Opinia w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie europejskiej statystyki zagrożenia przestępczością.

Dzienniki UE

Dz.U.UE.C.2011.343.1

Akt nienormatywny
Wersja od: 23 listopada 2011 r.

Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie europejskiej statystyki zagrożenia przestępczością

(2011/C 343/01)

(Dz.U.UE C z dnia 23 listopada 2011 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 28 ust. 2,

uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWADZENIE

I.1. Konsultacje z EIOD

1.
W dniu 8 czerwca 2011 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie europejskiej statystyki zagrożenia przestępczością(3) (zwany dalej "wnioskiem"). Tego samego dnia wniosek przesłano EIOD do konsultacji.
2.
EIOD przyjmuje z zadowoleniem tę konsultację, której wymaga art. 28 ust. 2 rozporządzenia (WE) nr 45/2001, a także fakt, że odniesienie do niniejszej opinii znalazło się w preambule przedmiotowego wniosku.
3.
EIOD przyjmuje z zadowoleniem również fakt, że wcześniej otrzymał możliwość przedstawienia nieformalnych uwag na temat projektu wniosku.
I.2. Cele i zakres wniosku
4.
Celem przedmiotowego wniosku jest przeprowadzenie w Unii Europejskiej nowego badania(4) dotyczącego zagrożenia przestępczością. Ustanowione w nim zostaną wspólne ramy sporządzania porównywalnych statystyk europejskich poprzez gromadzenie, zestawianie, przetwarzanie i przekazywanie zharmonizowanych europejskich danych.
5.
Kategorie danych, które będą przetwarzane, są wyszczególnione w załączniku I do wniosku i obejmują szczegółowe pytania dotyczące danych społecznych i demograficznych na temat respondentów badania, możliwych incydentów przemocy seksualnej i fizycznej, których mogli doświadczyć, ich poczucia bezpieczeństwa i postawy w stosunku do egzekwowania prawa i środków ostrożności.
6.
We wniosku regulowana jest kwestia przekazywania danych poufnych z państw członkowskich do Komisji (Eurostatu), a także rozpowszechniania danych i dostępu do nich do celów naukowych. Praktyczne warunki w zakresie systemu kodowania danych i wymiany danych jednostkowych zostaną przyjęte w drodze aktów wykonawczych.

I.3. Cel opinii EIOD

7.
W niniejszej opinii przeanalizowane zostaną elementy wniosku, które odnoszą się do przetwarzania danych osobowych. Opiera się ona na dwóch wcześniejszych opiniach EIOD w tej dziedzinie, dotyczących odpowiednio rozporządzenia (WE) nr 223/2009, które zapewnia ramy odniesienia dla opracowywania statystyk europejskich(5), i rozporządzenia (WE) nr 1338/2008 w sprawie statystyk w zakresie bezpieczeństwa i higieny pracy(6).
8.
Opinia zawiera także odesłania do podlegającego obecnie przeglądowi rozporządzenia (WE) nr 831/2002 dotyczącego dostępu do poufnych danych do celów naukowych(7). EIOD z zadowoleniem przyjąłby wniosek o przeprowadzenie konsultacji w tym zakresie. Zawarte w niniejszej opinii odesłania do rozporządzenia (WE) nr 831/2002 pozostają bez uszczerbku dla porad, których EIOD może udzielić w tym kontekście.

