Opinia w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (ogólne rozporządzenie o ochronie danych).

COM(2012) 11 final - 2012/011 (COD)

(2012/C 229/17)

(Dz.U.UE C z dnia 31 lipca 2012 r.)

Sprawozdawca generalny: Jorge PEGADO LIZ

Parlament Europejski, w dniu 16 lutego 2012 r., oraz Rada, w dniu 1 marca 2012 r., postanowiły, zgodnie z art. 304 Traktatu o funkcjonowaniu Unii Europejskiej, zasięgnąć opinii Europejskiego Komitetu EkonomicznoSpołecznego w sprawie

wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (ogólne rozporządzenie o ochronie danych)

COM(2012) 11 final - 2012/011 (COD).

Dnia 21 lutego 2012 r. Prezydium Komitetu powierzyło Sekcji Zatrudnienia, Spraw Społecznych i Obywatelstwa przygotowanie prac Komitetu w tej sprawie.

Mając na względzie pilny charakter prac, na 481. sesji plenarnej w dniach 23-24 maja 2012 r. (posiedzenie z 23 maja) Europejski Komitet Ekonomiczno-Społeczny wyznaczył Jorgego PEGADO LIZA na sprawozdawcę generalnego oraz stosunkiem głosów 165 do 34 - 12 osób wstrzymało się od głosu - przyjął następującą opinię:

1. Wnioski i zalecenia

1.1 EKES pochwala ogólny kierunek obrany przez Komisję, akceptuje wybór proponowanej podstawy umocowania i zasadniczo aprobuje cele wniosku, które są bardzo zbieżne z opinią Komitetu. Jeżeli chodzi o status prawny ochrony danych, zdaniem EKES-u należy ograniczyć przetwarzanie i przekazywanie danych w ramach rynku wewnętrznego w oparciu o prawo do ochrony danych osobowych w rozumieniu art. 8 Karty praw podstawowych i art. 16 ust. 2 TFUE.

1.2 Stanowisko EKES-u w sprawie wyboru rozporządzenia jako najbardziej odpowiedniego instrumentu prawnego dla osiągnięcia wyznaczonych celów jest nadal podzielone, w związku z czym Komitet zwraca się do Komisji o jaśniejsze przedstawienie i uzasadnienie powodów, dla których uważa ten instrument za lepszy od dyrektywy, a nawet za niezbędny.

1.3 Komitet ubolewa jednak nad zbyt licznymi wyjątkami i ograniczeniami, naruszającymi głoszone zasady prawa do ochrony danych osobowych.

1.4 W nowym kontekście gospodarki cyfrowej Komitet podziela opinię Komisji, zgodnie z którą "osoby fizyczne mają prawo do skutecznej kontroli swoich danych osobowych", i życzyłby sobie, aby prawo to objęło różne rodzaje użytkowania, w ramach których tworzone są indywidualne profile na podstawie danych uzyskanych za pomocą wielu środków (legalnych, a czasem nielegalnych) i przetwarzania tych danych.

1.5 Jeżeli chodzi o prawa podstawowe, w ramach harmonizacji dokonanej w drodze rozporządzenia w określonych dziedzinach należy jednak pozostawić państwom członkowskim możliwość przyjęcia przepisów prawa krajowego nieujętych w przedmiotowym rozporządzeniu bądź korzystniejszych od tych, które w nim przewidziano.

1.6 Komitet nie może ponadto zaakceptować wszystkich - niemal systematycznych - odwołań do aktów delegowanych, które nie wchodzą wyraźnie w zakres art. 290 TFUE.

1.7 Komitet przyjmuje natomiast z zadowoleniem troskę o stworzenie skutecznych ram instytucjonalnych w celu zapewnienia efektywnego funkcjonowania przepisów prawa, zarówno na poziomie przedsiębiorstw (inspektorzy ochrony danych), jak i administracji publicznych państw członkowskich (niezależne organy nadzorcze). Niemniej jednak EKES życzyłby sobie, aby Komisja przyjęła podejście bardziej zgodne z rzeczywistymi potrzebami i dążeniami obywateli oraz bardziej uporządkowane według charakteru określonych dziedzin działalności gospodarczej i społecznej.

1.8 EKES ocenia, że w proponowanym tekście można nanieść cały szereg poprawek i uściśleń i podaje konkretne przykłady dotyczące wielu artykułów. Przykłady te mają na celu lepsze zdefiniowanie praw, wzmocnienia ochrony obywateli ogólnie i pracowników w szczególności, charakteru zgody, zgodności z prawem przetwarzania danych, a zwłaszcza obowiązków inspektorów ochrony danych i przetwarzania danych w kontekście zatrudnienia.

