[pic] | KOMISE EVROPSKÝCH SPOLEČENSTVÍ |

V Bruselu dne 4.10.2005

KOM(2005) 475 v konečném znění

2005/0202 (CNS)

Návrh

RÁMCOVÉHO ROZHODNUTÍ RADY

o ochraně osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech {SEK(2005) 1241}

(předložená Komisí)

DŮVODOVÁ ZPRÁVA

1) Souvislosti návrhu

- Odůvodnění a cíle návrhu

Dne 4. listopadu 2004 přijala Evropská rada Haagský program o posílení svobody, bezpečnosti a práva v Evropské unii[1]. V tomto programu vyzvala Komisi, aby předložila nejpozději do konce roku 2005 návrhy na provedení zásady dostupnosti s cílem zlepšit přeshraniční výměnu informací pro vymáhání práva mezi členskými státy. Haagský program zdůrazňuje, že by měly být v těchto návrzích striktně dodrženy klíčové podmínky v oblasti ochrany údajů.

V červnu 2005 přijaly Rada a Komise akční plán k provedení Haagského programu[2]. Akční plán se zakládal na sdělení Komise Radě a Evropskému parlamentu – Haagský program: Deset priorit pro nadcházejících pět let. Partnerství pro evropskou obnovu týkající se svobody, bezpečnosti a práva[3]. Podle akčního plánu předloží Komise v roce 2005 návrhy týkající se (1) zavedení zásady dostupnosti informací významných pro vymáhání práva a (2) odpovídajících ochranných opatření a účinných opravných prostředků pro přenos osobních údajů pro účely policejní a soudní spolupráce v trestních věcech. Dne 13. července 2005 Rada (pro spravedlnost a vnitřní věci) ve svém prohlášení o reakci EU na pumové útoky v Londýně[4] vyzvala Komisi, aby předložila tyto návrhy do října 2005.

Toto rámcové rozhodnutí má zajistit ochranu osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech mezi členskými státy Evropské unie (SEU, hlava VI). Jeho cílem je zlepšení uvedené spolupráce, zejména pokud jde o předcházení terorismu a boj proti němu, a přísné dodržování zásadních podmínek v oblasti ochrany údajů. Má zajistit, aby byla zachovávána základní práva, se zvláštním důrazem na právo na soukromí a na ochranu osobních údajů, v celé Evropské unii, zejména se zřetelem k uplatňování zásady dostupnosti. Rovněž zajistí, aby výměně důležitých informací mezi členskými státy nebránily různé úrovně ochrany údajů v členských státech.

- Obecné souvislosti

Po podnětu vzneseném Itálií[5] proběhla diskuse o ochraně osobních údajů ve třetím pilíři již v roce 1998. Tehdy Rada pro spravedlnost a vnitřní věci přijala takzvaný vídeňský akční plán[6]. Uvádělo se v něm, že s ohledem na horizontální problémy v souvislosti s policejní a soudní spoluprací v trestních věcech by do dvou let od vstupu Smlouvy v platnost měly být prověřeny možnosti harmonizace pravidel o ochraně údajů. V roce 2001 se však nepodařilo přijmout předlohu usnesení o pravidlech ochrany osobních údajů v nástrojích podle třetího pilíře Evropské unie[7]. V červnu 2003 navrhlo řecké předsednictví soubor obecných zásad ochrany osobních údajů ve třetím pilíři[8], které byly inspirovány směrnicí 95/46/ES o ochraně údajů a Listinou základních práv Evropské unie. V roce 2005 vyjádřily orgány pro ochranu údajů členských států Evropské unie a evropský inspektor ochrany údajů (dále jen EIOÚ) svou podporu novému právnímu nástroji pro ochranu osobních údajů ve třetím pilíři[9]. Evropský parlament doporučil harmonizovat existující pravidla o ochraně osobních údajů v nástrojích třetího pilíře, jež se shrnou do jediného nástroje zaručujícího stejnou úroveň ochrany údajů, jak je stanovena v rámci prvního pilíře[10].

Podle Haagského programu závisí zavedení zásady dostupnosti na klíčových podmínkách v oblasti ochrany údajů. Evropská rada zjevně uznala, že předpisy o ochraně údajů, které v současné době existují na úrovni EU, by nebyly dostačující vzhledem k uplatňování zásady dostupnosti, která by mohla zahrnovat takové podmínky, jako je vzájemný přístup k vnitrostátním databázím nebo jejich interoperabilita či přímý (on-line) přístup.

Obavy ohledně dostatečné úrovně ochrany údajů se rovněž odrazily v dohodě o spolupráci, kterou podepsalo sedm členských států dne 27. května 2005 v Prümu (Německo, Rakousko, Belgie, Nizozemsko, Lucembursko, Francie a Španělsko) a doporučilo ji jako vzor pro výměnu informací mezi členskými státy Unie obecně. S výhradou zvláštních podmínek umožní dohoda přímý automatizovaný přístup donucovacích orgánů jedné smluvní strany k osobním údajům drženým jinou smluvní stranou. Tato forma spolupráce se však nepoužije, dokud ustanovení dohody o ochraně údajů nebudou provedena do vnitrostátního práva smluvních stran.

- Platné předpisy vztahující se na oblast návrhu

Listina základních práv Evropské unie[11] výslovně přiznává právo na soukromý život (článek 7) a právo na ochranu osobních údajů (článek 8). Tyto údaje musí být zpracovány poctivě, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. Na dodržování těchto pravidel dohlíží nezávislý orgán.

Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů[12] obsahuje základní pravidla zákonnosti zpracování osobních údajů, jakož i práv subjektu údajů. Zahrnuje ustanovení týkající se opravných prostředků, odpovědnosti a sankcí, předávání osobních údajů do třetích zemí, kodexů chování, zvláštních orgánů dozoru a pracovní skupiny i prováděcích opatření ve Společenství. Směrnice se ovšem nepoužije na činnosti, které nespadají do oblasti působnosti práva Společenství, například činnosti uvedené v hlavě VI Smlouvy o Evropské unii (SEU). Členské státy tudíž mohou samy rozhodovat o odpovídajících standardech pro zpracování a ochranu údajů. V souvislosti s hlavou VI SEU je ochrana osobních údajů obsažena v různých zvláštních nástrojích. Zejména je obsažena v nástrojích, které zavádějí společný informační systém na evropské úrovni, jako je: Úmluva z roku 1990 k provedení Schengenské dohody, která obsahuje zvláštní ustanovení na ochranu údajů použitelná na Schengenský informační systém[13]; Úmluva o Europolu z roku 1995[14] a kromě jiného pravidla, kterými se řídí předávání osobních údajů Europolem do třetích zemí a třetím osobám[15]; rozhodnutí o zřízení Eurojustu z roku 2002[16] a ustanovení vnitřních pravidel Eurojustu pro zpracování a ochranu osobních údajů[17]; úmluva o využívání informačních technologií pro celní účely z roku 1995, včetně ustanovení o ochraně osobních údajů použitelných na celní informační systém[18]; a úmluva o vzájemné pomoci v trestních věcech mezi členskými státy Evropské unie z roku 2000, zejména její článek 23[19]. S ohledem na Schengenský informační systém musela být věnována zvláštní pozornost zřízení, provozu a využívání Schengenského informačního systému druhé generace (SIS II), ohledně kterého již Komise předložila návrhy rozhodnutí Rady[20] a dvou nařízení[21].

Dále musí být věnována pozornost článku 8 Úmluvy na ochranu lidských práv a základních svobod a Úmluvě Rady Evropy č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat z roku 1981, jejímu dodatkovému protokolu z roku 2001 o orgánech dozoru a přenosu údajů přes hranice a doporučení č. R (87) 15 z roku 1987 o používání osobních údajů v policejní oblasti. Všechny členské státy jsou stranami úmluvy, ale ne všechny jsou stranami dodatkového protokolu.

- Soulad s ostatními politikami a cíli Unie

Je nutno mít na zřeteli specifické znaky zpracování a ochrany údajů v rámci hlavy VI Smlouvy o Evropské unii. Na jedné straně by neměly bránit souladu s obecnou politikou Unie v oblasti ochrany soukromí a údajů, jejímž základem je Listina základních práv EU a směrnice 95/46/ES. Základní zásady ochrany údajů se použijí na zpracování údajů v prvním a třetím pilíři. Navíc musí být zajištěn soulad s ostatními nástroji, které stanoví zvláštní povinnosti týkající se informací, které mohou být významné pro účely předcházení trestné činnosti a boje proti ní. Pozornost je třeba věnovat vývoji ohledně uchovávání údajů zpracovávaných a ukládaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo údajů přenášených veřejnými komunikačními sítěmi pro účely předcházení trestné činnosti a trestným činům včetně terorismu, jejich vyšetřování, odhalování a stíhání. Zejména je třeba odkázat na úzký vztah mezi navrhovaným rámcovým rozhodnutím a Komisí předloženým návrhem směrnice Evropského parlamentu a Rady o uchování údajů zpracovávaných v souvislosti s poskytování veřejných služeb elektronických komunikací a o změně směrnice 2002/58/ES[22].

2) KONZULTACE ZÚčASTNěNÝCH STRAN A POSOUZENÍ DOPADů

- Konzultace zúčastněných stran

Metody konzultací, hlavní cílová odvětví a obecný profil respondentů

Dne 22. listopadu 2004 a dne 21. června 2005 Komise pozvala a konzultovala odborníky z vlád členských států, Islandu, Norska a Švýcarska a dne 11. ledna 2005 odborníky orgánů pro ochranu údajů z těchto států. Konzultací se rovněž účastnili zástupci EIOÚ, Europolu, Eurojustu a sekretariátu společných kontrolních orgánů. Hlavním účelem konzultací bylo zjistit, zda je zapotřebí právní nástroj týkající se zpracování a ochrany osobních údajů ve třetím pilíři, a pokud ano, jaký by měl být hlavní obsah takového nástroje. Komise požádala konzultované strany, mimo jiné na základě dotazníku a materiálu k diskusi, o jejich stanovisko k obecnému přístupu nového právního nástroje a jeho vztahu k existujícím nástrojům, právnímu základu, možnému rozsahu působnosti, zásadám týkajícím se kvality údajů, kritériím pro zajištění legality zpracování údajů ze strany policejních a soudních orgánů, nakládání s osobními údaji osob, jež nejsou podezřelé, požadavkům na přenos osobních údajů příslušným orgánům v ostatních členských státech a třetích zemích, právům subjektu údajů, orgánů dozoru a případných poradních subjektů na ochranu údajů ve třetím pilíři.

Pracovní skupina zřízená podle článku 29 směrnice 95/46/ES byla pravidelně informována o postupujícím vývoji jednání. Dne 12. dubna a dne 21. června 2005 se zástupci Komise zúčastnili zasedání policejní pracovní skupiny na konferenci evropských orgánů pro ochranu údajů. Dne 31. ledna 2005 se zástupci Komise zúčastnili veřejného semináře s názvem „Ochrana údajů a bezpečnost občanů: Jaké zásady pro Evropskou unii?“, který pořádal Výbor pro občanské svobody, spravedlnost a vnitřní věci. Komise vzala v úvahu závěry jarní konference evropských orgánů pro ochranu údajů, která se konala ve dnech 25.-26. dubna 2005 v Krakově, a postoj Evropského parlamentu, jak byl mj. vyjádřen v doporučení Evropského parlamentu Evropské radě a Radě pro výměnu informací a spolupráci v oblasti teroristických trestných činů (2005/2046(INI)) přijatém dne 7. června 2005.

