25.2.2006   

CS

Úřední věstník Evropské unie

C 47/27

1.

Návrh rámcového rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech zaslala Komise evropskému inspektorovi ochrany údajů dopisem dne 4. října 2005. Evropský inspektor ochrany údajů tento dopis chápe jako žádost o radu pro orgány a instituce Společenství, jak je uvedeno v čl. 28 odst. 2 nařízení č. 45/2001/ES. Podle evropského inspektora ochrany údajů by měl být tento postoj uveden v preambuli rámcového rozhodnutí.

2.

Evropský inspektor ochrany údajů zdůrazňuje důležitost tohoto návrhu z pohledu základních práv a svobod fyzických osob na to, aby byly chráněny jejich osobní údaje. Přijetí tohoto návrhu by znamenalo značný krok vpřed směrem k ochraně osobních údajů, v důležité oblasti, jež vyžaduje zejména důsledný a účinný mechanismus ochrany osobních údajů na úrovni Evropské unie.

3.

V této souvislosti evropský inspektor ochrany údajů zdůrazňuje, že policejní a soudní spolupráce mezi členskými státy jako prvek postupného vytváření oblasti svobody, bezpečnosti spravedlnosti, je stále důležitější. Haagský program zavedl zásadu dostupnosti s cílem zlepšit přeshraniční výměnu informací k vymáhání práva. Podle Haagského programu (1) by samotná skutečnost, že informace překračují hranice, již neměla být významná. Zavedení zásady dostupnosti odráží obecnější směr vývoje pro usnadnění výměny informací v oblasti vymáhání práva (viz například tzv. Prümská úmluva (2) ve znění podepsaném sedmi členskými státy a švédský návrh rámcového rozhodnutí o usnadnění výměny informací a zpravodajství mezi orgány činnými v trestním řízení (3)) Stejným způsobem je možné pohlížet na směrnici o uchovávání komunikačních údajů schválenou Evropským parlamentem a Radou (4). Tento vývoj vyžaduje přijetí právního nástroje k zaručení efektivní ochrany osobních údajů v rámci všech členských států Evropské unie na základě společných norem.

4.

Evropský inspektor ochrany údajů upozorňuje na skutečnost, že současný obecný rámec ochrany údajů v této oblasti není dostatečný. Za prvé, směrnice 95/46/ES se nevztahuje na zpracovávání osobních údajů v průběhu činností nespadajících do oblasti působnosti právních předpisů Společenství, jako jsou činnosti uvedené v hlavě VI Smlouvy o Evropské unii (čl. 3 odst. 2 směrnice). Ačkoliv ve většině členských států je oblast působnosti prováděcích právních předpisů širší, než požaduje samotná směrnice, a nezahrnuje zpracování údajů za účelem vymáhání práva, existují ve vnitrostátních právních předpisech značné rozdíly. Za druhé, úmluva Rady Evropy č. 108 (5), jež je závazná pro všechny členské státy, nestanovuje nezbytnou obezřetnost při ochraně, jak bylo uznáno již v době přijetí směrnice 95/46/ES. Za třetí, žádný z těchto dvou právních nástrojů nezohledňuje zvláštní povahu výměny údajů policie a soudních orgánů (6).

5.

6.

Je třeba si uvědomit, že příslušné osobní údaje jsou dosti často citlivé povahy a policie a soudní úřady je získaly na základě vyšetřování osob. Ochota k výměně těchto údajů s orgány jiných členských států se zvýší, pokud je si orgán jist úrovní ochrany v daném jiném členském státě. Evropský inspektor ochrany údajů uvádí jako důležité prvky ochrany údajů důvěrnost a bezpečnost údajů a omezení přístupu a dalšího využití.

7.

Vysoká úroveň ochrany údajů může navíc zajistit přesnost a spolehlivost osobních údajů. Při výměně údajů mezi policií nebo soudními orgány se přesnost a spolehlivost těchto údajů stává ještě důležitější, zejména z toho důvodu, že po několika výměnách a opětovných předáních mezi donucovacími orgány jsou údaje nakonec zpracovávány daleko od zdroje a mimo kontext, ve kterém byly původně pořízeny a použity. Přijímající orgány obvykle nemají žádné informace o dodatečných okolnostech a musejí se plně spoléhat na samotné údaje.

8.

Harmonizace vnitrostátních pravidel pro osobní údaje v oblasti policie a spravedlnosti – včetně odpovídajících opatření na ochranu těchto údajů – proto může podpořit vzájemnou důvěru i účinnost samotné výměny.

9.

Potřeba a důležitost tohoto návrhu byla zdůrazněna při několika příležitostech. Během jarní konference konané v Krakově v dubnu roku 2005 přijaly evropské orgány pro ochranu údajů prohlášení a písemné stanovisko, ve kterém vyzvaly k přijetí nového právního rámce pro ochranu údajů použitelného pro činnosti v rámci třetího pilíře. Tento nový rámec by měl nejenom dodržovat zásady ochrany údajů stanovené ve směrnici 95/46/ES – důležité je zaručit soulad ochrany údajů v rámci Evropské unie – ale také poskytnout dodatečný soubor pravidel zohledňujících zvláštní povahu oblasti vymáhání práva  (7). Evropský inspektor ochrany údajů vítá skutečnost, že stávající návrh tato východiska zohledňuje: respektuje zásady ochrany údajů stanovené ve směrnici 95/46/ES a poskytuje dodatečný soubor pravidel.

10.

Toto stanovisko chce analyzovat, do jaké míry je výsledek přijatelný z hlediska ochrany údajů, s náležitým ohledem na zvláštní situaci ochrany údajů v oblasti vymáhání práva. Na jedné straně jsou tyto údaje poměrně často velmi citlivé povahy (viz bod 6 tohoto stanoviska) a na druhé straně existuje silný tlak na možnost přístupu k těmto údajům, za účelem účinného provádění vymáhání práva, což může zahrnovat i ochranu života a fyzické bezpečnosti osob. Podle evropského inspektora ochrany údajů by pravidla ochrany údajů měla odpovídat na odůvodněné potřeby vymáhání práva, měla by však rovněž chránit subjekt údajů před neodůvodněným zpracováním a přístupem. Aby byl výsledek úvah evropského zákonodárce v souladu se zásadou proporcionality, musí zohlednit dodržení těchto dvou potenciálně protichůdných veřejných zájmů. V této souvislosti evropský inspektor ochrany údajů opětovně připomíná, že oba tyto zájmy jdou poměrně často ruku v ruce.

11.

Nakonec je třeba uvést, že tento návrh tvoří součást hlavy VI Smlouvy o Evropské unii, tzv. třetího pilíře. Zásah evropského zákonodárce je vázán jasnými omezeními: omezení legislativních pravomocí Unie na subjekty uvedené v článcích 30 a 31, omezení, pokud jde o legislativní postup, který nezahrnuje plnou účast Evropského parlamentu, a omezení, pokud jde o soudní kontrolu, protože pravomoci Evropského soudního dvora podle článku 35 Smlouvy o EU jsou neúplné. Tato omezení vyžadují ještě pečlivější analýzu znění návrhu.

12.

Návrh úzce souvisí s návrhem rámcového rozhodnutí Rady o výměně informací podle zásady dostupnosti (KOM (2005) 490 v konečném znění). Uvedený návrh má za cíl provádět zásadu dostupnosti a tím zajistit, aby informace, které mají k dispozici příslušné orgány jednoho členského státu pro boj proti trestné činnosti, byly poskytnuty odpovídajícím orgánům jiných členských států. Měl by vést ke zrušení vnitřních hranic pro výměnu těchto informací tím, že výměna informací bude v rámci celé Unie podléhat jednotným podmínkám.

13.

Úzká vazby mezi oběma návrhy vyplývá ze skutečnosti, že informace v oblasti vymáhání práva do velké míry zahrnují osobní údaje. Právní předpisy o výměně informací v oblasti vymáhání práva není možné přijmout, aniž by byla zajištěna odpovídající ochrana osobních údajů. Pokud bude mít zásah na úrovni Evropské unie za následek zrušení vnitřních hranic pro výměnu těchto informací, nebude nadále možné řešit ochranu osobních údajů výhradně za pomoci vnitrostátních právních předpisů. Nyní je úkolem evropských orgánů zaručit ochranu osobních údajů na celém území Unie bez vnitřních hranic. Tento úkol byl výslovně stanoven v čl. 30 odst. 1 písm. b) Smlouvy o EU a je důsledkem povinnosti Unie dodržovat základní práva (článek 6 Smlouvy o EU). Kromě toho:

14.

Evropský inspektor ochrany údajů zdůrazňuje, že rámcové rozhodnutí Rady o výměně informací podle zásady dostupnosti by mělo být přijato pouze pod podmínkou, že bude přijato i rámcové rozhodnutí o ochraně osobních údajů. Stávající návrh rámcového rozhodnutí Rady o ochraně údajů má však své výhody a je potřebný i v případě neexistence právního nástroje o dostupnosti. Tato skutečnost je zdůrazněna v oddíle I tohoto stanoviska.

15.

Pokud tomu tak bude, provede evropský inspektor ochrany údajů analýzu obou návrhů ve dvou samostatných stanoviscích. Má to i praktické důvody. Není nijak zaručeno, že tyto návrhy budou Radou a Evropským parlamentem projednávány společně a stejně rychle.

16.

Dne 26. září 2005 předložil evropský inspektor ochrany údajů své stanovisko k návrhu směrnice o uchovávání komunikačních údajů (8). V tomto stanovisku poukázal na některé významné nedostatky návrhu a doporučil, aby byla do směrnice vložena zvláštní ustanovení o přístupu příslušných orgánů k provozním a polohovým údajům a o dalším využití údajů a aby tam byla rovněž přidána další opatření pro ochranu údajů. Znění směrnice přijaté Evropským parlamentem a Radou obsahuje omezené – ale v žádném případě ne dostačující – ustanovení o ochraně údajů a zabezpečení údajů a obsahuje dokonce ještě méně dostačující ustanovení o přístupu, přičemž přenáší vydání opatření o přístupu k uchovávaným údajům na vnitrostátní právní předpisy, s výhradou příslušných ustanovení právních předpisů Evropské unie nebo mezinárodního práva veřejného.

17.

Vzhledem ke schválení směrnice o uchovávání komunikačních údajů je stanovení právního rámce ochrany údajů v rámci třetího pilíře dokonce ještě naléhavější. Přijetím směrnice zavazuje zákonodárce Společenství poskytovatele telekomunikačních a internetových služeb, aby uchovávali údaje pro účely vymáhání práva, a to bez nezbytných a odpovídajících opatření pro ochranu subjektu údajů. Zůstává mezera v ochraně, protože směrnice se (dostatečně) nezabývá přístupem k údajům ani jejich dalším využitím poté, co příslušné orgány v oblasti vymáhání práva do těchto údajů nahlédly.