II. ANALIZA WNIOSKU

II.1. Uwagi wstępne

9.
EIOD jest świadomy znaczenia opracowywania, tworzenia i rozpowszechniania danych statystycznych, jak stwierdził przy wcześniejszych okazjach(8). Ma jednak obawy związane z ryzykiem, że osoby, których dotyczą dane, mogą zostać zidentyfikowane, i z faktem przetwarzania danych szczególnie chronionych, takich jak dane dotyczące stanu zdrowia lub życia seksualnego i przestępstw.
10.
EIOD z zadowoleniem przyjmuje odesłania do ochrony praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, zawarte w motywach 6 i 7 wniosku, ale z przykrością stwierdza, że potencjalne oddziaływanie wniosku na ochronę prywatności i danych nie zostało uwzględnione w towarzyszącej mu ocenie skutków.
11.
Niniejsza opinia zawiera omówienie możliwości identyfikacji osób, których dotyczą dane, w kontekście statystyk i we wniosku (część II.2), a także zastosowania ram ochrony danych (cześć II.3). Następnie część II.4 zawiera analizę przetwarzania danych szczególnie chronionych. W części II.5 opinii skupiono się na środkach bezpieczeństwa i anonimizacji, a część II.6 dotyczy informacji przekazywanych osobom, których dotyczą dane.
II.2. Możliwość identyfikacji osób, których dotyczą dane
12.
Dane osobowe są zdefiniowane w art. 2 lit. a) dyrektywy 95/46/WE i w art. 2 lit. a) rozporządzenia (WE) nr 45/2001 jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dotyczą dane"). Identyfikacja może być bezpośrednia, np. przez nazwisko, lub pośrednia, np. przez numer identyfikacyjny lub inne czynniki. Z tego względu dopóki istnieje możliwość zidentyfikowania osób fizycznych, odpowiednie dane uważane są za dane osobowe, a zatem zastosowanie ma prawodawstwo w dziedzinie ochrony danych.
13.
W kontekście statystyki możliwość zidentyfikowania osób, których dotyczą dane, odnosi się głównie do danych jednostkowych(9), które zawierają informacje o poszczególnych jednostkach statystycznych. Chociaż badacze, osoby odpowiedzialne za wyznaczanie kierunków polityki i inni użytkownicy mogą domagać się dostępu do wszystkich możliwych i możliwie szczegółowych danych jednostkowych w celu poprawienia jakości i elastyczności swoich badań, respondenci muszą mieć gwarancję, że ich dane osobowe będą chronione, szczególnie gdy badania dotyczą kwestii poufnych, takich jak te ujęte w przedmiotowym wniosku. Ochrona danych osobowych wzbudziła również obawy w kontekście przeglądu rozporządzenia (WE) nr 831/2002(10).
14.
W odniesieniu do możliwości identyfikacji osób, których dotyczą dane, w prawodawstwie UE dotyczącym statystyk istotne są dwa różne pojęcia: "poufne dane" i "dane anonimowe" Zgodnie z rozporządzeniem (WE) nr 223/2009 dane umożliwiające "bezpośrednią lub pośrednią identyfikację" jednostek statystycznych (którymi mogą być osoby fizyczne, gospodarstwa domowe, podmioty gospodarczy lub inne podmioty) są uważane za "dane poufne"(11) i tym samym podlegają poufności informacji statystycznych(12). W rozporządzeniu (WE) nr 831/2002 dane poufne zdefiniowano jednak jako "dane umożliwiające jedynie pośrednią identyfikację". Ponieważ w przedmiotowym wniosku jednostki statystyczne odnoszą się do osób fizycznych (jak również do gospodarstw domowych)(13), w obecnej sytuacji dane poufne obejmują dane osobowe, dlatego prawodawstwo w dziedzinie ochrony danych będzie miało zastosowanie bez względu na to, czy dane umożliwiają identyfikację bezpośrednią, czy pośrednią.
15.
Definicja "danych anonimowych" również jest nieznacznie odmienna w obu tych rozporządzeniach. Podczas gdy "dane cząstkowe przetworzone w celu zachowania anonimowości" są opisane w rozporządzeniu (WE) nr 831/2002 jako indywidualne dane statystyczne, w których ryzyko zidentyfikowania zostało "zminimalizowane"(14), to zgodnie z art. 19 rozporządzenia (WE) nr 223/2009 "anonimowymi rekordami" są te, które zostały "opracowane w taki sposób, że jednostka statystyczna nie może być ani bezpośrednio, ani pośrednio zidentyfikowana przy uwzględnieniu wszelkich odpowiednich środków, które mogłyby zostać w należyty sposób użyte przez osobę trzecią"(15). Ta druga definicja jest porównywalna z definicjami zawartymi w motywie 26 dyrektywy 95/46/WE i w motywie 8 rozporządzenia (WE) nr 45/2001, zgodnie z którymi danym osobowym "nadano anonimowy charakter", gdy podmiot danych "nie będzie mógł być" zidentyfikowany, biorąc pod uwagę "wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby"(16).
16.
Z tego względu po anonimizacji danych jednostkowych w rozumieniu art. 19 rozporządzenia (WE) nr 223/2009, które stosowałoby się do przedmiotowego wniosku wyłącznie w przypadku upublicznienia danych jednostkowych, dane te nie będą uważane za dane osobowe, a przepisy dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 nie będą miały zastosowania.
17.
Dane, które uważa się za anonimizowane w kontekście rozporządzenia (WE) nr 831/2002, mogą jednak nie być zanonimizowane zgodnie z dyrektywą 95/46/WE i rozporządzeniem (WE) nr 45/2001, ponieważ nadal może istnieć ryzyko identyfikacji, i dlatego będą podlegać prawodawstwu w dziedzinie ochrony danych. Ta definicja anonimizacji będzie w przedmiotowym wniosku miała zastosowanie do ujawnionych zbiorów danych jednostkowych w razie późniejszego włączenia odpowiedniego badania do wykazu zawartego w art. 6 rozporządzenia (WE) nr 831/2002.

