This document is an excerpt from the EUR-Lex website
Document 52008XX0410(01)
Opinion of the European Data Protection Supervisor on the Initiative of the Federal Republic of Germany, with a view to adopting a Council Decision on the implementation of Decision 2007/…/JHA on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime
Stanovisko evropského inspektora ochrany údajů k podnětu Spolkové republiky Německo za účelem přijetí rozhodnutí Rady o provádění rozhodnutí 2007/…/SVV o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti
Stanovisko evropského inspektora ochrany údajů k podnětu Spolkové republiky Německo za účelem přijetí rozhodnutí Rady o provádění rozhodnutí 2007/…/SVV o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti
Úř. věst. C 89, 10.4.2008, p. 1–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
10.4.2008 |
CS |
Úřední věstník Evropské unie |
C 89/1 |
Stanovisko evropského inspektora ochrany údajů k podnětu Spolkové republiky Německo za účelem přijetí rozhodnutí Rady o provádění rozhodnutí 2007/…/SVV o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti
(2008/C 89/01)
EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,
s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 286 této smlouvy,
s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 této listiny,
s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů,
s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů, a zejména na článek 41 tohoto nařízení,
PŘIJAL TOTO STANOVISKO:
I. ÚVOD
1. |
Dne 9. listopadu 2007 byl v Úředním věstníku zveřejněn podnět Spolkové republiky Německo za účelem přijetí rozhodnutí Rady o provádění rozhodnutí 2007/…/SVV o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti (1) („podnět“). Tento podnět je doplněn přílohou ze dne 18. října 2007, jež obsahuje další podrobnosti týkající se provádění rozhodnutí 2007/…/SVV („příloha“) (2). |
2. |
Evropský inspektor ochrany údajů (EIOÚ) nebyl ve věci tohoto podnětu k přijetí prováděcího rozhodnutí požádán o vyjádření. Toto stanovisko tudíž vydává z vlastní iniciativy, stejně jako vydal stanovisko k podnětu k přijetí rozhodnutí Rady dne 4. dubna 2007 (3). |
3. |
Členský stát předkládající podnět k legislativnímu opatření podle hlavy VI Smlouvy o EU není sice z právního hlediska povinen požádat EIOÚ o vyjádření, postup však žádost o takovéto vyjádření nevylučuje. Kromě toho EIOÚ ve svém stanovisku ze dne 4. dubna 2007 doporučil doplnit v článku 34 dotyčného rozhodnutí Rady větu, která zní:„Rada ohledně takového prováděcího opatření konzultuje EIOÚ.“ Toto doporučení však bohužel nebylo zohledněno, a to navzdory skutečnosti, že dotyčná prováděcí opatření se budou velmi často týkat zpracování osobních údajů. Stávající podnět Spolkové republiky Německo názorně dokládá tuto skutečnost. |
4. |
EIOÚ z uvedené skutečnosti neodvozuje žádný zásadní závěr. Tato skutečnost odpovídá přístupu zvolenému Radou upravovat podnět co nejméně, aby byla zajištěna plná slučitelnost se zněním Prümské smlouvy, již v minulosti podepsala řada členských států. EIOÚ v tomto stanovisku dále pojedná o demokratickém dopadu uvedeného přístupu. |
II. KONTEXT A PRÁVNÍ RÁMEC
5. |
Prümskou smlouvu podepsalo v květnu roku 2005 sedm členských států mimo rámec Smlouvy o EU. Následně k této smlouvě přistoupily další členské státy. |
6. |
Prümskou smlouvu doplňuje prováděcí dohoda založená na článku 44 dotyčné smlouvy a uzavřená dne 5. prosince 2006. Tato prováděcí dohoda je pro fungování Prümské smlouvy nezbytná. |
7. |
