Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie zabezpieczeń i wyjątków na mocy art. 89 ogólnego rozporządzenia o ochronie danych w kontekście wniosku dotyczącego rozporządzenia w sprawie zintegrowanych statystyk rolnych.

Dzienniki UE

Dz.U.UE.C.2018.14.6

Akt nienormatywny
Wersja od: 16 stycznia 2018 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie zabezpieczeń i wyjątków na mocy art. 89 ogólnego rozporządzenia o ochronie danych w kontekście wniosku dotyczącego rozporządzenia w sprawie zintegrowanych statystyk rolnych

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)

(2018/C 14/06)

(Dz.U.UE C z dnia 16 stycznia 2018 r.)

Projekt rozporządzenia w sprawie zintegrowanych statystyk rolnych w formie zaproponowanej przez Komisję Europejską po konsultacji z Europejskim Inspektorem Ochrony Danych sam w sobie rodzi niewiele wątpliwości związanych z ochroną danych. Z poprawkami zaproponowanymi w kontekście dyskusji w Radzie wiążą się jednak nowe kwestie, które we wniosku Komisji pierwotnie nie występowały. W szczególności gdyby poprawki te zostały uwzględnione w ostatecznej wersji dokumentu, projekt rozporządzenia stałby się pierwszym unijnym instrumentem prawnym przewidującym wyjątek od prawa dostępu do danych, do ich sprostowania, jak również od prawa do ograniczenia przetwarzania i prawa do wniesienia sprzeciwu wobec przetwarzania danych osobowych do celów statystycznych na mocy art. 89 ogólnego rozporządzenia o ochronie danych. Z tego względu EIOD z zadowoleniem przyjmuje fakt, iż Rada zwróciła się do niego o konsultacje w sprawie tych nowych okoliczności, dając tym samym Europejskiemu Inspektorowi Ochrony Danych sposobność do wydania opinii na tym etapie procedury.

Przedmiotem niniejszej opinii jest test konieczności stosowania wyjątków na mocy art. 89 ogólnego rozporządzenia o ochronie danych odczytywanego w świetle Karty. EIOD podkreśla w szczególności, że prawo dostępu i prawo do dokonania sprostowania są zapisane w art. 8 ust. 2 samej Karty i są uznawane za niezbędny element prawa do ochrony danych osobowych. Jakikolwiek wyjątek od korzystania z tych praw nie może w żadnym wypadku wykraczać poza to, co jest ściśle konieczne do osiągnięcia jego celu, i musi spełniać wysokie standardy przewidziane w art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 89 ogólnego rozporządzenia o ochronie danych.

Oprócz podkreślenia potrzeby dokonania gruntownej oceny konieczności w opinii zwrócono również uwagę na potrzebę maksymalnego zawężenia zakresu wszelkich ograniczeń oraz omówiono charakter wymaganych zabezpieczeń. W opinii omówiono ponadto art. 11 ogólnego rozporządzenia o ochronie danych, który może potencjalnie pomóc w rozwiązaniu pewnych podniesionych przez Radę kwestii budzących obawy krajowych instytucji statystycznych bez potrzeby stosowania wyjątków na mocy art. 89 tego rozporządzenia. W szczególności, zgodnie z art. 11, w przypadkach gdy administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, prawa przysługujące jej na mocy art. 15-20 nie miałyby zastosowania.

W świetle powyższego EIOD zaleca, by Rada dokonała ponownej oceny konieczności stosowania proponowanych wyjątków w kontekście standardu ustanowionego na mocy art. 89 ogólnego rozporządzenia ochrony danych odczytywanego w świetle Karty. O ile unijny prawodawca nie przedstawi dalszego uzasadnienia konieczności stosowania takich wyjątków i nie zawęzi zakresu przepisów, EIOD zaleca, by zamiast tego rozważyć, w jakim zakresie art. 11 ogólnego rozporządzenia o ochronie danych może pomóc rozwiązać kwestie budzące uzasadnione obawy krajowych instytucji statystycznych. Może on mieć zastosowanie na etapach przetwarzania danych, gdy klucze łączące dane osoby ze zbiorami danych, które ich dotyczą, zostały już usunięte, oraz gdy zostały zastosowane inne środki techniczne i organizacyjne uniemożliwiające ponowną identyfikację osób przez instytucje statystyczne bądź jakiekolwiek inne podmioty.

