Ochrana osobných údajov

Smernica 95/46/EHS predstavuje referenčný dokument na úrovni Európskej únie v oblasti ochrany osobných údajov. Zavádza regulačný rámec, ktorý vytvorí rovnováhu medzi vysokou úrovňou ochrany súkromia osôb a voľným tokom osobných údajov v Európskej únii (EÚ). Na tento účel smernica určuje prísne hranice pre zhromažďovanie a používanie osobných údajov a požaduje vytvorenie nezávislého vnútroštátneho orgánu povereného dohľadom nad akoukoľvek činnosťou súvisiacou so spracovaním osobných údajov v každom členskom štáte.

AKT

Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov [pozri pozmeňujúce a doplňujúce akty].

SÚHRNY

Táto smernica sa týka automaticky spracúvaných údajov (napríklad počítačová databáza zákazníkov), ako aj údajov obsiahnutých v súbore alebo vyžiadaných na zapísanie do súboru, ktorý sa nespracúva automaticky (súbory v tradičnej papierovej podobe).

Smernica sa netýka spracovania údajov:

• vykonaného fyzickou osobou pri výkone výhradne osobných činností alebo činností týkajúcich sa domácnosti;
• použitých pri výkone činností, ktoré nespadajú do rozsahu pôsobnosti práva Spoločenstva týkajúceho sa verejnej bezpečnosti, obrany a bezpečnosti štátu.

Cieľom smernice je chrániť práva a slobody osôb v súvislosti so spracovaním osobných údajov stanovením hlavných kritérií zákonného spracovania údajov a zásad týkajúcich sa kvality údajov

Spracovanie údajov je zákonné, len ak

• osoba pracujúca s údajmi poskytla svoj súhlas jednoznačne; alebo
• spracovanie je nevyhnutné pre výkon zmluvy, ktorej osoba pracujúca s údajmi je zainteresovanou stranou; alebo
• spracovanie je nevyhnutné na vyhovenie právnemu záväzku, ktorého subjektom je kontrolór, alebo
• spracovanie je nevyhnutné, aby sa ochránili životné záujmy osoby pracujúcej s údajmi; alebo
• spracovanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo v uplatňovaní oficiálneho poverenia zvereného kontrolórovi, alebo tretej strane; alebo
• spracovanie je nevyhnutné pre účely legitímnych záujmov, ktoré plní kontrolór, alebo tretia strana, s výnimkou, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd osoby pracujúcej s údajmi, ktoré potrebujú ochranu.

Zásady kvality údajov, ktoré sa musia uplatňovať pri všetkých zákonných činnostiach spracovania údajov:

• osobné údaje musia byť spracované spravodlivo a zákonne a musia byť zhromaždené na špecifikované, explicitné a zákonné účely. Ďalej musia byť primerané, relevantné a nesmú byť prehnané, musia byť presné a tam, kde je to nevyhnutné, udržiavané aktuálne, nesmú sa uchovávať dlhšie, než je to nevyhnutné a musia sa uchovávať len na účely, na ktoré boli zhromaždené;
• osobitné kategórie spracovania: zakazuje sa spracovanie osobných údajov prezrádzajúcich rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odborových zväzoch a spracovanie údajov týkajúcich sa zdravia a sexuálneho života. Toto ustanovenie je doplnené o výhrady súvisiace napríklad s prípadmi, keď je spracovanie nevyhnutné na ochranu životných záujmov dotknutej osoby alebo na účely preventívnej medicíny a lekárskych diagnóz.

Osoba, ktorej údaje sa spracúvajú, osoba pracujúca s údajmi, majú tieto práva:

• právo získať informácie: určité informácie (identita dozorcu spracovania údajov, účely spracovania, príjemcovia údajov atď.) musí dozorca spracovania údajov poskytnúť osobe, od ktorej sa zberajú údaje, ktoré sa jej týkajú;
• právo na prístup takých osôb k údajom: každá dotknutá osoba má právo získať od dozorcu spracovania údajov;
• právo vznesenia námietok proti spracovaniu údajov: dotknutá osoba má právo vzniesť námietku zo zákonných dôvodov proti spracovaniu údajov, ktoré sa jej týkajú. Takisto má právo vzniesť námietku na požiadanie a bezplatne proti spracovaniu údajov určených na prieskum trhu. Táto osoba má byť informovaná skôr, ako budú údaje poskytnuté tretím osobám na účely prieskumu trhu a má jej byť ponúknutá možnosť vzniesť námietku proti takému poskytnutiu údajov.

Ďalšie relevantné hľadiská spracovania údajov:

• výnimky a obmedzenia týkajúce sa práv osoby pracujúcej s údajmi: zásady týkajúce sa kvality údajov, informácií dotknutej osoby, práva na prístup k údajom a zverejnenia operácií spracovania môžu mať obmedzený dosah okrem iného na účely ochrany, bezpečnosti štátu, obrany, verejnej bezpečnosti, trestného stíhania, dôležitého hospodárskeho alebo finančného záujmu niektorého členského štátu alebo EÚ alebo ochrany dotknutej osoby;
• dôvernosť a bezpečnosť spracovania: akákoľvek osoba konajúca v právomoci dozorcu spracovania údajov alebo v právomoci spracovateľa vrátane samotného spracovateľa, ktorá má prístup k osobným údajom, smie tieto údaje spracovať, len ak koná na príkaz dozorcu spracovania údajov. Ďalej má dozorca spracovania údajov uplatniť primerané opatrenia na ochranu osobných údajov pred náhodným alebo nezákonným poškodením, náhodnou stratou, zmenou, neoprávneným šírením alebo sprístupnením;
• oznamovacia povinnosť o spracovaní dozornému orgánu: dozorca spracovania údajov musí upovedomiť vnútroštátny dozorný orgán pred vykonaním spracovania údajov. Po prijatí upovedomenia dozorný orgán vykoná predbežné kontroly prípadného rizika pre práva so zreteľom na práva a slobody dotknutých osôb. Zverejnenie operácií spracovania musí byť zabezpečené a dozorné orgány majú viesť register oznámených operácií spracovania.

Každý má právo na opravný prostriedok v prípade porušenia práv, ktoré mu prináležia z vnútroštátnych predpisov týkajúcich sa predmetného spracovania údajov. Okrem toho osoby, ktoré utrpeli škodu v dôsledku nezákonného spracovania ich osobných údajov, majú právo na kompenzáciu spôsobenej škody.

Prenosy osobných údajov z členských štátov EÚ do tretích krajín vykonané pri primeranom stupni ochrany sú povolené. Hoci sa prenosy nemôžu vykonávať, ak nie je zabezpečená primeraná úroveň ochrany, toto pravidlo obsahuje niekoľko výnimiek uvedených v smernici, napr. samotná osoba pracujúca s údajmi súhlasí s prevodom, v prípade uzatvorenia zmluvy, keď je to nutné na základe verejného záujmu, ale aj keď boli v členskom štáte povolené záväzné podnikové pravidlá alebo štandardné zmluvné doložky.

Cieľom smernice je podporiť vypracovanie kódexov správania na úrovni štátov a Spoločenstva, ktoré prispejú k správnemu vykonávaniu vnútroštátnych predpisov a predpisov Spoločenstva.

Každý členský štát zabezpečí, aby jeden alebo viacero nezávislých verejných orgánov bolo poverených dohľadom nad vykonávaním predpisov na jeho území prijatých členskými štátmi v súlade s touto smernicou.

Zriaďuje sa pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, ktorá je zložená zo zástupcov vnútroštátnych dozorných orgánov, zástupcov orgánov zriadených pre inštitúcie a orgány Spoločenstva a zástupcu Komisie.

SÚVISIACE AKTY

SPRÁVA O IMPLEMENTÁCII

Oznámenie Komisie Európskemu parlamentu a Rade zo 7. marca 2007 s názvom: „Pokračovanie pracovného programu pre lepšiu implementáciu smernice o ochrane údajov“ [ KOM(2007) 87 v konečnom znení – neuverejnené v úradnom vestníku].

Toto oznámenie skúmalo prácu vykonanú v rámci Pracovného programu pre lepšiu implementáciu smernice o ochrane údajov obsiahnutej v Prvej správe o implementácii smernice 95/46/EHS. Komisia poukázala na zlepšenie, ktoré sa prejavilo v tom, že všetky členské štáty už smernicu transponovali. Spresňovala, že smernica by sa nemala meniť.

Dodala, že:

• bude pokračovať v práci s členskými štátmi a v prípade potreby začne formálne konania vo veci porušovania práva;
• pripraví oznámenie, ktoré poskytne výklad k niektorým ustanoveniam smernice;
• bude pokračovať v implementácii pracovného programu;
• v prípade výrazného technologického pokroku na nejakom špecifickom poli predloží sektorové právne predpisy na úrovni EÚ;
• bude pokračovať v spolupráci so zahraničnými partnermi, najmä s USA.

Oznámenie Komisie z 15. mája 2003 s názvom „Prvá správa o implementácii smernice o ochrane údajov (95/46/EHS)“ [ KOM(2003) 265 v konečnom znení – neuverejnené v úradnom vestníku].

Správa najmä konštatovala výsledky konzultácií vedených Komisiou o hodnotení smernice 95/46/EHS zo strany vlád, inštitúcií, podnikateľských organizácií, asociácií spotrebiteľov a občanov. Výsledky konzultácií ukázali, že len málo prispievateľov sa dovolávalo revízie smernice. Okrem toho, po konzultácii členských štátov Komisia vzala na vedomie fakt, že väčšina členských štátov a vnútroštátnych dozorných orgánov nepovažuje zmenu smernice v tejto fáze za potrebnú.

Napriek omeškaniu a nedostatkom zisteným pri jej implementácii smernica splnila svoj hlavný cieľ odstrániť prekážky brániace voľnému toku osobných údajov medzi členskými štátmi. Komisia tiež považovala cieľ zaručiť vysokú úroveň ochrany v Spoločenstve za splnený, keďže smernica stanovila normy ochrany údajov, ktorých úroveň patrí k najvyšším na svete.

Iné ciele politiky vnútorného trhu však nie sú splnené. Zákony členských štátov v oblasti ochrany údajov sú stále pomerne rôznorodé. Tieto rozdiely bránia viacnárodným organizáciám definovať paneurópsku politiku v oblasti ochrany údajov. Komisia preto oznámila, že ďalej vykoná potrebné kroky k náprave tejto situácie tak, aby v rámci možností nemusela pristúpiť k formálnemu konaniu.

V súvislosti s celkovou úrovňou dodržiavania zákonov o ochrane údajov v EÚ treba zdôrazniť tri problémy:

• nedostatok zdrojov vyhradených na implementáciu;
• nerovnomerné dodržiavanie zo strany dozorcov spracovania údajov;
• zjavne nízka úroveň znalostí dotknutých osôb o ich právach, čo môže byť koreňom pôvodu predošlého javu.

S cieľom lepšej implementácie smernice o ochrane údajov Komisia prijala pracovný program obsahujúci určité opatrenia, ktoré je potrebné uplatniť v období od prijatia tejto správy do konca roka 2004. Tieto opatrenia obsahujú nasledujúce iniciatívy:

• diskusia s členskými štátmi a orgánmi poverenými ochranou údajov o zmenách, ktoré treba uskutočniť v ich právnych predpisoch, aby tieto zmeny boli v plnej miere v súlade s požiadavkami smernice;
• zapojenie kandidátskych krajín do snahy o lepšiu kvalitu implementácie smernice a jej väčšiu jednotnosť;
• zlepšenie oznamovania všetkých právnych aktov transponujúcich smernicu;
• zjednodušenie podmienok medzinárodného prenosu údajov;
• podpora technológií posilňujúcich ochranu súkromia;
• podpora samoregulácie a kódexov správania na úrovni EÚ.

SMERNICA „O SÚKROMÍ A ELEKTRONICKÝCH KOMUNIKÁCIÁCH“

Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica „o súkromí a elektronických komunikáciách“) [Úradný vestník ES L 201, 31. júla 2002].

Táto smernica bola prijatá v roku 2002 spolu s novým súborom predpisov, ktorý mal byť základným rámcom pre sektor elektronických komunikácií. Obsahuje ustanovenia týkajúce sa niekoľkých viac či menej citlivých tém, ako je uschovávanie údajov o pripojení členskými štátmi na účely informačnej služby (zadržiavanie údajov), posielanie nevyžiadanej elektronickej pošty, využívanie „cookies“ a uvedenie osobných údajov vo verejných zoznamoch.

