Zalecenie 2014/724/UE w sprawie szablonu oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych
Dz.U.UE.L.2014.300.63
Akt obowiązującyZALECENIE KOMISJI
z dnia 10 października 2014 r.
w sprawie szablonu oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych
(Dz.U.UE L z dnia 18 października 2014 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 292,
a także mając na uwadze, co następuje:
(1) Inteligentne sieci umożliwiają realizację kluczowych elementów polityki energetycznej. W kontekście ram polityki na okres do 2030 r. inteligentne sieci, jako trzon przyszłego bezemisyjnego systemu energetycznego, są uznawane za czynnik ułatwiający transformację infrastruktury energetycznej w celu umożliwienia większego udziału energii ze źródeł odnawialnych o nieprzewidywalnej charakterystyce produkcji oraz w celu poprawy efektywności energetycznej i zapewnienia bezpieczeństwa dostaw. Inteligentne sieci dają możliwość zwiększenia konkurencyjności europejskich dostawców technologii, a także stanowią platformę, na której tradycyjne przedsiębiorstwa energetyczne lub nowe podmioty na rynku mogą rozwijać innowacyjne usługi i produkty energetyczne w infrastrukturze sieciowej oraz związane z nimi technologie informacyjno-komunikacyjne (ICT), automatykę domową i urządzenia.
(2) Inteligentne systemy pomiarowe to ważny krok w kierunku inteligentnych sieci. Dostarczają one narzędzi pozwalających konsumentom na aktywny udział w rynku energii oraz umożliwiających elastyczność systemu dzięki systemom reagowania na popyt i innym innowacyjnym usługom. Zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2009/72/WE 1 oraz dyrektywą Parlamentu Europejskiego i Rady 2009/73/WE 2 państwa członkowskie są zobowiązane do wdrożenia inteligentnych systemów pomiarowych wspomagających aktywne uczestnictwo konsumentów w rynkach dostaw energii elektrycznej i gazu.
(3) Inteligentne systemy pomiarowe - a tym bardziej dalszy rozwój inteligentnych sieci i urządzeń - niosą ze sobą możliwość przetwarzania danych osób fizycznych, tj. danych osobowych określonych w art. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady 3 .
(4) Opinia nr 12/2011 4 Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołanej zgodnie z art. 29 dyrektywy 95/46/WE, stanowi, że inteligentne systemy pomiarowe i inteligentne sieci dają możliwość przetwarzania coraz większej ilości danych osobowych oraz udostępniania danych osobowych szerszemu kręgowi odbiorców niż obecnie, co stwarza nowe, nieznane wcześniej w sektorze energii zagrożenia dla osób, których dane dotyczą.
(5) Jak stwierdzono w opinii nr 04/2013 5 Grupy Roboczej, inteligentne systemy pomiarowe i inteligentne sieci to zapowiedź zbliżającego się nieuchronnie "internetu przedmiotów", a potencjalne zagrożenia związane z gromadzeniem szczegółowych danych dotyczących zużycia mogą w przyszłości wzrosnąć w przypadku połączenia tych informacji z danymi pochodzącymi z innych źródeł, takich jak geolokalizacja, śledzenie i profilowanie w internecie, systemy nadzoru wideo i systemy identyfikacji radiowej (RFID) 6 .
(6) Szerzenie wiedzy na temat cech i istotnych korzyści płynących z inteligentnych sieci powinno pomóc w pełnej realizacji potencjału tej technologii, a tym samym zmniejszać ryzyko wykorzystania jej ze szkodą dla interesu publicznego i w ten sposób podnieść poziom jej akceptacji.
(7) Prawa i obowiązki określone w dyrektywie 95/46/WE i w dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady 7 , mają pełne zastosowanie do środowiska inteligentnych systemów pomiarowych i inteligentnych sieci, w przypadkach gdy przetwarzane są dane osobowe.
(8) Przyjęty przez Komisję pakiet dotyczący reformy dyrektywy 95/46/WE zawiera wniosek w sprawie rozporządzenia o ochronie danych 8 , które, jeżeli zostanie przyjęte, będzie mieć zastosowanie do środowisk inteligentnych systemów pomiarowych i inteligentnych sieci, w przypadkach gdy przetwarzane są dane osobowe.
(9) W komunikacie Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów z dnia 12 kwietnia 2011 r. "Inteligentne sieci energetyczne: od innowacji do wdrożenia" 9 wymieniono ochronę i bezpieczeństwo danych jako jedno z pięciu wyzwań we wdrażaniu inteligentnej sieci oraz zidentyfikowano środki mające przyspieszyć to wdrażanie, w tym uwzględnianie ochrony prywatności już w fazie projektowania oraz ocenę bezpieczeństwa i odporności sieci i informacji.