Hlavní prvky Prümské smlouvy budou začleněny do právního rámce Evropské unie poté, co dojde k přijetí rozhodnutí Rady 2007/… o podnětu 15 členských států („prümský podnět“), ohledně něhož již Rada dosáhla politické dohody. Toto začlenění bylo od počátku záměrem smluvních stran Smlouvy o EU, což je potvrzeno v preambuli Prümské smlouvy. |
8. |
Záměrem legislativního procesu vedoucího k přijetí rozhodnutí Rady o „prümském podnětu“ nebylo dále projednávat zásadní otázky, nýbrž dosáhnout dohody o acquis Prümské smlouvy. Tento záměr byl o to důležitější, že v řadě členských států souběžně s tímto legislativním procesem pokračoval proces ratifikace uvedené smlouvy a tato smlouva vstoupila v platnost. |
III. PŘEDMĚT A HLAVNÍ TÉMA TOHOTO STANOVISKA
9. |
Toto stanovisko se zaměří na návrh rozhodnutí Rady o prováděcích pravidlech. Připomínky vznesené v předchozím stanovisku EIOÚ k rozhodnutí Rady ohledně prümského podnětu jsou i nadále platné a nebudou zde opakovány, pokud to nebude nezbytné k nastínění otázek, jimiž by se zákonodárce mohl zabývat v rámci prováděcích pravidel. |
10. |
Z tohoto hlediska je třeba zdůraznit zvláštní význam prováděcích pravidel,která kromě několika správních a technických ustanovení stanovují zásadní aspekty a nástroje daného systému a jeho fungování. Například kapitola 1 o prováděcích pravidlech stanoví definice termínů používaných v rozhodnutí Rady o „prümském podnětu“. Prováděcí pravidla navíc stanoví společná ustanovení pro výměnu údajů (kapitola 2) a poté vymezují zvláštní rysy výměny údajů o DNA (kapitola 3), o daktyloskopických údajích (kapitola 4) a o údajích o registraci vozidel (kapitola 5). Závěrečná ustanovení kapitoly 6 obsahují důležitá ustanovení o přijetí dalších prováděcích pravidel v příručkách, jakož i o hodnocení používání rozhodnutí. |
11. |
Výše zmíněná příloha bude zohledněna z hlediska jejího (zamýšleného) přispění k vymezení rysů navrhovaného systému a záruk pro subjekty údajů. |
IV. OBECNÁ USTANOVENÍ
Omezený prostor pro jednání
12. |
EIOÚ bere na vědomí, že existence prováděcí dohody pro Prümskou smlouvu pravděpodobně výrazně snižuje skutečný prostor pro jednání ponechaný Radě. Bod odůvodnění 3 a článek 18 podnětu totiž uvádí, že jak prováděcí rozhodnutí, tak příručky mají vycházet z ustanovení této prováděcí dohody ze dne 5. prosince 2006 týkajících se technického a administrativního provádění Prümské smlouvy. V souladu s tímto podnětem bude tedy 27 členských států postupovat způsobem již vymezeným 7 členskými státy, které podepsaly Prümskou smlouvu. |
13. |
Tento přístup brání rozvoji skutečně transparentního a demokratického legislativního postupu, neboť značně snižuje možnost uspořádat širší rozpravu a účinně zohlednit legislativní úlohu Evropského parlamentu a poradenskou úlohu ostatních orgánů, jako např. EIOÚ. EIOÚ doporučuje, aby tento podnět a jeho příloha byla otevřeně projednána a aby bylo v rámci tohoto jednání účinně využito příspěvků všech institucionálních aktérů, jakož i zohledněna úloha plnoprávného spolutvůrce právních předpisů, kterým bude v této oblasti Evropský parlament poté, co dojde ke vstupu v platnost reformní smlouvy, která byla podepsána dne 13. prosince v Lisabonu. |
Právní rámec v oblasti ochrany údajů a vztahy s návrhem rámcového rozhodnutí o ochraně údajů ve třetím pilíři
14. |
Použitelný právní rámec v oblasti ochrany údajů je složitý a neustále se měnící. Kapitola 6 „prümského podnětu“ stanoví některé záruky a zvláštní pravidla s ohledem na ochranu údajů. Tato zvláštní pravidla nemohou nicméně existovat samostatně a pro jejich řádné fungování je zapotřebí, aby vycházela z plně kvalifikovaného a obecného rámce pro ochranu osobních údajů zpracovávaných policejními a soudními orgány. Článek 25 „prümského podnětu“ nyní odkazuje na úmluvu Rady Evropy č. 108. EIOÚ nicméně opakovaně zdůraznil, že je potřeba dále upřesnit zásady obsažené v úmluvě č. 108 a zajistit tak, aby úroveň ochrany údajů byla vysoká, harmonizovaná a tudíž vhodná jak k zajištění práv občanů, tak k účinnému prosazování práva v oblasti svobody, bezpečnosti a práva (4). |
