Opinia w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie europejskiej statystyki zagrożenia przestępczością.
Dz.U.UE.C.2011.343.1
Akt nienormatywny(2011/C 343/01)
(Dz.U.UE C z dnia 23 listopada 2011 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 28 ust. 2,
uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001,
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
I. WPROWADZENIE
I.1. Konsultacje z EIOD
I.1. Konsultacje z EIOD
I.3. Cel opinii EIOD
II. ANALIZA WNIOSKU
II.1. Uwagi wstępne
II.1. Uwagi wstępne
II.3. Stosowanie dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001
II.3.1. Gromadzenie danych
II.3.2. Przekazywanie, dostęp i rozpowszechnianie
II.4. Przetwarzanie danych szczególnie chronionych.
II.5. Środki bezpieczeństwa i anonimizacja
II.6. Informacje przekazywane osobom, których dotyczą dane
III. WNIOSKI
Sporządzono w Brukseli dnia 19 września 2011 r.
Giovanni BUTTARELLI | |
Zastępca Europejskiego Inspektora Ochrony Danych |
______
(1) Dz.U L 281 z 23.11.1995, s. 31.
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) COM(2011) 335 wersja ostateczna.
(4) Państwa członkowskie mogą również spełnić wymogi zawarte we wniosku w drodze zmiany istniejących krajowych badań.
(5) Zob. opinia Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie statystyk europejskich, Dz.U. C 308 z 3.12.2008, s. 1, (dokument dostępny pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2008/08-05-20_Statistics_EN.pdf) oraz rozporządzenie (WE) nr 223/2009 Parlamentu Europejskiego i Rady z dnia 11 marca 2009 r. w sprawie statystyki europejskiej (Dz.U. L 87 z 31.3.2009, s. 164).
(6) Zob. opinia Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz bezpieczeństwa i higieny pracy, Dz.U. C 295 z 7.12.2007, s. 1, (dokument dostępny pod adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2007/07-09-05_Statistics_health_data_EN.pdf) oraz rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70).
(7) Rozporządzenie Komisji (WE) nr 831/2002 z dnia 17 maja 2002 r. wykonujące rozporządzenie Rady (WE) nr 322/97 w sprawie statystyki Wspólnoty, dotyczące dostępu do poufnych danych do celów naukowych (Dz.U. L 133 z 18.5.2002, s. 7).
(8) Opinia EIOD dotycząca statystyk, przywołana powyżej.
(9) Zdefiniowane we wniosku jako "poszczególne dane statystyczne", a w bazie danych pojęć i definicji Eurostatu jako "niezagregowane obserwacje lub pomiary cech poszczególnych jednostek. Zbiór danych jednostkowych jest wynikiem badania lub innego zdarzenia w zakresie gromadzenia danych po edycji i imputacji na poziomie jednostkowym oraz możliwym dopasowaniu do innych danych na poziomie jednostkowym. Zorganizowane są w nim dane na poziomie jednostkowym, więc można zidentyfikować relacje pomiędzy poszczególnymi jednostkami i ich cechami, tak żeby umożliwić wszystkie formy agregacji" (baza danych pojęć i definicji Eurostatu, dostępna pod adresem http://ec.europa.eu/eurostat/ramon/nomenclatures/index.cfm?TargetUrl=DSP_GLOSSARY_NOM_DTL_VIEW&StrNom=CODED2&StrLanguageCode=EN&IntKey=22564850&RdoSearch=BEGIN&TxtSearch=microdata&CboTheme=&IntCurrentPage=1, strona ostatnio sprawdzona 17.8.2011).
(10) Jeżeli chodzi o przegląd rozporządzenia (WE) nr 831/2002, do kwestii najważniejszych dla państw członkowskich należą "zapewnienie ochrony danych, poziomy poufności, kwestia własności danych i kontrola dostępu" (Eurostat, sprawozdanie podsumowujące z 8. posiedzenia Komitetu ds. Europejskiego Systemu Statystycznego i 66. konferencji EEA z 10.2.2011, dostępne pod adresem http://www.europarl.europa.eu/RegData/docs_autres_institutions/commission_europeenne/comitologie/info/2011/CMTD(2011)0018/COM-AC_DI(2011)S013045-01_EN.pdf, strona ostatnio sprawdzona 17.8.2011).
(11) Zob. art. 3 ust. 7 rozporządzenia (WE) nr 223/2009.
(12) Regulowane art. 2 ust. 1 lit. e) i przepisami rozdziału V rozporządzenia (WE) nr 223/2009 oraz rozporządzeniem (WE) nr 831/2002.
(13) Zob. art. 1 wniosku.
(14) Artykuł 2 rozporządzenia (WE) nr 831/2002.
(15) Artykuł 19 rozporządzenia (WE) nr 223/2009.
(16) Według Grupy Roboczej powołanej na postawie art. 29 kryterium "wszystkie środki, które mogą być rozsądnie użyte" powinno obejmować wszystkie związane z tym czynniki, np. "koszt przeprowadzenia identyfikacji, (...) zamierzony cel, sposób zorganizowania przetwarzania, korzyść odnoszoną przez administratora danych, interesy osób fizycznych, a także ryzyko zakłóceń organizacyjnych (np. naruszenia obowiązków w zakresie poufności) oraz awarii technicznych". Wybrana technika anonimizacji powinna być również dostosowana do postępu technicznego, który w przyszłości mógłby umożliwić identyfikację osoby, której dotyczą dane (Grupa Robocza Art. 29, opinia 4/2007 w sprawie pojęcia danych osobowych, 20 czerwca 2007 r. (WP 136), s. 15, dostępna pod adresem http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf, strona ostatnio sprawdzona 17.8.2011).
