zvláštní vydání v bulharském jazyce: Kapitola 19 Svazek 007 S. 129 - 138
zvláštní vydání v rumunském jazyce: Kapitola 19 Svazek 007 S. 129 - 138
Zvláštní vydání v chorvatském jazyce: Kapitola 19 Svazek 008 S. 92 - 101
English
Select your language
Official EU languages:
Access to European Union law
EUR-Lex
Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
Document 32005Q0319(01)
Rules of Procedure on the processing and protection of personal data at Eurojust (Text adopted unanimously by the college of Eurojust during the meeting of 21 October 2004 and approved by the Council on 24 February 2005)
Ustanovení vnitřních pravidel Eurojustu pro zpracování a ochranu osobních údajů (Znění přijaté jednomyslně kolegiem Eurojustu na zasedání dne 21. října 2004 a schválené Radou dne 24. února 2005)
Ustanovení vnitřních pravidel Eurojustu pro zpracování a ochranu osobních údajů (Znění přijaté jednomyslně kolegiem Eurojustu na zasedání dne 21. října 2004 a schválené Radou dne 24. února 2005)
Úř. věst. C 68, 19.3.2005, pp. 1–10
(ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, SK, SL, FI, SV) Dokument byl zveřejněn v rámci zvláštního vydání
(BG, RO, HR)
In force
Language
HTML
PDF
Official Journal
|
19.3.2005 |
CS |
Úřední věstník Evropské unie |
C 68/1 |
USTANOVENÍ VNITŘNÍCH PRAVIDEL EUROJUSTU PRO ZPRACOVÁNÍ A OCHRANU OSOBNÍCH ÚDAJŮ
(Znění přijaté jednomyslně kolegiem Eurojustu na zasedání dne 21. října 2004 a schválené Radou dne 24. února 2005)
(2005/C 68/01)
HLAVA I
DEFINICE
Článek 1
Definice
Pro účely těchto pravidel a jakéhokoliv dalšího znění, kterým se provádějí, se:
|
a) |
„rozhodnutím o Eurojustu“ rozumí rozhodnutí Rady ze dne 28. února 2002 o zřízení Eurojustu za účelem posílení boje proti závažné trestné činnosti, pozměněné rozhodnutím Rady ze dne 18. června 2003; |
|
b) |
„kolegiem“ rozumí kolegium Eurojustu podle článku 10 rozhodnutí o Eurojustu; |
|
c) |
„národním členem“ rozumí národní člen vyslaný každým členským státem podle čl. 2 odst. 1 rozhodnutí o Eurojustu; |
|
d) |
„asistentem“ rozumí osoba, která může pomáhat jednotlivým národním členům podle čl. 2 odst. 2 rozhodnutí o Eurojustu; |
|
e) |
„zaměstnanci Eurojustu“ rozumí správní ředitel podle článku 29 rozhodnutí o Eurojustu, jakož i zaměstnanci podle článku 30 uvedeného rozhodnutí; |
|
f) |
„inspektorem ochrany údajů“ rozumí osoba určená podle článku 17 rozhodnutí o Eurojustu; |
|
g) |
„společným kontrolním orgánem“ rozumí nezávislý orgán zřízený podle článku 23 rozhodnutí o Eurojustu; |
|
h) |
„osobními údaji“ rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjekt údajů“); identifikovatelnou osobou se rozumí osoba, kterou lze přímo nebo nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více typických složek její fyzické, fyziologické, psychické, hospodářské, kulturní nebo sociální identity; |
|
i) |
„zpracováním osobních údajů“ („zpracováním“) rozumí jakýkoli úkon nebo soubor úkonů, které jsou prováděny s osobními údaji pomocí nebo bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, používání, sdělení předáním, šířením nebo jiným zpřístupněním, srovnávání nebo propojení, jakož i blokování, výmaz nebo zničení; |
|
j) |
„systémem registrace osobních údajů“ („registračním systémem“) rozumí jakýkoli strukturovaný soubor osobních údajů přístupných v souladu se zvláštními kritérii bez ohledu na to, zda je tento soubor centralizovaný, decentralizovaný nebo funkčně či zeměpisně rozptýlený; |
|
k) |
„správcem“ rozumí osoba, která sama nebo společně s ostatními stanoví účel a prostředky zpracování osobních údajů; Stanoví-li vnitrostátní nebo evropské právní předpisy nebo nařízení účel a prostředky zpracování, lze správce nebo konkrétní kritéria pro jeho jmenování určit vnitrostátními nebo evropskými právními předpisy; |
|
l) |
„zpracovatelem“ rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, jež jménem správce zpracovává osobní údaje; |
|
m) |
„třetí osobou“ rozumí jakákoli fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt než je subjekt údajů, správce, zpracovatel a osoby, jež jsou oprávněné zpracovávat údaje pod přímým dohledem správce nebo zpracovatele; a |
|
n) |
„příjemcem“ rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, jímž jsou údaje zpřístupněné, bez ohledu na to, zda jsou třetí osobou či nikoli; |
HLAVA II
OBLAST PŮSOBNOSTI A STRUKTURA
Článek 2
Oblast působnosti
1. Uvedená pravidla se vztahují na zpracování osobních údajů Eurojustem plně nebo částečně automatizovaným způsobem nebo jiným než automatizovaným způsobem zpracování osobních údajů,, jež jsou součástí registračního systému nebo jsou podle rozhodnutí o Eurojustu určeny k tomu, aby byly součástí registračního systému.
2. Tato pravidla se vztahují na veškeré informace shromážděné a následně zpracované Eurojustem, tedy informace jím vypracované nebo získané, jež jsou v jeho vlastnictví a týkají se politik, činností a rozhodnutí spadající do pravomoci Eurojustu.
