52012DC0009

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ

Ochrana soukromí v propojeném světě Evropský rámec pro ochranu údajů pro 21. století

(Text s významem pro EHP)

1. SOUČASNÉ VÝZVY V OBLASTI OCHRANY ÚDAJŮ

Rychlé tempo změn a globalizace v oblasti technologie zásadním způsobem přetváří způsob, jakým jsou údaje shromažďovány, využívány a předávány. Nové způsoby sdílení informací prostřednictvím sociálních sítí a ukládání velkého množství údajů na dálku se stávají součástí života pro mnohé z 250 milionů uživatelů internetu. Zároveň se osobní údaje stávají pro mnohé obchodní subjekty součástí majetku. Sběr, shromažďování a analýza údajů potenciálních zákazníků je často důležitou součástí jejich hospodářských činností[1].

V tomto novém digitálním prostředí mají fyzické osoby právo využívat účinné kontroly nad svými osobními informacemi. Ochrana údajů je v Evropě základním právem, které je zakotveno v článku 8 Listiny základních práv Evropské unie, jakož i čl. 16 odst. 1 Smlouvy o fungování Evropské unie (SFEU), a proto musí být odpovídajícím způsobem chráněno.

Nedostatek důvěry vede k tomu, že se spotřebitelé zdráhají nakupovat on-line a využívat nové služby. Pro zvýšení důvěry v on-line služby a naplnění potenciálu digitální ekonomiky je proto zásadní vysoká úroveň ochrany údajů, čímž by měl být podpořen hospodářský růst a konkurenceschopnost průmyslu EU.

Aby se údaje mohly pohybovat volně z jednoho členského státu do druhého, je pro EU nutné vytvořit moderní, jednotná pravidla. Obchodní subjekty potřebují jasná a jednotná pravidla, která přinesou právní jistotu a minimalizují administrativní zatížení. Pro fungování jednotného trhu a stimulování hospodářského růstu je zásadní vytvořit nová pracovní místa a podpořit inovace[2]. Modernizace pravidel EU týkajících se ochrany údajů, kterou se posílí jejich rozměr pro vnitřní trh, zajišťuje vysokou úroveň ochrany údajů fyzických osob a podporuje právní jistotu, jasnost a jednotnost, a proto hraje ústřední úlohu ve Stockholmském akčním plánu Evropské komise[3], v dokumentu Digitální agenda pro Evropu[4] a v širším měřítku přispívá ke strategii růstu EU Evropa 2020[5].

Milníkem v historii ochrany údajů byla směrnice EU z roku 1995[6], která je pro ochranu osobních údajů v Evropě základním právním nástrojem. Stále zůstávají v platnosti její cíle, a to zajistit fungování jednotného trhu a účinnou ochranu základních práv a svobod fyzických osob. Byla však přijata před sedmnácti lety, kdy byl internet ještě v plenkách. V dnešním novém, složitém digitálním prostředí stávající pravidla neposkytují ani potřebnou úroveň harmonizace ani nezbytnou účinnost pro zajištění práva na ochranu osobních údajů. Proto Evropská komise navrhuje zásadní reformu právního rámce EU v oblasti ochrany údajů.

Navíc byl Lisabonskou smlouvou vytvořen (v článku 16 SFEU) nový právní základ modernizovaného a komplexního přístupu k ochraně údajů a volnému pohybu osobních údajů, jehož součástí je i policejní a justiční spolupráce v trestních věcech[7]. Tento přístup se odráží ve sdělení Evropské komise týkajícím se Stockholmského programu a Stockholmského akčního plánu[8], které zdůrazňují potřebu Unie „zavést úplný režim ochrany osobních údajů, který pokryje všechny oblasti pravomocí Unie“ a „zajistit soustavné uplatňování základního práva na ochranu údajů“.

Aby byla příprava reformy rámce EU týkajícího se ochrany údajů transparentní, zahájila Komise v roce 2009 veřejnou konzultaci k otázce ochrany údajů[9] a intenzivní dialog se zúčastněnými stranami[10]. Dne 4. listopadu 2010 Komise zveřejnila sdělení o komplexním přístupu k ochraně osobních údajů v Evropské unii[11], které stanoví hlavní témata reformy. Od září do prosince 2011 byla Komise součástí posíleného dialogu s evropskými vnitrostátními orgány působícími v oblasti ochrany údajů a s evropským inspektorem ochrany údajů, jehož cílem bylo zvážit varianty, jak dosáhnout jednotnějšího uplatňování pravidel EU v oblasti ochrany údajů ve všech členských státech EU[12].