1.9 EKES ocenia też, że należy włączyć do rozporządzenia elementy, które nie zostały w nim uwzględnione, takie jak rozszerzenie zakresu stosowania, przetwarzanie wrażliwych kategorii danych czy też powództwa zbiorowe.

1.10 W tym kontekście EKES jest zdania, że wyszukiwarki czerpiące większość dochodów z reklamy ukierunkowanej dzięki gromadzeniu danych osobowych odwiedzających, czy wręcz ich profilowaniu, powinny wyraźnie wchodzić w zakres stosowania rozporządzenia. To samo odnosi się do serwerów oferujących możliwość przechowywania danych, a także, w niektórych przypadkach, do oprogramowania (przetwarzanie w chmurze) gromadzącego dane użytkowników do celów handlowych.

1.11 To samo odnosi się także do danych osobowych publikowanych na stronach sieci społecznościowych, w przypadku których, zgodnie z prawem do bycia zapomnianym, powinna istnieć możliwość zmiany lub usunięcia przedmiotowych informacji przez osobę zainteresowaną, jak również usunięcia na wniosek tej osoby jej profilu i linków odsyłających do innych często odwiedzanych stron, na których przedmiotowe informacje są powielane lub komentowane. W tym celu należy zmienić art. 9.

1.12 EKES zwraca się wreszcie do Komisji o ponowne rozważenie niektórych aspektów wniosku, które ocenia jako niemożliwe do przyjęcia, dotyczących kwestii delikatnych takich jak ochrona dzieci, prawo wniesienia sprzeciwu, profilowanie, niektóre ograniczenia praw, próg 250 pracowników przy wyznaczaniu inspektora ochrony danych czy też sposób uregulowania działania "punktów kompleksowej obsługi".

2. Wprowadzenie

2.1 Do EKES-u zwrócono się o opinię w sprawie wniosku dotyczącego rozporządzenia w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (ogólne rozporządzenie o ochronie danych)⁽¹⁾.

2.2 Należy jednak zauważyć, że wniosek ten należy do pakietu obejmującego też komunikat wprowadzający⁽²⁾, wniosek dotyczący dyrektywy⁽³⁾ oraz sprawozdanie Komisji dla Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów na podstawie art. 29 ust. 2 decyzji ramowej Rady z dnia 27 listopada 2008 r.⁽⁴⁾ Do EKES-u nie zwrócono się w sprawie ogółu wniosków ustawodawczych, lecz jedynie w sprawie projektu rozporządzenia, podczas gdy należałoby zasięgnąć jego opinii także w sprawie projektu dyrektywy.

2.3 Wniosek, w sprawie którego zasięgnięto opinii EKES-u, sytuuje się zdaniem Komisji w punkcie przecięcia się dwóch bardzo ważnych kierunków prawno-politycznych i polityczno-gospodarczych UE.

2.3.1 Z jednej strony art. 8 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) utrwalają prawo do ochrony danych jako prawo podstawowe, które powinno jako takie podlegać ochronie. Przepisy te były podstawą do opracowania komunikatów

Komisji Europejskiej dotyczących programu sztokholmskiego i planu działań służącego realizacji programu sztokholmskiego⁽⁵⁾.

2.3.2 Z drugiej strony Europejska agenda cyfrowa i, szerzej, strategia "Europa 2020" kładą nacisk na wzmocnienie wymiaru ochrony danych związanego z jednolitym rynkiem i na zmniejszenie obciążeń administracyjnych przedsiębiorstw.

2.4 Zamiarem Komisji jest aktualizacja i modernizacja zasad zawartych w skonsolidowanej dyrektywie 95/46/WE w sprawie ochrony danych w celu zagwarantowania na przyszłość praw osób w zakresie poszanowania prywatności w społeczeństwie cyfrowym i jego sieciach. Komisja dąży do wzmocnienia praw obywateli, umocnienia rynku wewnętrznego UE, zapewnienia wysokiego poziomu ochrony danych we wszystkich dziedzinach (także w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych), zapewnienia należytego stosowania przyjętych w tym celu przepisów, ułatwienia transgranicznego przetwarzania danych i ustanowienia powszechnych norm w zakresie ochrony danych.

