PŘÍLOHA

POKYNY K OCHRANĚ ÚDAJŮ PRO SYSTÉM VČASNÉHO VAROVÁNÍ A REAKCE (SVVR)

1.   ÚVOD

SVVR je internetová aplikace, kterou navrhla Evropská komise ve spolupráci s členskými státy za účelem zajištění strukturované a trvalé komunikace mezi Komisí a orgány příslušnými pro veřejné zdraví v členských státech EHP, jež odpovídají za volbu opatření k ochraně veřejného zdraví. Od roku 2005 je k SVVR připojeno rovněž Evropské středisko pro prevenci a kontrolu nemocí (dále jen „ECDC“), agentura EU (1).

Spolupráce mezi vnitrostátními zdravotnickými orgány je zásadní pro zvýšení schopnosti členských států předcházet možnému šíření přenosných nemocí v EU a rovněž jejich připravenosti reagovat koordinovaně a včas na události způsobené přenosnými nemocemi, které ohrožují nebo mohou ohrožovat veřejné zdraví.

Předchozí výskyty SARS, pandemie chřipky A(H1N1) a dalších přenosných nemocí jednoznačně prokázaly, jak se mohou dříve neznámé nemoci rychle šířit a vést k vysoké úmrtnosti a nemocnosti. Rychlé cestování a celosvětový obchod usnadňují přenos přenosných nemocí, jež neuznávají hranice jednotlivých států. Ke kontrole těchto nepředvídaných událostí a zabránění velmi nepříznivému vývoji je nezbytné včasné zjištění a účinná komunikace a koordinace na evropské a mezinárodní úrovni.

SVVR byl navržen jako ústřední mechanismus, který členským státům umožňuje včas a bezpečně zasílat upozornění, sdílet informace a koordinovat jejich reakce ve vztahu k událostem, jež pro EU představují možnou zdravotní hrozbu.

2.   OBLAST PŮSOBNOSTI A CÍLE POKYNŮ

Správa a používání SVVR může zahrnovat výměnu osobních údajů ve zvláštních případech, kdy to umožňují příslušné právní nástroje (pokud jde o právní důvody výměny osobních údajů v SVVR, viz oddíl 4).

Výměny osobních údajů mezi orgány příslušnými pro veřejné zdraví v členských státech musí dodržovat pravidla ochrany osobních údajů stanovená ve vnitrostátních právních předpisech provádějících směrnici 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Jelikož uživatelé SVVR nejsou odborníky v oblasti ochrany údajů a nemusí si být vždy dostatečně vědomi požadavků týkajících se ochrany údajů, jež jsou uloženy právními předpisy, je vhodné poskytnout uživatelům SVVR pokyny, v nichž je uživatelsky přívětivým a snadno srozumitelným způsobem objasněno fungování SVVR z hlediska ochrany údajů. Cílem pokynů je rovněž zvýšení informovanosti a prosazování osvědčených postupů a konzistentního a jednotného přístupu k dodržování pravidel ochrany údajů u uživatelů SVVR v členských státech.

Je však nutno podotknout, že tyto pokyny nemají poskytnout ucelený přezkum všech otázek ochrany údajů v souvislosti se SVVR. Další vodítko a pomoc je možno získat od orgánů pro ochranu údajů v členských státech. Uživatelé SVVR se zejména důrazně vybízejí, aby si od svých příslušných orgánů pro ochranu údajů vyžádali doporučení ohledně co nejlepšího způsobu uplatňování těchto pokynů na vnitrostátní úrovni s cílem zajistit, aby byly plně dodrženy zvláštní požadavky na ochranu údajů specifické pro danou zemi. Seznam orgánů pro ochranu údajů a jejich kontaktní údaje jsou k dispozici na adrese:

http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm

Je třeba rovněž zdůraznit, že tyto pokyny nepředstavují závazný výklad práva EU v oblasti ochrany údajů, jelikož v institucionálním systému Unie je výklad práva EU svěřen výhradně Soudnímu dvoru.

3.   POUŽITELNÉ PRÁVO A DOHLED

Určení použitelného práva závisí na tom, kdo je uživatelem SVVR. Zpracování osobních údajů Komisí a ECDC v rámci správy a provozování systému (v míře objasněné v následujících oddílech) je upraveno nařízením (ES) č. 45/2001.

Pokud jde o zpracovávání osobních údajů vnitrostátními orgány příslušnými pro SVVR, použitelným právem jsou příslušné vnitrostátní právní předpisy o ochraně údajů, které provádějí směrnici 95/46/ES. Je nutno podotknout, že tato směrnice ponechává členským státům určitý manévrovací prostor ohledně provedení jejích ustanovení do vnitrostátního práva. Směrnice zejména členským státům umožňuje ve zvláštních případech zavést výjimky nebo odchylky s ohledem na řadu ustanovení. Vnitrostátní právní předpisy o ochraně údajů, jimiž je uživatel SVVR vázán, mohou zároveň stanovit přísnější požadavky na ochranu údajů nebo požadavky specifické pro danou zemi, jež nejsou obsaženy v právních předpisech ostatních členských států.

Vzhledem k těmto zvláštnostem se uživatelům SVVR doporučuje, aby tyto pokyny projednali se svými příslušnými orgány pro ochranu údajů s cílem zajistit, aby byly dodrženy veškeré požadavky uložené použitelnými vnitrostátními právními předpisy. Mezi jednotlivými členskými státy se mohou například značně lišit podrobné informace, jež mají být poskytovány subjektům údajů při shromažďování údajů, stejně jako pravidla pro zpracování zvláštních kategorií osobních údajů (např. zdravotních údajů) fyzických osob.

Jedním z hlavních znaků právního rámce EU pro ochranu údajů, který sestává z nařízení (ES) č. 45/2001 a směrnice 95/46/ES, je dohled ze strany veřejných, nezávislých orgánů pro ochranu údajů. Na zpracování osobních údajů orgány a institucemi EU dohlíží evropský inspektor ochrany údajů (dále jen „EIOÚ“) (2), zatímco na zpracování fyzickými nebo právnickými osobami, vnitrostátními orgány veřejné moci, agenturami nebo jinými subjekty v členských státech dohlížejí příslušné orgány pro ochranu údajů. Ve všech členských státech byly orgány dozoru zmocněny k projednávání žádostí podaných občany, které se týkají ochrany jejich práv a svobod v souvislosti se zpracováním osobních údajů. Pokud jde o podrobnější informace o způsobu vyřizování žádostí nebo stížností subjektů údajů, uživatelé SVVR se vyzývají, aby prostudovali oddíl 9 týkající se přístupu k osobním údajům a dalších práv subjektů údajů.

4.   PRÁVNÍ DŮVODY PRO VÝMĚNU OSOBNÍCH ÚDAJŮ V SVVR

Rozhodnutím č. 2119/98/ES byla s pomocí Komise vybudována síť na úrovni EU (dále jen „síť“) na podporu spolupráce a koordinace mezi členskými státy s cílem zdokonalit v EU prevenci a kontrolu přenosných nemocí (3). V tomto rámci byl SVVR zřízen jako jeden z pilířů sítě, který umožňuje výměnu informací, konzultace a koordinaci na evropské úrovni při výskytu událostí způsobených přenosnými nemocemi, které mohou ohrožovat veřejné zdraví v EU.

Je třeba uvést, že ne všechny informace, které jsou vyměňovány v rámci SVVR, jsou osobními údaji. V tomto rámci nejsou totiž obvykle vyměňovány žádné zdravotní údaje či jiné osobní údaje identifikovaných či identifikovatelných fyzických osob.

Co jsou to „osobní údaje“?

Pro účely směrnice 95/46/ES a nařízení (ES) č. 45/2001 se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné osobě („subjekt údajů“); identifikovatelnou osobou se rozumí osoba, kterou lze přímo nebo nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity (4).

Orgány příslušné pro veřejné zdraví v členských státech EHP prostřednictvím SVVR síti sdělují informace týkající se mimo jiné prvotního nebo opakovaného výskytu případů přenosných nemocí spolu s informacemi o použitých kontrolních opatřeních nebo informace o neobvyklých epidemiologických úkazech nebo nových přenosných nemocech neznámého původu (5), jež mohou vyžadovat včasná a koordinovaná opatření členských států k omezení rizika rozšíření nemocí v EU (6). Na základě informací zpřístupněných prostřednictvím sítě provádějí členské státy ve spojení s Komisí vzájemné konzultace za účelem koordinace své činnosti v oblasti prevence a kontroly těchto nemocí, včetně ohledně opatření, která přijaly nebo hodlají přijmout na vnitrostátní úrovni (7).

V některých případech se však informace vyměněné prostřednictvím systému skutečně týkají fyzických osob a mohou být považovány za osobní údaje.

Zpracování určitého omezeného množství osobních údajů oprávněných uživatelů SVVR je v prvé řadě spojeno se správou a fungováním systému. Zpracovávání kontaktních údajů uživatelů (jméno, organizace, e-mailová adresa, telefonní číslo atd.) je nezbytné za účelem zřízení a provozování systému. Tyto osobní údaje jsou shromažďovány členskými státy a dále zpracovávány v rámci odpovědnosti Komise, a to výhradně pro účely účinné spolupráce při správě SVVR a sítě.

Co je důležitější, výskyt události spojené s přenosnou nemocí s potenciálním rozsahem na úrovni EU může vyžadovat provedení zvláštních kontrolních opatření, tzv. opatření na „vysledování kontaktů“, ze strany dotčených členských států ve vzájemné spolupráci s cílem identifikovat nakažené osoby a potenciálně ohrožené osoby a zabránit přenosu vážných přenosných nemocí. Tato spolupráce může zahrnovat výměnu osobních údajů o potvrzených případech nebo případech podezření na nákazu u člověka, včetně citlivých zdravotních údajů, prostřednictvím SVVR mezi členskými státy, kterých se týká opatření na vysledování kontaktů (8).

Co je to „zpracování osobních údajů“?

Pro účely směrnice 95/46/ES a nařízení (ES) č. 45/2001 se „zpracováním osobních údajů“ rozumí „jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace“ (9).

Ve výše uvedených případech musí být zpracování osobních údajů v SVVR opodstatněno zvláštními právními důvody. V tomto ohledu stanoví kritéria pro oprávněné zpracování údajů článek 7 směrnice 95/46/ES a odpovídající ustanovení článku 5 nařízení (ES) č. 45/2001.

Co se týká kontaktních údajů uživatelů SVVR, zpracování těchto údajů je založeno na:

—	čl. 5 písm. b) nařízení (ES) č. 45/2001: „zpracování je nezbytné pro splnění právní povinnosti, které podléhá správce (10)“. Zpracování je nezbytné pro správu a provozování SVVR ze strany Komise s podporou ECDC,

—

a čl. 5 písm. d) nařízení (ES) č. 45/2001: „subjekt údajů jednoznačně udělil souhlas“. Kontaktní údaje uživatelů jsou získány od samotných subjektů údajů poté, co byly zajištěny podmínky pro udělení informovaného souhlasu se zpracováním osobních údajů v SVVR (viz oddíl 8 o poskytování informací subjektům údajů).

Pro výměnu údajů fyzických osob k vysledování kontaktů (např. kontaktní údaje nakažené osoby, údaje o dopravním prostředku a jiné údaje související s cestovní trasou dotyčné osoby a místy pobytu, informace o navštívených osobách a osobách, jež mohly být vystaveny nákaze) v rámci SVVR (11) jsou nejdůležitější kritéria stanovená v čl. 7 písm. c), d) a e) směrnice 95/46/ES:

—

čl. 7 písm. c) směrnice 95/46/ES: „zpracování je nezbytné pro splnění právní povinnosti, které podléhá správce“. Zřízení systému včasného varování a reakce pro účely prevence a kontroly přenosných nemocí v EU vyžaduje rozhodnutí č. 2119/98/ES. Toto rozhodnutí ukládá členským státům povinnost oznamovat prostřednictvím SVVR určité události způsobené přenosnými nemocemi, které ohrožují nebo mohou ohrožovat veřejné zdraví (12). Oznamovací povinnost se vztahuje rovněž na opatření přijatá příslušnými orgány v dotčených členských státech s cílem zabránit a zastavit šíření těchto nemocí, včetně opatření na vysledování kontaktů, jež byla provedena s cílem vysledovat nakažené osoby nebo osoby potenciálně ohrožené nákazou (13),

—

čl. 7 písm. d) směrnice 95/46/ES: „zpracování je nezbytné pro zachování životně důležitých zájmů subjektu údajů“. Výměna osobních údajů nakažených osob a osob, jež jsou bezprostředně ohroženy nákazou, mezi dotčenými členskými státy je nezbytná k zajištění vhodné lékařské péče a ošetřování a rovněž k vysledování a identifikaci osob za účelem izolace nebo karantény s cílem chránit zdraví dotčených osob a v konečném důsledku všech občanů v EU,

—

čl. 7 písm. e) směrnice 95/46/ES: „zpracování je nezbytné pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo třetí osoba, které jsou údaje sdělovány“. SVVR je nástroj, který má členským státům pomoci koordinovat jejich činnost při prevenci a kontrole vážných přenosných nemocí v EU. Systém má proto sloužit vykonání úkolu ve veřejném zájmu, který je svěřen členským státům a který spočívá v ochraně veřejného zdraví.

Stejné důvody veřejného zájmu mohou odůvodnit zpracování citlivých zdravotních údajů (např. informací o události představující zdravotní hrozbu, údaje týkající se zdravotního stavu nakažených osob a osob, které byly potenciálně vystaveny nákaze) ze strany členských států v rámci SVVR. Ačkoliv zpracování údajů týkajících se zdraví je v čl. 8 odst. 1 směrnice 95/46/ES v zásadě zakázáno, na zpracování této zvláštní kategorie údajů v SVVR se vztahuje výjimka stanovená v čl. 8 odst. 3 téže směrnice, je-li zpracování „nezbytné pro účely zdravotní prevence, lékařských diagnóz, lékařské péče a ošetřování nebo správy zdravotnických služeb a pokud tyto údaje zpracovává odborný zdravotnický pracovník, který je na základě vnitrostátního práva nebo právních předpisů přijatých příslušnými vnitrostátními orgány vázán povinností zachovávat profesní tajemství, nebo jiná osoba rovněž podléhající obdobné povinnosti mlčenlivosti“.

