|
11.10.2017 |
CS |
Úřední věstník Evropské unie |
C 340/6 |
Shrnutí stanoviska k návrhu nařízení, kterým se zřizuje jednotná digitální brána a zavádí zásada „pouze jednou“
(Úplné znění tohoto stanoviska je k dispozici v angličtině, francouzštině a němčině na webových stránkách evropského inspektora ochrany údajů na adrese www.edps.europa.eu)
(2017/C 340/03)
Tento návrh je jedním z prvních nástrojů EU, který se výslovně týká zásady „pouze jednou“ a provádí ji s cílem zajistit, aby se od občanů i podniků vyžadovaly tytéž informace pro veřejnou správu pouze jednou, přičemž veřejná správa pak může používat informace, které již má. Návrh předpokládá, že výměna důkazů pro přeshraniční postupy (jako je například žádost o uznání diplomu) by byla zahájena výslovnou žádostí uživatele a proběhla by v technickém systému ustaveném Komisí a členskými státy, se zabudovaným mechanismem předběžné kontroly k zajištění transparentnosti pro uživatele.
Evropský inspektor ochrany údajů návrh Komise na modernizaci správních služeb vítá a oceňuje její obavy, pokud jde o to, jaký dopad může návrh mít na ochranu osobních údajů. Stanovisko se vydává na konkrétní žádost Komise a Parlamentu. Je také inspirováno prioritami estonského předsednictví Rady, kam výslovně patří „digitální Evropa a volný pohyb údajů“.
Evropský inspektor ochrany údajů nejenom podává konkrétní doporučení, jak dále zlepšit kvalitu právních předpisů, ale také chce využít příležitosti podat úvodní přehled základní problematiky související se zásadou „pouze jednou“ všeobecně, i když mnohé tyto obavy návrh ve své současné podobě nutně nepotvrzuje. Tyto obavy se týkají zejména právního základu zpracování, účelového omezení a práva subjektu údajů. Evropský inspektor ochrany údajů zdůrazňuje, že k zajištění úspěšného provádění zásady „pouze jednou“ v celé Evropské unii a k umožnění zákonné přeshraniční výměny údajů je třeba, aby byla zásada „pouze jednou“ prováděna v souladu s příslušnými zásadami ochrany údajů.
Pokud jde o vlastní návrh, evropský inspektor ochrany údajů podporuje úsilí k zajištění toho, aby jednotlivci měli své osobní údaje i nadále pod kontrolou, kam spadá požadavek „výslovné žádosti uživatele“ podaný před jakýmkoliv přenosem důkazu mezi příslušnými orgány a nabídka, aby měl uživatel možnost „zobrazit“ si důkaz, který bude odeslán. Inspektor také vítá v nařízení o systému pro výměnu informací o vnitřním trhu (IMI) změny, kterými se potvrzují a aktualizují ustanovení o mechanismu koordinovaného dohledu, který se pro IMI předpokládá a jenž umožní, aby Evropská rada pro ochranu údajů (EDPB) využívala technické možnosti, jež systém IMI k výměně informací v návaznosti na obecné nařízení o ochraně údajů (GDPR) nabízí.
Stanovisko poskytuje doporučení k celé řadě otázek, přičemž se zaměřuje na právní základ přeshraniční výměny důkazů, účelové omezení a působnost zásady „pouze jednou“ a také na praktické obavy týkající se uživatelské kontroly. Základním doporučením je ozřejmit, že návrh nepředstavuje právní základ k používání technického systému výměny informací pro jakýkoliv jiný účel než pro ty účely, o nichž pojednávají uvedené čtyři směrnice nebo jež se předpokládají podle platných právních předpisů EU nebo vnitrostátních právních předpisů, a že cílem návrhu není zavést omezení vůči zásadě účelového omezení podle nařízení GDPR, a vyjasnit celou řadu otázek týkajících se praktického provádění uživatelské kontroly. S ohledem na změny v nařízení o systému IMI evropský inspektor ochrany údajů doporučuje doplnit přílohu nařízení o systému IMI o nařízení GDPR, tak aby bylo možno případně používat systém IMI pro účely ochrany údajů.
1. ÚVOD A ZÁKLADNÍ INFORMACE
Dne 2. května 2017 přijala Evropská komise (dále jen „Komise“) návrh nařízení Evropského parlamentu a Rady, kterým se zřizuje jednotná digitální brána pro poskytování informací, postupů, asistenčních služeb a služeb pro řešení problémů a kterým se mění nařízení (EU) č. 1024/2012 (1) (dále jen „návrh“).