15. |
V této perspektivě Komise navrhla již v říjnu roku 2005 obecný nástroj, návrh rámcového rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech („návrh rámcového rozhodnutí o ochraně údajů ve třetím pilíři“). Tento návrh nebyl Radou zatím přijat a je tudíž stále předmětem jednání a možných změn, bez ohledu na další zpoždění při přijímání a provádění. Je však již nyní jasné, že toto rámcové rozhodnutí by se ve své současné podobě vztahovalo pouze na osobní údaje vyměňované s jinými členskými státy a nikoliv na vnitrostátní zpracování údajů (5). |
16. |
Současné znění návrhu rámcového rozhodnutí o ochraně údajů ve třetím pilíři navíc stanoví pouze minimální harmonizaci a záruky, a to i přesto, že jeho cílem je zajistit vysokou úroveň ochrany údajů. To znamená, že některé nástroje, jako například současný podnět, který by býval mohl využít komplexního obecného rámce v oblasti ochrany údajů, se nyní musí vypořádat s mezerou, která vznikla v důsledku návrhu rámcového rozhodnutí o ochraně údajů ve třetím pilíři. |
17. |
EIOÚ tudíž na jedné straně znovu opakuje, že rozhodnutí Rady o „prümském podnětu“ by nemělo vstoupit v platnost před tím, než členské státy provedou obecné rámcové rozhodnutí o ochraně údajů ve třetím pilíři. Tato podmínka by měla být v podnětu konkrétně stanovena a řádnéfungování záruk v oblasti ochrany údajů v rámci systému výměny údajů by mělo být podrobeno vhodnému předchozímu ověření. V této souvislosti je rovněž zásadní zaručit, aby vztahy mezi právními nástroji byly objasněny a bylo tak zajištěno, že rámcové rozhodnutí o ochraně údajů ve třetím pilíři bude sloužit jako „lex generalis“, přičemž umožní použitelnost dalších konkrétních záruk a přísnějších přizpůsobených norem stanovených v „prümském podnětu“ (6). |
18. |
Na druhé straně by měl normotvůrce objasnit, že konkrétní pravidla týkající se ochrany údajů v oblasti DNA, otisků prstů a registrace vozidel v kapitole 6 „prümského podnětu“ se vztahují nejen na výměnu těchto údajů, ale také na jejich shromažďování, uchovávání a zpracovávání na vnitrostátní úrovni, jakož i na poskytování dalších osobních údajů v rámci oblasti působnosti rozhodnutí Rady. Toto objasnění by bylo v souladu s článkem 24.2 „prümského podnětu“, jakož i logickým důsledkem povinnosti členských států shromažďovat, uchovávat a sdílet výše uvedené druhy údajů. |
19. |
Toto objasnění je ještě důležitější s ohledem na skutečnost, že oblast působnosti navrhovaného rámcového rozhodnutí o ochraně údajů ve třetím pilíři se pravděpodobně nebude vztahovat na zpracovávání osobních údajů na vnitrostátní úrovni. Radaovšem zároveň upřesnila, že přijetí právních předpisů týkajících vnitrostátního zpracování osobních údajů na stejnémprávním základě není vyloučeno. V této souvislosti a vzhledem ke skutečnosti, že současný balíček podnětů, zahrnující „prümský podnět“ a „podnět SRN k přijetí prováděcího rozhodnutí“, ukládá povinnost vytvářet a spravovat určité databáze, jako je databáze DNA, měl by rovněž obsahovat záruky týkající se zpracování osobních údajů – zejména shromažďování a uchovávání profilů DNA – vyplývajících z tohoto shromažďování a uchovávání. V opačném případě, tj. pokud by jejich použitelnost byla omezena na vyměněné údaje, by tyto právní nástroje neobsahovaly příslušné záruky ochrany osobních údajů, kterým podléhají veškeré činnosti podle čl. 30 odst. 1 písm. b) Smlouvy o EU. |
20. |
EIOÚ vyzývá normotvůrce, aby podle čl. 30 odst. 1 písm. b) Smlouvy o EU zajistil, že než stávající rozhodnutí vstoupí v platnost, bude zaveden jasný, účinný a souhrnný právní rámec s ohledem na ochranu údajů, jež kombinuje různé právní nástroje s obecnými ustanoveními a konkrétními zárukami. |
21. |
Ve svém stanovisku bude tudíž EIOÚ ve vhodných přídech odkazovat na ty otázky, které nebyly (plně) upraveny v návrhu rámcového rozhodnutí o ochraně údajů ve třetím pilíři a které by tudíž měly být zohledněny při provádění systému stanoveného ve stávajícím podnětu. |
Transparentnost rozhodovacího procesu a prováděcích pravidel
22. |
EIOÚ zdůrazňuje, že transparentnost je zásadním prvkem nejen rozhodovacího procesu, ale i provádění pravidel. Transparentnost by tudíž měla na jedné straně umožnit plnou a účinnou účast všech zúčastněných příslušných institucionálních aktérů a na druhé straně umožnit veřejnou rozpravu a příslušnou informovanost občanů. |
23. |
V tomto případě má však řada okolností neblahý vliv na transparentnost: schází vysvětlující memorandum, které by vysvětlilo důvody navrhovaných opatření, jejich účinnost a možné alternativy; znění přílohy je stále neúplné – například nebylo dosud zveřejněno v Úředním věstníku, není přeloženo do všech úředních jazyků, odkazy na články a na terminologii jsou často nepřesné a nejsou dostupná prohlášení členských států o obsahu databází DNA; samotný podnět nestanoví povinnosti nebo mechanismy, jak patřičně informovat občany o přijatých opatřeních a změnách těchto opatření. |
24. |
EIOÚ tudíž doporučuje posílení transparentnosti opatření tím, že bude co nejdříve poskytnuto definitivní znění přílohy a budou zavedeny mechanismy pro informování občanů o vlastnostech systémů, o jejich právech a o tom, jak tato práva vykonávat. Uvedené informační kampaně by měly být výslovně stanoveny v podnětu nebo v jeho příloze. |
Rozsah systému
25. |
Současný podnět věrně odráží pravidla obsažená v prováděcí dohodě přijaté na základě Prümské smlouvy. Nicméně, jak již bylo uvedeno ve stanovisku k „prümském podnětu“ (odst. 33–35), mechanismy určené pro výměnu informací mezi několika málo členskými státy nejsou nutně vhodné pro systém mnohem většího rozsahu, jako je výměna informací mezi 27 členskými státy a tudíž může být třeba jejich přizpůsobení. |
26. |
Malý rozsah upřednostňuje úzké kontakty mezi zapojenými členskými státy, jak s ohledem na prosazování práva tak s ohledem na monitorování rizik pro ochranu osobních údajů dotyčných osob. Toto neplatí pro větší systém, v němž se do značné míry liší vnitrostátní postupy a právní režimy, pokud jde o shromažďování, uchovávání a zpracování údajů, zejména s ohledem na profily DNA a otisky prstů. Kromě toho může používání různých jazyků a různých právních konceptů ovlivnit přesnost ve výměnách údajů mezi zeměmi s různými právními tradicemi. EIOÚ proto vyzývá normotvůrce, aby při dalších jednáních o stávajícím podnětu řádně zohlednil rozsah systému a zajistil, že zvýšením počtu zúčastněných členských států nedojde ke snížení účinnosti. Zejména by měly být v prováděcích pravidlech zavedeny konkrétní formáty pro předávání údajů zohledňující též jazykové rozdíly a přesnost výměn údajů by měla být neustále monitorována. |
Zapojení orgánů na ochranu údajů
27. |
V podnětu by měla být uznána významná úloha nezávislých dozorčích orgánů v rámci přeshraničních výměn údajů většího rozsahu a těmto orgánům by mělo být umožněno řádně provádět jejich úkoly. |
28. |
Stávající právní rámec nestanoví žádnou konzultaci nebo zapojení příslušných dozorčích orgánů, pokud jde o změny prováděcích pravidel a jejich příloh (článek 18 podnětu), o provádění pravidel pro ochranu údajů členskými státy (článek 20), nebo o hodnocení výměny údajů (článek 21). Obzvlášť politováníhodná je skutečnost, že v kapitole IV přílohy, v níž jsou podrobně stanovena pravidla pro hodnocení provádění, zcela chybí jakákoli zmínka o příslušných orgánech na ochranu údajů. EIOÚ doporučuje, aby ve výše uvedených článcích byla výslovně uznána zásadní poradenská úloha těchto orgánů. |
29. |
Dále by měl podnět zajistit, že členské státy poskytnou orgánům na ochranu údajů (dodatečné) zdroje nezbytné k provádění úkolů dohledu vyplývajících z provádění navrhovaného systému. |
30. |
V neposlední řadě by měl podnět stanovit, že příslušné orgány na ochranu údajů se pravidelně scházejí na úrovni EU, a to za účelem koordinace svých činností a harmonizace provádění těchto nástrojů. Tato skutečnost by měla být v podnětu výslovně stanovena, neboť rámcové rozhodnutí o ochraně údajů ve třetím pilíři nestanoví pro orgány na ochranu údajů obecnější fórum na úrovni EU. |
V. KONKRÉTNÍ OTÁZKY
Definice
31. |
Článek 2 podnětu stanoví řadu definic, které zčásti odrážejí definice uvedené v rozhodnutí Rady. Za prvé je třeba zdůraznit, že definice obsažené v článku 2 podnětu neodpovídají doslova definicím stanoveným v rozhodnutí Rady, zejména v článku 24 tohoto rozhodnutí. Normotvůrce by měl znění těchto dvou textů sjednotit, aby zamezil problémům při provádění. |
32. |
Za druhé EIOÚ ve svém stanovisku k podnětu Rady k Prümské smlouvě již vyjádřil politování nad tím, že tento podnět neobsahuje jasnou definici osobních údajů (odstavce 41–43). Tento nedostatek je ještě politováníhodnější v prováděcích pravidlech, která jsou navrhována v době, kdy je již jasné, že návrh rámcového rozhodnutí o ochraně údajů ve třetím pilíři se nebude vztahovat na shromažďování a zpracování osobních údajů a zejména profilů DNA na vnitrostátní úrovni. EIOÚ proto opětovně vyzývá normotvůrce, aby do podnětu zahrnul jasnou a kompletní definici osobních údajů. |
33. |
Z tohoto hlediska by prováděcí ustanovení měla též objasnit, zda se pravidla na ochranu údajů vztahují na neidentifikované profily DNA – tedy profily, které nebyly dosud přiřazeny k identifikované osobě. Tyto údaje jsou přitom shromažďovány, vyměňovány a křížově zkoušeny proto, aby mohly být přiřazeny k příslušným osobám. S ohledem na skutečnost, že cílem daného systému je identifikovat příslušné osoby a tyto údaje jsou tedy v zásadě vždy jen dočasně „neidentifikované“, měla by se na tyto údaje rovněž vztahovat většina ustanovení a záruk použitelných pro osobní údaje, ne-li všechna tato ustanovení a záruky (7). |
34. |
Dále pokud jde o definici „nekódující části DNA“ (čl. 2 písm. e)), EIOÚ opět připomíná (8), že schopnost některých částí chromozomu určovat citlivé dědičné vlastnosti organizmu se může v souvislosti s vědeckým pokrokem zlepšit. Proto by definice „nekódující části“ měla být dynamická, a to v tom smyslu, že by měla zahrnovat povinnost dále nepoužívat markery DNA, které by z důvodu vědeckého pokroku mohly poskytovat informace o konkrétních dědičných vlastnostech (9). |
Přesnost v automatickém vyhledávání a srovnávání
35. |
Článek 8 podnětu upravuje automatizované vyhledávání a srovnávání profilů DNA a stanoví, že automatizované oznámení o záznamu „je vydáno pouze v případě, že automatizované vyhledávání nebo srovnávání nalezlo shodu minimálního počtu míst DNA (loci)“. Tento minimální počet je uveden v kapitole I přílohy: každý členský stát zajistí, aby poskytnuté profily DNA obsahovaly alespoň 6 ze 7 „standardních“ míst DNA (loci) EU (odst. 1.1 kapitoly I přílohy); srovnání proběhne mezi hodnotami srovnávaných loci běžně obsažených v dotazujících a dotázaných profilech DNA (odst. 1.2); shoda znamená, že všechny hodnoty srovnávaných míst DNA (loci) jsou stejné („úplná shoda“) nebo že pouze jedna hodnota je odlišná („přibližná shoda“) (odst. 1.2); hlásí se úplné shody i přibližné shody (odst. 1.3). |
36. |
S ohledem na tento mechanismus EIOÚ podotýká, že přesnost shody je zásadní podmínkou. Čím vyšší je počet loci, které se shodují, tím nižší je pravděpodobnost falešné shody mezi srovnávanými profily DNA. V současném rámci Evropské unie se existence a struktura databází DNA liší mezi jednotlivými zeměmi. V různých zemích se používají různé počty a různé množiny loci. V příloze je uveden minimální počet loci pro shodu na úrovni 6, bez dalších informací o předpokládané míře výskytu chyb v rámci tohoto systému. S ohledem na tuto otázku poznamenává EIOÚ, že v mnoha zemích se používá vyšší počet loci za účelem zvýšení přesnosti shod a snížení případů falešných shod (10). Aby tudíž bylo možné řádně vyhodnotit míru přesnosti předpokládaného systému, bylo by nezbytné poskytovat informace o předpokládané míře výskytu chyb pro každou množinu srovnávaných loci. |
37. |
To také znamená, že minimální počet loci je zásadním prvkem a měl by tudíž být stanoven ve znění stávajícího podnětu namísto v příloze (na jejíž změně se podle článku 18 podnětu může Rada usnést kvalifikovanou většinou bez konzultace Parlamentu), aby se zamezilo dopadu na přesnost způsobenému snížením počtu loci. Měla by se řádně zohlednit možnost chyb a falešných shod, a to tak, že se přibližné shody výslovně ohlásí jako takové (a přijímající orgány si jsou tudíž vědomy, že tato shoda není tak spolehlivá jako úplná shoda). |
38. |
Kromě toho se v samotném podnětu počítá s možností, že z vyhledávání a srovnávání vznikne více shod, jak je výslovně uvedeno v článku 8 podnětu s ohledem na profily DNA a v kapitole 3 (bodě 1.2) přílohy s ohledem na vozidla. Ve všech těchto případech by před prováděním další výměny osobních údajů na základě takovéto shody měly proběhnout další kontroly a ověřování, aby se určily příčiny více shod a aby se stanovilo, která z těchto shod je přesná. |
39. |
Ze stejného hlediska EIOÚ doporučuje, aby došlo ke zvýšení povědomí, zejména u donucovacích orgánů zabývajících se srovnáváním a vyhledáváním DNA, o skutečnosti, že profily DNA nejsou jedinečnými identifikátory: i úplné shody v určitém počtu loci nevylučují možnost falešných shod, tj. možnost, že se některá osoba nesprávně spojí s daným profilem DNA. Srovnávání profilů DNA a jejich vyhledávání podléhá totiž možným chybám v různých etapách: nízká kvalita vzorků DNA v okamžiku jejích získání, možné technické chyby při rozboru DNA, chyby při zadávání údajů nebo jednoduše proto, že právě v konkrétních loci používaných pro srovnání došlo k náhodné shodě. S ohledem na poslední bod se při snížení počtu loci a při rozšíření databáze zvyšuje pravděpodobnost vyšší míry výskytu chyb. |
40. |
Podobné úvahy lze použít s ohledem na přesnost určování shody otisků prstů. V článku 12 podnětu je stanoveno, že digitalizace daktyloskopických údajů a jejich přenos se provádí podle jednotného datového formátu vymezeného v kapitole II přílohy. Každý členský stát navíc zajistí, aby daktyloskopické údaje, které předává, měly dostatečnou kvalitu pro srovnávání pomocí automatizovaného systému identifikace otisků prstů (AFIS). Kapitola 2 přílohy uvádí některé podrobnosti o formátu, který se má používat. V této souvislosti EIOÚ uvádí, že za účelem zajištění přesnosti srovnávacího procesu by měl podnět a jeho příloha co nejvíce harmonizovat různé systémy AFIS používané v členských státech, jakož i způsoby používání těchto systémů, zejména pokud jde o míru chybného odmítnutí. Podle EIOÚ by měla být tato informace zahrnuta do příručky vypracované podle čl. 18 odst. 2 podnětu. |
41. |
Dalším zásadním prvkem je skutečnost, že databáze DNA (a otisků prstů) by měly být přesně vymezeny, neboť mohou v jednotlivých členských státech obsahovat profily DNA nebo otisky prstů různých druhů subjektů údajů (pachatelů trestných činů, podezřelých osob, jiných osob přítomných na místě trestného činu, atd.). Navzdory těmto rozdílům nevymezuje stávající podnět druhy databází, které bude každý členský stát používat, a prohlášení v tomto smyslu nejsou zatím zahrnuta do přílohy. Může tudíž dojít k tomu, že se vyskytnou shody mezi údaji o DNA a údaji o otiscích prstů týkající se nestejnorodých a často nenáležitých kategorií subjektů údajů. |
42. |
Podle EIOÚ by mělo být v podnětu upřesněno, které druhy subjektů údajů budou zapojeny do výměn údajů a jak bude jejich rozdílný statut sdělován ostatním členským státům v souvislosti se srovnáváním nebo vyhledáváním. Například by mohla být v podnětu stanovena povinnost poskytovat ve zprávě o shodě informace o tom, se kterým druhem subjektu údajů o DNA nebo o otiscích prstů bylo dosaženy shody, pokud je tato informace dožádaným orgánům dostupná. |
Hodnocení výměny údajů
43. |
Hodnocení výměny údajů podle článku 21 podnětu a kapitoly 4 přílohy, je vítáno. Tato ustanovení se však zaměřují pouze na správní, technické a finanční provádění automatizovaných výměn údajů, aniž se byť zmiňují o hodnocení provádění pravidel na ochranu údajů. |
44. |
EIOÚ proto navrhuje, aby byl při výměnách údajů kladen zvláštní důraz na hodnocení aspektů ochrany údajů a aby byla věnována zvláštní pozornost účelům výměny, metodám informování subjektů údajů, přesnosti vyměňovaných údajů a falešným shodám, žádostem o přístup k osobním údajům, délce jejich uchovávání a účinnosti bezpečnostních opatření. Příslušné orgány na ochranu údajů a odborníci v oblasti ochrany údajů by měly být řádně zapojeni do tohoto hodnocení, například stanovením, že odborníci na ochranu údajů se zúčastní hodnotících návštěv podle kapitoly 4 přílohy a že příslušné orgány na ochranu údajů obdrží hodnotící zprávu uvedenou v článku 20 podnětu a v kapitole 4 přílohy. |
Komunikační síť a technické aspekty systému
45. |
Článek 4 podnětu stanoví, že všechny elektronické výměny údajů proběhnou s použitím komunikační sítě „TESTA II“. V této souvislosti příloha na straně 76 v bodě 54 uvádí, že „systém je v souladu s otázkami v oblasti ochrany údajů uvedenými v nařízení (ES) č. 45/2001 (články 21, 22 a 23) a ve směrnici 95/46/ES“. EIOÚ doporučuje, aby byla tato informace objasněna, rovněž pokud jde o úlohu, kterou budou v tomto systému zastávat orgány Společenství. V této souvislosti, by se měly plně zohlednit jak dozorčí, tak poradenské úlohy EIOÚ vyplývající z nařízení (ES) č. 45/2001. |
46. |
Jakmile bude finalizována výše zmíněná příloha a zejména veškeré podrobnosti týkající se vlastností daných systémů, EIOÚ dále zváží, zda poskytne poradenství o technických stránkách systému. |
VI. ZÁVĚRY
— |
EIOÚ doporučuje, aby podnět a jeho příloha byly otevřeně projednány a aby se při tom účinně využilo příspěvků všech institucionálních aktérů, též vzhledem k úloze plnoprávného spolutvůrce právních předpisů, kterou bude Evropský parlament v této oblasti plnit poté, co dojde ke vstupu v platnost reformní smlouvy podepsané v Lisabonu dne 13. prosince. |
— |
EIOÚ vyzývá normotvůrce, aby podle čl. 30 odst. 1 písm. b) Smlouvy o EU zajistil, že než stávající rozhodnutí vstoupí v platnost, bude zaveden jasný, účinný a souhrnný právní rámec s ohledem na ochranu údajů, jež kombinuje různé právní nástroje s obecnými ustanoveními a konkrétními zárukami.
|
— |
EIOÚ doporučuje posílit transparentnost těchto opatření, a to tím, že bude co nejdříve k dispozici definitivní znění přílohy a že budou zavedeny mechanismy pro informování občanů o vlastnostech systémů, o jejich právech a o způsobech, jak tato práva vykonávat. |
— |
EIOÚ vyzývá normotvůrce, aby při dalších jednáních o stávajícím podnětu řádně zohlednil rozsah systému a zajistil, že zvýšením počtu zúčastněných členských států nedojde ke snížení účinnosti. Zejména by měly být v prováděcích pravidlech zavedeny konkrétní formáty pro předávání údajů zohledňující též jazykové rozdíly a přesnost výměn údajů by měla být neustále monitorována. |
— |
EIOÚ doporučuje, aby v článcích o změnách prováděcích pravidel a jejich příloh (článek 18), o provádění pravidel ochrany údajů členskými státy (článek 20) a o hodnocení výměny údajů (článek 21) byla výslovně uznána zásadní poradenská úloha příslušných orgánů na ochranu údajů. Podnět by měl dále zaručit, aby členské státy orgánům na ochranu údajů poskytly (dodatečné) zdroje, které jsou nezbytné pro výkon úkolů dohledu vyplývajících z provádění navrhovaného systému a aby se příslušné orgány na ochranu údajů pravidelně scházely na úrovni EU za účelem koordinace svých činností a harmonizace provádění těchto nástrojů. |
— |
EIOÚ proto opětovně vyzývá normotvůrce, aby stanovil jasnou a kompletní definici osobních údajů. Z tohoto hlediska by prováděcí ustanovení měla též objasnit, zda se pravidla na ochranu údajů vztahují na neidentifikované profily DNA – tedy profily, které nebyly dosud přiřazeny k identifikované osobě. EIOÚ rovněž opětovně připomíná, že definice „nekódující části“ by měla být dynamická, a to v tom smyslu, že zahrnuje povinnost dále nepoužívat markery DNA, které by z důvodu vědeckého pokroku mohly poskytovat informace o konkrétních dědičných vlastnostech. |
— |
EIOÚ doporučuje, aby se v souvislosti s automatizovaným vyhledáváním a srovnáváním řádně zohlednila přesnost procesu konstatování shody.
|
— |
EIOÚ navrhuje, aby byl při výměnách údajů kladen zvláštní důraz na hodnocení aspektů ochrany údajů a aby byla věnována zvláštní pozornost účelům výměny, metodám informování subjektů údajů, přesnosti vyměňovaných údajů a falešným shodám, žádostem o přístup k osobním údajům, délce dob jejich uchovávání a účinnosti bezpečnostních opatření. Příslušné orgány a odborníci na ochranu údajů by měli být řádně zapojeni do tohoto hodnocení. |
— |
EIOÚ doporučuje, aby bylo objasněno používání komunikační sítě „TESTA II“ a skutečnost, zda tato síť vyhovuje nařízení (ES) č. 45/2001, rovněž s ohledem na úlohu orgánů Společenství v rámci tohoto systému. |
V Bruselu dne 19. prosince 2007.
Peter HUSTINX
Evropský inspektor ochrany údajů
(1) Úř. věst. C 267, 9.11.2007, s. 4.
(2) Tato příloha nebyla dosud v Úředním věstníku zveřejněna, avšak je veřejně dostupná prostřednictvím rejstříku Rady jakožto dokument 11045/1/07 REV 1 ADD 1.
(3) Úř. věst. C 169, 21.7.2007, s. 2.
(4) Viz také nedávné stanovisko EIOÚ týkající se Prümské smlouvy, § 57–76 a třetí stanovisko EIOÚ ze dne 27. dubna 2007 k návrhu rámcového rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech, § 14 (Úř. věst. C 139, 23.6.2007, s. 1).
(5) Poslední znění návrhu je dostupné prostřednictvím rejstříku Rady jakožto dokument číslo 16397/07.
(6) S ohledem na tento bod by mělo být pečlivě zváženo a projednáno znění článku 27b poslední verze návrhu rámcového rozhodnutí o ochraně údajů ve třetím pilíři.
(7) Pokud jde o použitelnost pravidel na ochranu údajů pro profily DNA, viz článek 29 stanoviska pracovní skupiny 4/2007 ze dne 20. června 2007 o pojmu osobní údaje, WP136, s. 8–9; v tomto stanovisku jsou také poskytnuta upřesnění týkající se obdobného případu použitelnosti pravidel na ochranu údajů pro dynamické adresy IP, s. 16–17.
(8) Viz rovněž stanovisko EIOÚ ze dne 28. února 2006 k návrhu rámcového rozhodnutí Rady o výměně informací podle zásady dostupnosti (KOM (2005) 490 v konečném znění), odst. 58–60 (Úř. věst. C 116, 17.5.2006).
(9) Viz na stejném řádku přílohu I usnesení Rady ze dne 25. června 2001 o výměně výsledků analýzy DNA (Úř. věst. C 187, 3.7.2001, s. 1).
(10) Například v UK byl v národní databázi DNA zvýšen počet loci používaných pro profily DNA z 6 na 10, mimo jiné za účelem zlepšení spolehlivosti systému.