Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2012.36.31

Zalecenie 2012/73/UE w sprawie wytycznych w zakresie ochrony danych odnośnie do systemu wczesnego ostrzegania i reagowania (EWRS)

ZALECENIE KOMISJI
z dnia 6 lutego 2012 r.
w sprawie wytycznych w zakresie ochrony danych odnośnie do systemu wczesnego ostrzegania i reagowania (EWRS)

(notyfikowana jako dokument nr C(2012) 568)

(Tekst mający znaczenie dla EOG)

(2012/73/UE)

(Dz.U.UE L z dnia 9 lutego 2012 r.)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 292,

po konsultacji z Europejskim Inspektorem Ochrony Danych,

a także mając na uwadze, co następuje:

(1) Decyzją nr 2119/98/WE Parlamentu Europejskiego i Rady z dnia 24 września 1998 r. ustanawiającą sieć nadzoru i kontroli epidemiologicznej chorób zakaźnych we Wspólnocie(1) ustanowiono sieć nadzoru i kontroli epidemiologicznej chorób zakaźnych we Wspólnocie oraz system wczesnego ostrzegania i reagowania (zwany dalej "EWRS") w celu zapobiegania tym chorobom i ich kontroli.

(2) W decyzji 2000/57/WE z dnia 22 grudnia 1999 r. w sprawie systemu wczesnego ostrzegania i reagowania w celu zapobiegania i kontroli chorób zakaźnych na mocy decyzji nr 2119/98/WE Parlamentu Europejskiego i Rady(2) Komisja przyjęła przepisy wykonawcze dotyczące EWRS, których celem jest stworzenie, za pomocą odpowiednich środków, zorganizowanych i stałych form komunikacji pomiędzy Komisją i właściwymi organami ds. zdrowia publicznego odpowiedzialnymi w państwach członkowskich Europejskiego Obszaru Gospodarczego za wyznaczanie środków, które mogą być konieczne do ochrony zdrowia publicznego oraz do zapobiegania chorobom zakaźnym i powstrzymania ich rozprzestrzeniania się(3).

(3) Prawo do ochrony danych osobowych zapisane jest w Karcie praw podstawowych Unii Europejskiej, w szczególności w jej art. 8.

(4) Ponadto wymiana informacji drogą elektroniczną pomiędzy państwami członkowskimi oraz między państwami członkowskimi a Komisją musi być zgodna z przepisami o ochronie danych osobowych ustanowionymi w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(4) oraz w rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(5).

(5) Decyzją Komisji 2009/547/WE z dnia 10 lipca 2009 r. zmieniającą decyzję 2000/57/WE w sprawie systemu wczesnego ostrzegania i reagowania w celu zapobiegania i kontroli chorób zakaźnych na mocy decyzji nr 2119/98/WE Parlamentu Europejskiego i Rady(6) wprowadzono specjalne zabezpieczenia w przypadku wymiany danych osobowych pomiędzy państwami członkowskimi podczas procedury ustalania kontaktów zakaźnych w celu identyfikacji osób zakażonych lub osób potencjalnie zagrożonych, w razie wystąpienia przypadku związanego z chorobami zakaźnymi o potencjale rozprzestrzenienia się na całą UE.

(6) W dniu 26 kwietnia 2010 r. Europejski Inspektor Ochrony Danych wydał opinię o kontroli wstępnej(7), w której wezwał do jaśniejszego określenia odpowiedzialności rożnych podmiotów zaangażowanych w EWRS oraz do właściwego zaradzenia potencjalnym zagrożeniom dla praw podstawowych wynikającym z przetwarzania na większą skalę danych dotyczących ustalania kontaktów zakaźnych w przypadku wystąpienia w przyszłości poważnych zagrożeń dla zdrowia związanych z pandemią.

(7) Uwzględniając zalecenia przedstawione we wspomnianej opinii przez Europejskiego Inspektora Ochrony Danych, Komisja opracowała zestaw wytycznych w zakresie ochrony danych odnośnie do EWRS, co powinno pomóc w jaśniejszym określeniu odpowiednich ról, zadań i obowiązków różnych podmiotów systemu i zagwarantować w ten sposób skuteczne przestrzeganie wspomnianych powyżej przepisów o ochronie danych oraz dostarczyć podmiotom danych jasnych informacji i łatwo dostępnych mechanizmów egzekwowania przysługujących im praw,

PRZYJMUJE NINIEJSZE ZALECENIE:

1.
Państwa członkowskie powinny poinformować użytkowników EWRS o istnieniu wytycznych określonych w załączniku do niniejszego zalecenia.
2.
Należy zachęcić krajowe organy odpowiedzialne za system EWRS, aby zwróciły się do krajowych organów ochrony

danych o wskazówki i pomoc w określeniu najlepszego sposobu realizacji niniejszych wytycznych zgodnie z prawem krajowym.

3.
Państwom członkowskim zaleca się przekazanie Komisji Europejskiej informacji zwrotnej na temat realizacji wytycznych określonych w załączniku nie później niż dwa lata po przyjęciu niniejszego zalecenia. Informacje zwrotne zostaną udostępnione Europejskiemu Inspektorowi Ochrony Danych i uwzględnione przez Komisję przy ocenie poziomu ochrony danych w EWRS, jak również ocenie treści i terminów wprowadzania wszelkich przyszłych środków, w tym ewentualnego przyjęcia instrumentu prawnego.
4.
Niniejsze zalecenie skierowane jest do państw członkowskich.

Sporządzono w Brukseli dnia 6 lutego 2012 r.

W imieniu Komisji
John DALLI
Członek Komisji
______

(1) Dz.U. L 268 z 3.10.1998, s. 1.

(2) Dz.U. L 21 z 26.1.2000, s. 32.

(3) System EWRS jest zarezerwowany do zgłaszania, przez właściwe organy ds. zdrowia publicznego w państwach członkowskich, określonych zagrożeń dla zdrowia publicznego ("przypadków") zdefiniowanych w załączniku I do wspomnianej decyzji 2000/57/WE.

(4) Dz.U. L 281 z 23.11.1995, s. 31.

(5) Dz.U. L 8 z 12.1.2001, s. 1.

(6) Dz.U. L 181 z 14.7.2009, s. 57.

(7) Opinia o kontroli wstępnej z dnia 26 kwietnia 2010 r. wydana przez Europejskiego Inspektora Ochrony Danych w odniesieniu do systemu wczesnego ostrzegania i reagowania, notyfikowanego przez Komisję Europejską w dniu 18 lutego 2009 r. (sprawa C 2009-0137). Opinia ta została opublikowana na stronie internetowej Europejskiego Inspektora Ochrony Danych pod następującym adresem: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Priorchecks/Opinions/2010/10-04-26_EWRS_EN.pdf.

ZAŁĄCZNIK 

WYTYCZNE W ZAKRESIE OCHRONY DANYCH ODNOŚNIE DO SYSTEMU WCZESNEGO OSTRZEGANIA I REAGOWANIA (EWRS)

1.
WPROWADZENIE

EWRS jest aplikacją internetową zaprojektowaną przez Komisję Europejską we współpracy z państwami członkowskimi w celu stworzenia zorganizowanych i stałych form komunikacji pomiędzy Komisją i właściwymi organami ds. zdrowia publicznego odpowiedzialnymi w państwach członkowskich Europejskiego Obszaru Gospodarczego za określanie środków koniecznych do ochrony zdrowia publicznego. Od 2005 r. z EWRS połączona jest także agencja unijna, Europejskie Centrum ds. Zapobiegania i Kontroli Chorób (zwane dalej "ECDC")(1).

W celu zwiększenia zdolności państw członkowskich do zapobiegania potencjalnemu rozprzestrzenianiu się chorób zakaźnych w UE konieczna jest współpraca między krajowymi organami ds. zdrowia, jak również ich gotowość do reagowania w sposób szybki i skoordynowany na przypadki spowodowane chorobami zakaźnymi, które są lub mogą potencjalnie być zagrożeniem dla zdrowia publicznego.

Wcześniejsze ogniska SARS, pandemia grypy A(H1N1) i inne choroby zakaźne wyraźnie dowiodły, jak szybko mogą rozprzestrzenić się nieznane wcześniej choroby, powodując wysoką umieralność i zachorowalność. Szybkie podróżowanie i handel światowy ułatwiają przenoszenie chorób zakaźnych, które nie znają granic państwowych. Aby kontrolować takie kryzysowe sytuacje i nie dopuścić do poważnych i szkodliwych zmian, konieczne są wczesne wykrywanie oraz skuteczna komunikacja i koordynacja na poziomie europejskim i międzynarodowym.

System EWRS został zaprojektowany jako scentralizowany mechanizm, mający umożliwić państwom członkowskim wysyłanie ostrzeżeń, wymianę informacji i koordynację ich środków reagowania, w sposób szybki i bezpieczny, w odniesieniu do przypadków stanowiących potencjalne zagrożenie dla zdrowia w UE.

2.
ZAKRES I CELE WYTYCZNYCH

Zarządzanie i obsługa EWRS może obejmować wymianę danych osobowych w określonych przypadkach, gdy jest to przewidziane w odpowiednich instrumentach prawnych (zob. pkt 4 dotyczący podstaw prawnych uzasadniających wymianę danych osobowych w EWRS).

Wymiana danych osobowych pomiędzy właściwymi organami ds. zdrowia w państwach członkowskich musi być zgodna z przepisami o ochronie danych osobowych określonymi w krajowych aktach prawnych transponujących dyrektywę 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Ponieważ użytkownicy EWRS nie są ekspertami w obszarze ochrony danych i nie zawsze są wystarczająco świadomi nałożonych przez prawo wymogów dotyczących tej ochrony, wskazane jest jednak ustalenie dla tych użytkowników wytycznych, w których w sposób zrozumiały i przyjazny dla użytkownika wytłumaczono by funkcjonowanie EWRS z punktu widzenia ochrony danych. Celem wspomnianych wytycznych jest także podniesienie świadomości oraz propagowanie najlepszych praktyk i konsekwentnego, jednolitego podejścia do przestrzegania przepisów o ochronie danych wśród użytkowników EWRS w państwach członkowskich.

Należy jednak zauważyć, że wytyczne te nie mają stanowić wszechstronnego przeglądu wszystkich zagadnień dotyczących ochrony danych w związku z EWRS. Dalsze wskazówki i pomoc można uzyskać w organach ochrony danych w państwach członkowskich. W szczególności, usilnie zachęca się użytkowników EWRS do zasięgania rady właściwych organów ochrony danych w sprawie najlepszego sposobu wdrożenia niniejszych wytycznych na poziomie krajowym, tak aby zapewnić pełne przestrzeganie wymogów dotyczących ochrony danych obowiązujących w danym kraju. Wykaz organów ochrony danych i ich dane kontaktowe znajdują się pod poniższym adresem internetowym:

http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm

Wreszcie należy podkreślić, że niniejsze wytyczne nie stanowią autentycznej wykładni unijnego prawa o ochronie danych, gdyż w systemie instytucjonalnym UE interpretowanie prawa unijnego należy wyłącznie do kompetencji Trybunału Sprawiedliwości.

3.
PRAWO WŁAŚCIWE I NADZÓR

Określenie prawa właściwego zależy od tego, kim jest użytkownik EWRS. W szczególności, przetwarzanie danych osobowych przez Komisję i ECDC w ramach zarządzania systemem i jego obsługi (w zakresie określonym w kolejnych punktach) reguluje rozporządzenie (WE) nr 45/2001.

Jeśli chodzi o przetwarzanie danych osobowych przez właściwe organy krajowe odpowiedzialne za EWRS, prawem właściwym jest odpowiednie krajowe prawodawstwo w zakresie ochronie danych transponujące dyrektywę 95/46/WE. Należy zauważyć, że dyrektywa ta pozostawia państwom członkowskim pewną swobodę działania przy transpozycji jej przepisów do prawa krajowego. W szczególności, dyrektywa umożliwia państwom członkowskim wprowadzenie w określonych przypadkach wyjątków lub odstępstw od niektórych przepisów. Jednocześnie w krajowych przepisach o ochronie danych, którym podlega użytkownik EWRS, mogą być określone surowsze wymogi dotyczące ochrony danych lub wymogi specyficzne dla danego kraju, nieprzewidziane w aktach prawnych innych państw członkowskich.

Ze względu na tę specyfikę wymogów obowiązujących w poszczególnych krajach zaleca się, aby użytkownicy EWRS omówili niniejsze wytyczne z odpowiednimi organami ochrony danych, aby zapewnić spełnienie wszystkich wymogów określonych we właściwych przepisach krajowych. Na przykład elementy informacji, które mają być przekazane podmiotom danych w momencie gromadzenia danych, mogą się znacznie różnić w zależności od państwa członkowskiego. Różne mogą być także zasady przetwarzania specjalnych kategorii danych osobowych (np. danych dotyczących zdrowia) osób fizycznych.

Jedną z głównych cech unijnych ram prawnych w zakresie ochrony danych, obejmujących rozporządzenie (WE) nr 45/2001 i dyrektywę 95/46/WE, jest to, że są one nadzorowane przez niezależne publiczne organy ochrony danych. Przetwarzanie danych osobowych przez instytucje i organy UE jest nadzorowane przez Europejskiego Inspektora Ochrony Danych(2), natomiast przetwarzanie danych przez osoby fizyczne lub prawne, krajowe organy publiczne, agencje lub inne organy w państwach członkowskich jest nadzorowane przez odpowiednie organy ochrony danych. Organy nadzoru zostały upoważnione we wszystkich państwach członkowskich do rozpatrywania wniosków złożonych przez obywateli w związku z ochroną ich praw i swobód odnośnie do przetwarzania danych osobowych. Aby uzyskać bardziej szczegółowe informacje na temat rozpatrywania skarg i wniosków podmiotów danych, użytkownicy EWRS proszeni są o zapoznanie się z pkt 9 dotyczącym dostępu do danych osobowych i innych praw podmiotów danych.

4.
PODSTAWY PRAWNE WYMIANY DANYCH OSOBOWYCH W EWRS

Decyzją nr 2119/98/WE przewidziano utworzenie sieci na poziomie UE (zwanej dalej "Siecią") w celu wspierania współpracy i koordynacji pomiędzy państwami członkowskimi, z pomocą Komisji, mając na względzie sprawniejsze zapobieganie chorobom zakaźnym w UE i ich kontrolę(3). W tych ramach system EWRS został utworzony jako jeden z filarów Sieci, umożliwiający wymianę informacji, konsultacje i koordynację na poziomie europejskim w razie wystąpienia przypadków spowodowanych chorobami zakaźnymi, które mogą potencjalnie być zagrożeniem dla zdrowia publicznego w UE.

Należy zaznaczyć, że nie wszystkie informacje wymieniane w EWRS mają charakter danych osobowych. W rzeczywistości w systemie zasadniczo nie wymienia się danych dotyczących zdrowia lub innych danych osobowych zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Co to są "dane osobowe"?

Do celów dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 "dane osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("podmiot danych"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość(4).

Właściwe organy ds. zdrowia w państwach członkowskich EOG głównie przekazują do Sieci, poprzez EWRS, informacje dotyczące m.in. pojawienia się lub ponownego wystąpienia przypadków chorób zakaźnych wraz z informacjami na temat zastosowanych środków kontroli, lub informacje o niezwykłych zjawiskach epidemiologicznych lub nowych chorobach zakaźnych nieznanego pochodzenia(5), które mogą wymagać podjęcia w porę skoordynowanych działań przez państwa członkowskie, w celu zmniejszenia ryzyka rozprzestrzenienia się choroby w UE(6). Na podstawie informacji dostępnych za pomocą Sieci państwa członkowskie będą się ze sobą konsultować, w porozumieniu z Komisją, w celu koordynowania wysiłków na rzecz zapobiegania chorobom zakaźnym i ich kontroli, w tym odnośnie do środków, które przyjęły lub mają zamiar przyjąć na poziomie krajowym(7).

W niektórych przypadkach informacje wymieniane za pomocą systemu dotyczą jednak osób fizycznych i można je uznać za dane osobowe.

Przede wszystkim, przetwarzanie ograniczonej ilości danych osobowych upoważnionych użytkowników EWRS jest nierozerwalnie związane z zarządzaniem systemem i jego obsługą. W istocie przetwarzanie danych kontaktowych użytkowników (nazwisko, organizacja, adres e-mail, numer telefonu itp.) jest konieczne do utworzenia i funkcjonowania systemu. Te dane osobowe są gromadzone przez państwa członkowskie i dalej przetwarzane w ramach kompetencji Komisji wyłącznie do celów skutecznej współpracy przy zarządzaniu systemem EWRS i Siecią, na której on bazuje.

Co ważniejsze, wystąpienie przypadków związanych z chorobami zakaźnymi o potencjale rozprzestrzenienia się na całą UE może wymagać wprowadzenia przez dotknięte chorobą państwa członkowskie, współpracujące między sobą, szczególnych środków kontroli, tak zwanych środków "ustalania kontaktów zakaźnych" w celu zidentyfikowania osób zakażonych lub osób potencjalnie zagrożonych oraz zapobieżenia przenoszeniu poważnych chorób zakaźnych. Taka współpraca może obejmować wymianę poprzez EWRS danych osobowych, w tym szczególnie chronionych danych dotyczących zdrowia, odnoszących się do potwierdzonych lub podejrzewanych przypadków chorób u ludzi, pomiędzy państwami członkowskimi, których bezpośrednio dotyczą środki ustalania kontaktów zakaźnych(8).

Co oznacza "przetwarzanie danych osobowych"?

Do celów dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 "przetwarzanie danych osobowych oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, nagrywanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie przez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie"(9).

W powyższych sytuacjach przetwarzanie danych osobowych w EWRS musi być uzasadnione określonymi podstawami prawnymi. W tym przypadku kryteria uzasadniające przetwarzanie danych są określone w art. 7 dyrektywy 95/46/WE oraz w odpowiednich przepisach art. 5 rozporządzenia (WE) nr 45/2001.

Jeśli chodzi o dane kontaktowe użytkowników EWRS, są one przetwarzane w oparciu o:

art. 5 lit. b) rozporządzenia (WE) nr 45/2001: "przetwarzanie jest konieczne dla zgodności ze zobowiązaniem prawnym, któremu podlega administrator danych(10)". Przetwarzanie jest konieczne do zarządzania systemem EWRS i jego obsługi przez Komisję przy wsparciu ze strony ECDC,
oraz art. 5 lit. d) rozporządzenia (WE) nr 45/2001: "podmiot danych jednoznacznie wyraził na to zgodę". Dane kontaktowe użytkowników uzyskuje się od samych podmiotów danych, po uzyskaniu od nich świadomej zgody na przetwarzanie ich danych osobowych w EWRS (zob. pkt 8 dotyczący przekazywania informacji podmiotom danych).

Kryteria określone w art. 7 lit. c), d) oraz e) dyrektywy 95/46/WE są najistotniejsze dla wymiany w EWRS danych dotyczących kontaktów zakaźnych (np. danych kontaktowych osób zakażonych, danych dotyczących środka podróży i innych danych związanych z trasą podróży i miejscami pobytu danej osoby, informacji o odwiedzonych osobach i osobach potencjalnie narażonych na zakażenie) osób fizycznych(11):

art. 7 lit. c) dyrektywy 95/46/WE: "przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega". W decyzji nr 2119/98/EC wymagane jest ustanowienie systemu wczesnego ostrzegania i reagowania w celu zapobiegania chorobom zakaźnym i ich kontroli w UE. Decyzją tą państwa członkowskie zostały zobowiązane do zgłaszania poprzez EWRS określonych przypadków spowodowanych chorobami zakaźnymi, które są lub mogą potencjalnie być zagrożeniem dla zdrowia publicznego(12). Obowiązek zgłaszania obejmuje także środki wprowadzone przez właściwe organy w zainteresowanych państwach członkowskich w celu zapobiegania rozprzestrzenianiu się tych chorób i jego powstrzymania, w tym środki ustalania kontaktów zakaźnych wprowadzone w celu zidentyfikowania osób zakażonych lub osób potencjalnie zagrożonych zakażeniem(13),
art. 7 lit. d) dyrektywy 95/46/WE: "przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osób, których dane dotyczą". Co do zasady, wymiana między zainteresowanymi państwami członkowskimi danych osobowych osób zakażonych, a także osób bezpośrednio zagrożonych zakażeniem, jest konieczna do zapewnienia im odpowiedniej opieki lub leczenia oraz do umożliwienia wykrycia i identyfikacji osób w celu ich odizolowania lub kwarantanny, mając na uwadze ochronę zdrowia tych osób i obywateli UE w ogóle,
oraz art. 7 lit. e) dyrektywy 95/46/WE: "przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane". EWRS jest narzędziem zaprojektowanym tak, by pomóc państwom członkowskim w koordynacji działań mających na celu zapobieganie poważnym chorobom zakaźnym w UE i ich kontrolę. Dlatego system ma służyć wykonywaniu leżących w interesie publicznym zadań, które zostały powierzone państwom członkowskim w celu ochrony zdrowia publicznego.

Interes publiczny może być także uzasadnieniem dla przetwarzania przez państwa członkowskie szczególnie chronionych danych dotyczących zdrowia (np. informacji o przypadkach stanowiących zagrożenie dla zdrowia, danych dotyczących stanu zdrowia osób zakażonych i osób potencjalnie narażonych na zakażenie) w ramach EWRS. Mimo że przetwarzanie danych dotyczących zdrowia jest zasadniczo zakazane na mocy art. 8 ust. 1 dyrektywy 95/46/WE, przetwarzanie danych tej szczególnej kategorii w EWRS jest objęte wyłączeniem na mocy art. 8 ust. 3 tej dyrektywy, o ile przetwarzanie danych jest "wymagane do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też zarządzania opieką zdrowotną, jak również w przypadkach, gdy dane przetwarzane są przez pracownika służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającego obowiązkowi zachowania tajemnicy zawodowej, lub przez inną osobę również zobowiązaną do zachowania tajemnicy".

Dodatkowe wyłączenia z zakazu przetwarzania danych osobowych dotyczących zdrowia mogą zostać określone, ze względów na istotny interes publiczny i pod warunkiem ustanowienia odpowiednich środków zabezpieczających, na mocy krajowych przepisów państw członkowskich lub decyzją krajowych organów ochrony danych w państwach członkowskich(14).

5.
KTO JEST KIM W EWRS? KWESTIA WSPÓLNEGO ADMINISTROWANIA

EWRS został stworzony jako system wielu użytkowników łączący, za pomocą odpowiednich środków technicznych, w tym różnych zorganizowanych kanałów komunikacyjnych, wyznaczone osoby kontaktowe z właściwych organów ds. zdrowia publicznego w państwach członkowskich EOG (zwane dalej "krajowymi punktami kontaktowymi EWRS"), Komisję, ECDC oraz, w ograniczonym zakresie, Światową Organizację Zdrowia (WHO).

Każdy z tych podmiotów EWRS jest odrębnym użytkownikiem systemu, chociaż dostęp do informacji wymienianych w ramach systemu jest dostosowywany poprzez tworzenie różnych profili użytkowników oraz "selektywnych" kanałów komunikacyjnych, zapewniających odpowiednie środki zabezpieczające w celu przestrzegania obowiązujących przepisów o ochronie danych.

W szczególności, system obejmuje dwa główne kanały komunikacyjne. Pierwszy kanał, tzw. kanał "komunikacji ogólnej", umożliwia właściwemu organowi ds. zdrowia w danym państwie członkowskim przekazanie wszystkim krajowym punktom kontaktowym EWRS, Komisji, ECDC oraz WHO informacji o przypadkach spowodowanych chorobami zakaźnymi o potencjale rozprzestrzenienia się na całą UE, które podlegają obowiązkowi zgłaszania określonemu w decyzji 2119/98/WE(15).

Generalnie, poprzez kanał komunikacji ogólnej nie przekazuje się żadnych danych związanych ze zdrowiem lub innych danych osobowych dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Aby zapobiec bezprawnemu przetwarzaniu danych za pośrednictwem tego kanału wprowadzono odpowiednie środki zabezpieczające (zob. pkt 7).

Niemniej jednak, w razie wystąpienia przypadków spowodowanych chorobami zakaźnymi o potencjale rozprzestrzenienia się na całą UE, może być konieczne wprowadzenie przez bezpośrednio zainteresowane państwa członkowskie, we współpracy między sobą, szczególnych środków ustalania kontaktów zakaźnych w celu identyfikacji zakażonych osób oraz innych osób narażonych na zakażenie, by zapobiec rozprzestrzenianiu się tych poważnych chorób.

Aby zapewnić przestrzeganie przepisów o ochronie danych, wprowadzono odpowiednie środki zabezpieczające w celu ograniczenia wymiany danych o kontaktach zakaźnych i zdrowiu osób fizycznych jedynie do państw członkowskich bezpośrednio zainteresowanych daną procedurą ustalania kontaktów zakaźnych, a także w celu pozbawienia innych państw członkowskich Sieci, Komisji i ECDC możliwości dostępu do tych danych(16).

Z tego względu w ramach EWRS zbudowano tzw. kanał "komunikacji selektywnej", aby zagwarantować kanał komunikowania się wyłącznie między państwami członkowskimi, których dotyczy dany środek ustalania kontaktów zakaźnych.

Wymieniając dane osobowe poprzez kanał komunikacji selektywnej, właściwe organy pełnią rolę "administratora danych" w odniesieniu do przetwarzania tych danych osobowych i tym samym przejmują odpowiedzialność za zgodność tych działań z prawem oraz za przestrzeganie zobowiązań w zakresie ochrony danych, przewidzianych we właściwych krajowych aktach prawnych transponujących dyrektywę 95/46/WE.

Kim jest "administrator danych"?

Do celów dyrektywy 95/46/WE "administrator danych oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych"(17).

Zasadniczo, użytkownicy w Komisji i ECDC nie mają dostępu do danych osobowych wymienianych za pośrednictwem kanału komunikacji selektywnej(18). Niemniej jednak, ze względów technicznych za centralne przechowywanie danych w EWRS odpowiada ostatecznie Komisja jako administrator i koordynator systemu. Pełniąc tę rolę, Komisja jest także odpowiedzialna za rejestrację, przechowywanie i dalsze przetwarzanie danych osobowych upoważnionych użytkowników EWRS, niezbędnych do funkcjonowania systemu.

EWRS jest więc wyraźnym przykładem wspólnej administracji, w przypadku której odpowiedzialność za zapewnienie ochrony danych jest dzielona, na różnych poziomach, między Komisję a państwa członkowskie. Ponadto od 2005 r. Komisja i państwa członkowskie jako współadministratorzy zdecydowały o przekazaniu uprawnień do codziennej obsługi aplikacji informatycznej EWRS agencji ECDC, która wykonuje to zadanie w imieniu Komisji. W następstwie przekazania tych uprawnień agencja przejęła odpowiedzialność za zapewnienie, jako "przetwarzający", poufności i bezpieczeństwa operacji przetwarzania danych wykonywanych w ramach systemu zgodnie z obowiązkami nałożonymi art. 21 i art. 22 rozporządzenia (WE) nr 45/2001.

Kim jest "przetwarzający" i jakie są jego obowiązki?

Do celów rozporządzenia (WE) nr 45/2001 "przetwarzający oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ przetwarzający dane osobowe w imieniu administratora danych"(19).

W rozporządzeniu tym przewidziano, że jeżeli operacja przetwarzania jest przeprowadzana w imieniu administratora danych, wybiera on przetwarzającego, który zapewni wystarczające pod względem technicznym i organizacyjnym środki wymagane do celów bezpieczeństwa danych. Administrator danych jest ostatecznie odpowiedzialny za zapewnienie zgodności z tymi środkami. Niemniej jednak obowiązki określone w art. 21 i 22 tego rozporządzenia w zakresie poufności i bezpieczeństwa przetwarzania danych spoczywają również na przetwarzającym(20).

6.
OBOWIĄZUJĄCE ZASADY OCHRONY DANYCH

Przetwarzanie danych osobowych w ramach EWRS musi być zgodne z zestawem zasad ochrony danych określonych w rozporządzeniu (WE) nr 45/2001 i dyrektywie 95/46/EC.

Jako administratorzy danych Komisja i właściwe organy w państwach członkowskich są odpowiedzialni za zapewnienie zgodności z tymi zasadami za każdym razem, gdy przetwarzają dane osobowe za pośrednictwem EWRS. Poniżej przedstawione są wybrane główne zasady ochrony danych. Pozostaje to bez uszczerbku dla innych obowiązujących wymogów ochrony danych określonych w odpowiednich instrumentach prawnych, dla których wskazówki znajdują się w innych punktach niniejszych wytycznych. W szczególności, użytkowników EWRS zachęca się do starannego przeczytania pkt 8 na temat przekazywania informacji podmiotom danych oraz pkt 9 na temat dostępu i innych praw podmiotów danych.

6.1.
Zasady dotyczące legalności przetwarzania i ograniczenia co do celów

Administratorzy powinni dopilnować, aby dane osobowe były przetwarzane w sposób rzetelny i zgodny z prawem. Z zasady tej wynika przede wszystkim, że gromadzenie i każde dalsze przetwarzanie danych osobowych powinno być uzasadnione podstawami prawnymi.(21) Po drugie, dane osobowe mogą być gromadzone jedynie do określonych, jednoznacznych i legalnych celów i nie powinny być przetwarzane dalej w sposób niezgodny z tymi celami(22).

6.2.
Zasady dotyczące jakości danych

Administratorzy danych powinni dopilnować, aby dane osobowe były adekwatne, istotne i nienadmierne w stosunku do celu, w jakim są gromadzone. Ponadto dane powinny być dokładne i uaktualniane(23).

6.3.
Zasady dotyczące zachowywania danych

Administratorzy danych powinni dopilnować, aby dane osobowe były przechowywane w formie, która pozwala na zidentyfikowanie podmiotów danych, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane były gromadzone lub dla których są przetwarzane dalej(24).

6.4.
Zasady dotyczące poufności i bezpieczeństwa danych

Administratorzy danych powinni dopilnować, aby żadna osoba mająca dostęp do danych osobowych i działająca z ich upoważnienia lub z upoważnienia przetwarzającego, włączając samego przetwarzającego, nie przetwarzała tych danych bez polecenia administratora danych(25). Ponadto wymagane jest, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym, nieuprawnionym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, ujawnieniem lub dostępem, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania(26).

Mając na uwadze właściwe i skuteczne stosowanie wyżej wymienionych zasad w ramach użytkowania systemu, użytkownikom EWRS zaleca się w szczególności:

Aby upewnić się, że operacja przetwarzania ma podstawy prawne, dane są gromadzone do zgodnych z prawem, wyraźnie określonych celów i nie są one dalej przetwarzane w sposób niezgodny z tymi celami, w każdym przypadku gromadzenia lub przetwarzania w inny sposób danych osobowych za pośrednictwem EWRS, użytkownik EWRS powinien:

ocenić, w zależności od przypadku, czy uzasadnione jest wprowadzenie skoordynowanych środków ustalania kontaktów zakaźnych, a następnie aktywacja selektywnego kanału EWRS w celu wymiany powiązanych informacji o kontaktach zakaźnych oraz innych danych osobowych, w świetle charakteru choroby i naukowo udowodnionych korzyści wynikających z ustalenia kontaktów zakaźnych dla zapobiegania dalszemu rozprzestrzenianiu się choroby lub jego ograniczania, biorąc pod uwagę ocenę ryzyka przedstawioną przez organy ds. zdrowia w państwach członkowskich oraz przez istniejące agencje badawcze, tj. ECDC i WHO,
nie korzystać z kanału komunikacji ogólnej w celu wymiany danych związanych z ustalaniem kontaktów zakaźnych i innych danych osobowych. Muszą oni w szczególności dopilnować, by takie dane nie znalazły się w treści wysyłanej przez nich wiadomości ogólnej, w jej załącznikach lub w jakiejkolwiek innej formie. Korzystanie z kanału komunikacji ogólnej do celów ustalania kontaktów zakaźnych byłoby niezgodne z prawem i niewspółmierne do rezultatu, gdyż spowodowałoby ujawnienie danych osobowych odbiorcom (w tym Komisji i ECDC), których dana procedura ustalania kontaktów zakaźnych nie dotyczy i którzy nie potrzebują dostępu do tych danych,
przy korzystaniu z funkcji selektywnej, przyjąć zasadę ograniczonego dostępu, a jako odbiorców selektywnych wiadomości zawierających dane osobowe wybrać jedynie właściwe organy państw członkowskich, które muszą współpracować przy danej procedurze ustalania kontaktów zakaźnych.

Użytkownicy EWRS powinni zachować szczególnią ostrożność przy wymianie, poprzez kanał komunikacji selektywnej, szczególnie chronionych danych dotyczących stanu zdrowia osób zidentyfikowanych lub możliwych do zidentyfikowania, np. osób zakażonych lub potencjalnie narażonych na zakażenie, których dane kontaktowe lub inne dane osobowe są jednocześnie ujawniane za pośrednictwem EWRS tak, że daną osobę można bezpośrednio lub pośrednio zidentyfikować. W takim przypadku nadal obowiązują wszystkie powyższe zalecenia; ponadto użytkownicy EWRS powinni pamiętać, że wymiana danych szczególnie chronionych jest dozwolona na podstawie dyrektywy 95/46/WE tylko w bardzo ograniczonej liczbie przypadków. W szczególności(27):

osoba, której dane są gromadzone, udzieliła wyraźnej zgody na ich przetwarzanie (art. 8 ust. 2 lit. a) dyrektywy 95/46/WE). Niemniej jednak konieczność szybkiej interwencji w wyjątkowej sytuacji sanitarnej może uniemożliwić przekazanie podmiotowi danych wszystkich informacji, jakich potrzebuje, by móc wyrazić świadomą zgodę (zob. pkt 8 dotyczący przekazywania informacji podmiotom danych). Ponadto w momencie gromadzenia danych niekoniecznie wiadomo, czy dane zostaną ostatecznie ujawnione za pośrednictwem WERS,
jeżeli nie uzyskano zgody podmiotu danych, przetwarzanie danych dotyczących zdrowia można uznać za zgodne z prawem, jeżeli jest ono konieczne do "celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też zarządzania opieką zdrowotną", o ile powyższe dane są przetwarzane przez pracownika służby zdrowia zobowiązanego do zachowania tajemnicy zawodowej lub przez inną osobę podlegającą równoważnemu zobowiązaniu (art. 8 ust. 3 dyrektywy 95/46/WE). Innymi słowy, przy każdym wysłaniu kanałem selektywnym wiadomości zawierającej szczególnie chronione dane dotyczące zdrowia do odbiorców z innych państw członkowskich, użytkownicy EWRS powinni ocenić, czy ujawnienie takich danych jest absolutnie konieczne, by umożliwić właściwym organom z zainteresowanych państw członkowskich wprowadzenie szczególnych środków wymaganych do jednego z wyżej wymienionych celów. Użytkownikom EWRS przypomina się także, że dodatkowe przesłanki do przetwarzania danych dotyczących zdrowia mogą być także określone w odpowiednich krajowych aktach prawnych transponujących dyrektywę 95/46/WE lub w decyzji krajowych organów ochrony danych(28).

Aby zapewnić wysoką jakość danych osobowych wymienianych za pośrednictwem systemu, w szczególności przed wysłaniem wiadomości kanałem selektywnym, użytkownicy EWRS muszą rozważyć, czy:

dane osobowe, które chcą udostępnić, są absolutnie konieczne do przeprowadzenia skutecznej procedury ustalania kontaktów zakaźnych. Innymi słowy, właściwy organ wysyłający wiadomość powinien udostępnić organom z innego zainteresowanego państwa członkowskiego tylko te dane osobowe, które są konieczne do jednoznacznej identyfikacji osób zakażonych lub narażonych na zakażenie. Wykazu danych osobowych, które można przekazywać na potrzeby ustalania kontaktów zakaźnych, znajdującego się w załączniku do decyzji 2009/547/WE, nie można traktować jako generalnego i bezwarunkowego upoważnienia do przetwarzania tych kategorii danych. Jednocześnie należy zachować najwyższą ostrożność przy przetwarzaniu danych osobowych innych niż te wymienione we wspomnianym załączniku, gdyż ich ujawnienie byłoby najprawdopodobniej niepotrzebne i niezasadne. Należy natomiast przeprowadzić ocenę poszczególnych przypadków pod kątem tego, czy uwzględnienie określonych danych osobowych jest absolutnie konieczne do celów danej procedury ustalania kontaktów zakaźnych.

Dalsze przetwarzanie i przechowywanie danych osobowych poza EWRS:

Zwraca się szczególną uwagę na to, że krajowe przepisy o ochronie danych transponujące dyrektywę 95/46/WE mają także zastosowanie do przechowywania i dalszego przetwarzania, poza EWRS, danych osobowych uzyskanych za pośrednictwem systemu. Może tak się stać np. gdy dane osobowe przechowywane centralnie w systemie są następnie przechowywane na lokalnych komputerach osobistych użytkowników lub w bazach danych na poziomie krajowym; lub gdy dane te są przekazywane przez właściwy organ odpowiedzialny za ich przetwarzanie w EWRS innym organom lub innym stronom. W takich przypadkach przypomina się użytkownikom EWRS, że:

przechowywanie i dalsze przetwarzanie poza EWRS nie może być sprzeczne z pierwotnymi celami, dla których dane były gromadzone i wymieniane w ramach WERS,
dalsze przetwarzanie musi mieć podstawę prawną w odpowiednich krajowych przepisach o ochronie danych; oraz być konieczne, adekwatne, istotne i nienadmierne w stosunku do pierwotnych celów gromadzenia danych w WERS,
dane muszą być uaktualniane i wykreślane, gdy nie są już potrzebne do celów, do których były dalej przetworzone,
w przypadku pobrania danych z systemu EWRS i ich ujawnienia osobie trzeciej administrator danych musi poinformować o tym fakcie podmiot danych, aby zagwarantować rzetelne przetwarzanie danych, chyba że dostarczenie takich informacji byłoby niemożliwe lub wymagałoby nieproporcjonalnie dużego wysiłku, bądź jeśli przepisy prawa wyraźnie przewidują takie ujawnienie (zob. art. 11 ust. 2 dyrektywy 95/46/WE). Z uwagi na to, że ujawnienia mogą wymagać przepisy prawa tylko jednego z zaangażowanych państw członkowskich, a zatem wymóg ten może nie być szeroko znany gdzie indziej, należy podjąć starania w celu informowania podmiotu danych, nawet jeśli ujawnienie danych jest wyraźnie przewidziane przepisami prawa.
7.
ŚRODOWISKO SPRZYJAJĄCE OCHRONIE DANYCH

W systemie EWRS zostały już zainstalowane pewne funkcje wspomagające przestrzeganie zasad ochrony danych, przedstawionych w skrócie w pkt 6, i skłaniające użytkowników EWRS do oceniania danych pod kątem ich ochrony przy każdym wejściu do systemu. Dla przykładu:

na stronie EWRS umożliwiającej przeglądanie wiadomości umieszczone zostało dobrze widoczne ostrzeżenie informujące użytkowników o tym, że kanał komunikacji ogólnej nie służy do przeprowadzania procedury ustalania kontaktów zakaźnych i wymiany innych danych osobowych, ponieważ korzystanie z tego kanału może doprowadzić do niepotrzebnego ujawnienia tych danych innym użytkownikom niż ci, którzy ich potrzebują,
dostęp do informacji wymienianych w ramach systemu jest dostosowywany poprzez tworzenie różnych profili użytkowników oraz kanałów komunikacji selektywnej, zapewniających odpowiednie środki zabezpieczające w celu przestrzegania obowiązujących przepisów o ochronie danych,
w szczególności kanał komunikacji selektywnej EWRS stanowi kanał komunikacji przeznaczony do wymiany danych osobowych wyłącznie między zainteresowanymi państwami członkowskimi; w systemie została zainstalowana opcja domyślna, która automatycznie wyłącza Komisję i ECDC z listy ewentualnych odbiorców wiadomości wysyłanych selektywnie, zawierających dane osobowe(29),
system automatycznie usuwa wszystkie wiadomości wysyłane selektywnie, zawierające dane osobowe, dwanaście miesięcy od daty wysłania wiadomości (więcej szczegółów na ten temat znajduje się w pkt 11 dotyczącym zachowywania danych),
w systemie zainstalowano funkcję pozwalającą użytkownikom bezpośrednio korygować lub usuwać, w dowolnym czasie, te wysyłane selektywnie wiadomości, zawierające dane osobowe, które są nieprecyzyjne, nieaktualne, już niepotrzebne lub w jakikolwiek inny sposób niezgodne z wymogami w zakresie ochrony danych. System automatycznie powiadomi innych użytkowników EWRS, biorących udział w danej selektywnej wymianie informacji, o tym, że wiadomość została usunięta lub że jej zawartość została skorygowana, w celu zapewnienia przestrzegania przepisów o ochronie danych,
w kanale komunikacji selektywnej udostępniono specjalny mechanizm umożliwiający organom krajowym, których dotyczy dana wymiana informacji, komunikację i współpracę w zakresie dostępu, korekty, zablokowania lub usunięcia wniosków podmiotów danych.

Ponadto w perspektywie średnioterminowej przewiduje się zainstalowanie modułu szkoleniowego dostępnego z aplikacji EWRS, aby udostępnić użytkownikom EWRS obszerne objaśnienie, jak funkcjonuje system z punktu widzenia ochrony danych. Stosowanie różnych funkcji, mających na celu lepsze przestrzeganie przepisów o ochronie danych zostanie zilustrowane praktycznymi przykładami.

Komisja planuje współpracę z państwami członkowskimi w celu sprawienia, zgodnie z koncepcją ochrony prywatności już w fazie projektowania, aby informacje o tych i wszelkich innych przyszłych zmianach EWRS(30) były przekazywane od samego początku oraz aby uwzględnione zostały należycie zasady konieczności, proporcjonalności, ograniczenia co do celów i minimalizacji zakresu danych przy podejmowaniu decyzji o tym, jakie informacje mogą być wymieniane za pośrednictwem EWRS, z kim i na jakich warunkach.

8.
PRZEKAZYWANIE INFORMACJI PODMIOTOM DANYCH

Jednym z głównych wymogów zawartych w unijnych ramach prawnych dotyczących ochrony danych jest obowiązek administratora danych do przekazywania podmiotom danych jasnych informacji na temat planowanych operacji przetwarzania ich danych osobowych.

Zgodnie ze swoją rolą koordynatora w ramach EWRS oraz w celu wypełnienia wyżej wspomnianego obowiązku(31) Komisja zamieściła na swojej stronie internetowej poświęconej EWRS jasne i obszerne oświadczenie o ochronie prywatności odnośnie do operacji przetwarzania, za które odpowiada Komisja, oraz operacji wykonywanych przez właściwe organy, szczególnie w ramach działań związanych z ustalaniem kontaktów zakaźnych.

Niemniej jednak odpowiedzialność za przekazywanie informacji podmiotom danych spoczywa także na właściwych organach krajowych w państwach członkowskich w ramach ich funkcji administratora danych, w odniesieniu do operacji przetwarzania danych, jakie wykonują one za pośrednictwem EWRS.

Jakie "informacje" muszą przekazywać podmiotom danych właściwe organy krajowe odpowiedzialne za EWRS?

W przypadku pozyskiwania danych bezpośrednio od podmiotu danych art. 10 dyrektywy 95/46/WE stanowi, że administrator danych lub jego przedstawiciel musi, w momencie pozyskiwania danych od podmiotu danych, przekazać mu przynajmniej następujące informacje, chyba że podmiot danych już je posiada:

a)
tożsamość administratora danych i, w odpowiednich przypadkach, jego przedstawiciela;
b)
cele, dla których przetwarzane są dane;
c)
wszelkie dalsze informacje, jak np.:
odbiorcy lub kategorie odbiorców danych,
informacje, czy odpowiedzi na pytania są obowiązkowe czy dobrowolne, oraz ewentualne konsekwencje nieudzielenia odpowiedzi,
istnienie prawa dostępu do swoich danych oraz ich korekty;

o ile takie dalsze informacje są konieczne, biorąc pod uwagę szczególne okoliczności, w jakich dane są pozyskiwane, w celu zagwarantowania rzetelnego przetwarzania danych w odniesieniu do podmiotu danych.

W art. 11 dyrektywy 95/46/WE znajduje się wykaz minimalnego zakresu informacji, jakie powinien przekazać administrator danych, jeśli danych nie uzyskano od podmiotu danych. Informacje te muszą być przekazane w momencie rozpoczęcia rejestrowania danych osobowych lub, jeśli przewidywane jest ich ujawnienie stronie trzeciej, nie później niż w momencie, gdy dane są ujawniane po raz pierwszy(32).

Z wyżej wymienionych przepisów wynika, że w momencie pozyskiwania danych osobowych od osób fizycznych (lub, najpóźniej, w momencie, gdy dane są ujawniane po raz pierwszy za pośrednictwem EWRS), do celów wprowadzenia środków wymaganych do ochrony zdrowia publicznego w odniesieniu do przypadków, które należy zgłosić zgodnie z decyzją 2119/98/WE i jej przepisami wykonawczymi, właściwe organy krajowe muszą przekazać bezpośrednio podmiotom danych uwagi prawne zawierające informacje wymienione w art. 10 i 11 dyrektywy 95/46/WE. Zawiadomienie powinno także zawierać krótkie odniesienie do EWRS oraz link do odpowiednich dokumentów i oświadczeń o ochronie prywatności znajdujących się na stronach internetowych właściwych organów krajowych, jak również do strony Komisji poświęconej EWRS.

Szczegółowe informacje, jakie powinny zawierać uwagi prawne, mogą znacznie się różnić w zależności od państwa członkowskiego. W niektórych krajowych aktach prawnych przewidziany jest szerszy zakres obowiązków dla administratorów danych, obejmujący przekazywanie dalszych informacji, takich jak informacje o prawie podmiotu danych do otrzymania zadośćuczynienia, o sposobie i okresie zachowywania danych, o środkach zabezpieczania danych itd.

Prawdą jest, że konieczność szybkiej interwencji w wyjątkowej sytuacji sanitarnej może uniemożliwić, w przypadku gdy dane nie były uzyskane od podmiotu danych, przekazanie mu zawiadomienia informującego go o celach przetwarzania jego danych osobowych. W tym względzie art. 11 ust. 2 dyrektywy 95/46/WE stanowi, że prawo podmiotów danych do informacji może być ograniczone, w przypadku gdy dostarczenie takich informacji okazuje się niemożliwe lub "wymagałoby nieproporcjonalnie dużego wysiłku, lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo. W takich przypadkach państwa członkowskie zapewniają odpowiednie środki zabezpieczające".

Ogólnie należy zauważyć, że w krajowych przepisach o ochronie danych osobowych, transponujących dyrektywę 95/46/WE mogą być przewidziane szczegółowe restrykcje lub ograniczenia dotyczące prawa podmiotu danych do informacji(33). Każde takie specyficzne dla danego kraju ograniczenie lub restrykcja powinny być wyraźnie wspomniane w informacjach o polityce prywatności przekazywanych podmiotom danych lub w oświadczeniach o ochronie prywatności publikowanych na stronach internetowych właściwych organów.

Do właściwych organów krajowych w państwach członkowskich należy decyzja, w jakiej formie i w jaki dokładnie sposób przekazać te informacje podmiotom danych. Ponieważ większość właściwych organów będzie przeprowadzać operacje przetwarzania danych inne niż wymiana informacji za pośrednictwem EWRS, mogą one, w stosownych przypadkach, wybrać sposób informowania osób fizycznych w taki sam sposób, w jaki przesyłają one podobne informacje do celów innych operacji przetwarzania danych na mocy prawa krajowego. Ponadto zaleca się, aby właściwe organy aktualizowały lub uzupełniały swoją politykę w zakresie ochrony prywatności lub oświadczenia o ochronie prywatności - jeżeli są one już zamieszczone na ich krajowych stronach internetowych - ze specjalnym odniesieniem do wymiany danych osobowych w ramach EWRS.

Ze wszystkich tych wymienionych powyżej względów niezmiernie ważne jest, aby właściwe organy w państwach członkowskich konsultowały się z odpowiednimi organami ochrony danych przy opracowywaniu wzorów zawiadomień prawnych i oświadczeń o ochronie prywatności zgodnie z art. 10 i 11 dyrektywy 95/46/WE.

9.
DOSTĘP DO DANYCH OSOBOWYCH I INNE PRAWA PODMIOTÓW DANYCH

Wymogi w zakresie ochrony danych odnośnie do przekazywania informacji podmiotom danych, o których mowa w pkt 8 powyżej, ostatecznie mają na celu zapewnienie przejrzystości operacji przetwarzania danych osobowych. Przejrzystość jest także podstawowym celem przepisów o przysługujących podmiotom danych prawach dostępu do danych, określonych w unijnych instrumentach prawnych w zakresie ochrony danych(34).

Co oznacza prawo podmiotu danych do dostępu do danych?

Administratorzy danych są zobowiązani do zagwarantowania każdemu podmiotowi danych prawa do uzyskania, bez zbędnej zwłoki lub kosztów, potwierdzenia czy jego dane osobowe są przetwarzane, jak również informacji o celach tego przetwarzania oraz o odbiorcach, którym dane te mogą być udostępnione.

Administratorzy danych muszą także zagwarantować podmiotom danych prawo do uzyskania korekty, usunięcia lub zablokowania danych, których przetwarzanie jest niezgodne z obowiązującymi przepisami o ochronie danych, na przykład ze względu na niekompletność lub niedokładność danych.

Wreszcie, administratorzy danych muszą powiadomić strony trzecie, którym dane zostały udostępnione, o wszelkich korektach, usunięciu lub zablokowaniu danych, dokonanych na podstawie uzasadnionego wniosku złożonego przez podmiot danych, o ile nie jest to niemożliwe lub nie wymaga nieproporcjonalnie dużego wysiłku.

W ramach swojej funkcji administratorów danych, Komisja i państwa członkowskie ponoszą wspólną odpowiedzialność odnośnie do przyznawania praw dostępu, korekty, zablokowania i usuwania danych osobowych przetwarzanych za pośrednictwem EWRS na zasadach przedstawionych poniżej.

Komisja jest odpowiedzialna za przyznawanie dostępu do danych osobowych krajowych punktów kontaktowych EWRS oraz za rozpatrywanie związanych z nimi wniosków o korektę, zablokowanie lub usunięcie danych. Krajowe punkty kontaktowe zachęca się do zapoznania się ze specjalną klauzulą w obszernym oświadczeniu o ochronie prywatności na stronie internetowej Komisji poświęconej EWRS(35) w celu uzyskania bardziej szczegółowych informacji o tym, jak egzekwować swoje prawa jako podmioty danych.

Użytkowników EWRS informuje się także o tym, że w systemie zainstalowano także funkcję umożliwiającą im bezpośrednie modyfikowanie ich danych osobowych. Niemniej jednak pola danych, w których podane jest dane konto EWRS (przypisany użytkownikowi adres e-mail, rodzaj konta itp.), nie mogą być zmienione przez samych użytkowników, aby uniemożliwić dostęp do systemu nieupoważnionym osobom. Z tego względu wszelkie wnioski o zmianę tych pól danych powinny być kierowane do administratora danych w Komisji, o czym informuje obszerne oświadczenie o ochronie danych na stronie internetowej Komisji poświęconej EWRS.

Odpowiedzialność za rozpatrywanie wniosków podmiotów danych dotyczących ustalania kontaktów zakaźnych, danych dotyczących zdrowia i innych danych osobowych wymienianych między państwami członkowskimi za pośrednictwem EWRS spoczywa na właściwych organach biorących udział w danej selektywnej wymianie informacji. Odpowiedzialność tę regulują odpowiednie krajowe przepisy o ochronie danych osobowych transponujące dyrektywę 95/46/WE.

Ogólnie należy zauważyć, że w krajowych przepisach o ochronie danych transponujących dyrektywę 95/46/WE mogą być przewidziane szczegółowe restrykcje lub ograniczenia dotyczące prawa podmiotu danych do dostępu do danych, ich korekty, usunięcia lub zablokowania(36). Każde takie specyficzne dla danego kraju ograniczenie lub restrykcja powinny być wyraźnie wspomniane w informacjach o polityce prywatności przekazywanych podmiotom danych lub w oświadczeniach o ochronie prywatności publikowanych na stronach internetowych właściwych organów. Punktom kontaktowym EWRS zaleca się zatem skontaktowanie się z krajowymi organami ochrony danych w celu uzyskania bliższych informacji w tej sprawie.

Złożoność systemu EWRS, z wieloma użytkownikami biorącymi udział we wspólnych operacjach przetwarzania danych, wymaga jasnego i prostego podejścia do praw dostępu podmiotów danych, ponieważ podmioty danych nie znają zasad funkcjonowania systemu i powinny mieć możliwość skutecznego egzekwowania swoich praw.

Zalecane podejście polegałoby na tym, że jeśli podmiot danych sądzi, iż jego dane osobowe są przetwarzane za pośrednictwem EWRS, i chciałby mieć do nich dostęp lub je usunąć lub skorygować, powinien on mieć możliwość zwrócenia się do dowolnych właściwych organów krajowych, z którymi miał kontakt lub które pozyskały jego dane odnośnie do określonego przypadku stanowiącego zagrożenie dla zdrowia publicznego (np. zarówno do organu państwa, którego obywatelem jest podmiot danych, jak i organu państwa pobytu tej osoby w trakcie wystąpienia wspomnianego przypadku), jak również dowolnego innego organu biorącego udział w danej wymianie informacji w odniesieniu do wprowadzania środków ustalania kontaktów zakaźnych.

Właściwy organ biorący udział w danej wymianie informacji nie może odmówić dostępu do danych ani ich korekty lub usunięcia, twierdząc, że to nie on wprowadził dane do systemu EWRS lub że podmiot danych powinien zwrócić się do innego właściwego organu. W szczególności, jeżeli wniosek podmiotu danych otrzyma właściwy organ inny niż ten, który wysłał pierwotne informacje poprzez kanał komunikacji selektywnej, organ otrzymujący wniosek powinien go przekazać za pomocą specjalnego mechanizmu, o którym mowa w pkt 7, właściwemu organowi, który zamieścił pierwotne informacje, aby ten rozpatrzył wniosek.

W stosownych przypadkach, przed podjęciem decyzji właściwy organ, który zamieścił informacje w systemie, może skontaktować się z innymi właściwymi organami, biorącymi udział w wymianie informacji lub których wniosek podmiotu danych dotyczy w inny sposób, za pomocą specjalnego mechanizmu, o którym mowa w pkt 7.

Podmioty danych powinny także zostać poinformowane o tym, że jeśli nie satysfakcjonuje ich otrzymana odpowiedź, mogą się skontaktować z innym właściwym organem, biorącym udział w wymianie informacji. W każdym razie, podmioty danych mają prawo do złożenia skargi przed krajowym organem ochrony danych należącym do tych właściwych organów, które mu najbardziej odpowiadają. W stosownych przypadkach i w razie konieczności, przy rozpatrywaniu skargi krajowe organy ochrony danych powinny ze sobą współpracować (art. 28 dyrektywy 95/46/WE).

Wreszcie, na podstawie szczegółowych zaleceń przedstawionych przez Europejskiego Inspektora Ochrony Danych w jego opinii, Komisja wprowadziła do EWRS nową funkcję umożliwiającą korektę lub usunięcie przez Internet, do celów zgodności z przepisami o ochronie danych, selektywnie przesłanych wiadomości zawierających dane osobowe, które są niedokładne, nieaktualne, już niepotrzebne lub w inny sposób niezgodne z wymogami w zakresie ochrony danych.

10.
BEZPIECZEŃSTWO DANYCH

Dostęp do systemu jest ograniczony do upoważnionych użytkowników z Komisji i ECDC oraz do urzędowo wyznaczonych krajowych punktów kontaktowych EWRS. Dostęp jest chroniony przez zabezpieczone i spersonalizowane konto i hasło użytkownika.

Procedury przetwarzania danych osobowych za pośrednictwem EWRS są zgodne z wymogami wskazanymi w art. 21 i 22 rozporządzenia (WE) nr 45/2001.

11.
ZACHOWYWANIE DANYCH

Zgodnie z wymogami dotyczącymi ochrony danych określonymi w art. 4 ust. 1 lit. e) rozporządzenia (WE) nr 45/2001 oraz w art. 6 ust. 1) lit. e) dyrektywy 95/46/WE system automatycznie usunie wszystkie selektywnie wysyłane wiadomości zawierające dane osobowe dwanaście miesięcy po wysłaniu wiadomości.

Zabezpieczenie to, nieodłącznie związane ze strukturą systemu, nie zwalnia jednak użytkowników EWRS - którzy są wyłącznie i indywidualnie odpowiedzialni za swoje własne operacje przetwarzania danych w ramach kanału komunikacji selektywnej - z podejmowania decyzji o usuwaniu z systemu tych danych osobowych, który przestały być potrzebne przed upływem tego domyślnego rocznego okresu.

W tym celu Komisja zainstalowała w EWRS nową funkcję umożliwiającą użytkownikom bezpośrednie usunięcie, w dowolnym czasie, tych selektywnych wiadomości zawierających dane osobowe, które nie są już potrzebne.

Wreszcie, należy przypomnieć, że właściwe organy krajowe są odpowiedzialne za przestrzeganie przepisów o ochronie danych odnośnie do zachowywania danych osobowych, określonych w odpowiednich krajowych aktach prawnych transponujących dyrektywę 95/46/EC. Automatyczne usuwanie po roku danych osobowych przechowywanych w systemie nie uniemożliwia użytkownikom EWRS przechowywania tych danych poza systemem EWRS przez inne (np. dłuższe) okresy, pod warunkiem że odbywa się to zgodnie z obowiązkami wynikającym z odpowiednich krajowych przepisów o ochronie danych i że okresy przewidziane w krajowym prawodawstwie odpowiadają wymogom określonym w art. 6 ust. 1 lit. e) dyrektywy 95/46/EC.

12.
WSPÓŁPRACA Z KRAJOWYMI ORGANAMI OCHRONY DANYCH

Właściwe organy zachęca się do zasięgania opinii u odpowiednich krajowych organów ochrony danych, szczególnie w przypadku problemów związanych z ochroną danych, które nie zostały omówione w niniejszych wytycznych.

Właściwe organy muszą być także świadome, że na mocy przepisów krajowych transponujących dyrektywę 95/46/WE może okazać się konieczne, by powiadomiły one odpowiednie organy ochrony danych o ich własnych działaniach związanych z przetwarzaniem danych w EWRS. W niektórych państwach członkowskich może być nawet wymagane uprzednie upoważnienie ze strony krajowych organów ochrony danych.

______

(1) ECDC także wspiera i wspomaga Komisję w obsłudze aplikacji EWRS. Zadanie to zostało powierzone ECDC rozporządzeniem (WE) nr 851/2004 Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. ustanawiającym Europejskie Centrum ds. Zapobiegania i Kontroli Chorób, w szczególności jego art. 8 (Dz.U. L 142 z 30.4.2004, s. 1).

(2)http://www.edps.europa.eu/EDPSWEB/edps/EDPS.

(3) Kategorie chorób zakaźnych, którymi zajmuje się Sieć, są ograniczone do kategorii wymienionych w załączniku do decyzji nr 2119/98/WE.

(4)Artykuł. 2 lit. a) dyrektywy 95/46/WE oraz art. 2 lit. a) rozporządzenia (WE) nr 45/2001.

(5)Artykuł 4 decyzji nr 2119/98/WE.

(6)Załącznik I decyzji 2000/57/WE dotyczący definicji "przypadków" podlegających zgłaszaniu w ramach EWRS.

(7)Artykuł 6 decyzji nr 2119/98/WE.

(8) Cele uzasadniające przetwarzanie danych osobowych w EWRS na potrzeby "ustalenia kontaktów zakaźnych" zostały sprecyzowane w decyzji 2009/547/WE zmieniającej decyzję Komisji 2000/57/WE.

(9)Artykuł 2 lit. b) dyrektywy 95/46/WE i art. 2 lit. b) rozporządzenia (WE) nr 45/2001.

(10) Jeśli chodzi o definicję "administratora danych", zob. pkt 5 poniżej.

(11) Wykaz danych osobowych, które można wymieniać na potrzeby ustalania kontaktów zakaźnych, znajduje się w załączniku do decyzji 2009/547/WE.

(12)Artykuł 1 i załącznik I decyzji 2000/57/WE na temat definicji "przypadków" podlegających zgłaszaniu w ramach EWRS.

(13)Artykuł 2a decyzji 2000/57/WE wprowadzony decyzją 2009/547/WE.

(14) Jak przewidziano w art. 8 ust. 4 dyrektywy 95/46/WE.

(15) Porównaj w szczególności jej art. 4, 5 i 6.

(16)Artykuł 2a decyzji 2000/57/WE wprowadzony decyzją 2009/547/WE.

(17) Definicja sformułowana w art. 2 lit. d) dyrektywy 95/46/WE.

(18) W wyjątkowych okolicznościach Komisja może wziąć udział w wymianie danych osobowych poprzez selektywny kanał EWRS, gdy jest to absolutnie niezbędne do koordynacji, lub do umożliwienia szybkiego i skutecznego wprowadzenia środków w zakresie zdrowia publicznego wymaganych na mocy decyzji nr 2119/98/WE oraz jej przepisów wykonawczych. W takich przypadkach Komisja dopilnuje, aby przetwarzanie danych było zgodne z prawem i było przeprowadzone zgodnie z przepisami rozporządzenia (WE) nr 45/2001.

(19) Definicja sformułowana w art. 2 lit. e) rozporządzenia (WE) nr 45/2001.

(20) Zasady te określone są w art. 23 ust. 1 rozporządzenia (WE) nr 45/2001 dotyczącym przetwarzania danych osobowych w imieniu administratorów danych.

(21) Zasada legalności przetwarzania danych wynika z połączonych przepisów art. 6 ust. 1 lit. a), art. 7 oraz art. 8 dyrektywy 95/46/WE. Porównaj także odpowiednie przepisy rozporządzenia (WE) nr 45/2001.

(22) Zasada ograniczenia co do celu jest określona w art. 6 ust. 1 lit. b) dyrektywy 95/46/WE oraz w odpowiadającym mu przepisie art. 4 ust. 1 lit. b) rozporządzenia (WE) nr 45/2001.

(23)Artykuł 6 ust. 1 lit. c) i d) dyrektywy 95/46/WE oraz art. 4 ust. 1 lit. c) i d) rozporządzenia (WE) nr 45/2001.

(24)Artykuł 6 ust. 1 lit. e) dyrektywy 95/46/WE oraz art. 4 ust. 1 lit. e) rozporządzenia (WE) nr 45/2001.

(25) Zasada poufności jest określona w art. 16 dyrektywy 95/46/WE oraz w odpowiadającym mu przepisie art. 21 rozporządzenia (WE) nr 45/2001.

(26) Zasada bezpieczeństwa danych jest określona w art. 17 dyrektywy 95/46/WE oraz w odpowiadającym mu przepisie art. 22 rozporządzenia (WE) nr 45/2001.

(27) Aby zapoznać się z pełnym wykazem wyjątków od zakazu przetwarzania określonych szczególnych kategorii danych, w tym danych dotyczących zdrowia, zob. art. 8 ust. 2, 3, 4 i 5 dyrektywy 95/46/WE.

(28)Artykuł 8 ust. 4 dyrektywy 95/46/WE.

(29) Użytkownicy EWRS mają jednak alternatywną opcję korzystania z tego kanału także do selektywnego udostępniania informacji dotyczących kwestii technicznych, które nie są związane z przesyłaniem danych osobowych. Przy wyborze opcji alternatywnej zamiast domyślnej, organ wysyłający wiadomość może jako odbiorców wybrać Komisję i ECDC. Ta funkcja została zainstalowana w systemie, aby uwzględnić instytucjonalną rolę Komisji w koordynacji kwestii dotyczących ryzyka i zarządzania przypadkami oraz rolę ECDC w wykonywaniu zadań związanych z oceną ryzyka.

(30) Zgodnie z zasadą "ochrony prywatności już w fazie projektowania", technologie informacyjne i telekomunikacyjne (ICT) powinny być tak projektowane i rozwijane, aby uwzględniać wymogi dotyczące ochrony prywatności i danych już w czasie powstawania danej technologii i na wszystkich etapach jej rozwoju.

(31) Obowiązek przekazywania informacji spoczywa na Komisji na podstawie art. 11 i 12 rozporządzenia (WE) nr 45/2001.

(32) Informacje, które powinny zostać przekazane, to informacje wymienione w przytoczonym art. 10 wraz z kategoriami tych danych. Informacje te nie są oczywiście wymagane w przypadku pozyskania danych bezpośrednio od podmiotu danych, który jest informowany o kategorii danych w momencie ich pozyskania.

(33)Artykuł 13 ust. 1 dyrektywy 95/46/WE dotyczący wyłączeń i ograniczeń stanowi jak następuje: "Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia: a) bezpieczeństwa narodowego; b) obronności; c) bezpieczeństwa publicznego; d) działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji; e) ważnego interesu ekonomicznego lub finansowego państwa członkowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi; f) funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach wymienionych w lit. c)-e); g) ochrony osoby, której dane dotyczą oraz praw i wolności innych osób".

(34)Artykuł 12 dyrektywy 95/46/WE oraz art. 13-18 rozporządzenia (WE) nr 45/2001.

(35) Oświadczenie o ochronie prywatności jest także dostępne dla wszystkich użytkowników EWRS w aplikacji EWRS w sekcji zabezpieczonej.

(36) Przytoczony art. 13 ust. 1 dyrektywy 95/46/WE.

Zmiany w prawie

Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024
Bez kary za brak lekarza w karetce do końca tego roku
Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024
Ratownik medyczny wykona USG i zrobi test na COVID
Ratownik medyczny wykona USG i zrobi test na COVID

Mimo krytycznych uwag Naczelnej Rady Lekarskiej, Ministerstwo Zdrowia zmieniło rozporządzenie regulujące uprawnienia ratowników medycznych. Już wkrótce, po ukończeniu odpowiedniego kursu będą mogli wykonywać USG, przywrócono im też możliwość wykonywania testów na obecność wirusów, którą mieli w pandemii, a do listy leków, które mogą zaordynować, dodano trzy nowe preparaty. Większość zmian wejdzie w życie pod koniec marca.

Agnieszka Matłacz 12.03.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2012.36.31
Rodzaj: Zalecenie
Tytuł: Zalecenie 2012/73/UE w sprawie wytycznych w zakresie ochrony danych odnośnie do systemu wczesnego ostrzegania i reagowania (EWRS)
Data aktu: 06/02/2012
Data ogłoszenia: 09/02/2012
Data wejścia w życie: 01/01/1970