9.2.2012   

CS

Úřední věstník Evropské unie

C 35/1

1.

Dne 12. října 2011 přijala Komise tyto návrhy (dále jen „návrhy“) týkající se společné zemědělské politiky (dále jen „SZP“) po roce 2013, které byly evropskému inspektorovi ochrany údajů zaslány ke konzultaci tentýž den:

2.

Evropský inspektor ochrany údajů vítá skutečnost, že je Komisí formálně konzultován a že v navrhovaných preambulích nařízení o přímých platbách, nařízení o jednotné společné organizaci trhů a nařízení o rozvoji venkova se na toto stanovisko odkazuje.

3.

Cílem návrhů je poskytnout rámec pro 1) životaschopnou produkci potravin; 2) udržitelné hospodaření s přírodními zdroji a opatření v oblasti klimatu; a 3) vyvážený územní rozvoj. Za tímto účelem stanoví několik režimů podpory pro zemědělce a rovněž další opatření pro stimulaci rozvoje zemědělství a venkova.

4.

V různých fázích realizace těchto programů se zpracovávají osobní údaje, zejména údaje týkající se příjemců podpory, ale také třetích stran (zpracování žádostí o podporu, zajištění transparentnosti plateb, kontrola a boj proti podvodům atd.). Podstatnou část údajů sice zpracovávají členské státy na svou vlastní odpovědnost, ale Komise má k většině z nich přístup. Příjemci a v některých případech třetí strany, např. pro účely kontrol v souvislosti s podvody, musí poskytovat informace určeným příslušným orgánům.

5.

Na důležitost ochrany údajů v souvislosti se SZP poukázal Soudní dvůr ve svém rozsudku ve věci Schecke, kterým se právní předpisy EU týkající se zveřejňování jmen příjemců finančních prostředků ze zemědělských fondů prohlašují za neplatné (10). Evropský inspektor ochrany údajů si je vědom toho, že v tomto případě nejsou aspekty ochrany údajů stěžejním bodem návrhů. Jelikož se však návrhy týkají zpracování osobních údajů, je zapotřebí vznést relevantní připomínky.

6.

Cílem tohoto stanoviska není analyzovat celý soubor návrhů, ale nabídnout základní informace a pokyny pro nastavení zpracování osobních údajů nezbytných pro řízení SZP způsobem, který respektuje základní práva na soukromí a na ochranu údajů a zároveň zajišťuje účinnou správu podpory, předcházení podvodům a jejich vyšetřování a transparentnost a kontrolovatelnost výdajů.

7.

Toto stanovisko je proto strukturováno do dvou částí: první, obecnější část zahrnuje analýzu a doporučení vztahující se k většině návrhů. Většinou se týká připomínek k přenesené a prováděcí pravomoci Komise. Druhá část se pak zabývá zvláštními ustanoveními obsaženými v několika návrzích (11) a poskytuje doporučení k řešení zjištěných problémů.

8.

Jak již bylo uvedeno, většinu operací zpracování údajů provádí členské státy. Komise však má v mnoha případech k osobním údajům přístup. Evropský inspektor ochrany údajů proto vítá, že se v preambulích příslušných návrhů (12) odkazuje na použitelnost směrnice 95/46/ES a nařízení (ES) č. 45/2001.

9.

Obecně lze konstatovat, že mnoho otázek, které mají ústřední význam pro ochranu údajů, není v těchto návrzích zahrnuto, ale bude upraveno prováděcími akty a akty v přenesené pravomoci. Týká se to například opatření, která mají být přijata v souvislosti se sledováním podpory, zřizováním informačních systémů, předáváním informací třetím zemím a kontrolami na místě (13).

10.

Článek 290 SFEU stanoví podmínky pro výkon přenesených pravomocí Komisí. Komise může získat pravomoc „doplňovat nebo měnit některé prvky legislativního aktu, které nejsou podstatné“. Dále pak se výslovně vymezují „cíle, obsah, rozsah a doba trvání přenesení pravomoci“. Pokud jde o prováděcí pravomoci, článek 291 SFEU stanoví, že tyto mohou být Komisi svěřeny, jsou-li „pro provedení právně závazných aktů Unie nezbytné jednotné podmínky“. Zajistí se náležitá kontrola členskými státy.

