25.10.2008   

CS

Úřední věstník Evropské unie

C 270/1

1.

Systém pro výměnu informací o vnitřním trhu (dále jen „IMI“) je nástroj informační technologie, který příslušným orgánům v členských státech umožní vzájemnou výměnu informací při provádění legislativy v oblasti vnitřního trhu. IMI je financován v rámci programu „IDABC“ (interoperabilní poskytování celoevropských služeb elektronické správy (eGovernment) orgánům veřejné správy, podnikům a občanům) (1).

2.

IMI je vytvořen jako obecný systém na podporu mnoha oblastí legislativy týkající se vnitřního trhu a předpokládá se, že jeho využití se v budoucnosti rozšíří tak, aby podporoval řadu legislativních oblastí. IMI bude zpočátku využíván na podporu ustanovení směrnice 2005/36/ES („směrnice o odborných kvalifikacích“) (2) týkajících se vzájemné pomoci. Od prosince roku 2009 bude IMI rovněž využíván na podporu ustanovení směrnice 2006/123/ES („směrnice o službách“) (3) týkajících se správní spolupráce.

3.

V průběhu jara roku 2007 požádala Evropská komise o stanovisko Pracovní skupiny pro ochranu údajů zřízené podle článku 29 (dále jen „pracovní skupina“) s cílem přezkoumat dopady systému IMI v oblasti ochrany údajů. Pracovní skupina vydala dne 20. září 2007 stanovisko o aspektech ochrany údajů souvisejících s IMI (4) Stanovisko pracovní skupiny podpořilo plány Komise přijmout rozhodnutí upravující aspekty ochrany údajů související s IMI a stanovit konkrétnější právní základ pro výměnu informací v rámci IMI.

4.

Evropský inspektor ochrany údajů (dále jen „EIOÚ“) vítá, že si Komise před vypracováním návrhu rozhodnutí o systému IMI vyžádala stanovisko pracovní skupiny. EIOÚ se aktivně podílel na práci podskupiny zabývající se IMI a podporuje závěry příslušného stanoviska pracovní skupiny. Rovněž vítá, že Komise neformálně konzultovala EIOÚ před přijetím rozhodnutí o systému IMI. To poskytlo příležitost podat návrhy ještě před přijetím, což bylo obzvláště nutné, neboť postup se týkal rozhodnutí Komise samotné, nikoli návrhu Komise, po němž by následoval legislativní postup zahrnující Radu a Evropský parlament.

5.

Dne 12. prosince 2007 přijala Komise rozhodnutí 2008/49/ES týkající se provádění systému pro výměnu informací o vnitřním trhu (IMI), pokud jde o ochranu osobních údajů (dále jen „rozhodnutí o systému IMI“). Rozhodnutí zohlednilo některá z doporučení EIOÚ a pracovní skupiny. Dále konkrétně stanovilo právní základ.

6.

Celkový pohled EIOÚ na IMI je pozitivní. EIOÚ podporuje cíle Komise spočívající ve zřízení elektronického systému pro výměnu informací a v regulaci aspektů tohoto systému týkajících se ochrany údajů. Takový racionalizovaný systém může nejen posílit účinnost spolupráce, ale může rovněž napomoci při zajištění souladu s použitelnými zákony na ochranu údajů. Systém toho může dosáhnout vytvořením jasného rámce, který stanoví, jaké druhy informací mohou být vyměňovány, s kým a za jakých podmínek.

7.

Zřízení centralizovaného elektronického systému nicméně rovněž vytváří určitá rizika. K těm nejdůležitějším patří riziko, že by mohlo být sdíleno více údajů a v širší rovině, než je nezbytně nutné pro účely účinné spolupráce, a že údaje, včetně potenciálně zastaralých a nepřesných údajů, by mohly v elektronickém systému zůstat déle, než je nezbytně nutné. Citlivou otázkou je rovněž bezpečnost databáze přístupné v 27 členských státech, protože daný systém je pouze tak bezpečný, nakolik to umožňuje nejslabší článek v příslušné síti.

8.

Proto je velmi důležité, aby otázky týkající se ochrany údajů byly řešeny v právně závazném aktu Společenství co nejúplněji a nejjednoznačněji.

