Dz.U.UE.C.2019.47.8

| Akt nienormatywny
Wersja od: 6 lutego 2019 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie pakietu Komisji dotyczącego wolnych i uczciwych wyborów europejskich

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)

(2019/C 47/05)

(Dz.U.UE C z dnia 6 lutego 2019 r.)

Podstawą funkcjonowania Unii jest demokracja przedstawicielska. Komunikacja polityczna ma zasadnicze znaczenie dla udziału obywateli, grup politycznych i kandydatów w życiu demokratycznym oraz dla podstawowego prawa do wolności wypowiedzi. Powyższe prawa i wolności są współzależne z prawem do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się, a także prawem do ochrony danych osobowych. Na początku roku, w opinii nr 3/2018 w sprawie manipulacji online EIOD zwrócił uwagę na zagrożenia związane z prawami podstawowymi na skoncentrowanych rynkach.

W kontekście orędzia o stanie Unii z 2018 r. Komisja przedstawiła pakiet środków bezpieczeństwa skupiających się na wolnych i uczciwych wyborach europejskich. Pakiet składa się z komunikatu, wytycznych dotyczących stosowania unijnych przepisów o ochronie danych osobowych w kontekście wyborczym, zalecenia oraz wniosku dotyczącego rozporządzenia w odniesieniu do procedury weryfikacji dotyczącej naruszeń przepisów o ochronie danych osobowych w kontekście wyborów do Parlamentu Europejskiego. EIOD zauważa, że wskazano na rolę mediów społecznościowych oraz na sposób, w jaki inicjatywa ta może być spójna z kodeksem postępowania w zakresie dezinformacji w internecie. W związku ze zbliżającymi się wyborami do Parlamentu Europejskiego w maju przyszłego roku oraz licznymi innymi wyborami krajowymi zaplanowanymi na 2019 r. EIOD dostrzega też zalecenia dotyczące utworzenia krajowych sieci wyborczych i europejskiej sieci koordynacyjnej. Przy tej okazji EIOD deklaruje swoją gotowość do uczestnictwa w tej europejskiej sieci. Stanowiłoby to uzupełnienie działań EIOD w tym obszarze, w szczególności warsztatów organizowanych w lutym przyszłego roku. EIOD uznaje też zalecenie dla państw członkowskich dotyczące przeprowadzenia kompleksowej oceny zagrożeń związanych z wyborami do Parlamentu Europejskiego w celu zidentyfikowania potencjalnych cyberincydentów, które mogą mieć wpływ na integralność procesu wyborczego, oraz podkreśla pilny charakter tej sprawy.

Ogólnie rzecz ujmując, EIOD uważa, że w celu większej przejrzystości przetwarzanie danych osobowych przez Parlament Europejski, Urząd ds. Europejskich Partii Politycznych i Europejskich Fundacji Politycznych oraz komitet niezależnych wybitnych osobistości można było wskazać jako objęte zakresem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1  (poprzednio rozporządzenia (WE) nr 45/2001). Dodatkowo, w ujęciu szczegółowym, EIOD formułuje kilka zaleceń dotyczących proponowanego rozporządzania, między innymi objaśnienia zakresu środków oraz komplementarnych celów odnośnych sankcji; uwzględniania decyzji EIOD stwierdzających naruszenia rozporządzenia (UE) 2018/1725 oraz odniesienia do obowiązujących ram prawnych ochrony danych na potrzeby współpracy między krajowymi organami nadzorczymi ds. ochrony danych a EIOD; jak również zapewnienia poufności wymiany informacji w kontekście współpracy między organami nadzorczymi ds. ochrony danych a komitetem niezależnych wybitnych osobistości.