18.

Tento návrh významnou část této mezery vyplňuje, neboť se týká dalšího využití údajů poté, co do nich příslušné orgány v oblasti vymáhání práva nahlédly. Evropský inspektor ochrany údajů však lituje, že se tento návrh nezabývá také přístupem k těmto údajům. Oproti tomu, co se předpokládalo pro systémy SIS II a VIS (viz II.3 tohoto stanoviska), je tato otázka ponechána na uvážení vnitrostátního zákonodárce.

19.

Evropská unie v současnosti používá nebo vyvíjí několik rozsáhlých informačních systémů (Eurodac, SIS II, VIS) a usiluje o součinnost mezi těmito systémy. Rovněž je stále větší snaha udělovat pro účely vymáhání práva do těchto systémů širší přístup. Tento dalekosáhlý vývoj musí, podle Haagského programu, zohledňovat „potřebu nalezení správné rovnováhy mezi potřebami vymáhání práva a ochranou základních práv jednotlivců“.

20.

Ve svém stanovisku ze dne 19. října 2005 o návrzích druhé generace Schengenského informačního systému (SIS-II) (9) evropský inspektor ochrany údajů zdůraznil některé prvky týkající se současného uplatnění obecných pravidel (lex generalis) a konkrétnějších pravidel (lex specialis) pro ochranu údajů. Stávající návrh je možné považovat za lex generalis, nahrazující úmluvu č. 108 v rámci třetího pilíře (10).

21.

Evropský inspektor ochrany údajů v této souvislosti zdůrazňuje, že návrh rovněž poskytuje obecný rámec ochrany údajů pro konkrétní nástroje, jako část SIS II spadající do třetího pilíře a přístup orgánů pro vymáhání práva do vízového informačního systému. (11)

22.

Podle čl. 1 odst. 1 má návrh za cíl stanovit společné normy pro zajištění ochrany osobních údajů během činností policejní a soudní spolupráce v trestních věcech. Čl. 1 odst. 1 je nutno vykládat v souvislosti s čl. 3 odst. 1, který stanoví, že návrh se vztahuje na zpracovávání osobních údajů (…) prováděné příslušným orgánem za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání.

23.

Z těchto ustanovení vyplývá, že navrhované rámcové rozhodnutí má dvě hlavní charakteristiky: stanoví společné normy a vztahuje se na veškeré zpracování pro účely vymáhání trestního práva, i pokud dotyčné údaje nebyly předány nebo zpřístupněny příslušnými orgány jiných členských států.

24.

Evropský inspektor ochrany údajů zdůrazňuje důležitost těchto dvou hlavních charakteristik. Mělo by být cílem tohoto návrhu stanovit rámec ochrany údajů, který bude plně doplňovat stávající právní rámec v rámci prvního pilíře. Pouze pokud bude splněna tato podmínka, splní Evropská unie v plném rozsahu svou povinnost podle čl. 6 odst. 2 Smlouvy o EU, jíž je dodržovat základní práva zaručená Evropskou úmluvou o lidských právech.

25.

Pokud jde o první charakteristiku: tento návrh si klade za cíl zajistit, že v oblasti třetího pilíře budou uplatněny stávající zásady ochrany údajů. Kromě toho poskytuje společné normy upřesňující tyto zásady s ohledem na jejich použití v této oblasti. Evropský inspektor ochrany údajů zdůrazňuje důležitost těchto aspektů návrhu. Odrážejí totiž specifickou a citlivou povahu zpracování osobních údajů v této oblasti. Evropský inspektor ochrany údajů zejména oceňuje, že byla navíc ke stávajícím zásadám ochrany údajů (čl. 4 odst. 4) zavedena zásada rozlišování mezi osobními údaji kategorie osob, jako zvláštní zásada ochrany údajů v oblasti policejní a soudní spolupráce v trestních věcech. Podle evropského inspektora ochrany údajů by měla být samotná zásada a její právní důsledky pro subjekt údajů ještě přesněji vymezena (viz body 88 – 92 tohoto stanoviska).

26.

Pravidla musí platit pro různé situace, a proto nemohou být příliš podrobná. Na druhou stranu musejí občanům poskytovat nezbytnou právní jistotu, jakož i odpovídající ochranu jejich osobních údajů. Podle evropského inspektora ochrany údajů tento návrh celkově dosáhl rovnováhy mezi těmito dvěma potenciálně protichůdnými právními požadavky. Ustanovení ponechávají potřebnou pružnost, ve většině oblastí jsou však dostatečně přesná, aby občany chránila.

27.

V některých bodech je však návrh až příliš pružný a neposkytuje potřebná ochranná opatření. Například v čl. 7 odst. 1 stanoví návrh obecnou výjimku z ochranných opatření, přičemž uvádí jedinou podmínku: „nestanoví-li zákon jinak“. Ponechání tak široké pravomoci k uvážení v otázce uchovávání údajů po dobu delší, než je pro předpokládaný účel nezbytné, by bylo nejen neslučitelné s důležitým právem na ochranu údajů, ale také by narušilo základní potřebu sladit ochranu osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech.

28.

Výjimky, pokud jsou nezbytné, by se měly omezovat na – vnitrostátní nebo evropská – právní ustanovení vydaná na ochranu konkrétních veřejných zájmů. Tyto veřejné zájmy by měly být uvedeny v čl. 7 odst. 1.

29.

To vede k další otázce. Pokud jakýkoliv jiný konkrétní právní nástroj podle hlavy VI Smlouvy o EU stanoví přesnější podmínky nebo omezení pro zpracování údajů nebo přístup k nim, měl by se tento konkrétnější právní předpis použít jako lex specialis. Článek 17 tohoto návrhu stanoví výjimky z článků 12, 13, 14 a 15, kdy konkrétní právní předpis podle hlavy VI stanoví konkrétní podmínky pro předávání údajů. Jde o ukázku obecné povahy návrhu (jak je vysvětleno výše), nejsou tím však zahrnuty všechny hypotézy. Podle evropského inspektora ochrany údajů by článek 17 měl:

30.

Pokud jde o druhou charakteristiku: ideálním výsledkem by bylo, aby se rozhodnutí vztahovalo na veškeré shromažďování a zpracování osobních údajů v rámci třetího pilíře.

31.

32.

To je o to důležitější, že jakékoli omezení na údaje předávané nebo zpřístupněné příslušným orgánům v jiných členských státech by učinilo oblast působnosti rámcového rozhodnutí zvláště nejistou a problematickou, což by bylo v rozporu s jeho základním cílem (12). Byla by narušena právní jistota jednotlivců. Za normálních okolností není předem známo – v době sběru nebo zpracování osobních údajů – zda budou tyto údaje pro výměnu s příslušnými orgány v jiných členských státech důležité. Evropský inspektor ochrany údajů se v této souvislosti odvolává na zásadu dostupnosti a na zrušení vnitřních hranic pro výměnu údajů v oblasti vymáhání práva.

33.

Nakonec evropský inspektor ochrany údajů poznamenává, že návrh se nevztahuje na:

V těchto oblastech je zajištění odpovídající ochrany subjektů údajů úkolem vnitrostátních právních předpisů. Hodnocení návrhu musí vzít tuto mezeru v ochraně na úrovni EU v úvahu, (13): protože není možné zahrnout veškeré zpracovávání v oblasti vymáhání práva, musí zákonodárce zajistit ještě účinnější ochranu v oblastech, které jsou do návrhu opravdu zahrnuty.

34.

Body odůvodnění návrhu rámcového rozhodnutí Rady o výměně informací podle zásady dostupnosti uvádějí konkrétní právní základ, jmenovitě čl. 30 odst. 1 písm. b). Oproti tomu stávající návrh neuvádí, která ustanovení článku 30 nebo článku 31 tvoří právní základ.

35.

Přestože není úkolem evropského inspektora ochrany údajů jakožto poradce pro oblast právních předpisů Evropské unie volit právní základ návrhu, je užitečné předpokládat, že i stávající návrh by mohl být založen na čl. 30 odst. 1 písm. b). Kromě toho by mohl být založen na čl. 31 odst. 1 písm. c) Smlouvy o EU a měl by se rovněž v celém rozsahu vztahovat na vnitrostátní situace za předpokladu, že je to nezbytné pro zlepšení policejní a soudní spolupráce mezi členskými státy. V této souvislosti evropský inspektor ochrany údajů ještě jednou zdůrazňuje, že veškeré osobní údaje, které byly shromážděny, uloženy, zpracovány nebo analyzovány pro účely vymáhání práva, mohou být, zejména podle zásady dostupnosti, předmětem výměny s příslušnými orgány jiného členského státu.

36.

Evropský inspektor ochrany údajů sdílí názor, že čl. 30 odst. 1 písm. b) a čl. 31 odst. 1 písm. c) poskytují právní základ pro pravidla ochrany údajů, která se neomezují jen na ochranu osobních údajů, jež si příslušné orgány členských států skutečně vyměňují, ale jsou použitelná rovněž pro vnitrostátní situace. Zejména:

37.

Evropský inspektor ochrany údajů upozorňuje zvláště na výměnu údajů se třetími zeměmi. Členské státy využívají jim předané osobní údaje shromážděné a zpracované ve třetích zemích za účelem vymáhání práva a předávají osobní údaje, které samy shromáždily nebo zpracovaly, příslušným orgánům ve třetích zemích a mezinárodním subjektům.

38.

Články 30 a 31 Smlouvy o EU nevyžadují odlišné nakládání s osobními údaji, jež byly shromážděny orgány třetích zemích, a s údaji, jež byly původně shromážděny příslušnými orgány v rámci členských států. Údaje pocházející ze třetích zemí musejí po obdržení splňovat stejné normy jako údaje shromážděné v rámci členského státu. Není však vždy možné snadno zajistit kvalitu údajů (toto bude projednáno v následující kapitole tohoto stanoviska).

39.

Předání osobních údajů příslušnými orgány členských států třetím zemím spadá v přesném slova smyslu mimo oblast působnosti hlavy VI Smlouvy o EU. Pokud by však údaje mohly být předávány třetím zemím bez zajištění ochrany subjektu údajů, vážně by to, z důvodů uvedených v oddíle III.4 tohoto stanoviska, narušilo ochranu na území Evropské unie předpokládanou stávajícím návrhem. Krátce řečeno:

40.

V souhrnu řečeno, použitelnost společných pravidel ochrany údajů pro osobní údaje vyměňované mezi příslušnými orgány členských států a orgány třetích zemí a mezinárodních organizací je nezbytná pro účinnost společných pravidel pro ochranu osobních údajů mezi příslušnými orgány členských států a je tedy nezbytná pro zlepšení spolupráce mezi členskými státy. Články 30 a 31 Smlouvy o EU poskytují nezbytný právní základ.

41.

Osobní údaje zpracovávají a vyměňují si policejní složky a také soudní orgány. Návrh založený na článcích 30 a 31 Smlouvy o EU se vztahuje na spolupráci mezi policejními složkami a na spolupráci mezi soudními orgány. V tomto okamžiku má návrh širší oblast působnosti než návrh rámcového rozhodnutí Rady o výměně informací, který se omezuje jen na policejní spolupráci a vztahuje se pouze na informace před zahájením stíhání.

42.

Evropský inspektor ochrany údajů vítá skutečnost, že se návrh rozšiřuje i na osobní údaje zpracovávané soudními orgány. Pro to, aby se policejními údaji a údaji soudních orgánů, zpracovávanými za účelem vymáhání práva, zabýval tentýž návrh, existuje dobrý důvod. V první řadě, uspořádání posloupnosti vyšetřování trestných činů a trestního stíhání se v členských státech liší. K zapojení soudních orgánů dochází v různých členských státech v různých fázích. V druhé řadě, všechny osobní údaje při tomto postupu mohou skončit v soudním spise. Není logické mít v uvedených fázích různé platné režimy ochrany údajů.

43.

Pokud však jde o dozor nad zpracováním údajů, je potřebný jiný přístup. Článek 30 návrhu vyjmenovává úkoly orgánů dozoru. Čl. 30 odst. 9 stanoví, že pravomoci orgánu dozoru neovlivňují nezávislost soudnictví. Evropský inspektor ochrany údajů doporučuje v návrhu objasnit,

44.

Podle čl. 3 odst. 2 návrhu se rámcové rozhodnutí nevztahuje na zpracování osobních údajů Europolem, Eurojustem a celním informačním systémem (16).

45.

Přísně vzato je toto ustanovení nadbytečné, v každém případě pokud jde o Europol a Eurojust. Rámcové rozhodnutí může být podle čl. 34 písm. b) Smlouvy o EU přijato pouze za účelem sbližování právních předpisů členských států a nemůže být určeno pro Europol a Eurojust.

46.

Pokud jde o podstatu, vede znění čl. 3 odst. 2 k těmto postřehům:

47.

Evropský inspektor ochrany údajů návrh analyzoval a dospěl k závěru, že obecně vzato poskytuje několik rovin ochrany. Společné normy stanovené v kapitole II návrhu (a pro konkrétní otázky v kapitolách IV-VII) obsahují dvě roviny ochrany:

48.

Kapitola III připojuje třetí rovinu ochrany pro zvláštní formy zpracování. Zdá se, že názvy obou oddílů kapitoly III a znění některých ustanovení návrhu znamenají, že se tato kapitola vztahuje pouze na údaje předávané nebo zpřístupňované příslušnými orgány v jiných členských státech. Následkem toho by se některá důležitá ustanovení pro ochranu osobních údajů nevztahovala na osobní údaje, pokud by nebyly předmětem výměny mezi členskými státy. Z uvedeného vyplývá, že znění je nejednoznačné, protože samotná ustanovení přesahují činnosti přímo související s vyměňovanými údaji. V každém případě není toto omezení oblasti působnosti výslovně vysvětleno ani odůvodněno v důvodové zprávě, ani v posouzení dopadu.

49.

Evropský inspektor ochrany údajů podtrhuje přidanou hodnotu této rozvrstvené struktury, která může sama o sobě poskytnout optimální ochranu subjektu údajů při zohlednění specifických potřeb oblasti vymáhání práva. Odráží potřebu odpovídající ochrany údajů, jak bylo vyjádřeno během jarní konference konané v dubnu roku 2005 v Krakově, a je v zásadě v souladu s článkem 8 Listiny základních práv Evropské unie a s Evropskou úmluvou o ochraně lidských práv a základních svobod, zejména s článkem 8 této úmluvy.

50.

Analýza znění návrhu však vede k těmto postřehům.

51.

Za prvé: mělo by se zajistit, aby se dodatečná pravidla pro ochranu údajů v kapitole II (druhá vrstva, uvedená v bodě 47) neodchylovala od obecných zásad ochrany údajů. Podle evropského inspektora ochrany údajů by dodatečná pravidla v kapitole II měla nabízet dodatečnou ochranu subjektů údajů v souvislosti se zvláštní situací oblasti třetího pilíře (policejní a soudní informace). Jinými slovy: tato dodatečná pravidla nesmějí mít za následek nižší úroveň ochrany.

52.

Kromě toho by se kapitola III o zvláštních formách zpracování (do kterých je začleněna třetí rovina ochrany) neměla odchýlit od kapitoly II. Podle evropského inspektora ochrany údajů by ustanovení kapitoly III měla nabízet dodatečnou ochranu subjektů údajů v situacích, kdy jsou zapojeny příslušné orgány více než jednoho členského státu, ale tato ustanovení nesmějí mít za následek nižší úroveň ochrany.

53.

Za druhé: pravidla, která jsou obecné povahy, by neměla být vložena do kapitoly III. Evropský inspektor ochrany údajů doporučuje převést tato ustanovení do kapitoly II. Do kapitoly III musejí být zahrnuta pouze ustanovení, která výlučně souvisejí s ochranou osobních údajů v případě výměny údajů mezi členskými státy. To je ještě důležitější proto, že kapitola III obsahuje důležitá ustanovení za účelem vysoké úrovně ochrany subjektu údajů v souvislosti s vymáháním práva (viz IV.1 tohoto stanoviska).

54.

Evropský inspektor ochrany údajů při analýze různých podstatných prvků návrhu vezme v úvahu jeho zvláštní strukturu a obsah. Evropský inspektor ochrany údajů nebude komentovat každý článek návrhu.

55.

Především většina ustanovení návrhu odráží další právní nástroje EU o ochraně osobních údajů. Tato ustanovení jsou v souladu s právním rámcem EU pro ochranu údajů a jsou dostatečná pro zajištění odpovídajících opatření na ochranu údajů v rámci třetího pilíře.

56.

Evropský inspektor ochrany údajů však konstatuje, že některá ustanovení, která jsou v současnosti obsažena v kapitole III návrhu – o zvláštních stupních zpracování a obecně řečeno (viz bod 48 tohoto stanoviska) použitelná pouze pro údaje vyměňované s jinými členskými státy – zahrnují obecné a důležité zásady právních předpisů EU v oblasti ochrany údajů. Proto by tato ustanovení v kapitole III měla být přesunuta do kapitoly II a měla by být použitelná pro veškeré zpracování údajů donucovacími orgány. Je tomu tak v případě ustanovení týkajících se ověřování kvality údajů (čl. 9 odst. 1 a 6) a ustanovení upravujících další zpracování osobních údajů (čl. 11 odst. 1).

57.

Některé z dalších článků kapitoly III návrhu nerozlišují mezi dodatečnými podmínkami, které konkrétně souvisejí s výměnami údajů s jinými členskými státy – jako je souhlas příslušného orgánu předávajícího členského státu – a ochrannými opatřeními, která jsou naopak důležitá a nezbytná i pro údaje zpracovávané v rámci členského státu. Pro tyto případy doporučuje Evropský inspektor ochrany údajů, aby tato ochranná opatření byla obecně použitelná, a to i pro osobní údaje, které nebyly předány nebo zpřístupněny jiným členským státem. Toto doporučení se týká:

58.

Tato část stanoviska také upozorní zákonodárce na některé dodatečná ochranná opatření, která nejsou ve stávajícím návrhu stanovena. Podle evropského inspektora ochrany údajů by tato ochranná opatření měla být poskytnuta v souvislosti s jednotlivými automatizovanými rozhodnutími, osobními údaji získanými od třetích zemí, přístupem k databázím soukromých stran, zpracováním biometrických údajů a DNA profilů.

59.

Kromě toho tato analýza doporučí, jak zlepšit stávající znění za účelem zajištění účinnosti ustanovení, soudržnosti textu a souladu se stávajícím právním rámcem ochrany údajů.

60.

Čl. 4 odst. 1 písm. b) stanoví, že osobní údaje musejí být shromažďovány pro přesně stanovené, výslovně uvedené a oprávněné účely, a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Údaje budou obvykle shromažďovány v souvislosti s konkrétním trestním činem (nebo za určitých okolností za účelem vyšetřování zločinecké skupiny nebo sítě atd.). Mohou být využity pro tento původní účel a potom mohou být zpracovány pro jiný účel za předpokladu, že je slučitelný s původním účelem (například údaje shromážděné o jednotlivci usvědčeném z obchodu s drogami by mohly být využity v rámci vyšetřování sítě překupníků drog). Tento přístup dobře odráží zásadu omezení účelu, jak je rovněž zakotvena v článku 8 Charty základních práv Evropské unie, a je tedy v souladu se stávajícími právními předpisy pro ochranu údajů.

61.

Evropský inspektor ochrany údajů konstatuje, že návrh se zcela uspokojivě nezabývá jednou situací, která může při policejní práci nastat: potřebou dalšího využití údajů pro účel považovaný za neslučitelný s účelem, pro který byly shromážděny. Údaje, již shromážděné policií, by mohly být potřebné pro vyřešení úplně jiného trestného činu. Pro vysvětlení si můžeme uvést případ, kdy jsou údaje shromážděny pro stíhání dopravních přestupků a následně využity pro nalezení a stíhání zloděje aut. Druhý účel, jakkoliv oprávněný, nemůže být považován za plně slučitelný s účelem shromažďování údajů. Pokud by donucovacím orgánům nebylo dovoleno využít údaje pro tento druhý účel, měly by tendenci shromažďovat údaje pro široké nebo nedostatečně vymezené účely a v takovém případě by zásada omezení účelu, pokud jde o shromažďování, ztratila svou hodnotu. Kromě toho by bylo narušeno uplatňování dalších zásad, jako je proporcionalita, přesnost a spolehlivost (viz čl. 4 odst. 1 písm. c) a d)).

62.

Podle právních předpisů EU týkajících se ochrany údajů musejí být osobní údaje shromažďovány pro přesně stanovené a výslovně uvedené účely a nesmějí být dále zpracovávány způsobem neslučitelným s těmito účely. Evropský inspektor ochrany údajů je však tohoto názoru, že pokud jde o další využití, musí být umožněna určitá pružnost. Je pravděpodobnější, že omezení shromažďování bude zcela dodržováno, pokud budou orgány pověřené vnitřní bezpečností vědět, že se mohou, při dodržení odpovídajících ochranných opatření, spolehnout na výjimku z omezení, pokud jde o další využití.

63.

Mělo by být objasněno, že tato potřeba dalšího zpracování je uznána v článku 11 návrhu, avšak dosti nedostačujícím způsobem. Článek 11 se vztahuje pouze na údaje získané od příslušného orgánu jiného členského státu nebo tímto orgánem zpřístupněné a neposkytuje dostatečná ochranná opatření.

64.

Evropský inspektor ochrany údajů doporučuje použít čl. 11 odst. 1 pro veškeré údaje bez ohledu na to, zda byly získány od jiného členského státu či nikoliv. Kromě toho by měla být doplněna přísnější ochranná opatření k ustanovení čl. 11 odst. 1 písm. b): další využití údajů pro účely považované za neslučitelné s původním účelem by mělo být dovoleno pouze tehdy, pokud je to zcela nezbytné, v konkrétním případě, pro předcházení trestným činům, jejich vyšetřování, odhalování a stíhání nebo pro ochranu zájmů nebo základních práv osob. Z praktického hlediska navrhuje evropský inspektor ochrany údajů uvést toto ustanovení v novém článku 4a (v každém případě v kapitole II návrhu).

65.

Čl. 11 odst. 2 a čl. 11 odst. 3 se použijí i nadále v současném znění; poskytují dodatečná ochranná opatření vztahující se na údaje získané z jiných členských států. Evropský inspektor ochrany údajů poukazuje na to, že čl. 11 odst. 3 se použije na výměnu údajů prostřednictvím systému SIS II: evropský inspektor ochrany údajů již ve svém stanovisku k SIS II uvedl, že by mělo být zajištěno, aby údaje SIS opravdu nemohly být využity pro žádný jiný účel než pro účely samotného systému.

66.

V některých případech musejí být údaje zpracovány pro zajištění jiných důležitých zájmů. V těchto případech by dokonce mohly být zpracovány jinými orgány než příslušnými orgány podle tohoto rámcového rozhodnutí. Tyto pravomoci členských států by mohly zahrnovat zpracování narušující soukromí (například prověřování osoby, která není podezřelá) a měly by je proto doprovázet velmi přísné podmínky, jako je povinnost členských států přijmout zvláštní právní předpis, pokud chtějí této výjimky využívat. V rámci prvního pilíře tuto otázku řeší článek 13 směrnice 95/46/ES, který stanoví, že ve zvláštních případech jsou povolena omezení některých ustanovení směrnice. Členské státy uplatňující tato omezení tak musejí učinit v souladu s článkem 8 Evropské úmluvy o lidských právech.

67.

Ze stejného důvodu by mělo toto rámcové rozhodnutí v kapitole II stanovit, že členským státům by mělo být povoleno přijmout právní opatření pro umožnění dalšího zpracování, pokud je toto opatření nezbytné pro zajištění:

68.

Článek 5 návrhu stanoví, že údaje smějí příslušné orgány zpracovávat pouze tehdy, pokud tak stanoví právní předpis s tím, že zpracování je nezbytné pro vykonání legitimního úkolu dotyčného orgánu za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání. Evropský inspektor ochrany údajů přísné požadavky článku 5 podporuje.

69.

Znění článku 5 však podceňuje potřebu oprávnění ke zpracování údajů z jiných právních důvodů za zvláštních okolností. Je to důležité ustanovení, které by například nemělo znemožňovat policii plnit své zákonné povinnosti podle vnitrostátního práva předávat informace imigračním službám nebo daňovým úřadům. Proto evropský inspektor ochrany údajů navrhuje, aby článek 5 zohledňoval jiné oprávněné právní důvody pro zpracování osobních údajů, jako jsou nezbytnost splnění zákonné povinnosti, jíž správce podléhá, jednoznačný souhlas subjektu údajů, za předpokladu, že se zpracování provádí v zájmu subjektu údajů, či nezbytnost chránit životně důležité zájmy subjektu údajů.

70.

Evropský inspektor ochrany údajů připomíná, že dodržování zásad pro oprávněné zpracování údajů má, pokud jde o policejní a soudní spolupráci, zvláštní význam, vezmeme-li v úvahu, že nezákonné shromažďování osobních údajů ze strany policejních složek by mohlo znamenat, že tyto osobní údaje by nebylo možné použít jako důkaz v soudním řízení.

71.

Články 4 a 5 návrhu mají rovněž za cíl zajistit – obecně dostačujícím způsobem – aby omezení ochrany osobních údajů byla nezbytná a proporcionální, jak požaduje právo Evropské unie a judikatura Evropského soudu pro lidská práva týkající se článku 8 Evropské úmluvy o lidských právech:

72.

Evropský inspektor ochrany údajů konstatuje, že navrhované znění čl. 4 odst. 4 nesplňuje hlediska stanovená judikaturou Evropského soudu pro lidská práva týkající se článku 8 Evropské úmluvy o lidských právech, podle které je omezení soukromého života v demokratické společnosti možné provést, pouze pokud je to nezbytné. Podle návrhu by zpracování údajů bylo považováno za nezbytné nejenom tehdy, pokud by umožnilo donucovacím a soudním orgánů provádět jejich úkoly, ale také pokud existují rozumné důvody se domnívat, že dotyčné osobní údaje by pouze usnadnily nebo urychlily předejití trestnému činu, jeho vyšetření, odhalení nebo stíhání.

73.

Tato měřítka nesplňují požadavky článku 8 Evropské úmluvy o lidských právech, protože téměř jakékoliv zpracování osobních údajů by mohlo být považováno za zpracování usnadňující činnost policie nebo soudních orgánů, i kdyby dotyčné údaje nebyly ve skutečnosti pro provádění těchto činností nezbytné.

74.

Stávající znění čl. 4 odst. 4 by otevřelo cestu nepřijatelně rozsáhlému shromažďování osobních údajů, založenému pouze na domněnce, že osobní údaje by mohly usnadnit předejití trestnému činu, jeho vyšetřování, odhalení a stíhání. Zpracování osobních údajů by naopak mělo být považováno za nezbytné, pouze pokud mohou příslušné orgány jasně prokázat jeho nezbytnost, a za předpokladu, že nejsou k dispozici opatření, která by méně zasahovala do soukromí.

75.

Proto evropský inspektor ochrany údajů doporučuje přepracovat čl. 4 odst. 4 první odrážku, aby bylo zajištěno dodržování judikatury týkající se článku 8 Evropské úmluvy o lidských právech. Evropský inspektor ochrany údajů dále ze systematických důvodů doporučuje, aby byl čl. 4 odst. 4 přesunut na konec článku 5.

76.

Článek 6 stanoví v zásadě zákaz zpracování citlivých údajů, tj. osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, členství v odborových organizacích, jakož i zpracování údajů týkajících se zdraví a sexuálního života. Tento zákaz se nepoužije, pokud je zpracování stanoveno zákonem a je naprosto nezbytné pro vykonání legitimního úkolu dotyčného orgánu za účelem předcházení trestným činům, jejich vyšetřování, odhalování a stíhání. Citlivé údaje je rovněž možno zpracovávat, pokud subjekt údajů dal se zpracováním svůj výslovný souhlas. V obou případech se zavedou vhodná zvláštní ochranná opatření.

77.

Znění článku 6 vede ke dvěma poznámkám. V prvé řadě se článek 6 příliš široce opírá o souhlas subjektu údajů. Evropský inspektor ochrany údajů zdůrazňuje, že zpracování citlivých údajů na základě výslovného souhlasu subjektu údajů by mělo být povoleno, pouze pokud je toto zpracování prováděno v zájmu subjektu údajů a pokud by odmítnutí souhlasu nevedlo k nepříznivým důsledkům pro subjekt údajů. Evropský inspektor ochrany údajů doporučuje článek 6 náležitým způsobem pozměnit, rovněž s cílem uvést článek do souladu se stávajícími právními předpisy EU pro ochranu údajů.

78.

V druhé řadě se evropský inspektor ochrany údajů domnívá, že by mohly být zohledněny i jiné právní důvody pro zpracování, jako je nezbytnost chránit životně důležité zájmy subjektu údajů či jiné osoby (v případě, že subjekt údajů není k udělení souhlasu fyzicky nebo právně způsobilý).

79.

V oblasti policejní a soudní spolupráce nabývá na důležitosti zpracování dalších kategorií potenciálně citlivých osobních údajů, jako jsou biometrické údaje a DNA profily. Tyto údaje nejsou výslovně zahrnuty do článku 6 návrhu. Evropský inspektor ochrany údajů vyzývá zákonodárce EU, aby dbal zvláštní opatrnosti při provádění obecných zásad pro ochranu údajů stanovených v tomto návrhu do dalších právních předpisů zahrnujících zpracování těchto zvláštních kategorií údajů. Příkladem je stávající návrh rámcového rozhodnutí Rady o výměně informací podle zásady dostupnosti (viz výše, body 12 – 15), který výslovně povoluje zpracování a výměny biometrických údajů a DNA profilů (viz příloha II návrhu), ale nezabývá se citlivostí a zvláštnostmi těchto údajů z hlediska ochrany údajů.

80.

Evropský inspektor ochrany údajů doporučuje, aby byla poskytnuta zvláštní ochranná opatření, zejména za účelem zajištění, že:

Je na rozhodnutí zákonodárce, zda tato dodatečná ochranná opatření stanoví v tomto rámcovém rozhodnutí nebo ve zvláštních právních nástrojích upravujících shromažďování a výměnu těchto zvláštních kategorií údajů.

81.

Čl. 4 odst. 1 písm. d) stanoví obecná pravidla týkající se kvality údajů. Podle tohoto článku musí správce zajistit, aby byly údaje přesné a, je-li to nezbytné, i aktualizované. Přijme veškerá přiměřená opatření k tomu, aby nepřesné nebo neúplné údaje s ohledem na účel, za nímž byly shromažďovány nebo jsou dále zpracovávány, byly vymazány nebo opraveny. Toto je v souladu s obecnými zásadami právních předpisů EU pro ochranu údajů.

82.

Čl. 4 odst. 1 písm. d) třetí věta stanoví, že členské státy mohou stanovit, že lze zpracovávat údaje s rozdílným stupněm přesnosti a spolehlivosti. Evropský inspektor ochrany údajů toto ustanovení chápe jako odchylku od obecné zásady přesnosti a doporučuje výjimečnou povahu tohoto ustanovení objasnit vložením výrazu „avšak“ nebo „nicméně“ na začátek Čl. 4 odst. 1 písm. d) třetí věty. V těchto případech, kdy nebude možné plně zajistit přesnost údajů, bude mít správce povinnost rozlišit údaje podle stupně jejich přesnosti a spolehlivosti, zejména s odvoláním na základní rozlišení mezi údaji založenými na skutečnostech od údajů založených na názorech a osobních odhadech. Evropský inspektor ochrany údajů zdůrazňuje důležitost této povinnosti jak pro subjekty údajů, tak pro donucovací orgány, zejména pokud jsou údaje zpracovávány daleko od zdroje (viz bod 7 tohoto stanoviska).

83.

Obecná zásada stanovená v čl. 4 odst. 1 písm. d) je doplněna o konkrétnější ochranná opatření stanovená v článku 9 o ověřování kvality údajů. Článek 9 zejména stanoví, že:

84.

Čl. 4 odst. 1 a článek 9 tedy při společném použití zajišťují, že kvalita osobních údajů je odpovídajícím způsobem ověřována, jak subjektem údajů, tak orgány, které jsou nejblíže zdroji zpracovávaných údajů a mají tedy nejlepší pozici pro provádění jejich kontroly.

85.

Evropský inspektor ochrany údajů tato ustanovení vítá, protože svým zaměřením na potřeby donucovacích orgánů zajišťují, že každý údaj bude náležitě zvážen a použit podle jeho přesnosti a spolehlivosti, čímž se předejde tomu, aby byl subjekt údajů nepřiměřeně postižen případnou nepřesností některých údajů, které se ho týkají.

86.

Ověřování kvality údajů je základním prvkem ochrany pro subjekt údajů, zejména pokud jde o osobní údaje zpracovávané policejními a soudními orgány. Proto evropský inspektor ochrany údajů lituje, že použitelnost článku 9 o ověřování kvality údajů se omezuje na údaje, které jsou předávány nebo zpřístupňovány jiným členským státům. Toto omezení je nešťastné, neboť znamená, že kvalita osobních údajů, jenž je nezbytná i pro účely vymáhání práva, by byla zcela zjištěna, pouze pokud jsou tyto údaje předávány nebo zpřístupňovány jiným členským státům, ne však pokud jsou zpracovávány v rámci členského státu (17). Je naopak zásadně důležité – v zájmu subjektů údajů i příslušných orgánů – zajistit, aby se náležité ověřování kvality týkalo veškerých osobních údajů, včetně údajů nepředávaných či nezpřístupňovaných jiným členským státem.

87.

Evropský inspektor ochrany údajů tedy doporučuje v každém případě odstranit omezení oblasti použitelnosti čl. 9 odst. 1 a 6 přesunutím těchto ustanovení do kapitoly II návrhu.

88.

Čl. 4 odst. 2 stanoví povinnost správce jasně rozlišovat mezi osobními údaji různých kategorií osob (osoby podezřelé, osoby odsouzené, svědci, oběti, informátoři, kontakty, jiné). Evropský inspektor ochrany údajů tento přístup vítá. Přestože je pravda, že donucovací a soudní orgány mohou potřebovat zpracovávat údaje týkající se velmi různých kategorií osob, je nezbytné, aby se tyto údaje rozlišovaly podle různého stupně zapojení do trestného činu. Zejména podmínky pro shromažďování údajů, lhůty, podmínky pro odepření přístupu nebo informací subjektu údajů a způsoby přístupu příslušných orgánů k údajům by měly odrážet zvláštnosti jednotlivých kategorií zpracovávaných údajů a různé účely, pro které jsou údaje donucovacími a soudními orgány shromažďovány.

89.

V této souvislosti žádá evropský inspektor ochrany údajů o zvláštní pozornost u údajů týkajících se osob, které nejsou podezřelými osobami. Pro zajištění proporcionality a předcházení poškození u osob, které nejsou aktivně zapojeny do trestného činu, jsou nezbytné zvláštní podmínky a ochranná opatření. Pro tuto kategorii osob by měl návrh obsahovat dodatečná ustanovení, jež by omezovala účel zpracování, stanovila přesné lhůty a omezovala přístup k údajům. Evropský inspektor ochrany údajů doporučuje návrh odpovídajícím způsobem pozměnit.

90.

Stávající znění návrhu obsahuje jedno zvláštní ochranné opatření týkající se osob, které nejsou podezřelými, jmenovitě čl. 7 odst. 1 návrhu. Podle evropského inspektora ochrany údajů jde o důležité ochranné opatření, zejména z toho důvodu, že členským státům není povoleno stanovit výjimky. Bohužel čl. 7 odst. 1 stanoví zvláštní ochranná opatření, pouze pokud jde o lhůty, a jeho použitelnost se omezuje na kategorie osob uvedené v poslední odrážce čl. 4 odst. 3 návrhu. Neposkytuje tedy dostatečné záruky a nezahrnuje celou skupinu osob, které nejsou osobami podezřelými (18).

91.

Zvláštní pozornost si zasluhují i údaje týkající se odsouzených osob. Pokud jde o tyto údaje, je skutečně třeba zohlednit současné a budoucí iniciativy týkající se výměn výpisů z rejstříku trestů a zajistit soulad (19).

92.

Vzhledem k výše uvedeným postřehům evropský inspektor ochrany údajů doporučuje do článku 4 vložit nový odstavec, který bude obsahovat tyto body:

93.

Obecné zásady upravující lhůty pro uchovávání osobních údajů jsou stanoveny v čl. 4 odst. 1 písm. e) a čl. 7 odst. 1 návrhu. Obecnou zásadou je, že osobní údaje by neměly být uchovávány po dobu delší, než je nezbytné pro účel, pro který byly shromážděny. To je v souladu s právními předpisy EU pro ochranu údajů (20).

94.

Obecné ustanovení čl. 7 odst. 1 je však použitelné, pouze „nestanoví-li zákon jinak“. Evropský inspektor ochrany údajů konstatuje, že tato výjimka je velmi obecná a přesahuje rámec výjimek přípustných podle čl. 4 odst. 1 písm. e). Evropský inspektor ochrany údajů navrhuje, aby byla obecná výjimka v čl. 7 odst. 1 vypuštěna nebo alespoň jasně vymezovala veřejné zájmy odůvodňující použití této výjimky členskými státy (21).

95.

Čl. 7 odst. 2 uvádí, že dodržování lhůt je zajištěno přiměřenými procedurálními a technickými opatřeními a že se pravidelně přezkoumává. Evropský inspektor ochrany údajů toto ustanovení vítá, ale doporučuje výslovně stanovit, že tato přiměřená procedurální a technická opatření by měla zajistit automatické a pravidelné vymazávání osobních údajů po určitém časovém období.

96.

Účinná policejní a soudní spolupráce v rámci hranic EU stále více závisí na spolupráci se třetími zeměmi a mezinárodními subjekty. V současnosti se projednává a předpokládá mnoho činností zaměřených na zlepšení vymáhání práva a soudní spolupráce se třetími zeměmi a mezinárodními subjekty, jak na vnitrostátní úrovni, tak na úrovni EU (22). Je pravděpodobné, že vývoj této mezinárodní spolupráce bude hodně stavět na výměnách osobních údajů.

97.

Proto je nezbytně nutné, aby zásady spravedlivého a zákonného zpracování – jakož i zásady náležitého postupu obecně – platily i pro shromažďování a výměny osobních údajů přes hranice Unie a aby byly osobní údaje předávány třetím zemím nebo mezinárodním organizacím, pouze pokud tyto zúčastněné třetí strany zajistí odpovídající úroveň ochrany nebo příslušná ochranná opatření.

98.

V tomto ohledu evropský inspektor ochrany údajů vítá článek 15 návrhu, jež stanoví ochranu pro případ předání příslušným orgánům ve třetích zemích nebo mezinárodním subjektům. Avšak toto ustanovení, zahrnuté do kapitoly III návrhu, se vztahuje pouze na údaje obdržené od příslušných orgánů jiných členských států nebo těmito orgány zpřístupněné. Následkem tohoto omezení je v systému ochrany údajů na úrovni Evropské unie nedostatek, pokud jde o údaje, které nejsou získány od příslušných orgány z jiných členských států. Podle evropského inspektora ochrany údajů není možné tento nedostatek přijmout z následujících důvodů.

99.

Za prvé, úroveň ochrany poskytovaná právními předpisy EU v případě předání do třetí země by neměla být určována zdrojem údajů – policejní složkou v rámci členského státu, který předává údaje třetí zemi, nebo policejní složkou v rámci jiného členského státu.

100.

Za druhé je třeba poznamenat, že pravidla upravující předání osobních údajů do třetích zemí představují základní zásadu práva pro ochranu údajů. Tato zásada nejenom představuje jedno ze základních ustanovení směrnice 95/46/ES, ale je také zakotvena v dodatkovém protokolu k úmluvě č. 108 (23). Společné normy pro ochranu osobních údajů, uvedené v článku 1 návrhu, nebude možné zajistit, pokud nebudou společná pravidla pro předání osobních údajů do třetích zemí zahrnovat veškeré operace zpracování. Pokud by osobní údaje mohly být předávány do třetích zemí, které neposkytují odpovídající úroveň ochrany, byla by v důsledku toho přímo ovlivněna práva subjektů údajů zaručená stávajícím návrhem.

101.

Za třetí, omezení oblasti působnosti těchto pravidel na „vyměňované údaje“ by znamenalo, pokud jde o údaje zpracovávané pouze v rámci jedné země, že by zde neexistovala žádná ochranná opatření: osobní údaje by paradoxně mohly být předány do třetích zemí – bez ohledu na jakoukoliv odpovídající ochranu osobních údajů – „snadněji“ než do jiných členských států. To by umožňovalo „praní informací“. Příslušné orgány členských států by mohly obcházet přísné normy pro ochranu údajů předáním údajů do třetích zemí nebo mezinárodních organizací, kde by k nim mohl přistupovat příslušný orgán jiného členského státu nebo odkud by dokonce mohly být tomuto orgánu zaslány.

102.

Proto evropský inspektor ochrany údajů doporučuje pozměnit stávající návrh tak, aby bylo zajištěno, že se článek 15 bude vztahovat na výměnu veškerých osobních údajů se třetími zeměmi. Toto doporučení se netýká čl. 15 odst. 1 písm. c), jež se ze své podstaty může vztahovat pouze na osobní údaje vyměňované s jinými členskými státy.

103.