II.3. Stosowanie dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001

II.3.1. Gromadzenie danych

18.
Celem wniosku jest ustanowienie wspólnych ram "sporządzania europejskiej statystyki poprzez gromadzenie, opracowywanie, przetwarzanie i przekazywanie przez państwa członkowskie"(17) porównywalnych danych dotyczących przestępczości i bezpieczeństwa.
19.
Dane będą gromadzone przez państwa członkowskie i przekazywane Eurostatowi, który będzie je rozpowszechniał i udostępniał badaczom. Chociaż we wniosku nie reguluje się sposobu gromadzenia danych przez państwa członkowskie, określono w nim dane, które będą przekazywane Eurostatowi. Z tego względu pytania zadawane respondentom w trakcie badania będą zależały od kategorii danych, które państwa członkowskie zobowiązane są przekazać Eurostatowi, a które są określone w załączniku I do wniosku.
20.
W załączniku I wyraźnie przewiduje się w pkt 6 "dane identyfikacyjne respondenta". Podobnie jednym z pytań, które ma być zadawane w badaniu w odniesieniu do przemocy fizycznej dotyczącej osoby będącej i niebędącej partnerem jest "kto to zrobił" (pkt 7.1 załącznika I) Jeżeli odpowiedź na te pytania jest nazwiskiem, dane będą odnosiły się do osób fizycznych zidentyfikowanych bezpośrednio.
21.
EIOD ma świadomość, że celem tych pytań nie jest uzyskanie nazwisk respondenta i agresora, ale prawdopodobnie przypisanie respondentowi kodu lub zapytanie o określone cechy domniemanego agresora, takie jak istnienie relacji rodzinnych i ich stopień. Ponadto EIOD z zadowoleniem przyjmuje fakt, że identyfikatory bezpośrednie nie będą przekazywane Eurostatowi, ponieważ zgodnie z art. 7 ust. 1 wniosku muszą one zostać wcześniej usunięte. EIOD zaleca jednak zmodyfikowanie opisów tych zmiennych w pkt 6 i 7.1 załącznika I w celu wyjaśnienia, które dokładnie informacje szczegółowe są wymagane, i w celu uniknięcia nieuzasadnionego gromadzenia przez państwa członkowskie identyfikatorów bezpośrednich.
22.
Nawet bez identyfikatorów bezpośrednich zgromadzone dane prawdopodobnie nadal umożliwią identyfikację pośrednią osoby "przez odniesienie się do numer identyfikacyjnego" lub - ze względu na dużą liczbę pól danych w formularzu badania - odniesienie się do "jednego bądź kilku szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość"(18). Przetwarzanie danych przez państwa członkowskie podlega zatem przepisom krajowym wdrażającym dyrektywę 95/46/WE.
23.
Pod tym względem EIOD pragnie podkreślić zjawisko niepowtarzalnych lub rzadkich kombinacji, w których połączenie różnych informacji umożliwia odróżnienie osoby, której dotyczą dane, od innych, i tym samym jej identyfikację, na co zwraca uwagę Grupa Robocza Art. 29(19).

II.3.2. Przekazywanie, dostęp i rozpowszechnianie

24.
Możliwość identyfikacji będzie nadal istniała w momencie przekazywania danych do Eurostatu i korzystania z dostępu z tych danych przez badaczy, ponieważ art. 7 ust. 1 wniosku(20) nie zawiera wymogu usunięcia identyfikatorów pośrednich, jak wspomniano powyżej. Ponadto w art. 7 ust. 1 i art. 7 ust. 2 jednoznacznie wymaga się przekazania przez państwa członkowskie poufnych danych jednostkowych do Eurostatu. Podobnie, zgodnie z art. 9 ust. 2 wniosku(21), Eurostat może udzielić dostępu do danych poufnych do celów naukowych.
25.
Jak omówiono powyżej, poufnymi danymi są dane, które umożliwiają przynajmniej pośrednią identyfikację jednostek statystycznych, które w tym przypadku obejmują osoby fizyczne. Przetwarzanie danych przez Eurostat i korzystanie z dostępu do nich przez badaczy będzie stanowić zatem przetwarzanie danych osobowych, do którego stosują się przepisy rozporządzenia (WE) nr 45/2001.
26.
Jeżeli chodzi o rozpowszechnianie, art. 9 ust. 1 stanowi, że Eurostat "rozpowszechnia statystykę zagrożenia przestępczością najpóźniej do dnia 31 grudnia 2014 r.", ale nie zawiera określenia zasad, na których to rozpowszechnianie ma się odbywać. Jeżeli badanie ustanowione przedmiotowym wnioskiem zostanie następnie włączone do wykazu w art. 6 rozporządzenia (WE) nr 831/2002, ryzyko identyfikacji przed udostępnieniem danych jednostkowych będzie zaledwie "zminimalizowane". W tym przypadku rozporządzenie (WE) nr 45/2001 będzie stosować się tak długo, jak możliwa będzie identyfikacja osób, których dotyczą dane.
27.
W przypadku podania do wiadomości publicznej danych jednostkowych zastosowanie miałby art. 19 rozporządzenia (WE) nr 223/2009, w którym wymaga się dokonania anonimizacji w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 przed rozpowszechnieniem poszczególnych jednostek statystycznych w formie dostępnego publicznie pliku. Po anonimizacji danych jednostkowych w tym znaczeniu dane te nie byłyby już uważane za dane osobowe i rozporządzenie (WE) nr 45/2001 nie miałoby już zastosowania.

II.4. Przetwarzanie danych szczególnie chronionych.

28.
Należy podkreślić, że przedmiotowe dane osobowe należą do specjalnej kategorii danych, które podlegają bardziej rygorystycznym przepisom dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001. Artykuł 8 ust. 1 dyrektywy 95/46/WE i art. 10 ust. 1 rozporządzenia (WE) nr 45/2001 zawierają wyraźny zakaz, z wyjątkiem ściśle określonych okoliczności, przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne oraz przynależność do związków zawodowych i przetwarzania danych dotyczących zdrowia lub życia seksualnego oraz ograniczają przetwarzanie danych osobowych dotyczących przestępstw, wyroków skazujących lub środków bezpieczeństwa(22).
29.
Od państw członkowskich wymaga się przekazywania do Eurostatu m.in. danych dotyczących obecnych i poprzednich związków; przemocy fizycznej i seksualnej dotyczącej osoby będącej lub niebędącej partnerem; leczenia medycznego; problemów z narkotykami; przestępstw i pochodzenia respondentów i ich rodziców. Kategorie te obejmują dane dotyczące zdrowia, życia seksualnego i przestępstw, a także mogą ujawniać pochodzenie etniczne. Poniżej znajduje się kilka przykładów.
Dane dotyczące zdrowia: "czy respondent doznał obrażeń"; "czy obrażenia wymagały leczenia" w pkt 2.2 ppkt 4 i pkt 7.1; "czy respondent miał problemy z narkotykami" w pkt 3; "czy ktokolwiek (...) uderzył respondenta pięścią (...), kopnął go, ciągnął lub pobił"; "próbował dusić lub podpalić respondenta, groził mu bronią palną, nożem lub inną bronią bądź którejś z nich użył" w pkt 7 ppkt 1; oraz "czy obecny lub dawny partner uderzył lub rzucił w respondenta czymś" w pkt 7 ppkt 3.
Dane dotyczące życia seksualnego: "poprzednie związki", "stan cywilny faktyczny" (pytanie zadawane w dodatku do pytania o "stan cywilny") w pkt 5; "czy ktokolwiek (...) kiedykolwiek zmusił respondenta do niechcianego obcowania płciowego" (...) "lub dokonał innej niechcianej czynności o charakterze seksualnym" w pkt 7 ppkt 2; oraz "czy respondent kiedykolwiek poddał się niechcianej czynności seksualnej z obawy przed tym, co może zrobić obecny lub były partner" w pkt 7 ppkt 4.
Dane, które w pewnych okolicznościach mogą wskazywać na pochodzenie rasowe lub etniczne: państwo urodzenia matki; państwo urodzenia ojca (pytania zadawane w dodatku do pytania o państwo urodzenia) w pkt 5; oraz język używany do przeprowadzenia wywiadu w pkt 6.
Dane dotyczące podejrzeń o popełnienie przestępstwa lub wyroków karnych: "doświadczenia związane z przestępczością według rodzajów przestępstw", "przestępczość dotycząca gospodarstw domowych", "przestępstwa niekonwencjonalne", a także obszerna lista szczegółowych informacji dotyczących przestępstwa (pkt 1 i 2).
30.
Artykuł 8 ust. 2-4 dyrektywy 95/46/WE i art. 10 ust. 2-4 rozporządzenia (WE) nr 45/2001 zawierają wyjątki od zakazu przetwarzania tych kategorii danych. W omawianym przypadku zastosowanie mógłby mieć art. 8 ust. 4 dyrektywy 95/46/WE i art. 10 ust. 4 rozporządzenia (WE) nr 45/2001, w których dopuszcza się jednak przetwarzanie takich danych ze względu na "istotny interes publiczny". Jednakże wyjątek ten podlega przepisom dotyczącym "właściwych zabezpieczeń" i musi być "przewidziany przez prawo"(23).
31.
W odniesieniu do tego ostatniego wymogu EIOD uważa, że rozporządzenie, które zostanie przyjęte w ramach zwykłej procedury ustawodawczej, wymaganej na mocy art. 338 Traktatu o funkcjonowaniu Unii Europejskiej, zapewni odpowiednią podstawę prawną dla przetwarzania.
32.
Odpowiedni "istotny interes publiczny" uzasadniający gromadzenie, przekazywanie i rozpowszechnienie tak szczegółowych i szczególnie chronionych danych nie został jednak w dostatecznym stopniu określony we wniosku. Zgodnie z art. 1 wniosku jego celem jest ustanowienie ram "w zakresie opracowywania, tworzenia i rozpowszechniania porównywalnej europejskiej statystyki zagrożenia przestępczością". Chociaż jednak uzasadnienie i preambuła zawierają wyjaśnienia co do właściwego kontekstu polityki, nie ma w nich jasno sprecyzowanych określonych celów ani celów w zakresie polityki, którym ma służyć ta statystyka. Są one jedynie częściowo wymienione w ocenie skutków finansowych regulacji załączonej do wniosku(24).
33.
Z tego względu EIOD zaleca wyraźne określenie w preambule wniosku istotnego interesu publicznego uzasadniającego przetwarzanie, jak ma to miejsce w innych rozporządzeniach dotyczących przetwarzania danych medycznych(25) i tworzenia statystyk europejskich(26). Jest to również ważne dla oceny konieczności przetwarzania tak szczegółowych kategorii danych szczególnie chronionych, ponieważ mogą być one nadmierne i nie mogą być uznane za stosowne, jeżeli cel nie jest wyraźnie określony.