1. Wprowadzenie i informacje ogólne
1. W kontekście orędzia o stanie Unii z 2018 r. Komisja przedstawiła w dniu 12 września 2018 r. pakiet środków bezpieczeństwa skupiających się na wolnych i uczciwych wyborach europejskich. Składa się on z wniosku ustawodawczego, któremu towarzyszą 3 środki o charakterze nieustawodawczym:
- wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (UE, Euratom) nr 1141/2014 w odniesieniu do procedury weryfikacji dotyczącej naruszeń przepisów o ochronie danych osobowych w kontekście wyborów do Parlamentu Europejskiego (COM (2018) 636 final/2) (zwany dalej "proponowanym rozporządzeniem"),
- komunikat w sprawie zapewnienia wolnych i uczciwych wyborów europejskich (COM (2018) 637 final) (zwany dalej "komunikatem"),
- zalecenie w sprawie sieci współpracy wyborczej, przejrzystości w internecie, ochrony przed cyberincydentami i przeciwdziałania kampaniom dezinformacyjnym w kontekście wyborów do Parlamentu Europejskiego (C (2018) 5949 final) (zwane dalej "zaleceniem"), oraz
- wytyczne dotyczące stosowania unijnych przepisów o ochronie danych osobowych w kontekście wyborczym (COM (2018) 638 final) (zwane dalej "wytycznymi").
2. Pakiet został przyjęty z myślą o zapewnieniu sprawiedliwych i wolnych wyborów do Parlamentu Europejskiego, które odbędą się w maju 2019 r., z uwzględnieniem nowych wyzwań, jakie pojawiły się w komunikacji internetowej, i ostatnio ujawnianych informacji, takich jak sprawa "Facebook/Cambridge Analytica" 2 . Przedłożono go wraz z wnioskiem dotyczącym rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego Europejskie Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa w kwestiach Przemysłu, Technologii i Badań Naukowych oraz sieć krajowych ośrodków koordynacji (COM (2018) 630 final) 3 .
3. Pakiet stanowi uzupełnienie komunikatu Komisji z dnia 26 kwietnia 2018 r. "Zwalczanie dezinformacji w internecie: podejście europejskie" (COM/2018/236 final), którego celem jest promowanie większej przejrzystości, wiarygodności i odpowiedzialności w środowisku internetowym. Jednym z głównych oczekiwanych po nim rezultatów było stworzenie samoregulacyjnego kodeksu postępowania w zakresie zwalczania dezinformacji, który opublikowano dnia 26 września 2018 r. Komisja opublikowała też opinię rady konsultacyjnej forum wielu zainteresowanych stron dotyczącą kodeksu postępowania 4 . Działania przewidziane w tym komunikacie, w tym wspomniany kodeks postępowania, uzupełniają bieżące prace ESDZ. Pod koniec roku, w następstwie konkluzji Rady Europejskiej z dnia 28 czerwca 2018 r. 5 , Komisja i Wysoki Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa, we współpracy z państwami członkowskimi, przedstawią zmieniony plan działania na rzecz zwalczania dezinformacji 6 .
4. Celem proponowanego rozporządzenia "jest możliwość nakładania kar finansowych na europejskie partie i fundacje polityczne, które naruszają przepisy o ochronie danych, aby świadomie wywierać wpływ lub usiłować wywrzeć wpływ na wynik wyborów do Parlamentu Europejskiego" 7 . Oprócz kar finansowych, które można by nakładać na europejskie partie lub fundacje polityczne w wymiarze 5 % ich rocznego budżetu 8 , przewidziano by nową podstawę, która zostałaby "dodana do wykazu naruszeń, które uniemożliwiają europejskiej partii lub fundacji politycznej ubieganie się o finansowanie z budżetu ogólnego Unii Europejskiej w roku, w którym nałożono karę" 9 . W zaleceniu Komisja zachęca krajowe organy nadzorcze ds. ochrony danych ustanowione na mocy ogólnego rozporządzenia o ochronie danych ("RODO") do niezwłocznego i proaktywnego informowania Urzędu ds. Europejskich Partii Politycznych i Europejskich Fundacji Politycznych (zwanego dalej "Urzędem") 10  o swoich decyzjach stwierdzających naruszenie przepisów o ochronie danych, w przypadku gdy naruszenie to wiąże się z działaniem politycznym europejskiej partii politycznej lub europejskiej fundacji politycznej "mającym na celu wywarcie wpływu na wybory do Parlamentu Europejskiego" 11 . Komisja zachęca też państwa członkowskie do "nakładania odpowiednich sankcji" 12  na partie i fundacje polityczne na poziomie krajowym i regionalnym.
