22.6.2011   

CS

Úřední věstník Evropské unie

C 181/1

1.

Dne 4. listopadu 2010 Komise přijala sdělení s názvem „Komplexní přístup k ochraně osobních údajů v Evropské unii“ (dále jen „sdělení“) (3). Sdělení bylo zasláno evropskému inspektorovi ochrany údajů ke konzultaci. Evropský inspektor ochrany údajů vítá skutečnost, že byl Komisí konzultován v souladu s článkem 41 nařízení (ES) č. 45/2001. Evropský inspektor ochrany údajů měl již před přijetím sdělení možnost poskytnout neformální připomínky. Některé z těchto připomínek byly v konečné verzi dokumentu zohledněny.

2.

Cílem sdělení je vymezit přístup Komise k přezkumu právního systému EU pro ochranu osobních údajů ve všech oblastech činnosti Unie, zejména s přihlédnutím k výzvám, jež přináší globalizace a nové technologie (4).

3.

Evropský inspektor ochrany údajů sdělení obecně vítá, jelikož je přesvědčen, že přezkum současného právního rámce pro ochranu údajů v EU je nezbytný pro zajištění účinné ochrany v nadále se rozvíjející informační společnosti. Již ve svém stanovisku ze dne 25. července 2007 k provádění směrnice o ochraně osobních údajů (5) dospěl k názoru, že z dlouhodobějšího hlediska se změny směrnice 95/46/ES zdají nevyhnutelné.

4.

Sdělení představuje významný krok směrem k této legislativní změně, která může následně představovat nejvýznamnější vývoj v oblasti ochrany údajů v EU od přijetí směrnice 95/46/ES, která se obecně považuje za základní kámen ochrany údajů v Evropské unii (a v širším měřítku v Evropském hospodářském prostoru).

5.

Sdělení poskytuje správný rámec pro vhodně cílený přezkum, a to také proto, že označuje – obecně řečeno – hlavní problémy a výzvy. Evropský inspektor ochrany údajů sdílí stanovisko Komise, že v budoucnu bude nadále zapotřebí kvalitní systém ochrany údajů, jelikož ve společnosti, která prochází zásadními změnami vzhledem k rychlému technologickému rozvoji a globalizaci, jsou stávající obecné zásady ochrany údajů stále platné. Tato skutečnost vyžaduje přezkum stávajících právních předpisů.

6.

Sdělení správně zdůrazňuje, že jde o nesmírně náročné výzvy. Evropský inspektor ochrany údajů s tímto výrokem plně souhlasí a upozorňuje, že navrhovaná řešení by proto měla být v odpovídající míře ambiciózní a měla by zvyšovat účinnost ochrany.

7.

Toto stanovisko posuzuje řešení, která jsou sdělením navrhována, na základě těchto dvou kritérií: ambicí a účinnosti. Jeho perspektiva je obecně pozitivní. Evropský inspektor ochrany údajů sdělení podporuje, avšak zároveň je kritický k aspektům, v nichž by podle jeho názoru mohly vyšší ambice vést k účinnějšímu systému.

8.

Cílem evropského inspektora ochrany údajů je přispět tímto stanoviskem k dalšímu rozvoji právního rámce pro ochranu údajů. Evropský inspektor ochrany údajů se těší na návrh Komise, jenž se očekává v polovině roku 2011, a doufá, že jeho připomínky budou ve znění tohoto návrhu zohledněny. Rovněž poznamenává, že se zdá, že sdělení z obecného nástroje vylučuje některé oblasti, jako například zpracování údajů orgány a institucemi EU. Pokud by se Komise opravdu rozhodla vynechat v této fázi některé oblasti, což by evropský inspektor ochrany údajů vnímal s politováním, evropský inspektor ochrany údajů vyzývá Komisi, aby se zavázala realizovat v blízkém a konkrétním časovém horizontu opravdu komplexní strukturu ochrany údajů.

9.

Toto stanovisko není osamocené. Vychází z předchozích postojů, které evropský inspektor ochrany údajů a evropské orgány pro ochranu údajů vyjádřili při různých příležitostech. Zejména je třeba zdůraznit, že některé hlavní prvky pro budoucí změny byly označeny a rozpracovány v již uvedeném stanovisku evropského inspektora ochrany údajů ze dne 25. července 2007 (6). Vychází také z diskusí s dalšími zúčastněnými stranami v oblasti ochrany soukromí a ochrany údajů. Jejich příspěvky poskytly velmi užitečné podklady jak pro sdělení, tak pro toto stanovisko. V tomto ohledu lze usuzovat, že existuje jistá úroveň synergie týkající se způsobu, jak zvýšit účinnost ochrany údajů.

10.

Dalším významným pilířem tohoto stanoviska je dokument s názvem „Budoucnost soukromí“, společný příspěvek pracovní skupiny pro ochranu údajů zřízené podle článku 29 a pracovní skupiny pro policii a spravedlnost ke konzultaci, kterou Komise zahájila v roce 2009 (dále jako „dokument pracovních skupin o budoucnosti soukromí“) (7).

11.

Evropský inspektor ochrany údajů v nedávné době, na tiskové konferenci konané dne 15. listopadu 2010, poskytl své první reakce na toto sdělení. Toto stanovisko rozvádí obecnější pohledy uvedené v průběhu této tiskové konference (8).

12.

Toto stanovisko v neposlední řadě těží z řady předchozích stanovisek evropského inspektora ochrany údajů, jakož i z dokumentů pracovní skupiny pro ochranu údajů podle článku 29. Odkazy na tato stanoviska a dokumenty jsou uvedeny na různých příslušných místech tohoto stanoviska.

13.

K přezkumu pravidel pro ochranu údajů dochází v zásadním historickém okamžiku. Sdělení popisuje souvislosti rozsáhle a přesvědčivě. Na základě tohoto popisu evropský inspektor ochrany údajů rozpoznává čtyři hlavní hybné prvky, které určují prostředí, v němž proces přezkumu probíhá.

14.

Prvním hybným prvkem je technologický vývoj. Dnešní technologie nejsou stejné jako v době, kdy byla koncipována a přijata směrnice 95/46/ES. Technologické jevy, jako jsou „cloud computing“, behaviorálně cílená reklama, sociální sítě, výběr mýtného a zařízení na zjištění zeměpisné polohy, zásadním způsobem změnily způsob zpracování informací, a představují pro oblast ochrany údajů nesmírně významné výzvy. Přezkum evropských pravidel pro ochranu údajů bude muset tyto výzvy účinně řešit.

15.

Druhým hybným prvkem je globalizace. Postupné rušení překážek obchodu poskytlo podnikům rostoucí celosvětový rozměr. V uplynulých letech došlo k ohromnému nárůstu přeshraničního zpracování a mezinárodního předávání údajů. Zpracování údajů se navíc díky informačním a komunikačním technologiím stalo všudypřítomným: internet a „cloud computing“ umožnily delokalizované zpracovávání velkého množství údajů v celosvětovém měřítku. V uplynulém desetiletí také došlo k rozšíření policejních a justičních aktivit za účelem boje proti terorismu a jiným formám mezinárodní organizované trestné činnosti, přičemž tyto aktivity podporuje rozsáhlá výměna informací pro účely vymáhání práva. Toto vše si žádá zásadní zvážení způsobu, jak lze v globalizovaném světě účinně zajistit ochranu osobních údajů bez značného narušení mezinárodních činností v oblasti jejich zpracování.

16.

Třetím hybným prvkem je Lisabonská smlouva. Vstup Lisabonské smlouvy v platnost je počátkem nové epochy v oblasti ochrany údajů. Článek 16 Smlouvy o fungování Evropské unie se zabývá nejen individuálními právy subjektu údajů, ale poskytuje také přímý právní základ pro kvalitní právní předpisy v oblasti ochrany údajů v celé EU. Zrušení pilířové struktury navíc zavazuje Evropský parlament a Radu zajišťovat ochranu údajů ve všech oblastech práva EU. Jinak řečeno, umožňuje komplexní právní rámec pro ochranu údajů, použitelný pro soukromý sektor, veřejný sektor v členských státech i pro orgány a instituce EU. Stockholmský program (9) v souladu s tím v tomto ohledu důsledně uvádí, že Unie musí zajistit komplexní strategii na ochranu údajů v rámci EU i v rámci vztahů se třetími zeměmi.

17.

Čtvrtý hybný prvek představuje souběžný vývoj probíhající v souvislosti s mezinárodními organizacemi. Vedou se různé diskuse zaměřené na modernizaci stávajících právních nástrojů na ochranu údajů. V tomto ohledu je důležité uvést aktuální úvahy týkající se budoucí revize úmluvy Rady Evropy č. 108 (10) a směrnice OECD o ochraně soukromí (11). Další významný vývoj se týká přijímání vnitrostátních norem pro ochranu osobních údajů a soukromí, které by mohly případně vést k přijetí závazného globálního nástroje pro ochranu údajů. Všechny tyto iniciativy si zaslouží plnou podporu. Jejich společným cílem by mělo být zajištění účinné a jednotné ochrany v globalizovaném prostředí založeném na technologiích.

18.

Kvalitní rámec pro ochranu údajů nezbytně vyplývá z významu přičítaného ochraně údajů v rámci Lisabonské smlouvy, zejména pak v článku 8 Listiny základních práv Evropské unie a článku 16 Smlouvy o fungování Evropské unie, a je úzce propojen také s článkem 7 Listiny základních práv Evropské unie (12).

19.

Kvalitní rámec pro ochranu údajů však také v informační společnosti s všudypřítomným zpracováním údajů slouží širší veřejnosti a soukromým zájmům. Ochrana údajů posiluje důvěru a důvěra je podstatnou složkou kvalitního fungování naší společnosti. Je nezbytné, aby úprava ochrany údajů byla chápána tak, že – v maximální možné míře – další oprávněná práva a zájmy spíše aktivně podporuje, než jim brání.

20.

Důležitými příklady dalších oprávněných zájmů jsou silné evropské hospodářství, bezpečnost osob, jakož i odpovědnost vlád.

21.

Hospodářský rozvoj v EU jde ruku v ruce se zaváděním nových technologií a služeb a jejich uváděním na trh. V informační společnosti závisí vznik a úspěšné zavádění informačních a komunikačních technologií a služeb na důvěře. Jestliže lidé informačním a komunikačním technologiím nevěří, pak tyto technologie patrně neuspějí (13). A lidé budou informačním a komunikačním technologiím věřit pouze tehdy, budou-li jejich údaje účinně ochráněny. Ochrana údajů by tedy měla být nedílnou součástí technologií a služeb. Kvalitní rámec pro ochranu údajů podporuje evropské hospodářství, pokud tento rámec je nejen kvalitní, ale také je-li správně nastaven. Z tohoto hlediska jsou zásadní další harmonizace v rámci EU a minimalizace administrativní zátěže (viz kapitola 5 stanoviska).

22.

V uplynulých letech se vedla rozsáhlá debata o potřebě vyvážit soukromí a bezpečnost, zejména ve vztahu k nástrojům pro zpracování a výměnu údajů v oblasti policejní a justiční spolupráce (14). Ochrana údajů byla dosti často mylně charakterizována jako překážka plné ochrany fyzické bezpečnosti osob (15) nebo přinejmenším jako nevyhnutelná podmínka, kterou mají donucovací orgány dodržovat. Tak tomu však zcela není. Kvalitní rámec pro ochranu údajů může zvýšit a posílit bezpečnost. Na základě zásad ochrany údajů – jsou-li správně uplatněny – mají správci údajů povinnost zajistit, aby informace byly přesné a aktuální a aby byly ze systémů vyjmuty nadbytečné osobní údaje, které nejsou pro vymáhání práva nezbytné. Stejně tak lze poukázat na povinnosti zavést technická a organizační opatření pro zajištění bezpečnosti systémů, například ochranu systémů před neoprávněným zveřejněním či přístupem, jako na opatření vyvinutá v oblasti ochrany údajů.

23.