3. Tato pravidla se nevztahují na informace, jež byly předány národnímu členovi Eurojustu výhradně v rámci jeho soudních pravomocí, jak stanovuje čl. 9 odst. 3 rozhodnutí o Eurojustu.
Článek 3
Struktura
1. Veškeré osobní údaje jsou považovány za údaje související s případy nebo nesouvisející s případy. Osobní údaje jsou považovány za údaje související s případy, pokud souvisejí s operativními úkoly Eurojustu ve smyslu článků 5, 6 a 7 rozhodnutí o Eurojustu.
2. Údaje související s případy jsou zpracovány v souladu s hlavou III a IV. Údaje nesouvisející s případy jsou zpracovány v souladu s hlavou III a V.
HLAVA III
ZÁSADY OBECNÉHO POUŽÍVÁNÍ EUROJUSTEM
Článek 4
Právo na soukromí a ochranu údajů
Eurojust plně respektuje lidská práva a základní svobody jednotlivců a zejména jejich právo na soukromí v souvislosti se zpracováním osobních údajů bez ohledu na státní příslušnost nebo místo pobytu.
Článek 5
Zásady zákonnosti a nestrannost, přiměřenosti a potřeby zpracovávání
1. Osobní údaje se musí zpracovávat nestranným a zákonným způsobem.
2. Eurojust zpracovává pouze údaje, jež jsou nezbytné, přiměřené, relevantní a přiměřené vzhledem k účelu, k němuž se shromažďují nebo dále zpracovávají.
3. Eurojust definuje své zpracování a systémy zpracování v souladu s cílem, za nímž se osobní údaje, které jsou podle odstavce 2 nezbytné, shromažďují nebo dále zpracovávají. Zejména se co nejvíce využívají možnosti pseudonymů a anonymity údajů, s přihlédnutím k účelu zpracování a přiměřenosti vynaloženého úsilí.
Článek 6
Jakost údajů
1. Eurojust zajistí, aby byly osobní údaje přesné a podle potřeby aktualizované, musí být přijata veškerá opatření k tomu, aby nepřesné nebo neúplné údaje byly vymazány nebo opraveny s ohledem na účel, za nímž byly shromážděny nebo jsou dále zpracovávány.
2. Osobní údaje musí být vedeny formou, která dovoluje zjištění totožnosti subjektů údajů pouze po dobu nezbytnou pro účel, za nímž byly shromážděny nebo jsou dále zpracovávány podle čl. 5 odst.2.
Článek 7
Bezpečnost údajů
1. V souladu s článkem 22 rozhodnutí o Eurojustu a v souladu s těmito pravidly, přijme Eurojust nezbytná technická a organizační opatření na ochranu proti náhodnému nebo protiprávnímu zničení, náhodné ztrátě nebo neoprávněnému vyzrazení, pozměnění a přístupu, jakož i proti všem ostatním formám neoprávněného zpracování. Zejména musejí být přijata taková opatření, jež zajistí, že pouze osoby oprávněné k přístupu k osobním údajům mají k těmto údajům přístup.
2. Veškerá přijatá opatření musejí odpovídat rizikům, jež zpracování představuje a povaze zpracovávaných údajů.
3. Eurojust rozvíjí souhrnnou bezpečnostní politiku v souladu s čl. 22 odst.2 rozhodnutí o Eurojustu a s těmito pravidly. Tato politika plně zohlední citlivost činností prováděných jednotkou soudní spolupráce a zahrnuje pravidla o klasifikaci dokumentů, prověřování zaměstnanců pracujících pro Eurojust a opatření přijímaná v případě porušení bezpečnosti. Bezpečnostní politika Eurojustu je konzultována se společným kontrolním orgánem.
4. Každý úředník Eurojustu je odpovídajícím způsobem informován o bezpečnostní politice Eurojustu a vyžaduje se od něho, aby používal technická a organizační opatření, jež má k dispozici v souladu s používanou ochranou údajů a bezpečnostními požadavky.
Článek 8
Právo subjektů údajů na informace
1. Aniž jsou dotčena zvláštní ustanovení hlavy IV týkající se údajů souvisejících s případy a hlavy V týkající se údajů nesouvisejících s případy musí být subjektům údajů poskytnuty informace o účelu zpracování a identitě správce údajů, o příjemcích nebo kategoriích příjemců, o existenci práva na přístup k údajům a o právu tyto údaje opravit, o právu na získání dalších informací, jako je právní základ zpracování, k němuž jsou údaje určeny, lhůty pro uchovávání údajů a právo kdykoli se obrátit na společný kontrolní orgán jsou-li tyto další informace nezbytné, vzhledem k účelu a zvláštním okolnostem zpracovávání údajů, aby se z hlediska subjektu údajů zajistilo nestranné zpracování údajů.
2. Tyto informace musí být poskytnuty nejpozději v okamžiku shromažďování údajů od subjektu údajů nebo v okamžiku získání údajů od třetí osoby, v okamžiku zaznamenávání osobních údajů nebo předpokládá-li se poskytnutí údajů třetí osobě, nejpozději během prvního předání údajů nebo v případech stanovených v hlavě IV, kapitola II těchto pravidel, jakmile účely zpracování, vnitrostátního vyšetřování a stíhání, jakož i práva a svobody třetích osob pravděpodobně nebudou ohroženy.
Článek 9
Právo subjektů údajů na přístup, opravu, blokování a výmaz
1. Subjekty údajů mají právo na přístup, opravu, blokování a případně výmaz údajů o své osobě. Eurojust v případě potřeby ve spolupráci s příslušnými zúčastněnými vnitrostátními orgány stanoví postupy usnadňující výkon těchto práv subjektů údajů.
2. Inspektor ochrany údajů zajistí, aby byly subjekty údajů informovány o svých právech kdykoli o to požádají.
Článek 10
Důvěrnost zpracování
V souladu s článkem 25 rozhodnutí o Eurojustu mají všechny osoby, jež pracují pro Eurojust nebo s ním spolupracují, povinnost zachovávat o údajích mlčenlivost. Eurojust učiní veškerá nezbytná opatření k zajištění toho, aby byla tato povinnost splněna a aby veškerá porušení této povinnosti byla neprodleně oznámena inspektorovi ochrany údajů a řediteli odboru bezpečnosti, jež zajistí přijetí nezbytných opatření.
Článek 11
Vnitřní zpracovatelé
Pokud vnitrostátní nebo evropské právní předpisy nevyžadují, aby osoba jednající v rámci Eurojustu jako zpracovatel s přístupem k osobním údajům tyto údaje zpracovávala, zpracovává je pouze na příkaz správce.
Článek 12
Dotazy, žádosti o informace a stížnosti úředníků Eurojustu
1. Pro účely čl. 17 odst. 2 a 4 rozhodnutí o Eurojustu může inspektor ochrany údajů poskytnout na požádání informace jakémukoliv úředníkovi Eurojustu o činnostech Eurojustu souvisejících se zpracováním údajů. Inspektor ochrany údajů odpoví na dotazy a veškeré žádosti o informace nebo stížnosti na údajné porušení ustanovení rozhodnutí o Eurojustu, těchto pravidel nebo dalších pravidel, jež zpracování údajů Eurojustem upravují. Nikdo nesmí utrpět újmu za to, že upozornil inspektora ochrany údajů na údajné porušení ustanovení upravujících zpracování osobních údajů.
2. V rámci vyšetřování, stíhání, auditu a dalších činností spojených s ochranou údajů spolupracují všechny osoby pracující pro Eurojust s kolegiem, s národními členy, s inspektorem ochrany údajů a se společným kontrolním orgánem.
HLAVA IV
PRAVIDLA PRO ZPRACOVÁNÍ SOUVISEJÍCÍ S PŘÍPADY
KAPITOLA I
Podmínky pro legitimní zpracování osobních údajů
Článek 13
Osobní údaje zpracované v rámci činností souvisejících s případy
1. V rámci činností souvisejících s případem zpracovává Eurojust osobní údaje, je-li to nezbytné pro dosažení jeho cílů, automatizovaným způsobem nebo ve strukturovaných ručně vedených spisech v souladu s články 14, 15 a 16 rozhodnutí o Eurojustu.
2. Národní členové zpracovávající osobní údaje o jednotlivých případech stanoví účely a prostředky zpracování osobních údajů a jsou tudíž považováni za správce případně spolusprávce.
Článek 14
Zákonnost a nestrannost zpracování
V rámci činností souvisejících s případy lze osobní údaje shromažďovat a dále zpracovávat pouze je-li zpracování nezbytné pro plnění úkolů Eurojustu při posílení boje proti závažné trestné činnosti.
Článek 15
Omezení účelu
Osobní údaje zpracované Eurojustem v rámci vyšetřování a stíhání se za žádných okolností nesmějí zpracovávat za jiným účelem.
Článek 16
Jakost údajů
1. Předá-li informace Eurojustu členský stát nebo třetí strana v rámci vyšetřování nebo stíhání, neodpovídá Eurojust za správnost získaných informací, ale zajistí, aby od okamžiku přijetí byla přijata veškerá přiměřená opatření k zajištění jejich aktualizování.
2. Odhalí-li Eurojust jakoukoli nesprávnost mající vliv na dotyčný údaj, informuje třetí osobu od níž informaci získal a informaci opraví.
Článek 17
Zvláštní kategorie údajů
1. Eurojust přijme příslušná technická opatření k zajištění toho, aby byl inspektor ochrany údajů automaticky informován o výjimečných případech, při nichž se odvolává na čl. 15 odst. 4 rozhodnutí o Eurojustu. Systém řízení případů zajistí, aby takové údaje nebyly zahrnuty v rejstříku uvedeném v čl. 16 odst. 1 rozhodnutí o Eurojustu.
2. Pokud se takové údaje týkají svědků nebo obětí ve smyslu čl. 15 odst. 2 rozhodnutí o Eurojustu, systém řízení případů tyto informace pouze v případě, je-li rozhodnutí kolegia zdokumentováno.
Článek 18
Zpracování zvláštních kategorií údajů uvedených v čl. 15 odst. 3 rozhodnutí o Eurojustu
1. Eurojust přijme příslušná technická opatření k zajištění toho, aby byl inspektor ochrany údajů automaticky informován o výjimečných případech, při nichž se po časově omezenou dobu odvolává na čl. 15 odst. 3 rozhodnutí o Eurojustu.
2. Pokud se takové údaje týkají svědků nebo obětí ve smyslu čl. 15 odst. 2 rozhodnutí o Eurojustu systém řízení případů zaznamená tyto informace zaznamená pouze v případě, je-li rozhodnutí přijaté společně alespoň dvěma národními členy zdokumentováno.
KAPITOLA II
Práva subjektů údajů
Článek 19
Právo subjektů údajů na informace
1. Subjektům údajů jsou v rámci operativní práce Eurojustu poskytovány informace o zpracování, jakmile je patrné, že poskytnutí těchto informací subjektu údajů nenaruší:
|
a) |
plnění úkolů Eurojustu v posílení boje proti závažné trestné činnosti; nebo |
|
b) |
vnitrostátní vyšetřování nebo stíhání, při němž Eurojust pomáhá; nebo |
|
c) |
monitorovací, kontrolní nebo regulatorní úkoly spojené, i když jen příležitostně, s výkonem úřední moci v případech uvedených v písmenech a) a b); nebo |
|
d) |
práva a svobody třetích osob. |
2. Odvolání se na případy uvedené v odstavci 1 se zaznamená v dočasném pracovním souboru týkajícím se případu s uvedením základu pro rozhodnutí, jež bylo přijato národním členem nebo členy odpovědnými za tento soubor.
Článek 20
Právo subjektů údajů na přístup
Každý má právo na přístup ke svým osobním údajům zpracovávaným Eurojustem za podmínek stanovených v článku 19 rozhodnutí o Eurojustu.
Článek 21
Postup pro výkon práv subjektů údajů
1. Každý, kdo hodlá využít svého práva subjektu údajů může podat svou žádost Eurojustu přímo nebo prostřednictvím orgánu, který členský stát jeho výběru určí k tomuto účelu, a tento orgán žádost předá Eurojustu.
2. Žádosti o výkon práv vyřizují národní členové, kteří jsou jimi dotčeni, a kteří poskytnou kopii žádosti inspektorovi ochrany údajů k zaregistrování.
3. Národní členové, kteří jsou žádostí dotčeni, provádějí nezbytné kontroly a informují inspektora ochrany údajů o rozhodnutí přijatém v konkrétním případě. Rozhodnutí plně zohlední tato pravidla a právní předpisy vztahující se na žádosti, podle čl. 19 odst. 3 rozhodnutí o Eurojustu a na důvody zamítnutí podle čl. 19 odst. 4 rozhodnutí o Eurojustu a rovněž přihlédne ke konzultacím s příslušnými orgány činnými v trestném řízení, jež proběhnou před přijetím rozhodnutí podle čl. 19 odst. 9 rozhodnutí o Eurojustu.
4. Pokud to případ vyžaduje, provádí inspektor ochrany údajů dodatečné kontroly v systému řízení případů a zjistí-li se během těchto kontrol nějaké další důležité informace, informuje příslušného národního člena. Dotyčný národní člen na základě informací poskytnutých inspektorem ochrany údajů rozhodne o přehodnocení svého původního rozhodnutí.
5. Inspektor ochrany údajů oznámí subjektu údajů konečné rozhodnutí přijaté příslušným národním členem v souladu s čl. 19 odst. 6 rozhodnutí o Eurojustu a informuje subjekt údajů o možnostech odvolání ke společnému kontrolnímu orgánu, není-li s odpovědí spokojen Eurojustu.
6. Žádost musí být vyřízena do tří měsíců po obdržení. Pokud subjekt údajů v dané lhůtě neobdrží odpověď na svou žádost, může věc postoupit společnému kontrolnímu orgánu.
7. V případech, kdy byla žádost obdržena prostřednictvím vnitrostátního orgánu, dotyčný národní člen zajistí, aby byl tento orgán informován o odpovědi, kterou subjektu údajů od inspektora ochrany údajů obdržel.
8. Za účelem zajištění přiměřeného a včasného postoupení těchto žádostí Eurojustu, vypracuje Eurojust postupy spolupráce s vnitrostátními orgány odpovědnými za vyřizování práv subjektů údajů.
Článek 22
Informace pro třetí osoby po opravě, blokování nebo výmazu osobních údajů souvisejících s případy
Eurojust přijme příslušná technická opatření k zajištění toho, aby v případě, kdy na základě žádosti opravuje, blokuje nebo vymazává osobní údaje, byl automaticky sestaven seznam poskytovatelů a příjemců těchto údajů. Správce v souladu s čl. 20 odst. 5 rozhodnutí o Eurojustu zajistí, aby osoby, které jsou na seznamu, byly informovány o provedených změnách osobních údajů.
KAPITOLA III
Otázky bezpečnosti údajů
Článek 23
Automatizovaný řídící systém případů
1. Eurojust zavede automatizovaný systém řízení případů zahrnující registrační systém, který budou národní členové používat, budou-li se zabývat činnostmi souvisejícími s případy, a do něhož budou začleněny dočasné pracovní soubory a rejstříky vymezené v článku 16 rozhodnutí o Eurojustu. Tento systém bude zahrnovat funkce jako je řízení případů, popis pracovních toků, křížové odkazy na informace a bezpečnostní funkce.
2. Kolegium schválí systém řízení případů po konzultaci s inspektorem ochrany údajů, se společným kontrolním orgánem a s příslušnými zaměstnanci Eurojustu a tento sytém plně zohlední požadavky článku 22 a veškerá další příslušná ustanovení rozhodnutí o Eurojustu.
3. Systém řízení případů národním členům umožní v rámci úkolů uvedených v článcích 5, 6 a 7 rozhodnutí o Eurojustu zjistit účel a konkrétní cíle, proč je dočasný pracovní soubor otevřen.
Článek 24
Dočasné pracovní soubory a rejstřík
1. V souladu s čl. 14 odst. 4 a článkem 16 rozhodnutí o Eurojustu, Eurojust zřídí rejstřík údajů o vyšetřováních a dočasné pracovní soubory, jež budou rovněž obsahovat osobní údaje. Rejstřík a dočasné pracovní soubory jsou součástí systému řízení případů uvedeného v článku 23 a dodržují omezení zpracování osobních údajů stanovené v článku 15 rozhodnutí o Eurojustu.
2. Národní členové odpovídají za otevření nových dočasných pracovních souborů spojených s případy, jež vyřizují. Řídící systém automaticky přidělí každému nově otevřenému dočasnému pracovnímu souboru referenční číslo (identifikátor).
3. Eurojust vytvoří automatizovaný systém řízení případů, jež národním členům umožní omezit přístup k údajům, jež zpracovávají v dočasném pracovním souboru nebo zpřístupnit tento soubor nebo jeho části dalším národním členům, jež jsou zapojeni do případu, k němuž se soubor vztahuje. Řídící systém národním členům umožňuje určit specifické prvky osobních a neosobních údajů, jež si přejí zpřístupnit dalším národním členům, asistentům nebo oprávněným zaměstnancům, kteří jsou zapojeni do vyřizování případu jakož i vybrat informace, jež si přejí zahrnout do rejstříku v souladu s články 14 a 15 rozhodnutí o Eurojustu a zajistit, aby byly do rejstříku zahrnuty alespoň tyto položky: odkaz na dočasný pracovní soubor, druh trestné činnosti, zúčastněné členské státy, mezinárodní organizace a instituce nebo orgány třetích států, účast Evropské komise nebo institucí a subjektů EU, cíle a stav případu (neuzavřený nebo uzavřený).
4. Pokud národní člen zpřístupní dočasný pracovní soubor nebo jeho část jednomu nebo více národním členům, řídící systém zajistí, aby oprávnění uživatelé měli přístup k příslušným částem souboru, ale nesměli změnit původně vložené údaje. Do nových částí dočasného pracovního souboru však oprávnění uživatelé mohou doplnit jakoukoli relevantní informaci. Obdobně informace obsažené v rejstříku si může přečíst každý oprávněný uživatel systému, ale změnit je může pouze osoba, jež je původně uložila.
5. Inspektor ochrany údajů je automaticky tímto systémem informován o vytvoření každého nového pracovního souboru, jež obsahuje osobní údaje, a zejména o výjimečných případech, při nichž se odvolává na čl. 15 odst. 3 rozhodnutí o Eurojustu. Řídící systém případů označí tyto údaje tak, aby osobu, jež údaje do systému uložila, upozornil na povinnost uchování těchto údajů po omezenou dobu. Pokud se takové údaje týkají svědků nebo obětí ve smyslu čl. 15 odst. 2 rozhodnutí o Eurojustu, systém tyto informace zaznamená pouze v případě, je-li rozhodnutí přijaté společně nejméně dvěma národními členy zdokumentováno.
6. Systém řízení případů inspektora ochrany údajů automaticky informuje o výjimečných případech, při nichž se odvolává na čl. 15 odst. 4 rozhodnutí o Eurojustu. Pokud se takové údaje týkají svědků nebo obětí ve smyslu čl. 15 odst. 2 rozhodnutí o Eurojustu, řídící systém tyto informace zaznamená pouze v případě, je-li rozhodnutí kolegia zdokumentováno.
7. Systém řízení případů zajistí, že jsou v rejstříku zaznamenány pouze osobní údaje uvedené v čl. 15 odst. 1 písm. a) až i) a k) a v čl. 15 odst. 2 rozhodnutí o Eurojustu.
8. Informace obsažené v rejstříku musejí být dostatečné, aby byly v souladu s úkoly Eurojustu a zejména s cíli čl. 16 odst. 1 rozhodnutí o Eurojustu.
Článek 25
Registrační soubory a prověřovací záznamy
1. Eurojust přijme příslušná technická opatření pro vedení záznamů o všech operacích při zpracování osobních údajů. Řídící systém zejména zajistí, že pro účely čl. 19 odst. 3 tohoto rozhodnutí vedou záznamy o předávání a přijímání údajů podle čl. 17 odst. 2 písm. b) rozhodnutí o Eurojustu. Takový záznam v souladu s článkem 22 rozhodnutí o Eurojustu zajistí možnost ověřit a stanovit, kterým institucím se osobní údaje předávají a které osobní údaje byly uloženy do systémů automatizovaného zpracování údajů a kdy a kdo je tam uložil.
2. Inspektor ochrany osobních údajů tyto záznamy pravidelně přezkoumává, aby mohl být národním členům a kolegiu nápomocen v otázkách ochrany údajů, a v případě nesrovnalostí provede nezbytná šetření. Inspektor ochrany údajů v případě potřeby informuje kolegium a společný kontrolní orgán v souladu s postupem stanoveným v čl. 17 odst. 4 rozhodnutí o Eurojustu o každém porušení ochrany údajů prokázaném výše uvedenými záznamy. Inspektor ochrany údajů zajistí, aby byl v případě potřeby informován správní ředitel proto, aby mohl v rámci administrativy podniknout nezbytá opatření.
3. Inspektor ochrany údajů společnému kontrolnímu orgánu na požádání plně zpřístupní záznamy uvedené v odstavci 1.
Článek 26
Oprávněný přístup k osobním údajům
1. Eurojust přijme příslušná technická a organizační opatření, jimiž se zajistí, že za účelem dosažení cílů Eurojustu mají k osobním údajům zpracovávaným Eurojustem v rámci jeho operativních činností přístup pouze národní členové, asistenti a oprávnění zaměstnanci Eurojustu.
2. Tato opatření zohlední účely, ke kterým byly údaje shromážděny a dále zpracovány, nejnovější technické prostředky, požadovanou úroveň bezpečnosti s ohledem na citlivou povahu práce Eurojustu a požadavky stanovené článkem 22 rozhodnutí o Eurojustu.
3. Každý národní člen Eurojustu informuje inspektora ochrany údajů a poskytuje mu dokumenty o politice přístupu schválené v rámci národní sekce vzhledem k souborům souvisejícím s případy. Národní členové zejména zajistí přijetí a dodržování příslušných organizačních opatření, jakož i správné používání technických a organizačních opatření, jež jim poskytl Eurojust.
4. Pokud to plnění úkolů Eurojustu vyžaduje, může kolegium oprávnit další zaměstnance Eurojustu k přístupu k souborům souvisejícím s případy.
Článek 27
Audit a kontrola
1. Inspektor ochrany údajů sleduje zákonnost a dodržování opatření rozhodnutí o Eurojustu, těchto pravidel a veškerých dalších pravidel týkajících se osobních údajů, jež Eurojust používá. Za tímto účelem je inspektor ochrany údajů nápomocen národním členům v otázkách ochrany údajů a každý rok provede kontrolu dodržování výše uvedených pravidel v rámci Eurojustu. Inspektor ochrany údajů podává kolegiu a společnému kontrolnímu orgánu zprávu o výsledcích těchto kontrol jakož i o dalším důležitém vývoji v rámci Eurojustu. Inspektor ochrany údajů zajistí, aby byl v případě potřeby informován správní ředitel proto, aby mohl v rámci administrativy podniknout nezbytá opatření.
2. Společný kontrolní orgán provádí kontroly a audity podle čl. 23 odst. 7 rozhodnutí o Eurojustu.
KAPITOLA IV
Předávání údajů třetím osobám nebo organizacím
Článek 28
Předávání údajů třetím osobám nebo organizacím
1. Eurojust usiluje o to, aby měl se všemi partnery, se kterými probíhá pravidelná výměna údajů, dohody o spolupráci, jež obsahují vhodná ustanovení o výměně osobních údajů.
2. Aniž jsou dotčeny případy, kde takové dohody o spolupráci již existují, předává Eurojust třetí osobě nebo některému subjektu uvedenému v čl. 27 odst. 1 rozhodnutí o Eurojustu osobní údaje, pouze jsou-li předmětem Úmluvy Rady Evropy o ochraně osob s ohledem na automatizované zpracování osobních údajů podepsané dne 28. ledna 1981 ve Štrasburku, nebo je-li zajištěna přiměřená úroveň ochrany.
3. Rozhodnutí o předání údajů jiným stranám než stranám úmluvy Rady Evropy ze dne 28. ledna 1981 přijme zúčastněný národní člen na základě hodnocení přiměřenosti úrovně ochrany provedené inspektorem ochrany údajů. Přiměřenost úrovně ochrany se hodnotí s ohledem na okolnosti jednotlivých předání nebo kategorií předání. Hodnocení je výsledkem analýzy zejména těchto prvků: druhu údajů, účelu a doby trvání zpracování, ke kterému jsou údaje předány, země původu a země konečného určení, obecných a odvětvových právních pravidel použitelných pro daný stát či organizaci, použitelných odborných a bezpečnostních pravidel jakož i existence dostatečných záruk přijatých příjemcem převodu. Takové záruky vyplývají zejména z písemných dohod, jež zavazují předávajícího správce a příjemce, jenž nepodléhá soudní pravomoci strany úmluvy. Tyto dohody musí zahrnovat odpovídající prvky ochrany údajů. V případě, že hodnocení úrovně ochrany způsobuje potíže, inspektor ochrany údajů před zhodnocením jednotlivých převodů konzultuje společný kontrolní orgán.
4. I když nejsou splněny podmínky uvedené v předchozích odstavcích, může národní člen za výjimečných okolností uvedených v čl. 27 odst. 6 rozhodnutí o Eurojustu předat údaje třetí zemi jedině s cílem přijmout naléhavá opatření, aby se předešlo bezprostřednímu vážnému nebezpečí ohrožujícímu konkrétní osobu nebo veřejnou bezpečnost. Národní člen takové výjimečné předání zaznamená do dočasného pracovního souboru, jenž s případem souvisí, a toto oznámení odůvodní a informuje o něm inspektora ochrany údajů. Inspektor ochrany údajů přezkoumá, zda se taková předání uskutečňují pouze ve výjimečných a naléhavých případech.
KAPITOLA V
Lhůty pro uchovávání osobních údajů
Článek 29
Lhůty pro uchovávání osobních údajů
1. Eurojust přijme příslušná technická opatření, aby se zajistilo dodržování lhůt pro uchovávání osobních údajů stanovených v článku 21 rozhodnutí o Eurojustu.
2. Systém řízení případů zejména zajistí, aby se každé tři roky po uložení údajů do dočasného pracovního souboru přezkoumala potřeba jejich uchovávání. Takový přezkum musí být v systému řádně zdokumentován včetně odůvodnění jednotlivých rozhodnutí a jeho výsledek musí být automaticky oznámen inspektorovi ochrany údajů.
3. Systém řízení případů zvlášť označí údaje zaznamenané na časově omezenou dobu v souladu s čl. 15 odst. 3 rozhodnutí o Eurojustu. Přezkum nezbytnosti uchování údajů se pro tyto kategorie údajů provádí každé tři měsíce a prokáže se způsobem stanoveným v odstavcích 1 a 2.
4. Po přezkumu správce v případě potřeby konzultuje kolegium a inspektora ochrany údajů o rozhodnutí o uchování údajů na delší dobu.
HLAVA V
PRAVIDLA PRO ZPRACOVÁNÍ NESOUVISEJÍCÍ S PŘÍPADY
KAPITOLA I
Obecné zásady
Článek 30
Zákonnost a nestrannost zpracování
Osobní údaje se musí zpracovávat nestranným a zákonným způsobem. Osobní údaje lze zpracovávat pouze tehdy, pokud:
|
a) |
je zpracování nezbytné ke splnění právních závazků, jimž správce podléhá nebo |
|
b) |
je zpracování nezbytné ke splnění smlouvy, jíž jsou subjekty údajů stranou nebo k přijetí opatření na žádost subjektu údajů před uzavřením smlouvy nebo |
|
c) |
subjekt údajů jednoznačně dal svůj souhlas nebo |
|
d) |
je zpracování nezbytné za účelem ochrany životně důležitých zájmů subjektu údajů nebo |
|
e) |
je zpracování nezbytné pro účely oprávněných zájmů správce, kromě případu, kdy takové zájmy nepřevažují nad zájmy souvisejícími se základními právy a svobodami subjektu údajů žádajícího o ochranu podle čl. 4 těchto pravidel. |
Článek 31
Omezení účelu
1. Osobní údaje musejí být zpracovávány pro konkrétní a přesně určený zákonný a oprávněný účele a následně dále zpracovávány pouze pokud, je to slučitelné s původním účelem zpracování.
2. Osobní údaje shromážděné výhradně k zajištění bezpečnosti, kontroly nebo správy systémů zpracování nebo provozu nesmějí být použity k žádnému jinému účelu, kromě prevence, vyšetřování, odhalování a stíhání závažných trestných činů.
Článek 32
Zpracování zvláštních kategorií údajů
1. Zpracování osobních údajů, jež odhalují rasový nebo etnický původ, politické názory, náboženské nebo filosofické vyznání, členství v odborech, zdraví, sexuální život nebo odsouzení za trestné činy se pro účely nesouvisející s případem zakazuje.
2. Tento zákaz neplatí, pokud:
|
a) |
subjekt údajů výslovně souhlasí se zpracováním těchto údajů nebo |
|
b) |
je zpracování nezbytné pro účely splnění zvláštních pravidel a právních povinností správce, jako jsou povinnosti v oblasti daňových a zaměstnaneckých právních předpisů, jež se na správce vztahují nebo, je-li to nezbytné a pokud s tím souhlasí inspektor ochrany údajů, zpracování podléhá příslušným zárukám nebo |
|
c) |
je zpracování nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby, je-li subjekt údajů fyzicky nebo právně neschopný dát svůj souhlas nebo |
|
d) |
se zpracování týká údajů, jež zjevně zveřejnil subjekt údajů nebo je nezbytné k zjištění, výkonu nebo ochraně soudních žalob. |
3. Údaje uvedené v odstavci 1 se zpracovávají pouze pro účely, pro které byly původně shromážděny.
Článek 33
Výjimky z práva na informace subjektů údajů
1. V rámci neoperativních činností Eurojustu jsou možné výjimky z obecné zásady informování subjektu údajů, pokud by poskytnutí těchto informací subjektu údajů narušilo:
|
a) |
důležitý hospodářský nebo finanční zájem členského státu nebo Evropské unie nebo |
|
b) |
ochranu subjektů údajů nebo práva a svobody dalších osob nebo |
|
c) |
národní bezpečnost, veřejnou bezpečnost nebo obranu členských států. |
2. O použití těchto výjimek je informován inspektor ochrany údajů.
Článek 34
Oznámení inspektorovi ochrany údajů
1. Každý správce předem oznámí inspektorovi ochrany údajů veškeré zpracování nebo soubory zpracování pro stejný účel nebo několik souvisejících účelů.
2. Poskytované informace zahrnují:
|
a) |
jméno správce a údaj o organizační části orgánu nebo instituce pověřených zpracováním osobních údajů pro konkrétní účel; |
|
b) |
účel nebo účely zpracování; |
|
c) |
popis kategorie nebo kategorií subjektů údajů a údajů nebo kategorií údajů s nimi souvisejících; |
|
d) |
právní základ zpracování, ke kterému jsou údaje určeny; |
|
e) |
příjemce nebo kategorie příjemců, kterým mají být údaje zpřístupněny; a |
|
f) |
obecný popis umožňující předběžné ohodnocení vhodnosti bezpečnostních opatření. |
3. Inspektor ochrany údajů je neprodleně informován o veškerých příslušných změnách týkajících se informací uvedených v předchozím odstavci.
Článek 35
Rejstřík
1. Inspektor ochrany údajů vede rejstřík zpracování oznámených v souladu s předchozím ustanovením.
2. Rejstřík musí obsahovat alespoň informace uvedené v čl. 34 odst. 2 písm. a) až f).
3. Inspektor ochrany údajů zpřístupní na požádání společnému kontrolnímu orgánu veškeré informace obsažené v rejstříku.
Článek 36
Zpracování osobních údajů jménem správců
1. Provádí-li se zpracování externím zpracovatelem jménem správce, zvolí správce zpracovatele poskytujícího dostatečné záruky s ohledem na technická a organizační bezpečnostní opatření podle článku 22 rozhodnutí o Eurojustu jakož i na další příslušné dokumenty a zajistí dodržování těchto opatření.