(10) W Europejskiej agendzie cyfrowej określono zestaw odpowiednich środków, dotyczących w szczególności ochrony danych w Unii, w zakresie bezpieczeństwa sieci i informacji oraz ataków cybernetycznych. W "Strategii bezpieczeństwa cybernetycznego Unii Europejskiej: pt. »Otwarta, bezpieczna i chroniona cyberprzestrzeń«" 10 i we wniosku Komisji dotyczącym dyrektywy w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii z dnia 7 lutego 2013 r. 11 przedstawiono środki prawne i wprowadzono zachęty mające sprzyjać inwestycjom, przejrzystości i podnoszeniu świadomości użytkownika w celu zwiększenia bezpieczeństwa unijnego środowiska internetowego. Państwa członkowskie, we współpracy z branżą, Komisją i innymi zainteresowanymi stronami, powinny wprowadzić odpowiednie środki w celu zapewnienia spójnego podejścia w dziedzinie bezpieczeństwa i ochrony danych osobowych.
(11) Opinie Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, ustanowionej na mocy art. 29 dyrektywy 95/46/WE, oraz opinia Europejskiego Inspektora Ochrony Danych z dnia 8 czerwca 2012 r. 12 zawierają wskazówki dotyczące zabezpieczania danych osobowych oraz zagwarantowania bezpieczeństwa danych przetwarzanych w ramach inteligentnych systemów pomiarowych i inteligentnych sieci. W swojej opinii nr 12/2011 na temat inteligentnych systemów pomiarowych ta grupa robocza zaleca państwom członkowskim dalsze prace nad planami realizacji, które wymagają oceny skutków w zakresie ochrony danych.
(12) W celu zwiększenia korzyści płynących z inteligentnych systemów pomiarowych, jednym z najważniejszych warunków wstępnych korzystania z tej technologii jest znalezienie odpowiednich rozwiązań technicznych i prawnych gwarantujących prywatność osób fizycznych i ochronę danych osobowych jako praw podstawowych określonych w art. 7 i 8 Karty praw podstawowych Unii Europejskiej oraz w art. 16 Traktatu o funkcjonowaniu Unii Europejskiej. W zaleceniu Komisji 2012/148/UE 13 przedstawia się szczegółowe wytyczne dotyczące ochrony danych oraz środków bezpieczeństwa w odniesieniu do inteligentnych systemów pomiarowych oraz zachęca się państwa członkowskie i zainteresowane strony do zapewnienia monitoringu inteligentnych systemów pomiarowych i aplikacji inteligentnych sieci oraz poszanowania podstawowych praw i wolności osób.
(13) W zaleceniu 2012/148/UE stwierdza się, że oceny skutków w zakresie ochrony danych powinny umożliwiać od samego początku identyfikację zagrożeń związanych z ochroną danych w projektach dotyczących inteligentnych sieci, zgodnie z zasadą uwzględnienia ochrony danych już w fazie projektowania. W zaleceniu tym zapowiada się opracowanie przez Komisję szablonu oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych, który ma zostać przedstawiony do zaopiniowania Grupie Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych.
(14) W zaleceniu z dnia 9 marca 2012 r. stwierdza się również, że szablon oceny skutków w zakresie ochrony danych powinien pomagać administratorom danych w prowadzeniu pogłębionej oceny skutków w zakresie ochrony danych, w której opisane są przewidywane operacje przetwarzania, ocena zagrożeń dla praw i wolności osób, których dotyczą dane, środki przewidziane w celu sprostania zagrożeniom, zabezpieczenia, środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych oraz wykazać zgodność z przepisami dyrektywy 95/46/WE, z uwzględnieniem praw i uzasadnionych interesów osób, których dotyczą dane.
(15) Na mocy proponowanego rozporządzenia o ochronie danych, zastępującego dyrektywę 95/46/WE, oceny skutków w zakresie ochrony danych stałyby się pod pewnymi warunkami obowiązkowe jako podstawowe narzędzie służące podniesieniu odpowiedzialności administratorów danych. W takiej sytuacji szablon oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych, choć sam w sobie nieobowiązkowy, jako narzędzie oceny i podejmowania decyzji spełni swój cel, jakim jest wspieranie administratorów danych w sektorze inteligentnych sieci w przestrzeganiu przyszłych zobowiązań prawnych wynikających z proponowanego rozporządzenia o ochronie danych.
(16) Szablon opracowany na poziomie unijnym w celu przeprowadzenia ocen skutków w zakresie ochrony danych ma na celu zagwarantowanie, że przepisy dyrektywy 95/46/WE i zalecenia 2012/148/UE będą przestrzegane w sposób spójny we wszystkich państwach członkowskich oraz że propagowana będzie wspólna metodyka dla administratorów danych zapewniająca odpowiednie i zharmonizowane przetwarzanie danych osobowych w całej UE.