Z těchto jednání vyplynulo, že jak občané, tak obchodní subjekty si přejí, aby Evropská komise provedla komplexní reformu pravidel EU týkajících se ochrany údajů. Evropská komise po posouzení dopadů na různé možnosti opatření[13] nyní navrhuje silný a jednotný legislativní rámec napříč různými politickými oblastmi Unie, jenž posiluje práva fyzických osob a rozměr jednotného trhu z hlediska ochrany údajů a omezuje byrokracii pro podniky[14]. Komise navrhuje, aby součástí nového rámce byly tyto nástroje:

– nařízení (nahrazující směrnici 95/46/ES), které stanoví obecný rámec EU pro ochranu údajů[15],

– a směrnici (nahrazující rámcové rozhodnutí 2008/977/SVV[16]), která stanoví pravidla o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, odhalování, vyšetřování či stíhání trestných činů a souvisejících činností soudů.

Toto sdělení stanoví hlavní prvky reformy právního rámce EU v oblasti ochrany údajů.

2. JAK UMOŽNIT, ABY FYZICKÉ OSOBY MOHLY KONTROLOVAT SVÉ OSOBNÍ ÚDAJE

Podle směrnice 95/46/ES – v současnosti hlavního právního nástroje EU v oblasti ochrany údajů – nejsou v členských státech dostatečně harmonizovány způsoby, jakými fyzické osoby mohou uplatňovat své právo na ochranu údajů. Taktéž pravomoci vnitrostátních orgánů odpovědných za ochranu údajů nejsou dostatečně harmonizovány, aby zajistily jednotné a účinné uplatňování pravidel. To znamená, že v některých členských státech je uplatňování takových práv v praxi složitější než v jiných. To se zejména týká on-line prostředí.

Tyto obtíže jsou rovněž způsobeny obrovským objemem údajů, jež jsou každodenně shromažďovány, a skutečností, že uživatelé si často nejsou plně vědomi toho, že údaje o nich jsou shromažďovány. Ačkoli se mnozí občané EU domnívají, že zveřejňování osobních údajů je stále více součástí moderního života[17], 72 % uživatelů internetu má stále obavy, že je od nich on-line požadováno příliš mnoho osobních údajů[18]. Mají pocit, že nemají nad svými údaji kontrolu. Nejsou řádně informováni o tom, co se s jejich osobními informacemi děje, komu jsou předávány a za jakými účely. Často nevědí, jak svá práva v on-line prostředí uplatňovat.

Právo být zapomenut

Student, který je občanem EU a který je členem služby sociální sítě v on-line prostředí, se rozhodne požádat o přístup ke všem osobním údajům, které o něm síť vlastní. Přitom si uvědomí, že bylo shromážděno mnohem více údajů, než si byl vědom, a že některé osobní údaje, o kterých se domníval, že byly vymazány, jsou stále uloženy.

Reforma pravidel EU týkajících se ochrany údajů zajistí, že k tomu již více nebude docházet, a to tím, že budou zavedeny tyto prvky:

– výslovný požadavek, který uloží službám sociálních sítí působícím v on-line prostředí (a všem ostatním správcům údajů) povinnost minimalizovat objem osobních údajů uživatelů, které shromažďují a zpracovávají,

– požadavek, aby výchozí nastavení zajišťovalo, aby údaje nebyly zveřejňovány,

– výslovná povinnost správců údajů vymazat osobní údaje fyzických osob, pokud tato osoba o výmaz výslovně požádá a pokud již neexistuje oprávněný důvod je zachovat. V tomto konkrétním případě by byl poskytovatel sociální sítě povinen údaje o studentovi okamžitě a úplně vymazat.

Jak bylo zdůrazněno v dokumentu Digitální agenda pro Evropu, mezi nejčastější důvody, proč lidé nekupují zboží a služby on-line, patří obavy o soukromí. Vzhledem k tomu, jak přispívá odvětví informačních a komunikačních technologií (ICT) na celkový růst produktivity v Evropě – 20 % přímo odvětví ICT a 30 % investice do ICT[19] – je důvěra v tyto služby nezbytně nutná pro stimulaci růstu ekonomiky EU a konkurenceschopnost průmyslu EU.

Ohlašování narušení bezpečnosti osobních údajů

Hackeři napadli poskytovatele internetových her, jenž se zaměřuje na uživatele z EU. Narušením byly ovlivněny databáze obsahující osobní údaje (včetně jmen, adres a možná i údaje o kreditních kartách) desítek milionů uživatelů po celém světě. Společnost čekala týden, než to dotyčným uživatelům oznámila.