Cílem návrhu je usnadnit „občanům“ a „podnikům“ přeshraniční činnost tím, že jim přes jednotnou digitální bránu nabízí uživatelsky přátelský přístup k informacím, postupům, asistenčním službám a službám pro řešení problémů, které k výkonu svých práv na vnitřním trhu potřebují. V tomto ohledu představuje návrh důležitou iniciativu Komise v jejím úsilí o vývoj hlubšího a spravedlivějšího vnitřního trhu a jednotného digitálního trhu (2).
V článcích 4 až 6 návrhu je podán výklad tzv. služeb brány, které jednotná digitální brána poskytuje. Zde se přesně odráží vlastní název návrhu a spadá sem:
|
— |
přístup k informacím, |
|
— |
přístup k dokumentům EU a |
|
— |
přístup k asistenčním službám a službám pro řešení problémů. |
Je také třeba upozornit na to, že návrh v článku 36 usiluje o změnu některých ustanovení nařízení (EU) č. 1024/2012 (dále jen „nařízení o systému IMI“) (3), kterým se stanoví právní základ pro provoz systému pro výměnu informací o vnitřním trhu („systém IMI“) (4).
Návrh je jedním z prvních nástrojů EU, které výslovně odkazují na zásadu „pouze jednou“ a provádějí ji (5). Návrh odkazuje na pojem „pouze jednou“ a jeho přínosy prohlášením, že „občané a podniky by pro přeshraniční výměnu důkazů neměli mít povinnost poskytovat stejné informace orgánům veřejné moci více než jednou“ (6). Návrh předpokládá, že by výměna důkazů pro konkrétní postupy byla zahájena na žádost uživatele a proběhla by v technickém systém ustaveném Komisí a členskými státy (7) (bližší podrobnosti jsou uvedeny dále v oddíle 3).
Toto stanovisko je odpovědí na žádost Evropského parlamentu (dále jen „Parlament“) evropskému inspektorovi ochrany údajů (EDPS) jako nezávislému kontrolnímu orgánu o stanovisko k návrhu. Evropský inspektor ochrany údajů vítá, že jej obě instituce konzultují. Stanovisko je vydáno po neformální konzultaci Komise s evropským inspektorem ochrany údajů před přijetím návrhu.
Evropský inspektor ochrany údajů bere na vědomí a vítá návrh Komise modernizovat správní služby zlepšením dostupnosti, kvality a přístupnosti informací v Evropské unii. Také poukazuje zejména na to, že zásada „pouze jednou“ může k dosažení tohoto cíle přispět, pokud bude v souladu s platným zákonem o ochraně údajů a bude ctít základní práva jednotlivce.
Evropský inspektor ochrany údajů oceňuje obavy Komise a Parlamentu z dopadu, který by návrh mohl mít na ochranu osobních údajů. Vítá, že mnohé z jeho neformálních připomínek byly vzaty v úvahu. Zejména podporuje:
|
— |
úsilí k zajištění toho, aby jednotlivci měli své osobní údaje i nadále pod kontrolou, kam spadá požadavek „výslovné žádosti uživatele“ podaný před jakýmkoliv přenosem důkazů mezi příslušnými orgány (čl. 12 odst. 4) a nabídka, aby měl uživatel možnost „zobrazit“ si důkaz, který bude odeslán (čl. 12 odst. 2 písm. e)), |
|
— |
úsilí při definování zásadního rozsahu působnosti uplatňování zásady „pouze jednou“ (čl. 12 odst. 1) a |
|
— |
výslovný požadavek používat při sběru zpětné vazby od uživatelů a statistických údajů anonymní a/nebo agregované údaje (články 21–23), |
|
— |
dále vítá navrhovanou změnu nařízení o systému IMI, kterou se potvrzují a aktualizují ustanovení o koordinovaném mechanismu dohledu, který se pro systém IMI předpokládá k zajištění souvislého a soudržného přístupu (čl. 36 odst. 6 písm. b)), |
|
— |
a konečně i obecnější ustanovení, z nichž vyplývá závazek zajistit, že budou ctěna základní práva jednotlivce, včetně práva na ochranu osobních údajů, jak je uvedeno v úvodních článcích 43 a 44 a v článku 29. |
Účelem tohoto stanoviska je předložit konkrétní doporučení k řešení zbývajících problémů v oblasti ochrany údajů a tím k dalšímu zlepšení kvality právních předpisů (viz dále oddíl 3). Z výše uvedených trojích služeb brány se toto stanovisko zaměřuje na „přístup k postupům“ (článek 5) a zejména na ustanovení o „přeshraniční výměně důkazů mezi příslušnými orgány“ podle článku 12, protože ta jsou pro ochranu osobních údajů nejdůležitější. Ostatní části návrhu (včetně ustanovení o přístupu k informacím a přístupu k asistenčním službám a službám pro řešení problémů) tolik zásadních obav nevzbuzují. Dále má evropský inspektor ochrany údajů stručné připomínky k vybraným změnám nařízení o systému IMI.