3. Uwagi ogólne

3.1 W nowym kontekście gospodarki cyfrowej Komitet podziela opinię Komisji, zgodnie z którą "osoby fizyczne mają prawo do skutecznej kontroli swoich danych osobowych" i życzyłby sobie, aby prawo to objęło różne rodzaje użytkowania, w ramach których tworzone są indywidualne profile na podstawie danych uzyskanych za pomocą wielu środków (legalnych, a czasem nielegalnych) i przetwarzania tych danych. Komitet jest też zdania, że przetwarzanie i przekazywanie danych w ramach jednolitego rynku powinno być ograniczone prawem do ochrony zagwarantowanym w art. 8 Karty praw podstawowych Unii Europejskiej. Jest to prawo podstawowe, ujęte w prawie instytucjonalnym Unii i w większości krajowych systemów prawnych państw członkowskich.

3.2 Każdemu obywatelowi i mieszkańcowi Unii przysługują z racji samego tego faktu prawa podstawowe ujęte w karcie i traktatach; prawa te są też utrwalone w prawie państw członkowskich, czasem nawet na poziomie konstytucyjnym. Inne prawa, takie jak prawo do wizerunku czy prawo do poszanowania prywatności, uzupełniają i wzmacniają prawo do ochrony danych osobowych. Powinna istnieć możliwość wyegzekwowania tych praw poprzez zwrócenie się do administratora strony internetowej o zmianę lub usunięcie profilu bądź pliku z serwera, a w razie niewykonania tego polecenia - możliwość uzyskania nakazu sądowego w tej sprawie.

3.3 Przechowywanie plików zawierających dane osobowe jest niezbędne w przypadku administracji publicznej⁽⁶⁾, zarządzania personelem przedsiębiorstw, w przypadku usług handlowych, stowarzyszeń i związków zawodowych, partii politycznych, stron społecznościowych i wyszukiwarek internetowych. Niemniej jednak aby chronić prywatność osób, których dane zgodnie z prawem umieszczono w plikach mających zastosowanie do różnych celów, pliki te powinny zawierać jedynie podstawowe dane służące do realizacji poszczególnych celów i nie powinny być wzajemnie powiązane za sprawą ICT, bez konieczności i ochrony prawnej. Istnienie organu mającego nieograniczony dostęp do wszystkich danych stanowiłoby zagrożenie dla swobód obywatelskich i prywatności.

3.4 W przypadku plików przechowywanych przez podmioty prawa prywatnego osoby zainteresowane powinny mieć prawo do dostępu do swoich danych i do ich poprawienia, a nawet do usunięcia pliku, gdy chodzi o pliki wykorzystywane do celów poszukiwania klientów lub na stronach sieci społecznościowych.

3.5 Jeżeli chodzi o pliki przechowywane zgodnie z obowiązkami prawnymi przez administrację publiczną lub prywatną, osoby zainteresowane powinny mieć prawo do dostępu do swoich danych, do ich poprawienia w razie błędu, a nawet do ich usunięcia, jeśli ich przetwarzanie przestało być konieczne, np. w przypadku amnestii, gdy chodzi o dane zawarte w rejestrze sądowym, lub w przypadku wygaśnięcia umowy o pracę, po upływie ustawowego okresu przechowywania.

3.6 EKES pochwala ogólny kierunek obrany przez Komisję, uznając, że pomimo upływu 17 lat cele skonsolidowanej dyrektywy 95/46/WE pozostały aktualne, a w związku ze wszystkimi zmianami technologicznymi i społecznymi, jakie nastąpiły w odniesieniu do środowiska cyfrowego, niezbędny stał się gruntowny przegląd tej dyrektywy. Dla przykładu, we wspomnianej dyrektywie nie było mowy o niektórych aspektach transgranicznej wymiany informacji i danych między organami administracji odpowiedzialnymi za ściganie przestępstw i wykonywanie orzeczeń w ramach współpracy policyjnej i wymiarów sprawiedliwości. Kwestia ta została omówiona w projekcie dyrektywy stanowiącym część pakietu dotyczącego ochrony danych i niebędącym przedmiotem konsultacji z Komitetem.