Další výjimky ze zákazu zpracovávání osobních zdravotních údajů mohou být z důvodu významného veřejného zájmu a s výhradou vhodných ochranných opatření stanoveny ve vnitrostátních právních předpisech členských států nebo v rozhodnutí vnitrostátních orgánů pro ochranu údajů v členských státech (14).

5.   KDO JE KDO V SVVR? OTÁZKA SPOLEČNÉ SPRÁVY

SVVR byl vytvořen jako systém pro více uživatelů, který prostřednictvím vhodných technických prostředků, včetně různých strukturovaných komunikačních kanálů, spojuje určené kontaktní osoby z orgánů příslušných pro veřejné zdraví v členských státech EHP (dále jen „národní kontaktní místa SVVR“), Komisi, ECDC a v omezené míře rovněž WHO.

Každý z těchto účastníků SVVR je zvláštním uživatelem systému, ačkoliv přístup k informacím vyměňovaným v rámci systému byl upraven vytvořením různých uživatelských profilů a „selektivních“ komunikačních kanálů, které poskytují vhodná ochranná opatření, aby bylo zajištěno dodržování použitelných pravidel ochrany údajů.

Systém sestává ze dvou hlavních komunikačních kanálů. První kanál, tzv. kanál pro „obecné zprávy“, umožňuje orgánu příslušnému pro veřejné zdraví v daném členském státě sdělit všem národním kontaktním místům SVVR, Komisi, ECDC a WHO informace týkající se událostí způsobených přenosnými nemocemi s potenciálním rozsahem na úrovni EU, na něž se vztahují oznamovací povinnosti stanovené v rozhodnutí č. 2119/98/ES (15).

Prostřednictvím kanálu pro obecné zprávy nejsou obvykle předávány žádné informace o zdraví nebo jiné osobní údaje identifikovaných nebo identifikovatelných fyzických osob. Do systému byla zavedena zvláštní ochranná opatření s cílem zamezit nezákonnému zpracování údajů v rámci tohoto kanálu (viz oddíl 7).

Při výskytu událostí způsobených přenosnými nemocemi s potenciálním rozsahem na úrovni EU však může být nezbytné, aby dotčené členské státy ve vzájemné spolupráci provedly zvláštní opatření na vysledování kontaktů za účelem vysledování nakažených osob a ostatních osob vystavených nákaze s cílem zabránit šíření těchto vážných nemocí.

Aby bylo zajištěno dodržování pravidel ochrany údajů, byla zavedena zvláštní ochranná opatření k omezení výměny údajů k vysledování kontaktů a zdravotních údajů fyzických osob pouze na členské státy, kterých se přímo týká postup vysledování kontaktů, a vyloučit ostatní členské státy sítě, Komisi a ECDC, pokud jde o přístup k těmto údajům (16).

Za tímto účelem byl do SVVR zabudován tzv. kanál pro „selektivní zprávy“ s cílem zaručit výhradní komunikační kanál mezi členskými státy, jichž se týká dané opatření na vysledování kontaktů.

Výměnou osobních údajů prostřednictvím kanálu pro selektivní zprávy přijímají příslušné orgány úlohu „správce“ v souvislosti se zpracováním těchto osobních údajů, a přebírají proto odpovědnost za zákonnost zpracování a za zajištění splnění povinností týkajících se ochrany údajů, jež jsou stanoveny v použitelných vnitrostátních právních předpisech provádějících směrnici 95/46/ES.

Kdo je to „správce“?

Pro účely směrnice 95/46/ES se „správcem“ rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů“ (17).

Uživatelé v Komisi a ECDC nemají v zásadě přístup k osobním údajům vyměňovaným prostřednictvím kanálu pro selektivní zprávy (18). Z technických důvodů však má konečnou odpovědnost za centrální uchovávání údajů v SVVR Komise jakožto správce systému a koordinátor. V této své funkci odpovídá Komise rovněž za zaznamenání, uchovávání a další zpracování osobních údajů oprávněných uživatelů SVVR, jež jsou nezbytné k provozování systému.

SVVR je proto jasným příkladem společné správy, kdy je odpovědnost za zajištění ochrany údajů na různých úrovních rozdělena mezi Komisi a členské státy. Komise a členské státy jakožto společní správci se mimoto rozhodly pověřit od roku 2005 každodenním fungováním elektronické aplikace SVVR ECDC, které tento úkol plní jménem Komise. V návaznosti na toto pověření převzala agentura jakožto „zpracovatel“ odpovědnost za zajištění důvěrné povahy a bezpečnosti zpracování údajů v systému v souladu s povinnostmi stanovenými v článcích 21 a 22 nařízení (ES) č. 45/2001.

Kdo je „zpracovatelem“ a jaké jsou jeho povinnosti?

Pro účely nařízení (ES) č. 45/2001 se „zpracovatelem“ rozumí „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje pro správce“ (19).

Nařízení předpokládá, že probíhá-li zpracování z pověření správce, zvolí si tento zpracovatele, který poskytuje dostatečná ochranná opatření s ohledem na technická a organizační bezpečnostní opatření, která jsou potřebná pro zajištění bezpečnosti údajů. Správce má konečnou odpovědnost za zajištění dodržování těchto opatření. Povinnosti stanovené v článcích 21 a 22 nařízení s ohledem na důvěrnou povahu a bezpečnost zpracování však má rovněž zpracovatel (20).

6.   POUŽITELNÉ ZÁSADY OCHRANY ÚDAJŮ

Při zpracovávání osobních údajů v SVVR musí být dodržován soubor zásad ochrany údajů, který je stanoven v nařízení (ES) č. 45/2001 a směrnici 95/46/ES.

Jakožto správci odpovídají Komise a příslušné orgány v členských státech za zajištění dodržování těchto zásad pokaždé, když zpracovávají osobní údaje prostřednictvím SVVR. Níže je uveden výběr hlavních zásad ochrany údajů. Tímto nejsou dotčeny ostatní použitelné požadavky na ochranu údajů stanovené v příslušných právních nástrojích, s ohledem na něž je vodítko uvedeno v jednotlivých oddílech těchto pokynů. Uživatelé SVVR se zejména vyzývají, aby si pečlivě pročetli oddíl 8 o poskytování informací subjektům údajů a oddíl 9 o přístupu k údajům a dalších právech subjektů údajů.

6.1   Zásady týkající se zákonnosti zpracování a omezení účelu

Správci by měli zajistit, aby byly osobní údaje zpracovávány korektně a zákonným způsobem. Tato zásada především znamená, že by shromažďování a další zpracování osobních údajů mělo být založeno na legitimních důvodech stanovených v právních předpisech (21). Za druhé, osobní údaje mohou být shromažďovány pouze pro stanovené účely, výslovně vyjádřené a legitimní a nesmí být dále zpracovávány způsobem neslučitelným s těmito účely (22).

6.2   Zásady týkající se kvality údajů

Správci by měli zajistit, aby byly osobní údaje přiměřené, podstatné a nepřesahující míru s ohledem na účely, pro které jsou shromažďovány. Údaje by měly být mimoto přesné a aktualizované (23).

6.3   Zásady týkající se uchovávání údajů

Správci by měli zajistit, aby byly osobní údaje uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro uskutečnění cílů, pro které jsou shromažďovány nebo dále zpracovávány (24).

6.4   Zásady týkající se důvěrné povahy a bezpečnosti údajů

Správci by měli zajistit, aby jakákoli osoba, která má přístup k osobním údajům a která jedná z jejich pověření nebo z pověření zpracovatele, jakož i samotný zpracovatel mohli tyto údaje zpracovávat pouze podle pokynů správce (25). Správci musí mimoto přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, jakož i proti jakékoli jiné podobě nedovoleného zpracování (26).

V zájmu správného a účinného uplatňování výše uvedených zásad v souvislosti s používáním systému se uživatelům SVVR zejména doporučuje:

K zajištění toho, aby mělo zpracování právní základ, aby byly údaje shromažďovány k legitimním a výslovně vyjádřeným účelům a aby nebyly dále zpracovávány způsobem neslučitelným s těmito účely, měli by uživatelé SVVR pokaždé, když shromažďují osobní údaje nebo je jinak zpracovávají prostřednictvím SVVR:

—

posoudit v každém jednotlivém případě, zda je provedení koordinovaných opatření na vysledování kontaktů a následná aktivace selektivního kanálu SVVR k výměně údajů souvisejících s vysledováním kontaktů a jiných osobních údajů odůvodněné s ohledem na povahu nemoci a vědecky prokázané přínosy vysledování kontaktů pro zabránění dalšímu šíření nemoci či jeho omezení s přihlédnutím k posouzení rizik, které poskytly zdravotnické orgány v členských státech a stávající vědecké agentury, zejména ECDC a WHO,

—

nepoužívat kanál pro obecné zprávy k výměně údajů k vysledování kontaktů a jiných osobních údajů. Měli by zejména zajistit, aby tyto údaje nebyly obsaženy v textu obecných zpráv, které odesílají, v jejich přílohách či v jakékoli jiné formě. Použití kanálu pro obecné zprávy pro účely vysledování kontaktů by bylo neoprávněné a nepřiměřené, jelikož by vedlo k sdělení osobních údajů příjemcům (včetně Komise a ECDC), jichž se netýká daný postup vysledování kontaktů a které nemusí mít k těmto údajům přístup,

—	při využívání selektivní funkce přijmout přístup založený na „potřebě vědět“ a vybrat jako příjemce selektivních zpráv obsahujících osobní údaje pouze příslušné orgány v členských státech, které musí v rámci daného postupu vysledování kontaktů spolupracovat.

Uživatelé SVVR by měli být obzvláště obezřetní při výměně citlivých údajů týkajících se zdravotního stavu identifikované nebo identifikovatelné osoby prostřednictvím kanálu pro selektivní zprávy, například údajů o nakažené osobě nebo potenciálně ohrožených osobách, jejichž kontaktní údaje nebo jiné osobní údaje jsou současně sdělovány prostřednictvím SVVR, takže dotyčnou osobu lze přímo nebo nepřímo identifikovat. V tomto případě platí všechna výše uvedená doporučení; uživatelé SVVR by měli mít mimoto na paměti, že výměna citlivých údajů je podle směrnice 95/46/ES přípustná pouze ve velmi omezených případech. Zejména (27):

—

Osoba, jejíž údaje jsou shromažďovány, udělila výslovný souhlas k takovému zpracování (čl. 8 odst. 2 písm. a) směrnice 95/46/ES). Nutnost včasného zásahu v případě mimořádné zdravotnické situace však může znamenat, že není možné poskytnout subjektům údajů veškeré informace, které potřebují pro udělení informovaného souhlasu (viz oddíl 8 o poskytování informací subjektům údajů). V době shromažďování těchto údajů nemusí být mimoto nutně známa možnost, že by tyto údaje mohly být případně sděleny prostřednictvím SVVR;

—

jestliže subjekty údajů neudělí souhlas, lze zpracování zdravotních údajů považovat za oprávněné, je-li nezbytné pro „účely zdravotní prevence, lékařských diagnóz, lékařské péče a ošetřování nebo správy zdravotnických služeb“, pokud tyto údaje zpracovává odborný zdravotnický pracovník, který je vázán povinností zachovávat profesní tajemství, nebo jiná osoba rovněž podléhající obdobné povinnosti mlčenlivosti (čl. 8 odst. 3 směrnice 95/46/ES). Jinými slovy, uživatelé SVVR by měli pokaždé, když odesílají selektivní zprávu obsahující citlivé zdravotní údaje příjemcům v jiných členských státech, posoudit, zda je sdělení těchto údajů naprosto nezbytné k tomu, aby mohly příslušné orgány v dotčených členských státech provést zvláštní opatření potřebná s ohledem na některý z výše uvedených účelů. Uživatelům SVVR se rovněž připomíná, že další důvody pro zpracovávání zdravotních údajů mohou být stanoveny v jejich příslušných vnitrostátních právních předpisech provádějících směrnici 95/46/ES nebo v rozhodnutí jejich vnitrostátního orgánu pro ochranu údajů (28).

V zájmu zajištění kvality osobních údajů vyměňovaných prostřednictvím systému musí uživatelé SVVR zejména před odesláním selektivní zprávy uvážit, zda:

—

Osobní údaje, které si chtějí vyměnit, jsou naprosto nezbytné pro účinný postup vysledování kontaktů. Jinými slovy, příslušný orgán odesílající zprávu by měl orgánu (orgánům) v jiném dotčeném členském státě (členských státech) poskytnout pouze ty osobní údaje, které jsou nezbytné k jednoznačné identifikaci nakažené osoby nebo osob vystavených nákaze. Orientační seznam osobních údajů, jež je možno vyměňovat za účelem vysledování kontaktů, připojený jako příloha rozhodnutí 2009/547/ES, by se neměl považovat za obecné a bezpodmínečné povolení zpracovávat tyto kategorie údajů. Současně je zapotřebí mimořádná obezřetnost, pokud jde o zpracování jiných osobních údajů, než jsou údaje uvedené ve zmíněné příloze, jelikož je pravděpodobné, že by sdělení těchto údajů bylo nadbytečné a nepřiměřené. Místo toho je nutno v každém jednotlivém případě posoudit, zda je zahrnutí určitých osobních údajů naprosto nezbytné pro účely daného postupu vysledování kontaktů.

Další zpracování a uchovávání osobních údajů mimo SVVR:

Je nanejvýš důležité uvést, že vnitrostátní právní předpisy o ochraně údajů, které provádějí směrnici 95/46/ES, se vztahují rovněž na uchovávání a další zpracování osobních údajů získaných prostřednictvím systému mimo SVVR. K tomu může dojít například tehdy, pokud osobní údaje uchovávané centrálně systémem jsou posléze uloženy v místních PC uživatelů nebo v databázích vytvořených na vnitrostátní úrovni nebo pokud jsou tyto údaje předány příslušným orgánem odpovědným za jejich zpracování v SVVR jiným orgánům či třetím stranám. V těchto případech se uživatelům SVVR připomíná, že:

—	uchovávání a další zpracování mimo SVVR nesmí být neslučitelné s původními účely, pro které byly údaje shromážděny a vyměněny v SVVR,

—	toto další zpracování musí mít právní základ v příslušných vnitrostátních právních předpisech o ochraně údajů; musí být nezbytné, přiměřené, podstatné a nepřesahující míru s ohledem na původní účely shromažďování v SVVR,

—	údaje musí být aktualizované a musí být vymazány, jakmile již nejsou zapotřebí pro účely, pro které byly dále zpracovávány,

—

v případě získání údajů ze SVVR a jejich sdělení třetím stranám musí správce o této situaci informovat subjekty údajů, aby bylo zaručeno korektní zpracování, ledaže to není možné nebo by to vyžadovalo neúměrné úsilí, nebo pokud jejich sdělování výslovně upravují právní předpisy (viz čl. 11 odst. 2 směrnice 95/46/ES). Vzhledem k tomu, že sdělování může být vyžadováno právními předpisy pouze jednoho dotčeného členského státu, a nemusí být proto obecně známo v ostatních členských státech, je nutno usilovat o poskytnutí informací, je-li sdělení výslovně upraveno v právních předpisech.

7.   PROSTŘEDÍ, KTERÉ JE PŘÍZNIVÉ PRO OCHRANU ÚDAJŮ

Do systému SVVR již byla zabudována řada funkcí v zájmu lepšího dodržování zásad ochrany údajů, jež jsou uvedeny v oddíle 6, a s cílem vyzvat uživatele, aby při každém použití systému uvážili aspekty ochrany údajů. Například:

—

Na stránce SVVR s přehledem zpráv je viditelně zobrazeno upozornění, které uživatele informuje, že kanál pro obecné zprávy není určen k poskytování údajů k vysledování kontaktů a jiných osobních údajů, jelikož použití tohoto kanálu může mít za následek, že tyto údaje jsou zbytečně sděleny jiným příjemcům, než jsou osoby, které k nim musí mít přístup.

—	Přístup k informacím vyměňovaným v systému byl upraven vytvořením různých uživatelských profilů a selektivních komunikačních kanálů, které poskytují vhodná ochranná opatření, aby bylo zajištěno dodržování pravidel ochrany údajů.

—	Kanál SVVR pro selektivní zprávy poskytuje výhradní komunikační kanál pro výměnu osobních údajů pouze mezi dotčenými členskými státy. Do systému byla zabudována standardní volba, která Komisi a ECDC automaticky vylučuje ze seznamu možných příjemců selektivních zpráv obsahujících osobní údaje (29).

—	Systém po dvanácti měsících ode dne odeslání zprávy automaticky vymaže všechny selektivní zprávy obsahující osobní údaje (pokud jde o více informací, viz oddíl 11 o uchovávání údajů).

—

Do systému byla zabudována funkce, která uživatelům umožňuje kdykoli přímo opravit nebo vymazat selektivní zprávy obsahující osobní údaje, které nejsou přesné, aktuální, již nejsou zapotřebí či jinak nevyhovují požadavkům na ochranu údajů. O výmazu zprávy nebo o opravě jejího obsahu systém automaticky vyrozumí ostatní uživatele SVVR účastnící se této konkrétní výměny selektivních informací, aby bylo zajištěno dodržení pravidel ochrany údajů.

—	V kanálu pro selektivní zprávy byl zpřístupněn zvláštní mechanismus, který vnitrostátním orgánům, jichž se týká daná výměna informací, umožňuje komunikovat a spolupracovat, pokud jde o žádosti subjektů údajů o přístup k údajům, jejich opravu, blokování nebo výmaz.

Ve střednědobém horizontu se předpokládá začlenění vzdělávacího modulu, který bude dostupný v aplikaci SVVR, s cílem poskytnout uživatelům SVVR rozsáhlé vysvětlení ohledně fungování systému z hlediska ochrany údajů. Používání různých vlastností a funkcí, jež mají zlepšit dodržování pravidel ochrany údajů, bude doloženo pomocí praktických příkladů.

Komise hodlá spolupracovat s členskými státy s cílem zajistit, aby byla v SVVR a při jeho případném dalším rozvoji v budoucnu hned od počátku vzata v úvahu koncepce ochrany soukromí již od návrhu (30) a aby byly při rozhodování o tom, které informace mají být vyměňovány prostřednictvím SVVR, s kým a za jakých podmínek, náležitě zohledněny zásady nezbytnosti, přiměřenosti, omezení účelu a minimalizace množství údajů.

8.   POSKYTOVÁNÍ INFORMACÍ SUBJEKTŮM ÚDAJŮ

Jedním z hlavních požadavků podle právního rámce EU pro ochranu údajů je povinnost správce údajů poskytovat subjektům údajů jednoznačné informace o zamýšleném zpracování jejich osobních údajů.

V souladu se svou koordinační úlohou v rámci SVVR a k splnění výše uvedené povinnosti (31) zpřístupnila Komise na svých internetových stránkách vyhrazených SVVR jednoznačné a zevrubné prohlášení o ochraně soukromých údajů, pokud jde o zpracování prováděné z pověření Komise a zpracování prováděné příslušnými orgány, zejména v rámci činností k vysledování kontaktů.

Odpovědnost za poskytování informací subjektům údajů však mají jakožto správci údajů rovněž příslušné vnitrostátní orgány v členských státech, a to s ohledem na příslušné zpracování v rámci SVVR.

Jaké „informace“ musí vnitrostátní orgány příslušné pro SVVR poskytovat subjektům údajů?

V případě shromažďování údajů přímo od subjektu údajů se v článku 10 směrnice 95/46/ES uvádí, že správce nebo jeho zástupce musí v okamžiku shromažďování údajů poskytnout subjektu údajů, od něhož získává údaje, alespoň dále uvedené informace, ledaže s nimi subjekt údajů již byl seznámen:

a)	totožnost správce a případně jeho zástupce;

b)	účely zpracování, pro které jsou údaje určeny;

c)	veškeré doplňující informace jako: — příjemci nebo kategorie příjemců údajů, — skutečnost, zda jsou odpovědi na otázky povinné nebo dobrovolné a případné důsledky neposkytnutí odpovědi, — existence práva na přístup k údajům, které se subjektu údajů týkají, a právo na jejich opravu,

v míře, v jaké jsou tyto doplňující informace nezbytné pro zajištění řádného zpracování údajů vůči subjektu údajů, s ohledem na zvláštní okolnosti, za jakých jsou údaje shromažďovány.

V článku 11 směrnice 95/46/ES jsou uvedeny minimální informace, které mají být poskytnuty správcem údajů, pokud údaje nebyly získány od subjektu údajů. Tyto informace musí být poskytnuty při zaznamenání osobních údajů nebo, počítá-li se se sdělením údajů třetí osobě, nejpozději při jejich prvním sdělení (32).

Z výše uvedených ustanovení vyplývá, že při shromažďování osobních údajů od fyzických osob (nebo nejpozději při jejich prvním sdělení prostřednictvím SVVR) za účelem přijetí opatření nezbytných k ochraně veřejného zdraví ve vztahu k událostem, jež mají být oznámeny podle rozhodnutí 2119/98/ES a jeho prováděcích pravidel, musí příslušné vnitrostátní orgány poskytnout přímo subjektům údajů právní oznámení obsahující informace uvedené v článcích 10 a 11 směrnice 95/46/ES. Oznámení by mělo obsahovat rovněž stručný odkaz na SVVR a na příslušné dokumenty a prohlášení o ochraně soukromých údajů na vnitrostátních internetových stránkách příslušných orgánů a rovněž na internetových stránkách Komise vyhrazených SVVR.

Přesné informace, jež mají být uvedeny v právním oznámení, se mohou mezi jednotlivými členskými státy značně lišit. Některé vnitrostátní právní předpisy stanoví rozsáhlejší povinnosti správců údajů vztahující se na poskytování dalších informací, například informace o právu subjektu údajů na nápravu, o uchovávání údajů a lhůtách pro jejich uchovávání a o opatřeních v oblasti bezpečnosti údajů atd.

Je pravdou, že potřeba včasného zásahu v případě mimořádné zdravotnické situace může znamenat, že není možné poskytnout v případě, že údaje nebyly získány od subjektu údajů, subjektům údajů oznámení, které je informuje o účelech zpracování jejich osobních údajů. V této souvislosti se v čl. 11 odst. 2 směrnice 95/46/ES uvádí, že právo subjektu údajů na informace může být omezeno v případě, že „informování subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí, nebo pokud právní předpisy výslovně upravují zaznamenávání nebo sdělování údajů. V těchto případech členské státy stanoví vhodná ochranná opatření.“

Obecněji je třeba zmínit, že podle vnitrostátních právních předpisů o ochraně údajů, které provádějí směrnici 95/46/ES, mohou platit zvláštní omezení práva subjektu údajů na informace (33). Jakékoli takovéto omezení, které je specifické pro danou zemi, by mělo být jednoznačně uvedeno v oznámeních o ochraně osobních údajů, jež jsou poskytnuta subjektům údajů, nebo v prohlášeních o ochraně osobních údajů zveřejněných na vnitrostátních internetových stránkách příslušných orgánů.

Je na příslušných vnitrostátních právních orgánech v členských státech, aby rozhodly, v jaké podobě a jak přesně předají tyto informace subjektům údajů. Jelikož většina příslušných orgánů bude provádět jiné zpracování než výměny informací v SVVR, může být způsob informování fyzických osob případně stejný jako způsob zvolený k poskytování obdobných informací pro jiné zpracování podle vnitrostátních právních předpisů. Dále se doporučuje, aby příslušné orgány aktualizovaly nebo doplnily své politiky či prohlášení týkající se ochrany osobních údajů (pokud je již mají uvedeny na svých vnitrostátních internetových stránkách) o zvláštní odkaz na výměnu osobních údajů v rámci SVVR.

Ze všech výše uvedených důvodů je nanejvýš důležité, aby příslušné orgány v členských státech při vypracování standardních právních oznámení a prohlášení o ochraně soukromých údajů v souladu s články 10 a 11 směrnice 95/46/ES konzultovaly své příslušné vnitrostátní orgány pro ochranu údajů.

9.   PŘÍSTUP K OSOBNÍM ÚDAJŮM A DALŠÍ PRÁVA SUBJEKTŮ ÚDAJŮ

Požadavky na ochranu údajů, které souvisí s poskytováním informací subjektům údajů a jež byly zkoumány v předchozím oddíle 8, mají v konečném důsledku zajistit transparentnost zpracovávání osobních údajů. Transparentnost je rovněž základním cílem ustanovení o právu subjektu údajů na přístup, jež je stanoveno v právních nástrojích EU v oblasti ochrany údajů (34).

Co je „právo subjektu údajů na přístup k údajům“?

Správci údajů musí každému subjektu údajů zaručit právo získat bez nepřiměřeného prodlení nebo nadměrných nákladů potvrzení, že údaje, které se ho týkají, jsou či nejsou zpracovávány, jakož i informace týkající se účelů zpracování a příjemců, kterým mohou být údaje sdělovány.

Správci údajů musí subjektům údajů zaručit rovněž právo získat opravu, výmaz nebo blokování údajů, jejichž zpracování není v souladu s použitelnými právními předpisy o ochraně údajů, například z důvodů neúplné nebo nepřesné povahy údajů.

Správci údajů musí rovněž oznámit třetí osobě, které údaje byly sděleny, veškeré opravy, výmazy nebo blokování provedené na základě oprávněné žádosti subjektu údajů, pokud se to neukáže jako nemožné nebo to nevyžaduje nepřiměřené úsilí.

Jakožto správci mají Komise a členské státy společnou odpovědnost za zajištění práva na přístup k osobním údajům zpracovaným v SVVR, jejich opravu, blokování a výmaz za níže uvedených podmínek.

Komise odpovídá za zajištění přístupu k osobním údajům národních kontaktních míst SVVR a za vyřízení souvisejících žádostí o opravu, blokování a výmaz. Národní kontaktní místa se vyzývají, aby prostudovaly zvláštní ustanovení v zevrubném prohlášení o ochraně osobních údajů na internetových stránkách Komise vyhrazených SVVR (35), pokud jde o podrobnější informace o uplatňování jejich práv jakožto subjektů údajů.

Uživatelé SVVR jsou informováni rovněž o tom, že do systému již byla zabudována funkce, která jim umožňuje přímo měnit jejich osobní údaje. Samotní uživatelé však nemohou měnit datová pole, v nichž je identifikován daný účet SVVR (akreditovaná e-mailová adresa uživatele, typ účtu atd.), aby se zabránilo riziku, že by přístup do systému získali neoprávnění uživatelé. Žádost o změnu těchto datových polí je proto nutno zaslat správci údajů v Komisi, jak je uvedeno v zevrubném prohlášení o ochraně osobních údajů na internetových stránkách Komise vyhrazených SVVR.

Za vyřizování žádostí subjektů údajů týkajících se údajů k vysledování kontaktů, zdravotních údajů a jiných osobních údajů vyměňovaných mezi členskými státy prostřednictvím SVVR odpovídají příslušné orgány podílející se na dané výměně selektivních informací. Tato odpovědnost je upravena v příslušných ustanoveních vnitrostátních právních předpisů o ochraně údajů, které provádějí směrnici 95/46/ES.

Je však třeba uvést, že podle vnitrostátních právních předpisů o ochraně údajů, které provádějí směrnici 95/46/ES, mohou platit zvláštní omezení práv subjektů údajů na přístup k údajům, jejich opravu, výmaz nebo blokování (36). Jakékoli takovéto omezení musí být jednoznačně uvedeno v oznámeních o ochraně soukromých údajů poskytnutých subjektům údajů nebo v prohlášeních o ochraně soukromých údajů zveřejněných na vnitrostátních internetových stránkách příslušných orgánů. Kontaktním místům SVVR se proto doporučuje, aby se obrátili na své vnitrostátní orgány pro ochranu údajů a vyžádaly si více informací o této záležitosti.

Složitost SVVR, kdy se na společném zpracování podílí více uživatelů, vyžaduje jednoznačný a jednoduchý postup s ohledem na právo subjektu údajů na přístup k údajům, jelikož subjekty údajů nejsou obeznámeny s fungováním systému a mělo by být zajištěno, že jsou s to účinně uplatňovat svá práva.

Doporučovaným postupem je, aby v případě, že se subjekt údajů domnívá, že jeho osobní údaje jsou zpracovávány v SVVR a chce k nim získat přístup nebo je nechat vymazat či opravit, měl by mít možnost obrátit se na kterýkoli z příslušných vnitrostátních orgánů, s nimiž byl v kontaktu nebo které shromáždily jeho údaje v souvislosti s konkrétní událostí představující hrozbu pro veřejné zdraví (např. orgán v zemi, jejímž občanem subjekt údajů je, i orgán v zemi, v níž dotyčná osoba pobývala v době výskytu události) a rovněž na jakýkoli jiný orgán podílející se na dané výměně informací ve vztahu k provedení opatření na vysledování kontaktů.

Žádný příslušný orgán podílející se na dotyčné výměně informací by neměl odmítnout přístup k údajům, jejich opravu nebo výmaz z toho důvodu, že dotyčné údaje nezavedl do SVVR nebo že by se měl subjekt údajů obrátit na jiný příslušný orgán. Pokud žádost subjektu údajů obdrží jiný příslušný orgán, než je orgán, který odeslal původní informace prostřednictvím kanálu pro výměnu selektivních informací, měl by přijímající orgán žádost prostřednictvím zvláštního mechanismu uvedeného v oddíle 7 postoupit příslušnému orgánu, který odeslal původní zprávu a který o žádosti rozhodne.

Před vydáním rozhodnutí může příslušný orgán, jenž odeslal informace do systému, případně kontaktovat ostatní příslušné orgány, které se podílely na výměně informací či se jich jinak týká žádost subjektu údajů, a to prostřednictvím zvláštního mechanismu uvedeného v oddíle 7.

Subjekty údajů by měly být informovány rovněž o tom, že pokud nejsou spokojeny s obdrženou odpovědí, mohou se obrátit na jiný příslušný orgán, který se podílel na výměně informací. Subjekty údajů mají každopádně právo podat stížnost vnitrostátnímu orgánu pro ochranu údajů jednoho z těchto příslušných orgánů, jenž jim nejlépe vyhovuje. Je-li to nezbytné a vhodné, měly by vnitrostátní orgány pro ochranu údajů při vyřizování stížností vzájemně spolupracovat (článek 28 směrnice 95/46/ES).

V návaznosti na zvláštní doporučení, které uvedl EIOÚ ve svém stanovisku, zavedla Komise do SVVR novou funkci, která umožňuje provést na internetu opravu a výmaz selektivních zpráv obsahujících osobní údaje, jež nejsou přesné, aktuální, již nejsou zapotřebí či jinak nevyhovují požadavkům na ochranu údajů, za účelem dodržování pravidel ochrany údajů.

10.   BEZPEČNOST ÚDAJŮ

Přístup do systému je omezen na oprávněné uživatele z Komise a ECDC a na oficiálně určená národní kontaktní místa SVVR. Přístup je chráněn pomocí zabezpečeného a individualizovaného uživatelského účtu a hesla.

Postupy zpracovávání osobních údajů v SVVR jsou stanoveny s odkazem na požadavky uvedené v článcích 21 a 22 nařízení (ES) č. 45/2001.

11.   UCHOVÁVÁNÍ ÚDAJŮ

V souladu s požadavky na ochranu údajů podle čl. 4 odst. 1 písm. e) nařízení (ES) č. 45/2001 a čl. 6 odst. 1 písm. e) směrnice 95/46/ES systém po dvanácti měsících ode dne odeslání zpráv automaticky vymaže veškeré selektivní zprávy obsahující osobní údaje.

Toto ochranné opatření, které je zabudováno do návrhu systému, však uživatele SVVR nezprošťuje povinnosti přijmout opatření k odstranění osobních údajů, které již nejsou zapotřebí, ze systému před uplynutím stanovené jednoleté lhůty, jelikož jsou výhradně a individuálně odpovědní za vlastní zpracování v rámci kanálu pro selektivní zprávy.

Za tímto účelem zavedla Komise do SVVR novou funkci, která uživatelům umožňuje kdykoli přímo vymazat selektivní zprávy obsahující osobní údaje, které již nejsou zapotřebí.

Je třeba rovněž připomenout, že příslušné vnitrostátní orgány odpovídají za dodržování vlastních pravidel ochrany údajů, pokud jde o uchovávání osobních údajů, jež jsou stanovena v příslušných právních předpisech provádějících směrnici 95/46/ES. Automatický výmaz osobních údajů uchovávaných v systému po jednom roce nebrání uživatelům SVVR v tom, aby stejné informace uchovávali mimo SVVR po jinou (např. delší) dobu, pokud je to v souladu s povinnostmi vyplývajícími z příslušných vnitrostátních právních předpisů o ochraně údajů a pokud jsou lhůty stanovené ve vnitrostátních právních předpisech slučitelné s požadavky stanovenými v čl. 6 odst. 1 písm. e) směrnice 95/46/ES.

12.   SPOLUPRÁCE S VNITROSTÁTNÍMI ORGÁNY PRO OCHRANU ÚDAJŮ

Příslušné orgány se vybízejí, aby si od svých příslušných vnitrostátních orgánů pro ochranu údajů vyžádaly doporučení, zejména pokud se setkají s problémy souvisejícími s ochranou údajů, jimiž se tyto pokyny nezabývají.

Příslušné orgány si musí být vědomy rovněž toho, že podle vnitrostátních právních předpisů provádějících směrnici 95/46/ES může být nezbytné, aby své příslušné orgány pro ochranu údajů vyrozuměly o vlastních činnostech v souvislosti se zpracováváním údajů v SVVR. V některých členských státech může být dokonce zapotřebí předchozí povolení vnitrostátního orgánu pro ochranu údajů.

---

(1)  ECDC Komisi podporuje a je jí nápomocno při provozování aplikace SVVR. Tento úkol byl ECDC svěřen nařízením Evropského parlamentu a Rady (ES) č. 851/2004 ze dne 21. dubna 2004 o zřízení Evropského střediska pro prevenci a kontrolu nemocí a zejména článkem 8 tohoto nařízení. (Úř. věst. L 142, 30.4.2004, s. 1).

(2)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS

(3)  Kategorie přenosných nemocí, na něž se síť vztahuje, jsou omezeny na kategorie nemocí uvedené v příloze rozhodnutí č. 2119/98/ES.

(4)  Čl. 2 písm. a) směrnice 95/46/ES a čl. 2 písm. a) nařízení (ES) č. 45/2001.

(5)  Článek 4 rozhodnutí č. 2119/98/ES.

(6)  Příloha I rozhodnutí 2000/57/ES o vymezení „událostí“ jež mají být oznamovány v rámci SVVR.

(7)  Článek 6 rozhodnutí č. 2119/98/ES.

(8)  Objasnění legitimních účelů s ohledem na zpracování osobních údajů v SVVR za účelem zahrnutí údajů k „vysledování kontaktů“ bylo výsledkem změn rozhodnutí Komise 2000/57/ES zavedených rozhodnutím Komise 2009/547/ES.

(9)  Čl. 2 písm. b) směrnice 95/46/ES a čl. 2 písm. b) nařízení (ES) č. 45/2001.

(10)  Pokud jde o definici „správce“, viz oddíl 5 níže.

(11)  Orientační seznam osobních údajů, jež mohou být vyměňovány pro účely vysledování kontaktů, je uveden v příloze rozhodnutí 2009/547/ES.

(12)  Článek 1 a příloha I rozhodnutí 2000/57/ES o vymezení „událostí“ jež mají být oznamovány v rámci SVVR.

(13)  Článek 2a rozhodnutí 2000/57/ES zavedený rozhodnutím 2009/547/ES.

(14)  Jak je stanoveno v čl. 8 odst. 4 směrnice 95/46/ES.

(15)  Viz zejména články 4, 5 a 6 tohoto rozhodnutí.

(16)  Článek 2a rozhodnutí 2000/57/ES zavedený rozhodnutím 2009/547/ES.

(17)  Definice obsažená v čl. 2 písm. d) směrnice 95/46/ES.

(18)  Výjimečně se Komise může podílet na výměně osobních údajů prostřednictvím selektivního kanálu SVVR, je-li to naprosto nezbytné za účelem koordinace nebo umožnění včasného a účinného provedení opatření v oblasti veřejného zdraví, která se vyžadují podle rozhodnutí č. 2119/98/ES a jeho prováděcích pravidel. V těchto případech Komise zajistí, aby bylo zpracování zákonné a aby bylo provedeno v souladu s ustanoveními nařízení (ES) č. 45/2001.

(19)  Definice obsažená v čl. 2 písm. e) nařízení (ES) č. 45/2001.

(20)  Tyto zásady jsou obsaženy v čl. 23 odst. 1 nařízení (ES) č. 45/2001 o zpracování osobních údajů z pověření správce.

(21)  Zásada zákonnosti zpracování vyplývá ze společných ustanovení čl. 6 odst. 1 písm. a), článku 7 a článku 8 směrnice 95/46/ES. Viz rovněž odpovídající ustanovení nařízení (ES) č. 45/2001.

(22)  Zásada omezení účelu je vyslovena v čl. 6 odst. 1 písm. b) směrnice 95/46/ES a v odpovídajícím ustanovení čl. 4 odst. 1 písm. b) nařízení (ES) č. 45/2001.

(23)  Čl. 6 odst. 1 písm. c) a d) směrnice 95/46/ES a čl. 4 odst. 1 písm. c) a d) nařízení (ES) č. 45/2001.

(24)  Čl. 6 odst. 1 písm. e) směrnice 95/46/ES a čl. 4 odst. 1 písm. e) nařízení (ES) č. 45/2001.

(25)  Zásada důvěrné povahy je stanovena v článku 16 směrnice 95/46/ES a odpovídajícím ustanovení článku 21 nařízení (ES) č. 45/2001.

(26)  Zásada bezpečnosti údajů je vyslovena v článku 17 směrnice 95/46/ES a odpovídajícím ustanovení článku 22 nařízení (ES) č. 45/2001.

(27)  Pokud jde o úplný seznam výjimek ze zákazu zpracovávání určitých zvláštních kategorií údajů, včetně zdravotních údajů, viz čl. 8 odst. 2, 3, 4 a 5 směrnice 95/46/ES.

(28)  Čl. 8 odst. 4 směrnice 95/46/ES.

(29)  Uživatelé SVVR však mají rovněž alternativní možnost použít tento kanál k selektivnímu sdílení informací týkajících se technických záležitostí, které nezahrnují přenos osobních údajů. Je-li místo standardní možnosti zvolena tato alternativní možnost, může orgán, který zprávu odesílá, vybrat jako příjemce Komisi a ECDC. Tato funkce byla v systému zavedena s cílem zohlednit institucionální úlohu Komise při koordinaci otázek týkajících se řízení rizik a událostí a úlohu ECDC při plnění úkolů v oblasti posuzování rizik.

(30)  Podle zásady „ochrany soukromí již od návrhu“ musí být informační a komunikační technologie (IKT) navrhovány a vyvíjeny s přihlédnutím k požadavkům na ochranu soukromí a údajů již při samotném vzniku technologie a ve všech fázích jejího vývoje.

(31)  Informační povinnost uložená Komisi je založena na článcích 11 a 12 nařízení (ES) č. 45/2001.

(32)  Informace, jež mají být poskytovány, jsou uvedeny v článku 10 s připojením dotčených kategorií údajů. Tyto informace se zjevně nevyžadují v případě shromažďování údajů přímo od subjektu údajů, který je informován o dotčených kategoriích údajů, jelikož tyto kategorie údajů jsou shromažďovány.

(33)  V čl. 13 odst. 1 směrnice 95/46/ES o výjimkách a omezeních se uvádí: „Členské státy mohou přijmout legislativní opatření s cílem omezit rozsah povinností a práv uvedených v čl. 6 odst. 1, v článku 10, v čl. 11 odst. 1 a v článcích 12 a 21, pokud toto omezení představuje opatření nezbytné pro zajištění: a) bezpečnosti státu; b) obrany; c) veřejné bezpečnosti; d) předcházení trestným činům a jejich vyšetřování, odhalování a stíhání nebo nedodržování deontologických pravidel pro regulovaná povolání; e) významného hospodářského nebo finančního zájmu členského státu nebo Evropské unie včetně měnové, rozpočtové a daňové oblasti; f) kontrolní, inspekční nebo regulační funkce vyplývající, i pouze příležitostně, z výkonu veřejné moci v případech uvedených v písmenech c), d) a e); g) ochrany subjektu údajů nebo práv a svobod druhých.“

(34)  Článek 12 směrnice 95/46/ES a články 13 až 18 nařízení (ES) č. 45/2001.

(35)  Prohlášení o ochraně soukromých údajů je všem uživatelům SVVR k dispozici rovněž v zabezpečené části aplikace SVVR.

(36)  Čl. 13 odst. 1 směrnice 95/46/ES.