11.

Evropský inspektor ochrany údajů se domnívá, že ústřední aspekty zpracování údajů uvedené v návrzích a nezbytná opatření na ochranu údajů nelze považovat za „nepodstatné prvky“. Alespoň následující prvky by tedy měly být upraveny již v hlavních legislativních textech, aby se zvýšila právní jistota (14):

12.

Jakmile budou tyto prvky přesně stanoveny v hlavních legislativních návrzích, bude možné k detailnějšímu provádění těchto zvláštních ochranných opatření použít akty v přenesené pravomoci a prováděcí akty. Evropský inspektor ochrany údajů očekává, že bude konzultován ohledně prováděcích aktů a aktů v přenesené pravomoci, které budou řešit otázky důležité pro ochranu údajů.

13.

V některých případech mohou být zpracovávány údaje týkající se (podezření ze spáchání) trestného činu (např. v souvislosti s podvodem). Jelikož příslušné právní předpisy týkající se ochrany údajů stanoví zvláštní ochranu takovýchto údajů (17), může být zapotřebí předchozí kontrola příslušnými vnitrostátními orgány pro ochranu údajů nebo evropským inspektorem ochrany údajů (18).

14.

A konečně by měla být stanovena bezpečnostní opatření, zejména pokud jde o počítačové databáze a systémy. Rovněž je zapotřebí přihlédnout k zásadám odpovědnosti a ochrany soukromí již od návrhu.

15.

Článek 157 nařízení o jednotné společné organizaci trhů zmocňuje Komisi k zavedení prováděcích aktů týkajících se oznamovacích povinností pro různé účely (jako např. zajištění transparentnosti trhu, kontroly opatření v oblasti SZP nebo provádění mezinárodních dohod) (19)„při zohlednění potřeb týkajících se údajů a možných synergií mezi zdroji údajů“ (20). Evropský inspektor ochrany údajů doporučuje, aby bylo v tomto ustanovení přesně určeno, které zdroje údajů mají být použity pro které konkrétní účely. V tomto ohledu by evropský inspektor ochrany údajů rád připomněl, že propojení databází může být v rozporu se zásadou omezení účelu (21), podle níž nesmějí být osobní údaje dále zpracovávány způsobem neslučitelným s původním účelem jejich shromažďování (22).

16.

Články 74 a 77 nařízení o rozvoji venkova zavádí systém sledování a hodnocení (včetně elektronického informačního systému), který se „vypracuje ve spolupráci mezi Komisí a členskými státy“ pro účely sledování a hodnocení. Systém umožní zpracovávání údajů o „hlavních charakteristikách příjemce a projektu“ poskytnutých samotnými příjemci (článek 78). Vzhledem k tomu, že tyto „hlavní informace“ zahrnují osobní údaje, měly by být tyto údaje v ustanovení přesně určeny. Dále by měly být definovány kategorie údajů, které se mají zpracovávat, a evropský inspektor ochrany údajů by měl být konzultován ohledně prováděcích aktů předpokládaných v článku 74.

17.

Navíc článek 92 téhož návrhu stanoví zavedení nového informačního systému „Komisí ve spolupráci s členskými státy“ pro bezpečnou výměnu „údajů společného zájmu“. Definice kategorií údajů, které mají být vyměňovány, je příliš široká a měla by být zúžena pro případ, že se budou pomocí tohoto systému předávat osobní údaje. Kromě toho by měl být objasněn také vztah mezi článkem 77 a článkem 92, neboť není jasné, zda mají stejný účel a oblast působnosti.

18.

40. bod odůvodnění horizontálního nařízení stanoví, že členské státy by měly spravovat integrovaný administrativní a kontrolní systém (23) pro některé platby a „být oprávněny využívat tento integrovaný systém rovněž pro ostatní režimy podpory Unie“ s cílem „zlepšit účinnost a sledování podpory Unie“. Toto ustanovení by mělo být objasněno, zejména pokud se nevztahuje pouze na využívání synergií z hlediska infrastruktury, ale také na využívání informací v systému uložených pro účely sledování jiných režimů podpory.

19.

Podle čl. 73 odst. 1 písm. c) horizontálního nařízení musí žádosti o podporu kromě pozemků a platebních nároků zahrnovat také „veškeré další informace stanovené v tomto nařízení nebo vyžadované pro účely provádění příslušných právních předpisů v odvětví zemědělství nebo vyžadované dotyčným členským státem“ (24). Očekává-li se, že tyto informace obsahují osobní údaje, měly by být přesně stanoveny požadované kategorie údajů.

20.

Horizontální nařízení zavádí řadu orgánů pro praktické provádění SZP a přiděluje jim úkoly (články 7 až 15). Pro Komisi jsou stanoveny tyto pravomoci (hlavy IV–VII):

21.

První úkol zmíněný v předcházejícím odstavci bude zahrnovat zpracovávání osobních údajů, zatímco v případě druhého úkolu na první pohled žádná potřeba zpracovávání osobních údajů nevyvstává: obecné hodnocení opatření lze rovněž provádět na základě souhrnných nebo anonymizovaných údajů. Pokud Komise odpovídajícím způsobem neodůvodní potřebu v této souvislosti zpracovávat osobní údaje, mělo by být objasněno, že by pro účely obecného hodnocení opatření neměly být Komisi žádné osobní údaje poskytovány.

22.

Články 49 až 52 a 61 až 63 horizontálního nařízení stanoví pravidla pro kontroly na místě (27). Návrh uvádí, že tyto kontroly provádějí převážně příslušné orgány v členských státech, zejména pokud jde o domovní prohlídky nebo úřední výslechy osob, ale že má Komise k takto získaným informacím přístup. Zákonodárce by zde měl upřesnit, že Komise má k těmto údajům přístup, pouze je-li to nutné pro účely kontroly. Měly by také být přesně stanoveny kategorie osobních údajů, k nimž má Komise přístup.

23.

Pro účely sledování podpory zavádí horizontální nařízení administrativní a kontrolní systém (28) (články 68–78) sestávající z řady databází:

24.

Počítačovou databázi tvoří jedna databáze pro každý členský stát (a volitelně decentralizované databáze v rámci nich). Zaznamenává údaje získané od každého z příjemců prostřednictvím žádostí o podporu a žádostí o platbu. Vzhledem k tomu, že ne všechny údaje shromažďované prostřednictvím žádostí o podporu mohou být pro účely kontroly nezbytné, je v tomto ohledu zapotřebí zohlednit možnosti minimalizace zpracování osobních údajů.

25.

Přístup k administrativnímu a kontrolnímu systému není výslovně upraven. Obdobně, jak bylo uvedeno v souvislosti s kontrolami na místě, doporučuje evropský inspektor ochrany údajů zákonodárci, aby stanovil jasně vymezená pravidla pro přístup k tomuto systému.

26.

Pokud jde o kontroly, horizontální nařízení stanoví kontrolu obchodní dokumentace, včetně dokumentace třetích osob (články 79–88) (29). Tato dokumentace může zahrnovat osobní údaje o třetích osobách. Podmínky, za kterých musí třetí osoby poskytnout svou obchodní dokumentaci, by měly být v nástroji přesně stanoveny (30).

27.

Článek 87 téhož návrhu stanoví, že zástupci Komise mají přístup ke všem dokumentům „vypracovaným v souvislosti s prováděnými kontrolami nebo v jejich důsledku“„v souladu s příslušnými vnitrostátními předpisy“. To se vztahuje jak na případy, kdy se mohou kontroly účastnit (odstavec 2), tak na případy, kdy jsou některé úkony vyhrazeny úředníkům určeným právními předpisy členského státu, v němž kontrola probíhá (odstavec 4). V obou případech by mělo být zajištěno, aby zástupci Komise měli k těmto údajům přístup pouze v případě potřeby (tj. pro účely kontroly), a to i v případech, kdy by vnitrostátní právní předpisy mohly přístup umožňovat i pro jiné účely. Evropský inspektor ochrany údajů vyzývá zákonodárce, aby text v tomto smyslu zpřesnil.

28.

Podle článku 102 horizontálního nařízení poskytují členské státy Komisi některé kategorie údajů, výkazů a dokladů. Zahrnuje to také „shrnutí výsledků všech dostupných prováděných auditů a kontrol“ (čl. 102 odst. 1 písm. c) bod v)). Pro tento případ by buď mělo být stanoveno, že v těchto shrnutích nebudou žádné osobní údaje uvedeny, nebo jsou-li osobní údaje nezbytné, měl by být přesně stanoven účel, pro který musí být poskytnuty.

29.

Čl. 70 odst. 1 horizontálního nařízení uvádí, že počítačová databáze umožní přístup „prostřednictvím příslušného orgánu členského státu“ k údajům od roku 2000 a umožní „přímý a bezprostřední přístup“ k údajům za „alespoň“ pět předchozích po sobě následujících kalendářních roků (31).

30.

Systém identifikace a evidence platebních nároků umožňuje „ověřování nároků a křížové kontroly s žádostmi o podporu a systémem identifikace zemědělských pozemků“. Čl. 72 odst. 2 horizontálního nařízení stanoví, že údaje musí být k dispozici po dobu „přinejmenším“ čtyř let (32).

31.

V souvislosti s těmito dvěma systémy se evropský inspektor ochrany údajů odvolává na čl. 6 odst. 1 písm. e) směrnice 95/46/ES a čl. 4 odst. 1 písm. e) nařízení (ES) č. 45/2001, které stanoví, že údaje nesmějí být uchovávány ve formě umožňující identifikaci subjektů údajů po dobu delší, než je nezbytné pro uskutečnění cílů, pro které jsou shromažďovány. Znamená to, že musí být definovány také maximální lhůty pro uchovávání údajů, nikoli pouze lhůty minimální.

32.

Čl. 157 odst. 1 druhý pododstavec nařízení o jednotné společné organizaci trhů uvádí, že údaje mohou být předávány třetím zemím a mezinárodním organizacím. Evropský inspektor ochrany údajů by rád připomněl, že předávání osobních údajů do zemí, které neposkytují odpovídající ochranu, by mohlo být odůvodněné v jednotlivých případech, pokud se uplatní některá z výjimek podle článku 26 směrnice 95/46/ES nebo čl. 9 odst. 6 nařízení (ES) č. 45/2001 (například je-li předání nezbytné nebo se stává právně závazným z důvodů důležitého veřejného zájmu).

33.

V takovém případě by měl být přesně stanoven zvláštní důvod předání (např. související s prováděním mezinárodních dohod) (33). Příslušné mezinárodní dohody by měly zahrnovat zvláštní ochranná opatření, pokud jde o ochranu soukromí a osobních údajů a výkon těchto práv subjekty údajů. Navíc v případě, že údaje mají být předávány Komisí, mělo by jejich předání podléhat schválení evropským inspektorem ochrany údajů (34).

34.

70. bod odůvodnění horizontálního nařízení a důvodové zprávy návrhů uvádí, že se připravují nová pravidla pro zveřejňování informací o příjemcích „zohledňující námitky, které vyslovil Soudní dvůr“ ve věci Schecke  (35).

35.

Evropský inspektor ochrany údajů by rád připomněl, že pravidla pro zveřejňování informací o příjemcích by měla respektovat zásadu proporcionality. Jak potvrdil Soudní dvůr (36), je zapotřebí provést vyvážené poměření základních práv příjemců na ochranu soukromí a údajů a zájmů Evropské unie při zajišťování transparentnosti a řádné správy veřejných prostředků.

36.

Je to také důležité, pokud jde o čl. 157 odst. 1 druhý pododstavec nařízení o jednotné společné organizaci trhů, podle kterého mohou být údaje „zveřejněny pod podmínkou ochrany osobních dat a legitimních zájmů podniků při ochraně jejich obchodních tajemství“. Čl. 157 odst. 2 písm. d) a čl. 157 odst. 3 písm. c) zmocňují Komisi k přijímání aktů v přenesené pravomoci týkajících se „podmínek a způsobu zveřejňování informací“ a prováděcích aktů týkajících se režimů pro zpřístupnění informací a dokladů veřejnosti.

37.

Evropský inspektor ochrany údajů vítá skutečnost, že zveřejňování informací a dokladů bude podléhat ochraně osobních údajů. Základní prvky, jako je účel zveřejňování a rovněž kategorie údajů, které mají být zveřejňovány, by však měly být přesně stanoveny spíše v návrzích než v prováděcích aktech nebo aktech v přenesené pravomoci.

38.

Práva subjektů údajů by měla být přesně stanovena, zejména pokud jde o právo na informace a právo přístupu. Je to zvláště důležité, pokud jde o článek 81 horizontálního nařízení, podle kterého lze kontrolovat obchodní dokumentaci nejen příjemců, ale také dodavatelů, zákazníků, dopravců a jiných třetích osob. Přestože příjemci si mohou být vědomi, že jsou jejich údaje zpracovávány, měly by být odpovídajícím způsobem informovány také třetí strany, aby si byly vědomy, že by jejich údaje mohly být použity pro účely kontroly (např. prostřednictvím oznámení o ochraně osobních údajů zaslaného v okamžiku shromažďování a informací poskytovaných na všech relevantních internetových stránkách a ve všech relevantních dokumentech). Povinnost informovat subjekty údajů, včetně třetích osob, by měla být v návrzích zahrnuta.

39.

Měla by být stanovena bezpečnostní opatření, zejména pokud jde o počítačové databáze a systémy. Je zapotřebí přihlédnout k zásadám odpovědnosti a ochrany soukromí již od návrhu. Seznam bezpečnostních opatření, která mají být přijata v souvislosti s těmito počítačovými databázemi a systémy, by měl být zaveden alespoň akty v přenesené pravomoci nebo prováděcími akty. Je to tím důležitější, že osobní údaje zpracovávané v rámci kontrol mohou obsahovat údaje o podezření ze spáchání trestného činu.

40.

Evropský inspektor ochrany údajů vítá požadavky stanovené článkem 103 horizontálního nařízení, který se týká důvěrnosti a služebního tajemství, v souvislosti s kontrolami ve smyslu článků 79–88 téhož nařízení.

41.

Evropský inspektor ochrany údajů se domnívá, že ústřední aspekty operací zpracování údajů obsažené v návrzích a nezbytná opatření na ochranu údajů by měly být upraveny spíše v hlavních legislativních textech než v aktech v přenesené pravomoci nebo prováděcích aktech, aby se zvýšila právní jistota:

42.

Tyto prvky mohou být dále rozpracovány v aktech v přenesené pravomoci nebo prováděcích aktech. Evropský inspektor ochrany údajů očekává, že bude v tomto ohledu konzultován.

43.

Dále by měla být stanovena bezpečnostní opatření, alespoň v prováděcích aktech nebo aktech v přenesené pravomoci, zejména pokud jde o počítačové databáze a systémy. Rovněž je zapotřebí přihlédnout k zásadám odpovědnosti a ochrany soukromí již od návrhu.

44.

Konečně s ohledem na skutečnost, že v některých případech mohou být zpracovávány údaje týkající se (podezření ze spáchání) trestného činu (např. v souvislosti s podvodem), může být nezbytná předchozí kontrola příslušnými vnitrostátními orgány pro ochranu údajů nebo evropským inspektorem ochrany údajů.