Sprawozdanie roczne 2013

ISSN 1831-0583 Sprawozdanie roczne 2013 Streszczenie Europejski Inspektor ochrony danych

Sprawozdanie roczne 2013 Streszczenie

Europe Direct to serwis, który pomoże Państwu znaleźć odpowiedzi na pytania dotyczące Unii Europejskiej. Numer bezpłatnej infolinii (*): 00 800 6 7 8 9 10 11 (*) Informacje są udzielane nieodpłatnie, większość połączeń również jest bezpłatna (niektórzy operatorzy, hotele lub telefony publiczne mogą naliczać opłaty). Więcej informacji o Unii Europejskiej można znaleźć w portalu Europa (http://europa.eu). Luksemburg: Urząd Publikacji Unii Europejskiej, 2014 ISBN 978-92-9242-037-6 doi:10.2804/35137 Unia Europejska, 2014 Powielanie materiałów dozwolone pod warunkiem podania źródła.

WPROWADZENIE Niniejsze sprawozdanie obejmuje rok 2013 jako dziesiąty rok działalności Europejskiego Inspektora Ochrony Danych (EIOD) w charakterze niezależnego organu nadzoru mającego za zadanie zapewnienie poszanowania przez instytucje i organy UE 1 podstawowych praw i wolności osób fizycznych, a w szczególności ich prywatności, w odniesieniu do przetwarzania danych osobowych. Obejmuje ono również ostatni rok wspólnej kadencji inspektora Petera Hustinxa i zastępcy inspektora Giovanniego Buttarellego jako członków tego organu. Urząd Europejskiego Inspektora Ochrony Danych został powołany na mocy rozporządzenia (WE) nr 45/2001 2, które określa jego zadania i wyróżnia trzy główne sprawowane przez Urząd role, tj. nadzór, konsultacje i współpracę. Tworzą one platformę strategiczną naszej działalności i naszą misję obejmującą: monitorowanie oraz zapewnienie ochrony danych osobowych i prywatności podczas przetwarzania przez instytucje i organy UE danych osobowych dotyczących osób fizycznych; doradzanie instytucjom i organom UE we wszystkich sprawach związanych z przetwarzaniem danych osobowych. Prawodawca UE zasięga opinii EIOD w odniesieniu do wniosków legislacyjnych i tworzenia nowej polityki, jeżeli mogą one mieć wpływ na prywatność; współpracę z krajowymi instytucjami oraz innymi organami nadzorczymi w celu poprawy spójności ochrony danych osobowych; monitorowanie nowych technologii, które mogą mieć wpływ na ochronę danych osobowych; interweniowanie przed Trybunałem Sprawiedliwości UE w celu zapewnienia fachowego doradztwa w interpretowaniu przepisów o ochronie danych. Nasza Strategia 2013-2014, wraz z Regulaminem i rocznym planem zarządzania stanowiła cenne źródło wskazówek formułujące wizję i metodologię niezbędną do zwiększania skuteczności naszej pracy w trudnej sytuacji gospodarczej. Nasza instytucja osiągnęła pełną dojrzałość, a nasze cele i wskaźniki efektywności zostały jasno określone. W zakresie nadzoru nad instytucjami i organami UE podczas przetwarzania przez nie danych osobowych współdziałaliśmy z większą liczbą inspektorów ochrony danych w liczniejszych instytucjach i organach niż kiedykolwiek wcześniej. Ponadto, mogliśmy już zobaczyć efekty naszej nowej polityki w obszarze egzekwowania przepisów: większość instytucji i organów UE, w tym wiele agencji, czyni postępy w dostosowywaniu się do rozporządzenia o ochronie danych, nawet jeżeli niektóre organy powinny wykazać większe zaangażowanie w tę kwestię podejmując dodatkowe starania. W zakresie konsultacji dotyczących nowych działań legislacyjnych, naszym głównym celem pozostał przegląd ram prawnych UE. Ważnymi tematami w 2013 r. były agenda cyfrowa i zagrożenia dla ochrony prywatności związane z nowymi technologiami. Na ochronę danych miało również wpływ wdrażanie programu sztokholmskiego w przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz zagadnienia związane z rynkiem wewnętrznym, takie jak reforma sektora finansowego, oraz te związane z publiczną ochroną zdrowia i ochroną konsumentów. Pogłębiliśmy także współpracę z innymi organami nadzorczymi, w szczególności w zakresie systemów informatycznych. 1 Termin instytucje i organy zgodnie z treścią rozporządzenia (WE) nr 45/2001 pojawiają się w całym tekście sprawozdania. Jego zakres obejmuje również agencje UE. Ich pełna lista znajduje się pod następującym adresem: http://europa.eu/about-eu/institutions-bodies/ index_en.htm 2 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz. U. L 8 z 12.1.2001, s. 1). Sprawozdanie roczne 2013 Streszczenie 3

NAJWAŻNIEJSZE WYDARZENIA W 2013 R. Dziesięć lat po powołaniu do życia EIOD jest dojrzałą organizacją, która jest w stanie radzić sobie z licznymi wyzwaniami związanymi z ochroną danych w niezwykle dynamicznym środowisku. Główne wyzwanie operacyjne w 2013 r. związane było z rosnącą skalą i zakresem naszej działalności pomimo ograniczeń budżetowych wynikających z polityki oszczędnościowej. Kontrole wstępne Zaobserwowaliśmy wzrost liczby powiadomień dotyczących kontroli wstępnej w kontekście naszych działań nadzorczych i wykonawczych. Wzrost ten związany był przede wszystkim z przypadającym na czerwiec 2013 r. terminem powiadomień dotyczących kontroli wstępnej ex-post w zakresie już istniejących operacji przetwarzania. Wzrost liczby opinii wydanych w ciągu roku jest również związany z dużą liczbą otrzymanych powiadomień. Stosowaliśmy się do zaleceń zawartych w opiniach z kontroli wstępnych EIOD i udało nam się zamknąć wiele spraw. Kultura ochrony danych Aby zagwarantować, że instytucje i organy UE są świadome swoich obowiązków i ponoszą odpowiedzialność za spełnianie wymogów związanych z ochroną danych, opracowujemy wytyczne i organizujemy szkolenia dla administratorów, inspektorów ochrony danych i koordynatorów do spraw ochrony danych. W 2013 r. działania te przybierały przede wszystkim formę Wytycznych dotyczących zamówień publicznych, dotacji i ekspertów zewnętrznych; podstawowych szkoleń dla nowych inspektorów ochrony danych w zakresie procedury kontroli wstępnej; specjalnych szkoleń dla inspektorów ochrony danych z pięciu wspólnotowych przedsiębiorstw. Realizowane przez nas inicjatywy służące podnoszeniu świadomości wśród pracowników instytucji i organów UE obejmują organizację warsztatów dla administratorów z Europejskiej Fundacji Kształcenia (EFK) i Europejskiej Agencji Obrony (EAO), oraz ogólnych warsztatów dotyczących komunikacji elektronicznej, wykorzystania urządzeń mobilnych w miejscu pracy i stron internetowych zarządzanych przez instytucje i organy UE. Badania i polityki Wyniki czwartego badania ogólnego, Badanie 2013 (Survey 2013), które rozpoczęło się 17 czerwca 2013 r. w ramach monitorowania zgodności z przepisami, zostaną upublicznione na początku 2014 r. W styczniu 2013 r. opublikowaliśmy również raport zestawiający wyniki badań dotyczących statusu koordynatorów ochrony danych przy Komisji Europejskiej. W 2013 r. przyjęliśmy naszą politykę kontroli, w której określono główne elementy procedury kontrolnej EIOD, zapewniając zainteresowanym stronom precyzyjne wytyczne i przejrzystość działalności. Na podstawie dotychczas przeprowadzonych kontroli opracowano i przyjęto wyczerpujący podręcznik na temat inspekcji wewnętrznych dla pracowników EIOD przeprowadzających kontrole. Zakres konsultacji W ostatnich latach liczba opinii EIOD wydanych w odniesieniu do projektów unijnych aktów prawnych i związanych z nimi dokumentów systematycznie rosła. W 2013 r. zaobserwowano spadek tej liczby: wydaliśmy 20 opinii legislacyjnych i 13 zestawów formalnych komentarzy, a także udzieliliśmy nieformalnych porad Komisji i innym instytucjom w 33 przypadkach. Można to uzasadnić dwiema przyczynami: po pierwsze, z powodzeniem skoncentrowaliśmy się na priorytetach strategicznych, a po drugie na reformę ram ochrony danych przeznaczono znaczne środki. Przegląd ram prawnych w zakresie ochrony danych Przez cały rok 2013 staraliśmy się angażować w prace nad reformą unijnych ram ochrony danych. 15 marca 2013 r. przesłaliśmy dodatkowe uwagi dotyczące reformy do Parlamentu Europejskiego, Komisji i Rady. Uczestniczyliśmy również w dyskusjach, jakie miały miejsce później w Parlamencie Europejskim i w Radzie. Agenda cyfrowa i technologia Wielokrotnie pochylaliśmy się nad tematem agendy cyfrowej i Internetu, na przykład w naszej opinii na temat komunikatu Komisji dotyczącego Agendy cyfrowej dla Europy (Digital agenda for Europe Driving European growth digitally), opinii na temat jednolitego rynku europejskiego w zakresie komunikacji elektronicznej oraz opinii na temat zielonej księgi zatytułowanej Przygotowanie do nadejścia w pełni zintegrowanych mediów audiowizualnych: wzrost gospodarczy, twórczość i wartości. Przestrzeń wolności, bezpieczeństwa i sprawiedliwości W odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości wydaliśmy opinie dotyczące Europolu, wspólnotowej strategii cyberbezpieczeństwa i inteligentnych granic, a także danych dotyczących przelotu pasażera pomiędzy UE a Kanadą (danych PNR) oraz europejskiego modelu wymiany informacji. Współpraca z organami ochrony danych W dziedzinie współpracy kontynuowano działania Grupy Roboczej Art. 29. Szczególnie zaangażowaliśmy się jako 4

sprawozdawcy i współsprawozdawcy w zakresie opinii dotyczących celowości i uzasadnionego interesu (podgrupa ds. kluczowych przepisów), opinii na temat szablonu oceny wpływu danych z inteligentnych sieci (podgrupa ds. technologii) oraz opinii na temat danych otwartych (podgrupa ds. administracji elektronicznej). Skoordynowany nadzór W 2013 r. EIOD zapewnił dobrze funkcjonujący sekretariat na potrzeby organów ochrony danych zaangażowanych w skoordynowany nadzór nad SIS II, Eurodac, VIS i systemem informacji celnej (CIS). Zmianom w zakresie skoordynowanego nadzoru towarzyszyło pojawienie się pewnych wyzwań. Nowe rozporządzenie dotyczące Eurodac zawierało istotne zmiany, obejmujące między innymi zapewnienie organom ścigania możliwości dostępu do danych Eurodac. Ponadto zaczął funkcjonować SIS II. W celu ograniczenia obciążeń finansowych, administracyjnych i związanych z podróżami, zorganizowaliśmy serię połączonych spotkań grup ds. koordynacji nadzoru w celu zapewnienia w miarę możliwości spójnych, horyzontalnych polityk nadzoru nad wielkoskalowymi systemami informacyjnymi. Model grup koordynacji nadzoru będzie rozwijany w 2014 r. z udziałem nowej grupy ds. koordynacji i nadzoru systemu wymiany informacji na rynku wewnętrznym (IMI). Przeprowadziliśmy konsultacje z krajowymi organami ochrony danych i Komisją w celu podsumowania stanu i zmiany wprowadzonych w rozporządzeniu dotyczącym IMI i zorganizowanie pierwszego zebrania grupy w 2014 r. Polityka w dziedzinie technologii informacyjnych Jeśli chodzi o naszą politykę w dziedzinie technologii informacyjnych, uczestniczyliśmy w opracowaniu wielu opinii dotyczących propozycji Komisji mających strategiczne znaczenie dla przyszłości społeczeństwa cyfrowego w Europie. Nasza wiedza i doświadczenie w zakresie technologii informacyjnych sprawiły że EIOD stanął na czele wizyty w eu-lisa Europejskiej Agencji ds. Zarządzania Operacyjnymi Wielkoskalowymi Systemami Informatycznymi w kontekście SIS II. Nasza wiedza okazała się bardzo przydatna w zakresie nadzoru, w tym w przypadku skarg, kontroli wstępnych i inspekcji. Nasza specjalistyczna wiedza w zakresie technologii informacyjnych posłużyła nam podczas kontaktów z personelem administracji UE w procesie opracowywania wytycznych dotyczących kwestii ochrony danych i technologii; ta wymiana informacji zainicjowała dyskusje w instytucjach UE na temat ich ogólnego podejścia do oceny ryzyka i środków bezpieczeństwa w świetle doniesień o zawodności powszechnie stosowanych narzędzi kryptograficznych i narzędzi bezpieczeństwa. Informacja i komunikacja W zakresie komunikacji, zwiększyliśmy widoczność działań EIOD na poziomie instytucjonalnym dzięki prowadzonemu przez nas nadzorowi, konsultacjom i współpracy. Posługujemy się kilkoma wskaźnikami, takimi jak liczba składanych przez obywateli wniosków o przekazanie informacji, zapytań od mediów i próśb o wywiady (relacje z prasą), liczba osób subskrybujących nasz biuletyn, śledzących EIOD na Twitterze, a także liczba zaproszeń na konferencje i liczba osób odwiedzających naszą stronę internetową. Wszystkie te dane potwierdzają, że w coraz większym stopniu stajemy się punktem odniesienia w kwestiach ochrony danych na poziomie UE. W ciągu roku zaobserwowaliśmy systematyczny wzrost liczby odwiedzin strony internetowej EIOD (63% w porównaniu z 2012 r.). Wzrosła liczba wizyt studyjnych (17 grup w porównaniu z dwiema w 2012 r.), a także liczby składanych przez osoby prywatne wniosków o przekazanie informacji i porad (176 pisemnych zapytań, co stanowi wzrost o 51% w porównaniu z 2012 r.). W grudniu stworzyliśmy własną stronę w portalu LinkedIn, co ma na celu promowanie EIOD jako instytucji, wzmocnienie naszej obecności w sieci i zapewnienie widoczności naszych działaniom. Organizacja wewnętrzna Po odejściu Kierownika ds. działań, planowania i wsparcia, co nastąpiło z chwilą uruchomienia systemu zarządzania ewidencją (CSM) w październiku 2013 r., wprowadziliśmy istotne zmiany w strukturze organizacyjnej: obecnie nasz zespół zarządzania ewidencją podlega bezpośrednio Dyrektorowi. Zgodnie z zaleceniami Służby Audytu Wewnętrznego (IAS) oraz w celu podniesienia skuteczności działań, rozdzielono funkcję Koordynatora kontroli wewnętrznej i Zespołu ds. budżetu i administrowania zasobami ludzkimi (HRBA), który teraz również podlega bezpośrednio Dyrektorowi. Zarządzanie zasobami W 2013 r. udało nam się podnieść wskaźnik wykonania budżetu. Pomimo tego, w związku z decyzją Trybunału Sprawiedliwości dotyczącą regulacji płac pracowników UE ostateczny wynik nie spełnił naszych oczekiwań. Ta niespodziewana decyzja została podjęta dość późno, pozostawiając nam ograniczone pole manewru w zakresie przenoszenia pracowników. Co więcej, margines działania został dodatkowo okrojony kiedy Rada odmówiła transferów z budżetu wynagrodzeń do innych linii budżetowych. Gdyby, jak chciała Komisja, przed końcem roku ostatecznie przyjęto porozumienie pomiędzy Radą a Parlamentem, ostateczny wskaźnik wykonania budżetu (84,7%) byłby wyższy (87,2%). Najważniejsze liczby dotyczące działalności EIOD w 2013 r. ÎÎPrzyjęto 91 opinii dotyczących kontroli wstępnych i 21 innych opinii ÎÎOtrzymano 78 skarg, w tym 30 dopuszczalnych ÎÎPrzeprowadzono 37 konsultacji dotyczących środków administracyjnych ÎÎPrzeprowadzono 8 inspekcji na miejscu (w tym 2 wizyty wyjaśniające) i 3 wizyty ÎÎOpublikowano 1 wytyczną na temat przetwarzania danych osobowych w dziedzinie udzielania zamówień ÎÎWydano 20 opinii prawnych ÎÎWydano 13 zestawów formalnych uwag Sprawozdanie roczne 2013 Streszczenie 5

Strategia na lata 2013-2014 W naszej Strategii na lata 2013-2014 zdefiniowaliśmy kilka celów strategicznych, które przyczynią się do zwiększenia wpływu prowadzonych przez nas działań w zakresie ochrony danych na poziomie europejskim. Aby ocenić postępy, określiliśmy działania odgrywające kluczową rolę w osiąganiu wyznaczonych przez nas celów. Związane z nimi kluczowe wskaźniki efektywności (KPI) pomogą nam monitorować i dostosować, jeśli okaże się to konieczne, wpływ naszej pracy i skuteczność wykorzystania dostępnych środków. Tablica wyników kluczowych wskaźników efektywności Tablica wyników kluczowych wskaźników efektywności zawiera krótki opis ich samych oraz metody dokonywania obliczeń. W większości przypadków pomiar wskaźników odbywa się poprzez porównanie ich do wstępnie wyznaczonych celów. W przypadku trzech wskaźników wyniki uzyskane w 2013 r. posłużą za punkt odniesienia na najbliższe lata. W ogólnym ujęciu, wyniki wskazują na pozytywną tendencję w realizacji naszych celów. Można uznać, że wdrażanie strategii postępuje, i że na tym etapie nie są potrzebne żadne środki naprawcze. KPI Opis Wyniki w 2013 r. Cel na 2013 r. KPI 1 KPI 2 KPI 3 KPI 4 KPI 5 KPI 6 KPI 7 KPI 8 KPI 9 KPI 10 Liczba przeprowadzonych inspekcji/ wizyt. Pomiar: w porównaniu z przyjętym celem Liczba inicjatyw szkoleniowych oraz działań służących podnoszeniu świadomości w instytucjach i organach UE, zorganizowanych lub współorganizowanych przez EIOD (warsztaty, spotkania, konferencje, szkolenia i seminaria). Pomiar: w porównaniu z przyjętym celem Poziom zadowolenia inspektorów ochrony danych/ koordynatorów ds. ochrony danych ze szkoleń i wytycznych. Pomiar: Badanie zadowolenia inspektorów ochrony danych/ koordynatorów ds. ochrony danych przeprowadzane po każdym szkoleniu lub publikacji wytycznych. Liczba formalnych i nieformalnych opinii przekazanych ustawodawcy przez EIOD. Pomiar: w porównaniu z poprzednim rokiem Wskaźnik wdrażania przypadków zawartych w spisie i wymagających podjęcia działań. Pomiar: odsetek czerwonych inicjatyw (w których termin przekazania komentarzy minął), wdrożonych zgodnie z planem zawartym w Spisie 2013 Liczba przypadków, którymi zajęła się Grupa Robocza Art. 29 przy istotnym udziale EIOD. Pomiar: w porównaniu z poprzednim rokiem Liczba przypadków, w których przekazano wskazówki dotyczące rozwoju technologicznego. Pomiar: w porównaniu z przyjętym celem Liczba odwiedzin strony internetowej EIOD. Pomiar: w porównaniu z poprzednim rokiem Wskaźnik wykonania budżetu. Pomiar: suma płatności zrealizowanych w ciągu roku podzielona przez roczny budżet. Wskaźnik realizacji szkoleń dla personelu EIOD. Pomiar: liczba dni szkoleń rzeczywiście przeprowadzonych podzielona przez szacowaną liczbę dni szkoleń. 3 wizyty 8 inspekcji 4 szkolenia 4 warsztaty (3 we współpracy z ITP) Podstawowe szkolenie dla inspektorów ochrony danych: 70% pozytywnych opinii Szkolenie dla personelu EAO: 92% pozytywnych opinii Opinie: 20 Formalne uwagi: 13 Nieformalne uwagi: 33 90% (18/20) 90 % Minimum 8 8 warsztatów + szkoleń 60% pozytywnych informacji zwrotnych 2013 jako punkt odniesienia 13 2013 jako punkt odniesienia 21 20 293 029 (+63% w porównaniu z 2012 r.) 84,7% 85% 85% 80% 2013 jako punkt odniesienia 6

Kluczowe wskaźniki efektywności służą wdrażaniu następujących celów strategicznych: 1. Promowanie kultury ochrony danych w instytucjach i organach UE w celu zapewnienia, że są one świadome swoich obowiązków i ponoszą odpowiedzialność za przestrzeganie wymogów w zakresie ochrony danych. KPI nr 1, 2 i 3. Osiągnięto wszystkie cele. 2. Zapewnienie, że ustawodawca unijny (Komisja, Parlament i Rada) jest świadomy swoich obowiązków w zakresie ochrony danych, a ochrona danych jest uwzględniona w przyjmowanych aktach prawnych. KPI nr 4 i 5. Cel wyznaczony w odniesieniu do KPI nr 5 został osiągnięty. Wyniki osiągnięte w 2013 r. określą cel KPI nr 4. 3. Wzmocnienie współpracy z Organami Ochrony Danych, w szczególności z Grupą Roboczą Art. 29, w celu zapewnienia większej spójności ochrony danych w UE. Wyniki osiągnięte w 2013 r. określą cel KPI nr 6. KPI nr 7 odnosi się do celów strategicznych 1, 2 i 3. Osiągnięto przyjęty cel. 4. Opracowanie pomysłowej i skutecznej strategii komunikacyjnej. Wyniki osiągnięte w 2013 r. określą cel KPI nr 8. 5. Zwiększenie wykorzystania zasobów ludzkich, finansowych, technicznych i organizacyjnych EIOD (dzięki odpowiednim procesom, władzy i wiedzy). KPI nr 9 i 10. Osiągnięto cel wyznaczony dla KPI nr 10. Nie udało się osiągnąć celu wyznaczonego dla KPI nr 9. W tym względzie, chociaż zwiększyliśmy współczynnik wykonania budżetu, ostateczny wynik okazał się niższy niż przyjęty cel, co związane było z decyzją Trybunału Sprawiedliwości dotyczącą regulacji płac pracowników UE. Gdyby Trybunał zatwierdził zaproponowane przez Komisję podejście, ostateczny wskaźnik wykonania budżetu (84,7%) byłby wyższy (87,2%), a cel zostałby osiągnięty. Sprawozdanie roczne 2013 Streszczenie 7

inspektorów ochrony danych w opracowywanie nowych operacji przetwarzania i przekazywania danych odbiorcom niepodlegającym przepisom krajowym wynikającym z implementacji treści dyrektywy 95/46. Badanie ogólne pozwala nam ustalić, które organy radzą sobie gorzej w tym zakresie, a następnie podjąć odpowiednie kroki w celu rozwiązania problemu. Wyniki badania zostaną opublikowane na początku 2014 r. Skargi Zgodnie z rozporządzeniem o ochronie danych EIOD w ramach swoich podstawowych obowiązków wysłuchuje skarg, bada je i przeprowadza dochodzenia zarówno z własnej inicjatywy, jak i na podstawie skarg. W 2013 r. EIOD otrzymał 78 skarg (spadek o około 9% w porównaniu z rokiem 2012, co potwierdza skuteczność internetowego formularza skargi, który dostępny jest na naszej stronie internetowej, pod względem zmniejszenia liczby skarg niedopuszczalnych). 48 spośród nich stanowiło skargi niedopuszczalne, przy czym większość odnosiła się do przetwarzania danych na poziomie krajowym, a nie do ich przetwarzania przez instytucję lub organ UE. Pozostałe 30 skarg wymagało dogłębnego dochodzenia (spadek o około 25% w porównaniu z 2012 r.). Ponadto, 20 dopuszczalnych skarg wniesionych w poprzednich latach (dwie w 2009 r., jedna w 2010 r. i cztery w 2011 r. i trzynaście w 2012 r.) nadal było przedmiotem dochodzenia, przeglądu lub działań następczych w dniu 31 grudnia 2013 r. Konsultacje w sprawie środków administracyjnych Celem naszej polityki konsultacji w zakresie nadzoru i egzekwowania przepisów prawa przyjętej w listopadzie 2012 r. jest opracowanie wytycznych dla instytucji i organów UE oraz inspektorów ochrony danych w zakresie konsultacji z EIOD w oparciu o treść artykułów 28 ust.1 i/lub 46 lit.d) rozporządzenia. Zgodnie z treścią tego dokumentu, zachęcamy koordynatorów ds. ochrony danych do konsultacji z nami w specyficznych i wyjątkowych przypadkach, w których dane zagadnienie: (a) stanowi novum lub jest na tyle złożone, że budzi wątpliwości inspektorów ochrony danych lub instytucji, lub (b) ma wyraźny wpływ na prawa podmiotów danych w związku z ryzykiem związanym z procesem przetwarzania lub zakresem stosowanego środka. Przyjęto zasadę, że EIOD zgadza się na konsultacje tylko w przypadkach, które wcześniej zostały przedłożone do konsultacji inspektorowi ochrony danych danej instytucji (artykuł 24.3 regulaminu EIOD). W 2013 r. miało miejsce 37 konsultacji dotyczących środków administracyjnych. Podjęto w nich różnorodne tematy, m.in. transfer danych personelu do stałych przedstawicielstw UE, celowość oraz publiczny dostęp do dokumentów zawierających dane osobowe. Wytyczne horyzontalne W 2013 r. EIOD otrzymał liczne powiadomienia o kontrolach wstępnych z instytucji i organów UE, związane z naszymi Wytycznymi w sprawie przetwarzania danych osobowych w zakresie urlopów i ruchomego czasu pracy. Powiadomienia te umożliwiły nam dokładniejszą analizę wdrażania Wytycznych. Zamiast przyjęcia ogólnej opinii obejmującej wszystkie otrzymane powiadomienia, przyjęliśmy konkretne opinie dotyczące operacji przetwarzania danych związanych z urlopami i ruchomym czasem pracy w każdej agencji i skoncentrowaliśmy naszą analizę na tych aspektach operacji przetwarzania, które odbiegały od treści wytycznych. W czerwcu 2013 r. opublikowaliśmy Wytyczne dotyczące przetwarzania danych osobowych w kontekście zamówień publicznych, dotacji i ekspertów zewnętrznych. Ponadto, w ramach działań następczych wobec Wytycznych na temat oceny personelu 2011, w czerwcu 2013 r. przeprowadziliśmy badanie dotyczące przechowywania danych osobowych. Kwestionariusz przesłaliśmy uczestnikom warsztatów poświęconych przechowywaniu danych zorganizowanych w 2012 r. w celu zebrania informacji na temat obecnych limitów czasowych i przechowywania plików elektronicznych przekazanych przez specjalistów w dziedzinie zarządzania zasobami ludzkimi i inspektorów ds. zarządzania dokumentacją. Zorganizowaliśmy również podstawowe szkolenie dla inspektorów ochrony danych dotyczące procedury kontroli wstępnych; specjalne szkolenie dla inspektorów ochrony danych z pięciu wspólnotowych przedsiębiorstw; warsztaty dla administratorów danych z ETF i EAO oraz ogólne warsztaty dotyczące komunikacji elektronicznej, korzystania z urządzeń mobilnych w miejscu pracy oraz stron internetowych zarządzanych przez instytucje i organy europejskie. Sprawozdanie roczne 2013 Streszczenie 9

W opinii na temat Europejskiego jednolitego rynku komunikacji elektronicznej ostrzegaliśmy, że proponowane działania niepotrzebnie ogranicza swobodę funkcjonowania w przestrzeni internetowej. Z radością przyjęliśmy uwzględnienie w tekście zasady neutralności sieci (bezstronnej transmisji informacji w Internecie) wskazując zarazem, że w związku z niemal nieograniczonym prawem dostawców Internetu do zarządzania ruchem w sieci jest ona pozbawiona sensu. Ostrzegaliśmy również przed wprowadzaniem środków prowadzących do ingerencji w prywatność w ramach szeroko pojętego zapobiegania przestępczości oraz filtrowania treści nielegalnych z punktu widzenia przepisów prawa wspólnotowego jako niezgodnych z zasadą otwartego Internetu. W opinii na temat zielonej księgi zatytułowanej Przygotowanie do nadejścia w pełni zintegrowanych mediów audiowizualnych: wzrost gospodarczy, twórczość i wartości podkreśliliśmy, że nowe tryby dystrybucji i konsumpcji prac audiowizualnych przyczyniają się do powstania nowych form gromadzenia i przetwarzania danych osobowych użytkowników, przy czym ci ostatni pozostają tego całkowicie nieświadomi i nie mają żadnej kontroli nad dotyczącymi ich informacjami. Podkreśliliśmy, że użytkownikom należy zapewnić pełną przejrzystość w zakresie udzielania zgody, gromadzenia i rodzajów danych osobowych. W zakresie przestrzeni wolności, bezpieczeństwa i sprawiedliwości, opublikowaliśmy opinię na temat Europolu, w której podkreśliliśmy, że stabilne ramy prawne ochrony danych są nie tylko istotne dla podmiotów danych, ale także przyczyniają się do powodzenia współpracy policji i wymiaru sprawiedliwości; temat ten powrócił w opinii na temat Europejskiej strategii cyberbezpieczeństwa, w której wskazaliśmy, że nie wyjaśniono w jaki sposób zasady ochrony danych zostaną wykorzystane w praktyce: jeżeli cyberbezpieczeństwo ma przyczynić się do ochrony danych osobowych w sieci, nie można nim uzasadniać nieograniczonego monitorowania i analizy informacji osobowych osób prywatnych. W opinii na temat proponowanego przez Komisję utworzenia systemu inteligentnych granic w odniesieniu do zewnętrznych granic UE uznaliśmy, że jednym z celów propozycji było zastąpienie istniejącego powolnego i zawodnego systemu, chociaż oceny własne Komisji nie wskazują na to, by alternatywne rozwiązanie było wystarczająco skuteczne, a związane z jego wprowadzeniem koszty i naruszenie prywatności uzasadnione. W opinii na temat PNR UE-Kanada po raz kolejny zakwestionowaliśmy konieczność i proporcjonalność systemów PNR oraz masowego transferu danych PNR do krajów trzecich. W opinii na temat Europejskiego modelu wymiany informacji podkreśliliśmy potrzebę przeprowadzenia pełnego procesu oceny istniejących instrumentów i inicjatyw w zakresie wymiaru sprawiedliwości i spraw wewnętrznych, co powinno doprowadzić do opracowania szerokiej, zintegrowanej i ustrukturyzowanej polityki UE w zakresie zarządzania informacjami i ich wymianą. W odniesieniu do jednolitego rynku pojawiło się kilka propozycji służących harmonizacji i zapewnieniu centralnego nadzoru sektora finansowego. W związku z tym, że wiele z nich ma wpływ na prawo do prywatności i ochrony danych, przyjrzeliśmy się im bliżej w 2013 r. Opublikowaliśmy opinie na temat przeciwdziałania praniu brudnych pieniędzy i finansowaniu terroryzmu, płatności na rynku wewnętrznym, europejskiego prawa spółek i ładu korporacyjnego, oraz fakturowania elektronicznego w zamówieniach publicznych. Obserwuje się również tendencję do włączania technologii cyfrowych w proces świadczenia usług ochrony zdrowia, co także wiąże się z ochroną danych i zagrożeniami prywatności. W zakresie e-zdrowia wydaliśmy opinie na temat urządzeń medycznych, prekursorów narkotykowych i planu działania w zakresie e-zdrowia. Sprawy sądowe W 2013 r. EIOD interweniował w kilku sprawach przed Trybunałem Sprawiedliwości UE i Sądem do spraw Służby Publicznej UE. EIOD przedstawił ustną opinię przed wielką izbą Trybunału Sprawiedliwości w trybie prejudycjalnym. Posiedzenie dotyczyło spraw Digital Rights Ireland (C-293/12) oraz Seitlinger i inni (C-594/12). Obie odnoszą się do zasadności treści dyrektywy w sprawie zatrzymywania danych 2006/24/WE. Był to pierwszy przypadek, w którym Trybunał zaprosił EIOD do pojawienia się na posiedzeniu w trybie prejudycjalnym. Dla EIOD był to ważny krok, który może doprowadzić do podjęcia decyzji będącej punktem zwrotnym w kwestii, którą śledzimy z uwagą od wielu lat. EIOD uczestniczył w posiedzeniu w sprawie Komisja przeciwko Węgrom (C-288/12). Jest to trzecia sprawa dotycząca naruszenia niezależności organów ochrony danych; poprzednimi były Komisja przeciwko Austrii (C-614/10) i Komisja przeciwko Niemcom (C-518/07), w których orzeczenia wydano odpowiednio w 2012 i 2010 r. Pozostałe sprawy, w które zaangażował się EIOD pozostają w toku, mi.in. Pachtitis przeciwko Komisji i EPSO (T-374/07), Pachtitis przeciwko Komisji (F-35/08), ZZ przeciwko EBI (Case F-103/11) oraz Dennekamp przeciwko Parlamentowi Europejskiemu (T-115/13). W październiku 2013 r. EIOD złożył wniosek o dopuszczenie w charakterze interwenienta do dwóch innych spraw: Elmaghraby i El Gazaerly przeciwko Radzie Unii Europejskiej (sprawa T-319/13) i CN przeciwko Parlamentowi (sprawa T-343/13). Sprawozdanie roczne 2013 Streszczenie 11

GŁÓWNE CELE NA ROK 2014 Na rok 2014 określono główne cele wymienione poniżej w ramach ogólnej strategii na lata 2013-2014. Sprawozdania z osiągniętych wyników zostaną przedstawione w 2015 r. Nadzór i egzekwowanie przepisów Wytyczne i szkolenia Inspektorzy ochrony danych i koordynatorzy ds. ochrony danych odgrywają kluczową rolę w zapewnieniu prawdziwej odpowiedzialności. Zamierzamy nieustannie zapewniać im szkolenia i poradnictwo oraz sprzyjać budowaniu bliskiej współpracy z inspektorami ochrony danych i Siecią inspektorów ochrony danych. W związku z powyższym, zamierzamy organizować szkolenia dla nowych inspektorów ochrony danych, warsztaty na temat praw podmiotów danych oraz przyjąć wytyczne w odniesieniu do takich zagadnień jak deklaracja interesów, transfery i e-komunikacja. Planujemy również zaktualizować istniejące wytyczne z uwzględnieniem nowych rozwiązań. W ramach naszego planu wspierania inspektorów ochrony danych będziemy kontynuować współpracę z Europejskim Instytutem Administracji Publicznej w zakresie programu certyfikacji dla inspektorów ochrony danych. Wizyty W administracji unijnej, zaangażowanie kierownictwa i świadomość osób przetwarzających dane są niezbędne dla zapewnienia przestrzegania ochrony danych. Zamierzamy podejmować odpowiednie kroki służące podnoszeniu świadomości na wszystkich poziomach i zapewnieniu zaangażowania kierownictwa w tę kwestię, przede wszystkim poprzez organizację wizyt. Bliższy dialog z instytucjami UE Zapewnienie, by zasady ochrony danych były przestrzegane w administracji UE niezmiennie pozostaje dla nas wyzwaniem. Zamierzamy nadal prowadzić dialog z administratorami danych, a jednocześnie postaramy się zapewnić, by sposób formułowania naszych opinii pozwolił na promowanie pragmatycznego i praktycznego stosowania rozporządzenia. Postaramy się również udoskonalić wydawane przez nas opinie, tak aby ich treść była możliwie najbardziej przystępna. Kontrole Inspekcje pozostaną ważnym elementem polityki EIOD dotyczącej przestrzegania i egzekwowania prawa, opartej na kryteriach sformułowanych w polityce kontroli przyjętej w 2013 r. Działania następcze wobec naszych opinii i decyzji W ostatnich latach nastąpił istotny wzrost liczby opinii wydanych na podstawie kontroli wstępnych, co było związane z upływem w czerwcu 2013 r. terminu na tzw. kontrole wstępne ex-post. Wyzwaniem na rok 2014 jest zapewnienie działań następczych w odniesieniu do zaleceń zawartych w tych opiniach. Działania następcze planowane są w stosunku do kontroli wstępnych, jak również skarg, konsultacji w sprawie decyzji administracyjnych, kontroli i wizyt. Polityka i konsultacje Nowe ramy prawne dla ochrony danych Zamierzamy kontynuować współpracę ze wszystkimi właściwymi podmiotami w trwającej procedurze prawodawczej służącej stworzeniu nowych ram prawnych, a także z zainteresowanymi stronami na wszystkich poziomach w celu osiągnięcia celu, jakim jest szybkie przyjęcie pakietu legislacyjnego. Odbudowa zaufania do globalnego przepływu danych w następstwie PRISM Będziemy uważnie śledzić rozwój sytuacji, ponieważ sprawa PRISM jeszcze się nie zakończyła, a także uczestniczyć w inicjatywach podejmowanych przez instytucje UE, w szczególności Komisję, w kontekście odbudowy zaufania do globalnego przepływu danych. Inicjatywy stymulujące wzrost gospodarczy i wspierające agendę cyfrową Większość prac planowanych przez Komisję w obszarze społeczeństwa informacyjnego i nowych technologii na rok 2014 będzie kontynuacją tych z 2013 r. Szczególny nacisk zostanie położony na stymulowanie wzrostu gospodarczego w UE. Niektóre z planowanych inicjatyw mogą mieć istotne znaczenie dla ochrony danych. Dalszy rozwój przestrzeni wolności, bezpieczeństwa i sprawiedliwości W 2014 r. dobiegnie końca realizacja programu dla Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości opracowanego w 2010 r. w Sztokholmie. Zostanie przyjęty nowy zestaw wytycznych strategicznych i wieloletni planu działania; część strategii przewidzianych na 2013 r. będzie kontynuowana. Reformy sektora finansowego Od momentu, w którym światem wstrząsnął kryzys gospodarczy, Komisja przeprowadziła kompleksowy przegląd regulacji finansowych i nadzoru finansowego. W 2013 r. Sprawozdanie roczne 2013 Streszczenie 13

uważnie śledziliśmy zmiany w prawodawstwie finansowym. Oprócz planowanego Nowego podejścia do bankructwa i niewypłacalności firm, w odniesieniu do którego być może opublikujemy komentarz lub opinię, większość środków zaplanowanych na 2014 r. będzie stanowić kontynuację naszych działań z 2013 r. Zwalczanie oszustw podatkowych i tajemnicy bankowej Zgodnie z tendencją obserwowaną już w 2013 r. oczekuje się, że inicjatywy podejmowane na szczeblu UE w celu zwalczania oszustw podatkowych i tajemnicy bankowej będą miały wpływ na ochronę danych. Oprócz ram prawnych UE w zakresie podatku VAT, polityka fiskalna pozostaje poza kompetencjami UE. Niemniej jednak UE w coraz większym stopniu wspiera, koordynuje lub uzupełnia działania podejmowane przez państwa członkowskie w zakresie podatkowej współpracy administracyjnej, tym samym korzystając z uprawnień przyznanych jej na mocy art. 6 TFUE. Inne inicjatywy W ramach naszej strategii promowania kultury ochrony danych w instytucjach i organach UE i uwzględniania poszanowania zasad ochrony danych w prawodawstwie i politykach UE, m.in. w dziedzinie ochrony konkurencji, możemy z własnej inicjatywy sformułować wskazówki stanowiące nasz wkład w debatę na temat zmian prawnych i społecznych, które mogą mieć istotny wpływ na ochronę danych osobowych. Wydając te wstępne opinie, mamy nadzieję pobudzić świadomy dialog na temat tych ważnych kwestii. W późniejszym czasie może on pomóc w sformułowaniu pełnej opinii i zaleceń. Współpraca Skoordynowany nadzór Zamierzamy nadal wspierać skoordynowany nadzór nad Eurodac, CIS i VIS, działając w ścisłej współpracy z organami ochrony danych z państw członkowskich i rozszerzyć rolę, jaką pełnimy w kontekście Systemu Informacyjnego Schengen drugiej generacji (SIS II). Oczekuje się, że w 2014 r. podjęte zostaną pierwsze kroki w ramach skoordynowanego nadzoru systemu wymiany informacji na rynku wewnętrznym (IMI). Grupa Robocza Art. 29 Zamierzamy nadal aktywnie uczestniczyć w działalności i rozwoju Grupy Roboczej Art. 29, zapewniając spójność i synergię pomiędzy zadaniami Grupy a naszymi własnymi, zgodnie z przyjętymi przez nas i Grupę priorytetami. Zależy nam na utrzymaniu dobrych stosunków dwustronnych z krajowymi organami ochrony danych. Jako sprawozdawca w przypadku niektórych rodzajów dokumentacji, będziemy nadal przygotowywać i kierować procesem przyjmowania opinii Grupy Roboczej Art. 29. Organizacje międzynarodowe Organizacje międzynarodowe, takie jak Rada Europy i OECD, odgrywają ważną rolę w ustanawianiu norm i rozwoju polityki w różnych dziedzinach, w tym w zakresie ochrony danych i w dziedzinach z nią związanych. Większość organizacji międzynarodowych nie podlega obowiązującym w krajach przyjmujących przepisom prawa dotyczącym ochrony danych, a zarazem nie wszystkie spośród nich przyjęły własne zasady ochrony danych. Dlatego też będziemy starać się nawiązywać współpracę z organizacjami międzynarodowymi, albo w zakresie ustanawiania standardów i opracowywania polityk, albo w celu zachęcenia ich do udziału w warsztatach