Програма за по-добро прилагане на Директивата за защита на данните

КОМИСИЯ НА ЕВРОПЕЙСКИТЕ ОБЩНОСТИ

COM(2007) 87 окончателен

(текст от значение за ЕИП)

Директива 95/46/ЕО¹ бележи важен исторически етап в развитието на защитата на личните данни като основно право по пътя, очертан от Конвенция 108 на Съвета на Европа². Съгласно член 33 от Директивата първият доклад на Комисията относно нейното прилагане³ заключи, че макар и да не се налагат законодателни изменения, е необходимо да се работи още в това отношение и че прилагането на Директивата може да бъде значително подобрено.

Докладът съдържаше работна програма за по-добро прилагане на Директивата за защита на данните. Настоящото съобщение разглежда работата, извършена по тази програма, дава оценка на настоящата ситуация и очертава перспективите за бъдещето като условие за успех в редица области на политиките в съответствие с член 8 от Европейската харта на основните права, който признава самостоятелното право на защита на личните данни.

Комисията е на мнение, че Директивата установява една като цяло целесъобразна и технологично неутрална обща правна рамка. Системата от хармонизирани правила, които осигуряват висока степен на защита на личните данни в целия ЕС, предоставя значителни ползи на гражданите, фирмите и властите. Тези правила защитават физическите лица срещу общо наблюдение или неправомерна дискриминация въз основа на информация, с която другите разполагат за тях. Доверието на потребителите, че няма да бъде извършена злоупотреба с личните данни, които предоставят при трансакциите си, е условие за развитието на електронната търговия. В Общността фирмите функционират и администрациите си сътрудничат, без да се опасяват, че международните им дейности ще бъдат нарушени, поради това че личните данни, които трябва да обменят, не са защитени при източника или получателя им.

Комисията ще продължи да извършва мониторинг на прилагането на Директивата, да работи с всички заинтересовани лица за допълнително намаляване на националните различия и да проучва необходимостта от секторно законодателство за прилагане на принципите за защита на данните към новите технологии и за задоволяване на нуждите на обществената сигурност.

След публикуването на първия доклад бяха предприети действия в следните десет области⁴:

Комисията провежда „структуриран диалог“ с държавите-членки относно транспонирането в националното законодателство. Това включва подробен анализ на националното законодателство и дискусии с националните органи с цел пълно привеждане в съответствие на националното законодателство с изискванията на Директивата.

Представители на тези държави-членки присъстваха на заседанията на комитета на представителите на държавите-членки, създаден по силата на член 31 от Директивата, преди присъединяването им, както участваха от 2002 г. в дейността на работната група по член 29⁵. Междувременно Комисията работи в тясно сътрудничество с техните органи в процеса на приемане на националното законодателство, като предостави насоки за привеждане в съответствие с достиженията на общностното право с цел да се ограничат до минимум официалните процедури за нарушение.

Структурираният диалог, проведен по действие 1, позволи на Комисията да придобие по-ясна и пълна представа за националните мерки за прилагане на Директивата, включително вторичното и секторното законодателство. В писмо, изпратено до държавите-членки през август 2003 г., Комисията предложи общи критерии за прагматично третиране на уведомленията по член 26, параграф 3 от Директивата. Това доведе до увеличаване на изпратените уведомления от някои държави-членки. Обменът на добри практики и знания между националните органи беше подобрен благодарение на публикуването на уебсайта на Комисията на избрани ключови национални политически документи, решения и препоръки.

В своята декларация относно прилагането работната група прие принципа за синхронизирани национални действия за прилагане на Директивата в целия ЕС и установи критерии за определяне на области, които трябва да бъдат проучени. През март 2006 г. националните органи за защита на данните започнаха съвместно проучване върху обработването на лични данни в частното здравно осигуряване.

Работната група изготви доклад по тази тема, в който очертава настоящото положение в държавите и дава препоръки в съответствие с тези на Комисията. Този доклад бе последван от Наръчник за изискванията за уведомяване, целящ да направи цялостен поглед на различните национални правила, както и да предостави практики и указания за администраторите на лични данни.

Освен анализа на националното законодателство, направен от Комисията в рамките на структурирания диалог, работната група призна необходимостта от хармонизиране и потърси общ подход за достигане до прагматично решение. Тя предостави на администраторите на лични данни насоки относно важни конкретни случаи, съдържанието и формата на информацията и модели за многопластови съобщения за защита на личните данни или за информационно съобщение за предаване на личните данни, съдържащи се в досието на пътниците PNR (Passenger Name Record).

От публикуването на работната програма досега Комисията прие редица констатации на достатъчна степен на защита. Бе прието, че Аржентина, Гърнси и остров Ман гарантират достатъчна степен на защита.

Комисията също преразгледа действието на решенията за достатъчна защита, приети по-рано. През 2004 г. бе представен доклад на службите на Комисията относно функционирането на принципите за неприкосновеност на личния живот (Safe Harbour), последван от информационно съобщение и стандартен формуляр за подаване на жалби до групата за защита на данните. Тази дейност бе последвана от важна конференция за международното предаване на лични данни, организирана съвместно от работната група и Министерството на търговията на САЩ през октомври 2006 г. Също така бе извършена оценка на прилагането на констатациите на достатъчна степен на защита в Швейцария и Канада.

б) допълнителни решения, приети въз основа на член 26, параграф 4 с цел икономическите оператори да разполагат с по-широк избор на стандартни договорни клаузи

Комисията прие решение, с което се признава допълнителен пакет от договорни клаузи за осигуряване на достатъчни гаранции за предаването на данни на администраторите в трети страни. Тези клаузи бяха предложени от група представителни бизнес асоциации, включително Международната търговска камара. През 2006 г. службите на Комисията също представиха първия доклад за прилагането на предишните решения на Комисията относно договорните клаузи.

След подготвителната работа, извършена през 2003 и 2004 г., работната група прие два ключови документа. Единият определя процедура за сътрудничество между националните надзорни органи за изготвяне на общи становища относно достатъчните гаранции в резултат от „задължителните фирмени правила“. Другият установява модел на контролен списък, който администраторите на лични данни трябва да използват при подаване на молба за одобряване на такива правила, което да удостовери, че те осигуряват достатъчни гаранции.

Работната група прие становище за определяне на насоки относно прилагането на изключения от принципа за достатъчна защита в трети страни.

През 2003 и 2004 г. дейността на Комисията и работната група се съсредоточи върху предстоящото съобщение на Комисията относно технологиите за подобряване на защитата на личния живот (Privacy Enhancing Technologies), което определя бъдещата политика в тази област.

Работната група одобри европейския кодекс за поведение на Европейската федерация за директен маркетинг (FEDMA), което представлява важен етап в развитието в тази област. За съжаление други опити не доведоха до създаване на подобни кодекси, отговарящи на критериите за сравнимо качество. Въпреки напредъка, постигнат по-рано, европейските социални партньори за жалост също не успяха да сключат европейско споразумение за защита на личните данни в сферата на заетостта.

Евробарометър проведе проучване върху вижданията на европейските граждани и фирми за защитата на личния живот. Това проучване показа, че хората се интересуват от проблемите, свързани със защитата на личния живот, но нямат достатъчно информация за съществуващите правила и механизми, които защитават правата им.

Директивата вече е транспонирана от всички държави-членки. Като цяло националното транспониране включва всички основни разпоредби в съответствие с Директивата.

Действията, извършени в рамките на работната програма, имат положителен резултат и дадоха съществен принос за подобряване на прилагането на Директивата в цялата Общност. Решаваща роля изигра участието в работната група на националните надзорни органи за защита на данните.

В някои страни обаче Директивата все още не се прилага правилно

След работата, извършена по изготвяне на първия доклад на Комисията през 2003 г., задълбоченият анализ на националното законодателство за защита на данните, проведен в рамките на структурирания диалог, показа как е транспонирана Директивата в Общността. Анализът даде яснота по редица правни въпроси и съмнения за съответствието на някои национални мерки и практики с разпоредбите на Директивата.

Структурираният диалог също показа, че някои държави-членки не са включили в своето законодателство редица важни разпоредби на Директивата. В други случаи транспонирането или практиките не са в съответствие с Директивата или превишават свободата на действие, предоставена на държавите-членки.

Едно от притесненията е свързано със спазването на изискването, според което надзорните органи за защита на данните функционират при пълна независимост и разполагат с достатъчно правомощия и средства за изпълнение на задачите си. Тези органи са ключови елементи в системата за защита, предвидена в Директивата, и неизпълнението на изискването за гарантиране на тяхната независимост и правомощия има широко отрицателно въздействие върху прилагането на законодателството в областта на защита на данните.

Комисията провежда сравнителен анализ на всички случаи, в които има съмнения за неправилно или непълно транспониране, за да осигури прилагане на последователен подход. Някои държави-членки признаха за съществуването на недостатъци в техните законодателства и се ангажираха да въведат необходимите корекции, което Комисията силно подкрепя. Други проблемни въпроси бяха повдигнати в жалби от гражданите. Ако дадено нарушение на общностното законодателство не бъде отстранено, в качеството си на пазител на договорите Комисията започва официални процедури за нарушение срещу съответните държави-членки в съответствие с член 226 от Договора за ЕО. Редица такива процедури вече бяха започнати.

В някои случаи различията се дължат на свободата на действие, предоставена от Директивата

Директивата съдържа редица разпоредби, формулирани общо и оставящи изрично или по подразбиране известна свобода на действие на държавите-членки при приемане на националното законодателство. В тези рамки могат да възникнат различия в националното законодателство⁶. В този сектор такива различия не са по-големи, отколкото в други области на икономическата дейност, и са естествен резултат при даването на такава свобода на действие.

Комисията поиска да бъде направено проучване за икономическата оценка на Директивата за защита на данните (95/46/ЕО)⁷, за да измери икономическото въздействие на Директивата по отношение на администраторите на лични данни. Проучването бе проведено върху определен брой подбрани случаи и показа, че въпреки някои различия прилагането на Директивата не е струвало скъпо на фирмите.

Разбира се, желателна е по-висока степен на сходство, за да се насърчат положителни инициативи като опростяването, саморегулирането и прилагането на задължителни фирмени правила. Все пак в жалбите, получени от Комисията, няма доказателство, че националните различия в рамките на Директивата могат наистина да възпрепятстват нормалното функциониране на вътрешния пазар или да ограничат свободното движение на данни поради липса или недостатъчна защита в страната на произход или местоназначение. Ограниченията в страните на установяване също не нарушават конкуренцията между частните оператори. Националните различия не пречат на предприятията да извършват дейност или да се установяват в различни държави-членки. Те също така не поставят под въпрос ангажимента на Европейския съюз и държавите-членки по отношение на защитата на основните права.

Ето защо може да се заключи, че Директивата изпълнява своите цели: да гарантира свободното движение на лични данни във вътрешния пазар, като същевременно осигури висока степен на защита в Общността.

Друг е въпросът дали, извън сферата на хармонизирането, правните решения, предвидени в Директивата, съответстват на съществуващите предизвикателства.

Някои разпоредби бяха подложени на критика. Изтъкнато бе, че изискването за уведомление налага ограничение, но то има значителна стойност като мярка за осигуряване на прозрачност за засегнатите лица, като усилие за привличане на вниманието на администраторите на лични данни към проблема и като средство за мониторинг за съответните органи. Интернет и новите възможности за взаимодействие и достъп на засегнатите лица до услуги, предоставяни в трети страни, повдигат въпроси относно правилата за определянето на приложимото национално законодателство или за предаването на данни на трети страни, въпроси, на които съдебната практика даде само частичен отговор⁸. Устройствата за радиочестотна идентификация (RFID) повдигат основни въпроси, засягащи обхвата на правилата за защита на данните и понятието лични данни. Съчетанието на данни за звук и образ с автоматично разпознаване изисква особено внимание при прилагане на принципите на Директивата.

В Съвета на Европа се състояха подобни дискусии за значението в съвременната действителност на принципите, заложени в Конвенция 108. Общото мнение е, че тези принципи са все още валидни и дават задоволително решение.

Комисията смята, че Директивата е технологично неутрална, че нейните принципи и разпоредби са достатъчно общи и че нейните правила могат да продължат да се прилагат целесъобразно към новите технологии и ситуации. Все пак може би е необходимо тези общи принципи да приемат формата на специални насоки или разпоредби, които да отчетат особеностите на новите технологии.

В съответствие с това Директива 2002/58/ЕО конкретизира и допълва Директива 95/46/ЕО по отношение на обработването на лични данни в сектора на електронните комуникации, като гарантира свободното движение на такива данни и оборудване за електронни комуникации и услуги в Общността. Директивата е в процес на преразглеждане като част от цялостното преразглеждане на регулаторната рамка за електронни комуникации.

Работната група положи значителни усилия за разглеждане на проблеми в областта на технологиите, като нежеланите съобщения („спам“), филтрите за електронна поща, обработването на данни за трафика за целите на фактурирането или на данни за местоположението за целите на услуги с добавена стойност. На технологията за радиочестотна идентификация бяха посветени редица семинари и обществено допитване, проведено от службите на Комисията за обсъждане на въпроси, свързани със защитата на личния живот и сигурността.

Съгласуването в Директивата между защитата на основните права и свободи на физическите лица и нуждите, наложени от обществените интереси, се осигурява от два вида разпоредби.

Единият вид разпоредби изключва редица области от обхвата на Директивата, като например член 3, който се отнася до „обществената сигурност, отбраната, държавната сигурност (включително икономическото благосъстояние на държавата, когато процесът на обработка е свързани с държавната сигурност) и при дейности на държавата в областта на наказателното право“. Съдът на Европейските общности уточни, че обработването на данни за целите на защитата на обществената сигурност и правоприлагането не попада в обхвата на Директивата⁹. С оглед необходимостта от общ пакет от правила за защита на данните в ЕС Комисията прие предложението относно защитата на личните данни, обработвани в рамките на полицейското и съдебно сътрудничество по наказателноправни въпроси¹⁰, което да придружава нейното предложение относно обмена на информация съгласно принципа на достъпност¹¹. В тази област ЕС сключи международно споразумение със САЩ, което разглежда използването на личните данни, съдържащи се в досието на пътниците PNR, за борба с престъпността¹².

Вторият тип разпоредби предвиждат държавите-членки да могат да ограничат принципите за защита на данните при определени обстоятелства, както е посочено в член 13, „ако подобно ограничаване представлява необходима мярка за гарантиране на [следва списък на важни обществени интереси]“. Такива ограничения могат да вземат предвид например необходимостта от борба с престъпността или от защита на общественото здраве в извънредни ситуации. Други разпоредби на Директивата съдържат подобна възможност за ограничени изключения. Съдът на Европейските общности уточни, че данните, събрани първоначално за „търговски цели“, впоследствие могат да бъдат използвани единствено за друга цел, която е от обществен интерес, съгласно условията, определени в посочения член. Освен това ограниченията, наложени на националния законодател, са равнозначни на посочените в член 8 от Европейската конвенция за правата на човека и практиката на Европейския съд по правата на човека има първостепенно значение. ¹³. Този механизъм, който позволява на държавите-членки да преценят кое може да представлява „необходима мярка“ и „важен обществен интерес“, представлява по своята същност основен източник на различия между националните законодателства.