(17) Taki szablon powinien ułatwić stosowanie zasady ochrony danych już w fazie projektowania poprzez zachęcanie administratorów danych do jak najwcześniejszego przeprowadzania oceny skutków w zakresie ochrony danych, co pozwoli im przewidywać potencjalny wpływ na prawa i wolności osób, których dane dotyczą, oraz wprowadzać rygorystyczne zabezpieczenia. Takie środki powinny być monitorowane i poddawane przeglądom przez administratora danych w całym cyklu życia aplikacji lub systemu.
(18) Sprawozdanie dotyczące wdrażania szablonu powinno również stanowić wkład w działania krajowych organów ds. ochrony danych w zakresie monitorowania i nadzorowania zgodności przetwarzania danych osobowych oraz, w szczególności, zagrożeń dla ochrony tych danych.
(19) Szablon powinien nie tylko ułatwić rozwiązywanie nowych problemów związanych z ochroną danych, prywatnością oraz bezpieczeństwem w środowisku inteligentnych sieci, ale także pomóc w sprostaniu wyzwaniom dotyczącym przetwarzania danych w związku z rozwojem detalicznego rynku energii. Wartość przyszłego rynku detalicznego będzie w znacznej mierze wiązać się z danymi i głębszą integracją ICT z systemem energetycznym. Gromadzenie i organizacja dostępu do tych danych są kluczem do stworzenia możliwości biznesowych dla nowych podmiotów, zwłaszcza koncentratorów, przedsiębiorstw usług energetycznych lub branży ICT. Służby użyteczności publicznej będą więc musiały radzić sobie z coraz istotniejszymi kwestiami ochrony danych, prywatności i bezpieczeństwa. Szablon pomoże zapewnić - zwłaszcza w początkowej fazie rozpowszechniania inteligentnych liczników - monitorowanie aplikacji inteligentnych systemów pomiarowych i poszanowanie podstawowych praw i wolności osób dzięki identyfikacji zagrożeń dotyczących ochrony danych w projektach inteligentnych sieci już na samym początku.
(20) Po przedłożeniu szablonu - opracowanego przez główne zainteresowane strony sektora inteligentnych sieci w procesie monitorowanym przez Komisję - Grupie Roboczej w celu formalnej konsultacji, wydano opinię nr 04/2013. Po przedłożeniu zmienionego szablonu na podstawie opinii nr 04/2013, Grupa Robocza wydała opinię nr 07/2013 z dnia 4 grudnia 2013 r. 14 . Zainteresowane strony uwzględniły zalecenia sformułowane w tych dwóch opiniach.
(21) W opinii nr 07/2013 Grupa Robocza zaleca organizowanie fazy testowej przed wprowadzeniem szablonu, podczas której swoją pomoc mogą zaproponować poszczególne organy ds. ochrony danych. Ta faza testowa powinna pomóc w zagwarantowaniu, że szablon zapewni lepszy poziom ochrony danych osobowych w kontekście wdrażania inteligentnych sieci.
(22) W świetle korzyści, jakie przyniesie szablon przemysłowi, konsumentom i krajowym organom ds. ochrony danych, państwa członkowskie powinny współpracować z przedstawicielami przemysłu, społeczeństwa obywatelskiego i krajowych organów ds. ochrony danych, aby propagować i wspierać stosowanie i wdrażanie szablonu oceny skutków w zakresie ochrony danych na wczesnym etapie wdrażania inteligentnych sieci oraz rozpowszechnienia inteligentnych systemów pomiarowych.
(23) Komisja powinna przyczynić się do wdrożenia niniejszego zalecenia bezpośrednio i pośrednio poprzez ułatwianie dialogu i współpracy między zainteresowanymi stronami, w szczególności dzięki gromadzeniu i rozpowszechnianiu informacji zwrotnych podczas fazy testowej między przemysłem a krajowymi organami ds. ochrony danych.
(24) Na podstawie wniosków z fazy testowej i po przeglądzie dyrektywy 95/46/WE Komisja powinna ocenić potrzebę przeglądu i doskonalenia metodyki propagowanej w szablonie.
(25) Niniejsze zalecenie opracowano z poszanowaniem praw podstawowych i zasad uznanych w Karcie praw podstawowych Unii Europejskiej. Celem niniejszego zalecenia jest w szczególności zapewnienie pełnego poszanowania życia prywatnego i rodzinnego (art. 7 karty) oraz prawa do ochrony danych osobowych (art. 8 karty).
(26) Po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,
PRZYJMUJE NINIEJSZE ZALECENIE: