Grupa robocza ds. ochrony danych ustanowiona na mocy art. 29

Transkrypt

1 Grupa robocza ds. ochrony danych ustanowiona na mocy art /05/PL WP 115 Opinia 5/2005 grupy roboczej art. 29 w sprawie wykorzystywania danych dotyczących lokalizacji w celu świadczenia usług tworzących wartość dodaną przyjęta dnia 25 listopada 2005 r. Grupa robocza została powołana na podstawie art. 29 dyrektywy 95/46/WE. Jest niezależnym europejskim organem doradczym w zakresie ochrony danych osobowych i prywatności. Jej zadania opisano w art. 30 dyrektywy 95/46/WE i w art. 15 dyrektywy 2002/58/WE. Obsługą sekretariatu grupy zajmuje się Dyrekcja C (Sądownictwo Cywilne, Prawa i Obywatelstwo) Komisji Europejskiej, Dyrekcja Generalna ds. Wymiaru Sprawiedliwości, Wolności i Bezpieczeństwa, B-1000 Bruksela, Belgia Strona internetowa:

2 Grupa robocza ds. ochrony danych ustanowiona na mocy art. 29 GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH, ustanowiona na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., uwzględniając art. 29, art. 30 ust. 1 lit. a) i art. 30 ust. 3 wyżej wymienionej dyrektywy oraz art. 15 ust. 3 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r., uwzględniając swój regulamin, w szczególności jego art. 12 i 14, przyjmuje następującą opinię: Grupa robocza stwierdza, że kwestie związane z wykorzystaniem danych dotyczących lokalizacji są bardzo istotne. Takie dane zostały zdefiniowane jako wszelkie dane przetwarzane w sieci łączności elektronicznej, wskazujące położenie geograficzne wyposażenia terminala użytkownika publicznie dostępnych usług łączności elektronicznej (art. 2 dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej). Kontekst i cel wydania opinii: W ciągu ostatnich 20 lat nastąpił gwałtowny wzrost wykorzystania danych dotyczących lokalizacji, do którego przyczyniły się dwa podstawowe czynniki. Pierwszym z nich jest rozwój wykorzystania satelitarnych danych dotyczących lokalizacji, które obecnie mogą być niezwykle dokładne i często bardzo cenne, w szczególności wówczas, gdy zachodzi potrzeba pomocy osobom fizycznym znajdującym się w niebezpieczeństwie. 1 Jednakże takie systemy są dostępne jedynie dla tych, którzy dysponują odpowiednimi urządzeniami końcowymi. Drugim czynnikiem jest ogromna powszechność telefonii komórkowej, w związku z czym każdy użytkownik ma stale przy sobie urządzenie, za pośrednictwem którego może zostać zlokalizowany. Ogólnie rzecz biorąc, istnieje wiele sposobów na zlokalizowanie osób, przede wszystkim na podstawie śladów pozostawionych przez nie w wyniku korzystania z nowych technologii: automatów do sprzedaży biletów w sektorze transportu, Globalnego Systemu Pozycjonowania (GPS), kart bankowych lub elektronicznych portmonetek, bądź, w wypadku zagadnienia, o 1 Geolokalizacja satelitarna jest obecnie dostępna jedynie za pośrednictwem GPS (Globalnego Systemu Pozycjonowania) opracowanego przez armię Stanów Zjednoczonych, którego efekty funkcjonowania zostały udostępnione do użytku cywilnego, w szczególności dla potrzeb nawigacji morskiej. Dane dotyczące lokalizacji są wyliczane metodą triangulacji i przekazywane bezpośrednio osobie dysponującej odbiornikiem GPS. Mogą one być następnie przesłane osobie trzeciej za pośrednictwem sieci łączności elektronicznej (połączonej sieci GPS/GSM).

3 którym jest tu mowa, telefonów komórkowych. Początkowo dane dotyczące lokalizacji były traktowane jako dane o charakterze czysto technicznym, niezbędne do wykonania lub odebrania połączenia z telefonu komórkowego i dostępne wyłącznie dostawcy usług łączności elektronicznej. W związku z tego typu usługami używa się terminu dane o ruchu. Takie dane powstają jedynie w wyniku wykorzystania konkretnej technologii i nie różnią się od innych śladów pozostawianych każdego dnia. Niemniej jednak dane dotyczące lokalizacji w zakresie, w jakim dostarczają kluczowych informacji na temat osoby fizycznej (krótko mówiąc, pozwalają ustalić, kto i gdzie w danej chwili się znajduje), szybko zostały uznane za potencjalne źródło dochodów. Firmy stworzyły szeroki wachlarz usług opierających się na tych danych. W ramach pierwszych tego rodzaju usług oferowano osobom fizycznym informacje dotyczące na przykład najbliższej apteki lub restauracji. Następnie usługi oparte na jednorazowym wykorzystaniu danych dotyczących lokalizacji (dostarczające informacje w danej chwili) były uzupełniane usługami opierającymi się na ciągłym wykorzystaniu tych danych (pomoc nawigacyjna). Ten pierwszy etap ustąpił obecnie drugiemu, na którym następuje rozwój usług opartych nie na lokalizowaniu ludzi na ich własne życzenie (użytkowników, którzy chcą skorzystać z usługi), lecz na ustalaniu ich miejsca przebywania (na wniosek strony trzeciej). Rozwinęły się usługi polegające na śledzeniu i poszukiwaniu osób fizycznych, które można zlokalizować za pomocą ich telefonów komórkowych, nawet jeśli w danej chwili z nich nie korzystają, pod warunkiem, że mają je włączone. Podstawowy problem w przetwarzaniu danych dotyczących lokalizacji nie tkwi już w przechowywaniu danych (gdzie przede wszystkim chodziło o zasady, na jakich dane dotyczące lokalizacji powinny być przechowywane przez dostawców usług łączności elektronicznej), lecz dotyczy obecnie wykorzystania danych (gdzie zasadniczą kwestią jest sposób zapewnienia, że dane są wykorzystane w celu świadczenia usług tworzących wartość dodaną zgodnie z zasadami obowiązującymi przy przetwarzaniu danych osobowych). Ramy prawne: Ponieważ dane dotyczące lokalizacji zawsze odnoszą się do określonej lub możliwej do zidentyfikowania osoby fizycznej, stosują się do nich przepisy w sprawie ochrony danych osobowych, ustanowione w dyrektywie 95/46/WE z dnia 24 października 1995 r. Przyjmując, że przetwarzanie tego rodzaju danych jest kwestią szczególnie delikatnej natury, w której zasadnicze znaczenie ma swoboda anonimowego przemieszczania się, w europejskim prawodawstwie - przy uwzględnieniu stanowisk europejskich organów odpowiedzialnych za ochronę danych - przyjęto specjalne zasady, zgodnie z którymi wymaga się uprzedniej zgody użytkowników lub abonentów na przetwarzanie danych dotyczących lokalizacji, niezbędnych do świadczenia usług tworzących wartość dodaną, oraz informowania użytkowników lub abonentów o warunkach takiego przetwarzania (art. 9 dyrektywy 2002/58/WE z dnia 12 lipca 2002 r.). Artykuł 2 dyrektywy 2002/58/WE definiuje dane o ruchu jako wszelkie dane przetwarzane do celów przekazywania komunikatu w sieci łączności elektronicznej lub naliczania opłat za te usługi i dane dotyczące lokalizacji jako wszelkie dane przetwarzane w sieci łączności 3

4 elektronicznej, wskazujące położenie geograficzne wyposażenia terminala użytkownika publicznie dostępnych usług łączności elektronicznej. Jakkolwiek dwie wymienione wyżej dyrektywy ustanawiają wystarczające ramy prawne dla przetwarzania danych dotyczących lokalizacji, grupa robocza chce wyjaśnić, w jaki sposób należy stosować niektóre z ich przepisów i zwrócić uwagę na szczególne aspekty niektórych usług oferowanych na rynku. Niniejsza opinia nie odnosi się do zasad regulujących przetwarzanie danych dotyczących lokalizacji zgodnie z art. 13 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE, tzn. do przypadków, w których dane dotyczące lokalizacji są przetwarzane w drodze wyjątku od zasad ustanowionych w tych dyrektywach, jako niezbędny, odpowiedni i proporcjonalny środek w demokratycznym społeczeństwie mający na celu zapewnienie bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego i dla potrzeb, takich jak zapobieganie przestępstwom, dochodzenie, wykrywanie i ściganie ich. Biorąc pod uwagę duże znaczenie tych danych, grupa robocza przy wielu okazjach wyrażała już swoje stanowisko na temat tego zagadnienia Ogólne zasady regulujące wykorzystywanie danych dotyczących lokalizacji w celu świadczenia usług tworzących wartość dodaną Grupa robocza chce zwrócić uwagę, że w przetwarzaniu danych osobowych biorą udział różne strony trzecie zajmujące się świadczeniem usług tworzących wartość dodaną, opartych na wykorzystywaniu danych dotyczących lokalizacji. Zaliczają się do nich między innymi dostawcy usług łączności elektronicznej przetwarzający dane dotyczące lokalizacji lub strony trzecie, które świadczą usługi tworzące wartość dodaną na podstawie danych dotyczących lokalizacji, przekazywanych im przez usługodawców. Wszyscy oni muszą wywiązywać się z obowiązków wynikających z przepisów prawa dotyczących ochrony danych osobowych. 1.1 Obowiązujące przepisy prawa krajowego Grupa robocza zauważyła, że nastąpił rozwój usług tworzących wartość dodaną, opierających się na przetwarzaniu danych dotyczących lokalizacji, które pochodzą z systemów wykorzystywanych do świadczenia usług łączności elektronicznej, lecz są dostarczane (np. za pośrednictwem stron internetowych) przez firmy niemające siedziby na terytorium zainteresowanej osoby fizycznej, tzn. osoby, której dotyczą dane. 2 Zob. Rekomendacja 2/99 w sprawie poszanowania prywatności w kontekście przechwytywania przekazów telekomunikacyjnych; opinia 7/2000 w sprawie wniosku Komisji Europejskiej dotyczącego dyrektywy Parlamentu Europejskiego i Rady dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej z dnia 12 lipca 2000 r., COM(2000) 385; opinia 4/2001 w sprawie projektu konwencji o przestępstwach komputerowych, opracowanego przez Radę Europy; opinia 10/2001 w sprawie potrzeby stosowania wyważonego podejścia w walce przeciwko terroryzmowi; opinia 5/2002 w sprawie oświadczenia europejskich rzeczników ochrony danych podczas międzynarodowej konferencji w Cardiff (9-11 września 2002 r.) w sprawie obowiązku systematycznego zachowywania telekomunikacyjnych danych o ruchu; opinia 1/2003 w sprawie przechowywania danych o ruchu dla celów sporządzania szczegółowych wykazów połączeń; oraz opinia 9/2004 dotycząca projektu ramowej decyzji w sprawie przechowywania danych przetwarzanych i zachowywanych w celu świadczenia publicznych usług łączności elektronicznej lub danych dostępnych w publicznych sieciach łączności dla potrzeb, takich jak zapobieganie przestępstwom, dochodzenie, wykrywanie i ściganie ich, w tym także działalności terrorystycznej. [Wniosek przedstawiony przez Francję, Irlandię, Szwecję i Wielką Brytanię (Dokument Rady 8958/04 z dnia 28 kwietnia 2004 r.)]. 4

5 Na mocy art. 3 dyrektywy 2002/58/WE jej przepisy stosują się do przetwarzania danych osobowych w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności we Wspólnocie. Na podstawie art. 4 dyrektywy 95/46/WE obowiązującymi przepisami prawa krajowego są przepisy tego Państwa Członkowskiego, w którym administrator danych ma swoją siedzibę. Ostatni z przytoczonych przepisów oznacza, że przetwarzanie danych dotyczących lokalizacji w obrębie Wspólnoty jest regulowane przepisami prawa krajowego Państwa Członkowskiego będącego siedzibą administratora danych a nie Państwa Członkowskiego, którego obywatelem jest osoba, której dotyczą dane. Jeżeli administrator danych (dostawca usług tworzących wartość dodaną) nie ma siedziby w Państwie Członkowskim, dane dotyczące lokalizacji mogą być przekazywane od dostawcy usług łączności elektronicznej administratorowi danych wyłącznie na warunkach ustanowionych w rozdziale IV dyrektywy 95/46/WE, odnoszącym się do przekazywania danych osobowych do państw trzecich. Takie warunki obejmują wymóg, zgodnie z którym przepisy prawa dotyczące ochrony danych w państwie trzecim muszą być uznane za odpowiednie przez Komisję Europejską lub że przekazywanie danych odbywa się na podstawie innych przesłanek legalności w szczególności, za zgodą osoby, której dane dotyczą; dane są konieczne dla realizacji umowy w interesie osoby, której dotyczą; dane są konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego; dane są konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dotyczą. 1.2 Informowanie osób, których dane dotyczą Grupa robocza chce podkreślić, że dyrektywy 95/46/WE (art. 10) i 2002/58/WE (art. 6 i 9) wymagają, by osoba, do której odnoszą się podlegające przetworzeniu dane dotyczące lokalizacji była informowana o: - tożsamości administratora danych i ewentualnie jego przedstawiciela; - celu przetwarzania danych; - rodzaju przetwarzanych danych dotyczących lokalizacji; - okresie, w jakim dane będą przetwarzane; - ewentualnym przekazaniu danych stronie trzeciej w celu świadczenia usług tworzących wartość dodaną; - prawie wglądu do danych i sprostowania danych; - prawie użytkowników do wycofania zgody w dowolnym czasie lub czasowego wycofania zgody na przetwarzanie takich danych oraz o warunkach, na jakich mogą z takiego prawa korzystać; - prawie do usunięcia danych. Grupa robocza uważa, że te informacje powinny być dostarczane przez stronę gromadzącą dane dotyczące lokalizacji do przetwarzania, tzn. przez dostawcę usług tworzących wartość dodaną, lub jeżeli dostawca nie ma bezpośredniego kontaktu z osobą, której dotyczą dane, przez dostawcę usług łączności elektronicznej. Informacje mogą być dostarczane albo na ogólnych zasadach i warunkach do celów świadczenia usług tworzących wartość dodaną, albo bezpośrednio za każdym razem, gdy usługa jest wykorzystywana. Ze względu na bardzo dużą wrażliwość operacji przetwarzania danych dotyczących lokalizacji, grupa robocza chciałaby zwrócić uwagę dostawców usług na potrzebę dostarczenia jasnych, pełnych i wyczerpujących informacji na temat charakteru oferowanej usługi. 5

6 W przypadku, gdy informacje są dostarczane na ogólnych zasadach i warunkach do celów świadczenia usług, zgodnie z zaleceniem grupy roboczej dostawca usług powinien stworzyć zainteresowanym osobom fizycznym możliwość ponownego zweryfikowania informacji w dowolnym czasie i w nieskomplikowany sposób, na przykład za pośrednictwem strony internetowej lub podczas korzystania z usługi (np. poprzez zatelefonowanie pod wskazany numer). 1.3 Zgoda Uzyskanie zgody Zgodnie ze standardową praktyką stosowaną w ochronie danych osobowych przy przetwarzaniu danych szczególnie chronionych, europejskie przepisy prawa wymagają uzyskania uprzedniej zgody na przetwarzanie danych dotyczących lokalizacji innych niż dane o ruchu. W związku z powyższym grupa robocza chce wyjaśnić warunki uzyskania takiej zgody. Artykuł 2 lit. h) dyrektywy 95/46/WE definiuje pojęcie zgody jako konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych. Ta definicja wyraźnie wyklucza sytuację, w której udzielenie zgody jest częścią akceptacji ogólnych zasad i warunków oferowanych usług łączności elektronicznej. W tym względzie można się odwołać do wyjaśnienia, które grupa robocza art. 29 przedstawia w swojej opinii nr 5/2004 w sprawie niezamawianej korespondencji wykorzystywanej do celów marketingu bezpośredniego, i które ma w tym kontekście szczególnie uzasadnione zastosowanie. Jednakże w zależności od rodzaju oferowanych usług zgoda może odnosić się do specjalnych operacji lub może stanowić przyzwolenie zainteresowanej osoby na jej ciągłą lokalizację. Oferowanie usług wymagających automatycznej lokalizacji osoby fizycznej (np. możliwość telefonowania pod określony numer w celu uzyskania informacji o stanie pogody w miejscu przebywania) jest dopuszczalne pod warunkiem, że użytkownicy otrzymują z wyprzedzeniem pełne informacje na temat przetwarzania ich danych dotyczących lokalizacji. W tym przypadku telefonowanie pod określony numer oznacza wyrażenie zgody na zlokalizowanie miejsca przebywania. Podmioty są zobowiązane uzyskać zgodę osoby, której dotyczą dane Usługi tworzące wartość dodaną oparte na danych dotyczących lokalizacji mogą być świadczone albo bezpośrednio przez dostawcę usług łączności elektronicznej (zainteresowana osoba fizyczna kontaktuje się z usługodawcą, który następnie świadczy usługę na podstawie danych dotyczących lokalizacji pochodzących z jego systemu), lub za pośrednictwem strony trzeciej (zainteresowana osoba fizyczna kontaktuje się ze stroną trzecią, która następnie świadczy usługę na podstawie danych dotyczących lokalizacji pochodzących od dostawcy tej usługi). W drugim przypadku zgodę osoby, której dotyczą dane, ma obowiązek uzyskać dostawca usług. Poza sytuacjami, w których dane dotyczące lokalizacji są samorzutnie wytwarzane przez urządzenie końcowe transmisji danych, usługodawca jest zobowiązany do 6

7 regularnego przekazywania danych dotyczących lokalizacji określonej osoby (tej, która skontaktowała się ze stroną trzecią w celu skorzystania z usługi) stronie trzeciej na wniosek tej ostatniej. W związku ze wzrostem liczby dostawców usług grupa robocza zwraca uwagę, że wysoki stopień ochrony w przetwarzaniu danych osobowych dotyczących lokalizacji mógłby zostać osiągnięty, gdyby usługodawcy byli zobowiązani do scentralizowanej obsługi zgłoszeń dotyczących korzystania z usług tworzących wartość dodaną opartych na danych dotyczących lokalizacji (klienci telefonowaliby pod numer obsługiwany przez dostawcę usług) i przekazywania zgłoszeń stronie trzeciej odpowiedzialnej za świadczenie usług w taki sposób (np. poprzez stosowanie aliasu 3 ), aby ich dostawca nie mógł zidentyfikować klienta. Na podstawie tego ustalenia, usługodawca może dostarczać zamówione usługi (np. podać nazwę najbliższej restauracji) za pośrednictwem operatora, bez możliwości identyfikacji osoby, która złożyła na nią zapotrzebowanie. Grupa robocza podkreśla również, że terminal użytkownika końcowego może również zapewnić wysoki stopień ochrony danych dzięki wbudowanej funkcji umożliwiającej lokalizację. Dane dotyczące lokalizacji mogą być wówczas przetwarzane przez system zarządzania tożsamością w celu przekazywania pseudonimów dostawcom różnych usług. Ewentualnie, w związku ze stałym wzrostem szerokości pasma telefonii komórkowej i zdolności przechowywania danych, do urządzenia przeznaczonego dla użytkownika końcowego można na przykład załadować pełną listę restauracji w danym mieście i wyposażyć je w funkcję lokalnego wyszukiwania przy wykorzystaniu nie tylko danych dotyczących lokalizacji, lecz także preferencji użytkownika (restauracje oferujące kuchnię francuską, restauracje wegetariańskie itd.). Na podstawie tych przykładów, grupa robocza zwraca uwagę na potrzebę wzięcia pod uwagę technologii służących podniesieniu poziomu ochrony danych osobowych (tzw. technologii PET) jako skutecznych i uzupełniających elementów w zapewnianiu wysokiego i satysfakcjonującego stopnia ochrony odbiorcom usług geolokalizacyjnych. W każdym razie grupa robocza chce zwrócić uwagę operatorów na potrzebę wprowadzenia skutecznych metod weryfikacji i uwierzytelniania wniosków o dostęp do danych dotyczących lokalizacji, składanych przez strony trzecie oferujące usługi tworzące wartość dodaną. Środki służące zapewnieniu, że zgoda jest ważna Grupa robocza uważa, że dostawcy usług tworzących wartość dodaną muszą zastosować odpowiednie środki przy uzyskiwaniu zgody w celu zapewnienia, że osoba, do której odnoszą się dane dotyczące lokalizacji, jest tą samą osobą, która udzieliła zgody. Jeżeli przetwarzanie danych dotyczących lokalizacji jest w toku (np. w wypadku usług takich jak Znajdź przyjaciela), dostawca usług ma obowiązek: - potwierdzić zamówienie na usługę, wysyłając wiadomość do końcowego urządzenia użytkownika po uzyskaniu od niego zgody, oraz - w razie konieczności, zażądać potwierdzenia zapotrzebowania na usługę. 3 Alias oznacza dane techniczne umożliwiające dostawcy usług świadczenie usługi z wykorzystaniem danych dotyczących lokalizacji osoby fizycznej bez możliwości identyfikacji nazwiska tej osoby; jedynie operator może powiązać alias z zainteresowaną osobą fizyczną. 7

8 Taki tryb postępowania ma służyć wyeliminowaniu oszustw przy składaniu zapotrzebowań na usługi bez wiedzy danej osoby fizycznej (czasowe przejęcie końcowego urządzenia danej osoby w celu złożenia zamówienia na usługę). Osoba, której zgoda jest wymagana W art. 6 i art. 9 dyrektywy 2002/58/WE jest mowa o zgodzie użytkowników lub abonentów. Grupa robocza uważa, że jeżeli usługa jest oferowana osobom prywatnym, zgodę należy uzyskać od tej osoby, której dotyczą dane, tzn. użytkownika urządzenia końcowego. 1.4 Korzystanie z prawa do wycofania zgody Na mocy art. 9 dyrektywy 2002/58/WE osoby, które wyraziły zgodę na przetwarzanie danych dotyczących lokalizacji innych niż dane o ruchu, mogą w dowolnym czasie wycofać tę zgodę i muszą mieć możliwość prostego i nieodpłatnego czasowego wycofania zgody na przetwarzanie tych danych. Grupa robocza uważa te prawa które można traktować jako wykonanie prawa do wyrażenia sprzeciwu wobec przetwarzania danych dotyczących lokalizacji jako mające zasadnicze znaczenie z punktu widzenia delikatnej natury danych dotyczących lokalizacji. Grupa robocza wyraża przekonanie, że warunkiem koniecznym dla wykonania tych praw jest stałe informowanie osób, i to nie tylko wówczas, gdy składają zapotrzebowanie na usługę, lecz także w czasie, gdy z niej korzystają. W odniesieniu do usług wymagających ciągłego przetwarzania danych dotyczących lokalizacji grupa robocza reprezentuje pogląd, że ich dostawca powinien regularnie przypominać zainteresowanej osobie, że jej urządzenie końcowe zostało, będzie lub może być zlokalizowane. Umożliwi to tej osobie wykonanie prawa do wycofania zgody na mocy art. 9 dyrektywy 2002/58/WE, jeżeli będzie chciała z niego skorzystać. 1.5 Czas przechowywania danych Dane dotyczące lokalizacji mogą być przetwarzane wyłącznie przez okres niezbędny do świadczenia usługi tworzącej wartość dodaną (art. 9 ust. 1 dyrektywy 2002/58/WE). Oznacza to, że z chwilą dostarczenia usługi usługodawca w zasadzie nie może przechowywać danych dotyczących lokalizacji danej osoby, chyba że są one niezbędne do celów sporządzania szczegółowych wykazów połączeń i płatności za połączenia międzysieciowe. 4 Jeżeli dostawcy usług chcą zachować w rejestrach dane dotyczące lokalizacji odbiorców ich usług, muszą je najpierw przekształcić w dane anonimowe. 4 W związku z tym grupa robocza odwołuje się do swoich zaleceń dotyczących przechowywania danych o ruchu do celów sporządzania szczegółowych wykazów połączeń (Opinia 1/2003 z dnia 29 stycznia 2003 r.). 8

9 1.6 Środki bezpieczeństwa i przekazywanie danych stronom trzecim Grupa robocza chce zwrócić uwagę dostawców usług łączności elektronicznej i usług tworzących wartość dodaną, opartych na przetwarzaniu danych dotyczących lokalizacji, na potrzebę zastosowania środków bezpieczeństwa w celu zapewnienia poufności i integralności przetwarzanych danych dotyczących lokalizacji. Na mocy art. 9 ust. 3 dyrektywy 2002/58/WE dane dotyczące lokalizacji, które mają być przetwarzane w celu świadczenia usług tworzących wartość dodaną, nie mogą być przekazywane stronom trzecim innym niż te, które świadczą tego rodzaju usługi. Jedynie osoby działające z upoważnienia strony trzeciej świadczącej usługę tworzącą wartość dodaną mogą przetwarzać dane, w zakresie niezbędnym i przez okres wymagany do świadczenia usługi. Dostęp takich osób do danych dotyczących lokalizacji powinien być również rejestrowany. 2. Warunki realizacji niektórych usług lokalizacyjnych w świetle celu, jakiemu służą Poza koniecznością zachowania zgodności z określonymi przepisami ustanowionymi w dyrektywie 2002/58/WE, usługi lokalizacyjne, z uwagi na to, że wiążą się z wykorzystaniem danych osobowych, muszą spełniać wymogi art. 6 dyrektywy 95/46/WE, który stanowi, że dane osobowe mogą być wykorzystywane wyłącznie do określonych, jednoznacznych i zgodnych z prawem celów. Dlatego grupa robocza chciałaby przeanalizować warunki, na jakich mogą być realizowane niektóre usługi lokalizacyjne, w szczególności w świetle celu, jakiemu służą. 2.1 Lokalizacja osób niepełnoletnich Grupa robocza odnotowała rozwój usług lokalizacyjnych przeznaczonych dla rodziców, umożliwiających im na przykład wejście na stronę internetową w celu ustalenia miejsca przebywania ich dziecka, któremu dali telefon komórkowy. Ten rodzaj usług stwarza wiele problemów związanych w szczególności z potrzebą znalezienia równowagi pomiędzy różnymi interesami i prawami, które wchodzą w grę w tym przypadku. Usługa pozwalająca na zlokalizowanie dzieci za pośrednictwem telefonu komórkowego może spełniać oczekiwania niektórych rodziców. Artykuły prasowe na temat aktów przestępczych z udziałem dzieci, potrzeba nadzorowania dzieci cierpiących na niektóre choroby lub coraz bąrdziej wędrowny styl życia dzieci mogą skłaniać niektórych rodziców do poszukiwania sposobów na zapewnienie sobie spokoju w drodze skorzystania z możliwości zlokalizowania swoich dzieci w dowolnym czasie, bez potrzeby kontaktowania się z nimi telefonicznie. Ta nowa forma zastosowania telefonii komórkowej dla wygody rodziców i na ich koszt może być postrzegana jako swego rodzaju rodzinny kontrakt : większa swoboda komunikacji dla dzieci w zamian za możliwość ustalania miejsca ich pobytu przez rodziców. W tym względzie takie usługi mogą odpowiadać określonym potrzebom dnia dzisiejszego i stanowić odzwierciedlenie dążeń dostawców usług do zdobycia pozycji na rynku, który prawdopodobnie się rozwinie i który jest nowym przykładem na to, w jaki sposób można sprzedawać możliwości wynikające z wykorzystaniem danych dotyczących lokalizacji. 9

10 Niemniej jednak, na tego rodzaju usługi można także spojrzeć z innej strony, a mianowicie nie z punktu widzenia rodziców, niezależnie od tego, jakim stopniu jest on uzasadniony, a z punktu widzenia dziecka. Grupa robocza chce zwrócić uwagę, że w art. 3 i 18 międzynarodowej konwencji o prawach dziecka stwierdza się, że sprawą nadrzędną będzie najlepsze zabezpieczenie interesów dziecka we wszelkich decyzjach dotyczących dzieci. W wypadku kwestii, o której mowa, należy również wziąć pod uwagę zapis w art. 16 tej konwencji, który przewiduje również, że żadne dziecko nie będzie podlegało arbitralnej lub bezprawnej ingerencji w sferę jego życia prywatnego, rodzinnego lub domowego czy w korespondencję. Powstają w związku z tym kwestie związane z korzystaniem z tego rodzaju usług, które mogą niekorzystnie wpłynąć na normalne relacje między rodzicami a ich dziećmi, oparte na wzajemnym zaufaniu, i uniemożliwić dzieciom uzyskanie niezbędnego dystansu między nimi a ich rodzicami w miarę stawania się bardziej niezależnymi. Ponadto rodzi się pytanie, czy taki system, wbrew swoim założeniom, nie może przyczynić się do tego, że niektórzy rodzice przestaną poczuwać się do odpowiedzialności, a będą zachowywali jedynie pozory kontroli lub przynajmniej monitorowania poczynań swoich dzieci? Czy ze społecznego punktu widzenia rozwój tego rodzaju usług nie może także spowodować, że jednostki od najmłodszych lat przyzwyczajają się do niemal stałego monitorowania, które przestaną postrzegać jako niepożądaną ingerencję w ich życie? I wreszcie, istnieje ryzyko, że rodzice zatracą poczucie różnicy między wiedzą, gdzie znajduje się telefon komórkowy ich dziecka a świadomością, co ich dziecko rzeczywiście robi. Dlatego grupa robocza apeluje przynajmniej o rozwagę w korzystaniu z tego rodzaju usług i chce podkreślić, że muszą one być realizowane zgodnie z zasadami regulującymi przetwarzanie danych dotyczących lokalizacji i zgodnie ze szczegółowymi przepisami ustawodawstwa krajowego w odniesieniu do wieku osób niepełnoletnich. Dostawcy usług muszą w związku z tym wprowadzać odpowiednie procedury identyfikowania osób, które rejestrują się jako rodzice i ograniczania dostępu do usług tylko tym osobom. Pozostaje jeszcze kwestia zgody osób niepełnoletnich, które mają być lokalizowane. Grupa robocza zwraca tu uwagę, że przy przyjmowaniu zapotrzebowania na usługę lokalizacyjną nie ma możliwości sprawdzenia, czy osoba korzystająca z telefonu komórkowego jest niepełnoletnia i czy faktycznie jest tą właściwą, a nie zupełnie kimś innym, być może osobą dorosłą, której odbiorca usług powierzył telefon. Dlatego też, zgodnie z zaleceniem grupy, należy uzyskać zgodę użytkownika telefonu, przynajmniej w momencie składania zapotrzebowania na usługę. Dla uniknięcia oszustw przy rejestrowaniu telefonów dostawcy usług powinni na przykład wysyłać wiadomości na odpowiedni telefon, podając, że w odniesieniu do tego aparatu zostało złożone zapotrzebowanie na usługę lokalizacyjną, by użytkownik telefonu mógł skorzystać z prawa odmowy zgodnie z art. 9 dyrektywy 2002/58/WE. 2.2 Lokalizacja pracowników 10

11 Grupa robocza zajęła się już problemem przetwarzania danych osobowych w stosunkach zatrudnienia. 5 Podkreśliła wówczas, że nadzór nad pracownikami musi być sprawowany w możliwie najmniej inwazyjny sposób. Przetwarzanie danych umożliwiające pracodawcy zbieranie danych dotyczących lokalizacji pracownika bezpośrednio (lokalizacja samego pracownika) albo pośrednio (lokalizacja samochodu użytkowanego przez pracownika, produktu bądź dobra materialnego, za które jest odpowiedzialny) wymaga wykorzystania danych osobowych i wobec tego podlega przepisom dyrektywy 95/46/WE. Grupa robocza zauważyła, że nastąpił rozwój systemów umożliwiających firmom identyfikację geograficznego położenia ich pracowników w danej chwili lub przez cały czas poprzez lokalizację przedmiotów będących w ich posiadaniu (identyfikator, telefon komórkowy itd.) lub rzeczy, z których korzystają (samochody). Za podstawę tych informacji mogą służyć, po przetworzeniu, dane pochodzące z satelitów (GPS), sieci łączności elektronicznej (telefonii komórkowej, bezprzewodowej sieci lokalnej (Wi-Fi) albo z jakiegokolwiek innego urządzenia (takiego jak etykiety RFID zlokalizowane za pomocą czytnika). Te informacje coraz częściej są uzupełniane danymi uzyskiwanymi za pośrednictwem różnych innych czujników, i nie są objęte zakresem definicji danych dotyczących lokalizacji sensu stricto, np. danymi dotyczącymi czasu, przez jaki wykorzystywany jest samochód lub urządzenie, liczby przejechanych kilometrów lub prędkości, z jaką poruszał się samochód. Z tego typu przetwarzaniem danych wiążą się dwa zagadnienia: wyznaczenie linii podziału między życiem zawodowym a prywatnym oraz określenie stopnia monitorowania i stałego nadzoru, w jakim dopuszczalne jest poddanie im pracownika. Grupa robocza chciałaby przypomnieć, że z punktu widzenia ochrony danych osobowych zgodność z prawem takich operacji przetwarzania danych powinna opierać się nie tylko na zgodzie pracownika, której - na mocy dyrektywy musi on udzielić dobrowolnie. Jak już zostało wskazane przez grupę w jej dokumencie roboczym dotyczącym ochrony danych w stosunkach zatrudnienia, na kwestię zgody należy spojrzeć z szerszej perspektywy: w szczególności, zaangażowanie wszystkich zainteresowanych stron (przewidziane w ustawodawstwie wielu Państw Członkowskich) poprzez umowy zbiorowe może być właściwym sposobem na uregulowanie problemu zbierania oświadczeń dotyczących zgody osób w takich okolicznościach. Uwzględniając wymóg, zgodnie z którym dane muszą być przetwarzane do określonych potrzeb grupa robocza uważa, że przetwarzanie danych dotyczących lokalizacji odnoszących się do pracowników musi odpowiadać określonym potrzebom firmy związanym z jej działalnością. Przetwarzanie danych dotyczących lokalizacji może być uzasadnione, jeżeli jest częścią monitorowania przewozu ludzi lub towarów bądź służy lepszemu dysponowaniu zasobami w celu świadczenia usług w rozproszonych lokalizacjach (np. planowanie operacji w czasie rzeczywistym), lub zapewnieniu bezpieczeństwa pracownikom bądź towarom czy pojazdom, za które są oni odpowiedzialni. 5 Opinia 8/2001 z dnia 13 września 2001 r. w sprawie przetwarzania danych osobowych w stosunkach zatrudnienia. 11

12 Grupa robocza uważa natomiast przetwarzanie danych za wykraczające poza niezbędny zakres w przypadku, gdy pracownicy mogą według własnego uznania ustalać plany wyjazdów służbowych lub wówczas, gdy służy ono wyłącznie monitorowaniu ich pracy, jeżeli można to robić innymi metodami. W tych dwóch sytuacjach cel wykorzystania danych, biorąc pod uwagę ich rodzaj, nie jest uzasadnieniem dla przetwarzania danych bezsprzecznie naruszającego prywatność. Co więcej, należy brać tu również pod uwagę istnienie przepisów prawa krajowego wyraźnie zakazujących monitorowania pracowników na odległość w celu oceny ich efektywności. W każdym razie wymóg dotyczący celu, jakiemu ma służyć przetwarzanie danych, oznacza, że pracodawca nie powinien zbierać danych dotyczących lokalizacji pracownika poza jego godzinami pracy. Dlatego też grupa robocza zaleca, by wyposażenie udostępniane pracownikom, w szczególności samochody, które mogą być również wykorzystywane do celów prywatnych, posiadały systemy umożliwiające im wyłączanie funkcji lokalizacji. Dane dotyczące lokalizacji odnoszące się do pracowników muszą być przechowywane przez odpowiednio długi czas z uwagi na inne cele, takie jak stwierdzenie, czy ich przetwarzanie było uzasadnione. Nawet przy uzasadnionych powodach przetwarzania danych dotyczących lokalizacji ich przetwarzanie będzie się zasadniczo odbywało się w czasie rzeczywistym. W każdym razie grupa robocza zaleca, by okres przechowywania danych dotyczących lokalizacji był racjonalnie uzasadniony, tzn. nie dłuższy niż dwa miesiące. Jeżeli pracodawca chce przetwarzać dane dotyczące lokalizacji przez okres dłuższy, niż dwa miesiące (np. do opracowania historii podróży służbowych w celu optymalizacji tras), grupa robocza zaleca, by uprzednio przekształcić je w dane anonimowe. Dostęp do danych dotyczących lokalizacji musi się ograniczać do osób, które w toku wykonywania swoich obowiązków mogą z uzasadnionych powodów wykorzystywać je do celów, jakim te dane mają służyć. Pracodawcy są więc zobowiązani przedsięwziąć wszelkie niezbędne środki ostrożności w celu bezpiecznego przechowywania takich danych i zapobiegania nieuprawnionemu dostępowi do nich, w szczególności poprzez stosowanie metod weryfikacji i identyfikacji takich osób. I wreszcie, grupa robocza chce przypomnieć o obowiązku informowania zainteresowanych pracowników i zwrócić uwagę pracodawców na potrzebę wprowadzania systemów lokalizacji w taki sposób, by pracownicy wiedzieli o ich istnieniu. Opinię sporządzono w Brukseli, dnia 25 listopada 2005 r. W imieniu grupy roboczej Przewodniczący Peter Schaar 12