DYREKTYWA 2006/24/WE PARLAMENTU EUROPEJSKIEGO I RADY
z dnia 15 marca 2006 r.
w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 95,
uwzględniając wniosek Komisji,
uwzględniając opinię Europejskiego Komitetu Społeczno-Ekonomicznego (1),
stanowiąc zgodnie z procedurą określoną w art. 251 Traktatu (2),
a także mając na uwadze, co następuje:
(1) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (3) wymaga od państw członkowskich ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, w szczególności prawa do prywatności, w celu zapewnienia swobodnego przepływu danych osobowych we Wspólnocie.
(2) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (4) przekłada zasady ustanowione w dyrektywie 95/46/WE na zasady szczególne dla sektora łączności elektronicznej.
(3) Artykuły 5, 6 i 9 dyrektywy 2002/58/WE ustalają zasady odnoszące się do przetwarzania danych o ruchu i lokalizacji generowanych w wyniku korzystania z usług łączności elektronicznej przez dostawców sieci i usług. Takie dane powinny zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu z wyjątkiem danych niezbędnych do naliczania opłat i rozliczeń międzyoperatorskich. Niektóre dane, za zgodą abonenta, mogą być też przetwarzane w celach marketingowych i świadczenia usług stanowiących wartość dodaną.
(4) Artykuł 15 ust. 1 dyrektywy 2002/58/WE określa warunki, w jakich państwa członkowskie mogą ograniczyć zakres praw i obowiązków gwarantowanych przepisami art. 5, art. 6, art. 8 ust. 1, 2, 3 i 4 oraz art. 9 tej dyrektywy; wszelkie tego typu odstępstwa powinny być niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego dla celów porządku publicznego, tj. zachowania bezpieczeństwa narodowego (tj. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego czy też zapobiegania, dochodzenia, wykrywania i ścigania przestępstw lub nielegalnego wykorzystania systemów łączności elektronicznej.
(5) Kilka państw członkowskich przyjęło przepisy przewidujące zatrzymywanie danych przez usługodawców w celu zapobiegania, dochodzenia, wykrywania i ścigania przestępstw. Te przepisy krajowe różnią się od siebie w znacznym stopniu.
(6) Prawne i techniczne różnice pomiędzy przepisami krajowymi w zakresie zatrzymywania danych w celu zapobiegania, dochodzenia, wykrywania i ścigania przestępstw stanowią przeszkodę dla wewnętrznego rynku łączności elektronicznej; usługodawcy napotykają na różne wymogi odnośnie do rodzajów danych o ruchu i lokalizacji, które mają być zatrzymywane, oraz warunków i okresów zatrzymywania.
(7) W konkluzjach z posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych z dnia 19 grudnia 2002 r. podkreślono, że z uwagi na znaczny wzrost możliwości, jakie daje łączność elektroniczna, dane odnoszące się do korzystania z łączności elektronicznej są szczególnie ważne i w związku z tym stanowią istotne narzędzie służące zapobieganiu, dochodzeniu, wykrywaniu oraz ściganiu przestępstw, zwłaszcza przestępczości zorganizowanej.
(8) Przyjęta w dniu 25 marca 2004 r. przez Radę Europejską deklaracja w sprawie zwalczania terroryzmu zaleca Radzie zbadanie środków w celu przyjęcia przepisów w sprawie zatrzymywania przez usługodawców danych o ruchu połączeń.
(9) Zgodnie z art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności (EKOPC) każdy ma prawo do poszanowania swojego życia prywatnego i korespondencji. Władze publiczne mogą ingerować w to prawo jedynie w zgodzie z obowiązującym ustawodawstwem i jeżeli jest to konieczne dla dobra społeczeństwa demokratycznego, między innymi w interesie bezpieczeństwa narodowego i publicznego, w celu zapobiegania naruszaniu porządku lub przestępstwom bądź ochrony praw i swobód innych obywateli. Ponieważ zatrzymywanie danych okazało się niezbędnym i skutecznym narzędziem egzekwowania prawa w śledztwach prowadzonych w niektórych państwach członkowskich, a w szczególności dotyczących tak poważnych przypadków, jak przestępstwa zorganizowane i terroryzm, niezbędne jest zagwarantowanie, że zatrzymywane dane przez pewien okres mogłyby być udostępniane organom odpowiedzialnym za egzekwowanie prawa, zgodnie z warunkami określonymi w niniejszej dyrektywie. Przyjęcie instrumentu spełniającego wymogi art. 8 EKOPC, służącego zatrzymywaniu danych, jest więc działaniem niezbędnym.
(10) W deklaracji z dnia 13 lipca 2005 r., potępiającej ataki terrorystyczne w Londynie, Rada podkreśla potrzebę możliwie szybkiego przyjęcia wspólnych środków w sprawie zatrzymywania danych dotyczących połączeń.
(11) Zważywszy na znaczenie, jakie dane o ruchu i lokalizacji mają w dochodzeniu, wykrywaniu i ściganiu przestępstw, istnieje, jak to wykazały badania i doświadczenia kilku państw członkowskich, potrzeba zapewnienia na poziomie europejskim zatrzymywania przez pewien czas danych generowanych lub przetwarzanych przez dostawców dostępnej publicznie łączności elektronicznej lub sieci łączności publicznej podczas świadczenia usług łączności, zgodnie z warunkami określonymi w niniejszej dyrektywie.
(12) Artykuł 15 ust. 1 dyrektywy 2002/58/WE powinien być stosowany w dalszym ciągu w odniesieniu do danych, w szczególności tych dotyczących nieudanych prób uzyskania połączenia, co do których nie istnieje szczególny wymóg zatrzymywania w świetle niniejszej dyrektywy i z tego względu nie zostały w niej ujęte, a także w odniesieniu do celów, które nie zostały uwzględnione w niniejszej dyrektywie.
(13) Niniejsza dyrektywa odnosi się jedynie do danych generowanych lub przetwarzanych w wyniku połączenia lub usług w zakresie łączności, nie zaś do danych będących treścią przekazywanej informacji. Zatrzymywanie danych powinno odbywać się w ten sposób, by uniknąć powtórnego zatrzymywania danych. Dane generowane lub przetwarzane w ramach świadczenia usług w zakresie łączności odnoszą się do danych, które są dostępne. W szczególności przy zatrzymywaniu danych związanych z internetową pocztą elektroniczną i telefonią internetową cel może zostać ograniczony do własnych usług dostawców lub dostawców sieci.
(14) Technologie mające znaczenie dla łączności elektronicznej ulegają szybkiemu rozwojowi i dlatego uzasadnione wymogi właściwych organów także mogą ulec zmianie. W celu uzyskania opinii i zachęcenia do dzielenia się doświadczeniami w zakresie najlepszych praktyk w tym zakresie, Komisja zamierza stworzyć zespół składający się z przedstawicieli organów ścigania państw członkowskich, przedstawicieli branży łączności elektronicznej, przedstawicieli Parlamentu Europejskiego oraz organów ochrony danych, w tym Europejskiego Pełnomocnika ds. Ochrony Danych.
(15) Dyrektywa 95/46/WE oraz dyrektywa 2002/58/WE w pełni stosują się do danych zatrzymywanych zgodnie z niniejszą dyrektywą. Artykuł 30 ust. 1 lit. c) przewiduje wymóg przeprowadzania konsultacji z grupą roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ustanowioną w art. 29 tej dyrektywy.
(16) Spoczywające na usługodawcach obowiązki w zakresie środków zapewniających jakość danych, wynikające z art. 6 dyrektywy 95/46 WE, a także ich obowiązki w zakresie środków zapewniających poufność i bezpieczeństwo przetwarzania danych, wynikające z art. 16 i 17 tej dyrektywy, w pełni stosują się do danych zatrzymywanych w rozumieniu niniejszej dyrektywy.
(17) Istotne jest, aby państwa członkowskie przyjęły środki legislacyjne zapewniające udostępnianie danych zatrzymywanych na mocy niniejszej dyrektywy jedynie właściwym organom krajowym zgodnie z ustawodawstwem krajowym przy pełnym poszanowaniu praw podstawowych zainteresowanych osób.
(18) W tym kontekście należy przypomnieć, że art. 24 dyrektywy 95/46/WE nakłada na państwa członkowskie obowiązek ustanowienia kar za naruszanie przepisów przyjętych na mocy tej dyrektywy. Artykuł 15 ust. 2 dyrektywy 2002/58/WE nakłada podobny obowiązek w odniesieniu do przepisów krajowych przyjętych na mocy dyrektywy 2002/58/WE. Decyzja ramowa Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informacyjne (5) stanowi, że umyślny nielegalny dostęp do systemów informacyjnych, w tym do zatrzymywanych w nich danych, jest karalny jako przestępstwo.
(19) Prawo każdej osoby poszkodowanej w wyniku niezgodnej z prawem operacji przetwarzania danych lub jakiegokolwiek działania niezgodnego z przepisami krajowymi, przyjętymi na mocy dyrektywy 95/46/WE, do otrzymania odszkodowania, wynikające z art. 23 tej dyrektywy, stosuje się także do niezgodnego z prawem przetwarzania jakichkolwiek danych osobowych, zgodnie z niniejszą dyrektywą.
(20) Konwencja Rady Europy o cyberprzestępczości z 2001 r. oraz Konwencja Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 1981 r. dotyczą również danych zatrzymywanych w rozumieniu niniejszej dyrektywy.
(21) Jako że cele niniejszej dyrektywy, mianowicie harmonizacja obowiązków spoczywających na dostawcach, dotyczących zatrzymywania pewnych danych, oraz zapewnienie dostępu do tych danych w celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie krajowym każdego państwa członkowskiego, nie mogą zostać osiągnięte w wystarczający sposób przez państwa członkowskie, a mogą z uwagi na zasięg i skutki niniejszej dyrektywy zostać lepiej osiągnięte na poziomie wspólnotowym, Wspólnota może przyjąć środki zgodnie z zasadą pomocniczości, przewidzianą w art. 5 Traktatu. Zgodnie z zasadą proporcjonalności, przewidzianą w tym samym artykule, zakres niniejszej dyrektywy nie wykracza poza to, co jest konieczne dla osiągnięcia powyższych celów.
(22) Niniejsza dyrektywa respektuje prawa podstawowe i przestrzega zasad uznanych w szczególności w Karcie Praw Podstawowych Unii Europejskiej; w szczególności niniejsza dyrektywa wraz z dyrektywą 2002/58/WE mają na celu zwłaszcza zapewnienie pełnego przestrzegania praw podstawowych obywateli w zakresie poszanowania prywatności i tajemnicy korespondencji oraz ochrony danych osobowych, jak to zostało określone w art. 7 i 8 Karty.
(23) Z uwagi na fakt, że obowiązki dostawców usług łączności elektronicznej powinny być proporcjonalne, niniejsza dyrektywa wymaga, by zatrzymywali oni jedynie dane generowane lub przetwarzane w trakcie świadczenia przez nich usług łączności. Obowiązek zatrzymywania takich danych nie powinien występować w przypadku gdy takie dane nie są generowane lub przetwarzane przez tych dostawców. Niniejsza dyrektywa nie ma na celu harmonizacji technologii zatrzymywania danych; wybór technologii jest sprawą do rozstrzygnięcia na poziomie krajowym.
(24) Zgodnie z ust. 34 Porozumienia międzyinstytucjonalnego w sprawie lepszego stanowienia prawa (6) zachęca się państwa członkowskie do sporządzania, dla ich własnych celów i w interesie Wspólnoty, własnych tabel, które w możliwie najszerszym zakresie odzwierciedlają korelacje pomiędzy niniejszą dyrektywą a środkami transpozycji, oraz do podawania ich do wiadomości publicznej.
(25) Niniejsza dyrektywa pozostaje bez uszczerbku dla możliwości przyjmowania przez państwa członkowskie określonych przez nie środków legislacyjnych dotyczących prawa dostępu i wykorzystania danych przez organy krajowe. Kwestie dostępu organów krajowych do danych zatrzymywanych zgodnie z niniejszą dyrektywą w związku z działaniami, o których mowa w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, nie są objęte zakresem prawa wspólnotowego. Mogą one jednak podlegać przepisom krajowym lub działaniom podejmowanym na mocy tytułu VI Traktatu o Unii Europejskiej, przy czym takie przepisy lub działania powinny zawsze być w pełni zgodne z prawami podstawowymi, wynikającymi ze wspólnych tradycji konstytucyjnych państw członkowskich oraz gwarantowanymi przez EKPC. Artykuł 8 EKPC, zgodnie z wykładnią Europejskiego Trybunału Praw Człowieka, wymaga, by ingerencja organów publicznych w prawo do prywatności spełniała wymogi konieczności i proporcjonalności i w związku z tym służyła konkretnym, wyraźnie określonym i uzasadnionym celom oraz była dokonywana w sposób adekwatny, odpowiedni i nie była nadmierna w stosunku do swojego celu,
PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ:
Artykuł 1
Przedmiot i zakres zastosowania
1. Celem niniejszej dyrektywy jest zbliżenie przepisów państw członkowskich w zakresie obowiązków dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności w zakresie zatrzymywania pewnych danych przez nie generowanych lub przetwarzanych, aby zapewnić dostępność przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego.
2. Niniejsza dyrektywa stosuje się do danych o ruchu i lokalizacji, dotyczących zarówno osób fizycznych, jak i prawnych, oraz do powiązanych z nimi danych niezbędnych do identyfikacji abonenta lub zarejestrowanego użytkownika. Nie odnosi się ona natomiast do treści komunikatów elektronicznych, w tym informacji uzyskiwanych przy użyciu sieci łączności elektronicznej.
Artykuł 2
Definicje
1. Do celów niniejszej dyrektywy stosuje się definicje z dyrektywy 95/46/WE, dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) (7) oraz dyrektywy 2002/58/WE.
2. Do celów niniejszej dyrektywy:
a) „dane” oznaczają dane o ruchu i lokalizacji oraz powiązane dane niezbędne do identyfikacji abonenta lub użytkownika;
b) „użytkownik” oznacza każdą osobę fizyczną lub prawną korzystającą z ogólnie dostępnych usług łączności elektronicznej do celów prywatnych lub handlowych, niekoniecznie na podstawie abonamentu na te usługi;
c) „usługa telefoniczna” oznacza połączenia (w tym połączenia głosowe, pocztę głosową oraz połączenia konferencyjne i transmisję danych), usługi dodatkowe (w tym przekazywanie połączeń i transfer połączeń), usługi w zakresie przekazywania wiadomości i usługi multimedialne (w tym krótkie wiadomości tekstowe (SMS), rozszerzone wiadomości tekstowe (EMS) i wiadomości multimedialne (MMS));
d) „identyfikator użytkownika” oznacza osobny i niepowtarzalny identyfikator przypisany każdej osobie opłacającej abonament lub będącej zarejestrowanym użytkownikiem usług dostępu do Internetu lub usług komunikacji internetowej;
e) „identyfikator komórki” oznacza identyfikację komórki, z której rozpoczęto połączenie komórkowe bądź na której je zakończono;
f) „nieudana próba połączenia” oznacza nawiązanie łączności, w którym połączenie nie zostało odebrane lub nastąpiła interwencja sieci.
Artykuł 3
Obowiązek zatrzymywania danych
1. Na zasadzie odstępstwa od art. 5, 6 i 9 dyrektywy 2002/58/WE, państwa członkowskie przyjmują środki w celu zagwarantowania, że dane określone w art. 5 niniejszej dyrektywy są zatrzymywane zgodnie z jej przepisami w stopniu, w jakim są generowane lub przetwarzane na ich terenie przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności w trakcie świadczenia odnośnych usług łączności.
2. Obowiązek zatrzymywania danych, określony w ust. 1, obejmuje również zatrzymanie danych określonych w art. 5 w przypadku nieudanych prób połączenia, podczas których dane te są generowane, przetwarzane i przechowywane (w przypadku danych telefonicznych) lub zapisywane w momencie logowania (w przypadku danych internetowych) przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności w trakcie świadczenia przedmiotowych usług łączności. Niniejsza dyrektywa nie wymaga zatrzymania danych w przypadku nieuzyskania połączenia telefonicznego.
Artykuł 4
Dostęp do danych
Państwa członkowskie podejmują środki w celu zagwarantowania, że dane zatrzymywane w myśl niniejszej dyrektywy są udostępniane jedynie właściwym organom krajowym, w szczególnych przypadkach i zgodnie z krajowym ustawodawstwem. Proces oraz warunki uzyskiwania dostępu do zatrzymanych danych, w przypadkach gdy został spełniony wymóg konieczności oraz proporcjonalności, są określone w prawie krajowym każdego państwa członkowskiego, podlegając odpowiednim przepisom prawa Unii Europejskiej lub międzynarodowego prawa publicznego, w szczególności EKOPC, zgodnie z interpretacją Europejskiego Trybunału Praw Człowieka.
Artykuł 5
Kategorie danych przeznaczonych do zatrzymywania
1. Państwa członkowskie zapewniają zatrzymywanie następujących kategorii danych zgodnie z niniejszą dyrektywą:
a) dane niezbędne do ustalenia źródła połączenia:
1) w przypadku telefonii stacjonarnej i komórkowej:
i) numer nadawcy połączenia;
ii) nazwisko i adres abonenta lub zarejestrowanego użytkownika;
2) w przypadku dostępu internetowego, elektronicznej poczty internetowej i telefonii internetowej:
i) przyznany identyfikator użytkownika;
ii) identyfikator użytkownika i numer telefonu przydzielony każdemu przychodzącemu połączeniu w sieci telefonii publicznej;
iii) nazwisko i adres abonenta lub zarejestrowanego użytkownika, do którego w momencie połączenia należał adres IP, identyfikator użytkownika lub numer telefonu;
b) dane niezbędne do ustalenia odbiorcy połączenia:
1) w przypadku telefonii stacjonarnej i komórkowej:
i) wybierany numer (numer (numery) odbiorcy (odbiorców) połączenia), a w przypadku dodatkowych usług, takich jak przekierowywanie lub przełączanie połączeń, numer (numery) na który(-e) połączenie jest przekierowywane;
ii) nazwisko (nazwiska) i adres (adresy) abonenta (abonentów) lub zarejestrowanego (zarejestrowanych) użytkownika (użytkowników);
2) w przypadku elektronicznej poczty internetowej i telefonii internetowej:
i) identyfikator użytkownika lub numer (numery) odbiorcy (odbiorców) połączenia w telefonii internetowej;
ii) nazwisko (nazwiska) i adres (adresy) abonenta (abonentów) lub zarejestrowanego (zarejestrowanych) użytkownika (użytkowników) i identyfikator użytkownika docelowego odbiorcy połączenia;
c) dane niezbędne do określenia daty, godziny i czasu trwania połączenia:
1) w przypadku telefonii stacjonarnej i komórkowej: data i dokładny czas rozpoczęcia i zakończenia połączenia;
2) w przypadku elektronicznej poczty internetowej i telefonii internetowej:
i) data i godzina zalogowania i wylogowania sesji internetowej na podstawie danej strefy czasowej włącznie z adresem protokołu komunikacyjnego dynamicznego lub statycznego (IP) przydzielonym przez dostawcę usług internetowych dla danej komunikacji oraz identyfikatorem użytkownika abonenta lub zarejestrowanego użytkownika;
ii) data i godzina zalogowania i wylogowania z elektronicznej poczty internetowej i telefonii internetowej na podstawie danej strefy czasowej;
d) dane niezbędne do określenia rodzaju połączenia:
1) w przypadku telefonii stacjonarnej i komórkowej: wykorzystana usługa telefoniczna;
2) w przypadku elektronicznej poczty internetowej i telefonii internetowej: wykorzystana usługa internetowa;
e) dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji:
1) w przypadku telefonii stacjonarnej i komórkowej: numery nadawcy i odbiorcy połączenia;
2) w przypadku telefonii komórkowej:
i) numery nadawcy i odbiorcy połączenia;
ii) międzynarodowy numer tożsamości telefonicznej abonenta mobilnego (IMSI) nadawcy połączenia;
iii) międzynarodowy numer fabryczny mobilnego aparatu telefonicznego (IMEI) nadawcy połączenia;
iv) IMSI odbiorcy połączenia;
v) IMEI odbiorcy połączenia;
vi) w przypadku anonimowych usług opłaconych z góry (pre-paid) data i dokładny czas początkowej aktywacji usługi oraz etykieta lokalizacji (identyfikator komórki), z której dokonano aktywacji;
3) w przypadku dostępu do Internetu, elektronicznej poczty internetowej i telefonii internetowej:
i) numer telefonu przy dostępie za pośrednictwem dial-up;
ii) identyfikator DSL lub inny identyfikator końcowy inicjatora połączenia;
f) dane niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej:
1) etykieta lokalizacji (identyfikator komórki) na początku połączenia;
2) dane pozwalające ustalić położenie geograficzne komórek przez odniesienie się do ich etykiet lokalizacji (identyfikatorów komórki) w czasie, przez który zatrzymywane są dane odnośnie połączenia.
2. Zgodnie z niniejszą dyrektywą nie można zatrzymywać danych, które ujawniają treść komunikatu.
Artykuł 6
Okresy zatrzymywania
Państwa członkowskie gwarantują, że wymienione w art. 5 kategorie danych są zatrzymywane na okresy nie krótsze niż 6 miesięcy oraz nie dłuższe niż dwa lata od daty połączenia.
Artykuł 7
Ochrona i bezpieczeństwo danych
Bez uszczerbku dla postanowień przyjętych zgodnie z dyrektywą 95/46/WE i dyrektywą 2002/58/WE, każde państwo członkowskie gwarantuje, że dostawcy ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności respektują co najmniej następujące zasady dotyczące bezpieczeństwa danych w odniesieniu do danych zatrzymywanych zgodnie z niniejszą dyrektywą:
a) zatrzymywane dane mają taką samą jakość i podlegają takim samym zasadom bezpieczeństwa i ochrony, jak dane w sieci;
b) w stosunku do danych stosowane będą właściwe środki techniczne i organizacyjne w celu ochrony tych danych przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą, nieupoważnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;
c) w stosunku do danych stosowane będą właściwe środki techniczne i organizacyjne w celu zagwarantowania, że dostęp do danych ma jedynie upoważniony do tego personel;
oraz
d) wszystkie dane, z wyjątkiem tych, które zostały udostępnione i zachowane, zostaną zniszczone pod koniec okresu zatrzymania.
Artykuł 8
Wymogi dotyczące przechowywania zatrzymywanych danych
Państwa członkowskie gwarantują, że dane określone w art. 5 są zatrzymywane zgodnie z przepisami niniejszej dyrektywy, w sposób umożliwiający przekazanie właściwym organom na ich wniosek zatrzymywanych danych i wszelkich informacji odnoszących się do takich danych bez zbędnej zwłoki.
Artykuł 9
Organ nadzorujący
1. Każde państwo członkowskie wyznacza jeden lub więcej organów publicznych odpowiedzialnych za nadzór nad stosowaniem na ich terytorium przepisów przyjętych przez państwa członkowskie zgodnie z art. 7 w odniesieniu do bezpieczeństwa przechowywanych danych. Organami tymi mogą być te same organy, o których mowa w art. 28 dyrektywy 95/46/WE.
2. Organy, o których mowa w ust. 1, są w pełni niezależne w wykonywaniu nadzoru, o którym mowa w tym ustępie.
Artykuł 10
Statystyka
1. Państwa członkowskie gwarantują, że Komisja otrzymuje coroczne statystyki na temat zatrzymywania danych generowanych lub przetwarzanych w ramach świadczenia ogólnie dostępnych usług łączności elektronicznej lub udostępniania sieci komunikacji publicznej. Statystyki takie obejmują:
- przypadki, w których właściwym organom udzielone zostały informacje zgodnie z mającym zastosowanie prawem krajowym,
- czas, jaki upłynął między datą zatrzymania danych a datą wniosku o przekazanie danych złożonego przez właściwy organ,
- przypadki, w których wnioski o dane nie mogły zostać zrealizowane.
2. Statystyki tego rodzaju nie zawierają danych osobowych.
Artykuł 11
Zmiana dyrektywy 2002/58/WE
W art. 15 dyrektywy 2002/58/WE dodaje się ustęp w następującym brzmieniu:
„1a. Ustępu 1 nie stosuje się do danych, których zatrzymywanie jest wyraźnie wymagane na mocy dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania danych wygenerowanych lub przetworzonych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności (*) dla celów określonych w art. 1 ust. 1 tej dyrektywy.
|
(*) Dz.U. 105 z 13.4.2006, str. 54.”
Artykuł 12
Przyszłe środki
1. Państwo członkowskie znajdujące się w szczególnych okolicznościach, uzasadniających przedłużenie maksymalnego okresu zatrzymywania, o którym mowa w art. 6, o ograniczony okres czasu, może podjąć niezbędne środki. Państwo członkowskie niezwłocznie powiadamia Komisję oraz informuje pozostałe państwa członkowskie o środkach podjętych na podstawie tego artykułu, oraz wskazuje na przyczyny ich podjęcia.
2. W ciągu sześciu miesięcy od powiadomienia, o którym mowa w ust. 1, Komisja przyjmuje lub odrzuca odnośne środki krajowe po uprzednim zbadaniu, czy nie stanowią one środka arbitralnej dyskryminacji lub ukrytego ograniczenia w handlu pomiędzy państwami członkowskimi oraz czy nie będą one stanowiły przeszkody dla funkcjonowania rynku wewnętrznego. W przypadku braku decyzji Komisji w ciągu tego okresu środki krajowe zostają uznane za przyjęte.
3. Jeżeli zgodnie z ust. 2 środki krajowe państwa członkowskiego, stanowiące odstępstwo od przepisów niniejszej dyrektywy, zostają zatwierdzone, Komisja może rozważyć możliwość wprowadzenia zmian do niniejszej dyrektywy.
Artykuł 13
Środki prawne, odpowiedzialność i sankcje
1. Wszystkie państwa członkowskie podejmują niezbędne środki w celu zagwarantowania, że działania krajowe służące wprowadzeniu w życie rozdziału III dyrektywy 95/46/WE, która przewiduje środki prawne, kary oraz określa zakres odpowiedzialności, są w pełni realizowane w odniesieniu do przetwarzania danych zgodnie z niniejszą dyrektywą.
2. Każde z państw członkowskich podejmuje w szczególności środki niezbędne do zagwarantowania, że jakikolwiek umyślny dostęp do danych zatrzymanych zgodnie z obecną dyrektywą lub ich przekazywanie, czego zabrania prawo krajowe przyjęte w oparciu o niniejszą dyrektywę, podlega sankcjom, w tym także sankcjom administracyjnym i karnym, które są skuteczne, proporcjonalne i mają charakter odstraszający.
Artykuł 14
Ocena
1. Nie później niż do dnia 15 września 2010 r. Komisja przedstawia Parlamentowi Europejskiemu i Radzie ocenę wdrożenia niniejszej dyrektywy i jej wpływu na podmioty gospodarcze i konsumentów, uwzględniając dalszy rozwój technologii łączności elektronicznej oraz dane statystyczne dostarczone Komisji zgodnie z art. 10 w celu określenia ewentualnej potrzeby zmiany przepisów niniejszej dyrektywy, zwłaszcza w odniesieniu do listy danych w art. 5 oraz okresów zatrzymywania ustalonego na mocy art. 6. Wyniki oceny są publicznie dostępne.
2. W tym celu Komisja bada wszystkie uwagi wniesione przez państwa członkowskie lub grupę roboczą ustanowioną na mocy art. 29 dyrektywy 95/46/WE.
Artykuł 15
Transpozycja
1. Państwa członkowskie wprowadzają w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy najpóźniej do dnia 15 września 2007 r. Państwa członkowskie informują niezwłocznie Komisję o tych przepisach. Przepisy przyjmowane przez państwa członkowskie zawierają odniesienie do niniejszej dyrektywy lub odniesienie takie towarzyszy ich urzędowej publikacji. Metody dokonywania takiego odniesienia określane są przez państwa członkowskie.
2. Państwa członkowskie przedstawiają Komisji teksty głównych przepisów prawa krajowego, które przyjmą w dziedzinie objętej niniejszą dyrektywą.
3. Każde państwo członkowskie może do dnia 15 marca 2009 r. odroczyć stosowanie niniejszej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej. Każde państwo członkowskie, które zamierza użyć niniejszego ustępu, powiadamia o tym Komisję, składając oświadczenie w momencie przyjmowania przedmiotowej dyrektywy. Oświadczenie to zostaje opublikowane w Dzienniku Urzędowym Unii Europejskiej.
Artykuł 16
Wejście w życie
[1] Niniejsza dyrektywa wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Artykuł 17
Adresaci
Niniejsza dyrektywa skierowana jest do państw członkowskich.
Sporządzono w Strasburgu, dnia 15 marca 2006 r.
W imieniu Parlamentu Europejskiego | W imieniu Rady |
J. BORRELL FONTELLES | H. WINKLER |
Przewodniczący | Przewodniczący |
|
(1) Opinia z dnia 19 stycznia 2006 r. (dotychczas nieopublikowana w Dzienniku Urzędowym).
(2) Opinia Parlamentu Europejskiego z dnia 14 grudnia 2005 r. (dotychczas nieopublikowana w Dzienniku Urzędowym) oraz decyzja Rady z dnia 21 lutego 2006 r.
(3) Dz.U. L 281 z 23.11.1995, str. 31. Dyrektywa zmieniona rozporządzeniem (WE) nr 1882/2003 (Dz.U. L 284 z 31.10.2003, str. 1).
(4) Dz.U. L 201 z 31.7.2002, str. 37.
(5) Dz.U. L 69 z 16.3.2005, str. 67.
(6) Dz.U. C 321 z 31.12.2003, str. 1.
(7) Dz.U. L 108 z 24.4.2002, str. 33.
Oświadczenie Niderlandów
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
W odniesieniu do dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej oraz zmieniającej dyrektywę 2002/58/WE Niderlandy skorzystają z możliwości odroczenia stosowania tej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej o okres nie dłuższy niż 18 miesięcy od wejścia w życie tej dyrektywy.
Oświadczenie Austrii
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Austria oświadcza, że odroczy stosowanie przedmiotowej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej o 18 miesięcy od daty określonej w art. 15 ust. 1.
Oświadczenie Estonii
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Zgodnie z art. 15 ust. 3 dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE Estonia oświadcza niniejszym zamiar skorzystania z przepisów tego ustępu i odroczenia stosowania tej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej o 36 miesięcy od daty przyjęcia dyrektywy.
Oświadczenie Zjednoczonego Królestwa
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Zgodnie z art. 15 ust. 3 dyrektywy w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE Zjednoczone Królestwo oświadcza, że odroczy stosowanie tej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej.
Oświadczenie Republiki Cypryjskiej
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Republika Cypryjska oświadcza, że odracza stosowanie tej dyrektywy w odniesieniu do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej do daty określonej w art. 15 ust. 3.
Oświadczenie Republiki Greckiej
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Grecja oświadcza, że zgodnie z art. 15 ust. 3 odroczy stosowanie przedmiotowej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej o 18 miesięcy po upływie terminu przewidzianego w art. 15 ust. 1.
Oświadczenie Wielkiego Księstwa Luksemburga
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Zgodnie z przepisami art. 15 ust. 3 dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE rząd Wielkiego Księstwa Luksemburga oświadcza, że ma zamiar skorzystać z art. 15 ust. 3 przedmiotowej dyrektywy, aby uzyskać możliwość odroczenia jej stosowania do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej.
Oświadczenie Słowenii
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Słowenia dołącza do grupy państw członkowskich, które złożyły oświadczenie na mocy art. 15 ust. 3 dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności o odroczeniu o 18 miesięcy stosowania tej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej.
Oświadczenie Szwecji
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Zgodnie z art. 15 ust. 3 Szwecja pragnie zachować możliwość odroczenia stosowania przedmiotowej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej.
Oświadczenie Republiki Litewskiej
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Zgodnie z art. 15 ust. 3 projektu dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE (zwanej dalej „dyrektywą”) Republika Litewska oświadcza, że po przyjęciu dyrektywy odroczy jej stosowanie do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej o okres przewidziany w art. 15 ust. 3.
Oświadczenie Republiki Łotewskiej
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE Łotwa oświadcza, że odracza stosowanie tej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej do dnia 15 marca 2009 r.
Oświadczenie Republiki Czeskiej
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Zgodnie z art. 15 ust. 3 Republika Czeska oświadcza niniejszym, że odracza stosowanie tej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej o 36 miesięcy od daty przyjęcia dyrektywy.
Oświadczenie Belgii
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Belgia oświadcza, że zgodnie z możliwością przewidzianą w art. 15 ust. 3 odracza o 36 miesięcy od daty przyjęcia przedmiotowej dyrektywy jej stosowanie do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej.
Deklaracja Rzeczypospolitej Polskiej
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Polska oświadcza, iż skorzysta z możliwości przewidzianej w art. 15 ust. 3 dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE, polegającej na odroczeniu stosowania dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej na okres do 18 miesięcy ponad termin przewidziany w art. 15 ust. 1.
Oświadczenie Finlandii
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
W związku z art. 15 ust. 3 dyrektywy w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE delegacja fińska oświadcza, że odroczy stosowanie przedmiotowej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej.
Oświadczenie Niemiec
zgodnie z art. 15 ust. 3 dyrektywy 2006/24/WE
Niemcy zastrzegają sobie prawo odroczenia stosowania przedmiotowej dyrektywy do zatrzymywania danych z zakresu łączności w odniesieniu do dostępu do Internetu, telefonii internetowej i internetowej poczty elektronicznej o 18 miesięcy od daty określonej w art. 15 ust. 1 zdanie pierwsze.
[1] Dyrektywa wchodzi w życie 3 maja 2006 r.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00