Europejski Inspektor Ochrony Danych podkreśla jednak, że w odniesieniu do początkowego okresu, często niezbędnego do przygotowania danych statystycznych, w którym to okresie w dalszym ciągu musi być możliwa bezpośrednia bądź pośrednia identyfikacja osób, nadal mają zastosowanie ogólne zasady przedstawione w ogólnym rozporządzeniu o ochronie danych. Fakt, że wprowadzenie środków technicznych i organizacyjnych w celu zagwarantowania osobom prawa dostępu oraz innych praw może wymagać nakładów zasobów finansowych i kadrowych, nie jest sam w sobie wystarczającym uzasadnieniem dla stosowania wyjątków od praw zagwarantowanych osobom w ogólnym rozporządzeniu o ochronie danych. Dotyczy to wszystkich praw osób, których dane dotyczą, wynikających z ogólnego rozporządzenia o ochronie danych i ma szczególne znaczenie w kontekście prawa dostępu i prawa do sprostowania, które wyraźnie przewidziano w Karcie i które stanowią niezbędne elementy podstawowego prawa do ochrony danych osobowych.

1. WPROWADZENIE I KONTEKST

W dniu 9 grudnia 2016 r. Komisja Europejska ("Komisja") przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie zintegrowanych statystyk rolnych oraz uchylającego rozporządzenia (WE) nr 1166/2008 i (UE) nr 1337/2011 ("wniosek") 1 . Celem wniosku jest utworzenie spójniejszego, elastyczniejszego i silniej powiązanego systemu statystyk rolnych oraz zapewnienie ram prawnych dotyczących programu badań rolnych, począwszy od spisu gospodarstw rolnych planowanego na 2020 r.

Projekt rozporządzenia w formie zaproponowanej przez Komisję Europejską po konsultacji z Europejskim Inspektorem Ochrony Danych ("EIOD") sam w sobie obejmował niewiele kwestii budzących wątpliwości związane z ochroną danych i kwestie te we wniosku odpowiednio rozwiązano. W rzeczy samej EIOD z zadowoleniem przyjmuje fakt, że Komisja zwróciła się do niego o konsultację przed przyjęciem wniosku oraz że uwzględniono jego nieformalne uwagi. EIOD w szczególności popiera odniesienie, w motywie 16, do stosownych przepisów dotyczących ochrony danych, tj. dyrektywy 95/46/WE Parlamentu Europejskiego i Rady 2  i jej krajowych przepisów wykonawczych, jak również rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady 3 , stosownie do przypadku. Z zadowoleniem przyjmuje również odniesienie, w motywie 26, do faktu, iż przeprowadzono konsultacje z EIOD. Jako że wniosek, w postaci opublikowanej w dniu 9 grudnia 2016 r., nie budził innych znacznych obaw dotyczących ochrony danych, EIOD postanowił nie wydawać opinii formalnej na tym etapie.

Niemniej jednak z niektórymi poprawkami omawianymi w kontekście negocjacji w Radzie Unii Europejskiej ("Rada") w procesie legislacyjnym wiążą się nowe kwestie, które we wniosku Komisji pierwotnie nie występowały. Gdyby te poprawki zostały uwzględnione w ostatecznej wersji dokumentu, projekt rozporządzenia stałby się pierwszym unijnym instrumentem wyraźnie przewidującym wyjątek od prawa dostępu i prawa do sprostowania, jak również od prawa do ograniczenia przetwarzania i prawa do wniesienia sprzeciwu wobec przetwarzania danych osobowych na mocy art. 89 ogólnego rozporządzenia o ochronie danych.

Ten istotny nowy element uzasadnia wydanie przez EIOD opinii na tym etapie procedury. Z tego względu EIOD z zadowoleniem przyjmuje fakt, że Rada postanowiła skonsultować się z nim w kwestii tego nowego zagadnienia oraz - w dniu 26 września 2017 r. - wyraźnie zwróciła się do EIOD o przyjrzenie się poprawkom zaproponowanym w kontekście negocjacji w Radzie 4 .