5. Ponadto w zaleceniu zachęca się do utworzenia krajowej sieci wyborczej w każdym państwie członkowskim oraz europejskiej sieci koordynacyjnej w sprawie wyborów do Parlamentu Europejskiego 13 . Druga z powyższych sieci jest następstwem pierwszego spotkania państw członkowskich zorganizowanego przez Komisję w kwietniu 2018 r., dotyczącego najlepszych praktyk w zakresie wyborów. W jej skład mają wejść krajowe punkty kontaktowe, a jej spotkania są planowane na styczeń i kwiecień 2019 r. 14  Ma ona być europejskim mechanizmem alarmowym w czasie rzeczywistym oraz forum wymiany informacji. Celem sieci krajowych jest między innymi wymiana informacji w kwestiach mogących mieć wpływ na wybory europejskie, między organami krajowymi właściwymi w sprawach wyborczych oraz w sprawach bezpieczeństwa cybernetycznego, a także krajowymi organami ochrony danych oraz krajowymi władzami lub organami regulacyjnymi ds. audiowizualnych. Zaleca się, aby sieci krajowe konsultowały się i współpracowały z odpowiednimi krajowymi organami ścigania zgodnie z prawem krajowym 15 , a w odpowiednich przypadkach współpracę między krajowymi organami ścigania na poziomie europejskim może wspierać Europol. Zdaniem Komisji "umożliwi im to szybkie wykrywanie potencjalnych zagrożeń dla wyborów do Parlamentu Europejskiego oraz sprawne egzekwowanie obowiązujących przepisów, w tym stosowanie dostępnych sankcji finansowych, takich jak nakaz zwrotu wkładu publicznego" 16 .
6. Ponadto Komisja formułuje kilka zaleceń 17  służących przejrzystości w reklamie politycznej przed wyborami do Parlamentu Europejskiego oraz zachęca państwa członkowskie do zastosowania odpowiednich środków w dziedzinie cyberbezpieczeństwa procesu wyborów do Parlamentu Europejskiego oraz do podejmowania działań uświadamiających, służących zwiększeniu przejrzystości wyborów i budowaniu zaufania do procesów wyborczych, we współpracy ze stronami trzecimi, w tym z platformami internetowymi i dostawcami technologii informacyjnych.
7. W wytycznych wskazano na istniejące unijne ramy ochrony danych oraz ich stosowanie w kontekście wyborów. Zdaniem Komisji, ponieważ ogólne rozporządzenie o ochronie danych będzie po raz pierwszy stosowane w kontekście wyborów europejskich, ważne jest, aby wszystkie podmioty zaangażowane w procesy wyborcze dobrze rozumiały, jak najlepiej stosować te przepisy. Komisja podkreśla, że krajowe organy ochrony danych "mają obowiązek w pełni wykorzystać swoje zwiększone uprawnienia w celu przeciwdziałania ewentualnym naruszeniom" 18 .
8. W dniu 18 października 2018 r. Rada Europejska zaapelowała o środki mające na celu "ochronę systemów demokratycznych Unii i zwalczanie dezinformacji, m.in. w kontekście zbliżających się wyborów europejskich, z pełnym poszanowaniem praw podstawowych. W związku z tym szybkiej analizy i dalszych działań operacyjnych ze strony właściwych organów wymagają proponowane przez Komisję środki dotyczące sieci współpracy wyborczej, przejrzystości internetu, ochrony przed cyberincydentami, bezprawnych manipulacji danymi i zwalczania kampanii dezinformacyjnych oraz zaostrzenia zasad finansowania europejskich partii politycznych" 19 .
9. W dniu 25 października 2018 r. Parlament Europejski przyjął rezolucję, w której przypomniał "środki zaproponowane przez Komisję w celu zapewnienia wolnych i uczciwych wyborów europejskich, w szczególności zmianę ustawodawczą mającą na celu zaostrzenie przepisów dotyczących finansowania europejskiej partii politycznej, stwarzającą możliwość nałożenia sankcji finansowych za naruszenie zasad ochrony danych w celu umyślnego wpływania na wyniki wyborów europejskich; przypomina, że przetwarzanie danych osobowych przez partie polityczne w UE podlega RODO, natomiast naruszenie zasad, praw i obowiązków objętych tym prawem może skutkować dodatkowymi grzywnami i sankcjami". W rezolucji stwierdza się, że "ingerencja wyborcza stanowi ogromne zagrożenie dla demokracji, natomiast wyeliminowanie takiej ingerencji wymaga wspólnego wysiłku z udziałem usługodawców, organów regulacyjnych oraz podmiotów i partii politycznych" i z zadowoleniem przyjmuje się omawiany pakiet Komisji 20 . W dniu 3 grudnia 2018 r. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych w Parlamencie Europejskim przyjęła opinię w sprawie proponowanego rozporządzenia 21 . W dniu 6 grudnia 2018 r. Komisja Spraw Konstytucyjnych przyjęła sprawozdanie dotyczące proponowanego rozporządzenia 22 .
10. Europejski Inspektor Ochrony Danych ("EIOD") z zadowoleniem przyjmuje nieformalne konsultacje Komisji w sprawie proponowanego rozporządzenia, zalecenia i wytycznych przed ich przyjęciem oraz fakt, że uwzględniono w nich część jego nieformalnych uwag. Podkreśla jednak, że z powodu krótkiego czasu uwagi te miały charakter wstępny. Dlatego formułuje następujące uwagi formalne. W tym względzie przypomina, że gdy Komisja przyjmuje wniosek ustawodawczy dotyczący ochrony praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, co ma miejsce w tym przypadku, Komisja ma obowiązek przeprowadzenia konsultacji z EIOD.
3. Wnioski
36. EIOD uznaje, że komunikacja polityczna ma zasadnicze znaczenie dla udziału obywateli, grup politycznych i kandydatów w życiu demokratycznym oraz dla podstawowego prawa do wolności wypowiedzi; natomiast te prawa i wolności są współzależne z prawem do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się, określonym w art. 7 Karty, a także prawem do ochrony danych osobowych, określonym w art. 7 Karty.
37. EIOD zauważa, że wskazano, szczególnie w komunikacie i wytycznych, na rolę mediów społecznościowych oraz na sposób, w jaki inicjatywa ta może być spójna z kodeksem postępowania w zakresie dezinformacji w internecie.
38. W związku ze zbliżającymi się wyborami do Parlamentu Europejskiego w maju przyszłego roku oraz licznymi innymi wyborami krajowymi zaplanowanymi na 2019 r. EIOD dostrzega też zalecenia dotyczące utworzenia krajowych sieci wyborczych i europejskiej sieci koordynacyjnej. Przy tej okazji EIOD deklaruje swoją gotowość do uczestnictwa w tej europejskiej sieci. Stanowiłoby to uzupełnienie działań EIOD w tym obszarze, w szczególności warsztatów organizowanych w lutym przyszłego roku.
39. EIOD uznaje też zalecenie dla państw członkowskich dotyczące przeprowadzenia kompleksowej oceny zagrożeń związanych z wyborami do Parlamentu Europejskiego w celu zidentyfikowania potencjalnych cyberincydentów, które mogą mieć wpływ na integralność procesu wyborczego, oraz podkreśla pilny charakter tej sprawy.
40. Ogólnie rzecz ujmując, EIOD uważa, że w celu większej przejrzystości przetwarzanie danych osobowych przez Parlament Europejski, Urząd oraz komitet można było wskazać jako objęte zakresem rozporządzenia (UE) 2018/1725 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (poprzednio rozporządzenia (WE) nr 45/2001).
41. Dodatkowo, w ujęciu szczegółowym, EIOD formułuje kilka zaleceń dotyczących proponowanego rozporządzania, między innymi:
- objaśnienia zakresu środków oraz komplementarnych celów odnośnych sankcji,
- uwzględniania decyzji EIOD stwierdzających naruszenia rozporządzenia (UE) 2018/1725,
- uwzględnienia odniesienia do obowiązujących ram prawnych ochrony danych na potrzeby współpracy między krajowymi organami nadzorczymi ds. ochrony danych a EIOD, oraz
- zapewnienia poufności wymiany informacji w kontekście współpracy między organami nadzorczymi ds. ochrony danych a komitetem niezależnych wybitnych osobistości.

