PARLAMENT EUROPEJSKI Dokument z posiedzenia

RR\871487PL.doc PE460.636v02-00

PL

PL

PARLAMENT EUROPEJSKI 2009 - 2014

Dokument z posiedzenia

A7-0244/2011 22.6.2011

SPRAWOZDANIE

w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej

(2011/2025(INI))

Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Sprawozdawca: Axel Voss

PE460.636v02-00 2/37 RR\871487PL.doc

PL

PR_INI

SPIS TREŚCI

strona

PROJEKT REZOLUCJI PARLAMENTU EUROPEJSKIEGO ...3

OPINIA KOMISJI PRZEMYSŁU, BADAŃ NAUKOWYCH I ENERGII ...15

OPINIA KOMISJI RYNKU WEWNĘTRZNEGO I OCHRONY KONSUMENTÓW ...21

OPINIA KOMISJI KULTURY I EDUKACJI ...28

OPINIA KOMISJI PRAWNEJ...32

WYNIK GŁOSOWANIA KOŃCOWEGO W KOMISJI...37

RR\871487PL.doc 3/37 PE460.636v02-00

PL

PROJEKT REZOLUCJI PARLAMENTU EUROPEJSKIEGO w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej

(2011/2025(INI)) Parlament Europejski,

– uwzględniając Traktat o funkcjonowaniu UE, a w szczególności jego art. 16,

– uwzględniając Kartę praw podstawowych Unii Europejskiej, zwłaszcza jej art. 7 i 8, oraz europejską Konwencję o ochronie praw człowieka i podstawowych wolności (EKPC), zwłaszcza jej art. 8 dotyczący poszanowania życia prywatnego i rodzinnego oraz art. 13 dotyczący skutecznego środka odwoławczego,

– uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia

24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych¹,

– uwzględniając decyzję ramową Rady 2008/977/WSiSW z dnia 27 listopada 2008 r.

w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych²,

– uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych³,

– uwzględniając dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)⁴,

– uwzględniając Konwencję nr 108 Rady Europy o ochronie osób w związku

z automatycznym przetwarzaniem danych osobowych, której rozwinięciem jest dyrektywa nr 95/46/WE, jak i jej Protokół dodatkowy z dnia 8 listopada 2001 r. dotyczący organów nadzorczych oraz transgranicznych przepływów danych, uwzględniając też rekomendacje Komitetu Ministrów dla państw członkowskich, w szczególności rekomendację nr R(87) 15 dotyczącą ochrony danych osobowych wykorzystywanych w sektorze policji oraz rekomendację CM/Rec(2010)13 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych w kontekście profilowania,

– uwzględniając wytyczne dotyczące regulacji odnoszących się do elektronicznych banków danych ogłoszone przez Zgromadzenie Ogólne ONZ w 1990 r.,

– uwzględniając komunikat Komisji dla Parlamentu, Rady, Europejskiego Komitetu

1 Dz.U. L 281 z 23.11.1995, s. 31.

2 Dz.U. L 350 z 30.12.2008, s. 60.

3 Dz.U. L 8 z 12.1.2001, s. 1.

4 Dz.U. L 201 z 31.7.2002, s. 37.

PE460.636v02-00 4/37 RR\871487PL.doc

PL

Ekonomiczno-Społecznego i Komitetu Regionów pod tytułem „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej” (COM(2010)0609),

– uwzględniając konkluzje Rady dotyczące komunikatu Komisji zatytułowanego

„Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej”¹, – uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) z dnia

14 stycznia 2011 r. dotyczącą komunikatu Komisji zatytułowanego „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej”,

– uwzględniając wspólny wkład grupy roboczej art. 29 ds. ochrony danych oraz grupy roboczej ds. policji i wymiaru sprawiedliwości dotyczący konsultacji Komisji

Europejskiej w sprawie ram prawnych odnoszących się do podstawowego prawa ochrony danych osobowych, zatytułowany „Przyszłość prywatności”²,

– uwzględniając opinię nr 8/10 grupy roboczej art. 29 ds. ochrony danych, odnoszącą się do stosowanego prawa³,

– uwzględniając swoje poprzednie rezolucje w sprawie ochrony danych, a także rezolucję w sprawie programu sztokholmskiego⁴,

– uwzględniając art. 48 Regulaminu,

– uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinie Komisji Przemysłu, Badań Naukowych i Energii, Komisji Rynku Wewnętrznego i Ochrony Konsumentów, Komisji Kultury i Edukacji oraz Komisji Prawnej (A7-0244/2011),

A. mając na uwadze, że dyrektywa w sprawie ochrony danych 95/46/WE i dyrektywa

pakietu telekomunikacyjnego UE 2009/140/WE umożliwiają swobodny przepływ danych osobowych na rynku wewnętrznym,

B. mając na uwadze, że przepisy o ochronie danych stały się w UE, państwach

członkowskich i poza ich granicami tradycją prawną, którą należy podtrzymywać i dalej rozwijać,

C. mając na uwadze, że choć podstawowe założenia dyrektywy 1995/46/WE są nadal aktualne, widać różne podejścia przyjmowane przy ich wdrażaniu i egzekwowaniu w państwach członkowskich; mając na uwadze, że UE musi posiadać – po kompleksowej

1 Posiedzenie nr 3071 Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych w Brukseli w dniach 24 i 25 lutego 2011 r., dokument dostępny pod linkiem

http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf.

2 02356/09/EN WP 168.

3 0836/10/EN WP 179.

4 Na przykład: rezolucja legislacyjna Parlamentu Europejskiego z dnia 23 września 2008 r. w sprawie projektu wniosku dotyczącego decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (Dz.U. C 8E z 14.1.2010, s. 138); zalecenie Parlamentu Europejskiego z dnia 26 marca 2009 r. dla Rady w sprawie utrwalenia bezpieczeństwa i podstawowych wolności w Internecie (Dz.U. C 117E z 6.5.2010, s. 206); rezolucja Parlamentu Europejskiego z dnia 25 listopada 2009 r.

w sprawie komunikatu Komisji do Parlamentu Europejskiego i Rady: „Przestrzeń wolności, bezpieczeństwa i sprawiedliwości w służbie obywateli – program sztokholmski” (Dz.U. C 285E z 21.10.2010, s. 12).

RR\871487PL.doc 5/37 PE460.636v02-00

PL

ocenie oddziaływania – całościowe, spójne, nowoczesne i wysokiego szczebla ramy regulacyjne umożliwiające skuteczną ochronę podstawowych praw obywateli,

w szczególności ich prywatności, w odniesieniu do jakiegokolwiek przetwarzania danych osobowych jednostek w UE i poza jej granicami w każdych okolicznościach, w celu sprostania licznym wyzwaniom w zakresie ochrony danych, na przykład wyzwaniom spowodowanym globalizacją, rozwojem technologicznym, coraz popularniejszą aktywnością online, zastosowaniami związanymi z coraz szerszymi rodzajami

działalności i obawami związanymi z bezpieczeństwem (tj. walką z terroryzmem); mając na uwadze, że takie ramy ochrony danych osobowych mogą zwiększyć pewność prawną, zredukować do minimum obciążenie administracyjne, zagwarantować równe szanse wszystkim podmiotom gospodarczym, stymulować wspólny rynek cyfrowy oraz

zwiększyć bezpieczeństwo i zaufanie do zachowania administratorów danych i organów wykonawczych,

D. mając na uwadze, że naruszanie przepisów o ochronie danych może spowodować

poważne zagrożenie praw podstawowych przysługujących jednostkom i wartości państw członkowskich, do tego stopnia, że Unia i państwa członkowskie będą zobowiązane do podjęcia skutecznych działań przeciwko takim naruszeniom; mając na uwadze, że takie naruszanie prowadzi do braku zaufania obywateli, co z kolei osłabia celowe

wykorzystywanie nowych technologii; mając też na uwadze, że niewłaściwe

wykorzystanie i nadużywanie danych osobowych powinno w związku z tym podlegać właściwym, surowym i odstraszającym sankcjom, w tym sankcjom karnym,

E. mając na uwadze, że inne właściwe prawa podstawowe zapisane w Karcie praw podstawowych oraz inne cele wyznaczone w Traktatach, takie jak prawo do wolności wypowiedzi i informacji oraz zasada przejrzystości, muszą zostać w pełni uwzględnione w działaniach na rzecz zagwarantowania podstawowego prawa do ochrony danych osobowych,

F. mając na uwadze, że nowa podstawa prawna z art. 16 TFUE, a także uznanie prawa do ochrony danych osobowych z art. 8 Karty praw podstawowych oraz prawa do

poszanowania życia prywatnego i rodzinnego z art. 7 Karty praw podstawowych za prawa autonomiczne koniecznie wymaga całościowego podejścia do ochrony danych we wszystkich obszarach, w których przetwarzane są dane osobowe, w tym w dziedzinie współpracy policyjnej i sądowej w sprawach karnych, w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa (WPZiB) – bez uszczerbku dla konkretnych przepisów określonych w art. 39 TUE – oraz w dziedzinie przetwarzania danych przez instytucje i organy UE,