Celem niniejszej opinii jest przedstawienie konkretnych zaleceń dotyczących projektu rozporządzenia, ze szczególnym uwzględnieniem stosownych projektów poprawek omawianych w Radzie. Celem niniejszej opinii jest, w punkcie 2, omówienie i pomoc w ocenie tego, czy proponowane wyjątki spełniają kryteria testu konieczności dotyczące stosowania wyjątków do celów statystycznych na mocy art. 89 ogólnego rozporządzenia o ochronie danych i art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej ("Karta"). Ponadto w punkcie 3 EIOD przedstawia zalecenia dotyczące proponowanych przepisów dotyczących zabezpieczeń.

4. WNIOSKI

Gdyby proponowane poprawki zostały ujęte w ostatecznej wersji dokumentu, projekt rozporządzenia stałby się pierwszym unijnym instrumentem prawnym przewidującym wyjątek od prawa dostępu do danych, do ich sprostowania, jak również od prawa do ograniczenia przetwarzania i prawa do wniesienia sprzeciwu wobec przetwarzania danych osobowych do celów statystycznych na mocy art. 89 ogólnego rozporządzenia o ochronie danych.Mając na uwadze, że ten temat jest nowy i ważny, EIOD z zadowoleniem przyjmuje i docenia fakt, iż Rada zwróciła się do niego o konsultacje, jak również docenia troskę Rady o potencjalny wpływ tego wniosku na ochronę danych osobowych.

-
Europejski Inspektor Ochrony Danych zaleca, by Rada dokonała ponownej oceny konieczności stosowania proponowanych wyjątków w kontekście standardu ustanowionego na mocy art. 89 ogólnego rozporządzenia ochrony danych odczytywanego w świetle Karty.
-
O ile unijny prawodawca nie przedstawi dalszego uzasadnienia konieczności stosowania takich wyjątków i nie zawęzi zakresu przepisów, EIOD zaleca, by zamiast tego rozważyć, w jakim zakresie art. 11 ogólnego rozporządzenia o ochronie danych może pomóc rozwiązać kwestie budzące uzasadnione obawy krajowych instytucji statystycznych. W szczególności może on mieć zastosowanie na etapach przetwarzania danych, gdy klucze łączące dane osoby ze zbiorami danych, które ich dotyczą, zostały już usunięte, oraz gdy zostały zastosowane inne środki techniczne i organizacyjne uniemożliwiające ponowną identyfikację osób przez instytucje statystyczne bądź jakiekolwiek inne podmioty.

Gdyby na późniejszym etapie konieczność stosowania konkretnych wyjątków okazała się uzasadniona, EIOD przedstawiłby następujące dodatkowe zalecenia dotyczące art. 12a odnoszącego się do warunków i zabezpieczeń:

-
EIOD z zadowoleniem przyjmuje jednoznaczne stwierdzenie, że dane osobowe nie mogą być wykorzystywane do podejmowania działań lub decyzji dotyczących konkretnych podmiotów danych.
-
EIOD z zadowoleniem przyjmuje również przepis, zgodnie z którym dane osobowe mogą być wykorzystywane wyłącznie do celów statystycznych.
-
EIOD zaleca dokonanie rewizji tekstu, tak by wyraźnie przewidywał, iż na mocy art. 89 ust. 1 przetwarzanie danych osobowych podlega pseudonimizacji i (a nie lub) innym stosownym zabezpieczeniom.
Bruksela, dnia 20 listopada 2017 r.
Giovanni BUTTARELLI
Europejski Inspektor Ochrony Danych
1 COM(2016) 786 final - 2016/0389 (COD).
2 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31).
3 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
4 Zob. nota prezydencji do delegacji dotycząca "motywu 16a i art. 12a tekstu prezydencji (ochrona danych)" (nr ref. 12351/17), sporządzona w Brukseli dnia 21 września 2017 r. Dokument ten jest również publicznie dostępny w rejestrze Rady pod adresem http://data.consilium.europa.eu/doc/document/ST-12351-2017-INIT/en/pdf.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .