EVROPSKÁ KOMISE

V Bruselu dne 12.9.2018

COM(2018) 638 final

Svobodné a spravedlivé volby

POKYNY

Pokyny Komise k uplatňování práva Unie o ochraně údajů ve volebním















Příspěvek Evropské komise pro zasedání vedoucích představitelů v Salcburku ve dnech 19.–20. září 2018

Pokyny Komise k uplatňování práva Unie o ochraně údajů ve volebním kontextu

Základem demokratického procesu je spolupráce s voliči. Pro politické strany je ustálenou praxí, že přizpůsobují svá volební sdělení specifickým zájmům veřejnosti. Pro aktéry zapojené do voleb je proto přirozené prozkoumat možnosti využití údajů za účelem získání hlasů. Se zvyšujícím se počtem digitálních nástrojů a on-line platforem se objevuje mnoho nových příležitostí, jak občany zapojit do politické diskuse.

Zcela odlišný je však rozvoj mikrocílení na voliče na základě nezákonného zpracování osobních údajů, jak ukázal případ odhalení postupů společnosti Cambridge Analytica. Jde o názorný příklad výzev spojených s moderními technologiemi, ale jde také o důkaz zvláštního významu ochrany údajů ve volebním kontextu. Tento jev se stává klíčovým problémem nejen pro jednotlivce, ale také pro fungování našich demokracií, protože představuje vážnou hrozbu pro spravedlivý a demokratický volební proces a může narušit otevřenou diskusi, spravedlnost a transparentnost, které jsou v demokracii zásadní. Komise se domnívá, že je nanejvýš důležité se touto otázkou zabývat, aby se obnovila důvěra veřejnosti v korektní průběh voleb.

První zprávy úřadu pro ochranu údajů ve Spojeném království (úřadu komisaře pro informace – ICO) o využívání analýzy dat v politických kampaních 1 a stanovisko evropského inspektora ochrany údajů k manipulaci on-line a k osobním údajům 2 potvrdily rostoucí dopad mikrocílení – původně vyvinutého pro komerční účely – ve volebním kontextu.

Otázkou ochrany údajů ve volebním kontextu se v obecnější rovině zabývalo několik úřadů pro ochranu údajů 3 .

Nařízení Evropského parlamentu a Rady (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) 4 , které se stalo přímo použitelným v celé Unii dne 25. května 2018, poskytuje Unii nástroje nezbytné k řešení případů nezákonného využívání osobních údajů ve volebním kontextu. Nicméně pouze důsledné a konzistentní uplatňování pravidel přispěje k ochraně integrity demokratické politiky. Vzhledem k tomu, že je to poprvé, co budou uplatňována v evropském volebním kontextu u příležitosti nadcházejících voleb do Evropského parlamentu, je důležité poskytnout jasné informace aktérům zapojeným do volebního procesu – jako jsou vnitrostátní volební orgány, politické strany, zprostředkovatelé údajů a analytici, platformy sociálních médií a reklamní internetové sítě. Cílem těchto pokynů je proto zdůraznit povinnosti v oblasti ochrany údajů, které jsou relevantní ve volebním kontextu. Vnitrostátní úřady pro ochranu údajů musí jakožto subjekty vymáhající uplatňování obecného nařízení o ochraně osobních údajů plně využít svých posílených pravomocí k řešení možných porušení, zejména těch, která se týkají mikrocílení na voliče.

1.Rámec Unie pro ochranu údajů

Ochrana osobních údajů je základním právem zakotveným v Listině základních práv Evropské unie (článek 8) a ve Smlouvách (článek 16 SFEU). Obecné nařízení o ochraně osobních údajů posiluje rámec pro ochranu údajů, díky němuž bude Unie v budoucnu lépe připravena na řešení případů zneužívání osobních údajů a všichni aktéři budou s takovými údaji zacházet zodpovědněji.

Jednotlivcům v Unii poskytuje dodatečná a silnější práva, která jsou obzvláště důležitá ve volebním kontextu. Režim ochrany údajů, který v Unii fungoval posledních 20 let, byl limitován zejména v důsledku nejednotného uplatňování pravidel mezi členskými státy, neexistence formálních mechanismů spolupráce mezi vnitrostátními úřady pro ochranu údajů, jakož i v důsledku omezených vymáhacích pravomocí těchto úřadů. Obecné nařízení o ochraně osobních údajů uvedené nedostatky řeší: v návaznosti na osvědčené zásady ochrany údajů harmonizuje klíčové pojmy, jako je souhlas, posiluje práva jednotlivců na získání informací o zpracování jejich údajů, vyjasňuje podmínky, za kterých mohou být osobní údaje dále sdíleny, zavádí pravidla týkající se porušení zabezpečení osobních údajů, zřizuje mechanismus spolupráce mezi úřady pro ochranu údajů v přeshraničních případech a posiluje jejich vymáhací pravomoci. V případě porušení pravidel EU pro ochranu údajů mají úřady pro ochranu údajů pravomoc vyšetřovat (například tak, že nařizují poskytnutí informací, provádějí inspekce v prostorách správců a zpracovatelů) a zajišťovat nápravu dosavadního jednání (například tak, že vydávají upozornění či napomenutí, nebo s dočasnou či konečnou platností pozastaví zpracování). Mají rovněž pravomoc ukládat pokuty až do výše 20 milionů EUR, nebo jedná-li se o podnik, až do výše 4 % jeho celosvětového obratu 5 . Při rozhodování o ukládání pokut a o jejich výši zváží úřady pro ochranu údajů okolnosti každého jednotlivého případu a faktory, jako je povaha, rozsah nebo účel zpracování, počet dotčených osob a míra škody, jež jim byla způsobena 6 . Ve volebním kontextu je pravděpodobné, že závažnost porušení a počet dotčených osob budou velké. To by mohlo vést k uložení vysokých pokut, zejména s ohledem na význam důvěry občanů v demokratický proces.

Nově zřízený Evropský sbor pro ochranu osobních údajů, který sdružuje všechny vnitrostátní úřady pro ochranu údajů i evropského inspektora ochrany údajů, hraje klíčovou úlohu při uplatňování obecného nařízení o ochraně osobních údajů tím, že vydává pokyny, doporučení a osvědčené postupy 7 . Vnitrostátní úřady pro ochranu údajů, jež působí jako orgány vymáhající uplatňování obecného nařízení o ochraně osobních údajů a jako přímá kontaktní místa pro zúčastněné strany, mají dobré předpoklady k poskytnutí dodatečné právní jistoty, pokud jde o výklad uvedeného nařízení. Komise tuto činnost aktivně podporuje.

Směrnice o soukromí a elektronických komunikacích (směrnice Evropského parlamentu a Rady 2002/58/ES 8 ) doplňuje rámec Unie pro ochranu údajů a je ve volebním kontextu relevantní, neboť její oblast působnosti zahrnuje pravidla o elektronickém zasílání nevyžádaných sdělení, mimo jiné pro účely přímého marketingu. Směrnice o soukromí a elektronických komunikacích rovněž stanoví pravidla pro uchovávání informací a získávání přístupu k již uchovávaným informacím, například „cookies“, které mohou být používány ke sledování chování uživatele na internetu, v koncových zařízeních, jako je například chytrý telefon nebo počítač. Návrh Komise týkající se nařízení o soukromí a elektronických komunikacích (dále jen „nařízení o soukromí a elektronických komunikacích“) 9 , který se v současnosti projednává, vychází ze stejných zásad jako směrnice o soukromí a elektronických komunikacích. Nové nařízení rozšíří svou oblast působnosti i nad rámec tradičních telekomunikačních operátorů tak, aby zahrnovalo internetové služby elektronických komunikací.

2.Klíčové povinnosti jednotlivých aktérů

Obecné nařízení o ochraně osobních údajů se vztahuje na všechny subjekty činné ve volebním kontextu, jako jsou evropské a vnitrostátní politické strany (dále jen: „politické strany“), evropské a vnitrostátní politické nadace (dále jen: „nadace“), platformy, společnosti provádějící analýzu údajů a veřejné orgány odpovědné za volební proces. Jejich povinností je zpracovávat osobní údaje (například jména a adresy) korektně, zákonným a transparentním způsobem a pouze pro stanovené účely. Údaje nemohou dále využívat způsobem neslučitelným s účely, pro které byly původně shromážděny. Zpracování pro novinářské účely v zásadě také spadá do oblasti působnosti obecného nařízení o ochraně osobních údajů, ale může využívat odchylky a výjimky, které jsou stanoveny ve vnitrostátních právních předpisech, vzhledem k významu práva na svobodu projevu a informací v demokratické společnosti 10 .

Pojem osobní údaje je komplexní. Osobní údaje jsou veškeré údaje o identifikované nebo identifikovatelné fyzické osobě. Údaje zpracovávané ve volebním kontextu budou často zahrnovat zvláštní kategorie osobních údajů („citlivé údaje“), jako jsou politické názory, členství v odborech, etnický původ, sexuální život atd., na něž se vztahují silnější ochranná opatření 11 . „Citlivé údaje“ mohou být navíc na základě analýzy údajů odvozeny ze souborů údajů jiných než citlivých (jako jsou například politické názory, ale také náboženské vyznání nebo sexuální orientace). Zpracování uvedených odvozených údajů také spadá do oblasti působnosti obecného nařízení o ochraně osobních údajů, a proto by mělo být v souladu se všemi pravidly pro ochranu údajů.

Na závěr lze konstatovat, že se obecné nařízení o ochraně osobních údajů vztahuje prakticky na všechny operace zpracování údajů ve volebním kontextu.

S ohledem na nutnost poskytnutí jasných informací aktérům zapojeným do volebního procesu, jakož i na první zjištění ve věci Cambridge Analytica, je v následujících oddílech věnována pozornost povinnostem v oblasti ochrany údajů, které se zdají být ve volebním kontextu obzvláště relevantní. Shrnuty jsou v příloze.

2.1Správci a zpracovatelé údajů

Pojem odpovědnosti správců údajů a společných správců je ústředním prvkem obecného nařízení o ochraně osobních údajů. Správcem údajů je organizace, která sama nebo ve spolupráci s ostatními rozhoduje o tom, proč a jak se osobní údaje zpracovávají; zpracovatel údajů zpracovává osobní údaje pouze jménem a podle pokynů správce (jejich vztah je stanoven ve smlouvě nebo jiném právně závazném aktu). Správci musejí provádět opatření, která jsou přiměřená rizikům, a od počátku zavést záměrnou ochranu údajů. Dále musejí být schopni prokázat soulad s obecným nařízením o ochraně osobních údajů (zásada odpovědnosti).

Úloha správce údajů nebo zpracovatele údajů musí být posuzována v každém jednotlivém případě. Ve volebním kontextu může být řada aktérů správci údajů: politické strany, jednotliví kandidáti a nadace jsou ve většině případů správci údajů; platformy a společnosti provádějící analýzu údajů mohou být (společnými) správci, nebo zpracovateli pro dané zpracování v závislosti na stupni kontroly, kterou nad daným zpracováním mají 12 ; vnitrostátní volební orgány jsou správci volebních registrů.

Společnosti sídlící mimo EU musí obecné nařízení o ochraně osobních údajů rovněž dodržovat, jestliže se jejich aktivity v oblasti zpracování údajů týkají nabídky zboží a služeb jednotlivcům v Unii, nebo se týkají monitorování jejich chování v Unii. To je případ řady platforem a společností provádějících analýzu údajů.

2.2Zásady, zákonnost zpracování a zvláštní podmínky pro „citlivé údaje“

Aktéři zapojení do voleb mohou osobní údaje – včetně údajů získaných z veřejných zdrojů – zpracovávat pouze v souladu se zásadami týkajícími se zpracování osobních údajů a na základě omezeného počtu důvodů, jež jsou jasně vymezeny v obecném nařízení o ochraně osobních údajů 13 . Zdá se, že mezi nejrelevantnější důvody zákonného zpracování ve volebním kontextu patří souhlas jednotlivce, splnění právní povinnosti podle práva Unie nebo práva členského státu, splnění úkolu prováděného ve veřejném zájmu a oprávněný zájem jednoho z aktérů. Aktéři ve volebním kontextu mohou nicméně využít oprávněný zájem pouze v případě, že před jejich zájmy nemají přednost zájmy nebo základní práva a svobody dotčených jednotlivců.

Uchovávání informací nebo získání přístupu k již uchovávaným informacím v koncovém zařízení (počítači, chytrém telefonu atd.) musí být navíc v souladu s požadavky směrnice o soukromí a elektronických komunikacích týkajícími se ochrany koncového zařízení, což znamená, že dotyčná osoba by musela udělit svůj souhlas.

V případě, že je souhlas použit jako právní důvod, musí být podle obecného nařízení o ochraně osobních údajů tento souhlas svobodný, informovaný a poskytnutý prostřednictvím zjevného potvrzení 14 .

Veřejné orgány, které jsou zapojeny do volebního kontextu, zpracovávají osobní údaje tak, aby splňovaly právní povinnost či vykonávaly veřejný úkol. Ostatní aktéři ve volebním kontextu mohou zpracovávat údaje na základě souhlasu nebo oprávněného zájmu 15 . Politické strany a nadace mohou zpracovávat údaje rovněž z důvodů veřejného zájmu, pokud tak stanoví vnitrostátní právní předpisy 16 .

Veřejné orgány mohou politickým stranám poskytnout určité informace – například jméno a adresu – o jednotlivcích zařazených na seznamy voličů nebo do rejstříků rezidentů pouze tehdy, je-li jim to výslovně povoleno právními předpisy členského státu, pouze pro reklamní účely ve volebním kontextu, a pokud je to k uvedenému účelu nezbytné.

Zpracování ve volebním kontextu bude často zahrnovat „citlivé údaje“. Zpracování těchto údajů, včetně odvozených „citlivých údajů“, je obecně zakázáno, pokud se neuplatní jeden ze zvláštních důvodů stanovených v obecném nařízení o ochraně osobních údajů 17 . Zpracování „citlivých údajů“ vyžaduje splnění specifických, přísnějších podmínek: daná osoba udělila výslovný souhlas 18 nebo dotčené údaje zveřejnila 19 . Politické strany a nadace mohou rovněž zpracovávat „citlivé údaje“, pokud existuje významný veřejný zájem na základě práva Unie nebo členského státu a jsou poskytnuty vhodné záruky 20 . Obecné nařízení o ochraně osobních údajů stanoví, že mohou „citlivé údaje“ zpracovávat rovněž do té míry, že se zpracování vztahuje pouze na současné nebo bývalé členy, nebo osoby, které s nimi udržují pravidelné styky, avšak pouze pro účely zveřejnění v rámci jejich politické strany nebo nadace 21 . Toto specifické ustanovení nicméně nemůže být použito politickou stranou ke zpracovávání údajů potenciálních členů nebo voličů.

Účel zpracování údajů by měl být upřesněn v době shromažďování („zásada účelového omezení“) 22 . Údaje shromážděné pro jeden účel lze dále zpracovávat pouze za účelem, který je s ním slučitelný; jinak je třeba pro zpracování za novým účelem najít nový právní důvod – jako je souhlas – stanovený v obecném nařízení o ochraně osobních údajů. Další zpracování údajů ve volebním kontextu není možné zejména tehdy, pokud je zprostředkovatelé údajů o životním stylu nebo platformy shromažďují pro komerční účely.

Jakékoli takové údaje získané od třetích stran nesmějí být politickými stranami ani nadacemi použity, pokud tyto strany a nadace neuplatní náležitou péči a neověří, že byly údaje získány zákonným způsobem.