3.7 EKES pochwala zasadniczo cele wniosku, które dotyczą ochrony praw podstawowych i są bardzo zbieżne z opinią Komitetu⁽⁷⁾, zwłaszcza w odniesieniu do następujących kwestii:

- ustanowienie jednolitego zbioru przepisów dotyczących ochrony danych, obowiązującego w całej Unii i zapewniającego możliwie najwyższy poziom ochrony;

- wyraźne potwierdzenie swobody przepływu danych osobowych w UE;

- zniesienie wielu niepotrzebnych obowiązków administracyjnych, które w opinii Komisji umożliwiłoby przedsiębiorstwom zaoszczędzenie ok. 2,3 mld EUR rocznie;

- nałożenie na przedsiębiorstwa i organizacje obowiązku bezzwłocznego powiadamiania krajowych organów nadzorczych o poważnych naruszeniach ochrony danych osobowych (o ile to możliwe w terminie 24 godzin);

- umożliwienie obywatelom zwrócenia się do organu odpowiedzialnego za ochronę danych w ich państwie nawet w przypadku, gdy dane są przetwarzane przez przedsiębiorstwo mające siedzibę poza terytorium UE;

- ułatwienie osobom dostępu do ich danych, jak również przenoszenia danych osobowych od jednego usługodawcy do drugiego (prawo podmiotu danych do przenoszenia danych);

- "prawo do bycia zapomnianym" zapewniające obywatelom lepsze zarządzanie ryzykiem związanym z ochroną danych w internecie oraz możliwość usunięcia danych osobowych w przypadku, gdy nie ma żadnych uzasadnionych podstaw do ich przechowywania;

- wzmocnienie w stosunku do stanu obecnego roli niezależnych organów krajowych odpowiedzialnych za ochronę danych, aby mogły one zapewnić skuteczniejsze stosowanie i przestrzeganie przepisów UE na terytorium swojego państwa członkowskiego, w szczególności poprzez nakładanie na przedsiębiorstwa naruszające przepisy grzywien wynoszących do 1 mln euro lub stanowiących do 2 % rocznych całkowitych obrotów przedsiębiorstwa;

- neutralność technologiczna i zastosowanie do wszelkiego rodzaju przetwarzania danych, zarówno ręcznego, jak i w sposób zautomatyzowany;

- obowiązek przeprowadzania ocen skutków dotyczących ochrony danych.

3.8 EKES przyjmuje z zadowoleniem położenie nacisku na ochronę praw podstawowych i w pełni popiera wybór proponowanej podstawy prawnej, wykorzystanej po raz pierwszy w prawodawstwie. Podkreśla też duże znaczenie przedmiotowego wniosku dla urzeczywistnienia jednolitego rynku oraz jego pozytywne skutki w ramach strategii "Europa 2020". Jeśli chodzi o wybór rozporządzenia, niektórzy członkowie EKES-u, niezależnie od przynależności do Grupy, podzielają zdanie Komisji i uważają, że chodzi tu o instrument prawny najbardziej odpowiedni do tego, by zapewnić jednolite stosowanie i jednakowy wysoki poziom ochrony danych we wszystkich państwach członkowskich. Inni członkowie są zdania, że dyrektywa byłaby instrumentem mogącym lepiej zapewnić stosowanie zasady pomocniczości i lepiej chronić dane, zwłaszcza w tych państwach członkowskich, które już zapewniają wyższą ochronę, niż zostało to określone we wniosku Komisji. EKES zdaje sobie także sprawę z tego, że państwa członkowskie są również podzielone w tej kwestii. W związku z tym zwraca się do Komisji o lepsze uzasadnienie jej propozycji poprzez dobitniejsze wykazanie, że jest ona zgodna z zasadą pomocniczości, i o przedstawienie powodów, dla których uważa, ze wybór rozporządzenia jest niezbędny dla osiągnięcia wytyczonych celów.

3.8.1 Ponieważ chodzi o rozporządzenie mające bezpośrednie zastosowanie w całości we wszystkich państwach członkowskich, bez konieczności dokonywania transpozycji, EKES zwraca uwagę Komisji na konieczność zapewnienia spójności wszystkich przetłumaczonych wersji językowych, która to spójność nie została zapewniona w przypadku wniosku.

3.9 EKES jest zdania, że z jednej strony we wniosku można było posunąć się dalej, jeżeli chodzi o wymiar ochronny niektórych praw, które ze względu na niezliczone wyjątki i ograniczenia zostały praktycznie pozbawione treści, a z drugiej strony należało lepiej zrównoważyć prawa poszczególnych podmiotów. W związku z tym grozi nam brak równowagi między celami dotyczącymi podstawowego prawa do ochrony danych a celami dotyczącymi jednolitego rynku, ze szkodą dla tych pierwszych. EKES podziela zasadniczo opinię wyrażoną przez Europejskiego Inspektora Ochrony Danych⁽⁸⁾.