Dodržování zásad ochrany údajů může dále zajistit, aby donucovací orgány působily v rámci právního státu, čímž se podněcuje důvěra v jejich chování a v širším smyslu se podporuje důvěra v naši společnost. Judikatura vypracovaná podle článku 8 Evropské úmluvy o lidských právech zajišťuje, že policejní a justiční orgány mohou zpracovávat veškeré údaje, které souvisí s jejich prací, avšak nikoli neomezeným způsobem. Ochrana údajů vyžaduje kontroly a vyváženost (k policii a justici viz kapitola 9 stanoviska).

24.

V demokratických společnostech jsou vlády za veškerou svou činnost odpovědné, včetně využití osobních údajů k různým veřejným zájmům, kterým slouží. Toto využití sahá od zveřejňování údajů na internetu z důvodu transparentnosti po využití údajů jako podkladu pro politiky v oblastech, jako jsou veřejné zdraví, doprava či zdanění nebo sledování osob pro účely vymáhání práva. Kvalitní rámec pro ochranu údajů vládám v rámci řádné správy věcí veřejných umožňuje dodržovat své povinnosti a být odpovědné.

25.

Sdělení správně uvádí, že jedním ze základních nedostatků současného právního rámce je skutečnost, že členským státům ponechává přílišnou volnost při provádění evropských ustanovení ve vnitrostátních právních předpisech. Nedostatek harmonizace má v informační společnosti, kde fyzické hranice mezi členskými státy ztrácejí čím dál tím více na důležitosti, řadu záporných důsledků (viz kapitola 5 stanoviska).

26.

První, spíše formální důvod, proč by obecné zásady ochrany údajů neměly a nemohly být měněny, je právní povahy. Tyto zásady jsou stanoveny úmluvou Rady Evropy č. 108, která je závazná pro všechny členské státy. Tato úmluva je základem ochrany údajů v EU. Některé z hlavních zásad jsou navíc výslovně uvedeny v článku 8 Listiny základních práv Evropské unie. Změna těchto zásad by tak vyžadovala změnu zakládajících smluv.

27.

Toto však není vše. Existují také věcné důvody, proč neměnit obecné zásady. Evropský inspektor ochrany údajů je pevně přesvědčen, že informační společnost nemůže a neměla by fungovat bez odpovídající ochrany soukromí a osobních údajů fyzických osob. Při zpracovávání více informací je také zapotřebí vyšší ochrana. Informační společnost, v níž dochází ke zpracovávání obrovského množství informací o každé osobě, je třeba budovat na koncepci kontroly ze strany fyzické osoby tak, aby tato osoba mohla jednat jako jednotlivec a využívat svých svobod v demokratické společnosti, jako je například svoboda vyjadřování a projevu.

28.

Dále si lze jen těžko představit správu údajů fyzické osoby, aniž by měl správce povinnost omezit jejich zpracování v souladu se zásadami nezbytnosti a proporcionality a omezení účelu. Stejně tak je obtížné představit si kontrolu ze strany fyzické osoby za nepřítomnosti uznávaných práv subjektů údajů, jako jsou práva na přístup k údajům a práva na opravu, výmaz či blokování údajů.

29.

Evropský inspektor ochrany údajů upozorňuje, že ochrana údajů se uznává jako základní právo. To neznamená, že ochrana údajů by vždy měla mít přednost před dalšími důležitými právy a nástroji v demokratické společnosti, ale nese to důsledky pro charakter a rozsah ochrany, která musí být poskytnuta podle právního rámce EU tak, aby bylo zajištěno, že požadavky na ochranu údajů budou vždy odpovídajícím způsobem zohledněny.

30.

Tyto hlavní důsledky lze definovat takto:

Evropský inspektor ochrany údajů doporučuje, aby Komise tyto důsledky zohlednila při návrhu legislativních řešení.

31.

Sdělení se správně zaměřuje na potřebu posílit legislativní úpravu ochrany údajů. V této souvislosti je na místě připomenout, že v dokumentu pracovních skupin o budoucnosti soukromí (17) orgány pro ochranu údajů zdůraznily potřebu silnějších rolí různých aktérů v oblasti ochrany údajů, zejména subjektů údajů, správců údajů a samotných orgánů dozoru.

32.

Zdá se, že mezi zúčastněnými stranami existuje široká shoda, že kvalitnější legislativní úprava – která zohledňuje technologický rozvoj a globalizaci – je klíčem pro ambiciózní a účinnou ochranu údajů také do budoucna. Jak již bylo uvedeno v bodě 7, toto jsou kritéria, podle nichž evropský inspektor ochrany údajů jakákoli navrhovaná řešení posuzuje.

33.

Jak sdělení připomíná, směrnice 95/46/ES se vztahuje na všechny činnosti v oblasti zpracování osobních údajů v členských státech ve veřejném i v soukromém sektoru s výjimkou činností spadajících mimo oblast působnosti dřívějšího práva Společenství (18). Tato výjimka byla potřebná podle dřívější Smlouvy, avšak po vstupu Lisabonské smlouvy v platnost tomu tak již není. Výjimka navíc odporuje znění a v každém případě duchu článku 16 Smlouvy o fungování Evropské unie.

34.

Podle evropského inspektora ochrany údajů musí být komplexní právní nástroj pro ochranu údajů včetně policejní a justiční spolupráce v trestních věcech vnímán jako jedno z hlavních zlepšení, která může nový právní rámec přinést. Jde o nutný předpoklad účinné ochrany údajů v budoucnosti.

35.

Evropský inspektor ochrany údajů upozorňuje na následující argumenty podporující toto prohlášení:

36.

Zahrnutí policie a justice do obecného právního nástroje by nejen nabídlo více záruk občanům, ale usnadnilo by také úlohu policejním orgánům. Povinnost uplatňovat různé soubory pravidel je komplikovaná, zbytečně časově náročná a překáží mezinárodní spolupráci (dále viz kapitola 9 tohoto stanoviska). Toto je také argument pro zahrnutí činností vnitrostátních bezpečnostních služeb v oblasti zpracování, pokud je to možné podle současného stavu právních předpisů EU.

37.

Období od přijetí směrnice 95/46/ES v roce 1995 lze charakterizovat jako technologicky bouřlivé. Často dochází k zavádění nových poznatků technologického vývoje a nových zařízení. Toto v řadě případů vedlo k zásadním změnám ve způsobu zpracování osobních údajů fyzických osob. Informační společnost již nelze považovat za paralelní prostředí, do něhož se mohou fyzické osoby dobrovolně zapojit, ale stala se nedílnou součástí našeho každodenního života. Například koncepce internetu věcí (22) zavádí vazbu mezi fyzickými objekty a informacemi o nich na internetu.

38.

Technologie se bude dále vyvíjet. To má své důsledky pro nový právní rámec. Ten musí být účinný po větší počet let a zároveň nesmí ztěžovat další technologický vývoj. To vyžaduje, aby právní úprava byla z technologického hlediska neutrální. Rámec však musí také přinášet společnostem i fyzickým osobám větší míru právní jistoty. Musí rozumět, co se od nich očekává, a musí být schopny uplatňovat svá práva. To vyžaduje, aby právní úprava byla přesná.

39.

Podle evropského inspektora ochrany údajů musí být obecný právní nástroj pro ochranu údajů formulován tak, aby byl z technologického hlediska co nejvíce neutrální. Z toho vyplývá, že práva a povinnosti různých aktérů musí být formulovány obecně a neutrálně, aby zůstaly v zásadě platné a vymahatelné bez ohledu na zvolenou technologii zpracování osobních údajů. Žádná jiná možnost vzhledem k dnešnímu rychlému tempu technologického pokroku neexistuje. Evropský inspektor ochrany údajů navrhuje zavést ke stávajícím zásadám ochrany údajů nová „technologicky neutrální“ práva, která by mohla mít zvláštní význam v rychle se měnícím elektronickém prostředí (viz zejména kapitoly 6 a 7).

40.

V posledních 15 letech byla ústředním prvkem ochrany údajů v EU směrnice 95/46. Byla provedena v právních předpisech členských států a používána různými aktéry. V průběhu let se při uplatňování této směrnice vycházelo z praktických zkušeností a dalších pokynů vydávaných Komisí, orgány pro ochranu údajů (na vnitrostátní úrovni a v rámci pracovní skupiny zřízené podle článku 29) a vnitrostátními a evropskými soudy.

41.

Je třeba zdůraznit, že tento vývoj potřebuje čas a že – obzvláště vzhledem k tomu, že se zabýváme obecným rámcem, z něhož vzniká základní právo – tento čas je zapotřebí pro vytvoření právní jistoty a stability. Je třeba navrhnout nový obecný právní nástroj s ambicí, že bude schopen vytvořit právní jistotu a stabilitu na delší období, přičemž nelze zapomínat, že lze velmi těžko předvídat další vývoj technologie a globalizace. Evropský inspektor ochrany údajů v každém případě podporuje cíl vytvořit právní jistotu na delší období srovnatelné s perspektivou směrnice 95/46/ES. Stručně řečeno, jestliže se technologie vyvíjí rychlým tempem, musí být právní předpisy stabilní.

42.

V krátkodobém výhledu je zásadní zajistit účinnost stávající právní úpravy, především zaměřením se na oblast prosazování předpisů na vnitrostátní úrovni i na úrovni EU (viz kapitola 11 tohoto stanoviska).

43.

Evropský inspektor ochrany údajů zcela podporuje komplexní přístup k ochraně údajů, který není pouze uveden v názvu sdělení, ale je také jeho východiskem a který nutně zahrnuje rozšíření obecných pravidel o ochraně údajů na policejní a justiční spolupráci v trestních věcech (23).

44.

Poznamenává však také, že Komise nemá v úmyslu zahrnout do tohoto obecného právního nástroje veškeré činnosti v oblasti zpracování údajů. Zejména nebude zahrnuto zpracování údajů orgány, institucemi, úřady a agenturami EU. Komise pouze uvádí, že „vyhodnotí potřebu přizpůsobit ostatní právní nástroje novému obecnému rámci pro ochranu údajů“.

45.

Evropský inspektor ochrany údajů jednoznačně upřednostňuje zahrnutí zpracování údajů na úrovni EU do obecného právního rámce. Připomíná, že toto byl původní záměr dřívějšího článku 286 Smlouvy o ES, který na úrovni Smlouvy poprvé zmiňoval ochranu údajů. Článek 286 Smlouvy o ES jednoduše uváděl, že právní nástroje týkající se zpracování osobních údajů budou platit také pro orgány. Ještě důležitější je skutečnost, že jeden právní text zabrání riziku rozporů mezi ustanoveními a byl by nejvhodnější pro výměnu údajů mezi úrovní EU a veřejnými a soukromými subjekty v členských státech. Rovněž by se jím předešlo riziku, že po úpravě směrnice 95/46/ES již nebude existovat politický zájem na změně nařízení (ES) č. 45/2001 nebo na přisouzení dostatečné priority této úpravě tak, aby se předešlo rozporům v datech vstupu v platnost.

46.

Evropský inspektor ochrany údajů naléhavě vyzývá Komisi, aby – pokud by dospěla k názoru, že by nebylo proveditelné zahrnout zpracování údajů na úrovni EU do obecného právního nástroje – se zavázala navrhnout úpravu nařízení (ES) č. 45/2001 (nikoli „vyhodnotit potřebu“) v co nejkratším možném časovém rámci a nejlépe do konce roku 2011.

47.

Stejně důležité je, aby Komise zajistila, aby nezůstaly pozadu další oblasti, zejména:

48.

Konečně pak obecný právní nástroj pro ochranu údajů může a patrně i musí být doplněn dalšími odvětvovými a zvláštními nařízeními, například pro policejní a justiční spolupráci, avšak také v jiných oblastech (25). V potřebných případech a v souladu se zásadou subsidiarity by tato další nařízení měla být přijata na úrovni EU. Členské státy mohou vypracovat další pravidla ve zvláštních oblastech, v nichž je to odůvodněné (viz 5.2).

49.