G. mając na uwadze, że podczas rozpatrywania rozwiązań legislacyjnych należy koniecznie uwzględnić szereg istotnych elementów, takich jak skuteczna i efektywna ochrona, udzielana w każdych okolicznościach i niezależnie od preferencji politycznych w określonym przedziale czasu; mając na uwadze, że ramy regulacyjne muszą charakteryzować się długookresową stabilnością, a wprowadzanie ograniczeń

w wykonywaniu prawa do ochrony – jeżeli okaże się konieczne – musi być sporadyczne, zgodne z prawem, ściśle konieczne i proporcjonalne oraz należycie uzasadnione i nigdy nie może wpływać na zasadnicze elementy samego prawa¹,

1 Por. opinia EIOD (nr 7) [30].

PE460.636v02-00 6/37 RR\871487PL.doc

PL

H. mając na uwadze, że gromadzenie, analiza, wymiana, niewłaściwe wykorzystanie danych oraz niebezpieczeństwo „profilowania”, możliwe dzięki rozwojowi technologicznemu, osiągnęły bezprecedensowe rozmiary i w związku z tym wymagają surowych przepisów chroniących dane, takich jak określenie prawa właściwego i zdefiniowanie obowiązków wszystkich zainteresowanych stron jeśli chodzi o stosowanie unijnego prawodawstwa w zakresie ochrony danych; mając na uwadze, że przedsiębiorstwa i sektor handlowy coraz częściej wykorzystują karty stałego klienta (karty do klubów, karty rabatowe, lojalnościowe itp.), które służą lub mogą służyć do tworzenia profili klientów,

I. mając na uwadze, że obywatele nie dokonują zakupów w internecie tak samo bezpiecznie jak poza nim, z powodu obaw o kradzież tożsamości i braku przejrzystości co do

sposobu, w jaki ich dane osobowe są przetwarzane i wykorzystywane,

J. mając na uwadze, że technologia umożliwia w coraz większym stopniu, niezależnie od miejsca i czasu, tworzenie, przesyłanie, przetwarzanie i magazynowanie danych osobowych w wielu różnych formach, oraz mając na uwadze, że w tym kontekście sprawą najwyższej wagi jest, by osoby, których dane dotyczą, miały rzeczywistą kontrolę nad własnymi danymi,

K. mając na uwadze, że podstawowe prawo do ochrony danych oraz prywatności obejmuje ochronę osób przed ewentualną inwigilacją oraz nadużywaniem ich danych przez same państwo, a także podmioty prywatne,

L. mając na uwadze, że zapewnienie prywatności i bezpieczeństwa jest możliwe i że obydwie kwestie mają dla obywateli kluczowe znaczenie, co oznacza, że nie trzeba wybierać pomiędzy prywatnością a bezpieczeństwem,

M. mając na uwadze, że na szczególną ochronę zasługują dzieci, które mogą być

w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i praw w związku z przetwarzaniem danych osobowych; mając na uwadze, że młodzi ludzie ujawniają swoje dane osobowe w różnego rodzaju sieciach społecznych, które mnożą się coraz szybciej w internecie,

N. mając na uwadze, że skuteczna kontrola przez osoby, których dane dotyczą, oraz krajowe organy ochrony danych wymaga przejrzystego zachowania administratorów danych, O. mając na uwadze, że nie wszyscy administratorzy danych prowadzą działalność

internetową i że w związku z tym nowe przepisy o ochronie danych muszą obejmować środowisko zarówno internetowe, jak i pozainternetowe, z jednoczesnym

uwzględnieniem ewentualnych różnic pomiędzy tymi środowiskami,

P. mając na uwadze, że krajowe organy ochrony danych podlegają przepisom, które znacznie różnią się w 27 państwach członkowskich, w szczególności w odniesieniu do ich statusu, zasobów i kompetencji,

Q. mając na uwadze, że silny europejski i międzynarodowy system ochrony danych jest niezbędną podstawą dla transgranicznego przepływu danych osobowych, mając też na uwadze, że obecne różnice w prawodawstwach z zakresu ochrony danych oraz ich

RR\871487PL.doc 7/37 PE460.636v02-00

PL

egzekwowania oddziałują na ochronę praw podstawowych i wolności obywatelskich, pewność prawną i przejrzystość w stosunkach umownych, rozwój handlu elektronicznego i e-biznesu, zaufanie konsumentów do systemu, transakcje ponadgraniczne, globalną gospodarkę oraz jednolity rynek europejski; mając w tym kontekście na uwadze, że wymiana danych jest istotna z perspektywy umożliwienia i zapewnienia bezpieczeństwa publicznego na szczeblu lokalnym i międzynarodowym; mając na uwadze, że

konieczność, proporcjonalność, celowość, nadzór i adekwatność są warunkami wstępnymi takiej wymiany,

R. mając na uwadze, że obecne przepisy i warunki regulujące przekazywanie danych z UE do państw trzecich doprowadziły do stosowania różnych podejść i praktyk w różnych państwach członkowskich; mając na uwadze, że konieczne jest, by prawa podmiotów, których dane dotyczą, były w pełni szanowane w krajach trzecich, do których dane osobowe są przekazywane i w których się je przetwarza,

Pełne zaangażowanie charakteryzujące się całościowym podejściem

1. bardzo przychylnie odnosi się do komunikatu Komisji zatytułowanego „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej” oraz przyjętego w nim podejścia, skupiającego się na wzmocnieniu istniejących rozwiązań,

przedstawieniu nowych zasad i mechanizmów oraz zapewnieniu spójności i wysokich standardów ochrony danych w kontekście zapewnionym wejściem w życie Traktatu z Lizbony (art. 16 TFUE), a obecnie także prawnie wiążącą Karta praw podstawowych, w szczególności jej art. 8;

2. podkreśla, że normy i zasady określone w dyrektywie 95/46/WE stanowią idealny punkt wyjścia i należy dalej nad nimi pracować, rozszerzać je i wdrażać, czyniąc z nich element nowoczesnego prawa ochrony danych;

3. podkreśla znaczenie art. 9 dyrektywy 95/46/WE, która zobowiązuje państwa członkowskie do przedstawienia odstępstw od przepisów o ochronie danych w sytuacjach, w których dane osobowe są wykorzystywane wyłącznie do celów dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego; wzywa w tym kontekście Komisję do zagwarantowania, że odstępstwa te zostaną zachowane i że podjęte zostaną wszelkie starania w celu oceny potrzeby zwiększenia zakresu tych

odstępstw w świetle wszelkich nowych przepisów, tak by chronić wolność prasy;

4. podkreśla, że podejście neutralne technologicznie, określone w dyrektywie 95/46/WE, należy zachować jako zasadę opracowywania nowych ram;

5. uznaje, że rozwój technologiczny z jednej strony przyczynił się do wystąpienia nowych zagrożeń dla ochrony danych osobowych, zaś z drugiej strony doprowadził do znacznego wzrostu wykorzystania technologii informacyjnych w celach związanych z codziennością i zazwyczaj nieszkodliwych oraz że rozwój ten oznacza, że konieczne jest

przeprowadzenie szczegółowej oceny obecnie obowiązujących przepisów o ochronie danych w celu zapewnienia, że przepisy te (i) nadal będą gwarantowały wysoki poziom ochrony, (ii) nadal będą sprzyjały osiągnięciu równowagi pomiędzy prawem do ochrony danych osobowych a prawem do wolności wypowiedzi i informacji oraz (iii) nie będą niepotrzebnie utrudniać codziennego przetwarzania danych osobowych, które zazwyczaj jest nieszkodliwe;

PE460.636v02-00 8/37 RR\871487PL.doc

PL

6. uważa, że niezbędne jest rozszerzenie stosowania ogólnych przepisów o ochronie danych na obszar współpracy policyjnej i wymiarów sprawiedliwości, w tym przetwarzanie danych na szczeblu krajowym, ze szczególnym uwzględnieniem tendencji

systematycznego ponownego wykorzystywania danych osobowych w sektorze prywatnym na potrzeby egzekwowania prawa, zapewniając równocześnie, w razie absolutnej konieczności oraz tam, gdzie to stosowne w społeczeństwie demokratycznym, ściśle dostosowane i zharmonizowane ograniczenia dotyczące niektórych praw do

ochrony danych obywateli;

7. podkreśla potrzebę ujęcia przetwarzania danych przez instytucje i organy Unii Europejskiej, uregulowanego na mocy rozporządzenia (WE) nr 45/2001, w zakresie nowych ram;

8. uznaje, że może zaistnieć potrzeba zastosowania dodatkowych i ulepszonych środków w celu określenia, w jaki sposób ogólne zasady określone wszechstronnymi ramami mają zastosowanie do działań i przetwarzania danych w konkretnych sektorach, tak jak miało to już miejsce w przypadku dyrektywy o prywatności elektronicznej, lecz nalega, by takie przepisy sektorowe w żadnym wypadku nie zmniejszały poziomu ochrony przewidzianej w prawodawstwie ramowym, lecz by określały szczegółowo wyjątkowe, konieczne, uzasadnione i ściśle dostosowane odstępstwa od ogólnych zasad dotyczących ochrony danych;

9. wzywa Komisję do zapewnienia, że obecny przegląd prawodawstwa UE z zakresu ochrony danych umożliwi:

– pełną harmonizację na najwyższym szczeblu zapewniającą pewność prawa oraz jednolity i wysoki standard ochrony jednostek w każdych okolicznościach,