3.10 EKES życzyłby sobie, aby Komisja przyjęła podejście bardziej zgodne z potrzebami i dążeniami obywateli oraz bardziej uporządkowane według charakteru określonych dziedzin działalności gospodarczej i społecznej, takich jak np. handel elektroniczny, marketing bezpośredni, stosunki pracy, władze publiczne, monitoring i bezpieczeństwo, DNA itp., różnicując przepisy mające zastosowanie do przetwarzania danych w zależności od wymienionych bardzo różnych aspektów.

3.11 Jeżeli chodzi o różne przepisy zawarte we wniosku (ujęte w art. 86), bardzo ważne aspekty przedmiotowego instrumentu prawnego oraz działania systemu zależą od przyszłych aktów delegowanych (26 przypadków przekazania uprawnień na czas nieokreślony). EKES jest zdania, że wykracza to daleko poza granice ustalone w art. 290 Traktatu i określone w komunikacie Komisji Europejskiej w sprawie wprowadzenia w życie art. 290 Traktatu o funkcjonowaniu Unii Europejskiej⁽⁹⁾, co pociąga za sobą skutki dla bezpieczeństwa i pewności prawa w odniesieniu do przedmiotowego instrumentu. Uważa ponadto, że określona liczba przekazanych uprawnień mogłaby być regulowana bezpośrednio przez europejskiego prawodawcę. Pozostałe mogą natomiast leżeć w kompetencji krajowych organów nadzorczych lub ich grupy na szczeblu europejskim⁽¹⁰⁾. Wzmocniłoby to wdrażanie zasady pomocniczości i przyczyniło się do większej pewności prawa.

3.12 EKES rozumie powody, dla których Komisja zajęła się w ramach przedmiotowego wniosku, ze względu na jego specyficzny charakter prawny, jedynie prawami osób fizycznych. Wzywa jednak Komisję do zwrócenia uwagi także na dane dotyczące osób prawnych, a konkretnie osób mających osobowość prawną.

4. Uwagi szczegółowe

Aspekty pozytywne

4.1 Wniosek jest zgodny z przedmiotem i celami dyrektywy 95/46/WE, zwłaszcza jeżeli chodzi o pewne definicje, główne zasady dotyczące jakości danych i uzasadnienia ich przetwarzania, przetwarzanie szczególnych kategorii danych i niektóre prawa do informacji i dostępu do danych.

4.2 Wniosek wprowadza korzystne innowacje w ramach zasadniczych aspektów dotyczących nowych definicji, ściślejszego określenia warunków wyrażania zgody, zwłaszcza w przypadku dzieci, oraz kategoryzacji nowych praw, takich jak prawa do poprawiania i do usuwania danych, a zwłaszcza prawo podmiotu danych do bycia zapomnianym, treść prawa wniesienia sprzeciwu i profilowanie, jak również w odniesieniu do takich kwestii jak bardzo szczegółowe obowiązki administratorów i podmiotów przetwarzających, bezpieczeństwo danych i ogólne ramy sankcji, głównie o charakterze administracyjnym.

4.3 Komitet przyjmuje też z zadowoleniem troskę o stworzenie w ramach wniosku skutecznych ram instytucjonalnych w celu zapewnienia efektywnego funkcjonowania przepisów prawa, zarówno na poziomie przedsiębiorstw (inspektorzy ochrony danych), jak i administracji publicznych państw członkowskich (niezależne organy nadzorcze), jak również w celu wzmocnienia współpracy między tymi organami i współpracy z Komisją (utworzenie Europejskiej Rady Ochrony Danych). Zwraca jednak uwagę na fakt, iż należy zachować kompetencje krajowych, a po części także regionalnych inspektorów ochrony danych w państwach członkowskich.

4.4 EKES pozytywnie ocenia wreszcie wspieranie opracowywania kodeksów postępowania, a także rolę certyfikacji oraz pieczęci i oznaczeń w zakresie ochrony danych.

Aspekty, które można poprawić

4.5 Artykuł 3 - Zakres terytorialny

4.5.1 Warunki stosowania przewidziane w ust. 2 są zbyt restrykcyjne; przypomnijmy o przypadku firm farmaceutycznych mających siedzibę poza Europą, które do celów badań klinicznych potrzebują uzyskać dostęp do danych klinicznych zainteresowanych osób mieszkających w UE.

4.6 Artykuł 4 - Definicje

4.6.1 Definicja "zgody", która stanowi zasadniczą podstawę wszelkich koncepcji ochrony danych, powinna być bardziej szczegółowa w odniesieniu do swoich poszczególnych elementów, zwłaszcza gdy chodzi o cechy "wyraźnego działania potwierdzającego" (konkretnie w wersji francuskiej).

4.6.2 W art. 4 powinna znaleźć się definicja pojęcia "przekazywania danych", które nie jest nigdzie zdefiniowane.

4.6.3 Należy zdefiniować pojęcie "rzetelnego przetwarzania" wymienione w art. 5 lit. a).

4.6.4 Pojęcie danych "które zostały wyraźnie podane do publicznej wiadomości" (art. 9 ust. 2 lit. e)) także powinno zostać ściśle zdefiniowane.

4.6.5 Należy też zdefiniować pojęcie "profilowania" pojawiające się w całej treści wniosku.

4.7 Artykuł 6 - Zgodność z prawem przetwarzania

4.7.1 Pojawiające się w lit. f) pojęcie "słusznych interesów realizowanych przez administratora", które nie wchodziłyby w zakres żadnej z poprzednich liter, wydaje się niejasne i subiektywne i powinno zostać ściślej określone w samym tekście, z zasadą pomocniczości. a nie w akcie delegowanym (ust. 5), tym bardziej że w ust. 4 nie wymieniono lit. f) (jest to ważne np. w przypadku usług pocztowych i marketingu bezpośredniego⁽¹¹⁾).

4.8 Artykuł 7 - Zgoda

Importa indicar, no n.^o 3, que a retirada do consentimento impede qualquer tratamento posterior dos dados e que só compromete a licitude do tratamento efetuado a partir do momento em que o consentimento foi retirado.

4.9 Artykuł 14 - Informacje

4.9.1 W ust. 4 lit. b) należy określić termin maksymalny.

4.10 Artykuł 31 - Zgłaszanie naruszeń organom nadzorczym

4.10.1 Zgłaszanie naruszeń niezależnie od ich charakteru grozi naruszeniem działania systemu i, ostatecznie, stworzeniem przeszkody dla efektywnego pociągnięcia do odpowiedzialności winnych.

4.11 Artykuł 35 - Inspektorzy ochrony danych

4.11.1 Jeżeli chodzi o inspektora ochrony danych, należałoby ściślej określić warunki pełnienia przedmiotowej funkcji, dotyczące takich kwestii jak: ochrona przed zwolnieniem, która powinna być jasno zdefiniowana i wykraczać poza okres pełnienia tej funkcji przez daną osobę; podstawowe warunki i jasne wymogi związane z wykonywaniem tej działalności; zwolnienie inspektora ochrony danych z wszelkiej odpowiedzialności w przypadku zgłaszania nieprawidłowości pracodawcy lub krajowym organom ds. ochrony danych; prawo do bezpośredniego udziału przedstawicieli pracowników w wyznaczaniu inspektora ochrony danych oraz prawo tych przedstawicieli do okresowego otrzymywania informacji⁽¹²⁾ dotyczących napotkanych problemów i ich rozwiązania. Należałoby też uściślić kwestię środków przyznawanych na pełnienie tej funkcji.

4.12 Artykuł 39 - Certyfikacja

4.12.1 Certyfikacja powinna należeć do zadań Komisji.

4.13 Artykuły 82 i 33 - Przetwarzanie w kontekście zatrudnienia

4.13.1 W art. 82 brakuje wyraźnego odniesienia do oceny wyników (do której nie ma też nawiązania w art. 20 dotyczącym profilowania). Nie uściślono ponadto, czy przedmiotowe upoważnienie ma zastosowanie także do opracowywania przepisów dotyczących inspektora ochrony danych. Należałoby też doprecyzować zakaz profilowania w kontekście zatrudnienia, w odniesieniu do oceny skutków w zakresie ochrony danych (art. 33).

4.14 Artykuły 81, 82, 83 i 84

4.14.1 Sformułowanie: "W granicach niniejszego rozporządzenia [...]", należałoby zastąpić sformułowaniem: "Na podstawie niniejszego rozporządzenia [...]".

Aspekty brakujące, które należałoby uzupełnić

4.15 Zakres stosowania

4.15.1 Jeżeli chodzi o prawa podstawowe, w ramach harmonizacji dokonanej w określonych dziedzinach należałoby pozostawić państwom członkowskim możliwość przyjęcia przepisów prawa krajowego nieujętych w przedmiotowym rozporządzeniu bądź bardziej korzystnych od tych, które w nim przewidziano, co zostało już usankcjonowane w dziedzinach wymienionych w art. 80-85.

4.15.2 Należałoby wyraźnie włączyć adresy IP osób do danych chronionych w ramach części normatywnej rozporządzenia, a nie tylko w preambule.