II.5. Środki bezpieczeństwa i anonimizacja

34.
Jeżeli chodzi o potrzebę zapewnienia "odpowiednich zabezpieczeń", EIOD zwraca uwagę na odesłania do rozporządzenia (WE) nr 223/2009, rozporządzenia (WE) nr 831/2002 oraz Europejskiego kodeksu praktyk statystycznych(27), które to instrumenty zawierają wymóg ochrony danych poufnych. Jak EIOD już jednak zwrócił uwagę(28), sam fakt, że dane związane bezpośrednio lub pośrednio z możliwymi do zidentyfikowania osobami fizycznymi są uważane za dane poufne i traktowane jako takie, nie gwarantuje, że przetwarzanie tych danych będzie w pełni zgodne z prawodawstwem w dziedzinie ochrony danych. W tym sensie EIOD z zadowoleniem przyjmuje odesłania do dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001, które znajdują się w preambule wniosku.
35.
Biorąc jednak pod uwagę szczególnie chroniony charakter danych, które mają być przetwarzane, i fakt, że cele statystyczne można byłoby osiągnąć przy pomocy zanonimizowanych danych jednostkowych(29), EIOD podkreśla, że dane powinny być zanonimizowane tak szybko, jak to jest możliwe, w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001(30). W przypadku, gdy z uwagi na poziom szczegółowości niezbędny dla badania całkowita anonimizacja danych jednostkowych nie może być zagwarantowana przed przekazaniem danych Eurostatowi lub przez przyznaniem dostępu badaczom i gdy jest to wyraźnie uzasadnione, we wniosku należy przewidzieć przynajmniej anonimi-zację w rozumieniu rozporządzenia (WE) nr 831/2002 (zminimalizowanie ryzyka identyfikacji).
36.
Dane poufne, które w takim przypadku byłyby danymi szczególnie chronionymi, powinny być przetwarzane wyłącznie wówczas, gdy jest to niezbędne, tj. gdy tych samych celów naukowych nie można osiągnąć przy pomocy danych jednostkowych zanonimizowanych w rozumieniu dyrektywy 95/46/WE oraz rozporządzenia (WE) nr 45/2001 lub w odniesieniu do których zminimalizowano ryzyko identyfikacji w rozumieniu rozporządzenia (WE) nr 831/2002. Dane podawane do wiadomości publicznej powinny być w każdym razie anonimizowane w rozumieniu dyrektywy 95/46/WE, rozporządzenia (WE) nr 45/2001 i art. 19 rozporządzenia (WE) nr 223/2009.
37.
Dopóki dane te nie zostaną zanonimizowane w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001, należy wobec nich zastosować odpowiednie środki techniczne i organizacyjne zapewniające ich poufność i bezpieczeństwo zgodnie z wymogami zawartymi w art. 16 i 17 dyrektywy 95/46/WE oraz w art. 21 i 22 rozporządzenia (WE) nr 45/2001. Środki te powinny uwzględniać zagrożenia stwarzane przez przetwarzanie i szczególnie chroniony charakter danych objętych ochroną.
38.
Ponadto art. 27 ust. 1 rozporządzenia (WE) nr 45/2001 stanowi, że "operacje przetwarzania, mogące ze swej natury przez swój zakres lub swoje cele stworzyć konkretne zagrożenia dla praw i wolności podmiotów danych, podlegają uprzedniemu sprawdzeniu przez europejskiego inspektora ochrony danych". W art. 27 ust. 2 stwierdza się, że takie zagrożenia stwarza przetwarzanie danych dotyczących "zdrowia", "podejrzeń o popełnienie przestępstwa", "przestępstw" i "wyroków karnych", a zatem wymaga uprzedniego sprawdzenia.
39.
Ponieważ przetwarzanie przez Eurostat będzie obejmowało dane osobowe związane z tymi kategoriami, będzie podlegało uprzedniemu sprawdzeniu(31). Z tego względu w ramach procedury uprzedniego sprawdzania EIOD może przedstawić dalsze wytyczne i szczegółowe zalecenia w odniesieniu do zgodności z zasadami ochrony danych.
40.
Ponadto w art. 8 ust. 2 wniosku stwierdza się, że praktyczne warunki w zakresie systemu kodowania danych i wymiany danych jednostkowych zostaną przyjęte w drodze aktów wykonawczych. EIOD z zadowoleniem przyjąłby wniosek o przeprowadzenie konsultacji w odniesieniu do tych praktycznych warunków.

II.6. Informacje przekazywane osobom, których dotyczą dane

41.
EIOD przypomina, że z uwagi na fakt, iż dane będą gromadzone od respondentów bezpośrednio przez państwa członkowskie, zastosowanie będzie miał art. 10 dyrektywy 95/46/WE. Z tego względu osoby, których dotyczą dane, będą musiały być informowane przynajmniej o dobrowolnym charakterze przed-miotowego badania i możliwości odmówienia odpowiedzi na jedno pytanie lub większą liczbę pytań; o celu operacji przetwarzania, do którego dane są przeznaczone; o tożsamości administratora danych; o fakcie przekazywania danych do Eurostatu, który może udzielić dostępu badaczom; oraz o istnieniu prawa dostępu do danych oraz prawa do poprawienia, zablokowania i usunięcia danych; chyba że przetwarzanie wchodzi w zakres wyjątków od tych praw, przewidzianych w krajowych przepisach o ochronie danych.

III. WNIOSKI

42.
EIOD wielokrotnie zwracał uwagę na znaczenie opracowywania, tworzenia i rozpowszechniania danych statystycznych. Niemniej jednak EIOD jest zaniepokojony przetwarzaniem danych szczególnie chronio-nych w ramach przedmiotowego badania i możliwością zidentyfikowania ofiar i sprawców przemocy fizycznej i seksualnej. Z tego względu zaleca w szczególności:
zmianę opisu zmiennych "dane identyfikacyjne respondenta" i "kto to zrobił" w celu uniknięcia zbędnej bezpośredniej identyfikacji osób, których dotyczą dane. Ponadto w celu uniknięcia również pośredniej identyfikacji EIOD zaleca anonimizację danych jednostkowych tak szybko, jak to jest możliwe, w rozumieniu motywu 26 dyrektywy 95/46/WE i motywu 8 rozporządzenia (WE) nr 45/2001 (brak możliwości identyfikacji przy uwzględnieniu wszystkich środków, które mogą być rozsądnie użyte),
w przypadku gdy z uwagi na poziom szczegółowości niezbędny dla badania anonimizacja danych jednostkowych w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 nie może być zagwarantowana przed przekazaniem danych Eurostatowi lub przez przyznaniem dostępu badaczom, przetwarzane mogą być dane zanonimizowane w rozumieniu rozporządzenia (WE) nr 831/2002 (zminimalizowanie ryzyka identyfikacji),
dane poufne należy wykorzystywać wyłącznie w razie konieczności, tj. gdy tych samych celów nie można osiągnąć przy pomocy zanonimizowanych danych jednostkowych i gdy ta konieczność jest wyraźnie uzasadniona we wniosku,
w takim przypadku "istotny interes publiczny" uzasadniający przetwarzanie danych szczególnie chronionych powinien być dokładniej wyjaśniony i wyraźnie określony w treści wniosku. Należy również zagwarantować, że wszystkie kategorie danych osobowych, które mają być gromadzone i przetwarzane, są stosowne oraz nienadmierne w stosunku do tego określonego celu. Dane poda-wane do wiadomości publicznej powinny być w każdym razie zanonimizowane w rozumieniu dyrektywy 95/46/WE, rozporządzenia (WE) nr 45/2001 i art. 19 rozporządzenia (WE) nr 223/2009,
dopóki dane nie zostaną zanonimizowane w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001, należy stosować odpowiednie środki techniczne i organizacyjne zapewniające poufność i bezpieczeństwo przetwarzanych danych osobowych zgodnie z art. 16 i 17 dyrektywy 95/46/WE oraz z art. 21 i 22 rozporządzenia (WE) nr 45/2001, biorąc pod uwagę zagrożenia stwarzane przez przetwarzanie i szczególnie chroniony charakter danych objętych ochroną. Ponadto przetwarzanie będzie podlegało uprzedniemu sprawdzeniu przez EIOD,
EIOD przypomina, że osoby, których dotyczą dane, będą musiały być odpowiednio informowane - zgodnie z krajowymi przepisami o ochronie danych - o fakcie gromadzenia danych na ich temat przed rozpoczęciem tego gromadzenia,
ponadto EIOD z zadowoleniem przyjąłby wniosek o przeprowadzenie konsultacji w odniesieniu do przeglądu rozporządzenia (WE) nr 831/2002 oraz do praktycznych warunków w zakresie systemu kodowania danych i wymiany danych jednostkowych, które to warunki zostaną przyjęte w drodze aktów wykonawczych.

Sporządzono w Brukseli dnia 19 września 2011 r.

Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych

______

(1) Dz.U L 281 z 23.11.1995, s. 31.

(2) Dz.U. L 8 z 12.1.2001, s. 1.

(3) COM(2011) 335 wersja ostateczna.

(4) Państwa członkowskie mogą również spełnić wymogi zawarte we wniosku w drodze zmiany istniejących krajowych badań.