– dalsze doprecyzowanie zasad dotyczących prawa właściwego w celu zapewnienia jednolitego poziomu ochrony jednostkom niezależnie od geograficznej lokalizacji administratora danych, również wtedy, gdy konieczne jest egzekwowanie zasad ochrony danych przez władze bądź na drodze sądowej;

10. jest zdania, że zmieniony system ochrony danych, przy jednoczesnym pełnym egzekwowaniu praw do prywatności i ochrony danych, powinien ograniczyć do minimum obciążenie biurokratyczne i finansowe oraz zaoferować instrumenty, które umożliwiają funkcjonowanie jako przedsiębiorców w związkach postrzeganych jako całość, a nie jako różnego rodzaju przedsiębiorstwa jednoosobowe; zachęca Komisję do przeprowadzenia ocen wpływu i dokonania szczegółowej oceny kosztów związanych z przedsięwzięciem nowych środków;

Wzmocnienie praw jednostki

11. wzywa Komisję do wzmocnienia obowiązujących zasad i założeń, takich jak

przejrzystość, minimalizacja danych i celowość, świadoma, uprzednia i wyraźna zgoda, zawiadamianie o naruszeniu ochrony danych oraz prawa przysługujące osobom, których dane dotyczą, jak określono w dyrektywie 95/46/WE, przez co poprawi się ich

wprowadzenie w życie w państwach członkowskich, w szczególności w odniesieniu do

„globalnego środowiska internetowego”;

RR\871487PL.doc 9/37 PE460.636v02-00

PL

12. podkreśla fakt, że zgodę należy uznać za ważną wyłącznie wówczas, gdy jest

jednoznaczna, świadoma, udzielona dobrowolnie, konkretna i wyraźna, oraz to, że należy wprowadzić w życie odpowiednie mechanizmy rejestracji zgody użytkowników lub jej cofnięcia;

13. zwraca uwagę na to, że dobrowolna zgoda nie może być wydawana w odniesieniu do umów o pracę;

14. wyraża zaniepokojenie w odniesieniu do nadużyć związanych z internetową reklamą behawioralną i przypomina, że dyrektywa w sprawie prywatności i łączności

elektronicznej nakłada obowiązek wyraźnego i uprzedniego przyzwolenia osoby, której to dotyczy, na przesyłanie jej plików typu cookie oraz obserwowanie jej późniejszego zachowania w sieci w celu przesyłania jej spersonalizowanych ogłoszeń;

15. całkowicie popiera wprowadzenie w życie ogólnej zasady przejrzystości, a także wykorzystywanie technologii zwiększających przejrzystość oraz opracowywanie standardowych oświadczeń o ochronie prywatności, umożliwiających jednostkom sprawowanie kontroli nad danymi, które ich dotyczą; podkreśla, że informacja dotycząca przetwarzania danych musi być dostępna w jasnym i prostym języku oraz w sposób łatwo zrozumiały i dostępny.

16. podkreśla też znaczenie poprawy środków egzekwowania i świadomości prawa dostępu do danych, ich prostowania, likwidacji oraz zablokowania, a także znaczenie

szczegółowego wyjaśnienia i skodyfikowania „prawa do zostania zapomnianym”¹ oraz umożliwienia przenoszalności danych², przy jednoczesnym zapewnieniu pełnego

rozwoju i wdrożenia możliwości technicznych i organizacyjnych na potrzeby wykonania tych praw; podkreśla, że jednostki muszą mieć wystarczającą kontrolę nad swymi danymi online, by móc w odpowiedzialny sposób korzystać z internetu;

17. podkreśla, że obywatele muszą być w stanie bezpłatnie korzystać ze swych praw do danych; wzywa przedsiębiorstwa do powstrzymania się od wszelkich prób stawiania zbytecznych przeszkód w korzystaniu z prawa do dostępu, zmiany lub usuwania danych osobowych; podkreśla, że osoba, której dane dotyczą, musi w każdym momencie móc dowiedzieć się, które dane są przechowywane przez kogo, kiedy, w jakim celu, na jaki okres oraz w jaki sposób są one przetwarzane; podkreśla, że osoby, których dane dotyczą, muszą mieć możliwość likwidacji danych, ich zmiany lub zablokowania w sposób

niebiurokratyczny oraz że muszą być poinformowane o każdym przypadku

niewłaściwego wykorzystania danych lub ich naruszenia; domaga się również, aby dane musiały być ujawniane na żądanie zainteresowanej osoby oraz usuwane najpóźniej z chwilą, gdy osoba ta o to wystąpi; podkreśla konieczność jasnego komunikowania osobom, których dotyczą dane, poziomu ochrony danych w krajach trzecich; podkreśla, że prawo dostępu obejmuje nie tylko pełny dostęp do przetworzonych danych

dotyczących własnej osoby, łącznie ze źródłem tych danych i ich odbiorcami, lecz

1 Należy w sposób jasny i precyzyjny określić wszystkie istotne elementy tego prawa.

2 Przenoszenie danych osobowych ułatwi sprawne funkcjonowanie zarówno rynku wewnętrznego, jak i internetu i jego charakterystycznej otwartości i interoperacyjności.

PE460.636v02-00 10/37 RR\871487PL.doc

PL

również zrozumiałe informacje na temat logicznego udziału we wszelkich procesach automatycznego przetwarzania danych; podkreśla, że przetwarzanie automatyczne będzie stawało się coraz to ważniejsze w związku z profilowaniem i eksploracją danych;

18. zwraca uwagę, że tworzenie profili to jedna z głównych tendencji w świecie cyfrowym, ze względu na rosnące znaczenie sieci społecznościowych oraz zintegrowanych modeli przedsiębiorstw internetowych; wzywa zatem Komisję do włączenia przepisów

dotyczących tworzenia profili, a także do jasnego zdefiniowania pojęć „profilu”

i „tworzenia profilu”;

19. podkreśla potrzebę zwiększenia obowiązków administratorów danych związanych z udzielaniem informacji osobom, których dane dotyczą, i przychylnie odnosi się do faktu, że w komunikacie skupiono się na działaniach uświadamiających skierowanych do ogółu społeczeństwa, a konkretniej do młodych ludzi; podkreśla konieczność

szczególnego traktowania osób podatnych na zagrożenia, zwłaszcza dzieci i osób starszych; zachęca różne strony do podejmowania takich działań uświadamiających i popiera wniosek Komisji dotyczący współfinansowania z budżetu Unii środków

uświadamiających dotyczących ochrony danych; proponuje skuteczne rozpowszechnianie na szczeblu państw członkowskich informacji na temat praw i obowiązków osób

fizycznych i przedsiębiorstw w zakresie zbierania, przetwarzania, przechowywania i przesyłania danych osobowych;

20. przypomina o konieczności zapewnienia specjalnej ochrony osobom znajdującym się w trudnej sytuacji, a w szczególności dzieciom, między innymi poprzez zapewnienie wysokiego poziomu ochrony danych jako standardowego wymogu oraz wprowadzenie właściwych dostosowanych środków w celu ochrony ich danych osobowych;

21. podkreśla potrzebę opracowania takiego prawodawstwa z zakresu ochrony danych, które uwzględniałoby szczególną potrzebę ochrony dzieci i małoletnich oraz podkreśla, że umiejętność korzystania z mediów musi stać się elementem edukacji formalnej, tak aby nauczyć dzieci i małoletnich odpowiedzialnego funkcjonowania w środowisku

internetowym; w tym celu należy zwrócić szczególną uwagę na przepisy odnoszące się do gromadzenia i dalszego przetwarzania danych dzieci, wzmocnienie zasady celowości w odniesieniu do danych dzieci oraz sposobów pozyskiwania zgody dzieci, a także na ochronę przed reklamą behawioralną¹;

22. popiera dalsze wyjaśnienia i wzmocnienie gwarancji dotyczących przetwarzania danych szczególnie chronionych i wzywa do zastanowienia się nad potrzebą uwzględnienia nowych kategorii, takich jak dane genetyczne i biometryczne, zwłaszcza w kontekście zmian technologicznych (np. „przetwarzanie w chmurze”) i społecznych;

23. podkreśla, że dane osobowe dotyczące sytuacji zawodowej użytkownika, w których posiadaniu jest pracodawca, nie mogą być ujawniane ani przekazywane osobom trzecim bez uprzedniej zgody zainteresowanego;

1 Można rozważyć kwestię limitu wiekowego dla dzieci, poniżej którego konieczne jest uzyskanie zgody rodzica, oraz mechanizmy sprawdzania wieku.