Тези ограничения бяха хармонизирани само в ограничен брой сектори, като скорошен пример за това е Директива 2006/24/ЕО за запазване на данни¹⁴, по отношение на която Комисията обяви намерението си да създаде експертна група с цел да обсъди проблеми, като например прилагането на директивата в националното законодателство.

Даване на форма на основните права

Комисията е поела ангажимента да спазва Хартата на основните права във всички свои предложения. Относно правото на защита на личните данни, посочено в член 8 от нея, Директивата установява високи стандарти и служи за отправна точка за осигуряване на последователност по отношение на защитата на личния живот в цялото общностно законодателство в различни области.

Предвид настоящото положение Комисията възнамерява да води политика, която се характеризира със следните елементи.

Конституционният договор ще има огромно влияние в тази област. Той ще включи в член II-68 правото на защита на личните данни, посочено в член 8 от Хартата на основните права. В член I-51 той ще създаде също така специално самостоятелно правно основание, което да позволи на ЕС да законодателства в тази област, като подготви пътя за приемане на инструменти, приложими във всички сектори. Настоящото разделение на „стълбове“ и ограниченията в член 3 от Директивата повече няма да бъдат обсъждани. Все пак, докато процесът на ратифициране на Конституционния договор не се изясни, Комисията подчерта нуждата от по-ефикасни процедури в областта на свободата, сигурността и правосъдието съгласно настоящите Договори¹⁵.

Поради посочените по-горе причини, Комисията смята, че Директивата за защита на данните представлява обща правна рамка, която изпълнява първоначалните си цели, като дава достатъчна гаранция за функционирането на вътрешния пазар и осигурява висока степен на защита. Тя дава форма на основното право на защита на личните данни; спазването на правилата ѝ би трябвало да позволи на хората да се чувстват спокойни за начина, по който се използва информацията за тях, което е основно условие за развитието на електронната икономика; тя е отправна точка за инициативи в редица области от политиките; тя е технологично неутрална и продължава да дава действащи и целесъобразни решения на тези проблеми.

Поради това Комисията не възнамерява да представи законодателно предложение за изменение на Директивата.

Комисията ще следи за правилното прилагане на разпоредбите на Директивата на национално и международно равнище

Някои несъответствия в националното законодателство са резултат от неправилно или непълно транспониране на разпоредбите на Директивата. Въз основа на информацията, получена в рамките на структурирания диалог с държавите-членки и вследствие на жалбите на граждани, Комисията ще продължи да си сътрудничи с държавите-членки и ако е необходимо, ще започне официални процедури за нарушение, така че да гарантира еднакви условия за всички държави-членки.

Комисията също приканва държавите-членки да гарантират правилното прилагане на националното законодателство, прието съгласно Директивата. В същото време тя ще продължи да извършва мониторинг и да допринася за развитието на международни форуми като Съвета на Европа, ОИСР и ООН, за да осигури съгласуваност на ангажиментите на държавите-членки с техните задължения, произтичащи от Директивата.

Комисията ще изготви тълкувателно съобщение относно някои разпоредби

Проблемите, установени при прилагане на определени разпоредби на Директивата, които могат да доведат до започване на официални процедури за нарушение, съответстват на разбирането от Комисията относно значението на разпоредбите на Директивата и правилния начин за прилагането им, като се вземе предвид съдебната практика, както и резултатите от дейността на работната група по тълкуването им.

Тези идеи ще бъдат ясно представени в тълкувателно съобщение.

Комисията насърчава всички участници да работят за намаляване на националните различия

За постигане на тази цел ще бъдат извършени различни дейности.

– Работната програма ще бъде продължена

Мерките за подобряване прилагането на Директивата, очертани през 2003 г., бяха и продължават да бъдат подходящи за постигане на целта.

