8.2.2014   

CS

Úřední věstník Evropské unie

C 38/3

Shrnutí stanoviska evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady o agentuře Evropské unie pro spolupráci a vzdělávání a výcvik v oblasti prosazování práva (Europol) a o zrušení rozhodnutí Rady 2009/371/SVV a 2005/681/SVV

(Úplné znění tohoto stanoviska je k dispozici v angličtině, francouzštině a němčině na webových stránkách evropského inspektora ochrany údajů na adrese http://www.edps.europa.eu)

(2014/C 38/03)

I.   Úvod

I.1   Souvislosti stanoviska

1.

Dne 27. března 2013 přijala Komise návrh nařízení Evropského parlamentu a Rady o zřízení agentury Evropské unie pro spolupráci a vzdělávání a výcvik v oblasti prosazování práva (Europol) a o zrušení rozhodnutí Rady 2009/371/SVV a 2005/681/SVV (dále jen „návrh“). Téhož dne byl návrh Komisí zaslán ke konzultaci evropskému inspektorovi ochrany údajů, který jej obdržel 4. dubna 2013.

2.

Evropský inspektor ochrany údajů dostal příležitost vyjádřit k návrhu neformální připomínky ještě před jeho přijetím. Evropský inspektor ochrany údajů vítá skutečnost, že mnoho z těchto připomínek bylo zohledněno.

3.

Evropský inspektor ochrany údajů vítá, že ho Komise požádala o konzultaci a že je odkaz na konzultaci s ním uveden v preambuli návrhu.

4.

Evropský inspektor ochrany údajů byl rovněž konzultován ohledně sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů o zřízení evropského systému vzdělávání a výcviku v oblasti prosazování práva, přijatého souběžně s návrhem (1). Upustí však od vydání samostatné odpovědi k tomuto sdělení, jelikož má pouze velmi omezené připomínky, které jsou zahrnuty do části IV tohoto stanoviska.

I.2   Cíl návrhu

5.

Návrh je založen na článku 88 a čl. 87 odst. 2 písm. b) Smlouvy o fungování Evropské unie a má tyto cíle (2):

přizpůsobit Europol požadavkům Lisabonské smlouvy přijetím právního rámce podle běžného legislativního postupu,

splnit cíle Stockholmského programu prostřednictvím ustavení Europolu jako střediska pro výměnu informací mezi donucovacími orgány členských států a zřízení evropských systémů vzdělávání a výcviku a výměnných programů pro všechny příslušné osoby činné v oblasti prosazování práva,

přidělit Europolu nové povinnosti převzetím úkolů Evropské policejní akademie (CEPOL) a vytvořením právního základu ke zřízení centra EU pro boj proti kyberkriminalitě,

zajistit spolehlivý systém ochrany údajů, zejména posílením kontrolní struktury,

zlepšit řízení Europolu usilováním o větší efektivitu a jeho sladěním se zásadami stanovenými ve společném přístupu k decentralizovaným agenturám EU.

Evropský inspektor ochrany údajů zdůrazňuje, že z hlediska zpracování osobních údajů je návrh velmi důležitý. Zpracování informací, včetně osobních údajů, je hlavním posláním Europolu. Za současného stavu vývoje EU zůstává operativní policejní práce pravomocí členských států. Tento úkol však má čím dál tím častěji přeshraniční povahu a na úrovni EU je zajišťována podpora prostřednictvím poskytování, výměny a přezkumu informací.

I.3   Cíl stanoviska

6.

Toto stanovisko se bude soustřeďovat na ty změny právního rámce pro Europol, které jsou z hlediska ochrany údajů nejdůležitější. Nejprve provede analýzu právních souvislostí, jejich vývoje a toho, jaké mají pro Europol důsledky. Poté se zaměří na hlavní změny, tj.:

novou informační strukturu pro Europol, což obnáší propojení různých databází, a její dopady na zásadu účelového omezení,

posílení dohledu nad ochranou údajů,

předávání a výměnu osobních údajů a jiných informací, s důrazem na výměnu osobních údajů se třetími zeměmi.

7.

Následně se stanovisko bude věnovat řadě konkrétních ustanovení návrhu, s důrazem na kapitolu VII (články 34–48) uvedeného návrhu týkající se opatření na ochranu údajů.

V.   Závěry

Obecné

167.

Evropský inspektor ochrany údajů zdůrazňuje, že návrh je z hlediska zpracování osobních údajů velmi důležitý. Zpracování informací, včetně osobních údajů, je hlavním posláním Europolu a návrh již zahrnuje propracovaný systém ochrany údajů. Toto podrobné stanovisko bylo přijato s cílem návrh dále posílit.

168.

Evropský inspektor ochrany údajů upozorňuje, že stávající rozhodnutí o Europolu zajišťuje spolehlivý systém ochrany údajů a domnívá se, že tato úroveň by se nezávisle na debatách týkajících se navrhované směrnice o ochraně údajů neměla snižovat, což by mělo být uvedeno v odůvodnění.

169.

Evropský inspektor ochrany údajů vítá skutečnost, že návrh Europol přizpůsobuje požadavkům čl. 88 odst. 2 Smlouvy o fungování Evropské unie, což zajistí, že aktivity Europolu budou těžit z plného zapojení všech dotčených orgánů EU.

170.

Evropský inspektor ochrany údajů vítá článek 48 návrhu, který stanoví, že nařízení (ES) č. 45/2001, včetně ustanovení o dohledu, je plně použitelné v souvislosti s údaji o zaměstnancích a administrativními údaji. Lituje však, že se Komise nerozhodla vztáhnout nařízení (ES) č. 45/2001 na základní činnost Europolu a omezit návrh na dodatečná zvláštní pravidla a odchylky, které řádně zohledňují zvláštnosti v oblasti prosazování práva. Konstatuje nicméně, že ve 32. bodu odůvodnění návrh výslovně uvádí, že by pravidla na ochranu údajů v rámci Europolu měla být posílena a vycházet ze zásad podpořených nařízením (ES) č. 45/2001. Uvedené zásady rovněž představují důležitý referenční bod pro toto stanovisko.

171.

Evropský inspektor ochrany údajů doporučuje v odůvodnění návrhu upřesnit, že se nový rámec ochrany údajů určený pro orgány a instituce EU, jakmile bude přijat, použije i na Europol. Kromě toho by se tak, jak bylo oznámeno poprvé v roce 2010 v souvislosti s přezkumem balíčku opatření pro ochranu údajů, mělo v rámci nástroje nahrazujícího nařízení (ES) č. 45/2001 objasnit uplatňování systému ochrany údajů pro orgány a instituce EU na Europol. Nejpozději od okamžiku přijetí nového obecného rámce by se hlavní prvky reformy týkající se ochrany údajů (tj. zásada odpovědnosti, posouzení dopadů na ochranu údajů, ochrana soukromí již od návrhu a standardní nastavení ochrany soukromí a ohlašování případů porušení ochrany osobních údajů) měly použít i na Europol. Tyto informace by také měly být zmíněny v odůvodnění.

Nová informační struktura Europolu

172.

Evropský inspektor ochrany údajů chápe, že v souvislosti s měnící se situací, jakož i ve světle rostoucích úloh Europolu, je zapotřebí pružnosti. Stávající informační struktura není nutně měřítkem pro budoucnost. Vymezení informační struktury Europolu závisí na uvážení zákonodárců EU. Ve své roli poradce zákonodárce EU se evropský inspektor ochrany údajů zaměřuje na otázku, do jaké míry je volba zákonodárců omezena zásadami ochrany údajů.

173.

Ve vztahu k článku 24 návrhu evropský inspektor ochrany údajů::

doporučuje definovat v návrhu pojmy strategická, tematická a operativní analýza a odstranit možnost zpracování osobních údajů pro účely strategické nebo tematické analýzy, není-li řádně odůvodněna.

doporučuje v souvislosti s čl. 24 odst. 1 písm. c) jasně definovat zvláštní účel pro každý případ operativní analýzy a vyžadovat, aby byly v souladu s definovaným zvláštním účelem zpracovány pouze příslušné osobní údaje.

doporučuje doplnit do návrhu tyto prvky: i) veškeré křížové kontroly výskytu záznamu prováděné analytiky Europolu se konkrétně odůvodní, ii) opětovné vyhledávání údajů po konzultaci se omezí na nezbytně nutné minimum a konkrétně odůvodní, iii) zajistí se sledovatelnost všech operací spojených s křížovými kontrolami výskytu a iv) dané údaje mohou pozměnit pouze oprávnění zaměstnanci odpovědní za účel, za jakým byly údaje původně shromážděny. Tyto prvky odpovídají stávajícím postupům v rámci Europolu.

Posílení dohledu nad ochranou údajů

174.

Článek 45 návrhu uznává, že dohled nad zpracováním údajů, s nímž návrh počítá, je úkol, který vyžaduje rovněž aktivní zapojení vnitrostátních orgánů pro ochranu údajů (3). Spolupráce mezi evropským inspektorem ochrany údajů a vnitrostátními orgány dohledu je pro účinný dohled v této oblasti klíčová.

175.

Evropský inspektor ochrany údajů vítá článek 45 návrhu, který stanoví, že zpracování údajů vnitrostátními orgány podléhá vnitrostátnímu dohledu, a odráží tak klíčovou roli vnitrostátních orgánů dohledu. Rovněž vítá požadavek, podle nějž by vnitrostátní orgány dohledu měly informovat evropského inspektora ochrany údajů o jakýchkoliv krocích, které v souvislosti s Europolem přijmou.

176.

Evropský inspektor ochrany údajů vítá:

ustanovení týkající se dohledu, která stanoví pevnou strukturu pro dohled nad ochranou údajů; jsou zohledněny povinnosti na vnitrostátní úrovni a na úrovni EU a je stanoven systém pro koordinaci mezi všemi dotčenými orgány pro ochranu údajů.

že je v návrhu uznána role evropského inspektora ochrany údajů jakožto orgánu zřízeného za účelem dohledu nad všemi orgány a institucemi EU.

článek 47 týkající se spolupráce a s vnitrostátními orgány dohledu a její koordinace, navrhuje ale objasnit, že předpokládaná spolupráce zahrnuje jak bilaterální, tak i kolektivní spolupráci; odůvodnění by mělo dále zdůraznit význam spolupráce mezi různými orgány dohledu a poskytnout příklady toho, jak lze takovou spolupráci co nejlépe posílit.

Předávání

177.

Evropský inspektor ochrany údajů navrhuje do čl. 26 odst. 1 návrhu vložit větu uvádějící, že příslušné orgány členských států získávají a vyhledávají informace na základě zásady „vědět jen to nejnutnější“ a v míře nutné k legitimnímu provádění svých úkolů. Čl. 26 odst. 2 by měl být pozměněn a uveden do souladu s čl. 27 odst. 2.

178.

Evropský inspektor ochrany údajů vítá, že předávání údajů třetím zemím a mezinárodním organizacím se v zásadě může uskutečnit pouze na základě zásady přiměřenosti nebo závazné dohody zajišťující odpovídající ochranná opatření. Závazná dohoda zajistí právní jistotu, jakož i plnou odpovědnost Europolu za předání údajů. Pro hromadné, strukturální a opakované předávání údajů by měla být vždy nutná závazná dohoda. Chápe nicméně, že v některých situacích nelze závaznou dohodu požadovat. K těmto situacím by mělo docházet pouze výjimečně, je-li to skutečně nezbytné, a měly by být povolené pouze pro omezené množství případů, přičemž je nutné mít silná, věcná i procedurální, ochranná opatření.

179.

Evropský inspektor ochrany údajů důrazně doporučuje odstranit možnost, že by Europol mohl předpokládat souhlas členských států. Evropský inspektor ochrany údajů také navrhuje doplnit do druhé věty čl. 29 odst. 4, že by souhlas měl být udělen „před předáním údajů“. Evropský inspektor ochrany údajů rovněž doporučuje doplnit do článku 29 odstavec uvádějící, že Europol uchová podrobné záznamy o předávání osobních údajů.

180.

Evropský inspektor ochrany údajů doporučuje doplnit do návrhu přechodné ujednání ohledně stávajících dohod o spolupráci, které upravují předávání údajů Europolem. Toto ujednání by mělo stanovit, že v přijatelném termínu proběhne přezkum uvedených dohod s cílem uvést je v soulad s požadavky návrhu. Toto ujednání by mělo být zahrnuto do samostatných ustanovení návrhu a obsahovat termín, který nebude delší než dva roky od vstupu návrhu v platnost.

181.

V zájmu transparentnosti evropský inspektor ochrany údajů rovněž doporučuje doplnit na konec čl. 31 odst. 1, že Europol veřejně zpřístupní seznam svých mezinárodních dohod a dohod o spolupráci se třetími zeměmi a mezinárodními organizacemi, umístěním tohoto seznamu, pravidelně aktualizovaného, na své internetové stránce.

182.

Evropský inspektor ochrany údajů doporučuje do čl. 31 odst. 2 výslovně doplnit, že odchylky nelze použít na časté, hromadné nebo strukturální předávání údajů, jinými slovy na soubory předávaných údajů (tj. na jiné než příležitostné předání údajů).