Harmonizace má pro právní předpisy EU v oblasti ochrany údajů prvořadý význam. Komise správně zdůraznila, že ochrana údajů má silný rozměr vnitřního trhu, protože musí zajistit volný pohyb osobních údajů mezi členskými státy v rámci vnitřního trhu. Úroveň harmonizace podle současné směrnice však byla posouzena jako méně než uspokojivá. Sdělení uznává, že toto je jedna z opakujících se obav zúčastněných stran. Zúčastněné strany zejména zdůrazňují potřebu posílit právní jistotu, snížit administrativní zátěž a zajistit hospodářským subjektům stejné podmínky. Jak Komise správně poznamenává, platí to především pro správce údajů usazené v několika členských státech, kteří musí dodržovat (často se rozcházející) příslušné požadavky a postupy dané v každé z těchto zemí vnitrostátními právními předpisy pro ochranu údajů (26).

50.

Harmonizace je důležitá nejen pro vnitřní trh, ale také s ohledem na zajištění odpovídající ochrany údajů. Článek 16 Smlouvy o fungování Evropské unie stanoví, že „každý“ má právo na ochranu osobních údajů, které se jej týkají. Pro účinné dodržování tohoto práva musí být v celé EU zaručena rovnocenná úroveň ochrany. Dokument pracovních skupin o budoucnosti soukromí upozornil, že několik ustanovení souvisejících s postavením subjektů údajů nebylo ve všech členských státech provedeno nebo se nevykládá jednotně (27). V globalizovaném a propojeném světě by tyto odchylky mohly podkopat či omezit ochranu fyzických osob.

51.

Evropský inspektor ochrany údajů se domnívá, že další a lepší harmonizace je jedním z prvořadých cílů procesu přezkumu. Evropský inspektor ochrany údajů vítá závazek Komise posoudit prostředky pro dosažení další harmonizace ochrany údajů na úrovni EU. S jistým překvapením však konstatuje, že sdělení v této fázi nepředkládá žádné konkrétní možnosti. Proto sám označuje několik oblastí, v nichž je vyšší sbližování nanejvýše naléhavé (viz 5.3). Další harmonizace v těchto oblastech by měla být dosažena nejen omezením rozhodovacího prostoru pro vnitrostátní právní předpisy, ale také zabráněním nesprávnému provádění ze strany členských států (viz také kapitola 11) a zajištěním jednotnějšího a koordinovanějšího prosazování (viz také kapitola 10).

52.

Směrnice obsahuje řadu ustanovení, která jsou široce formulována, a která tak ponechávají značný prostor pro odchylné provádění. Bod odůvodnění 9 směrnice výslovně potvrzuje, že členské mají jistý rozhodovací prostor a že v rámci tohoto prostoru může při provádění směrnice dojít ke vzniku odlišností. Několik ustanovení bylo členskými státy provedeno odlišně, včetně některých stěžejních ustanovení (28). Tato situace není uspokojivá a mělo by se usilovat o větší sbližování.

53.

To neznamená, že různorodost by měla být přímo vyloučena. V některých oblastech by mohla být zapotřebí pružnost pro zachování oprávněných specifik, důležitých veřejných zájmů nebo institucionální autonomie členských států. Podle evropského inspektora ochrany údajů by měl být prostor pro odlišnosti mezi členskými státy omezen zejména na tyto zvláštní situace:

54.

Definice (článek 2 směrnice 95/46/ES). Definice jsou základním kamenem právního systému a měly by být ve všech členských státech jednotně vykládány bez jakéhokoli volného prostoru při provádění. Podle současného rámce došlo k odchylkám, například u pojmu správce (29). Evropský inspektor ochrany údajů navrhuje, aby byl s cílem poskytnout vyšší právní jistotu rozšířen současný seznam pojmů definovaných v článku 2 o další pojmy, jako jsou například anonymní údaje, pseudonymní údaje, soudní údaje, předávání údajů a úředník pro ochranu údajů.

55.

Zákonnost zpracování údajů (článek 5). Nový právní nástroj by měl být co nejpřesnější s ohledem na základní prvky, které určují zákonnost zpracování údajů. Článek 5 směrnice (jakož i bod odůvodnění 9), který členské státy zmocňuje k přesnějšímu stanovování podmínek, za nichž je zpracování údajů zákonné, již proto nemusí být v budoucím rámci zapotřebí.

56.

Důvody zpracování údajů (článek 7 a 8). Definice podmínek pro zpracování údajů je nezbytným prvkem jakýchkoli předpisů pro ochranu údajů. Členským státům by nemělo být povoleno zavádět dodatečné či upravené důvody pro zpracování údajů či jakékoli důvody vylučovat. Možnost odchylek by měla být vyloučena nebo omezena (zejména s ohledem na citlivé údaje (30)). V novém právním nástroji by měly být důvody zpracování jasně formulovány, čímž se při provádění nebo prosazování omezí prostor pro uvážení. Zejména je třeba více konkretizovat pojem souhlasu (viz oddíl 6.5). Důvod vycházející z oprávněného zájmu správce údajů (čl. 7 písm. f)) navíc vzhledem ke své pružnosti umožňuje široce odlišné výklady. Je třeba větší konkretizace. Dalším ustanovením, které patrně musí být upřesněno, je čl. 8 odst. 2) písm. b), který umožňuje zpracování citlivých údajů nezbytných pro dodržení povinností a zvláštních práv správce v oblasti pracovního práva (31).

57.

Práva subjektů údajů (články 10–15). Toto je jedna z oblastí, v nichž nejsou všechny prvky směrnice členskými státy jednotně prováděny a vykládány. Práva subjektů údajů jsou ústředním prvkem účinné ochrany údajů. Proto by měl být rozhodovací prostor značně omezen. Evropský inspektor ochrany údajů doporučuje, aby informace poskytované správcem subjektům údajů byly v celé EU jednotné.

58.

Mezinárodní předávání údajů (články 25–26). Toto je oblast, která vzbudila rozsáhlou kritiku kvůli nedostatku jednotné praxe v EU. Zúčastněné strany kritizovaly, že rozhodnutí Komise o odpovídající úrovni ochrany členské státy vykládají a provádějí velmi rozdílně. Závazná podniková pravidla jsou dalším prvkem, v němž evropský inspektor ochrany údajů doporučuje další harmonizaci (viz kapitola 9).

59.

Vnitrostátní orgány pro ochranu údajů (článek 28). Vnitrostátní orgány pro ochranu údajů podléhají ve 27 členských státech značně odlišným pravidlům, zejména s ohledem na své postavení, zdroje a pravomoci. K těmto odlišnostem částečně přispěl vzhledem ke své nedostatečné přesnosti článek 28 (32), který by měl být dále konkretizován v souladu s rozsudkem Evropského soudního dvora ve věci C-518/07 (33) (dále viz kapitola 10).

60.

Oznamovací povinnosti (články 18–21 směrnice 95/46/ES) jsou další oblastí, v níž byla dosud členským státům přiznána značná volnost. Sdělení správně uznává, že harmonizovaný systém by snížil náklady i administrativní zátěž pro správce údajů (34).

61.

Toto je oblast, v níž by zjednodušení mělo být hlavním cílem. Přezkum rámce pro ochranu údajů je výjimečnou příležitostí pro další zjednodušení a/nebo omezení rozsahu současných oznamovacích povinností. Sdělení uznává, že mezi zúčastněnými stranami existuje obecná shoda, že současné povinné oznamování je poněkud komplikované a samo o sobě neposkytuje přidanou hodnotu pro ochranu osobních údajů fyzických osob (35). Evropský inspektor ochrany údajů proto vítá závazek Komise prozkoumat různé možnosti, jak zjednodušit stávající systém povinného oznamování.

62.

Z hlediska evropského inspektora ochrany údajů by východiskem tohoto zjednodušení byl posun od systému, v němž je oznámení pravidlem, není-li stanoveno jinak (tzn. „systému výjimek“), k cílenějšímu systému. Systém výjimek se ukázal jako neúčinný, protože nebyl v členských státech proveden jednotně (36). Evropský inspektor ochrany údajů navrhuje zvážit tyto alternativy:

Kromě toho by mohl být zaveden standardní celoevropský oznamovací formulář s cílem zajistit harmonizované přístupy s ohledem na požadované informace.

63.

Přezkum stávající oznamovací povinnosti by neměl mít vliv na zlepšování povinností předběžné kontroly u některých povinností, u nichž je v oblasti zpracování pravděpodobné, že budou představovat zvláštní rizika (například rozsáhlé informační systémy). Evropský inspektor ochrany údajů by upřednostňoval zahrnutí demonstrativního seznamu případů, v nichž se tato předběžná kontrola požaduje, do nového právního nástroje. Nařízení (ES) č. 45/2001 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů poskytuje pro tento účel vhodný model (37).

64.

Evropský inspektor ochrany údajů se domnívá, že proces přezkumu je rovněž příležitostí k opětovnému zvážení druhu právního nástroje pro ochranu údajů. Nařízení, jediný nástroj, který je přímo použitelný v členských státech, je nejúčinnějším prostředkem pro ochranu základního práva na ochranu údajů a pro vytvoření skutečného vnitřního trhu, na němž se osobní údaje mohou volně pohybovat a kde je úroveň ochrany rovnocenná nezávisle na zemi či odvětví, v nichž se údaje zpracovávají.

65.

Nařízení by omezilo prostor pro protichůdné výklady a pro neodůvodněné rozdíly při provádění a použití právních předpisů. Rovněž by omezilo význam určení práva použitelného na operace v oblasti zpracování v EU, což je jeden z nejkontroverznějších aspektů současného systému (viz kapitola 9).

66.

V oblasti ochrany údajů je nařízení o to více odůvodněné, protože

67.

Volba nařízení jako obecného nástroje umožňuje v nezbytných případech ustanovení, která jsou přímo určena členským státům, v oblastech, kde je zapotřebí pružnosti. Rovněž nemá vliv na pravomoc členských států přijmout v potřebných oblastech doplňující pravidla pro ochranu údajů v souladu s právními předpisy EU.

68.

Evropský inspektor ochrany údajů plně podporuje Komisi v jejím návrhu na posílení práv fyzických osob, jelikož stávající právní nástroje zcela nezajišťují účinnou ochranu, která je zapotřebí ve stále složitějším digitalizovaném světě.

69.

Na druhé straně však vývoj digitalizovaného světa vede ke strmému nárůstu ve shromažďování, užívání a dalším předávání osobních údajů mimořádně složitým a netransparentním způsobem. Fyzické osoby často nemají povědomí nebo nechápou, jak toto probíhá, kdo provádí shromažďování jejich údajů ani jak vykonávat kontrolu. Ilustrativním příkladem je fenomén sledování činnosti fyzických osob při pohybu na internetu ze strany poskytovatelů inzertních sítí prostřednictvím cookies či podobných nástrojů za účelem cílené reklamy. Když uživatelé navštíví internetové stránky, neočekávají, že neviditelná třetí strana provádí záznam o těchto návštěvách a vytváří o uživatelích záznamy na základě informací prozrazujících jejich životní styl nebo to, co mají a nemají rádi.

70.

Vývoj však na druhé straně fyzické osoby podněcuje k tomu, aby aktivně sdílely své osobní informace, například na sociálních sítích. Stále mladší lidé jsou součástí sociální sítě a dochází k jejich interakci s vrstevníky. Je sporné, zda si (mladí) lidé jsou vědomi rozsahu jimi sdělovaných informací a dlouhodobých účinků svého konání.

71.

Transparentnost má v jakémkoli režimu ochrany údajů prvořadý význam, a to nejen na základě své implicitní hodnoty, ale také proto, že umožňuje uplatňování ostatních zásad ochrany údajů. Pouze pokud budou fyzické osoby o zpracování údajů vědět, budou schopny uplatňovat svá práva.

72.

Transparentností se zabývá několik ustanovení směrnice 95/46/ES. Články 10 a 11 obsahují povinnost informovat fyzické osoby o shromažďování jejich osobních údajů. Článek 12 navíc uznává právo obdržet kopii vlastních osobních údajů ve srozumitelné formě (právo na přístup k údajům). Článek 15 přiznává právo na přístup k postupu, podle něhož se provádějí automatizovaná rozhodnutí, která zakládají právní účinky. V neposlední řadě také požadavek na transparentnost vyplývá z čl. 6 odst. 1 písm. a), který požaduje, aby zpracování bylo korektní. Osobní údaje nemohou být zpracovávány z jakýchkoli skrytých či tajných důvodů.

73.