Reforma pravidel EU týkajících se ochrany údajů zajistí, aby k tomu již více nedocházelo. Podle nových pravidel budou společnosti povinny:

– posílit svá bezpečnostní opatření, aby předcházely narušování a zamezily jeho vzniku,

– neprodleně oznámit narušení bezpečnosti osobních údajů jak vnitrostátnímu orgánu pro ochranu údajů (pokud to bude proveditelné tak do 24 hodin od zjištění narušení), tak dotyčným osobám.

Cílem nových legislativních aktů, které Komise navrhuje, je posílit práva, poskytnout lidem účinné a operativní prostředky, díky kterým budou moci být plně informováni o tom, co se stane s jejich osobními údaji, a umožní jim svá práva účinněji uplatňovat.

Pro posílení práva fyzických osob na ochranu údajů Komise navrhuje nová pravidla, která:

Zlepší schopnost fyzických osob mít kontrolu nad svými údaji, a to takto:

–        zajištěním, že v případě potřeby jejich souhlasu, musí být tento poskytnut výslovně, což znamená, že musí být dán buď formou dobrovolného prohlášení nebo jednoznačného potvrzení dotyčnou osobou,

–        poskytnutím uživatelům internetu účinného práva být zapomenut v on-line prostředí: právem, aby údaje o nich byly vymazány, pokud odvolají svůj souhlas a pokud neexistují žádné oprávněné důvody, proč údaje uchovat,

–        zaručením snadného přístupu k vlastním údajům a právo na přenositelnost údajů: právo obdržet kopii uložených údajů od správce a svoboda převést je bez průtahů od jednoho poskytovatele služeb k jinému,

–        posílením práva na informace, aby fyzické osoby v plném rozsahu chápaly, jak je s jejich osobními údaji zacházeno, zejména když se zpracování údajů týká dětí.

Zlepší prostředky, kterými fyzické osoby mohou uplatňovat svá práva, a to takto:

–        posílením nezávislosti a pravomocí orgánů pro ochranu údajů, aby byly řádně vybaveny pravomocemi k provádění účinného vyšetřování, aby mohly účinně řešit stížnosti, činit závazná rozhodnutí a ukládat účinné a odrazující sankce,

–        zlepšením správních a soudních prostředků použitelných při porušení práv na ochranu údajů. Zejména bude možné, aby před soudem jménem fyzické osoby vystupovala odborná sdružení.

Posílí bezpečnost údajů, a to takto:

–        podpořením využití technologií zlepšujících soukromí (technologie, které chrání soukromí informací minimalizací ukládání osobních údajů), výchozího nastavení respektujícího soukromí a certifikačních systémů podporujících soukromí,

–        zavedením obecné povinnosti[20] správců údajů oznámit bez zbytečného prodlení narušení bezpečnosti osobních údajů, a to jak orgánům pro ochranu údajů (k čemuž by, pokud je to možné, mělo dojít do 24 hodin), tak dotyčným fyzickým osobám.

Posílí odpovědnost zpracovatelů údajů, a to zejména takto:

–        uložením požadavku, aby ve společnostech s více než 250 zaměstnanci a ve firmách, které jsou zapojeny do operací souvisejících se zpracováním údajů, které svou povahou, rozsahem nebo účelem představují zvláštní ohrožení práv a svobod fyzických osob (dále jen „zpracování údajů spojené s riziky“), museli zpracovatelé údajů ustanovit inspektora ochrany údajů,

–        zavedením zásady „ochrany soukromí již od návrhu“, aby bylo zajištěno, že ve fázi plánování postupů a systémů jsou zohledněny záruky spojené s ochranou údajů,

–        zavedením povinnosti vypracovat posouzení dopadů v oblasti ochrany osobních údajů u organizací, které jsou zapojeny do zpracování údajů spojeného s riziky.

3. PRAVIDLA OCHRANY ÚDAJŮ VHODNÁ PRO JEDNOTNÝ DIGITÁLNÍ TRH

I přesto, že cílem stávající směrnice je zajistit odpovídající úroveň ochrany údajů v rámci EU, pravidla v jednotlivých členských státech se stále zásadním způsobem liší. V důsledku toho může docházet k tomu, že správci údajů se musejí potýkat s 27 různými vnitrostátními zákony a požadavky. Důsledkem toho je nejednotné právní prostředí, což přináší právní nejistotu a nerovnou ochranu fyzických osob. Tím vznikají podnikům zbytečné náklady a administrativní zatížení a podniky působící na jednotném trhu, které chtějí rozšířit své působení přes hranice, odrazuje.

Mezi členskými státy se značně liší zdroje a pravomoci vnitrostátních orgánů odpovědných za ochranu údajů[21]. V některých případech nedokážou uspokojivě plnit své úkoly spojené s vymáháním. Spolupráce mezi těmito orgány na úrovni EU – prostřednictvím stávající poradní skupiny (tzv. pracovní skupina zřízená podle článku 29)[22] – nevede vždy k jednotnému vymáhání a je nutné ji zlepšit.

Jednotné prosazování pravidel týkajících se ochrany údajů v celé Evropě

Nadnárodní společnost, která má v EU několik poboček, vytváří celoevropský on-line mapovací systém, který shromažďuje obrázky všech soukromých i veřejných budov, a může rovněž fotografovat osoby na ulicích. V jednom členském státě se uvedení fotografií s nerozmazanými rysy osob, které si nejsou vědomy toho, že jsou fotografovány, považuje za nezákonné, zatímco v jiných členských státech tím zákony v oblasti ochrany údajů nejsou porušovány. V důsledku toho orgány jednotlivých států pro ochranu údajů nereagují stejně.

Reforma pravidel EU týkajících se ochrany údajů zajistí, aby k tomu již nemohlo v budoucnosti docházet, neboť:

– požadavky na ochranu údajů a záruky v této oblasti budou stanoveny v nařízení EU, které je přímo použitelné v celé Unii,

– za rozhodování, zda společnost jedná v souladu se zákonem, bude odpovědný pouze orgán pro ochranu údajů, kde má společnost hlavní sídlo,

– rychlá a účinná koordinace mezi orgány pro ochranu údajů jednotlivých států (vzhledem k tomu, že jejich služby jsou orientovány na fyzické osoby v několika členských státech) napomůže zajistit, aby byla pravidla EU týkající se ochrany údajů ve všech členských státech uplatňována a vymáhána jednotně.

Vnitrostátní orgány musí být posíleny a musí být prohloubena jejich spolupráce, aby bylo zaručeno jednotné prosazování a v neposlední řadě i jednotné uplatňování pravidel v celé EU.

Silný, jasný a jednotný právní rámec na úrovni EU pomůže využít potenciál jednotného digitálního trhu a podpořit hospodářský růst, inovace a vznik nových pracovních míst. Nařízení vyřeší nejednotnost právních systémů 27 členských států a odstraní překážky vstupu na trh, což je mimořádně důležitý faktor pro mikropodniky a malé a střední podniky.

Nová pravidla rovněž zvýhodní společnosti EU ve celosvětové konkurenci. V reformovaném právním rámci budou moci ujistit své zákazníky, že s cennými osobními informacemi bude zacházeno s nezbytnou péčí. Důvěra v jednotný právní systém EU bude klíčovým přínosem pro poskytovatele služeb a motivací pro investory, kteří hledají optimální podmínky pro místa, kde budou poskytovat své služby.

Pro lepší uzpůsobení ochrany údajů jednotnému trhu Komise navrhuje:

–        určit pravidla pro ochranu údajů na úrovni EU formou nařízení, které je přímo použitelné ve všech členských státech[23], což ukončí kumulativní a současné uplatňování různých vnitrostátních zákonů v dané oblasti. To povede k čistým úsporám pro společnosti ve výši přibližně 2,3 miliardy EUR ročně, jen co se týče samotného administrativního zatížení,

–        zjednodušit právní prostředí drastickým omezením byrokracie a formalit, jako např. obecných ohlašovacích povinností (což povede k čistým úsporám ve výši 130 milionů EUR ročně, jen co se týče samotného administrativního zatížení). S ohledem na jejich důležitost pro konkurenceschopnost evropské ekonomiky je věnována zvláštní pozornost konkrétním potřebám mikropodniků, malých a středních podniků,

–        dále prohloubit nezávislost a posílit pravomoci orgánů pro ochranu údajů jednotlivých států, aby mohly provádět vyšetřování, činit závazná rozhodnutí a ukládat účinné a odrazující sankce, a uložit členským státům povinnost poskytnout těmto úřadům pro tyto činnost dostatečné zdroje,

–        zavést pro oblast ochrany údajů v EU jediné kontaktní místo: správci údajů v EU budou muset jednat pouze s jediným orgánem pro ochranu údajů, a to s příslušným orgánem toho členského státu, kde se nachází hlavní sídlo společnosti,

–        vytvořit podmínky pro rychlou a účinnou spolupráci mezi orgány pro ochranu údajů, včetně jejich povinnosti provádět vyšetřování a kontroly na žádost jiného orgánu, a vzájemně si uznávat svá rozhodnutí,