Bruksela, dnia 18 grudnia 2018 r.

Giovanni BUTTARELLI Europejski Inspektor Ochrony Danych

1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Komunikat, s. 2.
4 Kodeks, załącznik do niego oraz opinia rady konsultacyjnej są dostępne pod następującym adresem: https://ec.europa.eu/digital-single-market/en/news/code-practice-disinformation.
6 Komunikat, s. 10.
7 Uzasadnienie proponowanego rozporządzenia, s. 2.
8 Zob. art. 27 ust. 4 lit. a) rozporządzenia nr 1141/2014 oraz broszura Komisji o wolnych i uczciwych wyborach europejskich dostępna na stronie: https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-factsheet-free-fair-elections_pl.pdf.
9 Uzasadnienie proponowanego rozporządzenia, s. 6.
10 Urząd ten ustanowiono na mocy rozporządzenia nr 1141/2014 (art. 6).
11 Zalecenie 6. Również w komunikacie, s. 7, Komisja "wzywa państwa członkowskie do wspierania, zgodnie z odpowiednimi przepisami krajowymi i unijnymi, wymiany informacji pomiędzy organami ochrony danych a organami właściwymi ds. monitorowania wyborów oraz monitorowania działalności partii politycznych i finansowania ich, jeżeli z ich decyzji wynika lub gdy istnieją uzasadnione podstawy, by sądzić, że dane naruszenie wiąże się z działalnością polityczną krajowych partii politycznych lub fundacji w kontekście wyborów do Parlamentu Europejskiego". Dodano podkreślenie.
12 Zalecenie 11.
13 Zalecenia 1-5 włącznie.
14 Komunikat, s. 7 oraz broszura Komisji o wolnych i uczciwych wyborach europejskich dostępna na stronie: https://ec.europa.eu/ commission/sites/beta-political/files/soteu2018-factsheet-free-fair-elections_pl.pdf.
15 Komunikat, przypis 20: "Kwestia ta dotyczyłaby w szczególności przypadków, w których proces wyborczy jest przedmiotem oddziaływania w złych zamiarach, w tym wywołania incydentów polegających na atakach na systemy informatyczne. W zależności od okoliczności właściwe może być przeprowadzenie postępowania karnego, które może zakończyć się nałożeniem sankcji karnych. Jak wskazano powyżej, definicje przestępstw oraz górna i dolna granica zagrożenia karą za przeprowadzenie ataków na system informatyczny zostały ujednolicone dyrektywą 2013/40/UE".
16 Komunikat, s. 7.
17 Zalecenia 7-10, włącznie, oraz 12-19, włącznie.
18 Komunikat, s. 8, pkt 3 "Stosowanie przepisów o ochronie danych w procesie wyborczym".
20 Zob. pkt 10-12 rezolucji w sprawie wykorzystania danych użytkowników Facebooka przez Cambridge Analytica oraz wpływu, jaki wywarło to na ochronę danych, P8_TA-PROV(2018)0433 (2018/2855(RSP)), dostępnej na stronie: http://www.europarl.europa.eu/ sides/getDoc.do?pubRef=-//EP//NONSGML+TA+P8-TA-2018-0433+0+DOC+PDF+V0//PL, dodano podkreślenie.