(5) Zob. opinia Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie statystyk europejskich, Dz.U. C 308 z 3.12.2008, s. 1, (dokument dostępny pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2008/08-05-20_Statistics_EN.pdf) oraz rozporządzenie (WE) nr 223/2009 Parlamentu Europejskiego i Rady z dnia 11 marca 2009 r. w sprawie statystyki europejskiej (Dz.U. L 87 z 31.3.2009, s. 164).

(6) Zob. opinia Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz bezpieczeństwa i higieny pracy, Dz.U. C 295 z 7.12.2007, s. 1, (dokument dostępny pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2007/07-09-05_Statistics_health_data_EN.pdf) oraz rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70).

(7) Rozporządzenie Komisji (WE) nr 831/2002 z dnia 17 maja 2002 r. wykonujące rozporządzenie Rady (WE) nr 322/97 w sprawie statystyki Wspólnoty, dotyczące dostępu do poufnych danych do celów naukowych (Dz.U. L 133 z 18.5.2002, s. 7).

(8) Opinia EIOD dotycząca statystyk, przywołana powyżej.

(9) Zdefiniowane we wniosku jako "poszczególne dane statystyczne", a w bazie danych pojęć i definicji Eurostatu jako "niezagregowane obserwacje lub pomiary cech poszczególnych jednostek. Zbiór danych jednostkowych jest wynikiem badania lub innego zdarzenia w zakresie gromadzenia danych po edycji i imputacji na poziomie jednostkowym oraz możliwym dopasowaniu do innych danych na poziomie jednostkowym. Zorganizowane są w nim dane na poziomie jednostkowym, więc można zidentyfikować relacje pomiędzy poszczególnymi jednostkami i ich cechami, tak żeby umożliwić wszystkie formy agregacji" (baza danych pojęć i definicji Eurostatu, dostępna pod adresem http://ec.europa.eu/eurostat/ramon/nomenclatures/index.cfm?TargetUrl=DSP_GLOSSARY_NOM_DTL_VIEW&StrNom=CODED2&StrLanguageCode=EN&IntKey=22564850&RdoSearch=BEGIN&TxtSearch=microdata&CboTheme=&IntCurrentPage=1, strona ostatnio sprawdzona 17.8.2011).

(10) Jeżeli chodzi o przegląd rozporządzenia (WE) nr 831/2002, do kwestii najważniejszych dla państw członkowskich należą "zapewnienie ochrony danych, poziomy poufności, kwestia własności danych i kontrola dostępu" (Eurostat, sprawozdanie podsumowujące z 8. posiedzenia Komitetu ds. Europejskiego Systemu Statystycznego i 66. konferencji EEA z 10.2.2011, dostępne pod adresem http://www.europarl.europa.eu/RegData/docs_autres_institutions/commission_europeenne/comitologie/info/2011/CMTD(2011)0018/COM-AC_DI(2011)S013045-01_EN.pdf, strona ostatnio sprawdzona 17.8.2011).

(11) Zob. art. 3 ust. 7 rozporządzenia (WE) nr 223/2009.

(12) Regulowane art. 2 ust. 1 lit. e) i przepisami rozdziału V rozporządzenia (WE) nr 223/2009 oraz rozporządzeniem (WE) nr 831/2002.

(13) Zob. art. 1 wniosku.

(14) Artykuł 2 rozporządzenia (WE) nr 831/2002.

(15) Artykuł 19 rozporządzenia (WE) nr 223/2009.

(16) Według Grupy Roboczej powołanej na postawie art. 29 kryterium "wszystkie środki, które mogą być rozsądnie użyte" powinno obejmować wszystkie związane z tym czynniki, np. "koszt przeprowadzenia identyfikacji, (...) zamierzony cel, sposób zorganizowania przetwarzania, korzyść odnoszoną przez administratora danych, interesy osób fizycznych, a także ryzyko zakłóceń organizacyjnych (np. naruszenia obowiązków w zakresie poufności) oraz awarii technicznych". Wybrana technika anonimizacji powinna być również dostosowana do postępu technicznego, który w przyszłości mógłby umożliwić identyfikację osoby, której dotyczą dane (Grupa Robocza Art. 29, opinia 4/2007 w sprawie pojęcia danych osobowych, 20 czerwca 2007 r. (WP 136), s. 15, dostępna pod adresem http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf, strona ostatnio sprawdzona 17.8.2011).

(17) Zob. art. 1 wniosku.

(18) Artykuł 2 lit. a) dyrektywy 95/46/WE i art. 2 lit. a) rozporządzenia (WE) nr 45/2001.

(19) "Połączenie szczegółów na poziomie kategorii (kategoria wiekowa, pochodzenie regionalne itp.) również może być dość decydujące w pewnych okolicznościach, zwłaszcza gdy ma się dostęp do pewnego rodzaju dodatkowych informacji. Zjawisko to było szeroko badane przez statystyków, którzy zawsze dążą do uniknięcia naruszenia poufności" (Grupa Robocza Art. 29, opinia 4/2007 w sprawie pojęcia danych osobowych, 20 czerwca 2007 r. (WP 136), s. 13, dostępna pod adresem http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf).

