Ochrona danych i praw konsumentów (debata)
Przewodniczący
Kolejnym punktem porządku dziennego jest oświadczenie Komisji dotyczące ochrony danych i praw konsumentów.
Franco Frattini
wiceprzewodniczący Komisji. - Panie przewodniczący! Chciałbym rozpocząć od podkreślenia, że dyrektywa 95/46/WE (dyrektywa o ochronie danych) ma zastosowanie do kontrolerów danych działających we Wspólnocie. Ma ona także zastosowanie do kontrolerów niedziałających na terytorium państwa członkowskiego, kiedy taki kontroler wykorzystuje sprzęt znajdujący się na terytorium państwa członkowskiego, chyba że taki sprzęt jest wykorzystywany tylko do celów tranzytu przez terytorium Wspólnoty.
Dyrektywa zapewnia prawa wszystkim jednostkom, niezależnie od ich przynależności państwowej lub miejsca zamieszkania i bez względu na to, czy działają one jako konsumenci czy też nie. Ustanawia ona istotne przepisy nakładające obowiązki na kontrolerów danych i uznające prawa jednostek. Przewiduje ona także sankcje i odpowiednie środki naprawcze w przypadku naruszeń oraz ustanawia mechanizmy wprowadzania w życie, aby zapewnić ich skuteczność.
Ściśle śledzimy rozwój technologii i związane z tym wyzwania, w szczególności te, które odnoszą się do ochrony prywatności i danych osobowych. W zakresie dotyczącym współpracy transatlantyckiej utrzymujemy regularny kontakt z władzami Stanów Zjednoczonych odpowiedzialnymi za kontrolowanie bezpiecznego portu - departamentem handlu i federalną komisją ds. handlu - w kontekście których zajmujemy się kwestiami ochrony danych osobowych. Kwestie, jakie podnoszą nowe technologie i ich stosowanie na skalę światową także są badane.
W tym szczególnym przypadku, jakim jest fuzja Google i Double Click, sprawa wciąż jest analizowana przez Komisję, w celu podjęcia decyzji, czy planowana fuzja jest zgodna z przepisami rozporządzenia nr 139/2004/WE (rozporządzenie w sprawie fuzji). Wkrótce podejmiemy decyzję. Jednakże można powiedzieć, że Komisja przeprowadziła szerokie analizy ekonomicznych aspektów podniesionych przez planowaną fuzję w celu określenia, czy jest ona zgodna z zasadami wspólnego rynku.
Spółki mają obowiązek przestrzegania ustaw krajowych dotyczących ochrony danych wdrażających dyrektywę w sprawie ochrony danych, a krajowe organy ds. ochrony danych są odpowiedzialne za wprowadzanie w życie tej zgodności przez te jednostki, które przetwarzają dane osobowe na ich terytorium.
Fuzja pomiędzy różnymi podmiotami nie zwalnia stron połączenia z ich obowiązków, jakie na nich ciążą na mocy krajowych zasad dotyczących ochrony danych. W istocie żadna decyzja, jaką może podjąć Komisja aby zatwierdzić fuzję, nie narusza obowiązków nałożonych na strony przez prawodawstwo wspólnotowe dotyczące ochrony prywatności w odniesieniu do przetwarzania danych osobowych.
Niezależnie od zatwierdzenia fuzji, nowy podmiot w swojej codziennej działalności będzie musiał przestrzegać praw podstawowych uznanych przez wszystkie odnośne instrumenty, w tym m.in. ochrony danych i prywatności. Krajowe organy ds. ochrony danych są zatem zobowiązane do spełniania zadania zapewniania tej zgodności, a w razie konieczności, podejmowania stosownych środków mających na celu wprowadzenie w życie zgodności.
Manfred Weber
w imieniu grupy PPE-DE. - (DE) Pani przewodnicząca, panie wiceprzewodniczący Komisji, panie i panowie! Internet to wielki dar. Nikt z nas nie może sobie dzisiaj wyobrazić pracy bez tej nowej technologii. Pozwala on także na wymianę danych na oszałamiającą skalę. Jednakże nic nie jest doskonałe, a niedociągnięcia stają się jasne, kiedy miliardy zapisów są przechowywane przez długi czas.
W przypadku rozpatrywanej sprawy, pan komisarz Frattini wyjaśnił, że środki prawne Unii Europejskiej zostały uaktywnione, aby zbadać fuzję Google i DoubleClick. Musimy poczekać na wyniki badania i wyciągnąć nasze wnioski polityczne.
Wywołuje to jednak podstawowe pytanie dotyczące sposobu obchodzenia się z ochroną danych przez Internet, ponieważ spółkom korzystającym z Internetu, dużym czy małym, nie jest obojętne, w jaki sposób ich dane są chronione. Nie ma prostych odpowiedzi, ponieważ w centrum tej kwestii znajduje się pytanie, na które nie ma odpowiedzi, czy adres protokołu internetowego stanowi informację osobową. W przypadku dostawców, którzy przyznają stałe adresy odpowiedź brzmi: tak, ale w przypadku mnóstwa innych dostawców adres IP nie ujawnia automatycznie tożsamości użytkownika. W takich przypadkach uważam, że istnieje właściwie wyraźna strata w zakresie ochrony danych, ponieważ zgromadzone dane mogą być nawet ujawnione stronom trzecim.
To, czy przepisy są wymagane, zawsze musi być oceniane w świetle konieczności i proporcjonalności. Użytkownicy oczywiście uzyskują mnóstwo korzyści poprzez publikowanie ich danych. Kluczową kwestią jest to, czy podejmują oni świadome decyzje, aby umieścić swoje dane i czy mogą określić, w jaki sposób te dane mogą być wykorzystane. Oznacza to, że użytkownicy muszą posiadać prawo do informacji, czyli prawo, aby wiedzieć, jakie dotyczące ich dane są przechowywane, i w związku z tym muszą istnieć jasne zasady rządzące przekazywaniem i sprzedażą danych stronom trzecim.
Z tego powodu powinniśmy rozpocząć od dobrowolnych zobowiązań, perfekcyjne dopasowanych do podejścia transatlantyckiego - ponieważ po prostu nie możemy regulować kwestii związanych z Internetem przy braku wspólnych inicjatyw na skalę światową - a jeśli dobrowolne zobowiązania okażą się niestosowne, przedyskutujemy wtedy także środki prawne.
Stavros Lambrinidis
w imieniu grupy PSE. - (EL) Pani przewodnicząca! Kiedy zwykli użytkownicy korzystają z Internetu nie są oni świadomi, że ich najwrażliwsze dane osobowe, takie jak ich przekonania polityczne i filozoficzne, finanse, zakupy, podróże, a w ogólności zainteresowania, są rejestrowane, podczas gdy po prostu korzystają z wyszukiwarki, dokonują zakupów lub biorą udział w dyskusjach. W rzeczywistości prywatne spółki gromadzące takie dane czasami nawet nie są spółkami europejskimi. Obecnie ani prawo wspólnotowe ani porozumienia międzynarodowe nie zabraniają dużym spółkom prywatnym wykorzystywania takich danych. Pozwoliłbym sobie nawet na stwierdzenie, że nic nie uniemożliwia organom bezpieczeństwa kraju trzeciego dostępu do takich danych. Dlaczego Europa ma obowiązek i potencjał, aby zostać w to zaangażowana? Ponieważ, jak pan Frattini słusznie powiedział, dyrektywa w sprawie ochrony danych osobowych ma zastosowanie do dostawców usług elektronicznych i internetowych w i poza Europą. Nasze dane osobowe nie tracą znaczenia i nie przestają być przedmiotem zainteresowania tylko dlatego, że spółka znajduje się poza Europą.
Panie przewodniczący, mam trzy szczególne wnioski:
Po pierwsze, należy zwrócić się do samych obywateli, aby wyrazili wyraźną zgodę na jakiekolwiek gromadzenie, swobodne wykorzystanie ich danych osobowych, jak w każdym razie przewiduje dyrektywa, o której wspomniałem. Musi to być ogłoszone jasno i wyraźnie, a nie małym druczkiem. Obecnie nawet ci obywatele, którzy chcą usunąć swe dane lub uniemożliwić ich udostępnienie stronie trzeciej są zazwyczaj niezdolni do nawigowania po mylących stronach internetowych. Strony internetowe są tak zaprojektowane, aby były skomplikowane, by spółki stosując specjalne narzędzia i oprogramowanie mogły następnie odkryć zainteresowania użytkowników i sprzedać im produkty lub aby organy bezpieczeństwa mogły następnie zlokalizować użytkowników dla innych celów.
Po drugie - i jestem zadowolony, że pan Frattini to powiedział - Komisja Europejska rzeczywiście musi zrozumieć, że fuzje tych spółek są istotne nie tylko z punktu widzenia analiz finansowych, ale także danych osobowych obywateli, które są prawdopodobnie wykorzystywane przez innych lub będą wykorzystywane w przyszłości. Jesteśmy nie tylko wspólnotą pieniędzy i rynków; jesteśmy przede wszystkim jedną z wartości.
Po trzecie, panie przewodniczący, proszę pozwolić mi zakończyć: dzisiejsza dyskusja otwiera bardzo szeroki temat, którego zaledwie dotknęliśmy, mimo że dotyczy on problemu na skalę światową. Konieczna jest międzynarodowa karta praw podstawowych użytkowników Internetu. Obecnie nie istnieje żaden dokument tego rodzaju. Jednakże w obecnych czasach Wielki Brat się nie pojawi, panie przewodniczący, tylko dlatego, że jakieś dyktatury go tam umieściły. Wielki Brat to zrobi, ponieważ całe nasze życie jest obecnie nagrywane w formie elektronicznych śladów pozostawionych w Internecie. Jeśli wszyscy razem nie możemy znaleźć pewnych podstawowych zasad, które by nas chroniły, obudzimy się jutro w bardzo odmiennym i moim zdaniem bardziej nieprzyjemnym świecie, bez względu na to, jak przyjazne użytkownikowi, radosne i magiczne wszytko nam się dzisiaj wydaje.
Sophia in 't Veld
w imieniu grupy ALDE. - (NL) Naprawdę chciałam ujrzeć dzisiaj koleżankę pana Frattiniego, panią Neelie Kroes, siedzącą obok niego, ponieważ myślę, że ścisłe rozróżnienie pomiędzy zasadami rynkowymi a zasadami dotyczącymi prywatności jest przestarzałe. Wiemy, że fuzja pomiędzy Google i DoubleClick zostanie przeprowadzona i oczywiście Parlament Europejski nie chce wtrącać się w szczegóły tej fuzji, ale chcemy wiedzieć jakie gwarancje prywatności zostaną zapewnione. Dane osobowe stały się przedmiotem wielkiego zainteresowania. Informacje dotyczące klientów, użytkowników i ich zwyczajów oraz preferencji dają spółkom nieocenioną przewagę konkurencyjną. A zatem ochrona danych osobowych nie może już być rozpatrywana w izolacji od polityki konkurencji.
Komisja poparła bardzo tradycyjne podejście do konkurencji, które już nie jest stosowne do zajmowania się kwestami zachowania w reklamie w XXI w. Konkurencja musi obejmować zabezpieczenia dotyczące prywatności i konsumenta, jeśli fuzje prowadzą do powstania wielkich koncernów, które posiadają wiele informacji na temat ich użytkowników, jak to na przykład jest w przypadku fuzji Google/DoubleClick lub potencjalnie byłoby w przypadku konsolidacji Microsoft i Yahoo, Yahoo i Rupert Murdoch lub Reed Elsevier i ChoicePoint itp.
Dane osobowe mogą być nieprawidłowo wykorzystywane w celu wykluczenia z rynku nowych podmiotów, a chodzi o to, aby w zdrowej konkurencyjnej sytuacji konsument mógł domagać się prywatności, spółki mogły być utrzymywane w dyscyplinie przez konsumentów, jak to się stało na przykład w przypadku Facebooka. Mamy także przepisy dotyczące konsolidacji mediów. A zatem dlaczego nie włączamy ochrony prywatności do polityki konkurencji? Adresy IP mogą być uznane za dane osobowe. I ma to potencjalnie daleko idące konsekwencje nie tylko dla branży, ale także dla użytkownika. A zatem pilnie potrzebne dla tego sektora są europejskie, a nade wszystko, międzynarodowe standardy. Unia Europejska musi tutaj oddać przewodnictwo i pracować nad całą tą kwestią wraz z Ameryką, prowadząc konsultacje z przedstawicielami branży. Sugeruję w związku z tym, aby kwestie te umieścić w porządku dziennym Transatlantyckiej Rady Gospodarczej.
Wreszcie, także w interesie przedsiębiorstw jest, aby ludzie mieli pewność, że ich prywatność jest właściwie chroniona. Właśnie przed chwilą wspomniałem o sprawie Facebooka, gdzie konsumenci użyli swych mięśni, aby Facebook bardziej dbał o ich prywatność. A zatem wzywam Komisję Europejską, aby przyjęła inne podejście, które łączy politykę konkurencji, ochronę konsumenta i ochronę danych osobowych lub prywatności w jedną całość.
David Hammerstein
w imieniu grupy Verts/ALE. - (ES) Panie przewodniczący, zajmujemy się fuzją, która w rzeczywistości nie jest fuzją: jest to połączenie dwóch uzupełniających się przedsiębiorstw. Jednego przedsiębiorstwa, Google, które ma miliardy danych, więcej danych niż ktokolwiek na świecie, i innego przedsiębiorstwa, DoubleClick, które ma możliwość przetwarzania tych danych dotyczących zwyczajów konsumentów, manipulowania nimi i przesyłania ich.
Tą kwestią powinna zająć się Komisja Europejska, ponieważ jest to niebezpieczne małżeństwo dla obywateli Europy, dla prywatności naszych codziennych zwyczajów. Struktura tej fuzji może zagrozić tej prywatności, ponieważ władze krajowe nie mają jeszcze możliwości, aby wiedzieć w jaki sposób manipuluje się tymi danymi, a konsumenci nie będą wiedzieć, gdzie przekazywane są ich dane lub w jaki sposób będą one wykorzystywane przez strony trzecie.
Carl Schlyter   -
(SV) Panie przewodniczący! Konsument jest w Internecie bezbronny. Jeśli chcemy korzystać z usług powszechnych, nie możemy wybrać opcji "nie gromadź danych o mnie”. Ani też nie możemy się dowiedzieć, do dzieje się z naszymi danymi. Szukamy czegoś i kupujemy. Jeśli jedna i ta sama spółka jest w stanie połączyć te informacje, może ona uzyskać ogromną przewagę rynkową i zgromadzić wielką ilość informacji o wszystkich tych, którzy korzystają z Internetu. To samo dotyczy sytuacji, w której chcemy zgodnie z prawem pobrać film z Internetu. Następnie musimy używać oprogramowania jednej spółki, czyli Windows.
Nie możemy chronić się przed tymi wielkimi spółkami, jeśli nasi prawodawcy nam nie pomogą. Słaba ochrona danych może stać się widoczna w sytuacji, gdy na przykład jest w niej uwzględniana także walka z naruszeniami praw autorskich. Użytkownik za pomocą systemu udostępniania plików poddaje swój komputer wyszukiwaniu i wszystkie jego prywatne informacje są uważnie badane. Informacje te są następnie wysyłane do spółek medialnych w celu ustalenia, czy były chronione prawa autorskie. W przypadku gdy spółki medialne mają dostęp do policyjnych materiałów śledczych, w jaki sposób możemy chronić konsumentów? Nadszedł czas, aby znacznie pobudzić kwestię ochrony danych.
Alexander Alvaro
(DE) Panie przewodniczący! Muszę przyznać, że lubię to rozwiązanie proceduralne zabrania głosu z sali, w szczególności część przed odliczaniem do startu.
Niewątpliwie mamy wiele do przedyskutowania w dziedzinie ochrony danych. Niektórzy posłowie z grupy Verts/ALE skierowali temat ochrony danych dotyczących prywatnych przedsiębiorstw i jednostek. Fuzje, takie jak ta pomiędzy Google i DoubleClick z pewnością podnoszą pewne wątpliwości. Niemniej jednak należy uważać, aby nie pomylić jednej rzeczy z drugą. Jednakże kiedy wiele żab rechocze, wynikiem może być zawsze tylko odgłos rechotania. Mam na myśli to, że nie możemy zapominać o konieczności zrozumienia także zasadniczego procesu technicznego.
My - i moja grupa polityczna z pewnością nie jest wyjątkiem - często szczególnie blisko interesujemy się kwestiami związanymi z Internetem i oczywiście prywatnością danych i często odpowiadamy na nie w bardzo emocjonalny sposób. Jeśli mam zrozumieć jak działa Internet i przechwytywanie danych muszę jednakże najpierw zrozumieć stojącą za tym technologię.
W tym względzie uważam, że wiele musi zostać powiedziane w odniesieniu do podejścia pana Webera dotyczącego upewnienia się przede wszystkim co do zakresu, w jakim adresy IP mogą stanowić dane osobowe w znaczeniu dyrektywy 2002/58 w sprawie prywatności i łączności elektronicznej, ponieważ w niektórych przypadkach adres IP w połączeniu z danymi użytkownika z pewnością może być kluczem do gromadzenia informacji osobowych. Z drugiej strony, biorąc pod uwagę obecny stan rozwoju technologii, gdy na przykład lodówki mogą automatycznie wyszukać przepis w Internecie, pytanie odnośnie do tego, czy adres IP mojej lodówki rzeczywiście stanowi dane osobowe, jest przestarzałe.
Eva Lichtenberger
(DE) Panie przewodniczący! Jak słusznie wskazały osoby, które zabrały głos wcześniej, należy zbadać kontekst techniczny tych zasad. Mamy tutaj kwestię, która jest nieco niezręczna, ponieważ nie w pełni mieści się w zakresie prawa konkurencji, a ponadto wiąże się z przekroczeniem masy krytycznej, co wywołuje wiele poważnych problemów.
Ostatecznie będzie bardziej niż trudne dla krajowych organów ds. ochrony danych i ustawodawstwa dotyczącego ochrony danych zająć się jakimikolwiek naruszeniami wynikającymi z tej fuzji, ponieważ dane przekazane DoubleClick będą dalej przetwarzane w całkowicie odmienny sposób. Mamy tutaj trudności techniczne, które musimy rozwiązać. Uważam, że gromadzenie tak wielkiego potencjału w rękach jednej grupy jest skrajnie niekorzystne dla rynku, ponieważ wyklucza nowych konkurentów.
Franco Frattini
wiceprzewodniczący Komisji. - (IT) Panie przewodniczący, panie i panowie! Ja także uważam, że obawy wyrażone przez wiele osób, które zabrały głos, są obawami, które wszyscy podzielamy, w tym znaczeniu, że nie mamy jeszcze satysfakcjonującego systemu ochrony danych osobowych w zakresie dotyczącym nowych technologii i Internetu.
Taką samą wagę, a może nawet większą, należy przywiązać do ochrony danych osobowych podczas śledztwa zwalczającego terroryzm, tak jak w przypadku, gdy moje dane osobowe są ujawniane nie sądowi, ale prywatnej grupie branżowej.
Istnieją zatem poważne obawy, oczywiście, mimo że relatywnie nowa idea, jaką przedstawił pan Lambrinidis, dotycząca pewnego rodzaj światowej mapy ochrony praw człowieka, jest w pełni zgodna ze światowym charakterem Internetu.
Jak wiecie i jak już podkreśliłem w moim wprowadzeniu, istniejące zasady są stosowane z odniesieniem do terytorium, w którym siedzibę ma dany dostawca, ale to ograniczenie geograficzne w rzeczywistości nie jest dostosowane do wymagań Internetu. To jest kierunek, w którym moim zdaniem powinny podążać nasze prace i uważam także, że bardzo ważne jest znalezienie powiązania pomiędzy aspektami konkurencji i aspektami polityki ochrony konsumenta, w tym danych osobowych.
Jest to coś, o czym dopiero zaczynamy rozmawiać i jak wiecie, Komisja śledzi postęp w wielu sferach ochrony danych, które nie są objęte prawodawstwem europejskim. Obejmuje to inicjatywy Rady Europy, Narodów Zjednoczonych i Międzynarodowej Konferencji ds. Ochrony Danych.
Niemniej jednak istnieje ryzyko, o którym musimy pamiętać. Proszę pozwolić mi zadać następujące pytanie: czy światowa mapa ochrony danych nie może osłabić ochrony, skoro musiałaby objąć niezmiernie wielką ilość osób? Gdyby tak było, to jasne jest, że musimy uważać nasze prawodawstwo wspólnotowe za przykład - jeśli mogę być taka śmiała - który powinien być eksportowany, a nie akceptować słabsze zasady ochrony danych osobowych tylko dlatego, że zasady te mają być stosowane w dużo szerszym kontekście geograficznym.
Podsumowując, mogę państwu powiedzieć, że w celu wprawienia w ruch praktycznych prac, tzw. grupa robocza ds. art. 29, o której wszyscy zaangażowani w te prace wiedzą i która jest grupą roboczą odpowiedzialną za koordynację środków w zakresie ochrony danych, przygotowuje uzasadnioną opinię w sprawie ochrony danych w odniesieniu do wyszukiwarek i dostawców usług.
Innymi słowy, zajmujemy się tym aspektem, a kwestionariusz, który zapewni punkt wyjścia dla tej uzasadnionej opinii, został rozesłany; kwestionariusz obejmuje politykę w zakresie ochrony danych i został wysłany do bardzo dużej liczby osób zajmujących kierownicze stanowiska, zarządzających przeglądarkami i do dostawców usług. Moim zdaniem, zabrane odpowiedzi i opinie, które, jestem pewna, zostaną opublikowane tak szybko jak to możliwe, prawdopodobnie przed przerwą letnią, mogłyby być może po raz pierwszy dostarczyć skoordynowanej odpowiedzi dotyczącej problemów związanymi z tymi kwestami i kierunków, w jakich powinny podążać prace.
Przewodniczący
Zamykam debatę.
Oświadczenia pisemne (art. 142)
Silvia-Adriana Ţicău  
na piśmie. - (RO) Obecnie coraz więcej obywateli europejskich korzysta z usług społeczeństwa informacyjnego - z usług finansowych, inteligentnych systemów transportu, systemów opodatkowania w odniesieniu do wykorzystywania infrastruktury drogowej, skomputeryzowanych systemów opieki zdrowotnej, Internetu, kamer nadzorujących i monitorujących, czy też danych biometrycznych. Bezpieczeństwo i ochrona takich usług mają zasadnicze znaczenie dla zapewnienia zaufania użytkowników.
Bezpieczeństwo sieci elektronicznych i systemów komputerowych wraz z technologiami wzmacniającymi ochronę danych osobowych są głównymi przedmiotami zainteresowanie strategii na rzecz bezpiecznego społeczeństwa informacyjnego, przyjętej w 2006 r. W komunikacje z maja 2007 r. Komisja przedstawiła potencjalne zagrożenia związane ze stosowaniem technologii informacyjnej, takie jak kradzież tożsamości, nadzór, czy nawet oszustwo.
W celu osiągnięcia bezpieczniejszego społeczeństwa informacyjnego, specyficzne produkty i usługi powinny zawierać mechanizmy ochrony danych, już od etapu projektowania. Podobnie, konieczne jest, aby zostały określone procesy i zasady mające zastosowanie w celu zapewnienia bezpieczeństwa w społeczeństwie informacyjnym i aby były one dostępne dla wszystkich, którzy są zaangażowani w projektowanie, eksploatację i stosowanie systemów skomputeryzowanych. Zwracam się do Komisji, aby zbadała konieczność wprowadzenia pewnych regulacji wspólnotowych w sprawie bezpieczeństwa usług łączności elektronicznej i systemów skomputeryzowanych.
Każdy dostawca szczególnych usług dla społeczeństwa informacyjnego musi przestrzegać krajowych i międzynarodowych regulacji prawnych w sprawie ochrony danych.