4.15.3 Wyszukiwarki czerpiące większość dochodów z reklamy i gromadzące dane osobowe użytkowników, aby je wykorzystać do celów handlowych, powinny wyraźnie wchodzić w zakres stosowania rozporządzenia, a nie tylko figurować w preambule.

4.15.4 Należałoby zaznaczyć, że sieci społecznościowe wchodzą w zakres stosowania rozporządzenia, i to nie tylko wtedy, gdy wykorzystują profilowanie do celów handlowych.

4.15.5 Niektóre metody kontroli i filtrowania internetu, które mają rzekomo przeciwdziałać podrabianiu towarów i prowadzą do profilowania niektórych użytkowników sieci, włączenia ich do rejestru i kontrolowania wszystkich ich kroków w warunkach braku zezwolenia sądowego, także powinny wchodzić w zakres stosowania rozporządzenia.

4.15.6 Byłoby też pożądane, aby instytucje i organy Unii podlegały obowiązkom określonym w rozporządzeniu.

4.16 Artykuł 9 - Szczególne kategorie danych

4.16.1 Najlepszy sposób postępowania polegałby na określeniu szczególnych warunków w zależności od okoliczności, sytuacji i celów przetwarzania danych. Należy wprowadzić zakaz profilowania w tych dziedzinach.

4.16.2 Należałoby wprowadzić zasadę niedyskryminacji w ramach przetwarzania wrażliwych kategorii danych do celów statystycznych.

4.17 Należałoby wprowadzić niewykorzystane możliwości w następujących dziedzinach:

- uczestnictwo przedstawicieli pracowników na wszystkich szczeblach krajowych i na poziomie europejskim w opracowywaniu "wiążących reguł korporacyjnych", których spełnienie powinno odtąd stanowić warunek międzynarodowego przekazywania danych (art. 43);

- informowanie europejskiej rady zakładowej i zasięganie jej opinii przy międzynarodowym przekazywaniu danych pracowników, zwłaszcza do państw trzecich;

- informowanie i uczestnictwo europejskich partnerów społecznych i europejskich organizacji pozarządowych do spraw konsumenckich i obrony praw człowieka w wyznaczaniu członków Europejskiej Rady Ochrony Danych, która ma zastąpić Grupę Roboczą Art. 29;

- informowanie i uczestnictwo wspomnianych partnerów i organizacji pozarządowych na szczeblu krajowym w wyznaczaniu członków krajowych organów ds. ochrony danych, co także nie zostało przewidziane.

4.18 Artykuły 74 - 77 - Powództwa zbiorowe dotyczące nielegalnego przetwarzania oraz odszkodowań

4.18.1 Większość naruszeń prawa do ochrony danych ma charakter zbiorowy - gdy następuje tego rodzaju naruszenie, jego ofiarą nie jest pojedyncza osoba, lecz grupa lub ogół osób, których dotyczą dane. Tradycyjne indywidualne sądowe drogi odwoławcze nie są odpowiednie do reagowania na tego rodzaju naruszenia. Tymczasem o ile art. 76 upoważnia każdy podmiot, organizację lub zrzeszenie działające na rzecz ochrony praw zainteresowanych osób do wszczęcia postępowań, o których mowa w art. 74 i 75, w imieniu jednej lub większej liczby zainteresowanych osób, o tyle inaczej jest w przypadku dochodzenia odszkodowania, ponieważ art. 77 przewiduje taką możliwość jedynie w odniesieniu do pojedynczych osób i nie dopuszcza postępowań reprezentujących interesy grupowe ani powództw zbiorowych.

4.18.2 W tym kontekście Komitet przypomina, o czym informował od lat w wielu opiniach, że należy koniecznie i pilnie wyposażyć UE w zharmonizowany instrument prawny dotyczący powództw zbiorowych na szczeblu UE, potrzebny w wielu dziedzinach prawa UE i występujący w wielu państwach członkowskich.

Aspekty nie do przyjęcia

4.19 Artykuł 8 - Dzieci

4.19.1 W sytuacji gdy "dziecko" oznacza każdą osobę w wieku poniżej 18 lat (art. 4 ust. 18), zgodnie z konwencją nowojorską, nie jest dopuszczalne, aby w art. 8 ust. 1 umożliwiono dzieciom w wieku 13 lat wyrażenie zgody na przetwarzanie ich danych osobowych.

4.19.2 EKES rozumie konieczność określenia odrębnych przepisów dla MŚP, niemniej jednak nie jest dopuszczalne, aby Komisja mogła w drodze aktu delegowanego po prostu zwolnić MŚP z obowiązku przestrzegania praw dziecka.