–        zavést mechanismus jednotnosti na úrovni EU, aby rozhodnutí orgánu pro ochranu údajů, která mají širší evropský dopad, plně zohledňovala názory dotyčných orgánů pro ochranu údajů, a aby byla plně v souladu s právem EU,

–        změnit statut pracovní skupiny podle článku 29 na Evropskou radu pro ochranu údajů, aby se zlepšilo její přispění k jednotnému uplatňování práva v oblasti ochrany údajů a vznikla silná základna spolupráce mezi orgány pro ochranu údajů, a to včetně evropského inspektora ochrany údajů, a zlepšit synergie a účinnost tím, že sekretariát evropského inspektora ochrany údajů bude poskytovat služby sekretariátu i Evropské radě pro ochranu údajů.

Nové nařízení EU zajistí spolehlivou ochranu základního práva na ochranu údajů v celé Evropské unii a posílí fungování jednotného trhu. S ohledem na skutečnost, že (jak zdůrazňuje Soudní dvůr EU[24] právo na ochranu osobních údajů se neprojevuje jako absolutní výsada, ale musí k němu být přihlédnuto ve vztahu k jeho funkci ve společnosti[25] a musí být v rovnováze s jinými obecnými zásadami práva Společenství, jako je zásada proporcionality[26]), nařízení bude obsahovat výslovná ustanovení, která zajistí respektování ostatních základních práv, jako např. svobody projevu a informací, práva na obhajobu, jakož i profesní tajemství (jako např. u právnických profesí), aniž by tím byl ovlivněn status církví podle zákonů členských států.

4. VYUŽÍVÁNÍ ÚDAJŮ PŘI POLICEJNÍ A JUSTIČNÍ SPOLUPRÁCI

Vstoupení Lisabonské smlouvy v platnost a zejména zavedení nového právního základu (článek 16 SFEU) umožňuje zřídit komplexní rámec právní ochrany, jenž bude zajišťovat ochranu osobních údajů na vysoké úrovni a který bude přitom respektovat specifickou povahu oblasti policejní a justiční spolupráce v trestních věcech. Zejména umožňuje, aby revidovaný rámec EU pro ochranu údajů zahrnoval jak přeshraniční, tak vnitrostátní zpracovávání osobních údajů. Tím by se omezily rozdíly mezi právními předpisy v členských státech, a to pravděpodobně ve prospěch celkové ochrany osobních údajů. Rovněž může vést k bezproblémovější výměně informací mezi policejními a justičními orgány členských států, čímž se zlepší spolupráce při boji proti závažné trestné činnosti v Evropě. Zpracování údajů policejními a justičními orgány v trestních věcech v současné době pokrývá především rámcové rozhodnutí 2008/977/SVV, které časově předchází vstupu Lisabonské smlouvy v platnost. Komisi schází pravomoci pro vymáhání předpisů, neboť jde o rámcové rozhodnutí a to přináší rozdíly v provádění. Navíc je oblast působnosti rámcového rozhodnutí omezena na činnosti související s přeshraničním zpracováním.[27] To znamená, že zpracování osobních údajů, které není předmětem výměny, v současnosti nepokrývají pravidla EU, kterými se toto zpracovávání a ochrana základního práva na ochranu údajů řídí. To rovněž v některých případech působí praktické obtíže policejním a jiným orgánům, kterým nemusí být zřejmé, zda zpracování údajů je pouze vnitrostátní či přeshraniční. Rovněž mohou mít problém při zjišťování, zda „vnitrostátní“ údaje mohou být předmětem následné přeshraniční výměny.[28]

Cílem nového reformovaného rámce EU týkajícího se ochrany údajů je zajistit jednotnou ochranu údajů na vysoké úrovni pro zlepšení vzájemné důvěry mezi policejními a justičními orgány jednotlivých členských států, což dále přispěje k volnému pohybu údajů a účinné spolupráci mezi policejními a justičními orgány.

Pro zajištění ochrany osobních údajů v oblasti policejní a justiční spolupráce v trestních věcech na vysoké úrovní a usnadnění výměny osobních údajů mezi policejními a justičními orgány členských států Komise navrhuje směrnici, která tvoří součást balíčku opatření pro reformu ochrany údajů. Cílem této směrnice je:

–        uplatnit obecné zásady týkající se ochrany údajů na oblast policejní a justiční spolupráce v trestních věcech a přitom respektovat specifickou povahu těchto oblastí,[29]

–        stanovit minimální harmonizovaná kritéria a podmínky týkající se případných omezení platnosti obecných pravidel. To se týká zejména práva fyzických osob být informovány, když policejní a justiční orgány zacházejí s jejich osobními údaji nebo k nim mají přístup. Tato omezení jsou nutná pro účinnou prevenci, odhalování, vyšetřování či stíhání trestných činů,

–        zavést zvláštní pravidla, která by zahrnovala specifickou povahu činností spojených s vymáháním práva, jakož i rozlišovat mezi jednotlivými kategoriemi subjektů údajů, jejichž práva se mohou lišit (jako např. svědci a podezřelí).

5. OCHRANA ÚDAJŮ V GLOBALIZOVANÉM SVĚTĚ

Práva fyzických osob musí být nadále zajišťována při předávání osobních údajů z EU do třetích zemí a kdykoli jde o fyzické osoby v členských státech a jejich údaje jsou používány či analyzovány poskytovateli služeb v třetích zemích. To znamená, že se musí používat normy EU týkající se ochrany údajů bez ohledu na geografické umístění společnosti nebo místa, odkud údaje zpracovává.

V dnešním globalizovaném světě se osobní údaje předávají přes stále větší počet virtuálních a geografických hranic a ukládají se na serverech v mnoha zemích. Více společností nabízí služby tzv. „cloud computingu“, které umožňují zákazníkům ukládat údaje na vzdálených serverech a mít k nim přístup. Tyto faktory volají po zlepšení stávajících mechanismů předávání údajů do třetích zemí. Patří sem i rozhodnutí o přiměřenosti – tj. rozhodnutí, která potvrzují „přiměřenost“ norem ochrany údajů v třetích zemích – a vhodné záruky, jako např. standardní smluvní doložky nebo závazná podniková pravidla[30], aby byla zajištěna ochrana údajů při operacích mezinárodního zpracování na vysoké úrovni a zjednodušeny pohyby údajů přes hranice.

Závazná podniková pravidla

Skupina podniků pravidelně potřebuje předávat osobní údaje ze svých přidružených společností se sídlem v EU do svých přidružených společností v třetích zemích. Skupina by chtěla zavést závazná podniková pravidla s cílem vyhovět zákonům EU a zároveň omezit administrativní požadavky pro každé jednotlivé předání. V praxi tato pravidla zajišťují, aby v celé skupině platil namísto různých interních smluv jediný soubor pravidel.

Na základě stávajících praktik dohodnutých na úrovni pracovní skupiny podle článku 29 uznání, že závazná podniková pravidla společnosti poskytují přiměřenou záruku, znamená, že je řádně přezkoumaly tři orgány pro ochranu údajů (jeden hlavní a dva kontrolní), ale může se k nim rovněž vyjádřit i několik jiných. Zákony mnoha členských států navíc vyžadují další vnitrostátní povolení k předávání, které již je pokryto závaznými podnikovými pravidly, čímž se proces jejich přijímání stává velice náročný, nákladný, dlouhý a složitý.

Po reformě v oblasti ochrany údajů:

– bude tento proces jednodušší a sjednocenější,

– bude závazná podniková pravidla schvalovat pouze jeden orgán pro ochranu údajů a budou existovat mechanismy, které zajistí rychlé zapojení ostatních příslušných orgánů pro ochranu údajů,

– jakmile jeden takovýto orgán schválí závazná podniková pravidla, budou platná pro celou EU, aniž by bylo potřebné jakákoli další schválení na vnitrostátní úrovni.

Pro řešení problémů globalizace jsou potřebné flexibilní nástroje a mechanismy (zejména pro podniky fungující v celosvětovém měřítku), které mají zároveň zaručit ochranu údajů fyzických osob bez nedostatků. Komise navrhuje následující opatření:

–        jasná pravidla definující, kdy se na správce údajů se sídlem v třetích zemích použije právo EU, a to zejména tím, že budou specifikovat, že kdykoli jsou služby a zboží nabízeny fyzickým osobám v EU nebo kdykoli jsou monitorovány, platí předpisy EU,

–        Evropská komise bude činit veškerá rozhodnutí o přiměřenosti na základě výslovných a jasných kritérií, včetně oblasti policejní a justiční spolupráce,

–        pohyby údajů do třetích zemí založené na oprávněných důvodech budou usnadněny posílením a zjednodušením pravidel týkajících se mezinárodního předávání do zemí, na které se nevztahuje rozhodnutí o přiměřenosti, a to zejména sjednocením a rozšířením použití nástroje, jako jsou např. závazná podniková pravidla, aby mohla být využita tak, aby zahrnovala správce údajů a ve skupinách společností, čímž budou lépe odrážet rostoucí počet společností zahrnutých do činností spojených se zpracováním údajů, zejména do tzv. „cloud computingu“,

–        zahájit s třetími zeměmi (a to zejména se strategickými partnery EU a zeměmi spadajícími do evropské politiky sousedství) a příslušnými mezinárodními organizacemi (jako např. Radou Evropy, Organizací pro hospodářskou spolupráci a rozvoj, Organizací spojených národů) dialog a případně i jednání na celosvětovou podporu interoperabilních norem v oblasti ochrany údajů na vysoké úrovni.

6. ZÁVĚR

Cílem reformy pravidel EU týkajících se ochrany údajů je vybudovat pro Evropskou unii moderní, silný, jednotný a komplexní rámec ochrany údajů. Bude posíleno základní právo fyzických osob na ochranu údajů. Budou respektována i ostatní práva, jako např. svoboda projevu a informací, právo dítěte, právo na svobodu podnikání, právo na spravedlivý proces a profesní tajemství (jako např. u právnických profesí), jakož i status církví podle zákonů členských států.

Z reformy budou těžit především fyzické osoby tím, že posílí jejich práva na ochranu údajů a jejich důvěra v digitální prostředí. Reformou se dále podstatně zjednoduší právní prostředí pro podniky a veřejný sektor. Očekává se, že stimuluje rozvoj digitální ekonomiky na celém jednotném trhu EU i mimo něj, a to v souladu s cíli strategie Evropa 2020 a Digitální agendy pro Evropu. V neposlední řadě reforma zlepší důvěru mezi donucovacími orgány s cílem zjednodušit výměnu údajů mezi nimi a spolupráci při boji proti závažné trestné činnosti, při současném zajištění ochrany fyzických osob na vysoké úrovni.

Evropská komise bude úzce spolupracovat s Evropským parlamentem a Radou, aby bylo do konce roku 2012 dosaženo dohody ohledně nového rámce EU pro ochranu údajů. V průběhu celého procesu jeho přijímání i po jeho skončení (zejména v souvislosti s prováděním nových právních nástrojů) bude Komise udržovat úzký a transparentní dialog se všemi zúčastněnými stranami, včetně zástupců soukromého i veřejného sektoru. Konkrétně půjde o zástupce policejních a justičních orgánů, regulační orgány pro oblast elektronických komunikací, organizace občanské společnosti, orgány ochrany údajů a zástupci akademické obce působící v této oblasti, jakož i specializované agentury EU jako např. Eurojust, Europol, Agentura pro základní práva a Evropská agentura pro bezpečnost sítí a informací.

V souvislosti se stálým rozvojem informačních technologií a vyvíjejícím se sociálním chováním, je tento dialog maximálně důležitý, aby byly získány výhody z informací nutných pro zajištění ochrany údajů fyzických osob na vysoké úrovni, růstu a konkurenceschopnosti průmyslu EU, operativní účinnosti veřejného sektoru (včetně policejních a justičních orgánů) a nízkého administrativního zatížení.

[1]               Trh s analýzou velmi velkých souborů údajů roste celosvětově každý rok o 40 %: http://www.mckinsey.com/mgi/publications/big_data/.

[2]               Viz rovněž závěry Evropské rady ze dne 23. října 2011, které zdůraznily „klíčovou úlohu“ jednotného trhu „při zajišťování růstu a zaměstnanosti“, jakož i potřebu dokončit do roku 2015 budování jednotného digitálního trhu.

[3]               KOM(2010) 171 v konečném znění.

[4]               KOM(2010) 245 v konečném znění.

[5]               KOM(2010) 2020 v konečném znění.

[6]               Směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Úř. věst. L 281, 23.11.1995, s. 31.

[7]               Konkrétní pravidla pro zpracování údajů členskými státy v oblasti společné zahraniční a bezpečnostní politiky jsou stanoveny v rozhodnutí Rady na základě článku 39 Smlouvy o EU.

[8]               KOM(2009) 262 a SEK(2010) 171.

[9]               K otázce reformy v oblasti ochrany údajů byly zahájeny dvě veřejné konzultace: jedna probíhala od července do prosince 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm) a druhá od listopadu 2010 do ledna 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm).

[10]             V roce 2010 probíhaly s orgány členských států a soukromými zúčastněnými osobami cílené konzultace. V listopadu 2010 zorganizovala komisařka EU pro spravedlnost Viviane Redingová jednání u kulatého stolu o reformě rámce pro ochranu údajů. V průběhu roku 2011 se konaly další tematické workshopy a semináře o konkrétních otázkách (např. oznamování porušení ochrany údajů).

[11]             KOM(2010) 609.

