13.10.2017   

CS

Úřední věstník Evropské unie

C 345/138

Zpravodajka:

Laure BATUT

1.1.

EHSV vyjadřuje politování nad tím, že překrývání textů o ochraně údajů, jejich objem a provázanost a fakt, že k jejich pochopení je nutné přecházet od jednoho k druhému, je činí těžko srozumitelnými a jejich provádění obtížným pro všechny s výjimkou okruhu zasvěcených osob a že jejich přidaná hodnota není pro občany zřetelná. Tato koncepce chybí v celém návrhu nařízení. Doporučuje, aby byla na internetu zveřejněna shrnující brožura, která je popíše veřejnosti a učiní je srozumitelnými pro všechny.

1.2.

EHSV zdůrazňuje, že z možností nabízených v posouzení dopadu zvolila Komise tu, jež „uměřeně“ posílí soukromí. Míří tím k zaručení rovnováhy se zájmy průmyslu? Komise neupřesňuje, které prvky „dalekosáhlého“ posílení soukromí by poškodily zájmy průmyslu. Tento postoj oslabuje text již od jeho přípravné fáze.

1.3.

EHSV doporučuje Komisi, aby:

2.1.

Sítě elektronických komunikací prošly od vstupu v platnost směrnic 95/46/ES a 2002/58/ES  (2) o ochraně soukromí v odvětví elektronických komunikací značným vývojem.

2.2.

Obecné nařízení o ochraně osobních údajů přijaté v roce 2016 (nařízení (EU) 2016/679) se stalo základem pro provádění opatření a stanovilo hlavní zásady, mimo jiné pro údaje v oblasti justice a trestního práva. Toto nařízení stanoví, že osobní údaje mohou být shromažďovány pouze při dodržení přísných podmínek a pro legitimní účely, přičemž je třeba respektovat důvěrnost (článek 5 obecného nařízení o ochraně osobních údajů).

2.2.1.

Komise v říjnu 2016 předložila návrh směrnice, kterou se stanoví evropský kodex pro elektronické komunikace (3) (obsahující 300 stran), který dosud nebyl přijat, ale na nějž odkazuje, pokud jde o některé definice, které se nevyskytují v obecném nařízení o ochraně osobních údajů ani v předloženém textu.

2.2.2.

Dva návrhy z ledna 2017 upřesňují některé aspekty na základě obecného nařízení o ochraně osobních údajů; jedná se o návrh nařízení o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů orgány a institucemi Unie (COM(2017) 8 final, zpravodaj: pan PEGADO LIZ) a předložený text (COM(2017) 10 final) o respektování soukromého života a ochraně osobních údajů.

2.3.

Tři výše uvedené texty budou použitelné ke stejnému datu, počínaje 25. květnem 2018, a jejich cílem je harmonizace práv a kontrolních postupů.

2.4.

Je třeba uvést, že za účelem usnadnění tohoto postupu bylo rozhodnuto použít k ochraně soukromého života evropské nařízení, a nikoli již směrnici.

3.1.

Občanská společnost si přeje vědět, zda v rýsujícím se, zcela digitalizovaném světě přináší Unie přidanou hodnotu, která zaručuje prostor, v němž se bez obav může odehrávat soukromý život.

3.2.

Nepřetržitě generované údaje umožňují sledování a identifikaci uživatelů, ať se nacházejí kdekoli. Zpracovávání údajů prováděné ve fyzických střediscích, jež mají ve většině případů sídlo mimo Evropu, vzbuzuje obavy.

3.3.

Data velkého objemu se stala zpeněžitelnou hodnotou; jejich inteligentní zpracování umožňuje „vyprofilovat“ fyzické a právnické osoby, „obchodovat“ s nimi a vydělat peníze, často bez vědomí uživatelů.

3.4.

Především však musí přítomnost nových aktérů v oblasti zpracování údajů vedle poskytovatelů přístupu k internetu vést k revizi předpisů.

4.1.

Komise by pomocí tohoto textu chtěla vytvořit rovnováhu mezi spotřebiteli a průmyslem:

4.2.

Návrh má za cíl zavedení obecného nařízení o ochraně osobních údajů, které má obecnou působnost stejně jako důvěrnost soukromých údajů a právo na výmaz, a týká se konkrétního aspektu respektování soukromého života a ochrany osobních údajů v telekomunikacích a navrhuje zavedení přísnějších pravidel v oblasti ochrany soukromého života, jakož i koordinovaných kontrol a sankcí.

