, w jaki sposób odbędzie się połączenie wszystkich dokumentów zawodowych kierowców i czy nowe, zintegrowane prawo jazdy będzie również zawierać dane dotyczące ich zdolności do kierowania innymi typami pojazdów do użytku prywatnego. Jeśli tak będzie, należy również wdrożyć przejrzyste mechanizmy gwarantujące, że do każdej z części karty dostęp uzyskują tylko upoważnione do tego osoby. EIOD obawia się również, że dysponując taką możliwością, państwa członkowskie mogą wprowadzić mikroczipy we wszystkich prawach jazdy, w tym służących do użytku prywatnego. Decyzja o zastosowaniu takiej technologii w dokumentach tożsamości odnoszących się do zdolności kierowcy do prowadzenia ma wpływ na prywatność i ochronę danych osobowych osób fizycznych, zwłaszcza w odniesieniu do typu i ilości informacji, które może zawierać dokument, i żaden wybór w tym zakresie nie powinien być motywowany względami technicznymi. Decyzja powinna być nadal przedmiotem przejrzystej debaty publicznej, a ponadto powinny zostać sformułowane odpowiednie zabezpieczenia prawne, gwarantujące prywatność i ochronę danych osób fizycznych.
16.
Poza tym EIOD podkreśla, że wykorzystanie danych kierowców należy również poddać dokładnej ocenie w szerszym kontekście inteligentnych systemów transportowych oraz zakresu, w jakim dane kierowców mogą być dalej wykorzystywane i łączone z innymi danymi gromadzonymi przez inne systemy, w które wyposażony jest pojazd (takie jak eCall, eToll itd.). EIOD wzywa ustawodawcę do należytego uwzględnienia zasad celowości, konieczności i proporcjonalności podczas opracowywania przyszłych wniosków ustawodawczych dotyczących wykorzystania i dalszego przetwarzania danych kierowców w kontekście inteligentnych systemów transportowych.