(20) Oraz rozporządzenie (WE) nr 223/2009 (przywołane powyżej), do którego odesłanie znajduje się we wspomnianym artykule.

(21) Oraz rozporządzenia (WE) nr 831/2002 (przywołanego powyżej), do którego odesłanie znajduje się we wspomnianym artykule.

(22) Artykuł 8 ust. 5 dyrektywy 95/46/WE i art. 10 ust. 5 rozporządzenia (WE) nr 45/2001.

(23) Artykuł 8 ust. 4 dyrektywy 95/46/WE i art. 10 ust. 4 rozporządzenia (WE) nr 45/2001.

(24) W pkt 1.4.3. oceny skutków finansowych regulacji stwierdza się, że jednym z "oczekiwanych wyników" wniosku są "statystyki leżące u podstaw polityki promocji bezpieczeństwa i zapobiegania przestępczości" (s. 23 wniosku), a zgodnie z pkt 1.5.2. "wartość dodana z tytułu zaangażowania Unii Europejskiej" to "porównywalność wyników w zakresie zagrożenia przestępczością na poziomie UE, która przyczyni się do opartego na dowodach opracowywania polityki".

(25) W motywie 23 rozporządzenia (UE) nr 1235/2010 w sprawie nadzoru nad bezpieczeństwem farmakoterapii stwierdza się, że "ochrona zdrowia publicznego leży w istotnym interesie publicznym i w związku z tym przetwarzanie danych osobowych można uzasadnić, jeżeli możliwe do zidentyfikowania dane dotyczące zdrowia są przetwarzane tylko w razie konieczności i tylko w przypadku gdy zaangażowane strony oceniają tę konieczność na każdym etapie procesu nadzoru nad bezpieczeństwem farmakoterapii" (rozporządzenie (UE) nr 1235/2010 Parlamentu Europejskiego i Rady z dnia 15 grudnia 2010 r. zmieniające - w zakresie nadzoru nad bezpieczeństwem farmakoterapii w odniesieniu do produktów leczniczych stosowanych u ludzi - rozporządzenie (WE) nr 726/2004 ustanawiające wspólnotowe procedury wydawania pozwoleń dla produktów leczniczych stosowanych u ludzi i do celów weterynaryjnych i nadzoru nad nimi oraz ustanawiające Europejską Agencję Leków i rozporządzenie (WE) nr 1394/2007 w sprawie produktów leczniczych terapii zaawansowanej, Dz.U L 348 z 31.12.2010, s. 1).

(26) W motywie 12 rozporządzenia (WE) nr 1338/2008 (op.cit.) stwierdza się, że "wymogi statystyczne, które wynikają ze wspólnotowego działania w dziedzinie zdrowia publicznego, krajowych strategii na rzecz rozwoju dostępnej i stabilnej opieki zdrowotnej o wysokiej jakości oraz wspólnotowej strategii dotyczącej zdrowia i bezpieczeństwa pracy, a także wymogi związane ze wskaźnikami strukturalnymi, wskaźnikami trwałego rozwoju i wskaźnikami zdrowotnymi Wspólnoty Europejskiej i innymi zestawami wskaźników, których opracowanie jest niezbędne dla celów monitorowania wspólnotowych i krajowych działań i strategii politycznych w dziedzinach zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy, stanowią ważny interes publiczny".

(27) Komunikat Komisji do Parlamentu Europejskiego i Rady w sprawie niezależności, wiarygodności i odpowiedzialności krajowych i wspólnotowych organów statystycznych, COM(2005) 217 wersja ostateczna, Dz.U. C 172 z 12.7.2005, s. 22.

(28) Opinia EIOD dotycząca statystyk, przytoczona powyżej.

(29) Zgodnie z protokołem z posiedzenia Europejskiego Komitetu Doradczego ds. Statystyki (ESAC) z 29.10.2010 "wydaje się istnieć ciągłe nieporozumienie w odniesieniu do pojęcia danych poufnych; badacze naukowi są zainteresowani zanonimizowanymi danymi jednostkowymi i nie szukają dostępu do danych poufnych. Z tego względu dąży się do udostępniania zanonimizowanych danych na poziomie indywidualnym" (protokół z 6. posiedzenia ESAC z 29.10.2010, s. 3, dostępny pod adresem http://epp.eurostat.ec.europa.eu/portal/page/portal/esac/documents/6th%20ESAC_Minutes.pdf, strona ostatnio sprawdzona 17.8.2011).

(30) Zob. pkt 15 i 16 niniejszej opinii.

(31) Należy zauważyć, że przetwarzanie danych przeprowadzane przez państwa członkowskie może również podlegać uprzedniemu sprawdzeniu przez krajowe lub regionalne organy ochrony danych na mocy krajowych przepisów dotyczących ochrony danych przyjętych zgodnie z art. 20 dyrektywy 95/46/WE.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.