4.3.

Nestanoví konkrétní opatření týkající se „trhlin“ v osobních údajích pocházejících od samotných uživatelů, ale potvrzuje již v prvních článcích (článek 5) zásadu důvěrného charakteru elektronických komunikací.

4.4.

Poskytovatelé mohou zpracovávat obsah elektronických komunikací:

4.5.

Jsou povinni vymazat nebo anonymizovat obsah po jeho obdržení zamýšlenými příjemci.

4.6.

Podle čl. 4 odst. 11 obecného nařízení o ochraně osobních údajů se „souhlasem“ subjektu údajů rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým tento subjekt dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

4.7.

Návrh zachovává požadavek na výslovně vyjádřený souhlas definovaný v obecném nařízení o ochraně osobních údajů, přičemž důkazní břemeno spočívá na operátorech.

4.8.

„Zpracování“ je založeno na souhlasu. Správce musí být „schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů“ (čl. 7 odst. 1 obecného nařízení o ochraně osobních údajů).

4.9.

Právem EU nebo vnitrostátním právem by mohla být zavedena určitá omezení (povinností a práv), pokud jde o důvěrný charakter, s cílem zachovat veřejné zájmy nebo inspekční funkci.

4.10.

Fyzické osoby musí vyjádřit svůj souhlas s tím, aby byly vedeny ve veřejně přístupném elektronickém registru, a musí mít možnost ověřit a opravit osobní údaje, jež se jich týkají (článek 15).

4.11.

Právo vznést námitku umožní každému uživateli zablokovat používání jeho údajů svěřených třetí straně (například obchodníkovi), a poté při zaslání každé jednotlivé zprávy (článek 16). Nová pravidla umožní uživatelům lépe kontrolovat jejich parametry (cookies, identifikátory) a nevyžádaná sdělení (spamy, zprávy, SMS, volání) budou moci být v případě neudělení souhlasu uživatele blokována.

4.12.

Pokud jde o identifikaci volání a blokování nežádoucích volání (články 12 a 14), nařízení zdůrazňuje, že těmito právy disponují rovněž právnické osoby.

4.13.

Strukturování kontrolního systému je v souladu s obecným nařízením o ochraně osobních údajů (kapitola VI o dozorových úřadech a kapitola VII o spolupráci mezi dozorovými úřady).

4.13.1.

Za zajištění dodržování pravidel o důvěrnosti budou odpovědné členské státy a jejich vnitrostátní orgány odpovědné za ochranu údajů. Ostatní dozorové orgány budou moci v rámci vzájemné pomoci navrhnout námitky, které mohou být případně předloženy vnitrostátním dozorovým orgánům. Tyto orgány spolupracují s vnitrostátními dozorovými orgány a Evropskou komisí v rámci mechanismu jednotnosti (článek 63 obecného nařízení o ochraně osobních údajů).

4.13.2.

Zajišťováním jednotného uplatňování předmětného nařízení je pověřen Evropský sbor pro ochranu osobních údajů (články 68 a 70 obecného nařízení o ochraně osobních údajů).

4.14.

Fyzickým a právnickým osobám, které jsou koncovými uživateli, je k dispozici právní ochrana v zájmu prosazení jejich zájmů, které jsou nepříznivě zasaženy porušeními; tyto osoby budou moci obdržet náhradu utrpěné újmy.

4.15.

Plánovaná výše správních pokut je odrazující, neboť je lze uložit subjektům porušujícím pravidla až do výše deseti milionů eur, a jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší (článek 23); členské státy stanoví sankce pro případ, kdy neexistují správní pokuty, a informují o nich Komisi.

4.16.

Nový předpis o respektování soukromého života a využívání osobních údajů bude použitelný od 25. května 2018, tj. ke stejnému datu jako obecné nařízení o ochraně osobních údajů z roku 2016, nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a návrh směrnice o evropském kodexu pro elektronické komunikace (přepracované znění) (COM(2016) 590 final), pokud budou přijaty.

4.17.

Oblast působnosti lex specialis, jímž se provádí obecné nařízení o ochraně osobních údajů:

—

ratione personae: aktéři

—

ratione materiae: údaje

—

ratione loci: kde?

4.18.

Cíle EU: jednotný digitální trh

5.1.