II.2. Proporcjonalność przetwarzania danych zawodowych kierowców

17.
Nawet gdyby wykazano konieczność połączenia omawianych dwóch dokumentów, przetwarzanie danych osobowych znajdujących się w takim pojedynczym dokumencie musiałoby się jednak odbywać w sposób zgodny z wszystkimi zasadami ochrony danych i przepisami określonymi w dyrektywie 95/46/WE, a w szczególności z zasadą proporcjonalności.
18.
EIOD zauważa, że dyrektywa 2006/126/WE w art. 1 ust. 2 zawiera tylko ogólne odniesienie do "przepisów o ochronie danych osobowych", bez wyraźnego ich wskazania. EIOD zaleca wyjaśnienie w jednym z zawierających przepisy materialne artykułów wniosku, że przetwarzanie danych w odniesieniu do praw jazdy musi odbywać się zgodnie z przepisami krajowymi wdrażającymi dyrektywę 95/46/WE. Należy podkreślić, że przetwarzanie danych w odniesieniu do praw jazdy obejmuje nie tylko dane przetwarzane w mikroczipie, lecz również wszystkie typy przetwarzania danych mającego miejsce w związku z kartą, np. wydanie prawa jazdy, monitorowanie jego ważności i kontrole prowadzone przez właściwe organy nadzorujące przestrzeganie przepisów socjalnych w transporcie drogowym.
19.
Co do szczegółowego sposobu przetwarzania danych, w motywie 2 wniosku stwierdza się, że "prawa jazdy i karty kierowców mają prawie identyczny wzór i pola zawierające dane". To stwierdzenie wprowadza w błąd z dwóch względów: po pierwsze, nie wiadomo jeszcze, które pola zawierające dane w karcie kierowcy będą przetwarzane; po drugie, można założyć, że z konieczności przetwarzanie wykroczy poza zakres zdefiniowany dla prawa jazdy, gdyż celem karty kierowcy jest monitorowanie zachowania kierowcy, gwarantujące przestrzeganie przepisów socjalnych w transporcie drogowym.
20.
Kategorie danych zawartych w prawie jazdy są jasno i szczegółowo określone w załączniku I do dyrektywy 2006/126/WE(13), natomiast specyfikacje danych, które mają być przechowywane w mikroczipie prawa jazdy nie zostały jeszcze przez Komisję zdefiniowane. Nadal na przykład nie jest jasne, czy mikroczip może zawierać dane biometryczne (takie jak odciski palców lub skan tęczówki). Ponadto, jak EIOD podkreślił w opinii w sprawie wniosku dotyczącego rozporządzenia w sprawie urządzeń rejestrujących w transporcie drogowym(14), nie określono jeszcze również w sposób pewny szczegółowych zasad przetwarzania danych zawartych na karcie kierowcy i są one uzależnione od zmiany załączników do rozporządzenia (EWG) nr 3821/85 w sprawie tachografów, przy czym ten proces rozpocznie się dopiero po przyjęciu wniosku dotyczącego zmiany rozporządzenia w sprawie tachografów. Trudno jest zatem ocenić na obecnym etapie z wystarczającą pewnością, czy przewidywane przetwarzanie danych będzie zgodne z zasadą proporcjonalności.
21.
Co do przewidywalnego zakresu danych kierowcy przetwarzanych w mikroczipie, w art. 1 wniosku wspomina się jedynie o danych identyfikujących kartę kierowcy, zgodnie z przepisami pkt 5.2 sekcji IV załącznika IB do rozporządzenia (EWG) nr 3821/85, podczas gdy z drugiej strony w art. 7 lit. a) wniosku stwierdza się, że prawo jazdy musi posiadać "wszystkie niezbędne funkcje umożliwiające jego stosowanie jako karty kierowcy." Aby prawo jazdy mogło służyć jako karta kierowcy, musi obejmować wszystkie pola zawierające dane zdefiniowane dla karty kierowcy, a nie tylko dane identyfikujące kartę. Takie dane będą obejmować znacznie więcej informacji niż prawo jazdy, np. dane o czynnościach kierowcy (takie jak data, początek i koniec podróży, odległość, dane geolokalizacyjne, czas, prędkość itd.).
22.
EIOD podkreśla potrzebę stosowania spójnego podejścia przy opracowywaniu środków należących do dwóch osobnych instrumentów prawnych dotyczących praw jazdy połączonych z kartami kierowców -z jednej strony do wniosku dotyczącego rozporządzenia w sprawie urządzeń rejestrujących w transporcie drogowym, a z drugiej strony do wniosku dotyczącego zmiany dyrektywy w sprawie prawa jazdy - w celu zapewnienia, aby ogólny sposób przetwarzania danych nie naruszał prywatności, był zgodny z wszystkimi zasadami ochrony danych, a w szczególności z zasadą proporcjonalności, oraz aby oferował wystarczające gwarancje pod względem ochrony danych, a także należyte uwzględnienie praw osób, których dane dotyczą.
23.
EIOD w szczególności zaleca sporządzenie, na podstawie kryterium konieczności, przejrzystej listy danych, które mają być przetwarzane w zintegrowanej karcie. Należy wyjaśnić we wniosku, w jaki sposób w kontekście takiego przetwarzania osoby, których dane dotyczą, mogą skutecznie korzystać z praw do informacji o przetwarzaniu, dostępu do swoich danych oraz sprzeciwu, przysługujących im na mocy art. 10, 11, 12 i 14 dyrektywy 95/46/WE. EIOD podkreśla również, że przetwarzanie musi podlegać kontroli ze strony właściwych organów ochrony danych, zgodnie z prawem krajowym.
24.
EIOD kładzie również nacisk na konieczność wyjaśnienia celów i okoliczności, w których możliwy jest dostęp do danych, a także wskazania osób, które mogą taki dostęp uzyskać. Należy jasno określić, że dostęp do danych zawartych w mikroczipie będzie dozwolony tylko w celach urzędowych i wyraźnie zdefiniowanych, nie będzie natomiast dozwolony w innych celach (czy to komercyjnych, czy niekomercyjnych). Ponadto we wniosku należy jasno zaznaczyć, kto jest upoważniony do dostępu do różnych danych zawartych w mikroczipie (tj. do zawodowego prawa jazdy, danych kierowcy, prywatnego prawa jazdy) i w jakich okolicznościach (np. jaki jest dozwolony typ dostępu do danych kierowcy, który nie pracuje, ponieważ jest na urlopie lub zwolnieniu chorobowym?), gdyż współwystępowanie dwóch instrumentów prawnych prowadzi pod tym względem do niepewności.
25.
Ponadto należy wyjaśnić, jakie dane lub kategorie danych mają być zatrzymywane w ewidencji skradzionych, zgubionych lub uszkodzonych praw jazdy z kartą kierowcy (art. 7c wniosku). Definiując takie dane, należy stosować zasady proporcjonalności i minimalizacji danych. Należy także wskazać właściwy organ/właściwe organy prowadzący/prowadzące taką ewidencję.

III. WNIOSEK

26.
EIOD pragnie wyrazić wątpliwości co do przewidzianego we wniosku połączenia praw jazdy z kartami kierowców, którego konieczność i proporcjonalność powinny zostać wykazane. Dlatego też należy rozważyć możliwość zastosowania innych, mniej inwazyjnych środków osiągnięcia tego samego celu walki z oszustwami i ograniczania kosztów w odniesieniu do zawodowych kierowców w transporcie drogowym.
27.
EIOD w szczególności zaleca:
dodanie odniesienia do przepisów o ochronie danych, w szczególności dyrektywy 95/46/WE, w jednym z zawierających przepisy materialne artykułów wniosku,
zaznaczenie w art. 1 wniosku, że decyzję o połączeniu kart kierowcy z prawami jazdy oraz o wykorzystaniu mikroczipów należy podjąć dopiero po przeprowadzeniu oceny wpływu na prywatność i bezpieczeństwo danych,
zastosowanie spójnego podejścia przy opracowywaniu środków odnoszących się do praw jazdy połączonych z kartami kierowcy i należących do dwóch osobnych instrumentów prawnych, tj. rozporządzenia w sprawie urządzeń rejestrujących w transporcie drogowym i dyrektywy w sprawie prawa jazdy, w celu zapewnienia, aby ogólny sposób przetwarzania danych nie naruszał prywatności, był zgodny z wszystkimi zasadami ochrony danych, a w szczególności z zasadą proporcjonalności, oraz aby oferował wystarczające gwarancje pod względem ochrony danych, w tym skutecznego korzystania przez osoby, których dane dotyczą, z przysługujących im praw,
określenie w sposób jaśniejszy i bardziej szczegółowy, na podstawie kryterium konieczności, danych lub kategorii danych, które mają być zawarte w mikroczipie, obejmujących wszystkie dane zdefiniowane w zaktualizowanym załączniku IB do rozporządzenia (EWG) nr 3821/85, a także dane, które zostaną wskazane przez Komisję w odniesieniu do mikroczipa w prawach jazdy. Definicja danych przetwarzanych i przechowywanych w mikroczipie powinna być w szczególności zgodna z zasadami proporcjonalności i minimalizacji danych,
sprecyzowanie okoliczności, w których można uzyskać dostęp do niektórych kategorii danych i wskazanie, kto może uzyskać taki dostęp,
jasne wskazanie w art. 7c, kto powinien prowadzić ewidencję skradzionych, zgubionych lub uszkodzonych praw jazdy z kartą kierowcy oraz zaznaczenie, że zatrzymywane powinny być wyłącznie dane bezwzględnie niezbędne do takiego celu, zgodnie z zasadami proporcjonalności i minimalizacji danych.

Sporządzono w Brukseli dnia 17 lutego 2012 r.

Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych
______

(1) Dz.U L 281 z 23.11.1995, s. 31.

(2) Dz.U. L 8 z 12.1.2001, s. 1.

(3) COM(2011) 710 wersja ostateczna.

(4) COM(2011) 454 wersja ostateczna.

(5) Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie Rady (EWG) nr 3821/85 w sprawie urządzeń rejestrujących stosowanych w transporcie drogowym oraz rozporządzenie (WE) nr 561/2006 Parlamentu Europejskiego i Rady, COM(2011) 451 wersja ostateczna.

(6) Dostępna na stronach internetowych EIOD pod następującym adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-10-05_Tachographs_PL.pdf

(7) Zgodnie z art. 1 lit. t) załącznika IB do rozporządzenia (EWG) nr 3821/85, karta kierowcy oznacza "kartę do tachografów wydaną konkretnemu kierowcy przez organy państwa członkowskiego. Karta kierowcy identyfikuje kierowcę i umożliwia gromadzenie danych dotyczących czynności kierowcy".

(8) Nie przeprowadzono jednak oceny wpływu na prywatność.

(9) Zob. uzasadnienie, COM(2011) 710 wersja ostateczna, s. 3.

(10) Porównaj: przypis 6.

(11) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).

(12) Zob. uzasadnienie, COM(2011) 710 wersja ostateczna, s. 3.

(13) Obejmują przede wszystkim tożsamość kierowcy, datę urodzenia, miejsce wydania i organ wydający, typ pojazdu, którego dotyczy prawo jazdy oraz ewentualnie zastosowanie pewnych ograniczeń.

(14) Porównaj: przypis 6, s. 1.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .