30.12.2010   

CS

Úřední věstník Evropské unie

C 357/7

1.

Dne 21. září 2010 Komise přijala sdělení o globálním přístupu k přenosům údajů jmenné evidence cestujících (PNR) do třetích zemí (3). Sdělení bylo téhož dne zasláno evropskému inspektorovi ochrany údajů (EIOÚ) ke konzultaci.

2.

EIOÚ vítá tu skutečnost, že byl Komisí konzultován. Ještě před přijetím sdělení bylo EIOÚ umožněno vyjádřit neformální připomínky. Některé z těchto připomínek byly v konečném znění tohoto dokumentu zohledněny, avšak jiné body stále vyvolávají znepokojení z hlediska ochrany údajů.

3.

Cílem globálního přístupu k otázkám PNR, který Komise předkládá ve svém sdělení, je poskytnout soudržný rámec pro přenos údajů PNR do třetích zemí. Kromě toho, že sdělení rozvíjí potřebu právní jistoty, byl tento harmonizovaný přístup výrazně podpořen také Evropským parlamentem, kterému byla v novém institucionálním rámci svěřena pravomoc ratifikovat dohody ohledně PNR s třetími zeměmi (4).

4.

Sdělení doplňují doporučení pro sjednávání dohod o PNR s konkrétními třetími zeměmi. Tato doporučení jsou důvěrné povahy a nejsou v tomto stanovisku analyzována. V kapitole II jsou však uvedeny připomínky týkající se spojitosti mezi obecným sdělením a těmito doporučeními.

5.

Kromě globálního přístupu k přenosům údajů PNR do třetích zemí připravuje Komise také revidovaný přístup EU k PNR. Návrh takového rámce EU byl dříve, před vstupem Lisabonské smlouvy v platnost, intenzívně diskutován v Radě v rámci bývalého třetího pilíře (5). Tyto diskuse nevedly ke shodě ohledně některých důležitých prvků systému PNR, jako je například využívání databáze vytvořené v rámci takového systému. Stockholmský program poté vyzval Komisi, aby předložila nový návrh, avšak nezabýval se podstatnými prvky tohoto návrhu. Na počátku roku 2011 se očekává návrh směrnice o systému PNR v EU.

6.

Toto stanovisko se zaměřuje na sdělení Komise. V první části je analyzováno sdělení v souvislosti s aktuálním vývojem v oblasti ochrany údajů, druhá část se zabývá legitimitou systému PNR a třetí část je zaměřena na konkrétnější otázky ochrany údajů obsažené ve sdělení.

7.

EIOÚ vítá horizontální přístup sdělení v souladu s nedávnými požadavky Evropského parlamentu, aby byla provedena důkladná analýza a vytvořen ucelený přehled o stávajících a plánovaných systémech PNR. Vysoká a harmonizovaná úroveň ochrany údajů, kterou by bylo možné použít u všech těchto systémů, je cíl, který by měl získat výraznou podporu.

8.

EIOÚ má nicméně pochybnosti o celkovém načasování různých iniciativ, které přímo nebo nepřímo souvisejí se zpracováváním údajů PNR.

9.

Zatímco jsou ve sdělení zmíněny mezinárodní dohody o systémech PNR a iniciativu EU v oblasti PNR, vztahují se normy navrhované ve sdělení pouze k mezinárodním dohodám. Rámec EU bude diskutován a vypracován v pozdější fázi.

10.

Logičtější a vhodnější postup by podle názoru EIOÚ zahrnoval důkladný rozbor případného systému EU včetně záruk ochrany údajů vyhovujících právnímu rámci EU a vypracování přístupu pro sjednávání dohod s třetími zeměmi na tomto základě.

11.

EIOÚ také zdůrazňuje probíhající přípravu týkající se obecné dohody EU-USA o sdílení údajů pro účely vynucování práva (6), která má stanovit soubor zásad zaručujících vysokou úroveň ochrany osobních údajů jako podmínku pro výměnu takových údajů se Spojenými státy. Výsledkem jednání EU-USA by měl být odkaz na další bilaterální dohody uzavřené EU a jejími členskými státy, včetně dohody o PNR mezi EU a USA.

12.

Jiným prvkem, který je v této souvislosti třeba vzít v úvahu, je celkové posouzení rámce EU pro ochranu údajů, které nyní Komise provádí, s výhledem na přijetí sdělení do konce roku 2010, po kterém má během roku 2011 následovat návrh nového regulačního rámce (7). K tomuto přezkumu dochází v „postlisabonském“ rámci, což má přímý dopad na horizontální uplatňování zásad ochrany údajů v rámci bývalých pilířů EU, včetně policejní a justiční spolupráce v trestních věcech.