Shrnutí odpovědí a způsob, jakým byly vzaty v úvahu

Evropský parlament i orgány pro ochranu údajů v Evropské unii pevně podporují vytvoření právního nástroje pro ochranu osobních údajů ve třetím pilíři. Zástupci vlád členských států a Islandu, Norska a Švýcarska a zástupci Europolu a Eurojustu v tomto ohledu nevyjádřili společný postoj. Komise ovšem mohla dovodit, že vůči myšlence takového nástroje nepanuje zásadní nesouhlas. Zdálo se, že existuje shoda, že provádění zásady dostupnosti musí být provázeno odpovídajícími vyvažujícími pravidly v oblasti ochrany údajů. Některé členské státy zastávaly názor, že by měl být nejprve vymezen způsob, jakým se informace mají v budoucnosti vyměňovat, a že by pravidla pro ochranu osobních údajů měla být stanovena teprve následně. Jiné upřednostňovaly začlenění souboru zvláštních ustanovení do aktu o zásadě dostupnosti.

Po zvážení různých postojů Komise zastává stanovisko, že provádění zásady dostupnosti dále rozvine a zásadním způsobem změní kvalitu a intenzitu výměny informací mezi členskými státy. Tento vývoj se značnou měrou dotkne osobních údajů a práva na ochranu údajů. Je třeba, aby byl odpovídajícím způsobem vyvážen. Nedávné iniciativy, jejichž cílem je přímý automatizovaný přístup alespoň na základě prověření, zda existuje záznam, s sebou nesou zvýšení rizika, že budou vyměňovány nepřípustné, věcně nesprávné nebo zastaralé údaje, a musejí být vzaty v úvahu. Z těchto iniciativ lze dovodit, že správce údajů již nebude schopen ověřovat v každém jednotlivém případě oprávněnost přenosu a věcnou správnost dotčených údajů. Proto musí být zároveň uložena striktní povinnost soustavně zajišťovat a ověřovat kvalitu údajů, ke kterým se poskytuje přímý automatizovaný přístup.

Věnuje-li se zvláštní pozornost dopadu provádění zásady dostupnosti, nejsou ustanovení, která řeší pouze individuální aspekty ochrany údajů, dostačující. Právní nástroj pro ochranu osobních údajů ve třetím pilíři může v zásadě přispívat k posílení policejní a soudní spolupráce v trestních věcech, a to s ohledem na jeho účinnost i legalitu a soulad se základními právy, zejména právem na ochranu osobních údajů.

Zejména s přihlédnutím k provádění zásady dostupnosti je takový nástroj zvláště nezbytný a musí být rozvíjen ruku v ruce s prováděním této zásady. Rámcové rozhodnutí by mělo vycházet z ducha a struktury směrnice 95/46/ES, pokud je to možné při zohlednění zvláštních potřeb policejní a soudní spolupráce v trestních věcech a ve světle zásady proporcionality. Bylo zohledněno doporučení Rady Evropy č. R(87)15 o používání osobních údajů v policejní oblasti z roku 1987, aby do právně závazných předpisů na úrovni EU mohly být provedeny jeho hlavní zásady. Měla by být stanovena jasná pravidla pro ochranu osobních údajů, která mají být nebo jsou dostupná příslušným orgánům jiných členských států. Z toho vyplývá nutnost vytvoření systému zajišťujícího kvalitu zpracování dotyčných údajů. Takový systém musí zahrnovat ustanovení zakotvující odpovídající práva subjektu údajů a pravomoci orgánu dozoru, neboť výkon těchto práv a pravomocí může přispívat ke kvalitě daných údajů.

- Posouzení dopadů

Byly zvažovány následující možnosti: použitelnost směrnice 95/46/ES; žádný nebo pozdější návrh předpisů o ochraně osobních údajů ve třetím pilíři; omezený soubor zvláštních ustanovení v právním aktu týkajícím se výměny informací podle zásady dostupnosti; rámcové rozhodnutí o ochraně osobních údajů ve třetím pilíři. Pokud jde o poslední možnost, zkoumalo se, zda by se takový nástroj měl použít rovněž na výměnu informací prostřednictvím informačních systémů a subjekty usazenými na úrovni EU.

Základní a komplexní ustanovení směrnice 95/46/ES nejsou použitelná ve třetím pilíři, jak uvádí její čl. 3 odst. 2. Dokonce i odstranění tohoto článku by nemohlo automaticky vést k použitelnosti směrnice na policejní a soudní spolupráci v trestních věcech. Za prvé směrnice plně nezohledňuje zvláštnosti této spolupráce, které by vyžadovaly některá upřesnění. Za druhé musejí být dodrženy požadavky na právní předpisy, které spadají do rámce hlavy VI Smlouvy o Evropské unii, jejímž cílem je posilování policejní a soudní spolupráce v trestních věcech. Musí být vyloučena možnost nepředložení nebo pozdějšího předložení návrhu předpisu o zpracování a ochraně osobních údajů ve třetím pilíři. Z této možnosti může vyplývat, že se nové formy výměny informací zavádějí spolu s prováděním zásady dostupnosti, aniž by bylo zajištěno striktní dodržování klíčových podmínek v oblasti ochrany údajů. Omezený soubor zvláštních ustanovení v právním aktu týkajícím se výměny informací podle zásady dostupnosti není postačující vzhledem k pravděpodobnému dopadu této zásady. Rámcové rozhodnutí o ochraně osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech je jedinou plně uspokojivou možností. Je nepravděpodobné, že tato možnost s sebou přinese značné administrativní náklady pro členské státy, pokud takové náklady vůbec vzniknou.

Komise provedla posouzení dopadů, které je obsaženo v pracovním programu. Zprávu o posouzení dopadů lze nalézt na internetové stráncehttp://europa.eu.int/comm/dgs/justice_home/evaluation/dg_coordination_evaluation_annexe_en.htm.

3) PRÁVNÍ STRÁNKA NÁVRHU

- Shrnutí navrhovaných opatření

Navrhované rámcové rozhodnutí zahrnuje obecné podmínky pro zákonnost zpracování osobních údajů, ustanovení týkající se zvláštních forem zpracování (přenos a zpřístupnění osobních údajů příslušným orgánům jiných členských států, další zpracování, zejména další přenos údajů obdržených od příslušných orgánů jiných členských států nebo jimi zpřístupněných), práv subjektů údajů, důvěrné povahy a bezpečnosti zpracování, soudních opravných prostředků, odpovědnosti, sankcí, orgánů dozoru a pracovní skupiny pro ochranu fyzických osob s ohledem na zpracování osobních údajů za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání. Zvláštní pozornost je třeba věnovat zásadě, že osobní údaje se předávají pouze do těch třetích zemí a těm mezinárodním subjektům, které zajišťují odpovídající úroveň ochrany. Rámcové rozhodnutí stanoví mechanismus, jehož cílem je soulad s touto zásadou v celé EU.

- Právní základ

Rámcové rozhodnutí se zakládá na článcích 30 a 31 a čl. 34 odst. 2 písm. b) Smlouvy o Evropské unii. Odpovídající ustanovení ohledně zpracování a ochrany osobních údajů, včetně společných standardů pro předávání osobních údajů do třetích zemí a mezinárodním subjektům jsou zvláště s ohledem na provádění zásady dostupnosti zásadní pro zlepšení policejní a soudní spolupráce v trestních věcech, zejména v boji proti terorismu a závažné trestné činnosti. Členské státy si navíc budou navzájem plně důvěřovat pouze tehdy, jestliže budou existovat jasná a společná pravidla pro možné další předávání vyměňovaných údajů ostatním stranám, zejména třetím zemím. Navrhovaná ustanovení zajistí, aby výměně informací mezi příslušnými orgány nebránily různé úrovně ochrany údajů v členských státech.

- Zásada subsidiarity a zásada proporcionality

Toto rámcové rozhodnutí řeší situace, které jsou zvláště důležité pro policejní a soudní spolupráci v trestních věcech mezi členskými státy, zejména pro výměnu informací, jejímž cílem je zajistit a podporovat účinná a zákonná opatření pro předcházení trestné činnosti, zejména závažné trestné činnosti a terorismu, a boj proti ní ve všech členských státech. Vnitrostátní, dvoustranná či mnohostranná řešení by mohla napomoci jednotlivým členským státům, ale nebrala by v potaz nezbytnost zajistit vnitřní bezpečnost pro celou Unii. Informace, které donucovací orgány potřebují, jsou do značné míry určeny úrovní integrace mezi zeměmi. Odhaduje se, že výměna informací pro účely vymáhání práva mezi členskými státy vzroste, a proto je třeba, aby byla doplněna konzistentními pravidly o zpracování a ochraně údajů. Toto rámcové rozhodnutí respektuje zásadu subsidiarity uvedenou v článku 2 Smlouvy o Evropské unii a v článku 5 Smlouvy o založení Evropského společenství, v míře, v níž je jeho cílem sblížení právních a správních předpisů členských států, které nemůže být uspokojivě uskutečněno členskými státy jednajícími jednostranně a vyžaduje společnou akci na úrovni Evropské unie. V souladu se zásadou proporcionality stanovenou ve výše uvedeném článku toto rozhodnutí nepřekračuje rámec toho, co je nezbytné pro dosažení uvedeného cíle. Zejména se toto rozhodnutí týká pouze zpracování osobních údajů, jež je významné pro policejní a soudní spolupráci v trestních věcech.

- Volba nástrojů

Navrhovaným nástrojem je rámcové rozhodnutí. Cílem tohoto právního nástroje je sblížení právních a správních předpisů členských států, jež se týkají ochrany osobních údajů zpracovávaných za účelem předcházení trestné činnosti a boje proti ní.

4) Rozpočtové důsledky

Provedení navrhovaného rámcového rozhodnutí by si vyžádalo pouze nízké dodatečné administrativní výdaje z rozpočtu Evropských společenství na zasedání a sekretariát výboru a poradní skupiny, které budou zřízeny podle článků 16 a 31.

2005/0202 (CNS)

Návrh

RÁMCOVÉHO ROZHODNUTÍ RADY

o ochraně osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech

RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o Evropské unii, a zejména na články 30 a 31 a čl. 34 odst. 2 písm. b) této smlouvy,

s ohledem na návrh Komise[23],

s ohledem na stanovisko Evropského parlamentu[24],

vzhledem k těmto důvodům:

(1) Evropská unie si dala za cíl udržet a rozvíjet Unii jako prostor svobody, bezpečnosti a práva. Společnou akcí členských států v oblasti policejní a soudní spolupráce v trestních věcech se má zajistit vysoká úroveň bezpečnosti.

(2) Společná akce v oblasti policejní spolupráce podle čl. 30 odst. 1 písm. b) Smlouvy o Evropské unii a společná akce v oblasti soudní spolupráce v trestních věcech podle čl. 31 odst. 1 písm. a) Smlouvy o Evropské unii vyvolává potřebu zpracovávat významné informace, což by mělo podléhat odpovídajícím předpisům o ochraně osobních údajů.

(3) Právní předpisy, které spadají do rámce hlavy VI Smlouvy o Evropské unii, by měly posilovat policejní a soudní spolupráci v trestních věcech s ohledem na její účinnost i legalitu a soulad se základními právy, zejména právem na soukromí a na ochranu osobních údajů. Společné standardy týkající se zpracování a ochrany osobních údajů zpracovávaných za účelem předcházení trestné činnosti a boje proti ní mohou přispět k dosažení obou těchto cílů.