Дейностите, посочени в работната програма, ще бъдат продължени и участието на всички заинтересовани лица е здрава основа за подобряване прилагането на принципите на Директивата.

– Работната група следва да подобри приноса си за хармонизиране на практиките

Работната група, която обединява националните надзорни органи за защита на данните, е основен елемент за осигуряване на по-добро и по-единно прилагане. Съобразно с това този орган има за задача да „разглежда всеки въпрос, отнасящ се до прилагането на националните мерки, приети съгласно настоящата директива, с цел да допринесе за еднаквото прилагане на тези мерки“. Групата вече извърши полезна работа за намиране на решение за единно национално прилагане на ключови разпоредби като тези за трансграничните потоци от данни или за понятието лични данни.

За да се възползват пълноценно от този мандат, органите за защита на данните следва също да положат усилия за адаптиране на националните практики към общите насоки, които те определиха в рамките на работната група.

Съдържащите се в Директивата принципи остават валидни и не следва да се изменят. Все пак широкото развитие на новите информационни и комуникационни технологии поражда необходимостта от специални указания за начина на прилагане на тези принципи в практиката. Все по-сложните технологии позволяват бързото разпространение на информацията в целия свят. Но технологиите дават възможност и за по-добра защита на данните, когато това е необходимо. Те улесняват също контрола и търсенето им. Необходимите данни могат да бъдат установени по-бързо и по-лесно. Когато няма разрешение за предаването на данни, технологиите позволяват тези данни да се изолират и да се защитят по-бързо и ефективно от преди.

Ролята на работната група в тази област е много важна. Тя следва да продължи дейността на своята оперативна група по въпросите, свързани с Интернет, и разработването на общ подход между националните надзорни органи за защита на данните с цел хармонизиране на прилагането на националното законодателство, по-специално по отношение на приложимото законодателство и трансграничните потоци от данни.

Ако някоя технология системно затруднява прилагането на принципите за защита на данните и широката ѝ употреба или рискът от непозволен достъп до данни оправдават вземането на по-строги мерки, Комисията може да предложи секторно законодателство на равнище ЕС, за да се приложат тези принципи към специфичните изисквания на въпросната технология. Този подход бе използван в Директива 2002/58/ЕО за правото на неприкосновеност на личния живот и електронни комуникации.

Започналото преразглеждане на тази директива и съобщението относно радиочестотната идентификация, посочено по-горе, може да предоставят възможност за размисъл върху необходимостта от изменение на директивата или за приемане на специални правила за решаване на въпросите, свързани със защитата на данните, повдигнати от използването на технологии като Интернет или радиочестотната идентификация.

Предоставяне на последователен отговор на необходимостта от използване на лични данни в интерес на обществото, особено за гарантиране на сигурността

Необходимо е да се съгласуват две основни изисквания: за ефективно справяне със заплахите за всекидневния живот на хората в Европа, особено по отношение на сигурността, и едновременно с това за защита на основните права, включително правата на защита на данните. Количеството на събраните лични данни за физически лица и броят на дейностите, при които се записват и съхраняват лични данни, са значителни. Данните могат да бъдат използвани за цели, различни от тези, за които са били събрани, само ако има надлежно разрешение за това. В едно демократично общество подобни мерки трябва да бъдат оправдани и необходими от съображения от обществен интерес, например борба с тероризма и организираната престъпност.

Опитвайки се да постигне важния баланс между мерките за гарантиране на сигурност и за защита на основните права, Комисията следи за защитата на личните данни, гарантирана от член 8 от Хартата на основните права. ЕС си сътрудничи и с външни партньори. В условията на глобализация това е от основно значение. В частност ЕС и САЩ водят постоянен трансатлантически диалог относно обмена на информация и защитата на личните данни с оглед правоприлагането.

Комисията ще разгледа още веднъж прилагането на Директивата при приключване на мерките, посочени в настоящото съобщение.