Evropský inspektor ochrany údajů tuto příležitost dále využívá k tomu, aby předložil úvodní přehled základní problematiky související se zásadou „pouze jednou“ všeobecně, i když mnohé z těchto obav návrh ve své současné podobě nutně nepotvrzuje (viz dále oddíl 2).
4. ZÁVĚRY
Evropský inspektor ochrany údajů vítá návrh Komise modernizovat správní služby zjednodušením dostupnosti a kvality informací a přístupu k nim v rámci Evropské unie a oceňuje konzultace a obavy Komise a Parlamentu, co se týče dopadu návrhu na ochranu osobních údajů.
Evropský inspektor ochrany údajů nejenom podává konkrétní doporučení, jak dále zlepšit kvalitu právních předpisů, ale chce také využít příležitosti podat úvodní přehled základní problematiky související se zásadou „pouze jednou“ všeobecně, i když mnohé tyto obavy návrh ve své současné podobě nutně nepotvrzuje. Tyto obavy se týkají zejména:
|
— |
právního základu zpracování, |
|
— |
účelového omezení a |
|
— |
práv subjektů údajů. |
Evropský inspektor ochrany údajů zdůrazňuje, že k zajištění úspěšného provádění zásady „pouze jednou“ v celé Evropské unii a k umožnění zákonné přeshraniční výměny údajů je třeba, aby byla zásada „pouze jednou“ prováděna v souladu s příslušnými zásadami ochrany údajů.
Pokud jde o vlastní návrh, evropský inspektor ochrany údajů podporuje:
|
— |
úsilí k zajištění toho, aby jednotlivci měli své osobní údaje i nadále pod kontrolou, kam spadá požadavek „výslovné žádosti uživatele“ podaný před jakýmkoliv přenosem důkazů mezi příslušnými orgány (čl. 12 odst. 4) a nabídka, aby měl uživatel možnost „zobrazit“ si důkaz, který bude odeslán (čl. 12 odst. 2 písm. e)), a |
|
— |
úsilí při definování zásadního rozsahu působnosti uplatňování zásady „pouze jednou“ (čl. 12 odst. 1), |
|
— |
dále vítá navrhovanou změnu nařízení o systému IMI, kterou se potvrzují a aktualizují ustanovení o koordinovaném mechanismu dohledu, který se pro systém IMI předpokládá k zajištění souvislého a soudržného přístupu (čl. 36 odst. 6 písm. b)), |
|
— |
rovněž vítá, že jsou v návrhu zahrnuty do definice účastníků systému IMI orgány EU, což může Evropské radě pro ochranu údajů (EDPB) pomoci těžit z technických možností, které systém IMI při výměně informací poskytuje. |
Pokud jde o právní základ zpracování, evropský inspektor ochrany údajů doporučuje přidat jeden nebo více bodů, které ozřejmí, že:
|
— |
návrh sám nepředstavuje právní základ pro výměnu důkazů a že každá výměna důkazů podle čl. 12 odst. 1 musí mít příslušný právní základ jinde, například ve čtyřech směrnicích uvedených v čl. 12 odst. 1 nebo v platných právních předpisech EU nebo ve vnitrostátních právních předpisech, |
|
— |
právním základem pro používání technického systému uvedeným v článku 12 k výměně důkazů je plnění úkolu prováděného ve veřejném zájmu podle čl. 6 odst. 1 písm. e) nařízení GDPR, a že |
|
— |
uživatel má podle čl. 21 odst. 1 nařízení GDPR právo vznést proti tomu, aby byly v technickém systému zpracovány osobní údaje, které se jej týkají, námitku. |
Pokud jde o účelové omezení, evropský inspektor ochrany údajů doporučuje doplnit jeden nebo více bodů, z nichž bude zřejmé, že:
|
— |
návrh nepředstavuje právní základ pro používání technického systému k výměně informací pro jiné účely než pro ty, o nichž pojednávají uvedené směrnice nebo které se předpokládají podle platných právních předpisů EU nebo vnitrostátních právních předpisů, |
|
— |