4.20 Artykuł 9 - Szczególne kategorie danych

4.20.1 Nie ma też powodów, dla których dzieci miałyby wyrażać zgodę na przetwarzanie danych dotyczących ich

przynależności państwowej, poglądów politycznych, religii, zdrowia, seksualności czy wyroków skazujących (art. 9 ust. 2 lit. a)).

4.20.2 Dane dobrowolnie podane przez same osoby zainteresowane, np. na stronie Facebook, nie powinny być wyłączone z ochrony - co można wywnioskować z art. 9 lit. e) - i powinny być przynajmniej przedmiotem prawa do bycia zapomnianym.

4.21 Artykuł 13 - Prawa odbiorców

4.21.1 Wyjątek sformułowany w części końcowej - "chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku" - nie jest ani uzasadniony, ani dopuszczalny.

4.22 Artykuł 14 - Informacje

4.22.1 Identyczny wyjątek w ust. 5 lit. b) jest także niedopuszczalny.

4.23 Artykuł 19 ustęp 1 - Prawo w niesienia sprzeciwu

4.23.1 Niejasne sformułowanie użyte do określenia wyjątku - "ważne i uzasadnione podstawy" - jest nie do przyjęcia i pozbawia treści prawo wniesienia sprzeciwu.

4.24 Artykuł 20 - Profilowanie

4.24.1 Zakaz profilowania nie powinien ograniczać się do przetwarzania "automatycznego"⁽¹³⁾.

4.24.2 W ust. 2 lit. a) sformułowanie "przewidziano" powinno zostać zastąpione sformułowaniem "wprowadzono".

4.25 Artykuł 21 - Ograniczenia

4.25.1 Brzmienie ust. 1 lit. c) jest całkowicie nie do przyjęcia, ponieważ zawiera sformułowania niejasne i nieokreślone, takie jak: interes gospodarczy i finansowy, kwestie pieniężne, budżetowe i podatkowe, a nawet stabilność i integralność rynku, które to wyrażenie zostało włączone do dyrektywy 95/46/WE.

4.26 Artykuły 25, 28 i 35 - Próg 250 pracowników

4.26.1 Wprowadzenie progu 250 pracowników, od którego osiągnięcia uzależnione jest stosowanie niektórych przepisów w zakresie ochrony, np. dotyczących inspektora ochrony danych, prowadzi do tego, że jedynie nieco mniej niż 40 % pracowników skorzystałoby na przyjęciu tych przepisów. Wskutek zastosowania tego samego progu w odniesieniu do obowiązku prowadzenia dokumentacji większość pracowników nie miałaby odtąd żadnej możliwości monitorowania wykorzystania ich danych osobowych, nie byłoby zatem żadnego nadzoru nad tym wykorzystaniem. Komitet sugeruje, aby rozważyć możliwość wprowadzenia niższego progu, np. powszechnie przyjętej w państwach członkowskich liczby pracowników potrzebnej do powołania zakładowej reprezentacji interesów pracowniczych. Można też rozważyć inne podejście oparte na obiektywnych kryteriach, takich jak np. liczba plików dotyczących ochrony danych przetwarzanych w określonym czasie, niezależnie od wielkości przedsiębiorstwa lub zainteresowanego działu.

4.27 Artykuł 51 - Punkt kompleksowej obsługi

4.27.1 O ile można zrozumieć założenia "punktu kompleksowej obsługi", który ma na celu ułatwienie życia przedsiębiorcom i zwiększenie skuteczności mechanizmów ochrony danych, o tyle wprowadzenie tego rodzaju punktów może

pociągnąć za sobą wyraźny spadek poziomu ochrony danych dotyczących obywateli ogólnie i danych osobowych pracowników w szczególności, wskutek pozbawienia mocy obowiązującego obecnie w przypadku przekazywania danych osobowych wymogu osiągnięcia porozumienia w ramach zakładu pracy oraz uzyskania zgody krajowego organu ds. ochrony danych⁽¹⁴⁾.

4.27.2 Dodatkowo system, o którym mowa, wydaje się sprzeczny z troską o zarządzanie z bliska i może pozbawić obywateli możliwości skierowania wniosku do rozpatrzenia do najbliższego i najbardziej dostępnego organu nadzorczego.

4.27.3 Są zatem powody skłaniające do utrzymania właściwości organu państwa członkowskiego miejsca zamieszkania skarżącego.

Bruksela, 23 maja 2012 r.