9.

EIOÚ vítá, že Komise jasně definuje a vymezuje oblast působnosti IMI a v příloze uvádí seznam příslušných aktů Společenství, na jejichž základě je možné vyměňovat informace. Tyto akty zahrnují v současné době pouze směrnici o odborných kvalifikacích a směrnici o službách; očekává se však, že oblast působnosti IMI bude v budoucnosti rozšířena. Bude-li přijata nová legislativa, která pro výměnu informací stanoví použití IMI, bude současně aktualizována i dotčená příloha. EIOÚ vítá tuto metodu, neboť i) jasně vymezuje oblast působnosti IMI a ii) zajišťuje transparentnost, přičemž současně iii) umožňuje flexibilitu pro případ, že systém IMI bude v budoucnosti používán pro další výměny informací. Tato metoda rovněž zajišťuje, že žádná výměna informací nemůže být prostřednictvím IMI provedena, pokud i) nebude existovat vhodný právní základ v konkrétní legislativě v oblasti vnitřního trhu umožňující nebo ukládající výměnu informací a pokud ii) do přílohy rozhodnutí o systému IMI nebude zahrnut odkaz na tento právní základ.

10.

EIOÚ však není spokojen i) s volbou právního základu rozhodnutí o systému IMI, v jejímž důsledku je rozhodnutí o systému IMI nyní založeno na nejistých právních základech (viz část 2 tohoto stanoviska), a ii) se skutečností, že řada nutných ustanovení upravujících podrobně aspekty ochrany údajů systému IMI není do dokumentu zapracována (viz část 3 stanoviska).

11.

Řešení přijaté Komisí v praxi bohužel znamená, že na rozdíl od očekávání EIOÚ a pracovní skupiny nyní rozhodnutí o systému IMI neupravuje souhrnně všechny hlavní aspekty ochrany údajů týkající se IMI, včetně především způsobu, jímž společní kontroloři sdílejí odpovědnost, pokud jde o oznamovací povinnost, a jímž udělují právo přístupu subjektům údajů, ani neupravuje konkrétní praktické otázky přiměřenosti. EIOÚ rovněž vyjadřuje politování nad tím, že po Komisi není konkrétně požadováno, aby zveřejnila předem definované otázky a oblasti údajů na svých internetových stránkách, což by zvýšilo transparentnost a právní jistotu.

12.

Právním základem rozhodnutí o systému IMI, jak je stanoveno v samotném rozhodnutí, je rozhodnutí Evropského parlamentu a Rady ze dne 21. dubna 2004 o interoperabilním poskytování celoevropských služeb elektronické správy (eGovernment) orgánům veřejné správy, podnikům a občanům (IDABC) (5) (dále jen „rozhodnutí o programu IDABC“), a zejména článek 4 uvedeného rozhodnutí.

13.

Samotné rozhodnutí o programu IDABC je jedním z nástrojů v rámci hlavy XV Smlouvy o založení Evropského společenství („Smlouvy o ES“): Transevropské sítě. Článek 154 Smlouvy o ES stanoví, že Společenství přispívá ke zřizování a rozvoji transevropských sítí v oblastech dopravních, telekomunikačních a energetických infrastruktur. Cílem těchto opatření je podpora propojení a interoperability vnitrostátních sítí, jakož i přístupu k nim. Článek 155 uvádí opatření, která může Společenství v tomto rámci přijmout. Jde o i) hlavní směry, ii) akce, které se případně ukáží nezbytné pro zajištění interoperability sítí, zejména v oblasti harmonizace technických norem, iii) a o podporu projektů. Rozhodnutí o programu IDABC je založeno na čl. 156 odst. 1, upravující postup přijetí.

14.

Článek 4 rozhodnutí o programu IDABC mimo jiné stanoví, že Společenství provádí projekty společného zájmu. Tyto projekty musí být zahrnuty v průběžném pracovním programu a jejich provádění musí být v souladu se zásadami uvedenými v článcích 6 a 7 rozhodnutí o programu IDABC. Tyto zásady především podporují širokou účast, předpokládají řádný a nestranný postup a stanoví harmonizaci technických norem. Jejich cílem je rovněž zajistit ekonomickou spolehlivost a proveditelnost projektů.

15.

Jak bylo vysvětleno výše, v počátečním období bude systém pro výměnu informací o vnitřním trhu používán pro výměnu osobních údajů v kontextu dvou směrnic:

16.

Čl. 34 odst. 1 směrnice o službách stanoví konkrétní právní základ pro zavedení elektronického systému pro výměnu informací mezi členskými státy jako doprovodné opatření pro účely dané směrnice. Čl. 34 odst. 1 zní takto: „Komise ve spolupráci s členskými státy zavede elektronický systém pro výměnu informací mezi členskými státy, a to s ohledem na stávající informační systémy.“

17.

Směrnice o odborných kvalifikacích nepředpokládá zvláštní elektronický systém pro výměnu informací, avšak podle několika svých ustanovení výměnu informací jasně požaduje. Příslušná ustanovení upravující výměnu informací zahrnují článek 56 uvedené směrnice, který po příslušných orgánech členských států požaduje, aby úzce spolupracovaly a poskytovaly si vzájemnou pomoc s cílem usnadnit provádění této směrnice. Druhý odstavec článku 56 stanoví, že některé citlivé informace se zpracovávají, přičemž je nutno dodržovat právní předpisy o ochraně údajů. Článek 8 dále rovněž konkrétně stanoví, že příslušné orgány hostitelského členského státu mohou požádat příslušné orgány členského státu usazení, aby jim poskytly informace o usazení poskytovatele služeb v souladu s právními předpisy, jeho bezúhonnosti a o tom, že neexistují žádné disciplinární nebo trestněprávní sankce profesní povahy. Čl. 50 odst. 2 nakonec stanoví, že v případě důvodných pochybností může hostitelský členský stát požadovat od příslušných orgánů členského státu potvrzení o pravosti osvědčení a dokladů o dosažené kvalifikaci a odborné přípravě.

18.

Ochrana osobních údajů je uznána jako základní právo v článku 8 Listiny základních práv Unie a v případě judikatury na základě článku 8 Evropské úmluvy o lidských právech (dále jen „ECHR“).

19.

Rozhodnutí o systému IMI v článku 1 stanoví konkrétně funkce, práva a povinnosti aktérů a uživatelů v systému IMI, pokud jde o požadavky na ochranu údajů. EIOÚ ze 7. bodu odůvodnění vyrozuměl, že záměrem rozhodnutí o systému IMI je konkrétní stanovení obecného rámce Společenství v oblasti ochrany údajů podle směrnice 95/46/ES a nařízení (ES) č. 45/2001. Uvedené rozhodnutí se konkrétně zabývá definováním kontrolorů a jejich odpovědností, dobou uchovávání údajů a právy subjektů údajů. Rozhodnutí o systému IMI se tudíž zabývá omezeními a specifikacemi základních práv a jeho cílem je konkrétní stanovení subjektivních práv občanů.

20.

Na základě judikatury podle ECHR by nemělo být pochyb o právním postavení ustanovení omezujících základní práva. Tato ustanovení musí být uvedena v právním nástroji na základě Smlouvy o ES, který může uplatněn před soudcem. V opačném případě by vznikla právní nejistota pro subjekt údajů, protože tento subjekt se nemůže spoléhat na skutečnost, že může daná pravidla uplatňovat před soudem.

21.

Otázka právní jistoty je ještě významnější, neboť podle systému Smlouvy o ES to budou primárně soudci členských států, kteří podle svého uvážení rozhodnou o tom, jakou hodnotu přisoudí rozhodnutí o systému IMI. To by mohlo vést k různým výsledkům v různých členských státech a dokonce i v rámci jednoho členského státu. Taková právní nejistota je nepřijatelná.

22.

Neexistence (jistoty) opravných prostředků by byla každopádně v rozporu s článkem 6 ECHR, který stanoví právo na spravedlivý soud, a v rozporu s judikaturou související s tímto článkem. V takovém případě by Společenství neplnilo své povinnosti podle článku 6 Smlouvy o Evropské Unii (dále jen „Smlouvy o EU“), jež po Unii vyžaduje dodržování základních práv, která zaručuje ECHR.