13.

Pro zajištění jednotného přístupu by se EU měla dohodnout na svých vnitřních nástrojích a na jejich základě sjednávat dohody s třetími zeměmi. Globální program by se proto měl zaměřit nejprve na obecný rámec EU pro ochranu údajů, poté na případnou potřebu systému EU v oblasti PNR a konečně na podmínky výměny s třetími zeměmi vycházející z aktualizovaného rámce EU. V nynější fázi by při stanovení podmínek pro přenosy údajů PNR do třetích zemí měly být zohledněny záruky, jež předpokládá budoucí dohoda EU-USA.

14.

EIOÚ si je vědom toho, že z různých procedurálních a politických důvodů není toto ideální pořadí uplatňováno v praxi. Nicméně soudí, že různé subjekty působící v Komisi, Radě a Parlamentu by měly logiku těchto různých kroků vést v patrnosti. Protože vývoj, zejména v oblasti rámce EU a jednání EU-USA, postupuje paralelně, měla by být této potřebě jednotného přístupu a harmonizovaného pohledu na záruky ochrany údajů v EU a v souvislosti s přenosy věnována náležitá pozornost. Konkrétněji to představuje zejména:

15.

A konečně, EIOÚ nastoluje otázku provázanosti mezi sdělením a pokyny, jejichž návrh Komise vypracovala. Jde o to, v jakém rozsahu by měly být v rámci norem obsažených ve sdělení nebo v rámci pokynů pro jednotlivé země stanoveny přesné záruky a podmínky. Jestliže je celkovým cílem harmonizovat podmínky zpracovávání údajů PNR a jejich výměny, EIOÚ soudí, že manévrovací prostor u každé mezinárodní dohody by měl být co nejmenší a že by tyto normy měly stanovit přesný rámec. Tyto normy by měly ovlivňovat účinně obsah dohod. Některé z dále uvedených poznámek zdůrazňují potřebu větší přesnosti v tomto ohledu.

16.

EIOÚ a pracovní skupina zřízená podle článku 29 již v některých stanoviscích (8) zdůraznili, že vývoj systémů PNR, ať již v rámci EU nebo pro potřeby výměny údajů s třetími zeměmi, musí být jasně zdůvodněn. Nezbytnost těchto opatření musí být potvrzena a doložena konkrétními důkazy, a poté by měla být vyhodnocena a posouzena rovnováha mezi zásahem do soukromí fyzických osob a nezbytností opatření, aby byl zajištěn proporcionální výsledek s co nejmenším zásahem do základních práv. Ta skutečnost, že současný vývoj technologií umožňuje nyní snadnější přístup k údajům a k jejich analýze, jak je uvedeno v závěru bodu 2.2 sdělení, sama o sobě neospravedlňuje vývoj systému zaměřeného na kontrolu všech cestujících. Jinými slovy: dostupnost prostředků by neměla světit účel.

17.

Jak je rozvedeno dále, EIOÚ má za to, že hromadný přenos údajů o nevinných lidech pro účely posouzení rizik vyvolává vážné otázky týkající se proporcionality. EIOÚ má zejména pochyby o proaktivním použití údajů PNR. Zatímco „reaktivní“ použití údajů nevyvolává větší znepokojení, pokud je součástí vyšetřování již spáchaného trestného činu, stávající použití a proaktivní použití vede ke kritičtějšímu hodnocení.

18.

Podle textu sdělení se dokonce i při „současném použití“ údaje PNR „využívají za účelem prevence trestné činnosti, sledování nebo zatčení osob ještě před spácháním trestného činu“ na základě „předem určených ukazatelů rizik, jež jsou založeny na faktech“ (9). Hlavní myšlenka, a sice přijímat opatření vůči osobám před spácháním trestné činnosti na základě ukazatelů rizik, je podle názoru EIOÚ proaktivním opatřením, jehož použití v souvislosti s vynucováním práva je tradičně striktně vymezeno a je omezené.

19.

Navíc ani zmínka o ukazatelích rizik, ani zmínka o „posouzení rizik“ nejsou dostatečně rozvedeny, a posledně jmenovanou zmínku lze snadno zaměnit za zmínku o „profilování“. Tuto podobnost ještě posiluje údajný cíl, kterým je vytváření „zjištěných cestovních modelů a modelů chování“. EIOÚ má pochyby o spojení mezi původními fakty a modely, jež jsou z těchto faktů vyvozovány. Cílem tohoto postupu je vystavovat fyzickou osobu posouzení rizik – a možná donucovacím opatřením – na základě faktů, které s touto fyzickou osobou nesouvisejí. Jak již EIOÚ uvedl ve svém dřívějším stanovisku k návrhu PNR pro EU, hlavní obava EIOÚ souvisí s tím, že „se o fyzických osobách bude rozhodovat na základě modelů a kritérií vytvořených na základě údajů o cestujících obecně. Rozhodnutí o jedné fyzické osobě budou tedy moci být přijímána (alespoň zčásti) na základě modelů odvozených z údajů o jiných fyzických osobách. Skutečnost, že rozhodnutí budou přijímána ve vztahu k abstraktním souvislostem, může mít obrovský dopad na subjekty údajů. Pro fyzické osoby je neobyčejně těžké bránit se proti takovým rozhodnutím“ (10).

20.

Používání takových technik v širokém rozsahu, které zahrnuje kontrolu všech cestujících, proto vyvolává vážné otázky ohledně dodržování základních zásad ochrany soukromí a ochrany údajů, včetně zásad stanovených v článku 9 EÚLP, článků 7 a 8 listiny a článku 16 SFEU.

21.

Tyto prvky, které by měly být analyzovány a rozpracovány v posouzení dopadů prováděném v rámci projektu PNR pro EU, by měly být zohledněny v každém konečném rozhodnutí o oprávněnosti systémů PNR. Program by měl být nastaven tak, aby umožňoval pečlivé zvážení výsledků tohoto posouzení dopadů při navrhování globálních požadavků na systémy PNR.

22.

Bez ohledu na předchozí zásadní připomínky týkající se oprávněnosti systémů PNR, EIOÚ vítá obsáhlý výčet norem, očividně inspirovaný zásadami ochrany údajů v EU, což by v některých ohledech mělo posílit ochranu, kterou předpokládají konkrétní dohody. O přidané hodnotě a nedostatcích, které byly v těchto normách zjištěny, se pojednává dále.

23.

Podle textu sdělení má EIOÚ za to, že posouzení odpovídající úrovně ochrany může vycházet z obecného rámce pro ochranu údajů přijímající země nebo může vyplývat ze souvislostí, z právně závazných ujednání obsažených v mezinárodních dohodách, jimiž se zpracování osobních údajů řídí. S ohledem na zásadní význam mezinárodních dohod pro posuzování odpovídající úrovně ochrany, EIOÚ zdůrazňuje, že je nutné jasně stanovit závaznost dohod pro všechny zúčastněné strany, a domnívá se, že by bylo možné toho docílit způsobem, který výslovně uvede, že tyto dohody musí zaručovat přímo vynutitelná práva subjektů údajů. EIOÚ je toho názoru, že tyto prvky jsou nezbytné při posouzení odpovídající úrovně ochrany.

24.

První dva body ve výčtu zásad souvisejí s omezením účelu. První bod pod titulkem „použití údajů“ uvádí účely vymáhání práva a bezpečnostní účely a druhý poukazuje na terorismus a jinou závažnou nadnárodní trestnou činnost, přičemž vychází z „odkazu“ na definice obsažené v nástrojích EU EIOÚ má pochyby o tomto znění, které by mohlo vést k domněnce, že budoucí dohody by přímo nevycházely z těchto definic, ale byly by jimi inspirovány. Z důvodu právní jistoty je nezbytné, aby terorismus a závažná nadnárodní trestná činnost byly přesně definovány a aby byly vymezeny nástroje EU, o kterých se sdělení zmiňuje. Kromě toho EIOÚ připomíná, že předtím, než budou do systému PNR začleněny různé druhy trestné činnosti, musí být nejprve posouzeny z hlediska nezbytnosti a proporcionality.

25.

Druhý bod, jak se zdá, se vztahuje spíše k rozsahu (povaze shromážděných údajů) než k zásadě účelnosti. EIOÚ konstatuje, že sdělení nepodává výčet údajů, které by mohly být přenášeny, neboť určení kategorií údajů, jež mají být vyměňovány, ponechává na každé konkrétní dohodě. Aby se zamezilo rozdílům a do některých dohod s třetími zeměmi nebyly zařazovány nepřiměřené kategorie údajů, EIOÚ se domnívá, že normy by měly doplnit společný a taxativní výčet kategorií údajů, v souladu s účelem výměny údajů. Odvolává se v této souvislosti na stanoviska pracovní skupiny zřízené podle článku 29, jež vymezují kategorie údajů, které by mohly připadat v úvahu pro výměnu, a kategorie údajů, které jsou v souvislosti se základními právy subjektů údajů považovány za zbytečné (11). Kategorie údajů, které by měly být vyloučeny, jsou zejména ty, které lze považovat za citlivé údaje – a které jsou chráněny článkem 8 směrnice 95/46/ES, údaje SSR/SSI (informace o požadavku zvláštní služby/zvláštní služební informace), údaje OSI (další služební informace), otevřená pole nebo volná textová pole (jako jsou „obecné poznámky“, kde se mohou vyskytnout údaje citlivé povahy) a informace týkající se častých cestujících a „údaje o chování“.

26.

V sdělení se uvádí, že citlivé údaje jsou použitelné pouze za výjimečných okolností. EIOÚ tato výjimka hluboce znepokojuje. Je toho názoru, že podmínky pro uplatnění výjimky jsou vymezeny příliš široce a neposkytují žádné záruky: jako příklad se uvádí použití údajů v návaznosti na jednotlivé případy; omezení účelu by mimochodem mělo být obecnou zásadou platnou pro jakékoli zpracovávání údajů PNR, a nejen zárukou týkající se citlivých údajů. EIOÚ se domnívá, že možnost zpracovávat, a to dokonce i v omezených případech, citlivé údaje by přiblížila úroveň ochrany u všech systémů PNR úrovni systému s nejméně vyhovující ochranou údajů, a nikoli systému s nejlepší ochranou. Vyzývá proto, aby bylo zpracování citlivých údajů zcela vyloučeno, a to bez výjimky.

27.

Obecná povinnost zajištění bezpečnosti, jak ji sdělení stanoví, je považována za uspokojivou. EIOÚ se však domnívá, že by měla být doplněna o povinnost vzájemného informování v případě narušení bezpečnosti: příjemci by byli zodpovědní za poskytování informací protějškům v případě, že obdržené údaje byly nezákonně zpřístupněny. Toto opatření přispěje k posílení odpovědnosti za bezpečné zpracování údajů.

28.

EIOÚ podporuje systém dozoru, který sdělení předpokládá, včetně opatření dohledu a odpovědnosti. Důrazně je také podporováno právo každé osoby domáhat se administrativní nebo soudní nápravy. Pokud jde o přístupová práva, chápe, že nelze očekávat žádná omezení, což je vítáno. Pokud by ve výjimečných případech bylo omezení nezbytné, měl by být v normách jasně uveden jeho přesný rozsah a nezbytné záruky, zejména včetně nepřímých přístupových práv.

29.

EIOÚ je spokojen s omezením následného předávání údajů v jednotlivých případech, ať již jiným veřejným orgánům nebo do třetích zemí. Je toho názoru, že kromě této zásady by zásada omezení účelu, platná pro přenosy do třetích zemí, měla být uplatňována také u přenosů jiným veřejným orgánům v těchto třetích zemích. To by mělo zabránit jakémukoli dalšímu použití údajů PNR nebo křížové kontrole údajů PNR s informacemi zpracovávanými k různým účelům. EIOÚ znepokojuje zejména riziko křížové kontroly s informacemi pocházejícími z jiných databází, jako je v případě Spojených států systém ESTA. Konstatuje, že nedávné rozhodnutí USA požadovat poplatek za využívání systému ESTA vede ke sběru informací o kreditních kartách cestujících. EIOÚ vyzývá k jasnému omezení, aby se zabránilo neoprávněnému porovnávání informací přesahujícímu oblast působení dohody o PNR.

30.

Doba uchovávání údajů nepodléhá účinné harmonizaci. EIOÚ je toho názoru, že údaje PNR by zásadně měly být vymazány, jestliže kontroly prováděné při přenosu údajů nevedly k přijetí jakýchkoli donucovacích opatření. Pokud by vnitrostátní souvislosti opravňovaly k jejich uchovávání po určitou omezenou dobu, EIOÚ se domnívá, že by měla být v normách stanovena maximální přípustná doba uchovávání. Kromě toho by měla být posílena zásada časového omezení přístupových práv úředníků a postupná anonymizace údajů by měla být považována za povinnost, a nikoli za příklad.

31.

EIOÚ podporuje, aby údaje PNR byly přenášeny výlučně za použití systému uvolňování údajů (systém „push“). Vyzývá k pevným zárukám, které zajistí, že v praxi bude skutečně používán pouze systém uvolňování údajů. Zkušenosti a kontroly prováděné orgány ochrany údajů totiž ukázaly, že nehledě na povinnosti vyplývající z platných dohod, zejména u „amerických PNR“ ještě přetrvává systém čerpání údajů (systém „pull“) a že americké orgány souběžně s uvolňováním údajů mají širší přístup k údajům PNR prostřednictvím počítačového rezervačního systému. Měla by být přijata právní a technická opatření, jež by jakémukoli obcházení systému uvolňování údajů zabránila.

32.

Měla by být vymezena četnost přenosů údajů leteckými společnostmi („náležité“) a měl by být stanoven maximální přípustný počet přenosů údajů. Srovnávacím měřítkem by přitom měly být stávající systémy, jejichž ustanovení nejlépe splňují zásady ochrany soukromí.

33.

EIOÚ také vyzývá k větší přesnosti u základních prvků realizace dohod o PNR. Trvání dohod („pevně stanovená doba“, „vhodné“) a jejich přezkum („pravidelný“) by měly být dále upřesněny z horizontálního hlediska. Zejména by bylo možné blíže vymezit pravidelnost společných přezkumů a povinnost provést první přezkum v určité konkrétní časové lhůtě od vstupu dohod v platnost: mohlo by být uvedeno období nejvýše tří let.

34.

EIOÚ vítá horizontální přístup, který Komise ve sdělení předložila. Je to důležitý krok směrem ke stanovení komplexního rámce pro výměnu údajů PNR. Toto celkově pozitivní hodnocení však snižují některé vážné obavy.

35.

Systémy PNR předložené ve sdělení samy o sobě nesplňují požadavky prověření nezbytnosti a proporcionality rozvíjené v tomto stanovisku a v dřívějších stanoviscích EIOÚ a pracovní skupiny zřízené podle článku 29. Mají-li být přijatelné, měly by být podstatně omezeny podmínky pro sběr a zpracovávání osobních údajů. EIOÚ zejména znepokojuje použití systémů PNR pro posuzování rizik nebo pro vytváření profilů.

36.

Vývoj norem v oblasti PNR by měl zohledňovat obecný rámec pro ochranu údajů a vývoj legislativy EU a na obecnější úrovni také jednání o dohodách o výměně údajů, zejména se Spojenými státy. Mělo by být zaručeno, aby budoucí dohoda se Spojenými státy o PNR respektovala obecnou dohodu s USA o ochraně údajů. Tento přístup by měly splňovat také dohody o PNR s dalšími třetími zeměmi.

37.

Je nezbytné, aby každá dohoda s třetími zeměmi zohledňovala nové požadavky na ochranu údajů vyvíjené v post-lisabonském institucionálním rámci.

38.

EIOÚ také vyzývá k větší přesnosti v globálním přístupu v souvislosti s minimálními zárukami použitelnými ve všech dohodách: měly by zejména být stanoveny přísnější podmínky pro zpracovávání citlivých údajů, zásada omezení účelu, podmínky následného přenosu údajů a jejich uchovávání.

39.

Konečně EIOÚ trvá na tom, že každá dohoda by měla poskytnout subjektům údajů přímo vynutitelná práva. Efektivita vynucovacích postupů jak subjektů údajů, tak orgánů dozoru je nezbytnou podmínkou pro posouzení jakékoli dohody z hlediska odpovídající ochrany údajů.

—

Spojenými státy: Dohoda mezi Evropskou unií a Spojenými státy americkými o zpracování údajů jmenné evidence cestujících (PNR) leteckými dopravci a o jejich předávání Ministerstvu vnitřní bezpečnosti Spojených států (Dohoda PNR 2007) (Úř. věst. L 204, 4.8.2007, s. 18).

—

Kanadou: Dohoda mezi Evropským společenstvím a vládou Kanady o zpracovávání a předávání předběžných informací o cestujících a záznamů o knihování cestujících (Úř. věst. L 82, 21.3.2006, s. 15).

—

Austrálií: Dohoda mezi Evropskou unií a Austrálií o zpracovávání údajů jmenné evidence cestujících (PNR) ze zdrojů Evropské unie leteckými dopravci a o jejich předávání Australské celní správě (Úř. věst. L 213, 8.8.2008, s. 49–57).