Nariadenie (EÚ) č. 611/2013 obsahuje pravidlá oznamovania prípadov porušenia ochrany osobných údajov poskytovateľmi verejne dostupných elektronických komunikačných služieb v prípade, že dôjde k strate, odcudzeniu alebo inému zneužitiu osobných údajov ich zákazníkov.

V prípade, že dôjde k porušeniu ochrany osobných údajov a osobné údaje sú zneužité, poskytovatelia sú podľa smernice 2002/58/ES povinní oznámiť toto porušenie príslušnému vnútroštátnemu orgánu ochrany údajov a v určitých prípadoch aj dotknutým účastníkom alebo jednotlivcom. V nariadení (EÚ) 611/2013 sa zavádzajú tzv. technické vykonávacie opatrenia, ktorými sa spresňuje spôsob dodržiavania týchto povinností.

Poskytovatelia by okrem iného mali:

• oznámiť porušenie ochrany osobných údajov príslušnému vnútroštátnemu orgánu najneskôr do 24 hodín po zistení porušenia s cieľom zabezpečiť čo najväčšie obmedzenie porušenia;
• zohľadniť druh zneužitých údajov pri posudzovaní, či oznámiť porušenie účastníkom a jednotlivcom, napr. keď sa údaje týkajú finančných informácií, e-mailových údajov, internetových logovacích údajov, histórie internetového prehliadača atď.;
• poskytnúť príslušnému orgánu ochrany osobných údajov a/alebo príslušným účastníkom alebo jednotlivcom podrobnosti o incidente, druhu dotknutých údajov a o opatreniach na nápravu tohto problému.

ŠTANDARDNÉ ZMLUVNÉ DOLOŽKY NA PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN

Rozhodnutie Komisie 2004/915/ES z 27. decembra 2004, ktorým sa mení a dopĺňa rozhodnutie 2001/497/ES o zavedení alternatívneho súboru štandardných zmluvných doložiek na prenos osobných údajov do tretích krajín [Úradný vestník ES L 385, 29.12.2004].

Európska komisia schválila nové štandardné zmluvné doložky, ktoré môžu podniky používať na zabezpečenie primeranej záruky pri prenose osobných údajov z EÚ do tretích krajín. Tieto nové doložky budú pridané k existujúcim doložkám v rámci rozhodnutia Komisie z júna 2001 (pozri nižšie).

Rozhodnutie Komisie 2001/497/ES z 15. júna 2001 o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín podľa smernice 95/46/ES [Úradný vestník ES L 181, 4.7.2001].

Toto rozhodnutie definuje zmluvné doložky, ktoré zabezpečia primeranú úroveň ochrany osobných údajov prenášaných z EÚ do tretích krajín. Rozhodnutie nariaďuje členským štátom, aby uznali, že spoločnosti alebo orgány, ktoré používajú také štandardné doložky v zmluvách o prenose osobných údajov do tretích krajín, zabezpečujú „primeranú úroveň ochrany“ údajov.

Rozhodnutie Komisie 2010/87/EÚ o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES [Ú. v. EÚ L39, 12.2.2010].

Rozhodnutia Komisie potvrdzujúce primeranú úroveň ochrany osobných údajov v súvislosti s niekoľkými tretími krajinami podľa článku 25 ods. 6: Komisia zatiaľ uznala, že primeranú ochranu poskytujú Andorra, Argentína, Austrália, Kanada (obchodné organizácie), Švajčiarsko, Faerské ostrovy, Guernsey, Izrael, Ostrov Man, Jersey, Nový Zéland, Uruguaj a zásady bezpečného prístavu týkajúce sa ochrany súkromia ministerstva obchodu USA.

OCHRANA ÚDAJOV INŠTITÚCIAMI A ORGÁNMI SPOLOČENSTVA

Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov [Úradný vestník ES L 8, 12.1.2001].

Cieľom tohto nariadenia je zabezpečiť ochranu osobných údajov v rámci inštitúcií a orgánov Európskej únie. Dokument stanovuje:

• ustanovenia zabezpečujúce zvýšenú úroveň ochrany osobných údajov spracúvaných inštitúciami a orgánmi Spoločenstva;
• zriadenie nezávislého dozorného orgánu povereného kontrolou vykonávania týchto ustanovení.

Posledná aktualizácia 08.03.2014