Sdělení navrhuje doplnit obecnou zásadu transparentnosti. V reakci na tento návrh evropský inspektor ochrany údajů upozorňuje, že pojem transparentnosti je již nedílnou součástí současného právního rámce pro ochranu údajů, byť implicitně. To lze vyvodit z různých ustanovení, která se transparentností zabývají, jak je uvedeno v předchozím odstavci. Podle evropského inspektora ochrany údajů může mít přidanou hodnotu zahrnutí výslovné zásady transparentnosti, ať již ve vazbě na stávající ustanovení o korektním zpracování, či jinak. Tím by se zvýšila právní jistota a rovněž by se potvrdilo, že správce by měl za všech okolností zpracovávat osobní údaje transparentně, nikoli pouze na základě žádosti či pokud to od něj vyžaduje zvláštní ustanovení právních předpisů.

74.

Důležitější je však zřejmě posílení stávajících ustanovení, která se zabývají transparentností, jako například stávajících článků 10 a 11 směrnice 95/46/ES. Tato ustanovení konkretizují prvky informací, které musí být poskytovány, neuvádějí však přesně způsob tohoto poskytování. Evropský inspektor ochrany údajů konkrétněji navrhuje posílení stávajících ustanovení prostřednictvím:

75.

Evropský inspektor ochrany údajů podporuje návrh sdělení zavést do obecného nástroje ustanovení týkající se oznámení o porušení osobních údajů, které rozšíří povinnost, která byla v revidované směrnici o soukromí a elektronických komunikacích zahrnuta pro určité poskytovatele, na všechny správce údajů. Podle revidované směrnice o soukromí a elektronických komunikacích tato povinnost platí pouze pro poskytovatele služeb elektronických komunikací (poskytovatele telefonie (včetně VoIP) a přístupu na internet). Na jiné správce údajů se povinnost nevztahuje. Odůvodnění této povinnosti zcela platí pro jiné správce údajů, než jsou poskytovatelé služeb elektronických komunikací.

76.

Oznámení o porušení bezpečnosti slouží různým účelům a cílům. Nejzřejmějším z nich, na nějž upozorňuje sdělení, je sloužit jako informační nástroj, jehož prostřednictvím budou fyzické osoby seznámeny s riziky, která je čekají při porušení bezpečnosti osobních údajů. Může se jim tak pomoci při přijímání nezbytných opatření pro zmírnění těchto rizik. Například při upozornění na porušení týkající se jejich finančních informací budou fyzické osoby moci mimo jiné změnit hesla či zrušit své účty. Oznámení o porušení bezpečnosti dále přispívá k účinnému použití dalších zásad a povinností uvedených ve směrnici. Povinná oznámení o porušení bezpečnosti dají například podnět správcům údajů k zavedení kvalitnějších bezpečnostních opatření v zájmu prevence porušení bezpečnosti. Porušení bezpečnosti je také nástrojem pro posílení povinnosti správců údajů, obzvláště pak pro rozšíření odpovědnosti (viz kapitola 7). Konečně pak také slouží jako nástroj pro prosazování ze strany orgánů pro ochranu údajů. Oznámení o porušení bezpečnosti podané orgánu pro ochranu údajů může vést k vyšetřování celkové praxe určitého správce údajů.

77.

Zvláštní pravidla týkající se porušení bezpečnosti v pozměněné směrnici o soukromí a elektronických komunikacích byla široce projednána v průběhu parlamentní fáze legislativního rámce, která předcházela přijetí směrnice o soukromí a elektronických komunikacích. V této rozpravě bylo přihlédnuto ke stanoviskům pracovní skupiny zřízené podle článku 29 a evropského inspektora ochrany údajů a k názoru dalších zúčastněných stran. Pravidla odrážejí stanoviska různých zúčastněných stran. Představují rovnováhu zájmů: zatímco kritéria zakládající oznamovací povinnost jsou v zásadě odpovídající povahy pro ochranu fyzických osob, činí tak bez uvalení nadměrně komplikovaných a neúčelných požadavků.

78.

Článek 7 směrnice o ochraně údajů uvádí šest právních základů pro zpracování osobních údajů. Jedním z nich je souhlas fyzické osoby. Správce údajů může zpracovávat osobní údaje v rozsahu, v němž fyzické osoby vydaly informovaný souhlas se shromažďováním a dalším zpracováním svých údajů.

79.

V praxi mají uživatelé často omezenou kontrolu v souvislosti se svými údaji, zejména v technologických prostředích. Jedním ze způsobů, který se někdy používá, je konkludentní souhlas, což je souhlas odvozený. Lze jej odvodit z konání fyzické osoby (například konání spočívající v použití internetové stránky se považuje za souhlas s evidencí údajů uživatele pro marketingové účely). Lze jej také odvodit z mlčení či nečinnosti (nezrušení zatržítka v zatrženém rámečku se považuje za souhlas).

80.

Aby byl souhlas podle směrnice platný, musí být informovaný, svobodný a konkrétní. Musí být informovaným vyjádřením přání fyzické osoby, kterými projevuje svůj souhlas se zpracováním osobních údajů, které se jí týkají. Způsob udělení souhlasu musí být nezpochybnitelný.

81.

Souhlas, jenž byl odvozen z konání, a tím spíše z mlčení či nečinnosti, často není nezpochybnitelným souhlasem. Není však vždy jasné, co je skutečný, nezpochybnitelný souhlas. Někteří správci údajů této nejistoty zneužívají tím, že se spoléhají na metody, které nejsou vhodné pro získání skutečného, nezpochybnitelného souhlasu.

82.

S ohledem na výše uvedené evropský inspektor ochrany údajů podporuje Komisi ve věci potřeby objasnit meze souhlasu a zajistit, aby se za souhlas považoval pouze souhlas vyložený řádným způsobem. V této souvislosti evropský inspektor ochrany údajů navrhuje toto (39):

83.

Přenositelnost údajů a právo být zapomenut jsou dva související pojmy, které sdělení předkládá pro posílení práv subjektů údajů. Doplňují zásady již uvedené ve směrnici a stanoví právo subjektu údajů vznést námitku proti dalšímu zpracování jeho osobních údajů a povinnost správce údajů vymazat informace, jakmile již nejsou nezbytné pro účel zpracování.

84.

Tyto dvě koncepce převážně přidaly hodnotu v kontextu informační společnosti, kde se stále více údajů automaticky ukládá a uchovává po neomezenou dobu. Praxe ukazuje, že i když údaje vloží samotný subjekt údajů, míra kontroly, kterou fakticky má nad svými osobními údaji, je v praxi velmi omezená. Toto platí tím více vzhledem k obrovské paměti, kterou dnes internet představuje. Z ekonomického hlediska je navíc pro správce údajů nákladnější údaje vymazat než je uchovávat. Uplatňování práv fyzické osoby proto směřuje proti tomuto přirozenému ekonomickému trendu.

85.

Jak přenositelnost údajů, tak právo být zapomenut by mohly přispět k posunu rovnováhy ve prospěch subjektu údajů. Cílem přenositelnosti údajů by bylo poskytnout fyzické osobě vyšší kontrolu nad jejími údaji, zatímco právo být zapomenut by zajistilo, že informace automaticky zmizí po určité době, a to i tehdy, jestliže subjekt údajů nijak nezasáhne nebo pokud si ani není vědom skutečnosti, že někdy došlo k uložení údajů.

86.

Přenositelnost údajů se konkrétněji chápe jako schopnost uživatelů změnit svou volbu ohledně zpracování jejich údajů v souvislosti s novými technologickými službami. Toto ve vzrůstající míře platí pro služby, které s sebou nesou ukládání informací včetně osobních údajů, jako jsou mobilní telefonní služby a služby ukládající obrázky, e-maily a další informace, někdy s využitím služeb „cloud computingu“.

87.

Fyzické osoby musí být schopny snadno a volně změnit poskytovatele a předat své osobní údaje jinému poskytovateli služby. Evropský inspektor ochrany údajů se domnívá, že stávající práva stanovená směrnicí 95/46/ES by mohla být posílena zahrnutím práva na přenositelnost údajů zejména v souvislosti se službami informační společnosti s cílem pomoci fyzickým osobám zajistit, aby jim poskytovatelé a další příslušní správci poskytli přístup k jejich osobním informacím a aby předchozí poskytovatelé nebo jiní správci zároveň provedli vymazání těchto informací i tehdy, kdy by si je rádi uchovali pro vlastní legitimní účely.

88.

Nově kodifikované „právo být zapomenut“ by zajistilo výmaz osobních údajů či zákaz jejich dalšího využití bez nutného zásahu subjektu údajů, avšak s podmínkou, že tyto údaje již byly jistou dobu uloženy. Jinak řečeno, údajům by byla přisouzena jakási životnost. Tento princip je již potvrzen ve vnitrostátních soudních věcech nebo použit v konkrétních odvětvích, například u policejních spisů, trestních záznamů či disciplinárních spisů: podle některých vnitrostátních právních předpisů se informace o fyzických osobách automaticky vymazávají nebo se dále nesmí používat či šířit, zvláště pak po uplynutí pevně daného časového období, aniž by byla zapotřebí předchozí analýza jednotlivých případů.

89.

V tomto smyslu by nové „právo být zapomenut“ mělo souviset s přenositelností údajů. Přidanou hodnotou, kterou by toto přineslo, je skutečnost, že výmaz údajů by nevyžadoval úsilí či naléhání subjektu údajů, protože by k němu mělo docházet objektivně a automaticky. Pouze za velmi zvláštních okolností, za nichž by bylo možno určit zvláštní potřebu uchovávat údaj déle, by měl správce údajů právo údaje uchovávat. „Právo být zapomenut“ by tak přeneslo důkazní břemeno z fyzické osoby na správce údajů a představovalo by pro zpracování osobních údajů stav „implicitní ochrany soukromí“.

90.

Evropský inspektor ochrany údajů se domnívá, že právo být zapomenut by se mohlo osvědčit zejména v souvislosti se službami informační společnosti. Povinnost vymazat či dále nešířit informace po jisté pevně stanovené době má smysl zvláště v médiích nebo na internetu, zejména pak v sociálních sítích. Byla by také užitečná z hlediska koncových zařízení: údaje uložené na mobilních zařízeních nebo počítačích by byly automaticky vymazány či blokovány po jisté pevně stanovené době, kdy již nebudou v držení dané fyzické osoby. V tomto smyslu se může právo být zapomenut promítnout do povinnosti „ochrany soukromí již od návrhu“.

91.

Stručně řečeno evropský inspektor ochrany údajů zastává názor, že přenositelnost údajů a právo být zapomenut jsou užitečnými koncepcemi. Stálo by za to zahrnout je do právního rámce, avšak pravděpodobně s omezením na elektronické prostředí.

92.

Podle směrnice 95/46/ES neexistují žádná zvláštní pravidla ohledně zpracování osobních údajů dětí. Tím se neuznává potřeba zvláštní ochrany dětí za zvláštních okolností vzhledem k jejich bezbrannosti a vzhledem k tomu, že způsobuje právní nejistotu, zvláště v těchto oblastech:

93.

Evropský inspektor ochrany údajů se domnívá, že zvláštní zájmy dětí by byly lépe chráněny, kdyby nový právní nástroj obsahoval doplňující ustanovení, která by byla konkrétně zaměřena na shromažďování a další zpracování údajů dětí. Tato zvláštní ustanovení by rovněž poskytla právní jistotu v této konkrétní oblasti a byla by ku prospěchu správců údajů, kteří se v současnosti setkávají s různými právními požadavky.

94.

Evropský inspektor ochrany údajů navrhuje zahrnout do právního nástroje tato ustanovení:

95.

Posílení věcné stránky práv fyzických osob by nemělo smysl bez účinných procesních mechanismů pro prosazování těchto práv. V této souvislosti evropský inspektor ochrany údajů doporučuje zavést do právních předpisů EU mechanismy kolektivního odškodnění za porušení pravidel pro ochranu údajů. Velmi účinný nástroj usnadňující prosazování pravidel pro ochranu údajů by mohly představovat zejména mechanismy kolektivního odškodnění, které oprávní skupinu občanů ke sloučení jejich nároků do jediné žaloby (42). Tuto inovaci podporují také orgány pro ochranu údajů v dokumentu pracovních skupin o budoucnosti soukromí.

96.

Vzhledem k nákladům, prodlení, nejistotám, rizikům a zátěži, které by byly vystaveny, je v případech s menším dopadem nepravděpodobné, že by oběti porušení pravidel pro ochranu údajů podaly individuální žaloby proti správcům. Tyto potíže by bylo možno překonat či významně snížit, kdyby existoval systém kolektivního odškodnění, který by oběti porušení opravňoval sdružit své jednotlivé nároky do jediné žaloby. Evropský inspektor ochrany údajů by rovněž upřednostnil umožnit oprávněným subjektům, například sdružením spotřebitelů nebo veřejným orgánům, podávat žaloby na náhradu škody jménem obětí porušení pravidel ochrany údajů. Tyto žaloby by neměly mít vliv na právo subjektu údajů podat jednotlivé žaloby.

97.

Kolektivní žaloby jsou nejen důležité pro zajištění plné náhrady či jiného nápravného opatření, ale nepřímo také plní odrazující funkci. Riziko vzniku nákladného kolektivního odškodného z těchto žalob by správce zvýšenou měrou přimělo k účinnému zajišťování shody s právními předpisy. V tomto ohledu by soukromoprávní prosazování rozšířené o mechanismy kolektivního odškodnění doplnilo veřejnoprávní prosazování.

98.

Sdělení k této oblasti nezaujímá žádný postoj. Evropský inspektor ochrany údajů si je vědom debaty, která na evropské úrovni probíhá o zavedení kolektivního odškodnění spotřebitelů. Na základě zkušeností z jiných právních systémů si také uvědomuje riziko excesů, které tyto mechanismy mohou způsobit. Podle jeho názoru však tyto faktory vzhledem k užitku, který by z nich plynul, nepředstavují dostatečné argumenty, proč by jejich zavedení do právních předpisů pro ochranu údajů mělo být zamítnuto či odloženo (43).

99.

Evropský inspektor ochrany údajů zastává stanovisko, že moderní právní nástroj pro ochranu údajů musí kromě posílení práv fyzických osob obsahovat také nezbytné nástroje, které zvyšují odpovědnost správců údajů. Konkrétněji pak rámec musí obsahovat pobídky pro správce údajů v soukromém či veřejném sektoru k aktivnímu zahrnutí opatření pro ochranu údajů do jejich pracovních postupů. Tyto nástroje by zaprvé byly vhodné proto, že, jak bylo uvedeno výše, technologický vývoj vedl k prudkému nárůstu v oblasti shromažďování, využívání a dalšího přenosu osobních údajů, jenž zvyšuje rizika pro soukromí a ochranu osobních údajů fyzických osob, která by měla být účinně vyrovnávána. Zadruhé tyto nástroje postrádá současný rámec – s výjimkou několika vhodně definovaných ustanovení (viz níže) – a správci údajů mohou zaujmout reaktivní postoj k ochraně údajů a k soukromí a jednat až po vzniku problému. Tento postoj se odráží ve statistikách, které poukazují na opakující se problémy v podobě nevyhovující praxe v oblasti dodržování předpisů a ztrát údajů.

100.

Podle evropského inspektora ochrany údajů stávající rámec není dostatečný pro účinnou ochranu osobních údajů za současných i budoucích podmínek. Čím vyšší jsou rizika, tím vyšší je potřeba zavést zvláštní opatření, která informace chrání na praktické úrovni a která zajišťují účinnou ochranu. Nebudou-li tato aktivní opatření provedena de facto, je pravděpodobné, že bude nadále docházet k chybám, nehodám a nedbalosti, které budou ohrožovat soukromí fyzických osob v této čím dál tím více digitální společnosti. Pro dosažení tohoto cíle navrhuje evropský inspektor ochrany údajů následující opatření.

101.

Evropský inspektor ochrany údajů doporučuje vložit do právního rámce nové ustanovení, které bude na správcích údajů požadovat, aby přijali odpovídající a účinná opatření pro realizaci zásad a povinností stanovených právním nástrojem a aby toto na požádání prokázali.

102.

Tento druh ustanovení není zcela nový. Čl. 6 odst. 2) směrnice 95/46/ES se týká zásad souvisejících s kvalitou údajů a uvádí, že „dodržování odstavce 1 zajistí správce“. Čl. 17 odst. 1) obdobně požaduje, aby správci přijali opatření technické i organizační povahy. Tato ustanovení však mají omezenou působnost. Vložením obecného ustanovení o odpovědnosti by byl správcům dán podnět k zavedení aktivních opatření tak, aby byli schopni dodržovat všechny prvky právních předpisů pro ochranu údajů.

103.

Ustanovení o odpovědnosti by vedlo k tomu, že správci údajů by byli povinni zavést interní mechanismy a kontrolní systémy zajišťující dodržování zásad a povinností stanovených rámcem. To by například vyžadovalo zapojení nejvyššího vedení společnosti do politik ochrany údajů, zmapování postupů pro zajištění řádné identifikace všech operací v oblasti zpracování údajů, existenci závazných politik ochrany údajů, které by také měly být průběžně přezkoumávány a aktualizovány o nové operace v oblasti zpracování údajů, dodržování zásad kvality údajů, oznamování, bezpečnosti, přístupu apod. Také by to vyžadovalo, aby správci vedli doklady, kterými by orgánům na vyžádání prokázali dodržování předpisů. Prokazování dodržování předpisů obecné veřejnosti by mělo být v určitých případech také stanoveno jako povinné. To by mohlo být provedeno například tím, že by se na správcích požadovalo, aby ochranu údajů zahrnuli do veřejných (výročních) zpráv, jsou-li tyto zprávy stanoveny jako povinné z jiných důvodů.

104.

Druhy vnitřních a vnějších opatření, která musí být přijata, musí samozřejmě být odpovídající povahy a závisí na skutečnostech a okolnostech každého konkrétního případu. Je rozdíl, zda správce zpracovává několik set zákaznických záznamů sestávajících pouze ze jmen a adres, anebo zda zpracovává záznamy o milionech pacientů včetně jejich anamnézy. Totéž platí pro zvláštní způsoby, jimiž musí být posuzována účinnost opatření. Zde je zapotřebí možnost odstupňování.

105.

Obecný komplexní právní nástroj pro ochranu údajů by neměl stanovit konkrétní požadavky na odpovědnost, ale jen její základní prvky. Sdělení předpokládá určité prvky pro posílení povinností správců údajů, což je velmi vítáno. Konkrétněji řečeno, evropský inspektor ochrany údajů plně podporuje povinné zavedení úředníků pro ochranu údajů a posouzení dopadu na soukromí, a to do jistých hraničních podmínek.

106.

Evropský inspektor ochrany údajů dále doporučuje přenést na Komisi pravomoci podle článku 290 Smlouvy o fungování Evropské unie s cílem doplnit základní požadavky nezbytné ke splnění standardu odpovědnosti. Využitím těchto pravomocí by se zvýšila právní jistota pro správce údajů a harmonizovalo by se dodržování předpisů v celé EU. Při zpracování těchto zvláštních nástrojů by měla být provedena konzultace s pracovní skupinou zřízenou podle článku 29 a s evropským inspektorem ochrany údajů.

107.

Zvláštní opatření v oblasti odpovědnosti, která budou správci údajů povinni přijmout, by v neposlední řadě mohla být uložena také orgány pro ochranu údajů v souvislosti s jejich pravomocemi v oblasti prosazování předpisů. Za tímto účelem by měly orgány pro ochranu údajů obdržet nové pravomoci, které jim umožní ukládat nápravná opatření či sankce. K příkladům by mohlo patřit zřízení interních programů dodržování předpisů, zavedení zásady ochrany soukromí již od návrhu u konkrétních výrobků a služeb apod. Opravné prostředky by měly být ukládány, pouze pokud budou odpovídající, přiměřené a účinné s cílem zajistit dodržování použitelných a vymahatelných právních norem.

108.

Ochrana soukromí již od návrhu se týká integrace ochrany údajů a soukromí do nových výrobků, služeb a postupů, které s sebou nesou zpracování osobních údajů, již od jejich samotného počátku. Podle evropského inspektora ochrany údajů je ochrana soukromí již od návrhu součástí odpovědnosti. V souladu s tím by na správcích údajů bylo v příslušných případech požadováno, aby prokázali zavedení zásady ochrany soukromí již od návrhu. Nedávno konaná 32. mezinárodní konference komisařů pro ochranu údajů a soukromí vydala usnesení, kterým se ochrana soukromí již od návrhu uznává za zásadní složku základní ochrany soukromí (44).

109.

Směrnice 95/46/ES obsahuje některá ustanovení, která ochranu soukromí již od návrhu podporují (45), avšak výslovně tuto povinnost neuznává. Evropský inspektor ochrany údajů je potěšen, že sdělení podporuje ochranu soukromí již od návrhu jako nástroj, jímž se zajistí dodržování pravidel pro ochranu soukromí. Evropský inspektor ochrany údajů navrhuje zahrnout závazné ustanovení, které by stanovilo povinnost „ochrany soukromí již od návrhu“ a které by mohlo vycházet ze znění bodu odůvodnění 46 směrnice 95/46/ES. Ustanovení by konkrétněji výslovně požadovalo, aby správci údajů přijali technická a organizační opatření, a to jak při návrhu systému zpracování, tak při zpracování samotném, zejména s cílem zajistit ochranu osobních údajů a zabránit jakémukoli nedovolenému zpracování (46).

110.

Na základě takovéhoto ustanovení by správci údajů byli – mimo jiné – povinni zajistit, aby systémy pro zpracování údajů byly navrženy ke zpracování co nejmenšího počtu údajů, zavést prostředí zahrnující ochranu soukromí již od návrhu, například v sociálních sítích, s cílem implicitně zachovávat soukromí profilů fyzických osob před ostatními osobami a zavést nástroje, které uživatelům umožní lepší ochranu jejich osobních údajů (například kontrolní opatření pro přístup, šifrování).

111.

Výhody jednoznačnějšího ustanovení týkajícího se ochrany soukromí již od návrhu lze shrnout takto:

112.

Spojený účinek této povinnosti by vedl k vyšší poptávce po výrobcích a službách zahrnujících ochranu soukromí již od návrhu, což by průmysl větší měrou přimělo k uspokojení této poptávky. Kromě toho by mělo být zváženo vytvoření samostatné povinnosti zaměřené na návrháře a výrobce nových výrobků a služeb, které mohou mít dopad na ochranu údajů a na soukromí. Evropský inspektor ochrany údajů navrhuje zahrnutí takové samostatné povinnosti, která by správcům údajů umožňovala dodržovat jejich vlastní povinnosti.

113.

Kodifikace ochrany soukromí již od návrhu by mohla být doplněna ustanovením předepisujícím obecné požadavky, které mají být podle této zásady přijaty v oblasti ochrany soukromí již od návrhu platné v souvislosti s jednotlivými odvětvími, výrobky a službami, jako například opatření zajišťující oprávnění uživatelů.

114.

Evropský inspektor ochrany údajů dále doporučuje přenést na Komisi pravomoci podle článku 290 Smlouvy o fungování Evropské unie s cílem doplnit – v příslušných případech – základní požadavky na ochranu soukromí již od návrhu pro vybrané výrobky a služby. Využitím těchto pravomocí by se zvýšila právní jistota pro správce údajů a harmonizovalo by se dodržování předpisů v celé EU. Při zpracování těchto zvláštních nástrojů by měla být konzultována pracovní skupinou zřízená podle článku 29 a evropský inspektor ochrany údajů (obdobně viz bod 106 týkající se odpovědnosti).

115.

Orgány pro ochranu údajů by měly v neposlední řadě získat pravomoc ukládat nápravná opatření či sankce, a to za stejných omezujících podmínek, které jsou uvedeny v bodu 107, pokud správci jednoznačně nepřijmou zvláštní kroky v případech, v nichž by to bylo požadováno.

116.

Sdělení uznává potřebu posoudit vytvoření certifikačních režimů EU pro výrobky a služby vyhovující předpisům pro ochranu soukromí. Evropský inspektor ochrany údajů tento cíl plně podporuje a navrhuje zahrnout ustanovení, kterým se zajistí jejich tvorba a možná účinnost v celé EU a na které budou případně moci navazovat další právní předpisy. Toto ustanovení by mělo doplnit ustanovení o odpovědnosti a o ochraně soukromí již od návrhu.

117.

Režimy dobrovolné certifikace by umožnily ověřit, že správce údajů zavedl opatření pro dodržování daného právního nástroje. Správci údajů – nebo dokonce výrobky či služby – využívající výhod certifikační značky by navíc oproti ostatním získali konkurenční výhodu. Tyto režimy by rovněž napomohly orgánům pro ochranu údajů při plnění jejich role v rámci dozoru nad ochranou údajů a prosazování předpisů.

118.

Jak bylo uvedeno výše v kapitole 2, v důsledku vývoje nových technologií, úlohy nadnárodních společností a zvýšeného vlivu vlád v oblasti zpracování a sdílení osobních údajů v mezinárodním měřítku došlo k exponenciálnímu nárůstu předávání osobních údajů za hranice EU. Toto je jeden z hlavních důvodů pro revizi současného právního rámce. Díky tomu jde o jednu z oblastí, v nichž evropský inspektor ochrany údajů žádá o ambice a účinnost, protože zde existuje zřejmá potřeba jednotnější ochrany v případech, kdy se údaje zpracovávají mimo EU.

119.

Podle evropského inspektora ochrany údajů je třeba více investovat do rozvoje mezinárodních pravidel. Vyšší harmonizace s ohledem na ochranu osobních údajů v celém světě by značně objasnila podstatu zásad, které mají být dodržovány, a podmínek pro předávání údajů. Tato globální pravidla by musela sladit požadavky na vysokou úroveň ochrany údajů – včetně hlavních složek ochrany údajů v EU – s regionálními specifiky.

120.

Evropský inspektor ochrany údajů podporuje ambiciózní práci, která byla dosud vykonána v rámci mezinárodní konference komisařů pro ochranu údajů na rozvoji a šíření takzvaných „madridských standardů“ s cílem začlenit je do závazného nástroje a případně dát podnět k mezivládní konferenci (47). Vyzývá Komisi, aby podnikla nezbytné kroky k usnadnění realizace tohoto cíle.

121.

Podle názoru evropského inspektora ochrany údajů je rovněž důležité zajistit jednotnost mezi touto iniciativou zaměřenou na mezinárodní standardy, současným přezkumem rámce EU pro ochranu údajů a dalším vývojem, například současnou revizí směrnice OECD o ochraně soukromí a úmluvy Rady Evropy č. 108, kterou mohou podepisovat i třetí země (viz také bod 17). Evropský inspektor ochrany údajů se domnívá, že Komise zde má zvláštní úlohu při stanovení způsobu, jak tuto jednotnost prosazovat při jednání s OECD a Radou Evropy.

122.

Vzhledem k tomu, že naprosté jednotnosti nelze dosáhnout snadno, bude – alespoň v blízké budoucnosti – mezi právními předpisy v rámci EU a tím spíše za hranicemi EU přetrvávat jistá odlišnost. Evropský inspektor ochrany údajů se domnívá, že nový právní nástroj bude muset objasnit kritéria pro určení použitelného práva a zajistit zjednodušené mechanismy pro toky údajů, jakož i odpovědnost aktérů zapojených do toků údajů.

123.

Právní nástroj by měl především zajistit, aby právní předpisy EU byly použitelné v případech, kdy se osobní údaje zpracovávají za hranicemi EU, kdy však existuje odůvodněný nárok na použití právních předpisů EU. Ilustrativním příkladem této potřeby jsou mimoevropské služby v oblasti „cloud computingu“, které jsou zaměřeny na obyvatele EU. V prostředí, v němž se údaje fyzicky neukládají a nezpracovávají na pevně daném místě a v němž poskytovatelé služeb a uživatelé, kteří se nacházejí v různých zemích, mají protichůdný vliv na údaje, je velmi složité určit, kdo odpovídá za dodržování jakých zásad ochrany údajů. Vydávají se sice pokyny, zejména ze strany orgánů pro ochranu údajů, ke způsobu výkladu a použití směrnice 95/46/ES v těchto případech, avšak pokyny samotné nestačí pro zajištění právní jistoty v tomto novém prostředí.

124.

Na území EU byl význam vyšší míry přesnosti právního rámce a zjednodušeného kritéria pro stanovení použitelného práva zdůrazněn pracovní skupinou zřízenou podle článku 29 v jejím nedávném stanovisku (48).

125.

Podle evropského inspektora ochrany údajů by upřednostňovanou možností bylo stanovit právní nástroj prostřednictvím nařízení, což by vedlo k použitelnosti stejných pravidel ve všech členských státech. Nařízení by snížilo význam nutnosti určit použitelné právo. Toto je jeden z důvodů, proč se evropský inspektor ochrany údajů silně přiklání k přijetí nařízení. Nařízení by však také mohlo ponechávat členským státům rozhodovací prostor. Bude-li v novém právním nástroji zachován určitý značný rozhodovací prostor, evropský inspektor ochrany údajů by podporoval návrh pracovní skupiny pro posun od individuální platnosti různých vnitrostátních právních předpisů k centralizované platnosti jednotné legislativy ve všech členských státech, v nichž má správce provozovny. Také naléhavě vyzývá k větší spolupráci a koordinaci mezi orgány pro ochranu údajů v mezinárodních případech a stížnostech (viz kapitola 10).

126.

Potřeba jednotnosti a vysoké úrovně srovnávacího měřítka musí být zohledněna nejen s ohledem na globální zásady ochrany údajů, ale také z hlediska mezinárodního předávání údajů. Evropský inspektor ochrany údajů plně podporuje cíl Komise zjednodušit stávající postupy pro mezinárodní předávání údajů a zajistit jednotnější a soudržnější přístup vůči třetím zemím a mezinárodním organizacím.

127.

Mechanismus toku údajů zahrnuje předávání údajů jak v soukromém sektoru, zejména prostřednictvím smluvních ujednání nebo závazných podnikových pravidel, tak mezi veřejnými orgány. Závazná podniková pravidla jsou jedním z prvků, v nichž by byl žádoucí soudržnější a jednodušší přístup. Evropský inspektor ochrany údajů doporučuje, aby podmínky pro závazná podniková pravidla byly v novém právním nástroji řešeny výslovně (49), a to:

128.

Komise opakovaně zdůraznila význam posílení ochrany údajů v souvislosti s oblastí vymáhání práva a předcházení trestné činnosti, v níž došlo k výraznému zintenzivnění výměny a využívání osobních informací. Také Stockholmský program, který byl schválen Evropskou radou, hovoří o pevném režimu ochrany údajů jako o nezbytném předpokladu pro strategii správy informací EU v této oblasti (50).

129.

Přezkum obecného rámce pro ochranu údajů je ideální příležitostí k uskutečnění pokroku v tomto ohledu, zejména vzhledem k tomu, že Komise oprávněně popisuje rámcové rozhodnutí 2008/977 jako neodpovídající (51).

130.

V oddílu 3.2.5 tohoto stanoviska evropský inspektor ochrany údajů uvedl argumenty, proč by do obecného nástroje měla být zahrnuta oblast policejní a justiční spolupráce. Zahrnutí policie a justice má řadu dalších výhod. Znamená, že pravidla již nebudou platit pouze pro přeshraniční výměny údajů (52), ale také pro vnitrostátní zpracování údajů. Bude lépe zaručena odpovídající ochrana při výměně osobních údajů se třetími zeměmi, a to také s ohledem na mezinárodní dohody. Orgány pro ochranu údajů budou navíc mít stejné rozsáhlé a harmonizované pravomoci vůči policejním a justičním orgánů, jaké mají vůči ostatním správcům údajů. Konečně pak bude muset být současný článek 13, kterým se stanoví pravomoc členských států přijmout zvláštní právní předpisy s cílem omezit povinnosti a práva podle obecného nástroje pro zvláštní veřejné zájmy, používán stejně restriktivně jako v jiných oblastech. Zejména zvláštní záruky, které jsou v této oblasti stanoveny podle obecného nástroje, budou muset být dodržovány také ve vnitrostátních právních předpisech přijatých v oblasti policejní a justiční spolupráce.

131.

Toto začlenění však nevylučuje zvláštní pravidla a odchylky, které řádně zohledňují zvláštnosti tohoto sektoru, podle prohlášení č. 21 připojeného k Lisabonské smlouvě. Lze předpokládat omezení práv subjektů údajů, ta však musí být nezbytná, přiměřená a nesmí měnit zásadní prvky práva samotného. V této souvislosti by mělo být zdůrazněno, že směrnice 95/46/ES, včetně jejího článku 13, v současné době platí pro vymáhání práva v různých oblastech (např. zdanění, cla, boj proti podvodům), které se podstatně neliší od mnoha činností v oblasti policie a justice.

132.

Navíc je třeba zavést řadu konkrétních záruk, kterými se subjektu údajů zajistí náhrady tím, že se mu poskytne dodatečná ochrana v oblasti, v níž může mít zpracování osobních údajů rušivější charakter.

133.

S ohledem na výše uvedené se evropský inspektor ochrany údajů domnívá, že nový rámec by měl v souladu s úmluvou č. 108 a doporučením č. R (87) 15 zahrnovat alespoň tyto prvky:

134.

Sdělení uvádí, že „rámcové rozhodnutí nenahrazuje různé odvětvové legislativní nástroje pro policejní a justiční spolupráci v trestních věcech přijaté na úrovni EU, zejména ty, jež upravují fungování Europolu, Eurojustu, Schengenského informačního systému a celního informačního systému, jež buď obsahují zvláštní režimy ochrany údajů anebo obvykle odkazují na nástroje Rady Evropy pro ochranu údajů“.

135.

Podle názoru evropského inspektora ochrany údajů by měl být nový právní rámec co nejjasnější, nejjednodušší a nejjednotnější. V případě rozšířeného výskytu různých režimů platných například pro Europol, Eurojust, Schengenský informační systém a prümské rozhodnutí by dodržování pravidel zůstávalo složité nebo by se dokonce stalo ještě složitějším. Toto je jeden z důvodů, proč se evropský inspektor ochrany údajů přiklání ke komplexnímu právnímu nástroji pro všechna odvětví.

136.

Evropský inspektor ochrany údajů však chápe, že sladění pravidel z různých systémů si vyžádá značnou práci, která bude muset být pečlivě provedena. Evropský inspektor ochrany údajů se domnívá, že postupný přístup, který je ve sdělení zmíněn, má smysl, pokud závazek zajistit vysokou úroveň ochrany jednotným a účinným způsobem zůstane zřejmý a viditelný. Konkrétněji:

137.

Evropský inspektor ochrany údajů plně podporuje cíl Komise řešit problematiku postavení orgánů pro ochranu údajů, výslovně pak posílit jejich nezávislost, zdroje a pravomoci v oblasti prosazování předpisů.

138.

Evropský inspektor ochrany údajů také trvá na potřebě objasnit v novém právním nástroji zásadní pojem nezávislosti orgánů pro ochranu údajů. Evropský soudní dvůr nedávno přijal rozhodnutí v této problematice ve věci C-518/07 (54), v němž zdůraznil, že nezávislost znamená neexistenci jakéhokoli vnějšího vlivu. Orgán pro ochranu údajů nesmí od nikoho požadovat ani přijímat pokyny. Evropský inspektor ochrany údajů navrhuje výslovně kodifikovat tyto prvky nezávislosti v právních předpisech.

139.

Orgány pro ochranu údajů musí pro výkon svých úkolů získat dostatečné lidské a finanční zdroje. Evropský inspektor ochrany údajů navrhuje zahrnout tento požadavek do právních předpisů (55). Evropský inspektor ochrany údajů také zdůrazňuje potřebu zajistit, aby orgány měly dostatečně harmonizované pravomoci z hlediska vyšetřování a ukládání dostatečně odrazujících a nápravných opatření a sankcí. Tím by se posílila právní jistota pro subjekty údajů i pro správce údajů.

140.

Posílení nezávislosti, zdrojů a pravomocí orgánů pro ochranu údajů by mělo být doprovázeno upevněnou spoluprací na mnohostranné úrovni, zejména vzhledem k rostoucímu počtu problémů v oblasti ochrany údajů v evropském měřítku. Hlavní infrastrukturou, která by měla být použita při této spolupráci, je samozřejmě pracovní skupina zřízená podle článku 29.

141.

Historie dokládá, že fungování skupiny prošlo od jejího zřízení v roce 1997 do dnešního dne jistým vývojem. Skupina se vyvíjela směrem k nezávislosti a v praxi ji již nelze považovat za pouhou poradní pracovní skupinu Komise. Evropský inspektor ochrany údajů navrhuje dále zlepšit fungování pracovní skupiny včetně její infrastruktury a nezávislosti.

142.

Evropský inspektor ochrany údajů se domnívá, že síla skupiny ze své podstaty souvisí s nezávislostí a pravomocemi jejích členů. Autonomie pracovní skupiny by měla být zajištěna v novém právním rámci v souladu s kritérii vypracovanými pro naprostou nezávislost orgánů pro ochranu údajů Evropským soudním dvorem ve věci C-518/07. Evropský inspektor ochrany údajů se domnívá, že pracovní skupině by měly být také poskytnuty dostatečné zdroje a rozpočet a posílený sekretariát, čímž se podpoří její přínos.

143.

S ohledem na sekretariát pracovní skupiny si evropský inspektor ochrany údajů váží skutečnosti, že je začleněn do oddělení pro ochranu údajů při generálním ředitelství pro spravedlnost, z čehož plyne výhoda, že samotná pracovní skupina může těžit z účinných a pružných kontaktů a z aktuálních informací o vývoji v oblasti ochrany údajů. Na druhé straně však evropský inspektor ochrany údajů pokládá za spornou skutečnost, že Komise (a konkrétněji uvedené oddělení) je zároveň součástí, sekretariátem a adresátem stanovisek pracovní skupiny. To by odůvodňovalo vyšší nezávislost sekretariátu. Evropský inspektor ochrany údajů vyzývá Komisi, aby – v těsné konzultaci se zúčastněnými stranami – posoudila, jak lze tuto nezávislost nejlépe zajistit.

144.

V neposlední řadě pak posílení pravomocí orgánů pro ochranu údajů vyžaduje také silnější pravomoci pracovní skupiny a strukturu zahrnující lepší pravidla a záruky a vyšší transparentnost. Toto bude vypracováno s ohledem na poradní úlohu pracovní skupiny i na její úlohu v oblasti prosazování předpisů.

145.

Postoje pracovní skupiny musí být účinně uplatňovány v rámci její poradní úlohy vůči Komisi, zvláště ve vztahu k výkladu a použití zásad směrnice a dalších nástrojů pro ochranu údajů. Jinak řečeno, je třeba zajistit autoritativní charakter postojů pracovní skupiny. Pro začlenění tohoto aspektu do právního nástroje bude třeba další debata mezi orgány pro ochranu údajů.

146.

Evropský inspektor ochrany údajů doporučuje řešení, která by zajistila vyšší autoritativnost stanovisek pracovní skupiny, bez zásadní úpravy způsobu jejího fungování. Evropský inspektor ochrany údajů navrhuje zahrnout povinnost orgánů pro ochranu údajů a Komise v nejvyšší míře zohledňovat stanoviska a společné postoje přijaté pracovní skupinou na základě modelu přijatého pro postoje Sdružení evropských regulačních orgánů v oblasti elektronických komunikací (BEREC) (56). Nový právní nástroj by také mohl pracovní skupině výslovně stanovit úlohu přijímat „výkladová doporučení“. Tato alternativní řešení by posílila úlohu postojů pracovní skupiny, a to i před soudy.

147.

Podle současného rámce je prosazování právních předpisů pro ochranu údajů ponecháno na 27 orgánech pro ochranu údajů s minimální koordinací z hlediska řešení konkrétních případů. U případů, které se týkají více než jednoho členského státu nebo které mají zjevně globální rozměr, se tím násobí náklady pro podniky, které jsou v jedné věci nuceny jednat s různými veřejnými orgány, a zvyšuje se tím riziko nejednotného uplatňování právních předpisů: ve výjimečných případech mohou být stejné činnosti v oblasti zpracování údajů považovány jedním orgánem pro ochranu údajů za zákonné a druhým za nedovolené.

148.

Některé případy mají strategický rozměr, který by měl být řešen centrálně. Pracovní skupina zřízená podle článku 29 usnadňuje činnosti v oblasti koordinace a prosazování předpisů mezi orgány pro ochranu údajů (57) ve významných otázkách ochrany údajů s těmito mezinárodními důsledky. Takto tomu bylo se sociálními sítěmi a vyhledávači (58) a také ve věci koordinované kontroly provedené v oblasti problematiky telekomunikací a zdravotního pojištění v různých členských státech.

149.

Činnost, kterou může pracovní skupina provádět v oblasti prosazování předpisů podle současného rámce, však má svá omezení. Pracovní skupina sice může zaujímat společné postoje, neexistuje však žádný nástroj, který by zajistil, aby tyto postoje byly účinně uplatňovány v praxi.

150.

Evropský inspektor ochrany údajů navrhuje zahrnout do právního nástroje doplňující ustanovení, která by mohla podpořit koordinované prosazování předpisů, zvláště pak:

151.

Evropský inspektor ochrany údajů by měl námitku proti zavedení silnějších opatření, např. přisouzení závazné moci postojům pracovní skupiny zřízené podle článku 29. Tím by se poškodilo nezávislé postavení jednotlivých orgánů pro ochranu údajů, které musí být členskými státy zaručeno v rámci vnitrostátního práva. Pokud by rozhodnutí pracovní skupiny měla přímý dopad na třetí strany, například na správce údajů, mělo by se počítat s novými postupy včetně záruk, jako jsou transparentnost a odškodnění, případně včetně odvolání k Evropskému soudnímu dvoru.

152.

Měl by být také doladěn způsob spolupráce mezi evropským inspektorem ochrany údajů a pracovní skupinou. Evropský inspektor ochrany údajů je členem pracovní skupiny a přispívá v jejím rámci k postojům k hlavním strategickým prvkům vývoje v EU, přičemž zajišťuje shodu s vlastními postoji. Evropský inspektor ochrany údajů poukazuje na zvyšující se počet problémů v oblasti ochrany soukromí v soukromém i veřejném sektoru, které mají v řadě členských států důsledky na vnitrostátní úrovni a u nichž má pracovní skupina sehrát zvláštní úlohu.

153.

Evropský inspektor ochrany údajů má doplňující úlohu poskytovat poradenství v oblasti vývoje v rámci EU a tato úloha by měla být zachována. Jako evropská instituce vykonává tuto poradní pravomoc vůči orgánům EU stejným způsobem, jako vnitrostátní orgány pro ochranu údajů radí svým vládám.

154.

Evropský inspektor ochrany údajů a pracovní skupina vykonávají svoji činnost rozličným, ale vzájemně se doplňujícím způsobem. Z těchto důvodů existuje potřeba uchovat a případně zlepšit koordinaci mezi pracovní skupinou a evropským inspektorem ochrany údajů s cílem zajistit jejich spolupráci na hlavních otázkách v oblasti ochrany údajů, například prostřednictvím pravidelné koordinace programů jednání (61) a zajištěním transparentnosti v oblasti problémů, které mají spíše vnitrostátní či specificky unijní aspekt.

155.

Koordinace není v současné směrnici zmíněna z toho prostého důvodu, že evropský inspektor ochrany údajů v době přijetí směrnice neexistoval, avšak po šesti letech existence je komplementarita evropského inspektora ochrany údajů a pracovní skupiny viditelná a mohla by být formálně uznána. Evropský inspektor ochrany údajů připomíná, že podle nařízení 45/2001 má povinnost spolupracovat s vnitrostátními orgány pro ochranu údajů a podílet se na činnostech pracovní skupiny. Evropský inspektor ochrany údajů doporučuje výslovně zmínit spolupráci v novém právním nástroji a v nezbytných případech určit její strukturu, například stanovením postupu pro spolupráci.

156.

Tyto úvahy platí také pro oblasti, v nichž musí být evropská a vnitrostátní úroveň dozoru nad ochranou údajů koordinované. Toto se týká subjektů EU, které zpracovávají značné objemy údajů dodávaných vnitrostátními orgány, nebo rozsáhlých informačních systémů s evropskou a vnitrostátní složkou.

157.

Stávající systém pro některé subjekty EU a rozsáhlé informační systémy – například Europol, Eurojust a Schengenský informační systém (SIS) první generace mají společné kontrolní orgány se zástupci vnitrostátních orgánů pro ochranu údajů – je pozůstatkem mezivládní spolupráce v období před vstupem Lisabonské smlouvy v platnost a nerespektuje institucionální strukturu EU, jejíž nedílnou součást jsou nyní Europol a Eurojust a do níž již bylo také začleněno schengenské acquis (62).

158.

Sdělení oznamuje, že Komise v roce 2011 zahájí konzultaci se zúčastněnými stranami ve věci revize těchto systémů dozoru. Evropský inspektor ochrany údajů Komisi naléhavě vyzývá, aby co nejdříve (v krátkém a konkrétním časovém horizontu, viz výše) zaujala postoj k probíhající diskusi o dozoru. Evropský inspektor ochrany údajů v této diskusi zaujme následující stanovisko.

159.

Jako výchozí bod by mělo být zaručeno, že všechny orgány dozoru splňují nezbytná kritéria nezávislosti, zdrojů a pravomocí k prosazování předpisů. Dále by mělo být zajištěno, že budou zohledněny hlediska a odborné zkušenosti, které existují na úrovni EU. To znamená, že spolupráce by měla probíhat nejen mezi vnitrostátními orgány, ale také s evropským orgánem pro ochranu údajů (v současné době s evropským inspektorem ochrany údajů). Evropský inspektor ochrany údajů považuje za nezbytné řídit se modelem, jenž tyto požadavky splňuje (63).

160.

V posledních letech byl vypracován model „koordinovaného dozoru“. Tento model dozoru, jenž nyní funguje v systému Eurodac a v částech celního informačního systému (CIS), bude brzy rozšířen na Vízový informační systém (VIS) a na Schengenský informační systém (SIS) druhé generace. Tento model má tři vrstvy: 1) dozor na vnitrostátní úrovni zajišťují orgány pro ochranu údajů; 2) dozor na úrovni EU zajišťuje evropský inspektor ochrany údajů; 3) koordinace je zajištěna prostřednictvím pravidelných zasedání svolávaných evropským inspektorem ochrany údajů, který plní úlohu sekretariátu tohoto koordinačního mechanismu. Tento model se osvědčil jako úspěšný a účinný a do budoucna by se s ním mělo počítat pro další informační systémy.

161.

Zatímco probíhá proces přezkumu, je třeba věnovat úsilí zajištění úplného a účinného uplatňování současných pravidel. Tato pravidla budou stále použitelná až do přijetí budoucího rámce a do jeho provedení do vnitrostátních právních předpisů členských států. V tomto ohledu lze stanovit několik hlavních směrů činnosti.

162.

Zaprvé by Komise měla nadále sledovat dodržování směrnice 95/46/ES členskými státy a v příslušných případech využívat své pravomoci podle článku 258 Smlouvy o fungování Evropské unie. V nedávné době bylo zahájeno řízení pro porušení povinnosti z důvodu správného neprovedení článku 28 směrnice s ohledem na předpoklad nezávislosti orgánů pro ochranu údajů (64). Úplné dodržování předpisů je třeba sledovat a prosazovat také v ostatních oblastech (65). Evropský inspektor ochrany údajů proto vítá a plně podporuje závazek Komise aktivně vystupovat proti neplnění povinností, který učinila ve sdělení. Komise by měla také pokračovat ve strukturovaném dialogu s členskými státy v oblasti provádění předpisů (66).

163.

Zadruhé musí být podpořeno prosazování předpisů na vnitrostátní úrovni s cílem zajistit praktické použití pravidel pro ochranu údajů, včetně zohlednění nových technologických fenoménů a globálních faktorů. Orgány pro ochranu údajů by měly plně využívat své vyšetřovací a sankční pravomoci. Také je důležité, aby byla v praxi plně uplatňována stávající práva subjektů údajů, zejména pak práva na přístup k údajům.