23.

EIOÚ je hluboce znepokojen tím, že volbou článku 4 rozhodnutí o programu IDABC jako právního základu daného rozhodnutí navrhovatelé rozhodnutí Komise zřejmě nevyhověli zkoušce právní jistoty uvedené výše. EIOÚ uvádí níže prvky, které mohou vyvolat pochybnosti o přiměřenosti volby právního základu rozhodnutí o systému IMI:

24.

Rozhodnutí o systému IMI potřebuje z výše uvedených důvodů pevný právní základ. Existují vážné pochybnosti o tom, zda právní základ rozhodnutí o systému IMI splňuje požadavky právní jistoty. EIOÚ doporučuje, aby Komise znovu zvážila tento právní základ a hledala řešení k nápravě nedokonalostí zvoleného právního základu, s případným důsledkem v podobě nahrazení rozhodnutí o systému IMI právním nástrojem splňujícím požadavek právní jistoty.

25.

V této souvislosti by nejvhodnějším řešením mohla být možnost přijetí samostatného právního nástroje pro systém IMI ze strany Rady a Evropského parlamentu, podobně jako v případě schengenského informačního systému, vízového informačního systému a jiných rozsáhlých databází IT.

26.

EIOÚ doporučuje provést analýzu této možnosti. Tento samostatný právní nástroj by se pak mohl zabývat funkcemi, právy a povinnosti aktérů a uživatelů systému IMI, pokud jde o požadavky na ochranu údajů (otázka definovaná v rozhodnutí o systému IMI) a rovněž pokud jde o další požadavky související se zřízením a fungováním systému IMI.

27.

Druhou možností by mohlo být nalezení právního základu v jednotlivých nástrojích týkajících se vnitřního trhu. Pokud se rozhodnutí o systému IMI použije na výměnu osobních údajů v souvislosti se směrnicí o službách, je třeba dále vyhodnotit, zda by nezbytný právní základ mohla tvořit tato směrnice samotná – zejména článek 34. Pokud se rozhodnutí o systému IMI použije pro výměnu osobních údajů v souvislosti se směrnicí o odborných kvalifikacích, by mohl být rovněž uplatněn podobný přístup: konkrétní a jasný právní základ by mohl být vytvořen také pozměněním směrnice samotné.

28.

Pokud jde o další právní předpisy v oblasti vnitřního trhu, které v budoucnosti mohou požadovat výměnu informací mezi příslušnými orgány v členských státech, v těchto nových zvláštních právních předpisech mohl být pokaždé přijat konkrétní právní základ.

29.

V této části stanoviska se EIOÚ zabývá ustanoveními upravujícími aspekty systému IMI týkající se ochrany údajů, jak jsou uvedeny v rozhodnutí o systému IMI. Návrhy EIOÚ by mohly být zahrnuty v novém právním nástroji nahrazujícím rozhodnutí o systému IMI, jak bylo navrženo výše. Nebude-li však takový nový nástroj existovat, mohly by být příslušné návrhy zahrnuty do vlastního rozhodnutí o systému IMI po pozměnění tohoto rozhodnutí.

30.

Některé z návrhů by navíc aktéři v systému IMI mohli již v současnosti uplatnit v praxi, aniž by se rozhodnutí pozměnilo. EIOÚ očekává, že Komise převezme doporučení uvedená v tomto stanovisku alespoň na operační úrovni do té míry, v jaké souvisejí s činností Komise jako aktéra v systému IMI a v jaké tudíž podléhají dozoru EIOÚ.

31.

EIOÚ vítá, že Komise na internetových stránkách systému IMI zveřejnila první soubor předem vymezených otázek a dalších oblastí údajů. Tyto otázky souvisí s výměnami informací podle směrnice o odborných kvalifikacích.

32.

Aby byla jasně stanovena povinnost Komise tyto osvědčené postupy dodržovat a aby se tak zajistila a dále zlepšila transparentnost, EIOÚ doporučuje, aby právní nástroj pro systém IMI stanovil povinnost Komise zveřejnit předem vymezené otázky a další oblasti údajů na internetových stránkách systému IMI.

33.

Pokud jde o přiměřenost, právní nástroj pro systém IMI by měl konkrétně stanovit, že předem vymezené otázky a další oblasti údajů musí být adekvátní, relevantní a přiměřené. EIOÚ má navíc dvě konkrétní doporučení, pokud jde o přiměřenost:

34.

Rozdělení odpovědností v článku 3 rozhodnutí o systému IMI je nejasné a nejednoznačné. EIOÚ uznává, že nemusí být proveditelné v rozhodnutí o systému IMI konkrétně určit každou jednotlivou činnost zpracování a rozdělit odpovědnost za každou činnost Komisi nebo konkrétnímu příslušnému orgánu v konkrétním členském státě. Avšak alespoň s ohledem na nejdůležitější povinnosti kontrolora v oblasti ochrany údajů by v rozhodnutí o systému IMI měly být uvedeny některé pokyny.

35.

EIOÚ zejména doporučuje, aby právní nástroj pro systém IMI konkrétně stanovil, že:

36.

EIOÚ doporučuje, aby byl do právního nástroje pro systém IMI vložen nový odstavec týkající se rozdělení odpovědnosti za oznamovací povinnost mezi společné kontrolory v souladu s „vrstveným“ přístupem. Znění by mělo konkrétně stanovit zejména toto:

37.

EIOÚ rovněž doporučuje, aby byl vložen nový odstave, s cílem:

38.

Dále by mělo být konkrétně stanoveno, že Komise může poskytovat přístup pouze k údajům, k nimž má sama legitimní přístup. Komise proto nebude mít povinnost poskytovat přístup k výměnám informací mezi příslušnými orgány. Pokud se však subjekt údajů obrátí na Komisi s takovou žádostí, Komise by měla subjekty údajů neprodleně odkázat na orgány, které mají přístup k daným informacím, a odpovídajícím způsobem subjekt údajů informovat.

39.

Čl. 4 odst. 1 rozhodnutí o systému IMI stanoví dobu uchování údajů v délce šesti měsíců od „formálního ukončení“ výměny informací.

40.

EIOÚ si je vědom toho, že příslušné orgány mohou potřebovat určitou flexibilitu, pokud jde o uchovávání údajů vzhledem ke skutečnosti, že se mohou vyskytnout doplňující otázky nad rámec původní otázky a odpovědi, které se budou týkat stejného případu mezi příslušnými orgány. Během přípravy stanoviska pracovní skupiny Komise vysvětlila, že správní postupy, v jejichž rámci mohou být nutné výměny informací, jsou obvykle ukončovány během několika měsíců a šestiměsíční doba uchování byla stanovena s cílem umožnit flexibilitu pro případ neočekávaných prodlení.

41.

Vzhledem k výše uvedenému a na základě vysvětlení Komise má EIOÚ pochybnosti o tom, zda existuje legitimní důvod pro uchovávání údajů v systému IMI po dalších šest měsíců po formálním ukončení výměny informací. EIOÚ proto doporučuje, aby šestiměsíční lhůta pro automatický výmaz začala běžet ke dni, kdy dožadující orgán poprvé kontaktuje svůj protějšek v rámci konkrétní výměny informací. Lepším přístupem by skutečně bylo stanovit lhůtu pro automatický výmaz podle různých druhů výměny informací (přičemž lhůta by se vždy počítala od zahájení dané výměny). Například šestiměsíční lhůta pro uchování sice může být vhodná pro výměny informací podle směrnice o odborných kvalifikacích, avšak nemusí být nezbytně dostačující pro jiné výměny informací podle budoucích právních předpisů v oblasti vnitřního trhu.

42.

EIOÚ rovněž dodává, že pokud by jeho doporučení nebyla zohledněna, mělo by se přinejmenším vyjasnit, co se rozumí „formálním ukončením“ výměny informací. Zejména musí být zajištěno, aby žádné údaje nemohly v databázi zůstávat déle, než je nezbytně nutné, jen z toho důvodu, že příslušný orgán opomněl „uzavřít danou věc“.

43.

EIOÚ dále doporučuje, aby se změnila logická posloupnost výmazu-uchování v druhém odstavci článku 4. Komise by každopádně měla vyhovět žádostem o výmaz do 10 pracovních dnů bez ohledu na to, zda by druhý příslušný orgán účastnící se výměny informací chtěl informaci v systému IMI uchovat, nebo ne. Měl by však existovat automatický mechanismus pro zaslání oznámení tomuto druhému příslušnému orgánu tak, aby nedošlo ke ztrátě údajů a aby si daný příslušný orgán,, pokud si to přeje, mohl informace stáhnout nebo vytisknout a uložit pro vlastní účely mimo systém IMI při dodržení vlastních pravidel na ochranu údajů. Desetidenní lhůta pro oznámení se zdá přiměřená jako minimální i maximální. Komise by měla být schopna vymazat informace před uplynutím této desetidenní lhůty pouze v případě, že oba orgány potvrdí své přání provést výmaz.

44.

EIOÚ rovněž doporučuje konkrétně stanovit, že bezpečnostní opatření, ať už je přijme Komise nebo příslušné orgány, by měla být přijímána v souladu s osvědčenými postupy v členských státech.

45.

Jelikož jsou výměny informací v rámci systému IMI předmětem mnohých vnitrostátních předpisů v oblasti ochrany údajů, jakož i předmětem dozoru ze strany několika vnitrostátních orgánů pro ochranu údajů (vedle použitelnosti nařízení (ES) č. 45/2001 a vedle dozorového orgánu EIOÚ pro některé aspekty operací zpracování), EIOÚ doporučuje, aby právní nástroj pro systém IMI obsahoval rovněž jasná ustanovení podporující společný dozor nad systémem IMI ze strany jednotlivých zúčastněných orgány pro ochranu údajů. Společný dozor by mohl být strukturován stejným způsobem, jako tomu bylo v případě právních nástrojů pro zřízení, provoz a využívání schengenského informačního systému druhé generace (SIS II) (8).

46.

EIOÚ podporuje cíle Komise spočívající ve zřízení elektronického systému pro výměnu informací a v regulaci aspektů tohoto systému týkajících se ochrany údajů.

47.

Rozhodnutí o systému IMI potřebuje z výše uvedených důvodů pevný právní základ. EIOÚ doporučuje, aby Komise znovu zvážila svou volbu právního základu a hledala řešení k nápravě nedokonalostí zvoleného právního základu, s případným důsledkem v podobě nahrazení rozhodnutí o systému IMI právním nástroje splňujícím požadavek právní jistoty.

48.

Jako naprosto nejpřijatelnější řešení navrhuje EIOÚ provést analýzu možnosti přijetí samostatného právního nástroje pro systém IMI na úrovni Rady a Evropského parlamentu, podobně jako v případě schengenského informačního systému, vízového informačního systému a jiných rozsáhlých databází IT.

49.

Alternativně by bylo možné vyhodnotit, zda by nezbytný právní základ nemohly poskytnout článek 34 směrnice o službách a podobná ustanovení, která mají být ještě přijata s ohledem na další legislativu v oblasti vnitřního trhu.

50.

Stanovisko rovněž uvádí řadu návrhů ohledně ustanovení upravujících aspekty systému IMI týkající se ochrany údajů, které mají být obsaženy v novém právním nástroji nahrazujícím rozhodnutí o systému IMI, jak bylo navrženo výše, nebo v případě neexistence takového nového nástroje mají být uvedeny v samotném rozhodnutí o systému IMI, po pozměnění tohoto rozhodnutí.

51.

Mnohé návrhy by navíc aktéři v systému IMI mohli již v současnosti být uplatnit v praxi, aniž by se rozhodnutí pozměnilo. EIOÚ očekává, že Komise převezme doporučení uvedená v tomto stanovisku alespoň na operační úrovni do té míry, v jaké souvisejí s činností Komise jako aktéra v systému IMI.

52.

Tato doporučení souvisejí s transparentností a přiměřeností, společnou kontrolou a rozdělením odpovědností, oznámeními pro subjekty údajů, právy přístupu, námitkami a nápravou, uchováním údajů, bezpečnostními opatřeními a společným dozorem.