2.3Požadavky na transparentnost

V případě Cambridge Analytica se ukázalo, že je důležité bojovat s neprůhledností a řádně informovat dotčené jednotlivce, kteří často nevědí, kdo jejich osobní údaje zpracovává a za jakým účelem. Podle zásady korektního a transparentního zpracování musí být jedinci informováni o existenci operace zpracování a o jejím účelu 23 . Obecné nařízení o ochraně osobních údajů v tomto ohledu objasňuje povinnosti správců údajů. Musejí informovat jednotlivce o klíčových aspektech zpracování jejich osobních údajů, jako jsou:

·totožnost správce,

·účel zpracování,

·příjemci osobních údajů,

·zdroj údajů, pokud nejsou shromažďovány přímo od dané osoby,

·skutečnost, že dochází k automatizovanému rozhodování, a

·jakékoli další informace nezbytné pro zajištění spravedlivého a transparentního zpracování 24 .

Obecné nařízení o ochraně osobních údajů navíc vyžaduje, aby informace byly poskytovány stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků 25 . Například krátké oznámení ve volebních materiálech týkající se ochrany údajů, jež by bylo uvedeno pouze malým písmem a jehož význam by byl nejasný, by nesplňovalo požadavky na transparentnost.

Podle předběžných zjištění byly neúplné informace o účelu, pro který byly údaje shromážděny, hlavním nedostatkem ve věci Cambridge Analytica; došlo tak rovněž ke zpochybnění platnosti souhlasu dotčených osob. Všechny organizace, které zpracovávají osobní údaje ve volebním kontextu, musí zajistit, aby jednotlivci zcela pochopili, jak a za jakým účelem budou jejich osobní údaje využívány, a to dříve, než udělí souhlas, nebo dříve, než správce začne údaje zpracovávat z jakékoli jiného důvodu.

Informace musejí být poskytnuty jednotlivcům v každé fázi zpracování, a to nejen v okamžiku shromažďování údajů.

Informace a vysvětlení pro dotyčné jednotlivce ohledně toho, jak jsou údaje kombinovány a používány v zájmu zajištění spravedlivého zpracování, by politické strany měly poskytovat zejména tehdy, zpracovávají-li údaje získané ze zdrojů třetích stran (jako například volebních registrů, od zprostředkovatelů údajů, analytiků údajů a jiných zdrojů) 26 .

2.4Profilování, automatizované rozhodování a mikrocílení

Profilování je formou automatizovaného zpracování údajů pro účely rozboru nebo odhadu aspektů týkajících se například osobních preferencí, zájmů, ekonomické situace atd. 27 Profilování lze využít k mikrocílení na jednotlivce, zejména k analýze osobních údajů (např. historie vyhledávání na internetu) pro účely identifikace konkrétních zájmů jednotlivce nebo specifické skupiny veřejnosti s cílem ovlivnit jejich jednání. Mikrocílení lze použít k zasílání soukromých zpráv danému jedinci nebo veřejnosti prostřednictvím služby on-line, např. sociálních médií.

Případ Cambridge Analytica poukázal na konkrétní problémy způsobené metodami mikrocílení v sociálních médiích. Organizace mohou provádět vytěžování údajů shromážděných prostřednictvím uživatelů sociálních médií k vytvoření profilů voličů. To jim může pomoci v identifikaci snadněji ovlivnitelných voličů, a tím pádem mohou tyto organizace také ovlivnit výsledek voleb.

Na takové zpracování údajů se vztahují všechny obecné zásady a pravidla obecného nařízení o ochraně osobních údajů, jako například zásada zákonnosti, korektnosti, transparentnosti a účelového omezení. Jednotlivci si velmi často nejsou vědomi toho, že jsou předmětem profilování: nechápou, proč obdrželi určitou reklamu, která je tak jasně spjata s jejich posledním vyhledáváním, nebo proč dostávají soukromé zprávy od různých organizací. Obecné nařízení o ochraně údajů všem správcům údajů – například politickým stranám nebo analytikům údajů – ukládá povinnost, aby v okamžiku, kdy tyto techniky použijí, jednotlivce informovali nejen o této skutečnosti, ale také o souvisejících dopadech 28 .

Obecné nařízení o ochraně osobních údajů uznává, že automatizované rozhodování, včetně profilování, může mít vážné důsledky. Obecné nařízení o ochraně osobních údajů stanoví, že jednotlivec má právo nebýt předmětem žádného rozhodnutí, které je založeno výhradně na automatizovaném zpracování a které má pro něho právní účinky, nebo se ho obdobným způsobem významně dotýká, ledaže by takové zpracování bylo provedeno za přísných podmínek, konkrétně dají-li k tomu jednotlivci výslovný souhlas, nebo je-li to povoleno právem Unie nebo členského státu, které stanoví vhodné záruky 29 .

Praktiky mikrocílení ve volebním kontextu do této kategorie spadají tehdy, mají-li na jednotlivce dostatečně významný dopad. Podle Evropského sboru pro ochranu osobních údajů tento případ nastane, když má rozhodnutí potenciál významně ovlivnit okolnosti, chování či volbu dotčených osob, nebo má na jednotlivce dlouhotrvající nebo trvalý dopad 30 . Sbor měl za to, že cílená internetová reklama by mohla jednotlivce za určitých okolností dosti významně ovlivnit, pokud je například rušivá, nebo využívá znalostí o zranitelnosti jednotlivců. Vzhledem k významu výkonu demokratického hlasovacího práva je možné, že by soukromé zprávy, které například jednotlivce mohou ovlivnit tak, že přestanou hlasovat, nebo že budou hlasovat specifickým způsobem, splňovaly kritérium významného účinku.

Ve volebním procesu tudíž správci musejí zajistit, aby jakékoli zpracování, při němž jsou použity takové techniky, bylo zákonné v souladu s výše uvedenými zásadami a přísnými podmínkami obecného nařízení o ochraně osobních údajů.

2.5Bezpečnost a přesnost osobních údajů

Vzhledem k velikosti dotčených souborů údajů a skutečnosti, že tyto soubory často obsahují „citlivé údaje“, má ve volebním kontextu zvláštní význam bezpečnost. Podle obecného nařízení o ochraně osobních údajů musí subjekty, které zpracovávají osobní údaje (správci i zpracovatelé), provést vhodná technická a organizační opatření, aby zajistily úroveň zabezpečení odpovídající danému riziku pro práva a svobody fyzických osob, jež s sebou zpracování nese 31 .

Obecné nařízení o ochraně osobních údajů ukládá správcům povinnost oznamovat porušení zabezpečení osobních údajů příslušnému dozorovému úřadu bez zbytečného odkladu a nejpozději do 72 hodin. Pokud je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, správce to musí bez zbytečného odkladu oznámit také jednotlivcům, jichž se uvedené porušení týká 32 .

Politické strany a další aktéři zapojení do volebního procesu musí věnovat zvláštní pozornost tomu, aby byla zajištěna přesnost osobních údajů v případě, že se jedná o velké soubory údajů, a pokud se údaje sestavují z různých, heterogenních zdrojů. Nepřesné údaje musí být okamžitě vymazány nebo opraveny a v případě potřeby aktualizovány.

2.6Posouzení vlivu na ochranu osobních údajů

Obecné nařízení o ochraně osobních údajů zavádí nový nástroj pro hodnocení rizika před zahájením zpracování: posouzení vlivu na ochranu osobních údajů. Toto posouzení je povinné, pokud je pravděpodobné, že zpracování bude mít za následek vysoké riziko pro práva a svobody jednotlivců 33 . Tak je tomu ve volebním kontextu, kdy správce údajů provádí systematické a rozsáhlé hodnocení osobních aspektů jednotlivce (včetně profilování), které se jednotlivce významně dotýká, a kdy správce ve velkém měřítku zpracovává „citlivé údaje“. Pokud posouzení vlivu na ochranu osobních údajů bylo již provedeno v souvislosti s přijetím právního předpisu, vnitrostátní volební orgány plnící své veřejné úkoly nemusí takové posouzení vlivu provádět.

Posouzení dopadů, která mají různí aktéři ve volebním kontextu provádět, by měla obsahovat prvky nezbytné k řešení rizik, jež takové zpracování s sebou nese, zejména zákonnost zpracování údajů – rovněž u souborů údajů získaných od třetích stran – a požadavky na transparentnost.

3.Práva jednotlivců

Obecné nařízení o ochraně osobních údajů jednotlivcům poskytuje dodatečná a silnější práva, která jsou ve volebním kontextu obzvláště důležitá:

·právo na přístup k osobním údajům,

·právo požádat o výmaz svých osobních údajů v případě, že je zpracování založeno na souhlasu a ten je stažen, nejsou-li údaje již zapotřebí nebo je-li zpracování nezákonné, a

·právo na opravu nesprávných, nepřesných nebo neúplných osobních údajů.

Jednotlivci mají rovněž právo vznést námitku proti zpracování (například údajů obsažených ve volebních seznamech předaných politickým stranám), pokud je zpracování jejich údajů založeno na důvodech „oprávněného zájmu“ nebo „veřejném zájmu“.

Jednotlivci mají právo nebýt předmětem rozhodnutí založených výhradně na automatizovaném zpracování jejich osobních údajů. V takových případech může jednotlivec požádat o zásah fyzické osoby, může být oprávněn vyjádřit svůj názor a rozhodnutí napadnout.

Aby mohli jednotlivci uvedená práva vykonávat, musí všichni zúčastnění aktéři poskytnout nezbytné nástroje a nastavení. Obecné nařízení o ochraně osobních údajů umožňuje vypracovat kodex chování schválený úřadem pro ochranu údajů, který upřesní uplatňování tohoto nařízení v konkrétních oblastech, a to i ve volebním kontextu.

Obecné nařízení o ochraně osobních údajů uděluje jednotlivcům právo podat stížnost u dozorového úřadu a právo na soudní ochranu. Rovněž dává jednotlivcům právo pověřit nevládní organizaci, aby stížnost podala jejich jménem 34 . Vnitrostátní právní předpisy v některých členských státech umožňují podání stížnosti nevládní organizací bez jakéhokoli pověření ze strany jednotlivce. To je obzvláště důležité ve volebním kontextu vzhledem k velkému počtu osob, kterých se to potenciálně týká.

Klíčové otázky týkající se ochrany údajů, jež jsou relevantní ve volebním procesu 35  

(1)

Zprávy úřadů pro ochranu údajů ve Spojeném království (úřadu komisaře pro informace – ICO) ze dne 10. července 2018: „Investigation into the use of data analytics in political campaigns - Investigation update“ („Průzkum používání analýzy údajů v politických kampaních – aktualizace průzkumu“) a „Democracy Disrupted? Personal information and political influence“ („Porušení zásad demokracie? Osobní informace a politický vliv“).

(2)

https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.

(3)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3013267 „Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale“, zveřejněno v Úředním věstníku (Official Gazette) italského úřadu pro ochranu údajů, č. 71 ze dne 26.3.2014 [web dok. č. 3013267]; https://www.cnil.fr/fr/communication-politique-quelles-sont-les-regles-pour-lutilisation-des-donnees-issues-des-reseaux „Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?“, vydáno Národní komisí pro informatiku a svobody (Commission Nationale de l’informatique et des libertés) dne 8.11.2016; https://ico.org.uk/media/for-organisations/documents/1589/promotion_of_a_political_party.pdf Information Commissioner’s Office „Guidance on political campaigning“ [20170426].

(4)

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(5)

Pokyny Komise k obecnému nařízení o ochraně osobních údajů: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_cs.

(6)

Článek 83 obecného nařízení o ochraně osobních údajů.

(7)

Evropský inspektor ochrany údajů vydává také stanoviska.

(8)

Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).

(9)

Návrh nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích), COM (2017) 10 final.

(10)

Ustanovení čl. 85 odst. 2 obecného nařízení o ochraně osobních údajů.

(11)

Ustanovení čl. 9 odst. 1 obecného nařízení o ochraně osobních údajů.

(12)

Nedávná judikatura Soudního dvora Evropské unie (rozsudek ze dne 10. července 2018, Jehovan todistajat, C-25/17) objasnila, že za správce se může za určitých okolností považovat organizace „vykonávající vliv“ na činnost spočívající ve shromažďování a zpracování osobních údajů.

(13)

Ustanovení článků 5 a 6 obecného nařízení o ochraně osobních údajů.

(14)

Ustanovení článku 7 a čl. 4 odst. 11 obecného nařízení o ochraně osobních údajů.

(15)

Za předpokladu, že tím nejsou závažně dotčeny práva a svobody dotyčných osob.

(16)

Viz 56. bod odůvodnění obecného nařízení o ochraně osobních údajů: „Pokud v rámci činností spojených s volbami je pro fungování demokratického systému v členském státě nezbytné, aby politické strany shromažďovaly údaje o politických názorech osob, může být zpracování těchto osobních údajů povoleno z důvodu veřejného zájmu za předpokladu, že jsou stanoveny vhodné záruky.“

(17)

Článek 9 obecného nařízení o ochraně osobních údajů.

(18)

Ustanovení čl. 9 odst. 2 písm. a) obecného nařízení o ochraně osobních údajů.

(19)

Ustanovení čl. 9 odst. 2 písm. e) obecného nařízení o ochraně osobních údajů.

(20)

Ustanovení čl. 9 odst. 2 písm. g) obecného nařízení o ochraně osobních údajů.

(21)

Ustanovení čl. 9 odst. 2 písm. d) obecného nařízení o ochraně osobních údajů. Politická strana nebo nadace nemohou sdílet údaje vztahující se na současné nebo bývalé členy, nebo na osoby, které s nimi udržují pravidelné styky, se třetí stranou bez souhlasu dotyčného jedince.

(22)

Ustanovení čl. 5 odst. 1 písm. b) obecného nařízení o ochraně osobních údajů.

(23)

Ustanovení čl. 5 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů.

(24)

Ustanovení článků 13 a 14 obecného nařízení o ochraně osobních údajů.

(25)

Pokyny Evropského sboru pro ochranu osobních údajů týkající se transparentnosti.

(26)

Článek 14 obecného nařízení o ochraně osobních údajů.

(27)

Jak je vymezeno v čl. 4 odst. 4 obecného nařízení o ochraně osobních údajů.

(28)

Ustanovení čl. 13 odst. 2 obecného nařízení o ochraně osobních údajů.

(29)

Článek 22 obecného nařízení o ochraně osobních údajů.

(30)

Pokyny Evropského sboru pro ochranu osobních údajů k automatizovanému rozhodování, WP251rev.01, ve znění naposledy revidovaném a přijatém dne 6. 2. 2018.

(31)

Článek 32 obecného nařízení o ochraně osobních údajů.

(32)

Ustanovení článků 33 a 34 obecného nařízení o ochraně osobních údajů a pokyny Evropského sboru pro ochranu osobních údajů týkající se oznámení případů porušení zabezpečení osobních údajů.

(33)

Ustanovení článků 35 a 36 obecného nařízení o ochraně osobních údajů a pokyny Evropského sboru pro ochranu osobních údajů týkající se posouzení vlivu na ochranu osobních údajů.

(34)

Ustanovení čl. 80 odst. 1 obecného nařízení o ochraně osobních údajů.

(35)

Výše uvedené informace nejsou v žádném případě vyčerpávající. Jejich cílem je zdůraznit řadu klíčových povinností spojených s údaji v rámci obecného nařízení o ochraně osobních údajů, které jsou důležité ve volebním procesu. Odpovídají scénáři, kdy politické strany shromažďují údaje samy (z veřejných zdrojů, prostřednictvím jejich přítomnosti na sociálních médiích, přímo od voličů atd.) a využívají služeb zprostředkovatelů údajů či společností provádějících analýzu údajů s cílem zaměřit se na voliče prostřednictvím platforem sociálních médií. Platformy mohou být také zdrojem údajů pro výše uvedené aktéry. Mohou být relevantní i jiné právní předpisy, například pravidla pro zasílání nevyžádaných sdělení a pro ochranu koncových zařízení uvedená ve směrnici o soukromí a elektronických komunikacích.