służących podnoszeniu świadomości i wymianie dobrych praktyk. Polityka w zakresie technologii informacyjnych Monitorowanie rozwoju technologii informatycznych, które mają wpływ na ochronę danych i związana z tym dyskusja na temat polityki rozwoju technologii i będących jej następstwem zmian gospodarczych pomogą nam w większym stopniu uwzględnić zagadnienia techniczne w naszej działalności nadzorczej i w komentarzach dotyczących inicjatyw politycznych UE. Zamierzamy również nadal uczestniczyć w realizacji konkretnych inicjatyw służących ocenie i zapewnieniu bezpieczeństwa poszczególnych systemów informatycznych w UE. Wytyczne dla instytucji UE Zamierzamy dokończyć opracowywanie wytycznych dotyczących wymogów prawnych i środków technicznych służących ochronie danych osobowych przetwarzanych przez strony internetowe UE za pomocą urządzeń mobilnych i w chmurze. Wytyczne te stanowią również podstawę do opracowania metodycznych i regularnych metod i narzędzi nadzoru dla tych obszarów. Rozwój Internetu z uwzględnieniem kwestii ochrony prywatności Wraz z innymi organami do spraw ochrony danych, zamierzamy pracować nad usprawnieniem komunikacji pomiędzy ekspertami w zakresie ochrony danych i społecznością programistów, co będzie miało miejsce w ramach specjalnych warsztatów, konferencji i grup roboczych. Celem tych działań będzie budowanie lepszego zrozumienia wzajemnych potrzeb i wypracowanie praktycznych sposobów ochrony danych i prywatności w nowy protokołach, narzędziach, komponentach, aplikacjach i usługach. Będziemy również szukać sposobów na zapewnienie, że kwestiom prywatności i ochrony danych poświęca się większą uwagę w procesach kształcenia inżynierów i programistów. Naszym celem jest również doradzanie placówkom badawczym w zakresie wspierania rozwoju technologicznego sprzyjającego ochronie prywatności. Infrastruktura technologii informacyjnych Dla naszych własnych potrzeb informatycznych, podejmiemy starania w celu zwiększania wydajności i zapewnienia, że proces ten jest zgodny z wymogami ochrony i bezpieczeństwa danych. Zamierzamy nadal udoskonalać nasze procedury wewnętrzne i rozwijać współpracę z dostawcami usług. Chcemy zapewnić, że w programach kształcenia pracowników EIOD uwzględniono w należyty sposób elementy związane z technologiami informacyjnymi. Inne dziedziny Informacja i komunikacja Zgodnie z naszą Strategią na lata 2013-2014 będziemy w dalszym ciągu podnosić świadomość pracowników administracji UE w zakresie ochrony danych, a jednocześnie informować obywateli o ich podstawowych prawach do prywatności i ochrony danych. Aby zapewnić skuteczność tych działań, podejmiemy wysiłki służące zwiększeniu widoczności EIOD jako eksperta w zakresie ochrony danych, m.in. w prasie i w opinii publicznej, co zaowocuje zarówno wzrostem zaufania publicznego, jak i zwiększonym zaangażowaniem instytucji UE. Nasze działania w zakresie komunikacji w 2014 r. obejmą aktualizację strony internetowej i stworzenie działu dotyczącego obserwacji polityki technologii informacyjnych, przegląd i aktualizację istniejących narzędzi 14

informacyjnych i komunikacyjnych (publikacje, strona internetowa itp.) w związku z nowym mandatem EIOD; omawiając kwestie techniczne będziemy nadal posługiwać się prostym językiem, aby uczynić je bardziej przystępnymi dla odbiorców i ilustrować je przykładami bliskimi opinii publicznej. Zarządzanie zasobami i profesjonalizacja zarządzania zasobami ludzkimi Wejście w życie nowego regulaminu pracowniczego w styczniu 2014 r. doprowadzi do aktualizacji wielu środków wykonawczych dotyczących całego szeregu zagadnień związanych z zasobami ludzkimi (ocena, zarządzanie urlopami, warunki pracy itp.). Zamierzamy kontynuować działania w zakresie zasobów ludzkich rozpoczęte w 2013 r. (bardziej strategiczna polityka rozwoju i nauki oraz przegląd kodeksu postępowania), a także realizować nowe działania, m.in. usprawnimy procedury rekrutacyjne. Istniejące zespoły ds. zasobów ludzkich i administracji zostaną połączone w celu zwiększenia zdolności organizacji do zarządzania zasobami ludzkimi. Dołożymy wszelkich starań, aby w ramach regulaminu pracowniczego zapewnić personelowi jak najlepsze warunki pracy, dzięki czemu EIOD nadal będzie postrzegany jako idealne miejsce pracy, ze zmotywowanymi do działania i zaangażowanymi pracownikami. Sprawozdanie roczne 2013 Streszczenie 15

Publikacje bezpłatne: JAK OTRZYMAĆ PUBLIKACJE UE jeden egzemplarz: w EU Bookshop (http://bookshop.europa.eu) kilka egzemplarzy (lub mapy, plakaty): w przedstawicielstwach Unii Europejskiej (http://ec.europa.eu/represent_pl.htm) w delegaturach Unii Europejskiej w krajach poza UE: (http://eeas.europa.eu/delegations/index_pl.htm) kontaktując się z Europe Direct (http://europa.eu/europedirect/index_pl.htm) lub dzwoniąc pod numer 00 800 6 7 8 9 10 11 (numer bezpłatny w całej UE) (*). (*) Informacje są udzielane nieodpłatnie, większość połączeń również jest bezpłatna (niektórzy operatorzy, hotele lub telefony publiczne mogą naliczać opłaty). Publikacje płatne: w EU Bookshop (http://bookshop.europa.eu) Płatne subskrypcje: u dystrybutorów Urzędu Publikacji Unii Europejskiej (http://publications.europa.eu/others/agents/index_pl.htm)