Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia sprawie statystyki europejskiej (Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD https://edps.europa.eu)

Dzienniki UE

Dz.U.UE.C.2023.1055

Akt nienormatywny
Wersja od: 20 listopada 2023 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia sprawie statystyki europejskiej

(C/2023/1055)

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD https://edps.europa.eu)

(Dz.U.UE C z dnia 20 listopada 2023 r.)

10 lipca 2023 r. Komisja Europejska wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (WE) nr 223/2009 w sprawie statystyki europejskiej ("wniosek"). Wniosek ma na celu dostosowanie ram prawnych regulujących statystykę europejską do wymogów przyszłości oraz poprawę zdolności reagowania Europejskiego Systemu Statystycznego na potrzeby w zakresie danych.

EIOD z zadowoleniem przyjmuje cel wniosku, czyli dostosowanie ram prawnych regulujących statystykę europejską do wymogów przyszłości. EIOD zauważa również, że nowe innowacyjne podejścia mogą być obiecujące dla statystyki i badań. EIOD ma jednak poważne obawy co do wskazania, że informacje na temat konkretnych osób można uzyskać z dowolnego źródła, w tym ze śladów cyfrowych dotyczących konkretnych osób, przechowywanych przez prywatnych posiadaczy danych. EIOD uważa, że gromadzenie danych osobowych z takich źródeł może nie być konieczne i proporcjonalne do zamierzonych celów, biorąc pod uwagę potencjalne zagrożenia dla praw i wolności osób, których dane dotyczą. W związku z tym EIOD uważa, iż należy wyjaśnić we wniosku, że krajowe urzędy statystyczne lub Komisja (Eurostat) będą wymagać od prywatnych posiadaczy danych jedynie danych nieosobowych (zanonimizowanych).

O ile wniosek ma na celu zapewnienie podstawy prawnej dla żądania danych osobowych od prywatnych posiadaczy danych, to powinien on zawierać wyraźny i kompleksowy przegląd kategorii danych osobowych, których dotyczy, z uwzględnieniem wymogów konieczności i proporcjonalności. Co więcej źródła, z których można uzyskać te kategorie danych osobowych, powinny zostać jednoznacznie określone w samym wniosku lub w przepisach sektorowych. Ponadto EIOD zaleca, aby takie udostępnianie danych osobowych przez prywatnych posiadaczy danych odbywało się z wykorzystaniem technologii służących udoskonaleniu ochrony prywatności i przy użyciu bezpiecznej infrastruktury.

Jeśli chodzi o gromadzenie statystyki z wielkoskalowych systemów informatycznych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości EIOD stwierdza, że wniosek powinien zostać zmieniony. W szczególności we wniosku należy doprecyzować, że statystyka dotycząca wielkoskalowych systemów informatycznych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości jest gromadzona wyłącznie z centralnego repozytorium sprawozdawczo-statystycznego (ang. central repository for reporting and statistics, "CRRS"). W razie potrzeby współprawodawcy mogliby przewidzieć konkretne środki przejściowe do czasu pełnego uruchomienia CRRS.

EIOD z zadowoleniem przyjmuje fakt, że w kwestii wymiany danych w ramach Europejskiego Systemu Statystycznego przewiduje się we wniosku wykorzystanie technologii służących udoskonaleniu ochrony prywatności. Jednocześnie EIOD przypomina, że wszelka wymiana danych osobowych musi zawsze być zgodna ze wszystkimi odpowiednimi przepisami RODO 1  i rozporządzenia UE o ochronie danych 2 , a zwłaszcza z art. 89 ust. 1 RODO i art. 13 rozporządzenia UE o ochronie danych. EIOD zaleca wprowadzenie stosowania badań pilotażowych w celu testowania i oceny przydatności odpowiednich technologii służących udoskonaleniu ochrony prywatności.

1. Wprowadzenie

1. 10 lipca 2023 r. Komisja Europejska wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (WE) nr 223/2009 w sprawie statystyki europejskiej ("wniosek") 3 .

2. Rozporządzenie (WE) nr 223/2009 Parlamentu Europejskiego i Rady 4  ustanawia ramy prawne na poziomie Unii w zakresie opracowywania, tworzenia i rozpowszechniania statystyki europejskiej.

3. Ogólnym celem wniosku jest dostosowanie ram prawnych regulujących statystykę europejską do wymogów przyszłości oraz poprawa zdolności reagowania Europejskiego Systemu Statystycznego 5  ("ESS") na potrzeby w zakresie danych. Wniosek ma również na celu zapewnienie ESS mechanizmu i narzędzi umożliwiających szybkie, zbiorowe i skoordynowane reagowanie na pilne zapotrzebowanie na dane w czasach kryzysu 6 .

4. W szczególności wniosek ma umożliwić organom statystycznym wykorzystanie pełnego potencjału cyfrowych źródeł danych i technologii poprzez umożliwienie ich ponownego wykorzystania na potrzeby statystyki europejskiej. Wniosek przyczyniłby się do zwiększenia efektywności i skuteczności ESS poprzez promowanie wymiany danych i wzmocnienie jego koordynacji. We wniosku przewidziano również:

(a) ścisłe zachowanie poufności informacji statystycznych i prywatności danych;

(b) aktualizację zadań partnerów ESS;

(c) określenie potencjalnych ról w korzystaniu z możliwości oferowanych przez transformację cyfrową w celu bardziej opłacalnego i mniej uciążliwego tworzenia statystyki; oraz

(d) określenie nowych funkcji, które organy statystyczne mogłyby wykonywać 7 .

5. Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 10 lipca 2023 r. zgodnie z art. 42 ust. 1 rozporządzenia UE o ochronie danych. EIOD z zadowoleniem przyjmuje odniesienie się do tych konsultacji w motywie 24 wniosku.

7. Wnioski

W świetle powyższego EIOD zaleca współprawodawcom, co następuje:

(1) dokonanie, w drodze motywu, odniesienia do zgodności z zabezpieczeniami związanymi z przetwarzaniem danych osobowych do celów statystycznych na mocy art. 89 RODO i art. 13 rozporządzenia UE o ochronie danych, a w szczególności do tego, że dane powinny być co do zasady anonimizowane;

(2) doprecyzowanie w art. 17a ust. 2 wniosku, że dane statystyczne dotyczące wielkoskalowych systemów informatycznych w przestrzeni wolności, bezpieczeństwa i sprawiedliwości gromadzone są wyłącznie z centralnego repozytorium sprawozdawczo-statystycznego. W stosownych przypadkach współprawodawcy mogliby przewidzieć środki przejściowe do czasu pełnej operacyjności centralnego repozytorium sprawozdawczo-statystycznego;

(3) wyjaśnienie w art. 17c ust. 2 wniosku, że jedynie dane nieosobowe (zanonimizowane) będą wymagane od prywatnych posiadaczy danych, w szczególności poprzez skreślenie sformułowania "w miarę możliwości" z art. 17c ust. 2;

(4) wyjaśnienie, że wszelkie przetwarzanie danych na podstawie wniosku o dane na mocy art. 17c pozostaje bez uszczerbku dla dyrektywy o prywatności i łączności elektronicznej 8 ;

(5) jeżeli współprawodawcy chcą zapewnić ramy umożliwiające krajowym urzędom statystycznym i Komisji żądanie danych osobowych od prywatnych posiadaczy danych w szczególnych okolicznościach, należy przewidzieć:

- jasny i kompleksowy przegląd kategorii danych osobowych, których można żądać, oraz rodzajów źródeł, z których można uzyskać te kategorie danych osobowych; oraz

- szczególne zabezpieczenia polegające na wprowadzeniu wymogu, aby udostępnianie danych przez prywatnych posiadaczy danych opierało się na technologiach specjalnie zaprojektowanych w celu zapewnienia zgodności z rozporządzeniami (UE) 2016/679 i (UE) 2018/1725 i odbywało się z wykorzystaniem bezpiecznej infrastruktury;

(6) wprowadzenie dla Komisji (Eurostatu) i państw członkowskich obowiązku testowania i oceny w drodze badań pilotażowych przydatności odpowiednich technologii służących udoskonaleniu ochrony prywatności do wymiany danych w ramach ESS;

(7) rozważenie zapewnienia Komisji możliwości przyjęcia aktów wykonawczych określających specyfikacje techniczne dotyczące udostępniania danych oraz środki dotyczące poufności i bezpieczeństwa informacji, w przypadku gdy w badaniach pilotażowych wskazane zostaną skuteczne i bezpieczne rozwiązania w zakresie udostępniania danych;

(8) określenie, w kontekście infrastruktury ułatwiającej udostępnianie danych, role poszczególnych podmiotów zaangażowanych w charakterze administratora, współadministratora lub podmiotu przetwarzającego w części normatywnej wniosku.

Bruksela, 6 września 2023 r.

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz w sprawie swobodnego przepływu takich osób danych oraz uchylające rozporządzenie (WE) nr 45/2001 i decyzję nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
3 COM(2023) 402 final.
4 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 223/2009 z dnia 11 marca 2009 r. w sprawie statystyki europejskiej oraz uchylające rozporządzenie Parlamentu Europejskiego i Rady (WE, Euratom) nr 1101/2008 w sprawie przekazywania do Urzędu Statystycznego Wspólnot Europejskich danych statystycznych objętych zasadą poufności, rozporządzenie Rady (WE) nr 322/97 w sprawie statystyk Wspólnoty oraz decyzję Rady 89/382/EWG, Euratom w sprawie ustanowienia Komitetu ds. Programów Statystycznych Wspólnot Europejskich (Dz.U. L 87 z 31.3.2009, s. 164).
5 Artykuł 4 rozporządzenia (WE) nr 223/2009 stanowi, że "Europejski System Statystyczny (ESS) jest partnerstwem pomiędzy organem statystycznym Wspólnoty, którym jest Komisja (Eurostat), oraz krajowymi urzędami statystycznymi (KUS) i innymi organami krajowymi odpowiedzialnymi w każdym państwie członkowskim za opracowywanie, tworzenie i rozpowszechnianie statystyki europejskiej."
6 COM(2023) 402 final, p. 1.
7 Zob. COM(2023) 402 final, s. 1.
8 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .