ZALECENIE KOMISJI
z dnia 26 marca 2009 r.
w sprawie wytycznych w zakresie ochrony danych dla systemu wymiany informacji na rynku wewnętrznym (IMI)
(notyfikowana jako dokument nr C(2009) 2041)
(Tekst mający znaczenie dla EOG)
(2009/329/WE)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 211 tiret drugie,
po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,
a także mając na uwadze, co następuje:
(1) Decyzja 2004/387/WE Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. w sprawie interoperatywnego świadczenia ogólnoeuropejskich usług eGovernment dla administracji publicznej, przedsiębiorstw i obywateli (IDABC) (1), w szczególności jej art. 4, przewiduje wdrażanie projektów będących przedmiotem wspólnego zainteresowania w celu umożliwienia sprawnej, wydajnej i bezpiecznej wymiany informacji pomiędzy organami administracji państwowej na wszystkich odpowiednich poziomach, jak również pomiędzy tymi organami i instytucjami wspólnotowymi bądź innymi odpowiednimi podmiotami.
(2) W dniu 17 marca 2006 r. przedstawiciele państw członkowskich wchodzący w skład Komitetu Doradczego ds. Rynku Wewnętrznego (2) zatwierdzili ogólny plan wdrożenia systemu wymiany informacji na rynku wewnętrznym, zwanego dalej „systemem IMI", oraz plan jego rozwoju ukierunkowanego na poprawę komunikacji między organami administracji państw członkowskich.
(3) W związku z zatwierdzeniem powyższego planu Komisja postanowiła o finansowaniu i utworzeniu systemu wymiany informacji na rynku wewnętrznym jako projektu będącego przedmiotem wspólnego zainteresowania w ramach decyzji C(2006) 3606 z dnia 14 sierpnia 2006 r., C(2007) 3514 z dnia 25 lipca 2007 r. i C(2008) 1881 z dnia 14 maja 2008 r.
(4) System IMI ma stanowić wsparcie dla odpowiednich aktów wspólnotowych, które wymagają wymiany informacji pomiędzy organami administracji państw członkowskich, w tym dyrektywy 2005/36/WE Parlamentu Europejskiego i Rady z dnia 7 września 2005 r. w sprawie uznawania kwalifikacji zawodowych (3) oraz dyrektywy 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotyczącej usług na rynku wewnętrznym (4).
(5) Wymiana informacji drogą elektroniczną pomiędzy państwami członkowskimi oraz pomiędzy państwami członkowskimi a Komisją powinna być zgodna z zasadami ochrony danych ustanowionymi w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (5) oraz w rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (6).
(6) Prawo do ochrony danych zapisane jest w Karcie praw podstawowych Unii Europejskiej, w szczególności w jej art. 8; systemy wymiany informacji takie jak IMI powinny zapewniać jasny podział zadań i obowiązków pomiędzy Komisją a państwami członkowskimi w zakresie zasad ochrony danych, a także dostarczać osobom, których dotyczą dane, proste i łatwo dostępne mechanizmy egzekwowania przysługujących im praw.
(7) Decyzja Komisji 2008/49/WE z dnia 12 grudnia 2007 r. w sprawie wdrożenia systemu wymiany informacji rynku wewnętrznego (IMI) (7) pod względem ochrony danych osobowych określa funkcje, prawa i obowiązki uczestników systemu IMI oraz użytkowników systemu IMI. Niniejsza decyzja Komisji uwzględnia opinię Grupy Roboczej powołanej na mocy art. 29 (8).
(8) W związku z przyjęciem niniejszej decyzji Europejski Inspektor Ochrony Danych (EIOD) wydał opinię (9), w której wezwał do przyjęcia instrumentu prawnego, najlepiej w postaci rozporządzenia Rady i Parlamentu, z uwagi na to, iż system IMI ma stopniowo obejmować swoim zakresem dodatkowe obszary prawodawstwa rynku wewnętrznego o większym stopniu złożoności i rosnącej liczbie uczestniczących w nim organów oraz wymienianych danych. Podczas licznych spotkań oraz w ramach wymiany pism pomiędzy EIOD a służbami Komisji (10) uzgodniono przyjęcie podejścia opartego na stopniowych działaniach, którego pierwszym krokiem będzie przyjęcie wytycznych w zakresie ochrony danych, opracowanych po konsultacjach z EIOD.
(9) Wytyczne niniejsze uzupełniają decyzję 2008/49/WE oraz uwzględniają zalecenia zarówno Grupy Roboczej powołanej na mocy art. 29, jak i EIOD.
NINIEJSZYM ZALECA PAŃSTWOM CZŁONKOWSKIM, CO NASTĘPUJE:
1. Podjęcie kroków w celu zapewnienia realizacji wytycznych zawartych w załączniku wśród uczestników i użytkowników systemu IMI.
2. Zachęcenie krajowych koordynatorów systemu IMI, aby zwrócili się do krajowych urzędów ochrony danych o wskazówki i pomoc w określeniu najlepszego sposobu realizacji niniejszych wytycznych zgodnie z prawem krajowym.
3. Przekazanie Komisji Europejskiej, z pomocą krajowych koordynatorów systemu IMI, informacji zwrotnych na temat realizacji wytycznych zawartych w załączniku w terminie dziewięciu miesięcy od daty przyjęcia niniejszego zalecenia. Komisja Europejska uwzględni informacje zwrotne w sprawozdaniu sporządzonym najpóźniej w terminie roku od przyjęcia niniejszego zalecenia, w którym dokona oceny stanu ochrony danych w systemie IMI oraz treści i stosowności wszelkich przyszłych środków, w tym ewentualnego przyjęcia instrumentu prawnego.
Sporządzono w Brukseli dnia 26 marca 2009 r.
W imieniu Komisji | |
Charlie McCREEVY | |
Członek Komisji |
(1) Dz.U. L 144 z 30.4.2004, s. 62.
(2) Powołany decyzją Komisji 93/72/EWG (Dz.U. L26 z 3.2.1993, s. 18).
(3) Dz.U. L 255 z 30.9.2005, s. 22.
(4) Dz.U. L 376 z 27.12.2006, s. 36.
(5) Dz.U. L 281 z 23.11.1995, s. 31.
(6) Dz.U. L 8 z 12.1.2001, s. 1.
(7) Dz.U. L 13 z 16.1.2008, s. 18.
(8) Opinia 01911/07/EN, WP 140.
(9) Opinia Europejskiego Inspektora Ochrony Danych dotycząca decyzji Komisji 2008/49/WE z dnia 12 grudnia 2007 r. w sprawie wdrożenia systemu wymiany informacji rynku wewnętrznego (IMI) pod względem ochrony danych osobowych (Dz.U. C 270 z 25.10.2008, s. 1).
(10) http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/87
ZAŁĄCZNIK
WYTYCZNE W ZAKRESIE WDROŻENIA ZASAD OCHRONY DANYCH W SYSTEMIE IMI
1. IMI - NARZĘDZIE WSPÓŁPRACY ADMINISTRACYJNEJ
System IMI jest aplikacją dostępną za pośrednictwem internetu, która została opracowana przez Komisję Europejską we współpracy z państwami członkowskimi. Jego głównym celem jest zapewnienie pomocy państwom członkowskim w praktycznym wdrażaniu prawodawstwa UE z zakresu wzajemnej pomocy i współpracy administracyjnej. System IMI nie jest bazą danych służącą do długotrwałego przechowywania informacji, lecz raczej scentralizowanym mechanizmem pozwalającym organom administracji państw członkowskich EOG na wymianę informacji i przechowywanie danych przez krótki okres.
Strona logowania do systemu IMI
System IMI obsługuje obecnie wymianę informacji na podstawie dyrektywy o kwalifikacjach zawodowych, a od końca 2009 r. obejmie również wymianę informacji zgodnie z dyrektywą usługową. W przyszłości system może objąć swoim zakresem kolejne obszary prawodawstwa rynku wewnętrznego. Aktualny wykaz tych obszarów można będzie zawsze znaleźć w załączniku do decyzji 2008/49/WE. Załącznik będzie zmieniany stosownie do potrzeb. System IMI nie może służyć do wymiany informacji w obszarach prawodawstwa, które nie są wyraźnie wymienione w załączniku.
Przykładowy widok okna aplikacji z informacjami na temat właściwych organów zajmujących się kwalifikacjami zawodowymi
Współpraca pomiędzy organami administracji krajowej ma decydujące znaczenie dla prawidłowego funkcjonowania rynku wewnętrznego. Bez praktycznych uzgodnień w zakresie współpracy administracyjnej obywatele europejscy nie będą mogli korzystać z podstawowych swobód rynku wewnętrznego, takich jak swoboda prowadzenia działalności gospodarczej w innym państwie członkowskim czy swoboda świadczenia usług transgranicznych.
Parę przykładów Niemiecka lekarka mieszkająca w Berlinie wychodzi za mąż za Francuza i decyduje się na rozpoczęcie nowego życia w Paryżu. Jako że chce wykonywać swój zawód we Francji, przedstawia swoje tytuły i dyplomy francuskiej izbie lekarskiej. Osoba zajmująca się dokumentacją ma wątpliwości co do autentyczności jednego z dyplomów; sprawę wyjaśnia z właściwym urzędem w Berlinie za pośrednictwem systemu IMI. Francuska spółka zajmująca się sprzątaniem obiektów przemysłowych we Francji prowadzi również działalność zagranicą, w hiszpańskiej Katalonii. Hiszpańska organizacja pozarządowa składa skargę w katalońskim departamencie ochrony środowiska, twierdząc, że francuska firma nie posiada wyspecjalizowanej siły roboczej, jaka jest wymagana do posługiwania się pewnymi substancjami czyszczącymi. Właściwy urząd kataloński sprawdza za pomocą systemu IMI, czy firma sprzątająca działa we Francji legalnie. |
Współpraca administracyjna w UE nie jest łatwym zadaniem. Występują bariery językowe (w UE obowiązują 23 języki urzędowe), brakuje procedur administracyjnych z zakresu współpracy transgranicznej, struktury i kultury administracyjne są różne i nie ma jasno wyznaczonych partnerów w innych państwach członkowskich.
Choć to państwa członkowskie odpowiadają za zapewnienie u siebie skutecznego funkcjonowania praw rynku wewnętrznego, Komisja uważa, że potrzebują one narzędzi do współpracy. System IMI został opracowany dokładnie w tym celu: aby służyć do określania właściwego organu w innym państwie członkowskim (funkcja wyszukiwania), zarządzać wymianą informacji zgodnie z prostymi i jednolitymi procedurami oraz likwidować bariery językowe poprzez zastosowanie predefiniowanych, uprzednio przetłumaczonych zestawów pytań.
Zrzut ekranu z pytaniami w językach dwóch właściwych organów biorących udział w wymianie informacji
2. ZAKRES I CEL WYTYCZNYCH
Użytkownicy systemu IMI są fachowcami w swojej dziedzinie z zakresu czy to zasad regulujących wykonywanie zawodu, czy też przepisów o świadczeniu usług. Nie są jednak specjalistami od ochrony danych i nie zawsze mogą być w pełni świadomi wymagań nałożonych w tym zakresie przez przepisy prawa krajowego.
Z tego względu wskazane jest dostarczenie użytkownikom systemu IMI wytycznych wyjaśniających jego funkcjonowanie z punktu widzenia ochrony danych, wbudowanych zabezpieczeń oraz możliwego ryzyka związanego z jego użytkowaniem (1).
Niniejsze wytyczne nie mają stanowić wyczerpującego przeglądu wszystkich zagadnień ochrony danych związanych z systemem IMI, lecz być prostym objaśnieniem, ramami dla przestrzegania prawa w postaci łatwej do zrozumienia dla wszystkich użytkowników IMI. W razie potrzeby użytkownicy systemu IMI mogą zawsze zwrócić się o dodatkowe wskazówki i pomoc do urzędów ochrony danych w państwach członkowskich. Wykaz odpowiednich organów wraz z danymi kontaktowymi i adresami stron internetowych znajduje się na stronie internetowej:
http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm
3. ŚRODOWISKO SPRZYJAJĄCE OCHRONIE DANYCH
System IMI został opracowany z uwzględnieniem wymagań przepisów o ochronie danych i już od fazy koncepcyjnej sprzyja ochronie danych.
Użytkownicy mogą mieć pewność, że system IMI jest niezawodną aplikacją z punktu widzenia ochrony danych, jak pokazują poniższe przykłady:
a) system IMI jest wykorzystywany wyłącznie przez właściwe organy w obrębie Europejskiego Obszaru Gospodarczego (państwa członkowskie UE oraz Norwegia, Islandia i Liechtenstein); nie dochodzi do transferu danych osobowych poza EOG;
b) Komisja Europejska i koordynatorzy systemu IMI (2) nie mają dostępu do danych osobowych specjalistów lub usługodawców wymienionych za pośrednictwem systemu;
c) wgląd do danych osobowych usługodawcy mają wyłącznie właściwe organy będące stronami wniosku o wymianę informacji (3). Ochrona jest w istocie rzeczy tak daleko posunięta, że adresat wniosku nie ma dostępu do informacji osobowych o usługodawcy do czasu formalnego przyjęcia wniosku;
Przykładowy widok wniosku przed jego przyjęciem przez odbiorcę
d) wszystkie dane osobowe dotyczące wniosków są automatycznie usuwane z systemu po upływie sześciu miesięcy od zamknięcia wniosku lub nawet we wcześniejszym terminie na żądanie właściwych organów uczestniczących w wymianie informacji (więcej informacji znajduje się w rozdziale 12 dotyczącym okresu przechowywania danych).
4. KTO JEST KIM W SYSTEMIE IMI? KWESTIA WSPÓŁADMINISTRACJI
System IMI stanowi oczywisty przypadek wspólnego przetwarzania danych i wspólnego administrowania nimi. Dla przykładu, choć wymiana danych osobowych odbywa się wyłącznie pomiędzy właściwymi organami państw członkowskich, Komisja Europejska odpowiada za przechowywanie tych danych na swoich serwerach. Komisja Europejska nie ma wglądu w dane osobowe, ale jako operator systemu fizycznie obsługuje usuwanie i poprawianie danych.
Innymi słowy, wskutek podziału obowiązków pomiędzy Komisją a państwami członkowskimi:
a) każdy właściwy organ i koordynator systemu IMI jest administratorem w odniesieniu do własnych czynności przetwarzania danych;
b) Komisja nie jest użytkownikiem, lecz operatorem systemu odpowiedzialnym głównie za jego konserwację i bezpieczeństwo (4);
c) uczestnicy systemu IMI ponoszą wspólną odpowiedzialność w zakresie przekazywania informacji oraz praw w zakresie dostępu do danych, sprostowania i wniesienia sprzeciwu.
W złożonych przypadkach, w których występuje kwestia współadministracji, tak jak ma to miejsce w systemie IMI, najbardziej skutecznym sposobem zapewnienia zgodności z przepisami wydaje się wbudowanie mechanizmów ochrony danych do systemu już na samym początku (zob. „Prace w toku" w rozdziale 13: „Współpraca z organami ochrony danych i EIOD") oraz określenie ram przestrzegania prawa zgodnie z niniejszymi wytycznymi. Stosowanie się do tych ram stanowi obowiązek wszystkich uczestników i użytkowników systemu IMI.
5. UCZESTNICY I UŻYTKOWNICY SYSTEMU IMI
Wszyscy uczestnicy korzystający z systemu IMI są weryfikowani przez koordynatorów tego systemu. Szczegółowy opis uczestników i użytkowników oraz ich funkcji, praw i obowiązków znajduje się w art. 6-12 decyzji 2008/49/WE. Nie ma zatem potrzeby zajmowania się tą kwestią w niniejszych wytycznych.
Ważne jest, aby zrozumieć, że IMI jest bardzo elastycznym systemem, który umożliwia państwom członkowskim przydzielanie zadań i funkcji właściwym organom oraz koordynatorom na różne sposoby w zależności od konkretnych struktur administracyjnych oraz obszarów prawodawstwa mających być przedmiotem współpracy administracyjnej.
Należy również pamiętać, że użytkownicy systemu IMI w państwach członkowskich odpowiadają za wiele innych operacji przetwarzania. Zapewnienie zgodności z przepisami o ochronie danych w systemie IMI nie musi być przesadnie skomplikowane lub stanowić nadmiernego obciążenia administracyjnego. Nie musi to być także uniwersalny system typu „jeden dla wszystkich".
W większości przypadków właściwe organy muszą przetworzyć dane w systemie IMI na takich samych zasadach i zgodnie z takimi samymi dobrymi praktykami, jakie normalnie stosują, administrując danymi z uwzględnieniem ich konkretnych potrzeb oraz przepisów krajowych o ochronie danych.
Powinny one również korzystać z oferowanego przez system IMI środowiska sprzyjającego ochronie danych. Na przykład zachęca się je do korzystania z możliwości żądania usunięcia z systemu danych osobowych będących przedmiotem wymiany przed upływem sześciomiesięcznego terminu przechowywania, jeśli nie ma dalszej potrzeby wymiany informacji w systemie IMI.
6. PODSTAWY PRAWNE WYMIANY INFORMACJI OSOBOWYCH W SYSTEMIE IMI
Komisja przyjęła decyzję 2008/49/WE określającą funkcje, prawa i obowiązki uczestników oraz użytkowników systemu IMI w zakresie wdrożenia systemu IMI pod względem ochrony danych osobowych.
Nie wszystkie informacje wymienione za pośrednictwem systemu IMI są danymi osobowymi. Informacje będące przedmiotem wymiany mogą na przykład dotyczyć osób prawnych (5), pytanie i odpowiedź nie muszą dotyczyć konkretnej osoby (np. ogólne pytanie, czy zawód jest uregulowany w danym państwie członkowskim).
W wielu przypadkach wymiana informacji dotyczy jednak osób fizycznych, a zatem muszą istnieć podstawy prawne dla przetwarzania danych osobowych. Posłużenie się systemem IMI często leży w interesie osoby, której dotyczą dane. Niemniej jednak, nawet jeśli wymiana informacji niekoniecznie leży w interesie osoby, której dotyczą dane, informacje mogą zostać wymienione przez właściwe organy za pośrednictwem systemu IMI pod warunkiem, że wymagają tego konkretne przepisy.
Artykuł 7 dyrektywy 95/46/WE zawiera wykaz podstaw prawnych przetwarzania danych osobowych. Przepisy art. 7 lit. c) i art. 7 lit. e) mają szczególne znaczenie dla wymiany danych w ramach systemu IMI.
I) Wykonanie zobowiązania prawnego (art. 7 lit. c))
Zgodnie z ogólną zasadą państwa członkowskie UE mają obowiązek współpracować ze sobą oraz z instytucjami wspólnotowymi. Obowiązek współpracy administracyjnej jest wyraźnie i konkretnie określony w dyrektywie 2005/36/WE (uznawanie kwalifikacji zawodowych) i w dyrektywie 2006/123/WE (dyrektywa usługowa).
Artykuł 56 dyrektywy o kwalifikacjach zawodowych stanowi, co następuje:
„1. Właściwe organy przyjmującego państwa członkowskiego i rodzimego państwa członkowskiego ściśle współpracują ze sobą i wzajemnie się wspierają w celu ułatwienia stosowania niniejszej dyrektywy. Zapewniają one poufność wymienianych informacji.
2. Właściwe organy przyjmującego państwa członkowskiego i rodzimego państwa członkowskiego wymieniają między sobą, przy poszanowaniu przepisów dotyczących ochrony danych osobowych przewidzianych w dyrektywach 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1) i 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (2), informacje dotyczące postępowań dyscyplinarnych lub nałożonych sankcji karnych albo innych, poważnych okoliczności szczególnych, które najprawdopodobniej mogą wywierać skutki na wykonywanie zawodu na podstawie niniejszej dyrektywy".
Artykuł 28 dyrektywy usługowej stanowi, co następuje:
„1. Państwa członkowskie udzielają sobie wzajemnej pomocy i podejmują środki skutecznej współpracy w celu zapewnienia nadzoru nad usługodawcami i usługami przez nich świadczonymi. [...]
6. Państwa członkowskie dostarczają informacji, o które zwrócą się inne państwa członkowskie lub Komisja, drogą elektroniczną i w najkrótszym możliwym terminie".
Artykuł 34 dyrektywy usługowej stanowi, co następuje:
„1. Komisja, we współpracy z państwami członkowskimi, ustanawia elektroniczny system wymiany informacji pomiędzy państwami członkowskimi, z uwzględnieniem istniejących systemów informacyjnych".
II) Realizacja zadania wykonywanego w interesie publicznym lub w wykonaniu władzy publicznej nadanej administratorowi danych (art. 7 lit. e))
Uczestnicy i użytkownicy systemu IMI realizują zadania w interesie publicznym lub w wykonaniu nadanej im władzy publicznej. Wszystkie przypadki rejestracji w systemie IMI weryfikowane są przez koordynatora systemu IMI, który upewnia się, że dany właściwy organ realizuje zadanie w interesie publicznym (np. izby lekarskie lub weterynaryjne zapewniające przestrzeganie zasad etycznych lub sanitarnych przez ich członków) bądź w wykonaniu nadanej im władzy publicznej (np. ministerstwa edukacji zapewniające posiadanie odpowiednich kwalifikacji przez nauczycieli szkół średnich).
Zgodnie z powyższym system IMI może służyć do wymiany danych osobowych na podstawie przepisów dyrektywy o kwalifikacjach zawodowych i dyrektywy usługowej, do celów w nich określonych. Informacje dotyczące innych przepisów z zakresu rynku wewnętrznego nie mogą być wymieniane za pośrednictwem systemu IMI. W przypadku rozszerzenia kiedykolwiek zakresu systemu IMI o dodatkowe przepisy odpowiednia wzmianka o stosownych aktach wspólnotowych pojawi się w załączniku do decyzji 2008/49/WE.
7. KWESTIA WŁAŚCIWEGO PRAWA I ODPOWIEDNIEGO NADZORU
Właściwe prawo ochrony danych zależy od tego, kim jest uczestnik lub użytkownik systemu IMI. Na przykład w przypadku Komisji Europejskiej zastosowanie ma rozporządzenie (WE) nr 45/2001 o ochronie danych. W przypadku użytkownika krajowego (np. właściwego organu) właściwe jest krajowe prawo o ochronie danych, które musi być zgodne z dyrektywą 95/46/WE (dyrektywa o ochronie danych).
Dyrektywa ta wraz z rozporządzeniem (WE) nr 45/2001 (6) stanowi solidne ramy ochrony danych w Unii Europejskiej. Dyrektywa o ochronie danych daje pewną dowolność państwom członkowskim. Wskazane jest zatem, aby krajowi koordynatorzy systemu IMI omówili niniejsze wytyczne z właściwymi dla nich urzędami ochrony danych, na przykład w odniesieniu do informacji przekazywanych osobom fizycznym (zob. rozdział 9 w tej sprawie) lub obowiązku zgłaszania niektórych operacji przetwarzania danych urzędom ochrony danych.
Dyrektywa 95/46/WE (ochrona danych) jest dyrektywą z zakresu rynku wewnętrznego o podwójnym przeznaczeniu. Harmonizacja krajowych przepisów o ochronie danych ma na celu zarówno zapewnienie wysokiego poziomu ochrony danych, jak i zabezpieczenie podstawowych praw osób fizycznych, a tym samym umożliwienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi. Z tego względu specyfika poszczególnych krajów nie powinna mieć praktycznego ani znaczącego wpływu na korzystanie z systemu IMI i wymianę informacji na podstawie innych aktów wspólnotowych.
Jedną z istotniejszych cech unijnych ram ochrony prawnej danych jest nadzór ze strony niezależnych publicznych urzędów ochrony danych. W efekcie obywatele mają możliwość wnoszenia skarg do tych urzędów, dzięki czemu sprawy z zakresu ochrony danych mogą być załatwiane szybko i bez udziału sądu. Przetwarzanie danych osobowych na poziomie krajowym podlega nadzorowi ze strony krajowych urzędów ochrony danych, natomiast przetwarzanie danych osobowych przez instytucje europejskie nadzoruje Europejski Inspektor Ochrony Danych (EIOD). W rezultacie Komisja Europejska nadzorowana jest przez EIOD, a pozostali użytkownicy systemu IMI - przez krajowe organy ochrony danych. Dalsze informacje na temat skarg lub wniosków osób, których dotyczą dane, znajdują się w rozdziale 10 poświęconym prawom dostępu do danych i ich poprawiania oraz w rozdziale 13 o współpracy z organami ochrony danych i EIOD.
8. ZASADY OCHRONY DANYCH MAJĄCE ZASTOSOWANIE DO WYMIANY INFORMACJI
Zgodnie z prawem WE dane osobowe można przetwarzać jedynie po spełnieniu pewnych warunków (zob. rozdział 6 „Podstawy prawne wymiany informacji osobowych w systemie IMI") oraz na zasadach określonych w dyrektywie o ochronie danych jako „zasady dotyczące jakości danych" (zob. art. 6 dyrektywy).
Administratorzy danych powinni gromadzić dane osobowe jedynie do konkretnych i zgodnych z prawem celów oraz nie mogą ich przetwarzać do celów niezgodnych z tymi, dla których zostały zgromadzone. Klasycznym przykładem niezgodnych celów byłaby sprzedaż prywatnym przedsiębiorstwom na potrzeby marketingu danych teleadresowych zgromadzonych przez właściwy organ przy prowadzeniu sprawy migrujących specjalistów w ramach dyrektywy usługowej.
Przetwarzanie danych osobowych musi być ponadto proporcjonalne (prawidłowe, stosowne i nienadmierne ilościowo) w stosunku do celów, dla których dane zostały zgromadzone, a administrator danych musi dodatkowo podejmować wszelkie uzasadnione działania dla zapewnienia, że dane są aktualizowane oraz usuwane lub anonimizowane, gdy identyfikacja osoby, której dotyczą, przestała być konieczna. Zasady dotyczące jakości danych są zasadami z zakresu właściwego zarządzania informacjami, jako że dobry system informacji nie polega na gromadzeniu bez konkretnego celu gigabajtów danych, które szybko tracą na aktualności i stają się nierzetelne. Dobry system informacji elektronicznej powinien gromadzić wyłącznie dane, które są potrzebne do określonych z góry celów, a dane te powinny być na bieżąco aktualizowane, aby można było na nich w pełni polegać.
Zastosowanie zasad dotyczących jakości danych do systemu IMI prowadzi do następujących zaleceń:
(1) System IMI powinien być wykorzystywany ściśle do celów określonych we właściwym prawodawstwie (np. w przypadku uzasadnionych wątpliwości lub z innych powodów określonych we właściwych przepisach). Z tego względu, choć oczekuje się, że system IMI stanie się rutynowym narzędziem wymiany informacji pomiędzy właściwymi organami, należy kategorycznie podkreślić, iż system ten nie może służyć do systematycznej weryfikacji informacji o migrujących specjalistach lub usługodawcach.
(2) Właściwy organ występujący z wnioskiem powinien przekazać dane osobowe wyłącznie w takim zakresie, jaki jest niezbędny, aby pozwolić właściwemu organowi udzielającemu odpowiedzi na jednoznaczną identyfikację konkretnej osoby i udzielenie odpowiedzi na pytania. Na przykład, jeśli migrujący specjalista może być zidentyfikowany za pomocą nazwiska i numeru wpisu w rejestrze zawodowym, nie ma potrzeby przekazywania również jego numeru identyfikacji osobistej.
(3) Użytkownicy systemu IMI powinni starannie dobierać pytania i zwracać się wyłącznie o informacje, które są niezbędne. Jest to nie tylko kwestia przestrzegania zasad dotyczących jakości danych, ale i zmniejszenia obciążeń administracyjnych. Do celów przejrzystości na stronie internetowej IMI publikowane są predefiniowane zestawy pytań (7).
Co to są dane szczególnie chronione (2)? Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również dotyczące stanu zdrowia, orientacji seksualnej, przestępstw, wyroków skazujących lub środków bezpieczeństwa. W niektórych państwach członkowskich informacje na temat sankcji administracyjnych lub wyroków są również uważane za dane szczególnie chronione. |
(4) Właściwe organy muszą zachować szczególną czujność w przypadku, gdy wymiana informacji dotyczy danych szczególnie chronionych. Wymiana danych szczególnie chronionych możliwa jest jedynie w bardzo ograniczonych okolicznościach. Największe znaczenie dla przetwarzania danych szczególnie chronionych w systemie IMI mają następujące wymagania:
a) przetwarzanie danych szczególnie chronionych jest konieczne do ustalenia, wykonania lub ochrony roszczeń prawnych (zob. art. 8 ust. 2 lit. e) dyrektywy o ochronie danych i odpowiadające mu przepisy w prawie krajowym).
Może to dotyczyć przypadków wymiany danych w systemie IMI, w których migrujący specjalista lub usługodawca ubiega się o prawo do wykonywania zawodu lub prowadzenia działalności gospodarczej w innym państwie członkowskim. Właściwe organy muszą w każdym przypadku uważnie zbadać, czy dane szczególnie chronione są absolutnie konieczne do ustalenia takiego prawa.
Jeśli chodzi o pewne konkretne rodzaje danych szczególnie chronionych, które podlegają wymianie w systemie IMI, to państwa członkowskie przyjęły szczegółowe przepisy w dyrektywie o kwalifikacjach zawodowych i dyrektywie usługowej:
1) artykuł 56 ust. 2 dyrektywy o kwalifikacjach zawodowych stanowi: „Właściwe organy przyjmującego państwa członkowskiego i rodzimego państwa członkowskiego wymieniają między sobą, przy poszanowaniu przepisów dotyczących ochrony danych osobowych [...], informacje dotyczące postępowań dyscyplinarnych lub nałożonych sankcji karnych albo innych, poważnych okoliczności szczególnych, które najprawdopodobniej mogą wywierać skutki na wykonywanie zawodu na podstawie niniejszej dyrektywy";
2) artykuł 33 dyrektywy usługowej przewiduje konkretne zasady wymiany informacji dotyczących dobrej reputacji usługodawców: „Państwa członkowskie, na wniosek właściwych organów w innym państwie członkowskim, dostarczają informacji, zgodnie ze swoim prawem krajowym, dotyczących postępowań dyscyplinarnych lub administracyjnych albo sankcji karnych oraz decyzji dotyczących niewypłacalności lub upadłości [.]";
b) osoba, której dotyczą dane, udzieliła wyraźnej zgody. Jeśli współpraca administracyjna leży w interesie osoby, której dotyczą dane, uzyskanie jej wyraźnej zgody na przetwarzanie danych osobowym nie musi być problemem.
(5) Należy zachować najwyższą ostrożność w odniesieniu do informacji o karalności, w przypadku których ścisłość i aktualność mają decydujące znaczenie. Z tego względu, poza przestrzeganiem zasad określonych w dyrektywie i rozporządzeniu o ochronie danych, o których mowa w niniejszym zaleceniu (9), o tego rodzaju informacje należy występować wyłącznie wtedy, gdy zezwalają na to odpowiednie przepisy wspólnotowe oraz jest to absolutnie konieczne do podjęcia decyzji w konkretnej sprawie bezpośrednio związanej z wnioskiem. Innymi słowy, przetwarzanie musi bezpośrednio wiązać się z wykonywaniem zawodu lub świadczeniem usługi oraz być konieczne do celów weryfikacji zgodności z przepisami odpowiedniej dyrektywy. Użytkownicy systemu IMI powinni zawsze pamiętać, że informacje konieczne do podjęcia decyzji nie muszą dotyczyć karalności migrującego specjalisty lub usługodawcy.
W istocie rzeczy, z całego zestawu pytań w systemie IMI zaledwie kilka dotyczy karalności lub innych danych szczególnie chronionych (10). Poza tymi ograniczonymi przypadkami do wymiany danych szczególnie chronionych powinno dochodzić jedynie w wyjątkowej sytuacji, gdy konkretne okoliczności sprawy wskazują, że dane te bezpośrednio wiążą się z wykonywaniem konkretnej działalności i są absolutnie konieczne do ustalenia roszczeń prawnych.
Właściwym organom nie wolno posługiwać się systemem IMI do rutynowego sprawdzania karalności migrujących specjalistów, jako że byłoby to sprzeczne z jego przeznaczeniem. Zapytania o przestępstwa lub środki dyscyplinarne muszą ponadto dotyczyć danego zawodu lub usługi, a nie innych przestępstw popełnionych przez migrującego specjalistę lub zastosowanych przeciwko niemu środków dyscyplinarnych w kraju pochodzenia. Na przykład, aby sprawdzić, czy lekarz jest zarejestrowany zgodnie z prawem i posiada nienaganną opinię w zrzeszeniu lekarzy, właściwy organ występujący z wnioskiem nie musi wiedzieć, czy lekarz ten był karany za wykroczenia drogowe, jako że nie ma to wpływu na możliwość wykonywania zawodu lekarza w kraju pochodzenia.
Dalsze przetwarzanie i przechowywanie danych poza systemem IMI Wykorzystanie systemu IMI będzie często wiązało się z dostarczaniem danych do celów przetworzenia w ramach innej operacji w państwie członkowskim (np. przy rozpatrywaniu wniosku o wykonanie usługi lub udzielenie zezwolenia na wykonywanie danego zawodu). Jest więc rzeczą normalną, że właściwe organy będą dalej przetwarzały dane otrzymane do tych celów. Krajowe przepisy o ochronie danych mają nadal zastosowanie w przypadku, gdy dane uzyskane za pośrednictwem systemu IMI podlegają przetworzeniu poza nim. Należy zatem upewnić się, że: — dalsze przetwarzanie nie jest sprzeczne z celami, dla których dane zostały zebrane i wymienione w systemie IMI, — dalsze przetwarzanie jest konieczne i proporcjonalne (prawidłowe, stosowne i nienadmierne ilościowo) w stosunku do celów, dla których dane zostały pierwotnie zebrane w systemie IMI, — należy podjąć odpowiednie kroki w celu zapewnienia, że dane są aktualizowane oraz usuwane, gdy przestają być potrzebne, — w przypadku pobrania danych z systemu IMI w celu ujawnienia osobie trzeciej należy o tym fakcie poinformować osobę, której dotyczą dane, chyba że dostarczenie takich informacji byłoby niemożliwe lub wymagałoby niewspółmiernego wysiłku bądź jeśli przepisy prawa wyraźnie przewidują możliwość takiego ujawnienia (zob. art. 11 ust. 2 dyrektywy 95/46/WE o ochronie danych). Z uwagi na to, że ujawnienia mogą wymagać przepisy prawa tylko jednego z zaangażowanych państw członkowskich, a zatem wymóg ten może nie być szeroko znany gdzie indziej, Komisja sugeruje podjęcie starań w celu informowania osób, których dotyczą dane, nawet jeśli ujawnienie danych jest wyraźnie przewidziane przepisami prawa. |
9. INFORMOWANIE OSÓB, KTÓRYCH DOTYCZĄ DANE
Jednym z filarów systemu ochrony danych jest zasada, że administratorzy danych informują osoby, których dotyczą dane, o zamiarze przeprowadzenia każdej operacji przetworzenia ich danych osobowych.
Artykuł 10 dyrektywy o ochronie danych przewiduje obowiązek poinformowania osoby, której dotyczą dane, w chwili pobierania danych, co najmniej o tożsamości administratora, celach przetwarzania, odbiorcach lub kategoriach odbiorców danych, o tym, czy odpowiedzi na pytania są obowiązkowe oraz jakie są ewentualne konsekwencje nieudzielenia odpowiedzi, jak również o prawach dostępu do danych i ich poprawiania.
Z tego względu, przy zbieraniu danych osoby fizycznej, właściwy organ winien poinformować osobę, której dotyczą dane, że jej dane mogą być wprowadzone do systemu IMI do celów korespondencji z organami administracji publicznej w innych państwach członkowskich w związku z jej wnioskiem oraz że w razie potrzeby może zwrócić się do dowolnego z właściwych organów obsługujących wniosek z prośbą o udzielenie dostępu do danych będących przedmiotem wymiany lub ich poprawienie (więcej informacji na ten temat znajduje się w rozdziale 10 poświęconym prawom dostępu do danych i ich poprawiania).
Decyzja o sposobie przekazywania tych informacji osobom, których dotyczą dane, leży w gestii każdego właściwego organu. Jako że większość (jeśli nie wszystkie) właściwe organy będą prowadziły inne operacje przetwarzania danych poza wymianą informacji w systemie IMI, osoby fizyczne mogą, o ile stosowne, być informowane w taki sam sposób, jaki jest stosowany do przekazywania podobnych informacji w przypadku innych operacji przetwarzania na podstawie prawa krajowego (np. za pomocą obrazów, w korespondencji z osobami, których dotyczą dane, lub na stronie internetowej).
Przekazywanie informacji w dyrektywie o ochronie danych Artykuł 10 dyrektywy o ochronie danych zawiera wykaz minimalnych wymagań w zakresie informacji przekazywanych osobom fizycznym, chyba że są już w ich posiadaniu: a) tożsamość administratora lub administratorów danych (właściwego organu gromadzącego dane oraz podobnych organów w innym państwie członkowskim); b) cel przetwarzania danych (korespondencja z innymi organami w związku z wnioskiem migrującego specjalisty lub usługodawcy); c) wszelkie dalsze informacje, o ile są konieczne do zagwarantowania rzetelności przetwarzania lub wymagane przepisami prawa krajowego, takie jak: 1) odbiorcy lub kategorie odbiorców danych; 2) istnienie praw dostępu do danych oraz ich poprawiania, sposób wykonania tych praw w praktyce oraz wyjątki w tym zakresie przewidziane przepisami krajowymi; 3) prawo dochodzenia roszczeń (np. dostęp do sądów i prawo do odszkodowania); 4) okres przechowywania danych; 5) środki bezpieczeństwa; 6) odsyłacze do odpowiednich dokumentów i stron internetowych, w tym strony internetowej IMI prowadzonej przez Komisję. |
Dyrektywa o ochronie danych przewiduje dwa przypadki, w których informacje muszą być przekazywane osobom, których dotyczą dane: gdy dane zostały uzyskane bezpośrednio od tych osób i gdy dane zostały uzyskane od innych osób. Jednakże w tym drugim przypadku art. 11 dyrektywy odwołuje się do zasady rozsądku, stanowiąc, że dostarczenie takich informacji nie jest konieczne, jeżeli wymagałoby niewspółmiernego wysiłku lub jeżeli gromadzenie bądź ujawnianie informacji jest wyraźnie przewidziane przepisami prawa (tak jak w przypadku wymiany informacji w systemie IMI), choć obwarowane jest to zastrzeżeniem, iż w takich przypadkach „państwa członkowskie muszą zapewnić odpowiednie środki zabezpieczające".
Właściwe organy mogą zatem stanąć przed koniecznością dopasowania sposobu informowania osób, których dotyczą dane, zgodnie z własnymi przepisami krajowymi, najlepiej w porozumieniu z krajowymi koordynatorami systemu IMI i krajowymi urzędami ochrony danych. Zaleca się zastosowanie podejścia warstwowego, w ramach którego informacje podstawowe byłyby przekazywane w chwili pobierania danych (np. na formularzach wniosków składanych właściwym organom) wraz ze wskazaniem, gdzie osoby, których dotyczą dane, mogą, jeśli będą zainteresowane, uzyskać dalsze informacje.
W przypadku tego drugiego, bardziej szczegółowego poziomu informacji skutecznym sposobem informowania osób, których dotyczą dane, mogłoby być umieszczenie polityki prywatności lub oświadczenia o ochronie prywatności na stronach internetowych.
Właściwe organy, które już dysponują takim oświadczeniem o ochronie prywatności, powinny zaktualizować lub uzupełnić jego treść, tak aby zawierała wyraźną wzmiankę o wymianie danych osobowych w systemie IMI. W innych przypadkach właściwe organy powinny zastanowić się, czy skala korzystania z systemu IMI oraz gromadzenia danych osobowych uzasadnia sporządzenie oświadczenia o ochronie prywatności w celu umieszczenia w internecie.
W wypadku sporadycznego korzystania z systemu IMI wystarczające może być przekazanie osobom fizycznym pobieżnych informacji o tym systemie w chwili pobierania danych, a później w zależności od potrzeb. W takich przypadkach, w których osobie, której dotyczą dane, nie zostało przekazane oświadczenie o ochronie prywatności dotyczące systemu IMI, właściwy organ powinien wyraźnie wskazać miejsce, w którym osoba ta może uzyskać bardziej szczegółowe informacje, np. stronę internetową krajowego koordynatora systemu IMI lub stronę Komisji poświęconą systemowi IMI.
Na stronie internetowej Komisji poświęconej systemowi IMI (11), w części dotyczącej ochrony danych, znajduje się oświadczenie Komisji o ochronie prywatności w związku z systemem IMI. Osoby, których dotyczą dane, mogą znaleźć tam dodatkowe informacje na temat sposobu wykonywania przysługujących im praw oraz możliwości uzyskania w razie potrzeby pomocy u krajowych właściwych organów lub w urzędach ochrony danych:
„Jeśli sądzą Państwo, że Państwa dane osobowe znajdują się w systemie IMI, i chcieliby Państwo uzyskać wgląd do nich bądź usunąć je lub poprawić, należy zwrócić się do urzędu lub organizacji zawodowej, z którymi się Państwo kontaktowali, lub też do dowolnego innego użytkownika systemu IMI, który uczestniczył w wymianie informacji. W przypadku gdy uzyskana odpowiedź Państwa nie zadowoli, mogą Państwo albo skontaktować się z innym użytkownikiem systemu IMI uczestniczącym w wymianie informacji, albo złożyć skargę do urzędu ochrony danych właściwego dla jednego z użytkowników systemu IMI uczestniczących w wymianie informacji. Organ ten udzieli Państwu pomocy, nie pobierając za to żadnych opłat. Lista organów ochrony danych znajduje się na stronie:
http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm
Należy jednak pamiętać, że prawo krajowe może przewidywać wyjątki od zasady prawa dostępu do swoich danych osobowych".
Zdecydowanie zaleca się, aby ważni uczestnicy systemu IMI, obsługujący dużą liczbę wniosków, umieszczali oświadczenie o ochronie prywatności na swoich stronach internetowych. Oświadczenia te powinny zawierać odsyłacz do strony z informacjami o ochronie danych na stronie internetowej Komisji poświęconej systemowi IMI. Inne właściwe organy, obsługujące mniejszą liczbę wniosków, mogą posługiwać się przede wszystkim odsyłaczem do strony internetowej Komisji poświęconej systemowi IMI.
Krajowi koordynatorzy systemu IMI powinni służyć pomocą właściwym organom. Może to obejmować pomoc w opracowywaniu przykładowych informacji o zasadach ochrony prywatności, które mogą stanowić wzór dla właściwych organów krajowych. Ewentualnie można opracować wspólną, ogólnokrajową informację o zasadach ochrony poufności, która zostanie opublikowana w internecie przez koordynatora krajowego, zaś każdy właściwy organ może po prostu podawać osobom, których dotyczą dane, odsyłacz do takiej informacji (np. na formularzach wniosków lub innych dokumentach dostarczanych osobom, których dotyczą dane).
OŚWIADCZENIE KOMISJI EUROPEJSKIEJ O OCHRONIE PRYWATNOŚCI System wymiany informacji na rynku wewnętrznym (IMI) 1. Cele systemu IMI i uczestniczące w nim podmioty Celem systemu IMI jest ułatwienie współpracy administracyjnej oraz wzajemnej pomocy między państwami członkowskimi, tak aby zapewnić właściwe funkcjonowanie rynku wewnętrznego oraz swobodny przepływ osób i usług. System IMI stanowi narzędzie wymiany informacji (w tym niektórych danych osobowych) między organami administracji krajowej państw członkowskich EOG. Niniejsze oświadczenie o ochronie prywatności obejmuje tę część systemu IMI, za którą odpowiada Komisja, tj. gromadzenie, rejestrację, przechowywanie i usuwanie danych osobowych pierwszych użytkowników na poziomie krajowych koordynatorów systemu IMI oraz przechowywanie i usuwanie - ale już nie gromadzenie, odzyskiwanie i przeglądanie - danych osobowych innych użytkowników systemu IMI i pozostałych osób, których dotyczy wymiana informacji. Nie dotyczy ono zatem tych czynności związanych z przetwarzaniem danych, które wchodzą w zakres obowiązków państw członkowskich. 2. Jakie przepisy prawa obowiązują? Wszystkie czynności przetwarzania danych w ramach kompetencji Komisji Europejskiej reguluje rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. Ponadto zastosowanie ma decyzja Komisji 2008/49/WE z dnia 12 grudnia 2007 r. w sprawie wdrożenia systemu wymiany informacji rynku wewnętrznego (IMI) pod względem ochrony danych osobowych. 3. Jakie dane przetwarza Komisja w systemie IMI? Komisja gromadzi niezbędne dane kontaktowe pierwszych użytkowników na poziomie krajowych koordynatorów systemu IMI, takie jak nazwisko, numery telefonu i faksu oraz adres email w miejscu pracy. Te dane osobowe, a także dane użytkowników na poziomie koordynatorów delegowanych ds. systemu IMI oraz na poziomie właściwych organów są przechowywane na serwerze Komisji. Dane osób, których dotyczy wymiana informacji, będą przechowywane ze względów technicznych na serwerze Komisji. 4. Jaki jest cel przetwarzania danych w systemie IMI? Dane kontaktowe krajowych koordynatorów systemu IMI mają zasadnicze znaczenie dla stworzenia i funkcjonowania systemu IMI. Komisja musi mieć dostęp do tych danych, aby skutecznie współpracować z państwami członkowskimi w zakresie zarządzania systemem IMI. W odniesieniu do tymczasowego przechowywania danych tych osób, których dotyczy wymiana informacji między krajowymi organami, przetwarzanie danych w systemie IMI ma na celu usprawnienie i ułatwienie współpracy między właściwymi organami państw członkowskich na podstawie prawodawstwa wspólnotowego przyjętego w celu urzeczywistnienia rynku wewnętrznego w przypadkach, w których istnieje potrzeba uzyskania od innego państwa członkowskiego dodatkowych informacji związanych z tymczasowym transgranicznym świadczeniem usług lub prowadzeniem działalności przez usługodawcę w innym państwie członkowskim. 5. Kto ma dostęp do danych? Z uwzględnieniem ograniczeń określonych w art. 12 ust. 7 decyzji 2008/49/WE pod względem ochrony danych osobowych lokalni administratorzy danych na poziomie Komisji mają dostęp do danych osobowych lokalnych administratorów danych na poziomie krajowych koordynatorów systemu IMI. W żadnym przypadku pracownicy Komisji nie mają dostępu do danych osoby, której dotyczy wymiana informacji. 6. Jak długo przechowuje się dane osobowe? Dane osobowe użytkowników na poziomie właściwego organu i na poziomie koordynatorów są przechowywane dopóty, dopóki są oni użytkownikami systemu IMI. Wszystkie dane osobowe wymieniane między właściwymi organami i przetwarzane w systemie IMI zostaną automatycznie usunięte przez Komisję po upływie sześciu miesięcy od formalnego zakończenia wymiany danych. Ze względów statystycznych informacje będące przedmiotem wymiany nadal będą przechowywane w systemie IMI, przy czym wszelkie dane osobowe staną się anonimowe. Właściwy organ uczestniczący w wymianie określonych informacji może w dowolnym czasie po zakończeniu tej wymiany zlecić Komisji usunięcie określonych danych osobowych. Komisja dostosuje się do każdego takiego wniosku w ciągu 10 dni roboczych pod warunkiem uzyskania zgody drugiego właściwego organu uczestniczącego w wymianie informacji. 7. Jakie środki bezpieczeństwa wprowadzono, aby uniemożliwić dostęp do danych osobom nieupoważnionym? System IMI jest chroniony na liczne sposoby. Poszczególne poziomy dostępu do bazy danych chroni zwykle stosowany w podobnych przypadkach system posługujący się hasłem dostępu oraz dodatkowym kodem cyfrowym podobnym do kodu używanego w systemach bankowości elektronicznej. Prawo dostępu do danych osobowych w systemie IMI ma tylko ograniczona grupa osób, jak opisano powyżej w pkt 5 („Kto ma dostęp do danych?"). System jest również chroniony specjalną, zaszyfrowaną wersją protokołu internetowego - https. 8. Dostęp do swoich danych osobowych Krajowi koordynatorzy systemu IMI mogą uzyskać dostęp do swoich danych osobowych za pośrednictwem adresu kontaktowego podanego poniżej w pkt 10. 9. Informacje dodatkowe Oprócz niniejszego oświadczenia o ochronie prywatności obowiązuje „ważna informacja prawna" (http://europa.eu/-geninfo/legal_notices_pl.htm). Jeśli sądzą Państwo, że Państwa dane osobowe znajdują się w systemie IMI, i chcieliby Państwo uzyskać wgląd do nich bądź usunąć je lub poprawić, należy zwrócić się do urzędu lub organizacji zawodowej, z którymi się Państwo kontaktowali, lub też do dowolnego innego użytkownika systemu IMI, który uczestniczył w wymianie informacji. W przypadku gdy uzyskana odpowiedź Państwa nie zadowoli, mogą Państwo albo skontaktować się z innym użytkownikiem systemu IMI uczestniczącym w wymianie informacji, albo złożyć skargę do urzędu ochrony danych właściwego dla jednego z użytkowników systemu IMI uczestniczących w wymianie informacji. Organ ten udzieli Państwu pomocy, nie pobierając za to żadnych opłat. Lista organów ochrony danych znajduje się na stronie: http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_enhtm Należy jednak pamiętać, że prawo krajowe może przewidywać wyjątki od zasady prawa dostępu do swoich danych osobowych 10. Kontakt Systemem IMI zarządza Dyrekcja Generalna ds. Rynku Wewnętrznego i Usług Komisji Europejskiej (Dział E.3). Za projekt odpowiada (administrator danych) Kierownik Działu Nicholas Leapman. Informacje na temat IMI są udzielane pod adresem: European Commission Internal Market and Services Directorate General Unit E.3 B-1049 Brussels marktimidataprotection@ec.europa.eu Jeżeli pragną Państwo złożyć skargę związaną z przypadkiem przetworzenia danych w ramach kompetencji Komisji, proszę zwrócić się do Europejskiego Inspektora Ochrony Danych: European Data Protection Supervisor (EDPS) Rue Wiertz 60 (MO 63) Tel. +32 22 831 900 Faks +32 22 831 950 edps@edps.europa.eu |
10. PRAWO DOSTĘPU DO DANYCH I ICH POPRAWIANIA
Przejrzystość ma nadrzędne znaczenie w odniesieniu do osoby, której dotyczą dane. Cel ten osiąga się po pierwsze, przez przekazanie tej osobie informacji omówionych w poprzednim rozdziale, a po drugie, przez udzielenie jej prawa dostępu do własnych danych osobowych oraz, o ile stosowne, prawa do zażądania usunięcia, poprawienia lub zablokowania danych, które są nieścisłe bądź zostały przetworzone z naruszeniem prawa.
Złożoność systemu IMI, w którym wielu uczestników i użytkowników wspólnie przetwarza dane i wspólnie nimi administruje, wymaga zastosowania prostego podejścia wobec osób, których dotyczą dane. Osoby te nie posiadają -i nie muszą posiadać - wiedzy na temat technicznych aspektów operacji wspólnego przetwarzania lub funkcjonowania systemu IMI.
Powinna zatem obowiązywać jasna i prosta zasada: osoby, których dotyczą dane, będą miały możliwość wykonywania swoich praw w zakresie dostępu do danych oraz ich poprawiania i usuwania poprzez zwrócenie się ze stosownym żądaniem do dowolnego właściwego organu biorącego udział w wymianie informacji, a odstępstwa od tej reguły mogą mieć miejsce jedynie w uzasadnionych przypadkach i muszą być uzgodnione pomiędzy osobą, której dotyczą dane, a wszystkimi pozostałymi stronami. Właściwy organ nie może odmówić dostępu do danych ani ich poprawienia lub usunięcia, twierdząc, że to nie on wprowadził dane do systemu lub że osoba, której dotyczą dane, powinna zwrócić się do innego właściwego organu. Właściwy organ rozpatruje otrzymany wniosek i decyduje o jego przyjęciu lub odrzuceniu na podstawie jego zasadności oraz krajowych przepisów o ochronie danych. W razie potrzeby właściwy organ może skontaktować się z innymi właściwymi organami przed podjęciem decyzji. W przypadku braku zgody pomiędzy właściwymi organami w sprawę należy zaangażować krajowe urzędy ochrony danych, aby zapewnić szybkie i sprawne osiągnięcie porozumienia.
Jeśli osoba, której dotyczą dane, nie jest zadowolona z podjętej decyzji, może się ona zwrócić do innego właściwego organu uczestniczącego w wymianie informacji lub skontaktować się z krajowym urzędem ochrony danych właściwym dla dowolnego z tych organów w zależności od tego, gdzie jest jej najwygodniej; może to być na przykład urząd w kraju, w którym osoba ta prowadzi działalność gospodarczą lub pracuje bądź jej własny krajowy urząd ochrony danych. W razie potrzeby urzędy ochrony danych powinny współpracować ze sobą przy rozpatrywaniu skargi (zob. art. 28 dyrektywy o ochronie danych).
Należy podkreślić, że osoby, których dotyczą dane, mogą w każdej chwili skierować sprawę do sądu i, o ile stosowne, uzyskać zadośćuczynienie (zob. art. 22 i 23 dyrektywy o ochronie danych oraz odpowiadające im przepisy krajowe).
Artykuł 12 lit. c) dyrektywy o ochronie danych stanowi, że administrator danych zawiadamia osoby trzecie, którym dane zostały ujawnione, o poprawieniu, usunięciu lub zablokowaniu danych, o ile nie okaże się to niemożliwe lub nie będzie wymagało niewspółmiernego wysiłku. Dotyczy to również informacji przetwarzanych poza systemem IMI.
Stosownie do zaleceń Grupy Roboczej powołanej na mocy art. 29 oraz EIOD, Komisja pracuje obecnie nad funkcją systemu IMI (na wzór istniejącej procedury przedterminowego usuwania danych na wniosek właściwych organów, zob. rozdział 12), która dawałaby możliwość poprawienia danych w trybie online z automatycznym powiadomieniem właściwych władz uczestniczących w wymianie informacji. Zadanie to jest nieco technicznie złożone, więc proponuje się, aby do czasu wdrożenia tej funkcjonalności właściwe władze zwracały się bezpośrednio do administratora danych IMI przy Komisji Europejskiej w przypadku konieczności poprawienia danych osobowych (zob. część „Oświadczenie Komisji Europejskiej o ochronie prywatności").
Dyrektywa o ochronie danych oraz wdrażające ją przepisy krajowe zapewniają ponadto osobom, których dotyczą dane, prawo wniesienia sprzeciwu wobec przetwarzania danych oraz zażądania, aby przetwarzanie zostało zaniechane w przypadku uzasadnionego sprzeciwu. W przypadku kontaktu ze strony osoby, której dotyczą dane, powinniście Państwo zwrócić się do swojego krajowego urzędu ochrony danych w celu uzyskania dodatkowych informacji na temat funkcjonowania prawa sprzeciwu w Państwa kraju.
11. BEZPIECZEŃSTWO DANYCH
Stosowanych jest wiele środków organizacyjnych i technicznych, podobnych do tych wykorzystywanych w niektórych systemach bankowości osobistej, w celu zapewnienia bezpieczeństwa systemu IMI. Komunikacja internetowa z systemem IMI chroniona jest za pomocą specjalnej, zaszyfrowanej wersji protokołu internetowego - https. Środki techniczne służące do ochrony systemu IMI muszą zapewniać możliwość współdziałania w obrębie całej Unii Europejskiej. Ochrona techniczna systemu będzie w dalszym ciągu rozwijana, uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji (zob. art. 17 dyrektywy 95/46/WE oraz art. 22 rozporządzenia (WE) nr 45/2001).
Więcej informacji na temat zasad bezpieczeństwa systemów informacyjnych wykorzystywanych przez Komisję Europejską znajduje się w decyzji Komisji C(2006) 3602, z którą można zapoznać się w części strony internetowej IMI poświęconej ochronie danych:
http://ec.europa.eu/internal_market/iminet/data_protection_en.html
12. OKRES PRZECHOWYWANIA DANYCH
Zasady dotyczące okresu przechowywania danych zawarte są w art. 4 i 5 decyzji 2008/49/WE.
Obowiązuje ogólna zasada, że wszelkie dane osobowe będące przedmiotem wymiany usuwa się po sześciu miesiącach od formalnego zakończenia wymiany informacji. Komisja wprowadza obecnie pewne zmiany w tym systemie (przypomnienia i ponaglenia) w celu zapewnienia, że formalne zamykanie wniosków będzie następowało możliwie szybko.
Istnieje również możliwość, że właściwy organ zwróci się o usunięcie danych osobowych przed upływem sześciomiesięcznego terminu. Pod warunkiem zgody drugiego właściwego organu Komisja spełni takie żądanie w terminie dziesięciu dni roboczych.
Właściwe organy powinny mieć świadomość, że żądanie usunięcia danych osobowych mogą złożyć w trybie online, otwierając odpowiedni zamknięty wniosek i klikając przycisk „Zwracam się o usunięcie danych osobowych".
Zrzut ekranu z żądaniem właściwego organu dotyczącym przedterminowego usunięcie danych osobowych
Zrzut ekranu z pytaniem o zgodę właściwego organu na przedterminowe usunięcie danych osobowych
Komisja wprowadzi ponadto pewne ulepszenia systemu, takie jak automatyczne przypomnienia, by zaakceptować odpowiedź lub formalnie zamknąć wniosek w przypadku zadawalającej odpowiedzi.
Należy również przypomnieć, że krajowe zasady ochrony danych dotyczą wszelkich danych osobowych przechowywanych przez właściwe organy poza systemem IMI.
13. WSPÓŁPRACA Z KRAJOWYMI URZĘDAMI OCHRONY DANYCH I EIOD
Sieć krajowych urzędów ochrony danych i EIOD jest jedną z najlepszych gwarancji poprawnego funkcjonowania naszego systemu ochrony danych. Właściwe organy mogą korzystać z ich pomocy w przypadku trudnych zagadnień, które nie są objęte niniejszymi wytycznymi. Wzywa się krajowych koordynatorów systemu IMI do odgrywania znaczącej roli w tym względzie. Lista adresów urzędów ochrony danych znajduje się w części strony internetowej IMI poświęconej ochronie danych.
Właściwe organy muszą mieć również świadomość, że konieczne może okazać się dokonanie zgłoszenia w krajowym urzędzie ochrony danych przed przystąpieniem do uczestnictwa w systemie IMI. W niektórych państwach członkowskich może istnieć wymóg uzyskania uprzedniej zgody. Koordynatorzy systemu IMI powinni w razie potrzeby odgrywać aktywną rolę w zakresie koordynowania kontaktów z krajowymi urzędami ochrony danych.
Prace w toku W systemie IMI w 2009 r. zostaną wprowadzone następujące ulepszenia sprzyjające ochronie danych: a) w przypadku gdy wymiana informacji będzie dotyczyła danych szczególnie chronionych (np. danych na temat stanu zdrowia, karalności lub środków dyscyplinarnych), pojawi się przypomnienie, że dane są szczególnie chronione, a osoba zajmująca się daną sprawą powinna zwrócić się o takie informacje jedynie, gdy jest to niezbędnie konieczne i bezpośrednio wiąże się z wykonywaniem zawodu lub usługi; b) wprowadzona zostanie procedura online (na wzór istniejącej procedury przedterminowego usuwania danych na wniosek właściwych organów) w zakresie poprawiania, usuwania lub blokowania danych, które są nieścisłe bądź zostały przetworzone z naruszeniem prawa; c) wprowadzone zostaną automatyczne przypomnienia i ponaglenia, by zaakceptować odpowiedź, dzięki czemu wnioski będą załatwiane bez niepotrzebnych opóźnień; d) odpowiednie środki ze względu na konieczność obsługi nowych strumieni informacji w ramach dyrektywy usługowej - czyli mechanizm alertów i odstępstwa w indywidualnych przypadkach. Generalnie rzecz biorąc, środki te będą opierały się na takim samym podejściu, jakie jest stosowane w odniesieniu do ogólnej wymiany informacji, czyli będą na przykład obejmowały przypomnienia o szczególnie chronionym charakterze danych, przypomnienia o konieczności jak najszybszego zamknięcia sprawy i możliwych sposobach informowania osób o wymianie informacji oraz przysługujących im prawom dostępu do danych, ich blokowania, usuwania lub poprawiania. Może zaistnieć konieczność wprowadzenia dodatkowych środków ochrony danych. Zostaną one opracowane w porozumieniu z EIOD. |
14. KLAUZULA PRZEGLĄDOWA
IMI jest pionierskim systemem informacyjnym, który wciąż znajduje się w fazie opracowywania. Komisja ciągle otrzymuje informacje zwrotne od koordynatorów i właściwych organów, które służą do udoskonalenia systemu, a zatem można oczekiwać wprowadzenia zmian w nadchodzących miesiącach. Część z nich może nie mieć znaczenia dla ochrony danych, inne - tak.
Niniejsze wytyczne nie są zatem ustalone raz na zawsze i będą musiały być aktualizowane na podstawie doświadczeń wynikających z codziennej pracy z systemem IMI. Najpóźniej po roku od przyjęcia niniejszego zalecenia Komisja przygotuje sprawozdanie na temat oceny sytuacji, w tym możliwości przyjęcia innego środka prawnego.
(1) Państwa członkowskie powinny rozważyć możliwość uwzględnienia informacji na temat ochrony danych w szkoleniach z zakresu systemu IMI.
(2) Zob. art. 12 decyzji 2008/49/WE.
(3) Właściwe organy mogą być „połączone" z innymi organami do celów nadzoru (np. organ regionalny z organem federalnym). Takie „połączone organy" mogą znać liczbę i charakter wniosków, ale nie będą miały dostępu do danych osobowych usługodawców lub migrujących specjalistów.
(4) Zgodnie z art. 10 ust. 3 decyzji Komisji 2008/49/WE Komisja może brać udział w wymianie informacji jedynie w szczególnych przypadkach, gdy odpowiedni wspólnotowy akt prawny przewiduje wymianę informacji między państwami członkowskimi a Komisją. W takich przypadkach Komisja posiada podobne obowiązki, jak właściwy organ. Na przykład musi przekazać odpowiednie informacje osobom, których dotyczą dane, a na życzenie umożliwić im dostęp do danych.
(5) Choć w niektórych państwach członkowskich, np. we Włoszech, Luksemburgu, Austrii czy Danii, przepisy o ochronie danych obejmują również w pewnym stopniu osoby prawne.
(6) Dyrektywa 94/46/WE stosuje się do państw członkowskich, a rozporządzenie (WE) nr 45/2001 do instytucji europejskich.
(7) http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_en.pdf
(8) Definicja prawna znajduje się w art. 8 dyrektywy 95/46/WE oraz w art. 10 rozporządzenia (WE) nr 45/2001.
(9) Czyli należy odpowiednio poinformować osobę, której dane dotyczą, przetwarzanie musi być proporcjonalne, a dane nie mogą być dalej przetwarzane do celów niezgodnych z tymi, do których zostały zgromadzone.
(10) Szczegółowy wykaz pytań dostępny jest na stronie internetowej IMI: http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_en.pdf
(11) Część strony internetowej IMI poświęcona ochronie danych zawiera całość dokumentów dotyczących ochrony danych w systemie IMI, jak również odsyłacz do wykazu dokumentów prawnych z zakresu ochrony danych na poziomie UE: http://ec.europa.eu/internal_market/imi-net/data_protection_pl.html
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00