(4) Haagský program o posílení svobody, bezpečnosti a práva v Evropské unii, který Evropská rada přijala dne 4. listopadu 2004, zdůrazňuje nutnost inovativního přístupu k přeshraniční výměně informací důležitých pro vymáhání práva za striktního dodržování klíčových podmínek v oblasti ochrany údajů a vyzývá Komisi, aby předložila v tomto ohledu návrhy nejpozději do konce roku 2005. To se odrazilo v akčním plánu Rady a Komise, kterým se provádí Haagský program o posílení svobody, bezpečnosti a práva v Evropské unii [25].

(5) Výměna osobních údajů v rámci policejní a soudní spolupráce v trestních věcech, zejména podle zásady dostupnosti informací, jak je stanovena v Haagském programu, by měla být podpořena jasnými závaznými pravidly, která zlepší vzájemnou důvěru mezi příslušnými orgány a zajistí, že významné informace budou chráněny způsobem vylučujícím jakékoli kladení překážek této spolupráci mezi členskými státy při plném dodržování základních práv fyzických osob. Existující nástroje na evropské úrovni nejsou dostačující. Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů[26] se nepoužije na zpracování osobních údajů v průběhu činnosti, která nespadá do oblasti působnosti práva Společenství, např. činnosti stanovené v hlavě VI Smlouvy o Evropské unii, a v každém případě se nepoužije na zpracování, jež se týká veřejné bezpečnosti, obrany, bezpečnosti státu a činností státu v oblasti trestního práva.

(6) Právní nástroj o společných standardech pro ochranu osobních údajů zpracovávaných za účelem předcházení trestné činnosti a boje proti ní by měl být konzistentní s celkovou politikou Evropské unie v oblasti ochrany soukromí a údajů. Při zohlednění nutnosti zlepšit účinnost legitimních činností policie, celních, soudních a jiných příslušných orgánů by se proto tam, kde je to možné, měl řídit existujícími a osvědčenými zásadami a definicemi, zejména těmi, které jsou stanoveny ve směrnici Evropského parlamentu a Rady 95/46/ES nebo které se týkají výměny informací Europolem či Eurojustem nebo informací zpracovávaných prostřednictvím celního informačního systému nebo jiného srovnatelného nástroje.

(7) Sblížení právních předpisů členských států by nemělo vést k oslabení ochrany údajů, kterou zajišťují, ale mělo by naopak mít za cíl zajištění vysoké úrovně ochrany v rámci Unie.

(8) Je nezbytné upřesnit cíle ochrany údajů v rámci policejních a soudních činností a stanovit pravidla pro zákonnost zpracování osobních údajů s cílem zajistit, aby veškeré informace, které mohou být vyměňovány, byly zpracovány oprávněně a v souladu se základními zásadami týkajícími se kvality údajů. Zároveň by neměly být jakýmkoli způsobem ohrožovány legitimní činnosti policie, celních, soudních a jiných příslušných orgánů.

(9) Zajištění vysoké úrovně ochrany osobních údajů evropských občanů vyžaduje společné předpisy, které určí zákonnost a kvalitu údajů zpracovávaných příslušnými orgány v jiných členských státech.

(10) Je vhodné na evropské úrovni stanovit podmínky, za kterých by příslušným orgánům členských států bylo povoleno předávat a zpřístupňovat osobní údaje orgánům a soukromým subjektům v jiných členských státech.

(11) Další zpracování osobních údajů obdržených od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněných, zejména jejich další předání nebo zpřístupnění, by mělo podléhat společným pravidlům na evropské úrovni.

(12) Jsou-li osobní údaje přenášeny z členského státu Evropské unie do třetí země nebo mezinárodnímu subjektu, měly by tyto údaje v zásadě požívat odpovídající úrovně ochrany.

(13) Toto rámcové rozhodnutí by mělo vymezit postup pro přijímání opatření nezbytných pro posouzení úrovně ochrany údajů ve třetí zemi nebo v mezinárodním subjektu.

(14) Aby se zajistila ochrana osobních údajů, aniž by byl ohrožen účel trestního vyšetřování, je nezbytné vymezit práva subjektu údajů.

(15) Je vhodné zavést společná pravidla o důvěrné povaze a bezpečnosti zpracování, odpovědnosti a sankcích za nezákonné využití ze strany příslušných orgánů i soudní opravné prostředky, které má subjekt údajů k dispozici. Dále je nezbytné, aby členské státy stanovily trestněprávní sankce za zvláště závažná a úmyslně spáchaná porušení předpisů na ochranu údajů.

(16) Zřízení orgánů dozoru v členských státech, které vykonávají své funkce zcela nezávisle, je podstatným prvkem ochrany osobních údajů zpracovávaných v rámci policejní a soudní spolupráce mezi členskými státy.

(17) Tyto orgány by měly být vybaveny nezbytnými prostředky pro plnění svých úkolů, včetně pravomocí provádět šetření a zasahovat, zejména pokud jsou těmto orgánům podány stížnosti fyzických osob, nebo pravomoci obrátit se na soud. Měly by přispět k průhlednosti zpracování údajů prováděného v členském státu, kterému podléhají. Pravomoci těchto orgánů by ovšem neměly být v rozporu se zvláštními pravidly stanovenými pro trestní řízení a s nezávislostí soudnictví.

(18) Měla by být zřízena pracovní skupina pro ochranu fyzických osob s ohledem na zpracování osobních údajů za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání, která bude při výkonu svých úkolů zcela nezávislá. Měla by poskytovat rady Komisi a členským státům a zejména přispívat k jednotnému uplatňování vnitrostátních pravidel přijatých na základě tohoto rámcového rozhodnutí.

(19) Článek 47 Smlouvy o Evropské unii stanoví, že žádné z jejích ustanovení se nedotýká smluv o založení Evropských společenství nebo následných smluv či aktů tyto smlouvy pozměňujících nebo doplňujících. Toto rámcové rozhodnutí se proto nedotýká ochrany osobních údajů podle práva Společenství, zejména jak je stanoveno ve směrnici Evropského parlamentu a Rady 95/46/ES, v nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů[27] a ve směrnici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích)[28].

(20) Předkládaným rámcovým rozhodnutím nejsou dotčena zvláštní ustanovení o ochraně údajů obsažená v příslušných právních nástrojích, která se týkají zpracování a ochrany osobních údajů ze strany Europolu, Eurojustu a celního informačního systému.

(21) Ustanovení týkající se ochrany osobních údajů obsažená v hlavě IV Úmluvy z roku 1990 k provedení Schengenské dohody ze dne 14. června 1985 o postupném odstraňování kontrol na společných hranicích[29] (dále jen „Schengenská úmluva“) a začleněná do rámce Evropské unie na základě protokolu připojeného ke Smlouvě o Evropské unii a Smlouvě o založení Evropského společenství by měla být nahrazena pravidly tohoto rámcového rozhodnutí pro účely záležitostí, které spadají do oblasti působnosti Smlouvy o EU.

(22) Je vhodné, aby se toto rámcové rozhodnutí použilo na osobní údaje, které se zpracovávají v rámci Schengenského informačního systému druhé generace, a na související výměnu doplňujících informací podle rozhodnutí JHA/2006/ … o zřízení, provozu a využívání Schengenského informačního systému druhé generace.

(23) Tímto rámcovým rozhodnutím nejsou dotčena pravidla týkající se nezákonného přístupu k údajům, která jsou obsažena v rámcovém rozhodnutí Rady 2005/222/SVV ze dne 24. února 2005 o útocích proti informačním systémům[30].

(24) Je vhodné nahradit článek 23 Úmluvy o vzájemné pomoci ve věcech trestních mezi členskými státy Evropské unie[31].

(25) Jakýkoli odkaz na Úmluvu Rady Evropy ze dne 28. ledna 1981 o ochraně osob s ohledem na automatizované zpracování osobních údajů by měl být považován za odkaz na toto rámcové rozhodnutí.

(26) Protože cílů přijímaného opatření, totiž určení společných pravidel na ochranu osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech, nemůže být dosaženo uspokojivě na úrovni samostatně jednajících členských států, a proto, z důvodu rozsahu a účinků opatření, jich může být lépe dosaženo na úrovni Evropské unie, může Rada přijmout opatření v souladu se zásadou subsidiarity, která je formulována v článku 5 Smlouvy o ES a na niž se odkazuje v článku 2 Smlouvy o EU. V souladu se zásadou proporcionality podle článku 5 Smlouvy o ES nepřekročí toto rámcové rozhodnutí rámec toho, co je nezbytné pro dosažení těchto cílů.

(27) Spojené království se účastní tohoto rámcového rozhodnutí v souladu s článkem 5 Protokolu o začlenění schengenského acquis do rámce Evropské unie, připojeného ke Smlouvě o EU a Smlouvě o ES, a v souladu s čl. 8 odst. 2 rozhodnutí Rady 2000/365/ES ze dne 29. května 2000 o žádosti Spojeného království Velké Británie a Severního Irska, aby se na ně vztahovala některá ustanovení schengenského acquis [32].

(28) Irsko se účastní tohoto rámcového rozhodnutí v souladu s článkem 5 Protokolu o začlenění schengenského acquis do rámce Evropské unie, připojeného ke Smlouvě o EU a Smlouvě o ES, a v souladu s čl. 6 odst. 2 rozhodnutí Rady 2002/192/ES ze dne 28. února 2002 o žádosti Irska, aby se na ně vztahovala některá ustanovení schengenského acquis .

(29) Pokud jde o Island a Norsko, představuje toto rámcové rozhodnutí rozpracování ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis , která spadají do oblasti uvedené v čl. 1 bodu H rozhodnutí Rady 1999/437/ES ze dne 17. května 1999 o některých opatřeních pro uplatňování uvedené dohody[33].

(30) Pokud jde o Švýcarsko, představuje toto rámcové rozhodnutí rozpracování ustanovení schengenského acquis ve smyslu Dohody podepsané mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis , která spadají do oblasti uvedené v čl. 1 bodu H rozhodnutí Rady 1999/437/ES ze dne 17. května 1999 ve spojení s čl. 4 odst. 1 rozhodnutí Rady 2004/849/ES o podpisu dohody jménem Evropské unie a o prozatímním provádění některých ustanovení uvedené dohody[34].

(31) Toto rámcové rozhodnutí představuje akt navazující na schengenské acquis nebo s ním jinak související ve smyslu čl. 3 odst. 1 aktu o přistoupení z roku 2003.

(32) Toto rámcové rozhodnutí respektuje základní práva a zachovává zásady uznané zejména Listinou základních práv Evropské unie. Snahou tohoto rámcového rozhodnutí je zajistit plné respektování práva na soukromí a práva na ochranu osobních údajů zakotvených v článcích 7 a 8 Listiny základních práv Evropské unie,

PŘIJALA TOTO RÁMCOVÉ ROZHODNUTÍ:

KAPITOLA I PřEDMěT, DEFINICE A OBLAST PůSOBNOSTI

Článek 1 Předmět

1. Toto rámcové rozhodnutí určuje společné standardy pro zajištění ochrany fyzických osob s ohledem na zpracování osobních údajů v rámci policejní a soudní spolupráce v trestních věcech stanovené v hlavě VI Smlouvy o Evropské unii.

2. Členské státy zajistí, aby sdělování osobních údajů příslušným orgánům jiných členských států nebylo omezováno ani zakazováno z důvodů souvisejících s ochranou osobních údajů podle ustanovení tohoto rámcového rozhodnutí.

Článek 2Definice

Pro účely tohoto rámcového rozhodnutí se rozumí:

a) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity;

b) „zpracováním osobních údajů“ („zpracováním“) jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace;

c) „rejstříkem osobních údajů“ („rejstříkem“) jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska;

d) „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů; jsou-li účel a prostředky zpracování určeny vnitrostátními právními předpisy nebo právními předpisy přijatými v souladu s hlavou VI Smlouvy o Evropské unii, je možné určit správce nebo zvláštní kritéria pro jeho jmenování vnitrostátními právními předpisy nebo právními předpisy podle hlavy VI Smlouvy o Evropské unii;

e) „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce;

f) „třetí osobou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, jiný než subjekt údajů, než správce, než zpracovatel a než osoby přímo podléhající správci nebo zpracovateli, které jsou oprávněny ke zpracování údajů;

g) „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, kterým jsou údaje sdělovány, ať se jedná o třetí osobu či nikoli;

h) „souhlasem subjektu údajů“ jakýkoli svobodný, výslovný a vědomý projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování;

i) „mezinárodními subjekty“ subjekty nebo organizace vytvořené mezinárodními dohodami;

j) „příslušnými orgány“ policejní, celní, soudní a jiné příslušné orgány členských států ve smyslu článku 29 Smlouvy o Evropské unii.

Článek 3Oblast působnosti

1. Toto rámcové rozhodnutí se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v rejstříku nebo do něj mají být zařazeny, prováděné příslušným orgánem za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání.

2. Toto rámcové rozhodnutí se nevztahuje na zpracování osobních údajů:

- Evropským policejním úřadem (Europol),

- Evropskou jednotkou pro soudní spolupráci (Eurojust),

- celním informačním systémem zřízeným podle úmluvy vypracované na základě článku K.3 Smlouvy o Evropské unii o používání informační technologie pro celní účely, a případných změn.

KAPITOLA II OBECNÉ PODMÍNKY PRO ZÁKONNOST ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Článek 4Zásady pro kvalitu údajů

1. Členské státy stanoví, že osobní údaje musejí být:

a) zpracovány korektně a zákonným způsobem;

b) shromažďovány pro stanovené, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem neslučitelným s těmito účely. Další zpracování údajů pro historické, statistické nebo vědecké účely není považováno za neslučitelné s tímto předpisem, pokud členské státy zavedou vhodná ochranná opatření;

c) přiměřené, podstatné a nepřesahující míru s ohledem na účely, pro které jsou shromažďovány a/nebo dále zpracovávány;

d) přesné, a je-li to nezbytné, i aktualizované. Musí být přijata veškerá rozumná opatření, aby nepřesné nebo neúplné údaje s ohledem na účely, pro které byly shromažďovány nebo jsou dále zpracovávány, byly vymazány nebo opraveny. Členské státy mohou stanovit, že lze zpracovávat údaje s rozdílným stupněm přesnosti a spolehlivosti; v takovém případě musí stanovit, že údaje se rozlišují podle míry přesnosti a spolehlivosti, a zejména že údaje založené na faktech se odlišují od údajů založených na názorech nebo osobních hodnoceních;

e) uchovávány ve formě umožňující identifikaci subjektů údajů po dobu, jež nesmí být delší, než je nezbytné pro dosažení účelů, pro které byly údaje shromažďovány nebo jsou dále zpracovávány. Členské státy stanoví vhodná ochranná opatření pro osobní údaje, které jsou uchovávány po dobu delší, než je uvedeno výše, pro historické, statistické či vědecké účely.

2. Dodržování odstavce 1 zajistí správce.

3. Členské státy stanoví, že je nutno jasně rozlišovat mezi osobními údaji

- osoby, která je podezřelá ze spáchání trestného činu nebo účasti na něm,

- osoby, která byla pravomocně odsouzena pro spáchání trestného činu,

- osoby, ohledně níž existují závažné důvody domnívat se, že spáchá trestný čin,

- osoby, která by mohla být vyzvána, aby svědčila při vyšetřování prováděném v souvislosti s trestnými činy nebo v následném trestním řízení,

- osoby, která se stala obětí trestného činu nebo ohledně níž jsou některé skutečnosti důvodem pro domněnku, že by mohla být obětí trestného činu,

- osoby, která může poskytnout informace o trestných činech,

- osoby, která je s některou z výše zmíněných osob v kontaktu či ve spojení, a

- osoby, která nespadá do žádné z výše uvedených kategorií osob.

4. Členské státy stanoví, že zpracování osobních údajů je nezbytné, pouze pokud

- na základě zjištěných skutečností existují rozumné důvody domnívat se, že dotyčné osobní údaje by umožnily, usnadnily či urychlily předejití trestnému činu, jeho vyšetření, odhalení nebo stíhání, a

- neexistují jiné prostředky, kterými by byl subjekt údajů méně dotčen, a

- zpracování údajů není nepřiměřené ve vztahu k dotyčnému trestnému činu.

Článek 5Zásady pro oprávněné zpracování údajů

Členské státy stanoví, že osobní údaje smějí příslušné orgány zpracovávat pouze tehdy, pokud tak stanoví právní předpis s tím, že zpracování je nezbytné pro vykonání legitimního úkolu dotyčného orgánu za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání.

Článek 6 Zpracování zvláštních kategorií údajů

1. Členské státy zakáží zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, členství v odborových organizacích, jakož i zpracování údajů týkajících se zdraví a sexuálního života.

2. Odstavec 1 se nepoužije, pokud

- zpracování je stanoveno zákonem a je naprosto nezbytné pro vykonání legitimního úkolu dotyčného orgánu za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání, nebo jestliže subjekt údajů dal se zpracováním svůj výslovný souhlas, a

- členský stát stanoví vhodná zvláštní ochranná opatření, například přístup k dotčeným údajům pouze pro personál, který je pověřen výkonem legitimního úkolu, který odůvodňuje zpracování.

Článek 7Lhůty pro uchovávání osobních údajů

1. Členské státy stanoví, že se osobní údaje neuchovávají po dobu delší, než je nezbytné pro účel, pro který byly shromážděny, ledaže vnitrostátní právo stanoví jinak. Osobní údaje osob uvedených v čl. 4 odst. 3 poslední odrážce se uchovávají pouze po dobu naprosto nezbytnou pro účel, pro který byly shromážděny.

2. Členské státy stanoví přiměřená procedurální a technická opatření, která zajistí dodržování lhůt pro uchovávání osobních údajů. Dodržování těchto lhůt se pravidelně přezkoumává.

KAPITOLA III – Zvláštní formy zpracování

ODDÍL I – PřEDÁVÁNÍ A ZPřÍSTUPňOVÁNÍ OSOBNÍCH ÚDAJů PřÍSLUšNÝM ORGÁNůM JINÝCH čLENSKÝCH STÁTů

ČLÁNEK 8 PřEDÁVÁNÍ A ZPřÍSTUPňOVÁNÍ OSOBNÍCH ÚDAJů PřÍSLUšNÝM ORGÁNůM JINÝCH čLENSKÝCH STÁTů

Členské státy stanoví, že se osobní údaje předávají nebo zpřístupňují příslušným orgánům jiných členských států pouze tehdy, je-li to nezbytné pro vykonání legitimního úkolu předávajícího nebo zpřístupňujícího orgánu a za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání.

Článek 9Ověření kvality údajů, které jsou předávány nebo zpřístupňovány

1. Členské státy stanoví, že se kvalita osobních údajů prověřuje nejpozději před jejich předáním nebo zpřístupněním. Je-li to možné, měla by být při předávání údajů vždy vyznačena veškerá soudní rozhodnutí a rozhodnutí o zastavení stíhání a údaje založené na názorech nebo osobních hodnoceních by měly být zkontrolovány u zdroje před jejich předáním a měla by být vyznačena míra jejich přesnosti nebo spolehlivosti.

2. Členské státy stanoví, že kvalita osobních údajů, které jsou příslušným orgánům jiných členských států zpřístupňovány prostřednictvím přímého automatizovaného přístupu, se pravidelně ověřuje, aby se zajistil přístup k přesným a aktuálním údajům.

3. Členské státy stanoví, že osobní údaje, které již nejsou přesné nebo aktuální, nemají být předávány nebo zpřístupňovány.

4. Členské státy zajistí, aby příslušný orgán, který předal nebo zpřístupnil osobní údaje příslušnému orgánu jiného členského státu, okamžitě informoval uvedený orgán, pokud zjistí, buď z vlastního podnětu nebo po žádosti subjektu údajů, že dotčené údaje neměly být předány nebo zpřístupněny nebo že byly předány nebo zpřístupněny nepřesné či zastaralé údaje.

5. Členské státy stanoví, že příslušný orgán, který byl informován podle odstavce 4, provede výmaz nebo opravu dotčených údajů. Uvedený orgán dále opraví dotčené údaje, jestliže zjistí, že jsou nepřesné. Pokud má uvedený orgán rozumný důvod se domnívat, že obdržené osobní údaje jsou nepřesné nebo mají být vymazány, neprodleně informuje příslušný orgán, který dotčené údaje předal nebo zpřístupnil.

6. Aniž jsou dotčeny vnitrostátní předpisy upravující trestní řízení, členské státy stanoví, že se osobní údaje označí na žádost subjektu údajů, jestliže subjekt údajů popírá jejich přesnost, a jestliže nelze zjistit, zda jsou přesné či nikoli. Toto označení se odstraní pouze se souhlasem subjektu údajů nebo na základě rozhodnutí příslušného soudu či příslušného orgánu dozoru.

7. Členské státy stanoví, že se provede výmaz osobních údajů obdržených od orgánu jiného členského státu

- jestliže uvedené údaje neměly být předány, zpřístupněny nebo obdrženy,

- po uplynutí lhůty uvedené v právním předpise jiného členského státu, jestliže orgán, který dotčené údaje předal nebo zpřístupnil, informoval orgán, který je obdržel, o této lhůtě v době předání nebo zpřístupnění uvedených údajů, ledaže jsou osobní údaje i nadále potřebné pro soudní řízení,

- jestliže již tyto údaje nejsou nezbytné pro účel, pro který byly předány nebo zpřístupněny.

8. Jestliže se osobní údaje předávají bez vyžádání, orgán, který je obdržel, neprodleně ověří, zda jsou tyto údaje nezbytné pro účel, pro který byly předány.

9. Osobní údaje se nevymažou, ale zablokují se v souladu s vnitrostátními právními předpisy, jestliže existují rozumné důvody domnívat se, že by jejich výmazem byly dotčeny zájmy subjektu údajů, které jsou hodny ochrany. Zablokované údaje se použijí nebo předají pouze k účelu, pro který nebyly vymazány.

Článek 10Vedení protokolů a dokumentace

1. Členské státy zajistí, že se každé automatizované předání a příjem osobních údajů, zejména prostřednictvím přímého automatizovaného přístupu, zaprotokoluje, aby se zajistilo následné ověření důvodů pro předání, předaných údajů, doby předání, zúčastněných orgánů a v případě orgánu, který údaje obdržel, totožnosti osob, které údaje obdržely a které daly podnět k jejich přijetí.

2. Členské státy zajistí, že se každé neautomatizované předání a příjem osobních údajů zdokumentuje, aby se zajistilo následné ověření důvodů pro předání, předaných údajů, doby předání, zúčastněných orgánů a v případě orgánu, který údaje obdržel, totožnosti osob, které údaje obdržely a které daly podnět k jejich přijetí.

3. Orgán, který takovou informaci zaprotokoloval a zdokumentoval, o tom neprodleně informuje příslušný orgán dozoru, který o to požádá. Informace se použije pouze pro kontrolu ochrany údajů a pro zajištění řádného zpracování údajů, jakož i úplnosti a zabezpečení údajů.

Oddíl II – Další zpracování, zejména další předávání a přenos údajů obdržených od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněných

ČLÁNEK 11 DALšÍ ZPRACOVÁNÍ OSOBNÍCH ÚDAJů OBDRžENÝCH OD PřÍSLUšNÉHO ORGÁNU JINÉHO čLENSKÉHO STÁTU NEBO TÍMTO ORGÁNEM ZPřÍSTUPNěNÝCH

1. Členské státy stanoví, že osobní údaje obdržené od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněné se v souladu s tímto rámcovým rozhodnutím, zejména jeho články 4, 5 a 6, dále zpracovávají pouze

a) pro přesně vymezený účel, pro který byly předány nebo zpřístupněny, nebo

b) je-li to nezbytné pro účely předcházení trestným činům, jejich vyšetřování, odhalování a stíhání nebo pro účely zamezení ohrožení veřejné bezpečnosti nebo určité osoby, s výjimkou případů, kdy nad takovými hledisky převáží nutnost chránit zájmy nebo základní práva subjektu údajů.

2. Dotčené osobní údaje se dále zpracovávají pro účely uvedené v odst. 1 písm. b) tohoto článku pouze s předchozím souhlasem orgánu, který osobní údaje předal nebo zpřístupnil.

3. Ustanovení odst. 1 písm. b) se nepoužije, jestliže zvláštní právní předpisy podle hlavy VI Smlouvy o Evropské unii výslovně stanoví, že osobní údaje obdržené od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněné se dále zpracovávají pouze pro účely, pro které byly předány nebo zpřístupněny.

Článek 12 Předávání jiným příslušným orgánům

Členské státy stanoví, že osobní údaje obdržené od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněné se dále zpracovávají nebo zpřístupňují jiným příslušným orgánům členského státu pouze tehdy, jsou-li splněny všechny následující požadavky:

a) předání nebo zpřístupnění stanoví právní předpis, který jednoznačně zakládá takovou povinnost nebo povolení;

b) předání nebo zpřístupnění je nezbytné pro vykonání legitimního úkolu orgánu, který obdržel dotčené údaje nebo kterému mají být dále předány;

c) předání nebo zpřístupnění je nezbytné pro přesně vymezený účel, pro který byly dotčené údaje předány nebo zpřístupněny, nebo pro účely předcházení trestným činům, jejich vyšetřování, odhalování a stíhání nebo pro účely zamezení ohrožení veřejné bezpečnosti nebo určité osoby, s výjimkou případů, kdy nad takovými hledisky převáží nutnost chránit zájmy nebo základní práva subjektu údajů;

d) příslušný orgán členského státu, který dotčené údaje předal nebo zpřístupnil příslušnému orgánu, který je hodlá dále předat nebo zpřístupnit, dal svůj předchozí souhlas s jejich dalším předáním nebo zpřístupněním.

Článek 13Předávání jiným než příslušným orgánům

Členské státy stanoví, že osobní údaje obdržené od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněné se dále předávají jiným než příslušným orgánům členského státu pouze ve zvláštních případech, jsou-li splněny všechny následující požadavky:

a) předání umožňuje právní předpis, který jednoznačně zakládá povinnost nebo povolení, a

b) předání je

nezbytné pro přesně vymezený účel, pro který byly dotčené údaje předány nebo zpřístupněny, nebo pro účely předcházení trestným činům, jejich vyšetřování, odhalování a stíhání nebo pro účely zamezení ohrožení veřejné bezpečnosti nebo určité osoby, s výjimkou případů, kdy nad takovými hledisky převáží nutnost chránit zájmy nebo základní práva subjektu údajů,

nebo

nezbytné, protože dotčené údaje jsou nepostradatelné pro orgán, kterému mají být dále předány, aby mu umožnily vykonání jeho zákonem stanovených úkolů, a za předpokladu, že cíl shromažďování nebo zpracovávání, které má provádět uvedený orgán, není neslučitelný s původním zpracováním a že zákonná povinnost příslušného orgánu, který hodlá údaje přenášet, s tím není v rozporu,

nebo

nade vší pochybnost v zájmu subjektu údajů a subjekt údajů s tím souhlasí, nebo okolnosti jsou takové, že je možné s určitostí předpokládat, že takový souhlas by byl dán;

c) příslušný orgán členského státu, který předal nebo zpřístupnil dotčené údaje příslušnému orgánu, který je hodlá dále předat, dal svůj předchozí souhlas s jejich dalším předáním.

Článek 14Předávání soukromým osobám

Aniž jsou dotčeny vnitrostátní předpisy upravující trestní řízení, členské státy stanoví, že osobní údaje obdržené od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněné mohou být dále předávány soukromým osobám v členském státu pouze ve zvláštních případech, jsou-li zároveň splněny všechny následující požadavky:

a) předání umožňuje právní předpis, který jednoznačně zakládá povinnost nebo povolení, a

b) předání je nezbytné pro účel, pro který byly dotčené údaje předány nebo zpřístupněny, nebo pro účely předcházení trestným činům, jejich vyšetřování, odhalování a stíhání nebo pro účely zamezení ohrožení veřejné bezpečnosti nebo určité osoby, s výjimkou případů, kdy nad takovými hledisky převáží nutnost chránit zájmy nebo základní práva subjektu údajů, a

c) příslušný orgán členského státu, který předal nebo zpřístupnil dotčené údaje příslušnému orgánu, který je hodlá dále předat, dal svůj předchozí souhlas s jejich dalším předáním soukromým osobám.

Článek 15Přenos údajů příslušným orgánům ve třetích zemích nebo mezinárodním subjektům

1. Členské státy stanoví, že u osobních údajů obdržených od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněných nedojde k dalšímu přenosu příslušným orgánům třetích zemí nebo mezinárodním subjektům, s výjimkou případů, kdy je takový přenos v souladu s tímto rámcovým rozhodnutím, zejména jsou-li splněny všechny následující požadavky:

a) přenos umožňuje právní předpis, který jednoznačně zakládá povinnost nebo povolení;

b) přenos je nezbytný pro účel, pro který byly dotčené údaje předány nebo zpřístupněny, nebo pro účely předcházení trestným činům, jejich vyšetřování, odhalování a stíhání nebo pro účely zamezení ohrožení veřejné bezpečnosti nebo určité osoby, s výjimkou případů, kdy nad takovými hledisky převáží nutnost chránit zájmy nebo základní práva subjektu údajů;

c) příslušný orgán jiného členského státu, který předal nebo zpřístupnil dotčené údaje příslušnému orgánu, který je hodlá dále přenést, dal svůj předchozí souhlas s jejich dalším přenosem;

d) třetí země nebo mezinárodní subjekt, kterým mají být dotčené údaje přeneseny, zajišťují odpovídající úroveň ochrany údajů.

2. Členské státy zajistí, že bude odpovídající úroveň ochrany poskytované třetí zemí nebo mezinárodním subjektem posuzována ve světle všech okolností pro každý přenos nebo kategorii přenosů. Posouzení vychází zejména z přezkoumání následujících prvků: typ údajů, účel a doba trvání zpracování, ke kterému se údaje přenášejí, země původu a země konečného určení, obecné a odvětvové předpisy použitelného práva v dotyčné třetí zemi nebo subjektu, použitelné profesní předpisy a předpisy týkající se bezpečnosti, jakož i existence dostatečných ochranných opatření, která zavedl příjemce přenášených údajů.

3. Členské státy a Komise se vzájemně informují o případech, kdy se domnívají, že třetí země nebo mezinárodní subjekt nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2.

4. Pokud se postupem podle článku 16 zjistí, že třetí země nebo mezinárodní subjekt nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2, přijmou členské státy opatření nezbytná pro zamezení jakéhokoli přenosu osobních údajů do dotčené třetí země nebo mezinárodního subjektu.

5. Postupem podle článku 16 může být zjištěno, že třetí země nebo mezinárodní subjekt zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 na základě svých vnitrostátních předpisů nebo svých mezinárodních závazků na ochranu soukromého života a základních práv a svobod fyzických osob.

6. Osobní údaje obdržené od příslušného orgánu jiného členského státu mohou být výjimečně dále přeneseny příslušným orgánům třetích zemí nebo mezinárodním subjektům, které nezajišťují odpovídající úroveň ochrany údajů, jestliže je to naprosto nezbytné pro zajištění zásadních zájmů členského státu nebo pro zabránění bezprostřednímu závažnému nebezpečí, které ohrožuje veřejnou bezpečnost nebo konkrétní osobu či osoby.

Článek 16

Výbor

1. Odkazuje-li se na tento článek, je Komisi nápomocen výbor složený ze zástupců členských států, kterému předsedá zástupce Komise.

2. Výbor přijme na návrh předsedy svůj jednací řád na základě vzorového jednacího řádu, který byl zveřejněn v Úředním věstníku Evropské unie.

3. Zástupce Komise předloží výboru návrh opatření, která mají být přijata. Výbor zaujme stanovisko k návrhu ve lhůtě, kterou může předseda stanovit podle naléhavosti věci. Stanovisko se přijímá většinou stanovenou v čl. 205 odst. 2 Smlouvy o založení Evropského společenství pro přijímání rozhodnutí, která má Rada přijímat na návrh Komise. Hlasům zástupců členských států ve výboru je přidělena váha stanovená v uvedeném článku. Předseda nehlasuje.

4. Komise přijme zamýšlená opatření, jsou-li v souladu se stanoviskem výboru. Pokud zamýšlená opatření nejsou v souladu se stanoviskem výboru nebo pokud výbor žádné stanovisko nezaujme, Komise předloží Radě neprodleně návrh opatření, která mají být přijata, a uvědomí Evropský parlament.

5. Rada se může ve lhůtě dvou měsíců ode dne, kdy jí byla věc předána, o návrhu usnést kvalifikovanou většinou.

Pokud se Rada v této lhůtě kvalifikovanou většinou usnesla, že s návrhem nesouhlasí, Komise ho znovu přezkoumá. Může Radě předložit pozměněný návrh, původní návrh nebo normotvorný návrh. Pokud po uplynutí této lhůty Rada navrhovaná prováděcí opatření nepřijala ani nevyjádřila nesouhlas s jejich návrhem, přijme navrhovaná prováděcí opatření Komise.

Článek 17Výjimky z článků 12, 13, 14 a 15

Články 12, 13, 14 a 15 se nepoužijí, jestliže zvláštní právní předpisy podle hlavy VI Smlouvy o Evropské unii výslovně stanoví, že osobní údaje obdržené od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněné se nesmějí dále předávat nebo se dále mohou předávat pouze za konkrétněji stanovených podmínek.

Článek 18Informace vyžádané příslušnými orgány

Členské státy stanoví, že příslušný orgán, který osobní údaje poskytnul nebo je zpřístupnil, bude na vyžádání informován o jejich dalším zpracování a o dosažených výsledcích.

KAPITOLA IVPRÁVA SUBJEKTU ÚDAJŮ

Článek 19Právo na informace v případě shromažďování údajů od subjektu údajů s jeho vědomím

1. Členské státy stanoví, že správce nebo jeho zástupce musí zdarma poskytnout subjektu údajů, od kterého s jeho vědomím získává údaje, které se jej týkají, alespoň dále uvedené informace, ledaže s nimi subjekt údajů již byl seznámen:

a) totožnost správce a případně jeho zástupce;

b) účely zpracování, pro které jsou údaje určeny;

c) veškeré doplňující informace jako:

- právní základ zpracování,

- příjemci nebo kategorie příjemců údajů,

- skutečnost, zda jsou odpovědi na otázky nebo jiné formy spolupráce povinné nebo dobrovolné, a případné důsledky při neposkytnutí odpovědi nebo spolupráce,

- existence práva na přístup k údajům, které se subjektu údajů týkají, a práva na jejich opravu

v míře, v jaké jsou tyto doplňující informace nezbytné pro zajištění řádného zpracování údajů vůči subjektu údajů, s ohledem na zvláštní okolnosti, za kterých jsou údaje shromažďovány.

2. Poskytnutí informací stanovených v odstavci 1 se odepře či omezí pouze tehdy, je-li to nezbytné, aby se

a) správci umožnilo řádně splnit jeho zákonné povinnosti,

b) zabránilo ovlivnění probíhajících vyšetřování, dotazování nebo řízení nebo splnění zákonných povinností příslušných orgánů,

c) zajistila ochrana veřejné bezpečnosti a veřejného pořádku v členském státě,

d) zajistila ochrana práv a svobod třetích osob,

s výjimkou případů, kdy nad takovými hledisky převáží nutnost chránit zájmy nebo základní práva subjektu údajů.

3. Jestliže je podání informací uvedených v odstavci 1 odepřeno nebo omezeno, správce informuje subjekt údajů o tom, že se může odvolat k příslušnému orgánu dozoru, aniž by tím bylo dotčeno případné podání opravného prostředku u soudu a aniž by bylo dotčeno vnitrostátní trestní řízení.

4. Důvody pro odepření nebo omezení podle odstavce 2 se nesdělí, jestliže by jejich sdělení ohrozilo účel odepření. V takovém případě správce informuje subjekt údajů o tom, že se může odvolat k příslušnému orgánu dozoru, aniž by tím bylo dotčeno případné podání opravného prostředku u soudu a aniž by bylo dotčeno vnitrostátní trestní řízení. Jestliže subjekt údajů podá odvolání k orgánu dozoru, tento orgán odvolání přezkoumá. Orgán dozoru jej při prošetřování odvolání informuje pouze o tom, zda byly údaje zpracovány řádně, a pokud se tak nestalo, zda byla učiněna veškerá nezbytná náprava.

Článek 20 Právo na informace v případě, že údaje nebyly získány od subjektu údajů nebo od něj byly získány bez jeho vědomí

1. Pokud údaje nebyly získány od subjektu údajů nebo od něj byly získány bez jeho vědomí či znalosti toho, že jsou shromažďovány údaje, které se jej týkají, stanoví členské státy, že správce nebo jeho zástupce musí v okamžiku provedení záznamu osobních údajů nebo, pokud jsou údaje sdělovány třetí osobě, v přiměřené lhůtě po jejich prvním sdělení poskytnout subjektu údajů bezplatně alespoň dále uvedené informace, ledaže s nimi subjekt údajů již byl seznámen nebo ledaže se poskytnutí informací ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí:

a) totožnost správce, případně jeho zástupce;

b) účely zpracování;

c) veškeré doplňující informace jako:

- právní základ zpracování,

- kategorie dotčených údajů,

- příjemci nebo kategorie příjemců údajů,

- existence práva na přístup k údajům, které se subjektu údajů týkají, a práva na jejich opravu

v míře, v jaké jsou tyto doplňující informace nezbytné pro zajištění řádného zpracování údajů vůči subjektu údajů s ohledem na zvláštní okolnosti, za kterých jsou údaje zpracovávány.

2. Informace stanovené v odstavci 1 se neposkytnou, je-li to nezbytné, aby se

a) správci umožnilo řádně splnit jeho zákonné povinnosti,

b) zabránilo ovlivnění probíhajících vyšetřování, dotazování nebo řízení nebo splnění zákonných povinností příslušných orgánů,

c) zajistila ochrana veřejné bezpečnosti a veřejného pořádku v členském státě,

d) zajistila ochrana práv a svobod třetích osob,

s výjimkou případů, kdy nad takovými hledisky převáží nutnost chránit zájmy nebo základní práva subjektu údajů.

Článek 21Právo na přístup, opravu, výmaz či blokování

1. Členské státy zaručí každému subjektu údajů právo získat od správce:

a) bez omezení, v rozumných intervalech a bez nepřiměřeného prodlení nebo nadměrných nákladů:

- potvrzení, že údaje, které se ho týkají, jsou či nejsou zpracovávány, jakož i informace týkající se alespoň účelů zpracování, kategorií údajů, na které se zpracování vztahuje, právního základu zpracování a příjemců nebo kategorií příjemců, kterým jsou údaje sdělovány,

- sdělení podané srozumitelnou formou o údajích, které jsou předmětem zpracování, a veškeré dostupné informace o původu údajů;

b) podle okolností dosáhnout opravy, výmazu nebo blokování údajů, jejichž zpracování není v souladu s tímto rámcovým rozhodnutím, zejména z důvodů neúplné nebo nepřesné povahy údajů;

c) oznámení třetím osobám, kterým byly údaje sděleny, o veškerých opravách, výmazech nebo blokováních provedených v souladu s písmenem b), nebude-li takový postup nemožný, nebo si nevyžádá nepřiměřené úsilí.

2. Každé jednání, na které má subjekt údajů nárok podle odstavce 1, se odepře, je-li to nezbytné, aby se

a) správci umožnilo řádně splnit jeho zákonné povinnosti,

b) zabránilo ovlivnění probíhajících vyšetřování, dotazování nebo řízení nebo splnění zákonných povinností příslušných orgánů,

c) zajistila ochrana veřejné bezpečnosti a veřejného pořádku v členském státě,

d) zajistila ochrana práv a svobod třetích osob,

s výjimkou případů, kdy nad takovými hledisky převáží nutnost chránit zájmy nebo základní práva subjektu údajů.

3. Odepření či omezení práv uvedených v odstavci 1 musí mít písemnou podobu. Jestliže je právo uvedené v odstavci 1 odepřeno nebo omezeno, správce informuje subjekt údajů o tom, že se může odvolat k příslušnému orgánu dozoru, aniž by tím bylo dotčeno případné podání opravného prostředku u soudu a aniž by bylo dotčeno vnitrostátní trestní řízení.

4. Důvody pro odepření podle odstavce 2 se subjektu údajů nesdělí, jestliže by jejich sdělení ohrozilo účel odepření. V takovém případě informuje správce subjekt údajů o tom, že se může odvolat k příslušnému orgánu dozoru, aniž by tím bylo dotčeno případné podání opravného prostředku u soudu a aniž by bylo dotčeno vnitrostátní trestní řízení. Jestliže subjekt údajů podá odvolání k orgánu dozoru, tento orgán odvolání přezkoumá. Orgán dozoru jej při prošetřování odvolání informuje pouze o tom, zda byly údaje zpracovány řádně, a pokud se tak nestalo, zda byla učiněna veškerá nezbytná náprava.

Článek 22Informování t řetích osob po opravě, blokování nebo výmazu

Členské státy stanoví, že budou přijata odpovídající technická opatření, aby se v případech, kdy správce na žádost provede opravu, blokování nebo výmaz osobních údajů, automaticky vytvořil seznam poskytovatelů a adresátů těchto údajů. Správce zajistí, že osoby zahrnuté v seznamu budou informovány o změnách osobních údajů.

KAPITOLA VDůvěrná povaha a bezpečnost zpracování

Článek 23Důvěrná povaha

Kdokoli jedná z pověření správce nebo zpracovatele, i samotný zpracovatel, který má přístup k osobním údajům, může tyto údaje zpracovávat pouze podle pokynů správce, ledaže právní předpisy stanoví jinak. Každý, kdo je pověřen spolupracovat s příslušným orgánem členského státu nebo v něm pracovat, je vázán přísnými pravidly důvěrnosti.

Článek 24Bezpečnost

1. Členské státy stanoví, že správce musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti nebo zpřístupňování prostřednictvím přímého automatizovaného přístupu, jakož i proti jakékoli jiné podobě nedovoleného zpracování, přičemž přihlédnou zejména k rizikům vyplývajícím ze zpracování a k povaze údajů, které mají být chráněny.

Tato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny. Opatření se považují za nezbytná, jestliže úsilí, které vyžadují, není nepřiměřené cíli, jehož mají dosáhnout z hlediska ochrany.

2. Pokud jde o automatizované zpracování údajů, přijme každý členský stát opatření, jež mají:

a) neoprávněným osobám odepřít přístup k zařízením pro zpracování údajů, která se používají pro zpracování osobních údajů (kontrola přístupu k zařízením);

b) zabránit neoprávněnému čtení, kopírování, pozměňování nebo mazání nosičů údajů (kontrola nosičů údajů);

c) zabránit neoprávněnému vkládání údajů a neoprávněnému prohlížení, pozměňování nebo mazání uložených osobních údajů (kontrola ukládání);

d) zabránit užití automatizovaných systémů zpracování údajů neoprávněnými osobami, jež jsou uživateli zařízení pro přenos údajů (kontrola uživatele);

e) zajistit, aby osoby oprávněné používat automatizovaný systém zpracování údajů měly přístup pouze k údajům, ke kterým je jim přístup povolen (kontrola přístupu k údajům);

f) zajistit, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohly být osobní údaje předány nebo zpřístupněny za použití zařízení pro sdělování údajů (kontrola sdělování);

g) zajistit, aby bylo možné následně ověřit a zjistit, které osobní údaje byly vloženy do automatizovaných systémů zpracování údajů a kdo a kdy je vložil (kontrola vkládání);

h) zabránit neoprávněnému čtení, kopírování, pozměňování nebo výmazu osobních údajů v průběhu přenosů osobních údajů nebo v průběhu přepravy nosičů údajů (kontrola přepravy);

i) zajistit, aby nainstalované systémy mohly být v případě výpadku okamžitě obnoveny (obnova);

j) zajistit, aby systém fungoval bezchybně, výskyt chyb ve funkcích byl okamžitě hlášen (spolehlivost) a aby uložené údaje nebylo možno poškodit špatným fungováním systému (integrita).

3. Členské státy stanoví, že správce, pokud je zpracování prováděno na jeho účet, si musí zvolil zpracovatele poskytujícího dostatečné záruky s ohledem na technická bezpečnostní opatření a organizační opatření upravující zpracování, jež má být provedeno, a že musí dbát na dodržování těchto opatření.

4. Zpracování údajů zpracovatelem musí být upraveno smlouvou nebo právním aktem, který zavazuje zpracovatele vůči správci a který zejména stanoví, že:

- zpracovatel jedná pouze podle pokynů správce;

- povinnosti uvedené v odstavcích 1 a 2 tak, jak jsou vymezeny právními předpisy členského státu, ve kterém je zpracovatel usazen, jsou pro něj rovněž závazné.

5. Za účelem uchování důkazů jsou části smlouvy nebo právního aktu týkající se ochrany údajů a požadavky související s opatřeními uvedenými v odstavci 1 zachyceny písemně nebo jinou rovnocennou formou.

Článek 25Rejstřík

1. Členské státy stanoví, že každý správce vede rejstřík všech zpracování nebo souborů zpracování, jež mají sloužit jedinému účelu nebo několika souvisejícím účelům. Informace obsažené v rejstříku zahrnují:

a) jméno a adresu správce a popřípadě jeho zástupce;

b) účel nebo účely zpracování;

c) popis kategorie nebo kategorií subjektů údajů a údajů nebo kategorií údajů, které se jich týkají;

d) právní základ zpracování, pro něž jsou údaje určeny;

e) příjemce nebo kategorie příjemců, kterým mohou být údaje sděleny;

f) předpokládané přenosy údajů do třetích zemí;

g) obecný popis umožňující předběžně posoudit vhodnost opatření přijatých pro zajištění bezpečnosti zpracování ve smyslu článku 24.

2. Členské státy upřesní podmínky a postupy oznamování informací uvedených v odstavci 1 orgánu dozoru.

Článek 26Předběžná kontrola

1. Členské státy vymezí postupy zpracování, které by mohly představovat zvláštní rizika z hlediska práv a svobod subjektů údajů, a dbají na to, aby tyto postupy zpracování byly před jejich započetím prošetřeny.

2. Tyto předběžné kontroly provádí orgán dozoru po obdržení oznámení od správce nebo osoba pověřená ochranou údajů, která musí v případě pochybností konzultovat orgán dozoru.

3. Členské státy mohou provádět tyto kontroly rovněž v rámci vypracování opatření přijatého vnitrostátním parlamentem nebo opatření založeného na takovém legislativním opatření, které vymezuje povahu zpracování a stanoví vhodná ochranná opatření.

KAPITOLA VI SOUDNÍ PřEZKUM A ODPOVěDNOST

Článek 27 Soudní přezkum

Aniž je tím dotčena možnost opravného prostředku ve správním řízení, který je možno před předložením věci soudu podat zejména orgánu dozoru uvedenému v článku 30, stanoví všechny členské státy, že každý má právo předložit věc soudu v případě porušení práv, jež mu jsou zaručena vnitrostátními právními předpisy na základě tohoto rámcového rozhodnutí, které se uplatní na dotčené zpracování.

Článek 28Odpovědnost

1. Členské státy stanoví, že kdokoli, kdo byl poškozen neoprávněným zpracováním nebo jinou činností neslučitelnou s vnitrostátními předpisy na základě tohoto rámcového rozhodnutí, má vůči správci nárok na náhradu utrpěné škody. Správce se může této odpovědnosti částečně nebo zcela zprostit, pokud prokáže, že za okolnost, jež vedla ke vzniku škody, neodpovídá.

2. Příslušný orgán, který obdržel osobní údaje od příslušného orgánu jiného členského státu, však poškozené straně odpovídá za škodu způsobenou použitím nepřesných nebo zastaralých údajů. Nemůže se své odpovědnosti zprostit z důvodu, že obdržel nepřesné nebo zastaralé údaje od jiného orgánu. Pokud dojde ke škodě na straně orgánu, který údaje obdržel, z důvodu používání nepřesných údajů předaných nebo zpřístupněných příslušným orgánem jiného členského státu, pak tento příslušný orgán nahradí v plném rozsahu částku vyplacenou na úhradu škody orgánu, který údaje obdržel.

Článek 29Sankce

1. Členské státy přijmou vhodná opatření, kterými zajistí uplatňování ustanovení tohoto rámcového rozhodnutí, a zejména určí účinné, přiměřené a odrazující sankce, které se uplatní v případě porušení předpisů přijatých na základě tohoto rámcového rozhodnutí.

2. Členské státy stanoví účinné, přiměřené a odrazující trestní sankce za úmyslně spáchané trestné činy, které s sebou nesou závažná porušení předpisů přijatých na základě tohoto rámcového rozhodnutí, zejména předpisů, jejichž cílem je zajištění důvěrné povahy a bezpečnosti zpracování.

KAPITOLA VII ORGÁN DOZORU A PRACOVNÍ SKUPINA PRO OCHRANU FYZICKÝCH OSOB V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJů

Článek 30 Orgán dozoru

1. Každý členský stát pověří jeden nebo několik orgánů veřejné moci na svém území sledováním uplatňování předpisů přijatých členskými státy na základě tohoto rámcového rozhodnutí. Tyto orgány plní úkoly, kterými jsou pověřeny, zcela nezávisle.

2. Každý členský stát zajistí, aby orgány dozoru byly konzultovány při vypracovávání správních opatření nebo předpisů týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání.

3. Každý orgán dozoru má zejména:

- pravomoci provádět šetření, zahrnující například právo přístupu k údajům, které jsou předmětem zpracování, a oprávnění shromažďovat veškeré informace nezbytné pro splnění svého úkolu dozoru,

- pravomoci účinně zasáhnout, jako například zaujmout stanoviska před zahájením zpracování v souladu s článkem 26 a zajistit vhodné zveřejnění těchto stanovisek nebo pravomoc nařídit blokování, výmaz nebo zničení údajů nebo dočasně nebo trvale zakázat zpracování nebo pravomoc zaslat správci upozornění či napomenutí nebo pravomoc obrátit se s věcí na parlament členského státu či na jiné politické orgány,

- pravomoc obrátit se na soud v případě porušení vnitrostátních předpisů přijatých k provedení tohoto rámcového rozhodnutí nebo pravomoc oznámit tato porušení soudním orgánům.

Proti rozhodnutím orgánu dozoru, která dala podnět ke stížnostem, je možné podat opravný prostředek k soudu.

4. Na orgán dozoru se může obrátit jakákoli osoba se žádostí týkající se ochrany svých práv a svobod v souvislosti se zpracováním osobních údajů. Dotčená osoba je informována o způsobu vyřízení své žádosti.

5. Orgány dozoru vypracují v pravidelných intervalech zprávu o své činnosti. Tato zpráva se zveřejní.

6. Nezávisle na vnitrostátním právu, které se použije na dané zpracování, je orgán dozoru oprávněn vykonávat na území vlastního členského státu pravomoci, které mu byly svěřeny v souladu s odstavcem 3. Každý orgán může být vyzván, aby vykonával své pravomoci na žádost orgánu jiného členského státu.

7. Orgány dozoru spolupracují mezi sebou navzájem i s kontrolními orgány zřízenými podle hlavy VI Smlouvy o Evropské unii a s evropským inspektorem ochrany údajů v míře nezbytné pro plnění svých úkolů, zejména prostřednictvím výměny veškerých užitečných informací.

8. Členské státy stanoví, že členové a zaměstnanci orgánů dozoru podléhají povinnosti dodržovat profesní tajemství v souvislosti s důvěrnými informacemi, ke kterým mají přístup, a to i po skončení svého pracovního poměru.

9. Pravomocemi orgánu dozoru nesmí být dotčena nezávislost soudnictví a rozhodnutím přijatým tímto orgánem nesmí být dotčeno provádění legitimních úkolů soudních orgánů v trestních řízeních.

Článek 31Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracovánímosobních údajů za účelem předcházení trestným činům, jejich vyšetřování, odhalování astíhání

1. Zřizuje se pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání (dále jen „pracovní skupina“). Pracovní skupina má poradní funkci a je nezávislá.

2. Pracovní skupinu tvoří zástupce orgánu dozoru nebo orgánů dozoru určených jednotlivými členskými státy, zástupce evropského inspektora ochrany údajů a zástupce Komise.

Každý člen pracovní skupiny je jmenován institucí, orgánem nebo orgány, které zastupuje. Pokud členský stát určil několik orgánů dozoru, jmenují tyto orgány společného zástupce.

Předsedové společných kontrolních orgánů zřízených podle hlavy VI Smlouvy o Evropské unii jsou oprávněni se zúčastnit nebo být zastoupeni na zasedáních pracovní skupiny. Orgán dozoru nebo orgány dozoru určené Islandem, Norskem a Švýcarskem jsou oprávněny být zastoupeny na zasedáních pracovní skupiny, pokud se jedná o záležitostech týkajících se schengenského acquis .

3. Pracovní skupina přijímá rozhodnutí prostou většinou zástupců orgánů dozoru členských států.

4. Pracovní skupina zvolí svého předsedu. Funkční období předsedy je dva roky. Může být zvolen opakovaně.

5. Sekretariát pracovní skupiny zajišťuje Komise.

6. Pracovní skupina přijme svůj jednací řád.

7. Pracovní skupina projednává otázky zařazené na pořad jednání jejím předsedou buď z jeho podnětu, nebo na žádost zástupce orgánů dozoru, Komise, evropského inspektora ochrany údajů nebo předsedů společných kontrolních orgánů.

Článek 32

Úkoly

1. Pracovní skupina má tyto úkoly:

a) posuzovat veškeré otázky týkající se uplatňování vnitrostátních předpisů přijatých k provedení tohoto rámcového rozhodnutí s cílem přispívat k jejich jednotnému uplatňování,

b) zaujímat stanovisko k úrovni ochrany v členských státech a ve třetích zemích a mezinárodních subjektech, zejména s cílem zaručit, aby v souladu s článkem 15 tohoto rámcového rozhodnutí probíhal přenos osobních údajů do třetích zemí nebo mezinárodních subjektů, které zajišťují odpovídající úroveň ochrany údajů,

c) poskytovat Komisi a členským státům poradenství o všech návrzích změn tohoto rámcového rozhodnutí, o všech doplňujících nebo zvláštních opatřeních, která by měla být přijata na ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání, jakož i o všech ostatních návrzích opatření, která se dotýkají těchto práv a svobod.

2. Pokud pracovní skupina zjistí, že mezi právními předpisy a praxí členských států vznikají rozpory, které by mohly narušit rovnocennost ochrany osob v souvislosti se zpracováním osobních údajů v Evropské unii, uvědomí o tom Radu a Komisi.

3. Pracovní skupina může z vlastního podnětu nebo z podnětu Komise nebo Rady podat doporučení k jakékoli otázce týkající se ochrany osob v souvislosti se zpracováním osobních údajů v Evropské unii za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání.

4. Stanoviska a doporučení pracovní skupiny jsou předávána Radě, Komisi a Evropskému parlamentu a výboru uvedenému v článku 16.

5. Na základě informací poskytnutých členskými státy Komise uvědomí pracovní skupinu o opatřeních v reakci na předaná stanoviska a doporučení. Za tím účelem vypracuje zprávu, která se rovněž předá Evropskému parlamentu a Radě. Tato zpráva se zveřejní. Členské státy uvědomí pracovní skupinu o veškerých opatřeních, která přijmou na základě odstavce 1.

6. Pracovní skupina vypracuje výroční zprávu o stavu ochrany fyzických osob v souvislosti se zpracováním osobních údajů za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání v Evropské unii a ve třetích zemích, kterou předá Komisi, Evropskému parlamentu a Radě. Tato zpráva se zveřejní.

KAPITOLA VIIIZávěrečná ustanovení

Článek 33Změna Schengenské úmluvy

Pro účely záležitostí spadajících do oblasti působnosti Smlouvy o EU nahrazuje toto rámcové rozhodnutí články 126 až 130 Schengenské úmluvy.

Článek 34Vztah k ostatním nástrojům týkajícím se zpracování a ochrany osobních údajů

1. Toto rámcové rozhodnutí nahrazuje článek 23 Úmluvy o vzájemné pomoci ve věcech trestních mezi členskými státy Evropské unie.

2. Jakýkoli odkaz na Úmluvu Rady Evropy č. 108 ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat se považuje za odkaz na toto rámcové rozhodnutí.

Článek 35Provádění

1. Členské státy přijmou opatření nezbytná pro dosažení souladu s tímto rámcovým rozhodnutím do 31. prosince 2006.

2. K témuž datu členské státy sdělí generálnímu sekretariátu Rady a Komisi znění ustanovení, kterými se do jejich vnitrostátního práva přenášejí povinnosti vyplývající z tohoto rámcového rozhodnutí, jakož i informaci o jmenování orgánu či orgánů dozoru uvedených v článku 29. Na základě těchto údajů a písemné zprávy Komise prověří Rada nejpozději do 31. prosince 2007, do jaké míry členské státy přijaly opatření nezbytná pro dosažení souladu s tímto rámcovým rozhodnutím.

Článek 36 Vstup v platnost

Toto rámcové rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

V Bruselu dne

Za Radu

předseda/předsedkyně

PŘÍLOHA

LEGISLATIVNÍ FINANČNÍ VÝKAZ

Oblast(i) politiky: Spravedlnost a vnitřní věci Činnost(i): 1806 – Ustavení skutečného prostoru svobody, bezpečnosti a spravedlnosti v trestních a občanských záležitostech |

NÁZEV OPATřENÍ: NÁVRH RÁMCOVÉHO ROZHODNUTÍ RADY O OCHRANě OSOBNÍCH ÚDAJů ZPRACOVÁVANÝCH V RÁMCI POLICEJNÍ A SOUDNÍ SPOLUPRÁCE |

1. ROZPOČTOVÁ(É) LINIE + OKRUH(Y)

nepoužije se

2. CELKOVÉ ČÁSTKY

2.1. Celkový příspěvek na opatření (část B): v milionech EUR na závazek

nepoužije se

2.2. Doba použití

rok zahájení 2006

2.3. Celkový víceletý odhad výdajů:

a) Přehled položek závazků/položek plateb (finanční intervence) ( viz bod 6.1.1)

v milionech EUR (zaokrouhleno na tři desetinná místa)

[2006] | [2007] | [2008] | [2009] | [2010] | [2011] | Celkem |

Závazky |

Platby |

b) Technická a administrativní pomoc a podpůrné výdaje ( viz bod 6.1.2)

Závazky |

Platby |

Mezisoučet a+b |

Závazky |

Platby |

c) Celkový finanční dopad výdajů na lidské zdroje a jiných administrativních výdajů (viz body 7.2 a 7.3)

Závazky / platby | 0,389 | 0,389 | 0,389 | 0,389 | 0,389 | 0,389 | 2,334 |

SOUČET a+b+c |

Závazky |

Platby |

2.4. Slučitelnost s finančním plánováním a s finančním výhledem

nepoužije se

2.5. Finanční dopady na straně příjmů:

Návrh nemá žádné finanční dopady

3. CHARAKTERISTIKY ROZPOČTU

Typ výdajů | Nové | Příspěvek ESVO | Příspěvky od kandidátských zemí | Okruh ve finančním výhledu |

Nepov. | Nerozl. | nepoužije se | nepoužije se | nepoužije se | č. nepoužije se |

4. PRÁVNÍ ZÁKLAD

Články 30 a 31 a čl. 34 odst. 2 písm. b) Smlouvy o EU

5. POPIS A DŮVODY

5.1. Potřeba intervence ze strany Společenství

5.1.1. Sledované cíle

Navrhované rámcové rozhodnutí stanoví společné standardy ochrany osobních údajů zpracovávaných příslušnými orgány v souvislosti s činnostmi uvedenými v hlavě VI Smlouvy o Evropské unii (policejní a soudní spolupráce v trestních věcech). Nezávislé veřejné orgány dozoru sledují uplatňování vnitrostátních předpisů přijatých k provedení tohoto rámcového rozhodnutí v členských státech. Na úrovni EU se zřizuje pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání (dále jen „pracovní skupina“). Pracovní skupinu tvoří zástupce orgánu dozoru nebo orgánů dozoru určených jednotlivými členskými státy, zástupce evropského inspektora ochrany údajů a zástupce Komise. Pracovní skupina posuzuje veškeré otázky týkající se uplatňování vnitrostátních předpisů přijatých k provedení rámcového rozhodnutí s cílem přispívat k jejich jednotnému uplatňování. Vydává stanoviska k úrovni ochrany údajů v členských státech a ve třetích zemích a poskytuje poradenství Komisi a členským státům o všech návrzích změn rámcového rozhodnutí, jakož i o všech doplňujících nebo zvláštních opatřeních, která by měla zajišťovat dodržování základních práv.

Dále v souladu s článkem 16 rámcového rozhodnutí má být výbor složený ze zástupců členských států, kterému předsedá zástupce Komise, v nezbytných případech nápomocen Komisi při posuzování úrovně ochrany údajů ve třetí zemi.

5.1.2. Opatření přijatá v souvislosti s hodnocením předem

Byli konzultováni zástupci vlád a nezávislých orgánů dozoru členských států, jakož i zástupci Islandu, Norska a Švýcarska, evropského inspektora ochrany údajů, Europolu a Eurojustu. S přihlédnutím k různým názorům Komise zejména navrhuje zřídit výše popsanou pracovní skupinu. S cílem odhadnout pravděpodobné náklady tohoto opatření Komise ověřila náklady (cestovní výdaje, podpora sekretariátu při přípravě a organizaci zasedání), které v současné době vykazuje pracovní skupina zřízená podle článku 29 směrnice 95/46/ES.

5.2. Zamýšlené opatření a rozpočtové intervenční režimy

Výše zmíněná pracovní skupina bude pravděpodobně zasedat pravidelně, odhadem pětkrát ročně. Výbor uvedený v článku 16 bude zasedat tehdy a tak často, jak to bude nezbytné, pravděpodobně také pětkrát ročně. Náklady budou uhrazeny vždy jednomu účastníku za každý členský stát a za stát Schengenské úmluvy (Island, Norsko). Určitou představu lze získat od skupin zřízených podle článků 29 a 31 směrnice Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

5.3. Způsob provádění

Povinnost uspořádat a vést veškerá zasedání připadá Komisi. Komise bude povinna zajistit sekretariát pro výše zmíněnou pracovní skupinu a výbor a připravit/uspořádat jejich zasedání.

6. FINANČNÍ DOPAD

6.1. Celkový finanční dopad na část B (v rámci celého programového období)

6.1.1. Finanční intervence

nepoužije se

6.1.2. Technická a administrativní pomoc, podpůrné výdaje a výdaje v oblasti informační technologie (položky závazků)

nepoužije se

6.2. Výpočet nákladů na jednotlivá opatření plánovaná pro část B (v rámci celého programového období)

nepoužije se

7. DOPAD NA PRACOVNÍKY A ADMINISTRATIVNÍ VÝDAJE

Dopad na pracovníky a administrativní výdaje budou pokryty v souvislosti s přídělem zdrojů řídícího GŘ v rámci postupu pro roční příděly.

Přidělování pracovních míst rovněž závisí na přidělení úkolů a zdrojů v rámci finančního výhledu na roky 2007-2013.

7.1. Dopad na lidské zdroje

Typy pracovních míst | Pracovníci, které je třeba pověřit řízením opatření za použití stávajících a/nebo dalších zdrojů | Celkem | Popis úkolů vyplývajících z opatření |

Počet pracovních míst na dobu neurčitou | Počet pracovních míst na dobu určitou |

Úředníci nebo dočasní zaměstnanci | A B C | 0,25 A 0,50 B 1,00 C | 0,25A 0,50B 1,00C | Podpora sekretariátu, příprava zasedání pracovní skupiny a výboru |

Jiné lidské zdroje |

Celkem |

7.2. Celkový finanční dopad lidských zdrojů

Druh lidských zdrojů | Částka (v EUR) | Metoda výpočtu* |

Úředníci Dočasní zaměstnanci | první rok: 189 000 | 1 X 108 000 0,5 X 108 000 0,25 X 108 000 = 189 000 |

Jiné lidské zdroje (upřesněte rozpočtovou linii) |

Celkem | 189 000 |

Částky představují celkové výdaje za dvanáct měsíců.

7.3. Jiné administrativní výdaje vyplývající z opatření

Rozpočtová linie (číslo a okruh) | Částka v EUR | Metoda výpočtu |

Celkové přidělení (část A7) A0701 – Služební cesty A07030 – Schůze A07031 – Povinné výbory A07032 – Nepovinné výbory A07040 – Konference A0705 – Studie a konzultace Ostatní výdaje (upřesněte) | 200 000 | 10 schůzí* 27 * 740 EUR |

Informační systémy (A-5001/A-4300) |

Ostatní výdaje - část A (upřesněte) |

Celkem | 200 000 |

Částky představují celkové výdaje za dvanáct měsíců.

Uveďte přesně druh výboru a skupinu, do níž náleží.

I. Celková částka za rok (7.2 + 7.3) II. Doba trvání opatření III. Celkové náklady opatření (I x II) | € 389 000 |

8. DALŠÍ VÝVOJ A HODNOCENÍ

8.1. Režim dalšího vývoje

Pracovní skupina a výbor stanoví svůj jednací řád, včetně pravidel týkajících se důvěrnosti. Evropský parlament bude informován způsobem obdobným jako je způsob stanovený v článku 7 rozhodnutí Rady 99/468/ES ze dne 28. 6. 1999 o postupech pro výkon prováděcích pravomocí svěřených Komisi (Úř. věst. L 184, 17. 7. 1999, s. 23) .

8.2. Režim a harmonogram týkající se plánovaného hodnocení

nepoužije se

9. OPATŘENÍ PROTI PODVODŮM

nepoužije se

XXX

[1] Úř. věst. C 53, 3.3.2005, s. 1.

[2] Úř. věst. C 198, 12.8.2005, s. 1.

[3] KOM(2005) 184, v Bruselu dne 10.5.2005.

[4] Pracovní dokument Rady 11158/1/05 REV 1 JAI 255.

[5] Pracovní dokument Rady 8321/98JAI 15.

[6] Úř. věst. C 19, 23.1.1999, s. 1.

[7] Pracovní dokument Rady 6316/2/01 REV 2 JAI 13.

[8] 2514. zasedání Rady pro spravedlnost a vnitřní věci, Lucemburk, 5.-6. června 2003, dokument Rady 9845/03 (Presse 150), s. 32.

[9] Prohlášení a poziční dokument o vymáhání práva a výměně informací v EU přijaté na jarní konferenci evropských orgánů pro ochranu údajů v Krakově ve dnech 25.-26. dubna 2005.

[10] Bod 1 písm. h) doporučení Evropského parlamentu Evropské radě a Radě pro výměnu informací a spolupráci v oblasti teroristických trestných činů (2005/2046(INI)), přijaté dne 7. června 2005.

[11] Úř. věst. C 364, 18.12.2000, s. 1, 10.

[12] Úř. věst. L 281, 23.11.1995, s. 31.

[13] Úř. věst. L 239, 22.9.2000, s. 19.

[14] Úř. věst. C 316, 27.11.1995, s. 2.

[15] Úř. věst. C 88, 30.3.1999, s. 1.

[16] Úř. věst. L 63, 6.3.2002, s. 1.

[17] Úř. věst. C 68, 19.3.2005, s. 1.

[18] Úř. věst. C 316, 27.11.1995, s. 34.

[19] Úř. věst. C 197, 12.7.2000, s. 1, 15.

[20] KOM(2005) 230.

[21] KOM(2005) 236, KOM(2005) 237.

[22] KOM(2005) 438, 21.9.2005.

[23] …

[24] …

[25] Úř. věst. C 198, 12.8.2005, s. 1.

[26] Úř. věst. L 281, 23.11.1995, s. 31.

[27] Úř. věst. L 8, 12.1.2001, s. 1.

[28] Úř. věst. L 201, 31.7.2001, s. 37.

[29] Úř. věst. L 239, 22.9.2000, s. 19.

[30] Úř. věst. L 69, 16.3.2005, s. 67.

[31] Úř. věst. C 197, 12.7.2000, s. 3.

[32] Úř. věst. L 131, 1.6.2000, s. 43.

[33] Úř. věst. L 176, 10.7.1999, s. 31.

[34] Úř. věst. L 368, 15.12.2004, s. 26.