[12]             Viz dopis komisařky EU pro spravedlnost Viviane Redingové ze dne 19. září 2011 členům pracovní skupiny podle článku 29 zveřejněný na následujících internetových stránkách: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.

[13]             Viz posouzení dopadů SEC(2012) 72.

[14]             Do tohoto rámce budou později také patřit změny, kterými se mají sjednotit konkrétní a odvětvové nástroje, např. nařízení (ES) č. 45/2001, Úř. věst. L 8, 12.1.2001, s. 1.

[15]             Nařízením se rovněž zčásti po technické stránce mění směrnice o soukromí a elektronických komunikacích (směrnice 2002/58/ES naposledy pozměněná směrnicí 2009/136/ES – Úř. věst. L 337, 18.12.2009, s. 11) tak, aby byla zohledněna změna směrnice 95/46/ES na nařízení. Hmotně právní důsledky nového nařízení a nové směrnice na směrnici o soukromí a elektronických komunikacích budou zavčasu předmětem přezkumu Komise, přičemž bude zohledněn výsledek jednání týkající se stávajících návrhů v Evropském parlamentu a Radě.

[16]             Rámcové rozhodnutí 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech, Úř. věst. L 350, 30.12.2008, s. 60. Jako součást balíčku opatření pro reformu ochrany údajů se přijímá zpráva o provádění rámcového rozhodnutí členskými státy (COM(2012) 12).

[17]             Viz zvláštní průzkum Eurobarometr 359 – Postoje k ochraně údajů a elektronické totožnosti v Evropské unii, červen 2011, s. 23.

[18]             Tamtéž, bod 54.

[19]             Viz dokument Digitální agenda pro Evropu, cit., s. 4.

[20]             To je v souladu se směrnicí o soukromí a elektronických komunikacích v současné době povinné pouze v odvětví telekomunikací.

[21]             Více podrobností k této otázce je uvedeno v posouzení dopadů, jež je přílohou právních návrhů, SEC(2012) 72.

[22]             Pracovní skupina podle článku 29 byla zřízena v roce 1996 (na základě článku 29 směrnice 95/46/ES), má poradní status a je složena ze zástupců vnitrostátních dozorčích orgánů pro ochranu údajů, evropského inspektora ochrany údajů a zástupců Komise. Více informací o její činnosti viz http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[23]             Pro definování pravidel platných pro oblasti policejní a justiční spolupráce v trestních věcech (viz odst. 4 níže) je navrhována směrnice, což umožní větší pružnost pro členské státy v této konkrétní oblasti.

[24]             Rozsudek Soudního dvora ze dne 9. listopadu 2010 ve věci Volker und Markus Schecke a Eifert, spojené věci C-92/09 a C-93/09, Sb. rozh. 2010, dosud nezveřejněno.

[25]             V souladu s čl. 52 odst. 1 Listiny mohou být omezení výkonu práva na ochranu údajů zavedena tehdy, pokud jsou tato omezení stanovena zákonem a respektují podstatu těchto práv a svobod. Při dodržení zásady proporcionality mohou být omezení zavedena pouze tehdy, pokud jsou nezbytná a pokud skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého.

[26]             Rozsudek Soudního dvora EU ze dne 6. listopadu 2003 ve věci Lindqvist, C-101/01, Sb. rozh. 2003, s. I-12971, body 82-90; rozsudek Soudního dvora EU ze dne 16. prosince 2008 ve věci Satamedia, C-73/07, Sb. rozh. 2008, I-9831, body 50-62.

[27]             Přesněji řečeno – rámcové rozhodnutí se použije na osobní údaje, které jsou přenášeny nebo předávány mezi členskými státy nebo vyměňovány mezi členskými státy a orgány nebo institucemi (viz čl. 1 odst. 2).

[28]             To potvrdily některé členské státy v odpovědi na dotazník Komise týkající se zprávy o provádění rámcového rozhodnutí (COM(2012) 12).

[29]             Viz prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, které tvoří přílohu Závěrečného aktu mezivládní konference, jež přijala Lisabonskou smlouvu.

[30]             Závazná podniková pravidla jsou předepsané postupy založené na evropských normách pro ochranu údajů, které schválí alespoň jeden orgán pro ochranu údajů a které dobrovolně vypracovávají a dodržují organizace, aby zajistily odpovídající záruky pro předávání osobních údajů nebo pro kategorie předávání těchto údajů mezi společnostmi, jež patří do stejné skupiny a jež jsou těmito pravidly vázány. Nejsou výslovně zahrnuty do směrnice 95/46/ES, ale vyvinuly se v praxi mezi orgány pro ochranu údajů za podpory pracovní skupiny podle článku 29.