(17) Zob. art. 1 wniosku.
(18) Artykuł 2 lit. a) dyrektywy 95/46/WE i art. 2 lit. a) rozporządzenia (WE) nr 45/2001.
(19) "Połączenie szczegółów na poziomie kategorii (kategoria wiekowa, pochodzenie regionalne itp.) również może być dość decydujące w pewnych okolicznościach, zwłaszcza gdy ma się dostęp do pewnego rodzaju dodatkowych informacji. Zjawisko to było szeroko badane przez statystyków, którzy zawsze dążą do uniknięcia naruszenia poufności" (Grupa Robocza Art. 29, opinia 4/2007 w sprawie pojęcia danych osobowych, 20 czerwca 2007 r. (WP 136), s. 13, dostępna pod adresem http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf).
(20) Oraz rozporządzenie (WE) nr 223/2009 (przywołane powyżej), do którego odesłanie znajduje się we wspomnianym artykule.
(21) Oraz rozporządzenia (WE) nr 831/2002 (przywołanego powyżej), do którego odesłanie znajduje się we wspomnianym artykule.
(22) Artykuł 8 ust. 5 dyrektywy 95/46/WE i art. 10 ust. 5 rozporządzenia (WE) nr 45/2001.
(23) Artykuł 8 ust. 4 dyrektywy 95/46/WE i art. 10 ust. 4 rozporządzenia (WE) nr 45/2001.
(24) W pkt 1.4.3. oceny skutków finansowych regulacji stwierdza się, że jednym z "oczekiwanych wyników" wniosku są "statystyki leżące u podstaw polityki promocji bezpieczeństwa i zapobiegania przestępczości" (s. 23 wniosku), a zgodnie z pkt 1.5.2. "wartość dodana z tytułu zaangażowania Unii Europejskiej" to "porównywalność wyników w zakresie zagrożenia przestępczością na poziomie UE, która przyczyni się do opartego na dowodach opracowywania polityki".
(25) W motywie 23 rozporządzenia (UE) nr 1235/2010 w sprawie nadzoru nad bezpieczeństwem farmakoterapii stwierdza się, że "ochrona zdrowia publicznego leży w istotnym interesie publicznym i w związku z tym przetwarzanie danych osobowych można uzasadnić, jeżeli możliwe do zidentyfikowania dane dotyczące zdrowia są przetwarzane tylko w razie konieczności i tylko w przypadku gdy zaangażowane strony oceniają tę konieczność na każdym etapie procesu nadzoru nad bezpieczeństwem farmakoterapii" (rozporządzenie (UE) nr 1235/2010 Parlamentu Europejskiego i Rady z dnia 15 grudnia 2010 r. zmieniające - w zakresie nadzoru nad bezpieczeństwem farmakoterapii w odniesieniu do produktów leczniczych stosowanych u ludzi - rozporządzenie (WE) nr 726/2004 ustanawiające wspólnotowe procedury wydawania pozwoleń dla produktów leczniczych stosowanych u ludzi i do celów weterynaryjnych i nadzoru nad nimi oraz ustanawiające Europejską Agencję Leków i rozporządzenie (WE) nr 1394/2007 w sprawie produktów leczniczych terapii zaawansowanej, Dz.U L 348 z 31.12.2010, s. 1).
(26) W motywie 12 rozporządzenia (WE) nr 1338/2008 (op.cit.) stwierdza się, że "wymogi statystyczne, które wynikają ze wspólnotowego działania w dziedzinie zdrowia publicznego, krajowych strategii na rzecz rozwoju dostępnej i stabilnej opieki zdrowotnej o wysokiej jakości oraz wspólnotowej strategii dotyczącej zdrowia i bezpieczeństwa pracy, a także wymogi związane ze wskaźnikami strukturalnymi, wskaźnikami trwałego rozwoju i wskaźnikami zdrowotnymi Wspólnoty Europejskiej i innymi zestawami wskaźników, których opracowanie jest niezbędne dla celów monitorowania wspólnotowych i krajowych działań i strategii politycznych w dziedzinach zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy, stanowią ważny interes publiczny".
(27) Komunikat Komisji do Parlamentu Europejskiego i Rady w sprawie niezależności, wiarygodności i odpowiedzialności krajowych i wspólnotowych organów statystycznych, COM(2005) 217 wersja ostateczna, Dz.U. C 172 z 12.7.2005, s. 22.
(28) Opinia EIOD dotycząca statystyk, przytoczona powyżej.
(29) Zgodnie z protokołem z posiedzenia Europejskiego Komitetu Doradczego ds. Statystyki (ESAC) z 29.10.2010 "wydaje się istnieć ciągłe nieporozumienie w odniesieniu do pojęcia danych poufnych; badacze naukowi są zainteresowani zanonimizowanymi danymi jednostkowymi i nie szukają dostępu do danych poufnych. Z tego względu dąży się do udostępniania zanonimizowanych danych na poziomie indywidualnym" (protokół z 6. posiedzenia ESAC z 29.10.2010, s. 3, dostępny pod adresem http://epp.eurostat.ec.europa.eu/portal/page/portal/esac/documents/6th%20ESAC_Minutes.pdf, strona ostatnio sprawdzona 17.8.2011).
(30) Zob. pkt 15 i 16 niniejszej opinii.
(31) Należy zauważyć, że przetwarzanie danych przeprowadzane przez państwa członkowskie może również podlegać uprzedniemu sprawdzeniu przez krajowe lub regionalne organy ochrony danych na mocy krajowych przepisów dotyczących ochrony danych przyjętych zgodnie z art. 20 dyrektywy 95/46/WE.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.