Výbor vítá, že se v celé Unii souběžně zavádí soudržný soubor pravidel, jejichž cílem je chránit práva fyzických a právnických osob související s používáním digitálních údajů prostřednictvím elektronických komunikací.

5.1.1.

Vítá rovněž, že Unie plní svou úlohu ochránce práv občanů a spotřebitelů.

5.1.2.

Zdůrazňuje, že i když cílem je harmonizace, výklad řady konceptů přísluší členským státům, což nařízení přeměňuje na jakousi směrnici, která ponechává značný prostor pro komercializaci soukromých údajů. Především oblast zdraví může být předmětem shromažďování obrovského množství soukromých údajů.

5.1.3.

Čl. 11 odst. 1, čl. 13 odst. 2, čl. 16 odst. 4 a 5 a článek 24 jsou spíše ustanoveními, jež lze označit za „prováděcí“ opatření a která by byla vhodná pro směrnici, nikoli však pro nařízení. Operátorům je ponechána příliš velká volnost v zájmu zlepšení kvality služeb (články 5 a 6). Toto nařízení by mělo být nedílnou součástí návrhu směrnice nazvané „evropský kodex pro elektronické komunikace“ (COM(2016) 590 final)).

5.1.4.

EHSV vyjadřuje politování nad tím, že překrývání těchto textů, jejich objem a jejich provázanost je činí těžko srozumitelnými pro všechny s výjimkou okruhu zasvěcených osob. Je totiž nutné neustálé přecházet z jednoho dokumentu na druhý. Kromě toho není občanům dostatečně jasná jejich přidaná hodnota. Tato špatná srozumitelnost a složitost návrhu je v rozporu s duchem Programu pro účelnost a účinnost právních předpisů (REFIT) a cílem „zdokonalení tvorby právních předpisů“, povede k výkladovým obtížím a vytvoří mezery v oblasti ochrany.

5.1.5.

Návrh nařízení kupříkladu neobsahuje definici pojmu „operátor“; je třeba odkazovat na návrh evropského kodexu pro elektronické komunikace (4), který dosud nevstoupil v platnost a který pozmění pravidla odvětví v rámci jednotného digitálního trhu, totiž rámcovou směrnici 2002/21/ES v aktuálním znění, autorizační směrnici 2002/20/ES v aktuálním znění, směrnici o univerzální službě 2002/22/ES v aktuálním znění, přístupovou směrnici 2002/19/ES v aktuálním znění, nařízení (ES) č. 1211/2009 o zřízení sdružení BEREC, rozhodnutí č. 676/2002/ES o rádiovém spektru, rozhodnutí 2002/622/ES, kterým se zřizuje Skupina pro politiku rádiového spektra, a rozhodnutí č. 243/2012/EU o vytvoření víceletého programu politiky rádiového spektra. Základním referenčním dokumentem samozřejmě zůstává obecné nařízení o ochraně osobních údajů (viz odstavec 2.2), o jehož doplnění přezkoumávaný návrh usiluje, a které je tedy ve vztahu k tomuto návrhu podpůrné.

5.2.

EHSV zdůrazňuje zejména obsah článku 8, který se týká ochrany informací uchovávaných v koncových zařízeních a potenciálních výjimek a který je zásadní, neboť informační společnosti dává možnosti přístupu k soukromým údajům. Zdůrazňuje také obsah článku 12, který se týká omezení identifikace volající a spojené linky. Tyto články jsou pro nezasvěcené jedince málo srozumitelné.

5.2.1.

Směrnice z roku 1995 (článek 2) definovala „osobní údaje“ jako „všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby (konkrétní subjekt údajů)“. Předmětné nařízení rozšiřuje ochranu údajů na metadata a vztahuje se nyní jak na fyzické, tak na právnické osoby. Je potřeba znovu zdůraznit, že návrh má dvojí cíl: jednak chránit osobní údaje, jednak zajistit volný pohyb dat a služeb elektronických komunikací v EU (článek 1).

5.2.2.

EHSV zdůrazňuje, že záměr chránit údaje právnických osob (čl. 1 odst. 2) narazí na ostatní texty, v nichž nefiguruje: není jasně stanoveno, že se mají uplatnit na jejich případ (viz obecné nařízení o ochraně osobních údajů, údaje v evropských orgánech).

5.3.