2. Zpracování externím zpracovatelem je upraveno smlouvou nebo právním aktem, jež zpracovatele a správce zavazuje a zejména stanoví, že:
|
a) |
zpracovatel jedná pouze podle pokynů správce; a |
|
b) |
povinnosti týkající se zachování mlčenlivosti a bezpečnosti stanovené v rozhodnutí o Eurojustu a v těchto pravidlech se rovněž vztahují na zpracovatele, kromě případu, kdy je podle článku 16 nebo čl. 17 odst. 3 druhé odrážky směrnice 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1) tento zpracovatel již vázán povinností zachovat mlčenlivost a bezpečnost stanovenými ve vnitrostátních předpisech některého z členských států. |
3. Pro zachování důkazů jsou části smlouvy nebo právního aktu o ochraně údajů a požadavcích na opatření pro zachování mlčenlivosti a zajištění bezpečnosti potvrzena písemně nebo jinou rovnocennou formou.
Článek 37
Jednotlivá automatizovaná rozhodnutí
Subjekt údajů má právo nepodléhat rozhodnutí, jež má vůči němu právní účinky nebo se jej významně dotýká, přijatému pouze na základě automatizovaného zpracování údajů, určeného k hodnocení jistých aspektů jeho osobnosti, jako například plnění pracovních povinností, spolehlivosti nebo chování, není-li toto rozhodnutí výslovně schválené v souladu s vnitrostátními nebo evropskými právními předpisy nebo případně inspektorem ochrany údajů. V obou případech jsou přijata opatření zajišťující ochranu oprávněných zájmů subjektu údajů, jako například opatření, jež mu umožní uplatnit svůj názor nebo porozumět logice zpracování.
KAPITOLA II
Vnitřní pravidla týkající se ochrany osobních údajů a soukromí v rámci vnitřních telekomunikačních sítí
Článek 38
Oblast působnosti
1. Aniž jsou dotčeny předchozí články, pravidla obsažená v této kapitole se použijí na zpracování osobních údajů ve spojení s používáním a řízením telekomunikačních sítí nebo koncových zařízení provozovaných pod kontrolou Eurojustu.
2. Pro účely obsažené v této kapitole se „uživatelem“ rozumí každá fyzická osoba používající telekomunikační síť nebo koncové zařízení provozované pod kontrolou Eurojustu.
Článek 39
Bezpečnost
1. Eurojust přijme příslušná technická a organizační opatření k zajištění bezpečného používání telekomunikačních sítí a koncových zařízení (počítače, servery, hardware a software), případně ve spojení s poskytovateli veřejně dostupných telekomunikačních služeb nebo s poskytovateli veřejných telekomunikačních sítí. Tato opatření, s přihlédnutím k nejnovějším technickým možnostem a nákladům na zavedení, zajistí úroveň bezpečnosti odpovídající stávajícímu riziku.
2. Existuje-li konkrétní riziko narušení bezpečnosti sítě nebo koncového zařízení, informuje Eurojust uživatele o takovém riziku, jakož i o veškerých opatřeních vedoucích k jeho odstranění a o alternativních komunikačních prostředcích.
Článek 40
Důvěrnost komunikace
Eurojust v souladu s právem Společenství zajistí důvěrnost komunikace uskutečňované prostřednictvím telekomunikačních sítí a koncových zařízení.
Článek 41
Údaje o provozu a vyúčtování
1. Údaje o provozu týkající se uživatelů, jež se zpracovávají pro navázání telefonického nebo jiného druhu spojení v telekomunikačních sítích, se po ukončení telefonického hovoru nebo jiného spojení vymažou nebo stanou anonymní.
2. Výjimky z této obecné zásady (jako například potřeba uchovat údaje o provozu, pokud jsou součástí registrace některých souborů nebo pro účely vyúčtování soukromých hovorů) jsou povoleny pouze v případě, že jsou stanoveny ve vnitřních pravidlech přijatých Eurojustem po konzultaci s inspektorem ochrany údajů. Společný kontrolní orgán je konzultován v případě, že inspektor ochrany údajů není přesvědčen o zákonnosti a vhodnosti takových výjimek.
3. Zpracování údajů o provozu a vyúčtování provádějí pouze osoby odpovědné za vyúčtování, provoz nebo rozpočet.
Článek 42
Adresáře uživatelů
1. Osobní údaje obsažené ve vytištěných nebo elektronických adresářích uživatelů a přístup k takovým adresářům se omezuje na to, co je nezbytně nutné pro konkrétní účely adresáře.
2. Tyto adresáře jsou k dispozici pouze pro vnitřní potřebu uživatelů Eurojustu nebo pro použití v jiných meziinstitucionálních adresářích považovaných za vhodné.
KAPITOLA III
Zvláštní pravidla
Článek 43
Doplňující pravidla
Eurojust v případě potřeby stanoví další pravidla týkající se zpracování osobních údajů nesouvisejících s případy. Tato pravidla se oznámí společnému kontrolnímu orgánu a zveřejní se ve zvláštní vnitřní příručce.
HLAVA VI
JINÁ USTANOVENÍ
Článek 44
Přezkum těchto pravidel
1. Tato pravidla jsou pravidelně přezkoumávána, aby se posoudilo, zda jsou nutné nějaké změny. Každá změna těchto pravidel se provádí v souladu se stejnými postupy stanovenými pro jejich schválení v rozhodnutí o Eurojustu.
2. Inspektor ochrany údajů informuje předsedu kolegia a společný kontrolní orgán, pokud podle svého názoru považuje změny těchto pravidel za nezbytné.
3. Společný kontrolní orgán upozorní kolegium na veškeré návrhy nebo doporučení týkající se změn těchto pravidel.
Článek 45
Vstup v platnost a vyhlášení
1. Tato pravidla vstupují v platnost dnem následujícím po jejich konečném schválení Radou.
2. Tato pravidla se zveřejní v Úředním věstníku Evropské unie.
(1) Úř. věst. L 281, 23.11.1995, s. 31.