RR\871487PL.doc 11/37 PE460.636v02-00

PL

Zwiększenie wymiaru związanego z rynkiem wewnętrznym oraz skuteczniejsze egzekwowanie przepisów o ochronie danych

24. zauważa, że ochrona danych na rynku wewnętrznym powinna odgrywać coraz większą rolę i podkreśla, że skuteczna ochrona prawa do prywatności ma podstawowe znaczenie dla pozyskania zaufania konsumentów, które jest konieczne, by został uwolniony pełen potencjał wzrostu jednolitego rynku cyfrowego; przypomina Komisji, że warunkiem wstępnym osiągnięcia jednolitego rynku cyfrowego jest konieczność przyjęcia

wspólnych zasad i przepisów tak dla towarów, jak i usług, gdyż usługi stanowią ważny składnik rynku cyfrowego;

25. ponownie wzywa Komisję do wyjaśnienia przepisów dotyczących prawa właściwego w dziedzinie ochrony danych osobowych;

26. uważa, że podstawową sprawą jest wzmocnienie obowiązków administratorów danych w celu zapewnienia zgodności z prawodawstwem w dziedzinie ochrony danych poprzez zastosowanie między innymi proaktywnych mechanizmów i procedur, i z zadowoleniem przyjmuje inne wytyczne zasugerowane w komunikacie Komisji;

27. przypomina, że w tym kontekście szczególną uwagę należy poświęcić administratorom danych, na których ciąży obowiązek zachowania tajemnicy zawodowej, oraz że w ich przypadku należy zastanowić się nad opracowaniem specjalnych struktur służących kontroli ochrony danych;

28. z zadowoleniem przyjmuje i popiera rozważania Komisji dotyczące wprowadzenia zasady odpowiedzialności, ponieważ ma ona kluczowe znaczenie dla zapewnienia odpowiedzialnego postępowania administratorów danych; jednocześnie wzywa Komisję do szczegółowego zbadania sposobów praktycznego wdrożenia tego typu zasady i oceny jej skutków;

29. przychylnie odnosi się do możliwości obowiązkowego mianowania inspektora ochrony danych w każdej organizacji, ponieważ z doświadczeń tych państw członkowskich UE, które już wyznaczyły inspektora ochrony danych, wynika, że koncepcja ta sprawdza się w praktyce; wskazuje jednak, że musi to podlegać ostrożnej ocenie w przypadku małych przedsiębiorstw i mikroprzedsiębiorstw w celu uniknięcia nakładania na te

przedsiębiorstwa nadmiernych kosztów bądź obciążeń;

30. w tym kontekście również przychylnie odnosi się do starań na rzecz uproszczenia i ujednolicenia obecnego systemu powiadamiania;

31. za bardzo istotne uważa wprowadzenie obowiązku dokonywania ocen wpływu na prywatność w celu zidentyfikowania zagrożeń prywatności, przewidywania problemów i znajdowania proaktywnych rozwiązań;

32. uważa, że kwestią najwyższej wagi jest egzekwowalność praw przysługujących osobom, których dane dotyczą; odnotowuje, że można by wprowadzić procesy z powództwa zbiorowego jako narzędzia, dzięki którym osoby prywatne broniłyby zbiorowo swych praw w zakresie danych i dochodziły zwrotu odszkodowań z tytułu naruszenia ochrony danych osobowych; zauważa jednak, że wszelkie takie wprowadzenie zawsze musi podlegać ograniczeniom uniemożliwiającym ich nadużywanie; wzywa Komisję do

PE460.636v02-00 12/37 RR\871487PL.doc

PL

sprecyzowania związku między wspomnianym komunikatem o ochronie danych a obecnie prowadzonymi publicznymi konsultacjami w sprawie roszczeń zbiorowych;

wzywa w tym kontekście do opracowania mechanizmu dochodzenia roszczeń

zbiorowych w związku z naruszaniem przepisów o ochronie danych w celu umożliwienia osobom, których dane dotyczą, uzyskania odszkodowania za poniesione szkody;

33. podkreśla konieczność właściwego i jednolitego stosowania przepisów w całej UE;

wzywa Komisję do przewidzenia w swoim wniosku ustawodawczym surowych i odstraszających sankcji za niewłaściwe wykorzystanie i nadużywanie danych osobowych, w tym sankcji karnych;

34. zachęca Komisję do wprowadzenia ogólnego systemu obowiązkowego zawiadamiania o naruszeniu ochrony danych osobowych oraz objęcia nim, oprócz sektora

telekomunikacyjnego, również innych sektorów, przy jednoczesnym zapewnieniu, że (a) system ten nie stanie się rutynowym ostrzeżeniem przed wszelkiego rodzaju

naruszeniami, lecz dotyczyć będzie przede wszystkich takich naruszeń, które mogą wywrzeć negatywny wpływ na jednostki, oraz że (b) wszystkie naruszenia – bez wyjątku – będą rejestrowane i udostępniane organom ochrony danych lub innym właściwym organom na potrzeby i kontroli i oceny, przez co zapewnione zostaną równe szanse i jednolita ochrona dla wszystkich obywateli;

35. jest zdania, że koncepcje poszanowania prywatności od samego początku (ang. „privacy by design”) oraz prywatności jako opcji domyślnej (ang. „privacy by default”) stanowią wzmocnienie systemu ochrony danych oraz popiera rozważenie ich praktycznego zastosowania i dalszego rozwijania, jak i uznanie za fakt konieczności wspierania stosowania technologii podnoszących poziom ochrony prywatności; podkreśla, jak konieczne jest, by każde wdrożenie prywatności od samego początku („privacy by design”) opierało się na porządnym i konkretnym kryterium oraz definicjach w celu ochrony prawa użytkowników do prywatności i ochrony danych oraz zapewnienia pewności prawnej, przejrzystości, równych szans i swobodnego przepływu; uważa, że

„poszanowanie prywatności od etapu koncepcji” powinno się opierać na zasadzie minimalizacji danych, rozumiejąc przez to, że wszystkie produkty, usługi i systemy powinny być tworzone w taki sposób, by gromadzono, wykorzystywano i przekazywano wyłącznie dane osobowe absolutnie konieczne do ich funkcjonowania;

36. zauważa, że rozwój i szersze stosowanie obliczania rozproszonego (ang. „cloud computing”) stawia przed nami nowe wyzwania w zakresie prywatności i ochrony danych osobowych; w związku z tym apeluje o jasne przedstawienie możliwości administratorów danych i przetwarzających dane oraz hostów, aby lepiej podzielić między nich spoczywające na nich zobowiązania prawne oraz aby zapewnić, że osoby, których dotyczą dane, wiedziały gdzie są one przechowywane, kto ma do nich dostęp, kto decyduje o sposobie ich wykorzystania oraz o istniejących systemach tworzenia

zapasowych kopii danych i ich odzyskiwania;

37. wzywa zatem Komisję, aby podczas przeglądu dyrektywy 95/46/WE należycie uwzględniła kwestie ochrony prywatności dotyczące obliczania rozproszonego oraz zapewniła, że przepisy dotyczące ochrony danych będą miały zastosowanie do

wszystkich zainteresowanych stron, w tym operatorów sieci telekomunikacji i nie tylko;

38. apeluje do Komisji, by zagwarantowała większe poczucie odpowiedzialności

RR\871487PL.doc 13/37 PE460.636v02-00

PL

użytkowników internetu za kwestię danych osobowych i nalega w szczególności, aby agencje reklamowe i wydawcy wyraźnie informowali internautów, przed gromadzeniem dotyczących ich danych, o zamiarze zgromadzenia tych informacji;

39. z zadowoleniem przyjmuje nowo podpisane porozumienie w sprawie ram oceny

oddziaływania ochrony prywatności i danych dla zastosowań związanych z identyfikacją radiową (RFID), które dąży do zapewnienia konsumentom prywatności, zanim na rynku zostaną wprowadzone identyfikatory RFID;

40. popiera starania na rzecz dalszego rozwijania inicjatyw samoregulacyjnych – takich jak kodeksy postępowania – i opowiada się za zastanowieniem się nad ustanowieniem

dobrowolnych systemów certyfikacji na szczeblu UE jako działań uzupełniających środki legislacyjne, przy jednoczesnym zapewnieniu, że system ochrony danych na szczeblu UE nadal będzie opierał się na przepisach określających gwarancje na wysokim poziomie;

zwraca się do Komisji, aby przeprowadziła ocenę wpływu inicjatyw samoregulacyjnych jako narzędzi umożliwiających lepsze egzekwowanie przepisów o ochronie danych;

41. uważa, że wszelka certyfikacja czy też program stosowania marki ochrony musi być spójny i wiarygodny, neutralny pod względem technologicznym, uznawany na całym świecie i przystępny cenowo, aby nie tworzyć barier blokujących udział;

42. popiera dalsze wyjaśnienie, wzmocnienie i ujednolicenie statusu i uprawnień krajowych organów ochrony danych, jak i badanie sposobów zapewnienia bardziej jednolitego stosowania unijnych zasad ochrony danych na całym rynku wewnętrznym; podkreśla też znaczenie zapewnienia spójności między uprawnieniami EIOD, krajowych organów odpowiedzialnych za ochronę danych oraz grupy roboczej utworzonej na mocy art. 29;

43. podkreśla, że w tym kontekście należy wzmocnić rolę i kompetencje grupy roboczej art.

29 w celu poprawy koordynacji i współpracy pomiędzy organami ochrony danych funkcjonującymi w państwach członkowskich, zwłaszcza w odniesieniu do potrzeby zapewnienia jednolitego stosowania przepisów o ochronie danych;

44. wzywa Komisję do wyjaśnienia w nowych ramach prawnych kluczowego pojęcia niezależności krajowych organów ochrony danych w kontekście braku jakichkolwiek wpływów zewnętrznych¹; podkreśla, że krajowym organom ochrony danych należy dać konieczne zasoby oraz nadać im jednolite kompetencje do prowadzenia dochodzeń i nakładania sankcji;

Wzmocnienie całościowego podejścia do ochrony danych

45. wzywa Komisję do udoskonalenia i wzmocnienia bieżących procedur

międzynarodowego przekazywania danych – prawnie wiążących umów i wiążących reguł korporacyjnych – oraz określenia, na podstawie wyżej wymienionych zasad ochrony danych osobowych, zasadniczych ambitnych aspektów unijnej ochrony danych, do wykorzystania w umowach międzynarodowych; podkreśla, że porozumienia UE z państwami trzecimi w zakresie wymiany danych osobowych muszą zapewniać

obywatelom Unii Europejskiej taki sam poziom ochrony danych osobowych jak w Unii Europejskiej;

1 Zgodnie z art. 16 TFUE i art. 8 Karty.

PE460.636v02-00 14/37 RR\871487PL.doc

PL

46. jest zdania, że procedura badania adekwatności przez Komisję zyskałaby na dalszym uszczegółowieniu, ściślejszym wdrożeniu, egzekwowaniu i monitorowaniu oraz że należy lepiej sprecyzować kryteria i wymogi w zakresie oceny poziomu ochrony danych w kraju trzecim lub organizacji międzynarodowej z uwzględnieniem nowych zagrożeń prywatności i danych osobowych;

47. wzywa Komisję do dokonania szczegółowej oceny skuteczności i prawidłowego stosowania zasad bezpiecznego transferu danych osobowych;

48. z zadowoleniem przyjmuje stanowisko Komisji w sprawie wzajemności w poziomie ochrony danych osób, których dane są eksportowane do krajów trzecich lub w nich przechowywane; wzywa Komisję do podjęcia decydujących kroków w kierunku zacieśnienia współpracy regulacyjnej z krajami trzecimi z myślą o wyjaśnieniu prawa właściwego i spójności ustawodawstwa UE i krajów trzecich w zakresie ochrony danych;

wzywa Komisję do priorytetowego potraktowania tego zagadnienia w ramach ponownie wznowionej Transatlantyckiej Rady Gospodarczej;

49. popiera starania Komisji dotyczące zacieśnienia współpracy z krajami trzecimi i organizacjami międzynarodowymi, w tym ONZ, Radą Europy i OECD, jak i innymi organizacjami normalizacyjnymi, takimi jak Europejski Komitet Normalizacyjny (CEN), Międzynarodowa Organizacja Normalizacyjna (ISO), konsorcjum World Wide Web (W3C) i grupa zadaniowa ds. inżynierii internetowej (IETF); zachęca do rozwijania międzynarodowych standardów¹ przy jednoczesnym zapewnieniu spójności między inicjatywami na rzecz standardów międzynarodowych a obecnymi przeglądami w UE, OECD i Radzie Europy;

50. zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Radzie i Komisji.

1Por. deklaracja madrycka: ogólnoświatowe standardy w globalnym świecie, październik 2009 r. oraz rezolucja w sprawie standardów międzynarodowych przyjęta przez XXXII Międzynarodową Konferencję Rzeczników Ochrony Danych Osobowych i Prywatności, Jerozolima, 27-29 października 2010 r.

RR\871487PL.doc 15/37 PE460.636v02-00

PL

11.5.2011

OPINIA KOMISJI PRZEMYSŁU, BADAŃ NAUKOWYCH I ENERGII

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej

(2011/2025(INI))

Sprawozdawca komisji opiniodawczej: Giles Chichester

WSKAZÓWKI

Komisja Przemysłu, Badań Naukowych i Energii zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, właściwej dla tej sprawy, o uwzględnienie w końcowym tekście projektu rezolucji następujących wskazówek:

1. Podkreśla, że skuteczna ochrona prawa do prywatności ma podstawowe znaczenie dla zagwarantowania zaufania konsumentów, które jest wymagane, aby został uwolniony pełen potencjał wzrostu jednolitego rynku cyfrowego;

2. uważa, że jednolity rynek cyfrowy wymaga koordynowanego na poziomie europejskim wspólnego systemu ochrony prywatności, aby zachęcać do handlu transgranicznego i niknąć zniekształceń rynku; podkreśla, że zapewnienie ochrony danym gospodarczym wymagającym jej szczególnie (np. numerów kart kredytowych, adresów) ma kluczowe znaczenie dla wiarygodności i konsumpcji w środowisku cyfrowym;

3. przypomina Komisji, że warunkiem wstępnym osiągnięcia jednolitego rynku cyfrowego jest konieczność przyjęcia wspólnych zasad i przepisów tak dla towarów, jak i usług, gdyż usługi stanowią ważny składnik rynku cyfrowego;

4. podkreśla, że przy każdym wniosku Komisja musi rozważyć wszystkie aspekty ochrony danych, w tym potwierdzoną konieczność, pewność prawną, zmniejszanie obciążeń administracyjnych, zachowywanie równych szans dla przedsiębiorców, wykonalność, koszt i prawdopodobną wartość;

5. uznaje, że dyrektywa w sprawie ochrony danych (95/46/WE) doprowadziła do fragmentaryzacji ram prawnych z uwagi na różne podejścia przyjmowane przy ich

PE460.636v02-00 16/37 RR\871487PL.doc

PL

wdrażaniu i egzekwowaniu w państwach członkowskich oraz że nowy postęp

technologiczny przyczynił się do pojawienia się nowych wyzwań w zakresie ochrony danych; zgadza się zatem, że potrzeba przyjęcia nowych ram prawnych została zweryfikowana;

6. przypomina Komisji, że trzeba kompleksowo ocenić skutki rozszerzenia kategorii danych szczególnie chronionych; twierdzi, że ostrzejsze zasady dotyczące obchodzenia się z danymi szczególnie chronionymi nie powinny wymagać licznych nowych zezwoleń prawnych, aby zachować konieczne i pożądane aplikacje służące przetwarzaniu danych, oraz, że listę danych szczególnie chronionych powinno się poszerzyć wyłącznie po to, by włączyć do niej wszystkie te dane, które są szczególnie chronione w (niemalże)

wszystkich możliwych sytuacjach przetwarzania danych, jak np. dane genetyczne;

7. wzywa Komisję do zmiany dyrektywy 95/46/WE nie tylko celem włączenia

dodatkowych kategorii danych (np. dane genetyczne), lecz także celem uwzględnienia przyszłego rozwój „nowych danych”, oraz do przeprowadzenia gruntownego przeglądu dyrektywy w tym zakresie;

8. przypomina Komisji, że nie wszyscy administratorzy danych są przedsiębiorstwami internetowymi; wzywa Komisję do zapewnienia, że nowe przepisy ochrony danych będą miały zastosowanie zarówno do środowiska on-line, jak i off-line;

9. wzywa Komisję do dalszego regulowania gromadzenia, sprzedaży i nabywania danych osobowych poprzez włączenie tego aspektu w zakres jakichkolwiek nowych przepisów dotyczących ochrony danych; podkreśla, że takie dane nie są wykorzystywane jedynie w usługach online, ale również w marketingu bezpośrednim prowadzonym drogą pocztową;

10. zachęca Komisję, by przy zachowaniu wysokiego poziomu ochrony danych,

przeprowadziła dokładną analizę wpływu na MŚP celem upewnienia się, że znajdują się w niekorzystnej sytuacji, czy to z powodu zbędnych obciążeń administracyjnych, wielokrotnych wymogów powiadamiania zagrażających ich działalności transgranicznej lub biurokracji; uwa

11. uważa, że dokonując przeglądu ram prawnych należy zapewnić elastyczność wymaganą dla nowych ram prawnych, by możliwe było zaspokojenie potrzeb w przyszłości, w miarę rozwoju technologii; zachęca Komisję do przeprowadzenia oceny wszelkich nowych postanowień zgodnie z zasadą proporcjonalności oraz do zapewnienia, że nie stawiają one barier handlowych, nie łamią prawa do rzetelnego procesu, czy nie

prowadzą do nieuczciwej konkurencji; podkreśla, że nowe zasady muszą być ułożone tak, by chroniły prawa osób, których dotyczą dane, by były niezbędne do osiągnięcia tego celu oraz wystarczająco jasne, by zapewnić pewność prawa i umożliwić uczciwą konkurencję;

12. zwaraca uwagę, że tworzenie profili to jedna z głównych tendencji w świecie cyfrowym, ze względu na rosnące znaczenie sieci społecznościowych oraz zintegrowanych modeli przedsiębiorstw internetowych; wzywa zatem Komisję do włączenia przepisów

dotyczących tworzenia profili, a także do jasnego zdefiniowania pojęć „profilu”

i “tworzenia profilu”;

RR\871487PL.doc 17/37 PE460.636v02-00

PL

13. przypomina Komisji, że konieczne jest precyzyjne sformułowanie definicji pojęcia

„prawo do bycia zapomnianym”, która jasno opisałaby wymogi oraz określiła, od kogo można egzekwować stosowanie tego prawa;

14. podkreśla, że obywatele muszą być w stanie bezpłatnie korzystać ze swych praw do danych, bez ponoszenia kosztów pocztowych ani innych; wzywa przedsiębiorstwa do powstrzymania się od wszelkich prób stawiania zbytecznych przeszkód w korzystaniu z prawa do przeglądu, zmiany lub usuwania danych osobowych;

15. wzywa Komisję do zapewnienia użytkownikom sieci społecznościowych możliwości pełnego wglądu w dotyczące ich dane, przy czym nie może to wymagać

nieuzasadnionych nakładów z ich strony;

16. wzywa Komisję, by ułatwiła możliwości przenoszenia danych w Internecie, jednocześnie uwzględniając modele biznesowe dostawców usług, istniejące systemy techniczne

i prawowite interesy zainteresowanych stron; podkreśla, że użytkownicy muszą mieć wystarczającą kontrolę nad swymi danymi online, by móc w pełny i odpowiedzialny sposób korzystać z Internetu;

17. uważa, że wszelka certyfikacja czy też program stosowania marki ochrony mogłyby opierać się na pewnym modelu, jak wspólnotowy system eko-zarządzania i audytu oraz że należy w każdym przypadku upewnić się, że są one spójne i wiarygodne; apeluje, by jakikolwiek podobny system obejmował indywidualne kody seryjne widoczne na świadectwach i sprawdzalne w centralnej publicznej bazie danych;

18. wzywa Komisję, by zachęcała do nasilania inicjatyw samoregulacji, do osobistej odpowiedzialności i prawa do kontrolowania własnych danych, w szczególności odnośnie do Internetu;

19. z zadowoleniem przyjmuje nowo podpisane porozumienie w sprawie ram oceny

oddziaływania ochrony prywatności i danych dla zastosowań związanych z identyfikacją radiową (RFID), które dąży do zapewnienia konsumentom prywatności, zanim na rynku zostaną wprowadzone identyfikatory RFID;

20. zachęca wszystkie zaangażowane organy do współpracy celem osiągnięcia wspólnej normy określającej, kiedy można uznać, że osoba udzieliła zgody, oraz do przyjęcia wspólnego „wieku uprawniającego do udzielenia zgody” na wykorzystanie

i przekazywanie danych;

21. z zadowoleniem przyjmuje fakt, że Komisja rozważa poszanowanie prywatności od samego początku, i zaleca, aby wszelkie stosowanie tej metody opierało się o istniejący UE model nowego podejścia i nowych ram prawnych w odniesieniu do towarów w celu zapewnienia swobodnego przepływu towarów i usług, zgodnie z ujednoliconymi

wymogami ochrony prywatności i danych; podkreśla konieczność, by każde jej wdrożenie opierało się na porządnym i konkretnym kryterium oraz definicjach w celu

zagwarantowania użytkownikom prawa do prywatności i ochrony danych, pewności prawnej, przejrzystości, równych szans i swobodnego przepływu; uważa, że

„poszanowanie prywatności od etapu koncepcji” powinno się opierać na zasadzie minimalizacji danych, rozumiejąc przez to, że wszystkie produkty, usługi i systemy powinny być tworzone w taki sposób, by gromadzono, wykorzystywano i przekazywano

PE460.636v02-00 18/37 RR\871487PL.doc

PL

wyłącznie dane osobowe absolutnie konieczne do ich funkcjonowania;

22. podkreśla konieczność właściwego i jednolitego stosowania w całej UE; zaleca, by Komisja dokonała przeglądu rodzajów sankcji, jakimi dysponują władze w przypadku udowodnionego naruszenia, biorąc pod uwagę możliwość nakładania odpowiednich sankcji dyscyplinarnych, w celu unikania dalszych naruszeń;

23. odnotowuje, że można by wprowadzić procesy z powództwa zbiorowego jako narzędzia, dzięki którym osoby prywatne broniłyby zbiorowo swych praw w zakresie danych i dochodziły zwrotu odszkodowań z tytułu naruszenia ochrony danych osobowych;

zauważa jednak, że wszelkie takie wprowadzenie zawsze musi podlegać ograniczeniom uniemożliwiającym ich nadużywania; wzywa Komisję do sprecyzowania związku między wspomnianym komunikatem o ochronie danych a obecnie prowadzonymi publicznymi konsultacjami w sprawie roszczeń zbiorowych;

24. podkreśla, że państwa członkowskie powinny nadać większe uprawnienia krajowym organom sądowniczym i organom ochrony danych do sankcjonowania przedsiębiorstw za naruszenia ochrony danych lub niestosowanie przepisów dotyczących ochrony danych;

25. zachęca Komisję do wyjaśnienia i uzasadnienia istniejących zasad dotyczących przydatności, konieczność, skuteczności, jasności, wykonalności, a także uprawnień, kompetencji oraz działań w zakresie egzekwowania prawa przez władze, by

zagwarantować, że istnieją jedne całościowe i jednolite ramy ochrony danych w UE, zapewniające wysoki i jednakowy poziom ochrony, nie zależnie od rodzaju

przetwarzanych danych; wzywa, by zmienione przepisy były stosowane i wdrażane w całej UE, jak również na arenie międzynarodowej tak, żeby dane osobowe na stałe pozostały objęte prawodawstwem UE, niezależnie od transferu tych danych lub położenia administratora danych lub przetwarzającego, ułatwiając tym samym działalność

transgraniczną bez ryzyka uszczerbku dla ochrony danych osobowych osób, których dotyczą;

26. uważa, że wszystkie przypadki przekazywania danych osobowych powinny podlegać wymogom identyfikacji (jeśli chodzi o pochodzenie i miejsce przeznaczenia) oraz, że informacje te powinny być udostępniane zainteresowanym osobom; podkreśla, że jeżeli dana osoba pragnie zmienić dane osobowe przechowywane przez administratora, jako właściciel danych powinna mieć możliwość przekazania swojego wniosku do

pierwotnego źródła danych, jak i do jakiegokolwiek administratora, któremu dane te były udostępnione;

27. wzywa Komisję do sprecyzowania prawnej odpowiedzialności administratorów danych osobowych; podkreśla, że należy jasno określić, czy odpowiedzialny jest pierwszy czy ostatni znany administrator danych lub czy administratorzy podlegają wspólnej

rozliczalności;

28. wzywa Komisję do promowania standardów UE w zakresie ochrony danych osobowych na wszystkich forach międzynarodowych i we wszystkich porozumieniach; w tym kontekście zwraca uwagę na swoją prośbę do Komisji o przedstawienie wniosku w sprawie rozszerzenia zakresu rozporządzenia Parlamentu Europejskiego i Rady dotyczącego prawa właściwego dla zobowiązań pozaumownych celem włączenia naruszenia ochrony danych i prywatności, oraz do Rady o wyrażenie zgody o podjęcie

RR\871487PL.doc 19/37 PE460.636v02-00

PL

negocjacji w sprawie podpisania umowy międzynarodowej, która umożliwiłaby

obywatelom skuteczne dochodzenie swych praw w przypadku naruszenia ich prawa do ochrony danych oraz prywatności zgodnie z prawem UE;

29. podkreśla, że zasady dotyczące zawiadomień o bezpieczeństwie i naruszeniu ochrony danych osobowych ustanowione w zmienionych ramach prawnych dotyczących telekomunikacji muszą znaleźć odbicie w każdym ogólnym narzędziu służącym zabezpieczaniu równych szans i jednolitej ochrony dla wszystkich obywateli.

PE460.636v02-00 20/37 RR\871487PL.doc

PL

WYNIK GŁOSOWANIA KOŃCOWEGO W KOMISJI

Data przyjęcia 9.5.2011

Wynik głosowania końcowego +:

–:

0:

32 0 4 Posłowie obecni podczas głosowania

końcowego Ivo Belet, Bendt Bendtsen, Maria Da Graça Carvalho, Giles

Chichester, Pilar del Castillo Vera, Lena Ek, Ioan Enciu, Adam Gierek, Norbert Glante, Fiona Hall, Romana Jordan Cizelj, Krišjānis Kariņš, Lena Kolarska-Bobińska, Bogdan Kazimierz Marcinkiewicz, Marisa Matias, Jaroslav Paška, Herbert Reul, Amalia Sartori, Britta Thomsen, Evžen Tošenovský, Ioannis A. Tsoukalas, Niki Tzavela, Marita Ulvskog, Kathleen Van Brempt, Henri Weber

Zastępca(y) obecny(i) podczas głosowania końcowego

Matthias Groote, Françoise Grossetête, Satu Hassi, Jolanta Emilia Hibner, Yannick Jadot, Oriol Junqueras Vies, Silvana Koch-Mehrin, Vladko Todorov Panayotov, Markus Pieper, Algirdas Saudargas Zastępca(y) (art. 187 ust. 2) obecny(i)

podczas głosowania końcowego Alexandra Thein

RR\871487PL.doc 21/37 PE460.636v02-00

PL

14.4.2011

OPINIA KOMISJI RYNKU WEWNĘTRZNEGO I OCHRONY KONSUMENTÓW

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie całościowego podejścia do kwestii ochrony danych osobowych w Unii Europejskiej

(2011/2025(INI))

Sprawozdawca: Matteo Salvini

WSKAZÓWKI

Komisja Rynku Wewnętrznego i Ochrony Konsumentów zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, właściwej dla tej sprawy, o uwzględnienie w końcowym tekście projektu rezolucji następujących wskazówek:

A. mając na uwadze, że dyrektywa w sprawie ochrony danych 95/46/WE i dyrektywa

pakietu telekomunikacyjnego UE 2009/140/WE umożliwiają swobodny przepływ danych osobowych na rynku wewnętrznym;

B. mając na uwadze, że w internecie powstaje coraz więcej różnego rodzaju sieci społecznych i że przede wszystkim młodzi ludzie ujawniają przy tym swoje dane osobowe;

C. mając na uwadze, że podstawowe założenia dyrektywy 1995/46/WE są nadal aktualne, globalizacja i szybki rozwój technologiczny przyniosły nowe wyzwania w zakresie ochrony danych osobowych w wyniku zwiększonego uzależnienia od kompleksowych informatycznych narzędzi technologicznych stosowanych do przetwarzania danych oraz zwiększonej działalności w internecie, w tym również handlu elektronicznego, e-zdrowia, elektronicznej administracji, rosnącej popularności sieci społecznościowych, rozwoju internetowych reklam behawioralnych lub obliczania rozproszonego (ang. cloud computing);

D. mając na uwadze, że rosnąca wymiana indywidualnych danych osobowych w połączeniu z nowymi wynalazkami technologicznymi doprowadziły do zwiększonego gromadzenia, magazynowania i korzystania z danych osobowych, i spowodowały pojawienie się problemu z określeniem prawa właściwego i zdefiniowaniem obowiązków wszystkich zainteresowanych stron, jeśli chodzi o stosowanie unijnego ustawodawstwa w zakresie

PE460.636v02-00 22/37 RR\871487PL.doc

PL

ochrony danych (np. firma w posiadaniu danych osobowych obywateli UE, której siedziba znajduje się poza UE i która zleca wykonawstwo firmom, które także mają siedzibę poza UE);

E. mając na uwadze, że zmiana dyrektywy o ochronie danych 95/46/WE powinna polegać na kompleksowej reformie unijnych ram prawnych dotyczących ochrony danych, określając surowsze przepisy dotyczące gromadzenia danych, zwłaszcza jeśli chodzi o informowanie danej osoby o tym dlaczego, kto i jak długo gromadzi i wykorzystuje jej dane, i to zarówno w internecie, jak i poza nim;

F. mając na uwadze, że obywatele nie dokonują zakupów w internecie tak samo bezpiecznie jak poza nim, z powodu obaw o kradzież tożsamości i braku przejrzystości co do sposobu w jaki ich dane osobowe są przetwarzane i wykorzystywane;

G. mając na uwadze, że przedsiębiorstwa i sektor handlowy coraz częściej wykorzystują karty stałego klienta (np. karty do klubów, karty rabatowe lub lojalnościowe), które służą lub mogą służyć do tworzenia profili klientów;

H. mając na uwadze, że dane gromadzone za pośrednictwem kart stałego klienta są

wykorzystywane do tworzenia profili klientów, a ponadto mając na uwadze, że powstał rynek, na którym handluje się takimi danymi;

1. wzywa do wzmocnienia wymiaru ochrony danych na rynku wewnętrznym w internecie i poza nim poprzez pełne ujednolicenie ustawodawstw państw członkowskich, po gruntownej ocenie skutków i analogicznie do ram prawnych dotyczących

telekomunikacji, zgodnie z najwyższymi standardami ochrony danych w celu

zwiększenia pewności prawnej, zapewnienia spójnego poziomu ochrony prywatności, zredukowania obciążenia administracyjnego i kosztów, zapobiegania ryzyku wyboru sądu ze względu na możliwość korzystniejszego wyroku pomiędzy bardziej lub mniej surowymi ustawodawstwami krajowymi państw członkowskich i zagwarantowania równych szans wszystkim podmiotom gospodarczym i administratorom danych; uważa, że będzie to stymulować wspólny rynek cyfrowy i zredukuje nadmierne koszty

ponoszone przez przedsiębiorstwa, zwłaszcza przez MŚP;

2. uważa, że wdrożenie unijnych przepisów dotyczących ochrony danych w UE jest nadal nierównomierne i fragmentaryczne, co ma negatywny wpływ na podstawowe prawa i swobody obywateli w zakresie ochrony danych i prywatności, pewności prawnej i przejrzystości w stosunkach umownych, rozwoju handlu elektronicznego i e-biznesu, zaufania konsumentów do systemu, transakcji ponadgranicznych i zapewnienia

prawdziwie równych szans przedsiębiorstwom i MŚP w ramach wspólnego rynku;

3. stwierdza, że ochrona danych na rynku wewnętrznym musi odgrywać coraz większą rolę;

4. domaga się szybkiego opracowania na nowo istniejących ram prawnych UE dotyczących ochrony danych, szczególnie w kontekście rosnącego zagrożenia, jakie dla praw

indywidualnych stanowią nowe formy przetwarzania danych, jak choćby tworzenie profili lub niepożądany transfer danych;

5. apeluje zwłaszcza o dostosowanie przepisów o ochronie danych do podstawowych zasad zawartych w dyrektywie o prywatności i łączności elektronicznej we wszystkich

RR\871487PL.doc 23/37 PE460.636v02-00

PL

obszarach ochrony danych w celu unikania rozwiązań cząstkowych;

6. podkreśla zapotrzebowanie na funkcjonujący wspólny rynek odnośnie do spójnego, całościowego i skutecznego egzekwowania przepisów o ochronie danych, biorąc pod uwagę wpływ nowych technologii na prawa osób fizycznych, przejrzystość procedur i uzasadnione interesy zainteresowanych osób, przy jednoczesnym zagwarantowaniu możliwości przenoszenia danych osobowych w celu ułatwienia sprawnego

funkcjonowania zarówno rynku wewnętrznego, jak i internetu i jego charakterystycznej otwartości i interoperacyjności;

7. jest zdania, że wszelkie dane osobowe i informacje przekazywane pomiędzy różnymi wspólnymi punktami kontaktowymi i w ramach systemu wymiany informacji na rynku wewnętrznym (IMI) są przetwarzane, wykorzystywane i gromadzone tylko w zgodnych z prawem celach oraz że stosowane są niezbędne zabezpieczenia przed nadużyciami;

8. zwraca uwagę na znaczenie aktualizacji dyrektywy w miarę światowego postępu technologicznego;

9. uważa, że zasadniczo tworzenie profili powinno być dopuszczalne jedynie w oparciu o konkretne podstawy prawne lub o świadomą zgodę zainteresowanych osób, która powinna być dobrowolna i z której można się w każdej chwili wycofać;

10. zauważa, że rozwój i szersze stosowanie obliczania rozproszonego (ang. cloud

computing) stawia przed nami nowe wyzwania w zakresie prywatności i ochrony danych osobowych; w związku z tym apeluje o jasne przedstawienie możliwości administratorów danych i przetwarzających dane oraz hostów, aby lepiej podzielić między nich

spoczywające na nich zobowiązania prawne oraz aby osoby, których dotyczą dane, wiedziały gdzie są one przechowywane, kto ma do nich dostęp, kto decyduje o sposobie ich wykorzystania oraz o istniejących systemach tworzenia zapasowych kopii danych i ich odzyskiwania;

11. zwraca uwagę na konieczność działań edukacyjnych i służących pogłębianiu

świadomości oraz ukierunkowanych strategii komunikacyjnych w zakresie ochrony danych dla usługodawców, jak również obywateli i konsumentów; wzywa do podjęcia pilnych środków służących zapewnieniu, że obywatele będą odpowiednio poinformowani o swych prawach i obowiązkach, jeśli chodzi o wykorzystywanie ich danych osobowych, krótko- i długofalowe konsekwencje udostępniania pewnego typu danych, różne modele wyrażania zgody, możliwość przenoszenia danych, ochronę ich prywatności oraz

instrumenty, którymi dysponują, aby zapobiegać sytuacjom zagrażającym ich prawu do prywatności, takie jak tzw. prawo do bycia zapomnianym (a mianowicie prawo osób fizycznych do spowodowania zaprzestania dalszego gromadzenia, analizowania, przetwarzania czy wykorzystywania ich danych osobowych w jakikolwiek sposób oraz ich usunięcia, jeżeli przestały być potrzebne do przewidzianych prawem celów), w szczególności w środowisku internetowym;

12. wzywa Komisję do wzmocnienia, wyjaśnienia i ujednolicenia przepisów dotyczących dobrowolnej i świadomej zgody oraz do sprecyzowania warunków umów; domaga się, aby zasadniczo każda osoba musiała udzielić wcześniejszej zgody, zanim jej dane będzie można zebrać, ocenić, zapisać w formie profilu lub przekazać dalej; domaga się również, aby takie dane musiały być ujawniane na żądanie zainteresowanej osoby, a także

PE460.636v02-00 24/37 RR\871487PL.doc

PL

usuwane najpóźniej z chwilą, gdy osoba ta o to wystąpi; podkreśla konieczność jasnego komunikowania osobom, których dotyczą dane, poziomu adekwatności ochrony danych w krajach trzecich;

13. zwraca uwagę, że kwestie ochrony danych dotyczą zarówno konsumentów i przedsiębiorstw jak i pracowników; domaga się zatem uwzględnienia wysokich

standardów ochrony danych pracowników, aby ograniczać niestosowną kontrolę danych osobowych personelu;

14. wzywa Komisję do wyjaśnienia przepisów dotyczących prawa właściwego w dziedzinie ochrony danych osobowych, gdyż coraz trdniejsze staje się określenie obowiązków zainteresowanych stron z powodu globalizacji wymiany; podkreśla, że konieczne jest zagwarantowanie pewności prawnej administratorom danych i unikanie luk w ochronie danych osobowych, którą zapewnia dyrektywa 95/46/WE;

15. podkreśla, że osoby zainteresowane powinny mieć zawsze możliwość wpływu na

dotyczące ich działania gospodarcze; ponadto osoby zainteresowane muszą mieć zawsze możliwość korzystania z przysługującego im prawa do podejmowania niezależnych decyzji w oparciu o przekazane im dostateczne informacje;

16. zwraca uwagę Komisji na wysoce strategiczny charakter lokalizacji centrów danych i na potencjalne konsekwencje umieszczenia takiej lokalizacji poza terytorium UE;

17. z zadowoleniem przyjmuje propozycje Komisji w sprawie systemu obowiązkowego zawiadamiania o naruszeniu ochrony danych osobowych w dyrektywie o prywatności i łączności elektronicznej, które powinny ponadto być stosowane w sposób spójny we wszystkich obszarach, w których wymagana jest ochrona danych; domaga się przeglądu i uproszczenia obowiązującego systemu obowiązkowego zawiadamiania o przetwarzaniu danych osobowych poza sektor telekomunikacji z uwzględnieniem poważnych

przypadków łamania przepisów dotyczących ochrony, aby zagwarantować, że wymogi dotyczące przetwarzania danych nie obciążą nadmiernie administratorów danych i położyć kres zróżnicowaniu krajowych wymogów w tej dziedzinie; domaga się rozszerzenia systemu obowiązkowego zawiadamiania o naruszeniu ochrony danych osobowych poza sektor telekomunikacji na poważne przypadki łamania przepisów dotyczących ochrony danych, podkreślając znaczenie jednolitego systemu

powiadamiania o naruszeniach;

18. podkreśla, że prawo osób do podejmowania niezależnych decyzji musi być traktowane priorytetowo i że każda osoba ma prawo otrzymać bezpłatnie informacje dotyczące zgromadzonych na jej temat danych oraz prawo do ich usunięcia, zwłaszcza profili, tworzonych w celach komercyjnych;

19. podkreśla znaczenie, jakie dla przechowujących dane osobowe ma wyznaczenie jednego administratora odpowiedzialnego za ochronę danych o jasno określonych zadaniach;

uważa, że podmioty działające na wspólnym rynku powinny móc wyznaczyć administratora odpowiedzialnego za ochronę danych dla ich działań w UE;

20. wzywa Komisję, aby podczas przeglądu dyrektywy 95/46/WE należycie uwzględniła kwestie ochrony prywatności dotyczące obliczania rozproszonego oraz zapewniła, że przepisy dotyczące ochrony danych będą miały zastosowanie do wszystkich

RR\871487PL.doc 25/37 PE460.636v02-00

PL

interesariuszy, w tym operatorów sieci telekomunikacji i nie tylko, gwarantując jednocześnie rozwój obliczania rozproszonego;

21. podkreśla, że procedury dotyczące dostępu do danych osobowych muszą być wyraźnie i natychmiast dostępne obywatelom we wszystkich państwach członkowskich,

wspomagane siecią punktów kontaktowych i udostępniane w internecie; apeluje zwłaszcza o uproszczenie przepisów wykonawczych;

22. wzywa Komisję do zbadania możliwości dostępu, poprawiania i usuwania danych, a także korzystania z alternatywnych metod rozwiązywania sporów na rynku wewnętrznym, w szczególności w środowisku internetowym, oraz podkreśla, że konieczna jest odpowiednia polityka ścigania naruszeń;

23. zachęca do rozszerzenia zdolności władz krajowych do egzekwowania prawa, w tym wobec przedsiębiorstw spoza UE, których działalność jest ukierunkowana na

konsumentów w UE;

24. podkreśla konieczność propagowania wykorzystania technologii podnoszących poziom ochrony prywatności i stosowania zasady uwzględniania ochrony prywatności w fazie projektowania, aby zagwarantować, że kwestie związane z ochroną prywatności zostaną uwzględnione podczas przyszłych faz rozwoju technologicznego; wzywa Komisję do zachęcenia dostawców technologii do włączenia podstawowych zasad ochrony prywatności, w tym minimalizacji danych, przejrzystości i kontroli użytkowników podczas rozwoju i wdrażania technologii w celu zagwarantowania wysokiego poziomu ochrony danych osobowych na całym wspólnym rynku;

25. wzywa Komisję do zbadania, we współpracy z CEN, możliwości opracowania

standardów obsługi w zakresie zarządzania danymi osobowymi i rozwoju powiązanych narzędzi zarządzania informacją, z należytym uwzględnieniem ochrony prywatności w fazie projektowania; uważa, że takie standardy projektowe będą propagować najlepsze praktyki w rozwoju systemów zarządzania danymi, a w szczególności zwiększą

bezpieczeństwo zarządzania bazami danych i aplikacji służących przechowywaniu;

podkreśla jednak, że wszystkie wnioski powinny być neutralne pod względem technologicznym i przyjazne innowacjom;

26. wzywa Komisję do przeglądu wraz z CEN europejskich norm dotyczących

przechowywania sprzętu z należytym uwzględnieniem ochrony prywatności w fazie projektowania i do zachęcania do rozwoju norm produkcji umożliwiających ostateczne usunięcie danych przechowywanych na sprzęcie, który nie jest już używany do

przechowywania danych osobowych lub tak czy inaczej wychodzi z użytku; uważa ponadto, że takie standardy projektowe będą propagować najlepsze praktyki produkcyjne; podkreśla jednak, że wszystkie wnioski powinny być neutralne pod względem technologicznym i przyjazne innowacjom;

27. apeluje o zwiększenie roli Grupy Roboczej art. 29 i sformalizowanie jej roli w procesie wdrażania standardowych zasad ochrony danych i utrzymania jej niezależności od Komisji Europejskiej;

28. zwraca się do Komisji, aby przeprowadziła ocenę wpływu inicjatyw samoregulacyjnych jako narzędzi umożliwiających lepsze egzekwowanie przepisów o ochronie danych.

PE460.636v02-00 26/37 RR\871487PL.doc

PL

29. zachęca do rozwoju unijnego systemu certyfikacji w obszarze prywatności i ochrony danych. Powinien on być skonstruowany w taki sposób, aby unikać nadmiernego obciążania przedsiębiorstw – a zwłaszcza MŚP – kosztownymi i biurokratycznymi obowiązkami, które mogą zniechęcać do udziału w nim. System powinien być neutralny pod względem technologicznym, gotowy do stosowania na całym świecie i przystępny cenowo, aby nie tworzyć barier blokujących udział.

30. popiera utworzenie unijnego systemu certyfikacji dla stron internetowych zgodnego z ustawodawstwem UE w zakresie ochrony danych i wzorowanego na europejskiej marce ochrony danych osobowych (dobrowolna ogólnoeuropejska etykieta poświadczająca przestrzeganie przez produkty i usługi IT unijnego ustawodawstwa z zakresu ochrony danych), który miałby zastosowanie w całej UE i zastąpiłby różne istniejące prywatne systemy certyfikacji i oznakowania, które często są uznawane tylko na skalę lokalną;

uważa, że przed jego przyjęciem należy przeprowadzić gruntowną ocenę skutków;

31. uważa, że rozwój i propagowanie inicjatyw samoregulacyjnych może poprawić stan obowiązujących ram ochrony danych, choć nie mogą one zastąpić środków

ustawodawczych, zwłaszcza jeśli chodzi o ich egzekwowanie; zwraca się do Komisji i państw członkowskich, aby sprzyjały takim inicjatywom oraz opracowywały i wspierały instrumenty, dzięki którym samoregulacja staje się atrakcyjniejsza dla gospodarki;

32. wzywa Komisję, by zbyt daleko posunięta harmonizacja nie ograniczała sprawdzonych systemów ochrony danych, takich jak wewnętrzne kontrole ochrony danych

w przedsiębiorstwach przeprowadzane przez zakładowych inspektorów ochrony danych oraz kontrole zewnętrzne dokonywane przez państwowe organy nadzoru ochrony danych;

33. popiera utworzenie wspólnych i jasnych kryteriów na szczeblu UE w celu przeprowadzenia kontroli w dziedzinie ochrony prywatności i danych.

34. z zadowoleniem przyjmuje stanowisko Komisji w sprawie wzajemności w poziomie ochrony danych osób, których dane są eksportowane do krajów trzecich lub w nich przechowywane; wzywa jednak Komisję do podjęcia decydujących kroków w kierunku zacieśnienia współpracy regulacyjnej z krajami trzecimi z myślą o wyjaśnieniu prawa właściwego i konwergencji ustawodawstwa UE i krajów trzecich w zakresie ochrony danych; wzywa Komisję do priorytetowego potraktowania tego zagadnienia w ramach ponownie wznowionej Transatlantyckiej Rady Gospodarczej;

35. wzywa do rozwoju łatwiejszych, wydajniejszych metod pozwalających na

międzynarodowy transfer danych, przy zachowaniu odpowiednich poziomów ochrony danych i prywatności osób;

36. wzywa Komisję do podtrzymania obowiązujących wyłączeń i odstępstw zawartych w art.

9 dyrektywy 95/46/WE od pewnych przepisów dotyczących ochrony danych w celach dziennikarskich, aby chronić wolne i niezależne media w UE lub w celu uzyskania wyrazu artystycznego lub literackiego, aby wspierać twórczość.