EHSV si klade otázku, zda skutečným cílem tohoto návrhu není klást větší důraz na odstavec 2 jeho článku 1, totiž zajistit „volný pohyb dat elektronických komunikací a služeb elektronických komunikací v rámci Unie“, který neomezuje ani nezakazuje z důvodů souvisejících s respektováním soukromého života a komunikace fyzických osob, a nikoli skutečně zaručit to, co je stanoveno v odstavci 1 jeho článku 1, totiž „právo na respektování soukromého života a komunikace a ochranu fyzických a právnických osob v souvislosti se zpracováním osobních údajů“.

5.4.

Vše závisí na vyjádření souhlasu dotčené (fyzické nebo právnické) osoby. EHSV se proto domnívá, že uživatelé by měli být informování, proškoleni a zůstat opatrní, neboť jakmile udělí svůj souhlas, poskytovatel bude moci zpracovávat ve větší míře obsah a metadata s cílem dosáhnout co největšího účinku a zisku. Jaká část uživatelů před vyjádřením svého souhlasu ví, co je cookie a sledovač? Prioritami v souvislosti s tímto nařízením by tedy měly být osvěta uživatelů, aby byli s to využívat svých práv, stejně jako anonymizace a šifrování.

6.1.

Soukromé údaje by měly být shromažďovány pouze subjekty, které samy dodržují přísné podmínky a sledují známé a legitimní cíle (obecné nařízení o ochraně osobních údajů).

6.2.

Výbor opět „vyjadřuje politování nad příliš četnými výjimkami a omezeními, jež se týkají stanovených zásad práva na ochranu osobních údajů (5)“. Měl by zůstat zachován přístup Evropské unie spočívající v zajištění rovnováhy mezi svobodou a bezpečností, spíše než rovnováhy mezi základními právy jedinců a průmyslem. Pracovní skupina zřízená podle článku 29 ve své analýze návrhu nařízení (WP 247, stanovisko 01/2017, přijaté 4. dubna 2017, bod 17) důrazně uvedla, že návrh snižuje ochranu definovanou v obecném nařízení o ochraně osobních údajů, zejména pokud jde o polohu koncových zařízení a neomezení oblasti údajů, které je možné shromažďovat, a nezavádí automatickou ochranu soukromí (bod 19).

6.3.

Údaje představují jakési prodloužení osoby, její stínovou identitu – „Shadow-ID“. Údaje náleží osobě, která je vytváří, avšak to, co se s nimi děje po zpracování, už tato osoba neovlivňuje. Každý stát zůstává odpovědný za uchovávání a předávání údajů; tato oblast se neharmonizuje z důvodu možných omezení práv uvedených v návrhu textu. Výbor poukazuje na riziko odlišností spojené s tím, že by omezení práv bylo ponecháno na rozhodnutí členských států.

6.4.

Jedna otázka vyvstává zejména v případě osob pracujících v podnicích: komu náleží údaje, které tyto osoby vytvářejí v rámci své pracovní činnosti? A jak jsou chráněny?

6.5.

Mechanismus kontroly není příliš jasný (6); i přes dohled EIOÚ se záruky proti svévolnému jednání nezdají být dostatečné a doba nezbytnou k tomu, aby řízení dospělo k uložení sankcí, nebyla posouzena.

6.6.

EHSV požaduje vytvoření evropského portálu, v němž budou shromážděny a aktualizovány všechny evropské a vnitrostátní předpisy, všechna práva, opravné prostředky, případy judikatury, praktické prvky, s cílem pomoci občanům a spotřebitelům orientovat se ve změti předpisů a provádění, aby mohli uplatňovat svá práva. Tento portál by měl vycházet alespoň z požadavků směrnice (EU) 2016/2102 ze dne 26. října 2016 o přístupnosti webových stránek a mobilních aplikací subjektů veřejného sektoru a ze zásad uvedených v bodech odůvodnění 12, 15 a 21 návrhu směrnice zvané Evropský akt přístupnosti 2015/0278 (COD) a měl by poskytovat přístupný a srozumitelný obsah všem konečným uživatelům. EHSV je připraven se zapojit do navrhovací fáze tohoto portálu.

6.7.

V článku 22 chybí odkaz na „hromadné žaloby“, jak již EHSV konstatoval ve svém stanovisku o evropském kodexu pro elektronické komunikace.

6.8.

Omezení věcné působnosti (čl. 2 odst. 2), rozšíření pravomoci týkající se zpracovávání údajů bez souhlasu držitele práv (čl. 6 odst. 1 a 2) a nepravděpodobný pojem získání souhlasu VŠECH dotčených uživatelů (bod 3 pododstavec b) a čl. 8 odstavce 1, 2 a 3), omezení práv, jež mohou stanovit členské státy, pokud mají za to, že představují „nezbytná, vhodná a přiměřená opatření“, jsou příklady pravidel, jejichž obsah může být vykládán tolika způsoby, že je v rozporu se skutečnou ochranou soukromého života. Zvláštní pozornost je mj. třeba věnovat ochraně údajů týkajících se nezletilých osob.

6.9.

EHSV je potěšen právem na kontrolu uvedeným v článku 12, ale shledává jeho formulaci obzvláště těžko srozumitelnou. Upřednostňuje se v ní podle všeho používání „neznámých“ nebo „skrytých“ telefonických hovorů, jako by anonymita byla doporučena, i když zásadou by měla být identifikace hovorů.

6.10.

Nevyžádaná sdělení (článek 16) a přímý marketing jsou již předmětem směrnice o „nekalých obchodních praktikách (7)“. Standardním režimem by mělo být opt-in (přijetí), a nikoli opt-out (odmítnutí).

6.11.

Plánuje se provádění hodnocení Komisí každé tři roky, avšak v digitální oblasti je tato lhůta příliš dlouhá. Po provedení dvou hodnocení bude digitální prostředí zcela změněno. Nicméně přenesená pravomoc (článek 25), jež bude moci být rozšířena, by měla být vykonávána po stanovenou dobu, která bude moci být případně obnovena.

6.12.

Právní předpisy musí chránit práva uživatelů (článek 3 SEU) a současně zajistit právní stabilitu nezbytnou pro obchodní činnost. EHSV vyjadřuje politování nad tím, že v návrhu nefiguruje pohyb údajů mezi stroji (M2M): je třeba odkazovat na návrh evropského kodexu pro elektronické komunikace (návrh směrnice, články 2 a 4).

6.12.1.

Internet věcí (8) povede „BigData“ (data velkého objemu) k „Huge Data“ (data obrovského objemu) a poté k „All Data“ (veškeré údaje). Je klíčem pro budoucí vlny inovací. A stroje, malé či velké, komunikují a předávají si soukromé údaje (vaše hodinky zaznamenávají vaši srdeční frekvenci a odesílají ji do počítače vašeho lékaře atp.). Celá řada aktérů digitálního trhu vytvořila svou vlastní platformu vyhrazenou pro propojené předměty: Amazon, Microsoft, Intel, nebo, ve Francii, Orange a La Poste.

6.12.2.

Internet věcí se v každodenním životě může snadno stát předmětem zlovolných narušení; množství osobních informací, které mohou být shromažďovány dálkově, se zvyšuje (geolokalizace, údaje o zdraví, zvukové a obrazové toky). Trhliny v ochraně údajů jsou zajímavé mj. pro pojišťovny, které začínají nabízet svým klientům, aby si pořídili zařízení připojená na internet a chovali se odpovědněji.

6.13.

Celá řada gigantů v oblasti internetových služeb usiluje o přerod svých původních aplikací na platformy: je tak třeba rozlišovat aplikaci Facebook od platformy Facebook, která umožňuje vývojářům vytvářet aplikace přístupné z uživatelských profilů. Kupříkladu Amazon byl v minulosti webovou aplikací specializovanou na on-line prodej. Dnes se z něj stala platforma, která tak umožňuje třetím stranám – od jednotlivců po velké skupiny – uvádět na trh jejich výrobky při využívání zdrojů Amazonu: reputace, logistika atd. Všechny tyto činnosti se uskutečňují na základě předávání osobních údajů.

6.14.

V rámci kolaborativní ekonomiky vzniká obrovské množství platforem: „platforma, v jejímž rámci se zejména elektronickými prostředky dostává do kontaktu široká škála osob, které mají k dispozici zboží nebo služby, a široká škála uživatelů (9)“. Zatímco jsou tyto platformy vyhledávány pro činnost a pracovní místa, jež generují, EHSV si klade otázku, jak předávání údajů, které vytvářejí, bude moci být kontrolováno, jak při uplatňování obecného nařízení o ochraně osobních údajů, tak při uplatňování tohoto nařízení.