a že návrh nijak neusiluje o to, klást na zásadu účelového omezení podle čl. 6 odst. 4 a čl. 23 odst. 1 nařízení GDPR omezení. |
Pokud jde o pojem „výslovné žádosti“, evropský inspektor ochrany údajů doporučuje, aby návrh ozřejmil (nejlépe formou věcného ustanovení):
|
— |
čím se žádost stává „výslovnou“ a jak konkrétní musí žádost být, |
|
— |
zda lze žádost podat přes technický systém, o němž pojednává čl. 12 odst. 1, |
|
— |
jaké má důsledky, pokud se uživatel rozhodne, že nepodá „výslovnou žádost“, a |
|
— |
zda je možno žádost stáhnout. (Viz konkrétní doporučení výše v oddíle 3.3). |
Pokud jde o pojem „zobrazení“, evropský inspektor ochrany údajů doporučuje,
|
— |
aby bylo v návrhu objasněno, jaké volby má uživatel, který se rozhodne využít možnosti vyměňované údaje si „zobrazit“, |
|
— |
zejména je třeba v čl. 12 odst. 2 písm. e) ozřejmit, že uživatel má možnost si důkaz zobrazit předtím, než je důkaz zpřístupněn příjemci, a že je možno žádost o výměnu důkazu stáhnout (viz také naše obdobná doporučení k pojmu „výslovné žádosti“), |
|
— |
to je možno provést například tak, že se na konec věty v čl. 12 odst. 2 písm. e) vloží tato slova: „předtím, než je důkaz požadujícímu orgánu zpřístupněn, a bude moci žádost kdykoliv stáhnout“). |
Pokud jde o definici důkazu a rozsah online postupů, evropský inspektor ochrany údajů doporučuje:
|
— |
nahradit v čl. 3 odst. 4 odkaz na čl. 2 odst. 2 písm. b) odkazem na čl. 12 odst. 1 nebo uvést jiné právní řešení, které by mělo podobný účinek, |
|
— |
evropský inspektor ochrany údajů také zdůrazňuje, že vítá úsilí vedoucí k omezení výměny informací na online postupy uvedené v příloze II a ve čtyřech konkrétně vyjmenovaných směrnicích, |
|
— |
a proto doporučuje, aby byla působnost návrhu i nadále jasně definována a i nadále zahrnovala přílohu II a odkazy na čtyři konkrétně vyjmenované směrnice. |
Konečně evropský inspektor ochrany údajů doporučuje:
|
— |
doplnit přílohu směrnice o systému IMI o nařízení GDPR, aby bylo možno případně používat systém IMI k účelům ochrany údajů, a |
|
— |
doplnit v příloze III seznam asistenčních služeb a služeb k řešení problémů o orgány kontroly ochrany údajů. |
V Bruselu dne 1. srpna 2017.
Giovanni BUTTARELLI
evropský inspektor ochrany údajů
(1) Návrh nařízení Evropského parlamentu a Rady, kterým se zřizuje jednotná digitální brána pro poskytování informací, postupů, asistenčních služeb a služeb pro řešení problémů a kterým se mění nařízení (EU) č. 1024/2012, COM(2017) 256 final, 2017/0086 (COD) (dále jen „návrh“).
(2) Důvodová zpráva k návrhu, s. 2.
(3) Nařízení Evropského parlamentu a Rady (EU) č. 1024/2012 ze dne 25. října 2012 o správní spolupráci prostřednictvím systému pro výměnu informací o vnitřním trhu a o zrušení rozhodnutí Komise 2008/49/ES („nařízení o systému IMI“) (Úř. věst. L 316, 14.11.2012, s. 1).
(4) Viz též stanovisko evropského inspektora ochrany údajů ze dne 22. listopadu 2011 k návrhu Komise nařízení Evropského parlamentu a Rady ke správní spolupráci prostřednictvím systému pro výměnu informací o vnitřním trhu
(„nařízení o systému IMI“), dostupné na adresehttps://edps.europa.eu/sites/edp/files/publication/11-11-22_imi_opinion_cs.pdf.
(5) Viz též článek 14 návrhu směrnice Evropského parlamentu a Rady o právním a operačním rámci pro evropský elektronický průkaz služeb, který se zavádí nařízením … [nařízení o ESC], COM(2016) 823 final, 2016/0402(COD).
(6) 28. bod odůvodnění návrhu.
(7) Čl. 12 odst. 1 a 4 návrhu.