Článek 15 stanoví řadu podmínek pro předávání příslušným orgánům ve třetích zemích či mezinárodním organizacím, srovnatelných s podmínkami článku 25 směrnice 95/46/ES. Nicméně čl. 15 odst. 6 stanoví možnost předat údaje třetím zemím nebo mezinárodním organizacím, ve kterých není zajištěna odpovídající úroveň ochrany údajů za předpokladu, že je toto předání absolutně nezbytné pro zajištění důležitých zájmů členského státu nebo pro předejití bezprostředního vážného nebezpečí ohrožujícího veřejnou bezpečnost nebo konkrétní osobu či osoby.

104.

Je třeba vyjasnit použitelnost výjimky stanovené v odstavci 6. Proto evropský inspektor ochrany údajů doporučuje:

105.

V souvislosti s rostoucí výměnou osobních údajů s policejními a soudními orgány třetích zemí je třeba rovněž věnovat zvláštní pozornost osobním údajům „dováženým“ ze třetích zemí, ve kterých nejsou zajištěny odpovídající normy dodržování lidských práv – a to zejména v oblasti ochrany osobních údajů.

106.

Z širšího hlediska se evropský inspektor ochrany údajů domnívá, že zákonodárce by měl zajistit, aby osobní údaje získané ze třetích zemí splňovaly alespoň mezinárodní normy týkající se dodržování lidských práv. Donucovací a soudní orgány by například neměly zpracovávat a spoléhat se na údaje získané za pomoci mučení nebo porušování lidských práv či černé listiny založené pouze na politickém přesvědčení a sexuální orientaci, pokud tak nečiní v zájmu subjektu údajů. Proto evropský inspektor ochrany údajů doporučuje, aby toto bylo objasněno alespoň v bodě odůvodnění návrhu, s případným odkazem na příslušné mezinárodní nástroje (24).

107.

Pokud jde konkrétněji o ochranu osobních údajů, připomíná evropský inspektor ochrany údajů, že pokud jsou osobní údaje předávány ze zemí, kde neexistují odpovídající normy a záruky pro ochranu osobních údajů, je třeba náležitě vyhodnotit možné nedostatky v kvalitě údajů, aby se předešlo tomu, že se donucovací orgány budou na tyto informace mylně spoléhat, a aby zabránilo se poškození subjektu údajů.

108.

Proto evropský inspektor ochrany údajů doporučuje do článku 9 návrhu vložit ustanovení uvádějící, že kvalitu osobních údajů předávaných z třetích zemí je třeba ihned po jejich obdržení zvláště vyhodnotit a označit míru přesnosti a spolehlivosti těchto údajů.

109.

Články 13 a 14 návrhu stanoví řadu požadavků, které je třeba splnit v případech, kdy jsou osobní údaje dále předávány soukromým stranám a jiným než donucovacím orgánům. Jak bylo uvedeno výše, tyto články doplňují obecnější pravidla stanovená v kapitole II, jež je v každém případě třeba dodržet.

110.

Evropský inspektor ochrany údajů je toho názoru, že přestože předání soukromým stranám a jiným veřejným subjektům může být v konkrétních případech nezbytné za účelem předejití trestnému činu a boje proti němu, je třeba uplatnit zvláštní a přísné podmínky. To je v souladu s názorem vyjádřeným evropskými komisaři pro ochranu údajů v písemném stanovisku z Krakova (25).

111.

V tomto ohledu se evropský inspektor ochrany údajů domnívá, že dodatečné podmínky stanovené v článcích 13 a 14 by mohly být považovány za dostačující, pokud budou použity současně s obecnými pravidly stanovenými v kapitole II, včetně komplexního použití pravidel pro další zpracování (viz výše, IV.2). Stávající návrh však omezuje použitelnost článků 13 a 14 na osobní údaje obdržené od příslušných orgánů jiného členského státu nebo jimi zpřístupněné.

112.

Celková použitelnost těchto podmínek ještě nabývá na důležitosti, pokud vezmeme v úvahu rostoucí výměnu údajů mezi donucovacími orgány a jinými orgány nebo soukromými stranami i v rámci členských států. Příklad můžeme nalézt v partnerství veřejného a soukromého sektoru pro činnosti v oblasti vymáhání práva (26).

113.

Proto evropský inspektor ochrany údajů doporučuje pozměnit stávající návrh tak, aby bylo zajištěno, že se článek 13 a 14 bude vztahovat na výměnu veškerých osobních údajů, včetně údajů nepředávaných nebo nezpřístupňovaných jiným členským státem. Toto doporučení se nevztahuje na čl. 13 písm. c) a čl. 14 písm. c).

114.

Výměna osobních údajů se soukromými stranami je obousměrná: znamená i předávání a zpřístupňování osobních údajů ze strany soukromých stran donucovacím a soudním orgánům.

115.

V tomto případě k osobním údajům shromažďovaným pro komerční účely (obchodní transakce, marketing, poskytování služeb atd.) a spravovaným soukromými správci přistupují veřejné orgány a dále je využívají pro velmi odlišný účel předcházení trestným činům, jejich vyšetřování, odhalování a stíhání. Navíc je třeba pečlivě vyhodnocovat přesnost a spolehlivost údajů zpracovávaných pro komerční účely, pokud jsou tyto údaje využívány za účelem vymáhání práva (27).

116.

Nedávný a velmi důležitý příklad přístupu k soukromým databázím za účelem vymáhání práva podává schválené znění směrnice o uchovávání komunikačních údajů (viz výše, body 16 – 18), podle které budou muset poskytovatelé veřejně dostupných služeb elektronických komunikací uchovávat po dobu až dvou let určité údaje týkající se komunikací, s cílem zajistit, aby tyto údaje byly k dispozici pro účel vyšetření, odhalení a stíhání závažného trestného činu. Podle schváleného znění přesahují otázky týkající se přístupu k těmto údajům rámec práva Společenství a nemohou být upraveny samotnou směrnicí. Tyto důležité otázky mohou naopak podléhat vnitrostátnímu právu nebo činnosti podle hlavy VI Smlouvy o EU (28).

117.

Evropský inspektor ochrany údajů ve svém stanovisku k návrhu této směrnice hájil širší výklad Smlouvy o ES, protože omezení přístupu je nezbytné pro zajištění odpovídající ochrany subjektu údajů, jehož komunikační údaje mají být uchovávány. Evropský zákonodárce bohužel pravidla pro přístup do výše uvedené směrnice nezahrnul.

118.

V tomto stanovisku evropský inspektor ochrany údajů opětovně uvádí, že výrazně upřednostňuje, aby právní předpisy EU zajišťovaly společné normy pro přístup a další využití ze strany donucovacích orgánů. Pokud toto není řešeno v rámci prvního pilíře, mohl by nezbytnou ochranu zajistit nástroj v rámci třetího pilíře. Toto stanovisko evropského inspektora ochrany údajů je navíc podpořeno celkovým nárůstem výměn údajů mezi členskými státy a nedávným návrhem o zásadě dostupnosti. Různé vnitrostátní předpisy o přístupu a dalším využití by nebyly slučitelné s navrhovaným „volným oběhem“ informací pro vymáhání práva v rámci celé EU, což zahrnuje i údaje ze soukromých databází.

119.

Proto se evropský inspektor ochrany údajů domnívá, že pro přístup donucovacích orgánů k osobním údajům soukromých stran by měly platit společné normy, aby se zajistilo, že přístup bude povolen pouze na základě jasně stanovených podmínek a omezení. Zejména by měl být přístup příslušných orgánů povolován vždy pro jednotlivé případy, za přesně stanovených okolností a pro konkrétní účely a měl by být pod soudní kontrolou v členských státech.

120.

Kapitola IV se zabývá právy subjektu údajů způsobem, který je v zásadě v souladu se stávajícími právními předpisy pro ochranu údajů s článkem 8 Listiny základních práv EU.

121.

Evropský inspektor ochrany údajů tato ustanovení vítá, neboť zajišťují harmonizovaný soubor práv subjektu údajů a současně zohledňují zvláštnosti zpracování údajů ze strany donucovacích a soudních orgánů. Jde o výrazné zlepšení, protože stávající situace je charakterizována širokým spektrem pravidel a postupů, zejména pokud jde o právo přístupu. Některé členské státy nepovolují subjektu údajů přístup k jeho údajům, ale mají systém „nepřímého přístupu“ (který jménem subjektu údajů provádí vnitrostátní orgán pro ochranu údajů).

122.

Podle tohoto návrhu se možné výjimky z práva přímého přístupu slaďují. Tato skutečnost je o to důležitější, že umožňuje občanům, jejichž údaje jsou stále častěji zpracovávány a předávány mezi příslušnými orgány různých členských států EU, využívat harmonizovaného souboru práv jako subjektům údajů, bez ohledu na to, v kterém členském státě jsou údaje shromážděny a zpracovány (29).

123.

Evropský inspektor ochrany údajů uznává možnost omezit práva subjektu údajů v těch případech, kdy je to nezbytné pro účely předcházení trestným činům, jejich vyšetřování, odhalování a stíhání. V každém případě, protože tato omezení je třeba považovat za výjimky ze základních práv subjektů údajů, měl by platit přísný test přiměřenosti. To znamená, že výjimky by měly být omezené a jasně vymezené a že omezení by měla být pokud možno částečná a časově omezená.

124.

V tomto ohledu by evropský inspektor ochrany údajů rád zákonodárce upozornil zejména na písmeno a) odstavce 2 článků 19, 20 a 21, jež stanoví velmi širokou a nevymezenou výjimku z práv subjektů údajů tím, že uvádí, že tato práva je možné omezit, je-li to nezbytné, aby se „správci umožnilo řádně plnit jeho zákonné povinnosti“. Navíc se tato výjimka překrývá s ustanovením písmene b), které umožňuje omezení práv subjektu údajů, je-li to nezbytné, aby se „zabránilo ovlivnění probíhajících vyšetřování, dotazování nebo řízení nebo splnění zákonných povinností příslušných orgánů.“ Zatímco tuto druhou výjimku je možné považovat za odůvodněnou, zdá se, že první výjimka znamená pro práva subjektu údajů nepřiměřené omezení. Proto evropský inspektor ochrany údajů doporučuje vypustit písm. a) v odstavci 2 článků 19, 20 a 21.

125.

Kromě toho evropský inspektor ochrany údajů doporučuje zlepšit znění článků 19, 20 a 21 takto:

126.

Evropský inspektor ochrany údajů lituje, že se návrh vůbec nezabývá důležitou otázkou automatizovaných individuálních rozhodnutí. Zkušenosti z praxe ve skutečnosti ukazují, že donucovací orgány stále více využívají automatizované zpracování údajů určené pro hodnocení určitých osobnostních stránek osob, zejména pro posouzení jejich spolehlivosti a chování.

127.

Přestože evropský inspektor ochrany údajů uznává, že tyto systémy mohou být v určitých případech nezbytné pro zvýšení účinnosti činnosti v oblasti vymáhání práva, konstatuje, že rozhodnutí založená výhradně na automatizovaném zpracování údajů by měla podléhat velmi přísným podmínkám a ochranným opatřením, pokud mají právní následky pro určitou osobu nebo pokud určitou osobu výrazně postihují. Ještě důležitější je to v oblasti třetího pilíře, neboť v tomto případě mají příslušné orgány veřejné donucovací pravomoci a je proto pravděpodobné, že jejich rozhodnutí a činnosti budou postihovat osoby nebo budou více rušivé, než by tomu normálně bylo v případech, kdy tato rozhodnutí přijímají nebo činnosti provádějí soukromé strany.

128.

Zejména, a v souladu s obecnými zásadami ochrany údajů, by tato rozhodnutí nebo tyto činnosti měly být přípustné, pouze pokud jsou výslovně povoleny zákonem nebo příslušným orgánem dozoru, a měly by podléhat vhodným opatřením zaměřeným na ochranu oprávněných zájmů subjektu údajů. Kromě toho by subjekt údajů měl mít snadno přístupné prostředky, jež by mu umožňovaly přednést své stanovisko a pochopit logiku rozhodnutí, pokud to není neslučitelné s účelem, pro který jsou údaje zpracovávány.

129.

Proto evropský inspektor ochrany údajů doporučuje zavést zvláštní ustanovení o automatizovaných individuálních rozhodnutích, v souladu se stávajícími právními předpisy pro ochranu údajů.

130.

Pokud jde o bezpečnost zpracování, stanoví článek 24 povinnost správce provést odpovídající technická a organizační opatření, které jsou v souladu s ustanoveními jiných nástrojů EU pro ochranu údajů. Kromě toho odstavec 2 uvádí podrobný a úplný seznam opatření, která je třeba provést, pokud jde o automatizované zpracování údajů.

131.

Evropský inspektor ochrany údajů toto ustanovení vítá, ale pro usnadnění účinné kontroly ze strany orgánů dozoru navrhuje do seznamu opatření uvedeného v odstavci 2 přidat toto doplňující opatření: „k) provést opatření pro systematické sledování účinnosti těchto bezpečnostních opatření a podávání zpráv o ní (systematické interní kontroly bezpečnostních opatření)“  (30).

132.

Článek 10 stanoví, že se každé automatizované předání a příjem osobních údajů zaprotokoluje (v případě automatizovaného předání) nebo zdokumentuje (v případě neautomatizovaného předání), aby se zajistilo následné ověření zákonnosti předání a zpracování údajů. Tyto informace budou na požádání k dispozici příslušnému orgánu dozoru.

133.

Evropský inspektor ochrany údajů toto ustanovení vítá. Evropský inspektor ochrany údajů však konstatuje, že pro zajištění komplexního dohledu a kontrolu správného využívání osobních údajů by měl být rovněž protokolován nebo dokumentován „přístup“ k údajům. Tyto informace jsou velice důležité, protože účinné sledování správného zpracování osobních údajů se musí zaměřovat nejenom na zákonnost předávání osobních údajů mezi orgány, ale také na zákonnost přístupu ze strany těchto orgánů (31). Proto evropský inspektor ochrany údajů doporučuje pozměnit článek 10 tak, aby zajišťoval, že i přístup k údajům bude protokolován a dokumentován.

134.

Kapitola VI návrhu se zabývá soudním přezkumem (článek 27), odpovědností (článek 28) a sankcemi (článek 29). Ustanovení jsou obecně v souladu s platnými právními předpisy EU pro ochranu údajů.

135.

Pokud jde o sankce, evropský inspektor ochrany údajů vítá zejména upřesnění, že sankce v případě porušení ustanovení stanovených podle rámcového rozhodnutí musí být účinné, přiměřené a odrazující. Kromě toho trestněprávní sankce v případě úmyslně spáchaných trestných činů, které znamenají závažná porušení, zejména s ohledem na důvěrnost a bezpečnost zpracovávání, zaručí více odstrašující účinek pro případ závažnějších porušení právních předpisů na ochranu údajů.

136.

Ustanovení návrhu, jež se zabývají kontrolou a dohledem nad zpracováním údajů, jakož i konzultacemi záležitostí týkajících se zpracování údajů se do značné míry podobají ustanovením směrnice 95/46/ES. Evropský inspektor ochrany údajů vítá skutečnost, že se Komise ve svém návrhu rozhodla pro již osvědčené a fungující mechanismy, a zdůrazňuje zejména zavedení (povinného) systému předběžné kontroly. Nejenže je tento systém plánován ve směrnici 95/46/ES, je navíc i součástí nařízení 45/2001/ES a ukázalo se, že je účinným nástrojem, který má evropský inspektor ochrany údajů k dispozici v rámci dohledu nad zpracováním údajů v orgánech a subjektech Evropských společenství.

137.

Dalším nástrojem kontroly a dohledu v případě zpracování údajů, který prokázal svoji účinnost, je jmenování inspektorů ochrany údajů správcem. Tento nástroj je využíván v několika členských státech. V nařízení 45/2001/ES je stanoven jakožto povinný nástroj a na úrovni Evropských společenství hraje klíčovou úlohu. Inspektoři ochrany údajů jsou administrativní pracovníci, kteří v rámci organizace nezávislým způsobem zajišťují interní uplatňování ustanovení o ochraně údajů.

138.

Evropský inspektor ochrany údajů doporučuje doplnit do návrhu ustanovení týkající se inspektorů ochrany údajů. Tato ustanovení by mohla být vytvořena obdobně jako články 24 až 26 nařízení 45/2001/ES.

139.

Návrh rámcového rozhodnutí je určen členským státům. Je proto logické, že článek 30 návrhu předpokládá dohled prostřednictvím nezávislých orgánů dozoru. Tento článek je vypracován obdobně jako článek 28 směrnice 95/46/ES. Tyto vnitrostátní orgány by měly spolupracovat navzájem mezi sebou, se společnými orgány dozoru zřízenými podle hlavy VI smlouvy o EU a s evropským inspektorem ochrany údajů. Kromě toho článek 31 návrhu předpokládá zřízení pracovní skupiny, která musí mít obdobnou úlohu, jakou má Pracovní skupina článku 29, pokud jde o záležitosti spadající do prvního pilíře. Všechny příslušné subjekty v oblasti ochrany údajů jsou uvedeny v článku 31 návrhu.

140.

V návrhu, který předpokládá zlepšení policejní a soudní spolupráce mezi členskými státy, samozřejmě hraje významnou úlohu spolupráce mezi všemi příslušnými subjekty v oblasti ochrany údajů. Evropský inspektor ochrany údajů proto vítá důraz, který návrh klade na spolupráci mezi orgány dozoru.

141.

Kromě toho evropský inspektor ochrany údajů zdůrazňuje význam soudržného přístupu k otázkám ochrany údajů, jež by mohly být podpořeny posílením komunikace mezi stávající Pracovní skupinou článku 29 a pracovní skupinou zřízenou stávajícím návrhem rámcového rozhodnutí. Evropský inspektor ochrany údajů doporučuje pozměnit čl. 31 odst. 2 návrhu tak, aby opravňoval předsedu Pracovní skupiny článku 29 účastnit se osobně nebo v zastoupení jednání nové pracovní skupiny.

142.

Znění článku 31 stávajícího návrhu obsahuje jeden výrazný rozdíl oproti článku 29 směrnice 95/46/ES. Evropský inspektor ochrany údajů je řádným členem Pracovní skupiny článku 29. Toto členství zahrnuje hlasovací právo. Stávající návrh označuje evropského inspektora ochrany údajů rovněž za člena pracovní skupiny (založené na článku 31), ale nepočítá pro něj s hlasovacím právem. Není jasné, proč se stávající návrh odchyluje od článku 29 směrnice 95/46/ES. Podle názoru evropského inspektora ochrany údajů není navrhované znění, pokud jde o úlohu evropského inspektora ochrany údajů, jednoznačné, což by mohlo bránit jeho účinnému zapojení do práce v rámci pracovní skupiny. Evropský inspektor ochrany údajů proto doporučuje zachovat soudržnost se zněním směrnice.

143.

Kapitola VIII návrhu obsahuje některá konečná ustanovení, jimiž se mění Schengenská úmluva a další nástroje týkající se zpracování a ochrany osobních údajů.

144.

Článek 33 návrhu stanoví, že články 126 až 130 Schengenské úmluvy budou nahrazeny tímto rozhodnutím v záležitostech spadajících do oblasti působnosti Smlouvy o EU. Články 126 až 130 Schengenské úmluvy obsahují obecná pravidla ochrany údajů pro zpracování údajů předávaných podle úmluvy (ale mimo Schengenský informační systém).

145.

Evropský inspektor ochrany údajů vítá toto nahrazení, jelikož se jím zlepšuje soudržnost systému ochrany údajů ve třetím pilíři a v některých ohledech znamená výrazné zlepšení ochrany osobních údajů, například rozšířením pravomocí orgánů dozoru. V některých bodech však má za následek nezamýšlené – a nešťastné – snížení úrovně ochrany údajů. Některá ustanovení Schengenské úmluvy jsou skutečně přísnější než ustanovení rámcového rozhodnutí.

146.

Evropský inspektor ochrany údajů uvádí zejména čl. 126 odst. 3 písm. b) Schengenské úmluvy, jenž stanoví, že údaje mohou používat pouze soudní orgány a složky a orgány plnící úkoly nebo vykonávající povinnosti v souvislosti s účely určenými úmluvou. Toto ustanovení patrně vylučuje předání soukromým stranám, přičemž navrhované rámcové rozhodnutí by to umožňovalo. Dalším bodem je skutečnost, že ustanovení o ochraně údajů v Schengenské úmluvě se vztahují i na všechny údaje předávané z neautomatizovaných souborů nebo údaje v nich obsažené (článek 127), zatímco nestrukturované soubory jsou z oblasti působnosti navrhovaného rámcového rozhodnutí vyloučeny.

147.

Článek 34 stanoví, že článek 23 Úmluvy o vzájemné pomoci v trestních věcech mezi členskými státy Evropské unie se nahrazuje rámcovým rozhodnutím. Evropský inspektor ochrany údajů konstatuje, že přestože by toto nahrazení obecně zajistilo lepší ochranu osobních údajů vyměňovaných v rámci úmluvy, mohlo by rovněž vést k určitým problémům, pokud jde o slučitelnost těchto dvou nástrojů.

148.

Konkrétně jde o to, že úmluva se zabývá rovněž vzájemnou pomocí při odposlechu telekomunikací. V tomto případě může dožádaný členský stát dát souhlas – k odposlechu nebo předání záznamu telekomunikací – za podmínek, které by musely být dodrženy v obdobném vnitrostátním případě. V souladu s čl. 23 odst. 4 úmluvy budou mít tyto dodatečné podmínky, pokud se týkají použití osobních údajů, větší váhu než pravidla ochrany údajů stanovená článkem 23. Obdobně určuje čl. 23 odst. 5 přednost dodatečných pravidel chránících informace nashromážděné společnými vyšetřovacími týmy. Evropský inspektor ochrany údajů konstatuje, že pokud bude článek 23 nahrazen stávajícím návrhem, nebude jasné, zda budou výše uvedená dodatečná pravidla stále použitelná. Evropský inspektor ochrany údajů proto doporučuje objasnit tento bod v zájmu důkladného posouzení důsledků plného nahrazení článku 23 úmluvy tímto rámcovým rozhodnutím.

149.

Čl. 34 odst. 2 stanoví, že jakýkoliv odkaz na úmluvu č. 108 se chápe jako odkaz na toto rámcové rozhodnutí. Výklad a konkrétní použitelnost tohoto ustanovení nejsou zdaleka jasné. Evropský inspektor ochrany údajů v každém případě předpokládá, že toto ustanovení se použije pouze v rozsahu ratione materiae tohoto rámcového rozhodnutí.

150.

Pokud jde o systematickou soudržnost textu, Evropský inspektor ochrany údajů konstatuje, že některé články by mohly být v rámci znění návrhu lépe umístěny.

Evropský inspektor ochrany údajů proto navrhuje:

a)

Přijetí tohoto návrhu by znamenalo značný krok vpřed směrem k ochraně osobních údajů, v důležité oblasti, jež zejména vyžaduje důsledný a účinný mechanismus ochrany osobních údajů na úrovni Evropské unie.

b)

Účinná ochrana osobních údajů není důležitá pouze pro subjekty údajů, ale rovněž přispívá k úspěchu samotné policejní a soudní spolupráce. V mnoha aspektech jdou oba veřejné zájmy ruku v ruce.

c)

Podle názoru evropského inspektora ochrany údajů by nový rámec pro ochranu údajů měl nejenom dodržovat zásady ochrany údajů, což je důležité pro zaručení souladu v ochraně údajů v rámci Evropské unie, ale také byl měl poskytnout dodatečný soubor pravidel zohledňujících zvláštní povahu oblasti vymáhání práva.

d)

Stávající návrh splňuje tyto podmínky: zajišťuje, že v rámci oblasti třetího pilíře budou použity platné zásady ochrany údajů stanovené směrnicí 95/46/ES, jelikož většina ustanovení návrhu odráží jiné právní nástroje EU pro ochranu osobních údajů a je v souladu s těmito právními nástroji. Kromě toho poskytuje společné normy upřesňující tyto zásady s ohledem na jejich použití v této oblasti, které jsou v obecné rovině dostatečné k tomu, aby zajišťovaly přiměřená opatření pro ochranu údajů ve třetím pilíři.

e)

Pro dosažení cíle rámcového rozhodnutí je zásadní, aby do tohoto rozhodnutí byly zahrnuty veškeré policejní a soudní údaje, i pokud nejsou předány nebo zpřístupněny příslušnými orgány jiných členských států.

f)

Čl. 30 odst. 1 písm. b) a čl. 31 odst. 1 písm. c) Smlouvy o EU poskytují právní základ pro pravidla ochrany údajů neomezující se na ochranu osobních údajů, které si skutečně vyměňují příslušné orgány členských států, ale použitelná i pro vnitrostátní situace.

g)

Návrh se nevztahuje na zpracování v rámci druhého pilíře Smlouvy o EU (společná zahraniční a bezpečnostní politika), ani na zpracování údajů zpravodajskými službami a na přístup těchto služeb k těmto údajům, pokud jsou zpracovávány příslušnými orgány nebo jinými stranami (toto vyplývá z článku 33 Smlouvy o EU). V těchto oblastech je zajištění odpovídající ochrany subjektů údajů úkolem vnitrostátních právních předpisů. Tento nedostatek v ochraně na úrovni EU vyžaduje o to účinnější ochranu v oblastech, které jsou skutečně předmětem návrhu.

h)

Evropský inspektor ochrany údajů vítá skutečnost, že se návrh rozšiřuje o osobní údaje zpracovávané soudními orgány.

i)

Pokud jakýkoliv jiný konkrétní právní nástroj podle hlavy VI Smlouvy o EU stanoví přesnější podmínky nebo omezení pro zpracování údajů nebo přístup k nim, mělo by se konkrétní právní nástroj použít jako lex specialis.

j)

Stávající návrh rámcového rozhodnutí Rady o ochraně údajů má své výhody a je potřebný i v případě nepřijetí právního nástroje o dostupnosti (návrh Komise ze dne 12. října 2005).

k)

Vzhledem ke schválení směrnice o uchovávání komunikačních údajů Evropským parlamentem je stanovení právního rámce pro ochranu údajů v rámci třetího pilíře dokonce ještě naléhavější.

l)

Dodatečná pravidla v kapitole II (kromě obecných zásad směrnice 95/46/ES) by měla nabízet dodatečnou ochranu subjektů údajů v souvislosti se zvláštní situací oblasti třetího pilíře, nesmí však vést ke snížení úrovně ochrany.

m)

Kapitola III o zvláštních formách zpracování (do které je začleněna třetí rovina ochrany) se nesmí odchýlit od kapitoly II: ustanovení kapitoly III by měla nabízet dodatečnou ochranu subjektů údajů v situacích, kdy jsou zapojeny příslušné orgány více než jednoho členského státu, ale tato ustanovení nesmějí vést ke snížení úrovně ochrany

n)

Ustanovení týkající se ověřování kvality údajů (čl. 9 odst. 1 a 6) a omezující další zpracování osobních údajů (čl. 11 odst. 1) by měla být přesunuta do kapitoly II a měla by se vztahovat na veškeré zpracování údajů donucovacími orgány, i v případě, že osobní údaje nebyly předány nebo zpřístupněny jiným členským státem. V zájmu subjektů údajů i příslušných orgánů je zejména nutné zajistit, aby se řádné ověřování kvality vztahovalo na všechny osobní údaje.

o)

Návrh se zcela uspokojivě nezabývá jednou situací, která může při práci policie nastat: potřebou dalšího využití údajů pro účel považovaný na neslučitelný s účelem, pro který byly shromážděny.

p)

Podle právních předpisů EU pro ochranu údajů musejí být osobní údaje shromažďovány pro přesně a jasně stanovené účely a nesmějí být dále zpracovávány způsobem neslučitelným s těmito účely. Pokud jde o další využití, musí být umožněna určitá pružnost. Je pravděpodobnější, že omezení shromažďování bude zcela dodržováno, pokud budou orgány pověřené vnitřní bezpečností vědět, že se mohou, při dodržení odpovídajících ochranných opatření, spolehnout na výjimku z omezení, pokud jde o další využití.

q)

Rámcové rozhodnutí by mělo v kapitole II stanovit, že členským státům by mělo být povoleno přijmout právní opatření pro umožnění dalšího zpracování, pokud je toto opatření nezbytné pro zajištění:

Tyto pravomoci členských států by mohly zahrnovat zpracování narušující soukromí, a měly by je proto doprovázet velmi přísné podmínky.

r)

Zásady nezbytnosti a proporcionality návrhu by měly plně odrážet judikaturu Evropského soudu pro lidská práva, a to zajištěním toho, aby zpracování osobních údajů bylo považováno za nezbytné, pouze pokud mohou příslušné orgány jasně prokázat jeho nezbytnost, a za předpokladu, že nejsou k dispozici opatření méně narušující soukromí.

s)

Pokud by údaje mohly být předány třetím zemím bez zajištění ochrany subjektu údajů, vážně by to narušilo ochranu předpokládanou stávajícím návrhem na území Evropské unie. Evropský inspektor ochrany údajů doporučuje pozměnit stávající návrh tak, aby bylo zajištěno, že se článek 15 bude vztahovat na výměnu veškerých osobních údajů se třetími zeměmi. Toto doporučení se nevztahuje na čl. 15 odst. 1 písm. c).

t)

Pokud jsou osobní údaje předávány ze třetích zemí, měla by se před jejich použitím důkladně posoudit jejich kvalita z hlediska dodržování lidských práv a norem pro ochranu údajů.

u)

Předání soukromým stranám a jiným veřejným subjektům může být v konkrétních případech nezbytné za účelem předejití trestnému činu a boje proti němu, je však třeba uplatnit zvláštní a přísné podmínky. Evropský inspektor ochrany údajů doporučuje pozměnit stávající návrh tak, aby bylo zajištěno, že se články 13 a 14 budou vztahovat na výměnu veškerých osobních údajů, včetně údajů nepřijatých nebo nezpřístupněných jiným členským státem. Toto doporučení se nevztahuje na čl. 13 písm. c) a čl. 14 písm. c).

v)

Pro přístup donucovacích orgánů k osobním údajům v držení soukromých stran by měly platit společné normy, aby se zajistilo, že přístup bude povolen pouze na základě jasně stanovených podmínek a omezení.

w)

Zvláštní ochranná opatření by měla být poskytnuta zejména v zájmu zajištění toho, aby:

x)

Osobní údaje týkající se různých kategorií osob (osoby podezřelé, osoby odsouzené, oběti, svědci atd.) by měly být zpracovávány na základě různých, přiměřených podmínek a ochranných opatření. Evropský inspektor ochrany údajů proto navrhuje doplnit do článku 4 nový odstavec, který obsahuje tyto body:

y)

Rozhodnutí založená pouze na automatizovaném zpracování údajů by měla podléhat velmi přísným podmínkám, pokud mají účinky na určitou osobu nebo určitou osobu výrazně ovlivňují. Evropský inspektor ochrany údajů proto doporučuje zavedení zvláštních ustanovení o automatizovaných individuálních rozhodnutích podobných ustanovením směrnice 95/46/ES.

z)

Evropský inspektor ochrany údajů doporučuje:

1.

jestliže uvedené údaje neměly být předány, zpřístupněny nebo obdrženy,

2.

po uplynutí lhůty sdělené odesílajícím orgánem, pokud nejsou osobní údaje i nadále potřebné pro soudní řízení,

3.

jestliže údaje nejsou nebo již nejsou nezbytné pro účel, pro který byly předány.