183.

Evropský inspektor ochrany údajů doporučuje vložení zvláštního odstavce věnovaného předávání údajů s povolením evropského inspektora ochrany údajů. Tento odstavec, který by logicky předcházel odstavci o odchylkách, by stanovil, že evropský inspektor ochrany údajů může povolit předání nebo předávání údajů, pokud Europol poskytne dostatečná ochranná opatření pro ochranu soukromí a základních práv a svobod osob, jakož i pro výkon odpovídajících práv. Kromě toho by takové povolení bylo uděleno před předáním / předáváním údajů na dobu nejvýše jednoho roku a bylo by obnovitelné.

Jiné

184.

Stanovisko zahrnuje velké množství dalších doporučení zaměřených na další zlepšování návrhu. Zde je seznam některých významnějších doporučení.

a)

Odstranit možnost přímého přístupu Europolu do vnitrostátních databází (článek 23).

b)

Pokud se přístup týká informačních systémů EU, povolit přístup pouze na principu hit/no hit (vyhledávání shod položek bez zobrazení dodatečných informací, tj. kladná či záporná odpověď). Jakékoliv informace týkající se nalezené shody by měly být sděleny Europolu po výslovném souhlasu a povolení k předání ze strany členského státu (pokud se přístup týká údajů poskytnutých členským státem), orgánu EU nebo mezinárodní organizace a podléhat posouzení podle článku 35 návrhu. Evropský inspektor ochrany údajů doporučuje stanovení těchto podmínek v článku 23 návrhu.

c)

Posílit článek 35 návrhu tím, že posouzení ze strany členského státu, který informace poskytuje, bude povinné. Evropský inspektor ochrany údajů navrhuje odstranit z čl. 35 odst. 1 a 2 výraz „as far as possible“ („bude-li to možné“) a pozměnit odpovídajícím způsoben čl. 36. odst. 4.

d)

Nahradit přehled všech osobních údajů uvedených v čl. 36 odst. 2 jejich statistickým shrnutím podle účelu. Jelikož zvláštní kategorie subjektů údajů uvedené v čl. 36 odst. 1 si rovněž zasluhují zvláštní pozornost, navrhuje evropský inspektor ochrany údajů zahrnout do statistik i statistiku těchto údajů.

e)

Zahrnout do návrhu ustanovení, že Europol musí mít v souvislosti se zpracováním osobních údajů a výkonem práv subjektů údajů transparentní a snadno přístupnou politiku, která bude srozumitelně formulovaná jasným a jednoduchým jazykem. Dané ustanovení by mělo rovněž konstatovat, že tato politika by měla být snadno dostupná na internetové stránce Europolu, jakož i na internetových stránkách vnitrostátních orgánů dohledu.

f)

Jelikož článek 41 jasně nedefinuje odpovědnost zúčastněných stran, mělo by být s ohledem na čl. 41 odst. 4 objasněno, že odpovědnost za dodržování všech platných zásad ochrany údajů (a nejen „zákonnost předávání údajů“) má odesílatel údajů. Evropský inspektor ochrany údajů doporučuje pozměnit odpovídajícím způsobem článek 41.

g)

Doplnit do návrhu samostatné ustanovení (samostatná ustanovení) uvádějící, že: i) při veškerém zpracovávání osobních údajů se provede posouzení dopadů podobné tomu, které je popsáno v navrhovaném nařízení o ochraně údajů, ii) při vytváření nebo zdokonalování systémů zpracování osobních údajů se použije zásada ochrany soukromí již od návrhu a standardní nastavení ochrany údajů, iii) správce přijme politiky a provede odpovídající opatření k tomu, aby zajistil a mohl doložit dodržování pravidel na ochranu údajů a zároveň aby zajistil ověřování účinnosti opatření, a iv) do debat ohledně zpracování osobních údajů se zapojí inspektor ochrany údajů Europolu a, bude-li to nutné, i orgány dohledu.

Evropský inspektor ochrany údajů rovněž učinil několik návrhů týkajících se sdělení, které bylo přijato souběžně s návrhem.

V Bruselu dne 31. května 2013.

Peter HUSTINX

evropský inspektor ochrany údajů

(1)  COM(2013) 172 final.

(2)  Důvodová zpráva, část 3.

(3)  Viz také Usnesení 4 z jarní konference evropských orgánů pro ochranu údajů (Lisabon 16.–17. května 2013).