164.

Zatřetí se v krátkodobém horizontu zdá nezbytná větší koordinace v oblasti prosazování předpisů. Klíčová je v tomto ohledu úloha pracovní skupiny zřízené podle článku 29 a jejích výkladových dokumentů, avšak maximum pro jejich uvedení do praxe by měly činit také orgány pro ochranu údajů. Je třeba předcházet odlišným výsledkům u případů souvisejících s celou EU nebo u globálních případů a v rámci pracovní skupiny lze a je třeba dosahovat společných přístupů. Významnou přidanou hodnotu mohou přinést také koordinovaná vyšetřování vedená v celé EU pod záštitou pracovní skupiny.

165.

Začtvrté by měly být zásady ochrany údajů aktivně „zakomponovány“ do nových předpisů, které mohou mít přímý či nepřímý dopad na ochranu údajů. Na úrovni EU vyvíjí evropský inspektor ochrany údajů značné úsilí, aby přispěl k lepší evropské legislativě, a toto úsilí musí být vynaloženo také na vnitrostátní úrovni. Orgány pro ochranu údajů by proto měly tento aktivní přístup zajistit plným využíváním svých poradních pravomocí. Orgány pro ochranu údajů včetně evropského inspektora ochrany údajů mohou také hrát aktivní úlohu při sledování technologického vývoje. Sledování je důležité za účelem zjišťování nových trendů v rané fázi vývoje, upozorňování na možné důsledky v oblasti ochrany údajů, podpory řešení příznivých z hlediska ochrany údajů a za účelem zvyšování informovanosti zúčastněných stran.

166.

V neposlední řadě je třeba aktivně usilovat o další spolupráci mezi různými aktéry na mezinárodní úrovni. Proto je důležité posílit mezinárodní nástroje pro spolupráci. Iniciativy, jakými jsou madridské standardy a práce probíhající v rámci Rady Evropy a OECD, si zaslouží plnou podporu. V této souvislosti je velmi pozitivní, že ke skupině komisařů pro ochranu soukromí a údajů se v rámci jejich mezinárodní konference připojila také Federální obchodní komise USA.

167.

Evropský inspektor ochrany údajů sdělení Komise obecně vítá, jelikož je přesvědčen, že přezkum současného právního rámce pro ochranu údajů v EU je nezbytný pro zajištění účinné ochrany ve stále více se rozvíjející a stále globalizovanější informační společnosti.

168.

Sdělení uvádí hlavní problémy a výzvy. Evropský inspektor ochrany údajů sdílí stanovisko Komise, že v budoucnu bude zapotřebí kvalitní systém ochrany údajů, na základě názoru, že stávající obecné zásady ochrany údajů jsou stále platné ve společnosti, která prochází zásadními změnami. Evropský inspektor ochrany údajů plně souhlasí s výrokem sdělení, že jde o nesmírně náročné výzvy, a upozorňuje, že navrhovaná řešení by proto měla být v odpovídající míře ambiciózní a měla by zvyšovat účinnost ochrany. Proto žádá o ambicióznější přístup k celé řadě bodů.

169.

Evropský inspektor ochrany údajů plně podporuje komplexní přístup k ochraně údajů. Lituje však, že Komise z obecného nástroje vylučuje některé oblasti, jako například zpracování údajů orgány a institucemi EU. Pokud by se Komise rozhodla tyto oblasti vynechat, evropský inspektor ochrany údajů Komisi naléhavě vyzývá, aby v co nejkratším časovém horizontu, nejlépe však do konce roku 2011, přijala návrh pro úroveň EU.

170.

Evropský inspektor ochrany údajů vychází s ohledem na proces přezkumu z těchto úvah:

171.

Evropský inspektor ochrany údajů vítá závazek Komise posoudit prostředky pro dosažení další harmonizace ochrany údajů na úrovni EU. Evropský inspektor ochrany údajů určuje oblasti, v nichž je další a lepší harmonizace naléhavá: definice, důvody zpracování údajů, práva subjektů údajů, mezinárodní předávání údajů a orgány pro ochranu údajů.

172.

Evropský inspektor ochrany údajů navrhuje zvážit tyto alternativy pro zjednodušení anebo omezení rozsahu oznamovacích povinností:

173.

Podle evropského inspektora ochrany údajů je nařízení, jediný nástroj, který je přímo použitelný v členských státech, nejúčinnějším prostředkem pro ochranu základního práva na ochranu údajů a pro dosažení dalšího sbližování na vnitřním trhu.

174.

Evropský inspektor ochrany údajů podporuje Komisi v jejím návrhu na posílení práv fyzických osob. Navrhuje toto:

175.

Nový rámec musí obsahovat pobídky pro správce údajů k aktivnímu zahrnutí opatření pro ochranu údajů do jejich pracovních postupů. Evropský inspektor ochrany údajů navrhuje zavést obecná ustanovení o odpovědnosti a „ochraně soukromí již od návrhu“. Rovněž by mělo být zavedeno ustanovení o režimech certifikace ochrany soukromí.

176.

Evropský inspektor ochrany údajů podporuje ambiciózní práci vykonanou v rámci mezinárodní konference komisařů pro ochranu údajů na rozvoji takzvaných „madridských standardů“ s cílem začlenit je do závazného nástroje a případně dát podnět k mezivládní konferenci. Evropský inspektor ochrany údajů vyzývá Komisi, aby podnikla konkrétní kroky v tomto směru v těsné spolupráci s OECD a Radou Evropy.

177.

Nový právní nástroj musí objasnit kritéria pro určení použitelného práva. Mělo by být zajištěno, aby údaje, které se zpracovávají za hranicemi EU, neunikaly z oblasti pravomocí EU, pokud existuje odůvodněný nárok na uplatnění právních předpisů EU. Pokud by právní rámec měl podobu nařízení, ve všech členských státech by existovala totožná pravidla a určení použitelného práva (v rámci EU) by ztratilo na významu.

178.

Evropský inspektor ochrany údajů plně podporuje cíl zajistit jednotnější a soudržnější přístup vůči třetím zemím a mezinárodním organizacím. Do nového právního nástroje by měla být zařazena závazná podniková pravidla.

179.

Komplexní nástroj zahrnující policii a justici může povolovat zvláštní pravidla, která řádně zohlední zvláštnosti tohoto sektoru, podle prohlášení č. 21 připojeného k Lisabonské smlouvě. Je třeba zavést řadu zvláštních záruk, kterými se subjektům údajů zajistí náhrada tím, že se jim poskytne dodatečná ochrana v oblasti, v níž má zpracování osobních údajů přirozeně rušivější charakter.

180.

Nový právní rámec by měl být co nejjasnější, nejjednodušší a nejjednotnější. Mělo by se předejít rozšířenému výskytu různých režimů platných například pro Europol, Eurojust, Schengenský informační systém a prümské rozhodnutí. Evropský inspektor ochrany údajů chápe, že sladění pravidel z různých systémů bude muset být provedeno pečlivě a postupně.

181.

Evropský inspektor ochrany údajů plně podporuje cíl Komise řešit problematiku postavení orgánů pro ochranu údajů a posílit jejich nezávislost, zdroje a pravomoci v oblasti prosazování předpisů. Doporučuje:

182.

Evropský inspektor ochrany údajů navrhuje dále zlepšit fungování pracovní skupiny zřízené podle článku 29 včetně její nezávislosti a infrastruktury. Pracovní skupině by měly být také poskytnuty dostatečné zdroje a posílený sekretariát.

183.

Evropský inspektor ochrany údajů navrhuje posílit poradní úlohu pracovní skupiny zavedením povinnosti orgánů pro ochranu údajů a Komise v nejvyšší míře zohledňovat stanoviska a společné postoje přijaté pracovní skupinou. Evropský inspektor ochrany údajů se nepřiklání k ustanovení závaznosti postojů pracovní skupiny, zejména vzhledem k nezávislému postavení jednotlivých orgánů pro ochranu údajů. Evropský inspektor ochrany údajů doporučuje, aby Komise v novém právním nástroji zavedla zvláštní ustanovení pro posílení spolupráce s evropským inspektorem ochrany údajů.

184.

Evropský inspektor ochrany údajů vyzývá Komisi, aby co nejdříve zaujala postoj k problematice dozoru nad subjekty EU a rozsáhlými informačními systémy s přihlédnutím ke skutečnosti, že všechny orgány dozoru by měly splnit nezbytná kritéria nezávislosti, dostatečných zdrojů a pravomocí k prosazování předpisů a že by mělo být zajištěno vhodné zastoupení hlediska celé EU. Evropský inspektor ochrany údajů podporuje model „koordinovaného dozoru“.

185.

Evropský inspektor ochrany údajů vyzývá Komisi, aby:

22.6.2011   

CS

Úřední věstník Evropské unie

C 181/24

1.

Dne 2. února 2011 Komise přijala návrh směrnice Evropského parlamentu a Rady o používání údajů ze jmenné evidence cestujících pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti (dále jen „návrh“) (3). Návrh byl téhož dne odeslán EIOÚ ke konzultaci.

2.

EIOÚ vítá skutečnost, že ho Komise požádala o konzultaci. Již před přijetím návrhu měl EIOÚ možnost předkládat neformální připomínky. Některé z těchto připomínek byly v návrhu zohledněny a EIOÚ konstatuje, že obecně vzato byly záruky ochrany údajů v návrhu posíleny. V řadě otázek nicméně stále zůstávají pochybnosti, zejména v souvislosti s rozsahem a účely sběru osobních údajů.

3.

Diskuse o možném systému jmenné evidence cestujících v rámci EU probíhají již od roku 2007, kdy Komise přijala návrh rámcového rozhodnutí Rady na toto téma (4). Hlavním cílem projektu jmenné evidence cestujících v rámci EU je vytvoření systému, jenž by leteckým dopravcům, kteří provozují mezinárodní lety mezi EU a třetími zeměmi, ukládal povinnost předávat údaje jmenné evidence všech cestujících příslušným orgánům za účelem prevence, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti. Údaje by centrálně shromažďovaly a analyzovaly složky pro informace o cestujících a výsledky analýzy by se předávaly příslušným vnitrostátním orgánům v každém členském státě.

4.

Od roku 2007 EIOÚ pozorně sleduje vývoj související s případným vytvořením systému jmenné evidence cestujících v rámci EU souběžně s vývojem v oblasti systémů jmenné evidence cestujících ve třetích zemích. Dne 20. prosince 2007 přijal EIOÚ stanovisko týkající se tohoto návrhu Komise (5). Při mnoha dalších příležitostech nejen EIOÚ, ale i pracovní skupina zřízená podle článku 29 (6) soustavně připomínali, že při zpracování údajů jmenné evidence cestujících pro účely vynucování práva je třeba dodržovat zásadu nezbytnosti a přiměřenosti stejně jako další zásadní záruky ochrany údajů.

5.

Hlavním tématem, na které se EIOÚ trvale zaměřuje, je odůvodnění nezbytnosti evropského systému jmenné evidence cestujících, který by existoval vedle řady jiných nástrojů umožňujících zpracování údajů pro účely vynucování práva.

6.

EIOÚ uznává, že v současném návrhu došlo ve srovnání s verzí, kterou předtím připomínkoval, k viditelnému zlepšení z hlediska ochrany údajů. Tato zlepšení se týkají zejména oblasti působnosti návrhu, definice úlohy různých zúčastněných stran (složky pro informace o cestujících), vyloučení zpracování citlivých údajů, posun směrem k systému „dodávání“ bez přechodného období (7) a omezení uchovávání údajů.

7.

EIOÚ rovněž vítá další vývoj v posouzení dopadů na důvody pro vytvoření systému jmenné evidence cestujících v rámci EU. Přes existenci jasné vůle vysvětlit nezbytnost uvedeného systému není EIOÚ i nadále schopen nalézt v těchto nových důvodech přesvědčivý základ pro jeho vytvoření, zejména v souvislosti s obsáhlým „předběžným posouzením“ všech cestujících. Nezbytností a přiměřeností se bude zabývat kapitola II níže. Kapitola III se zaměří na konkrétnější aspekty návrhu.

8.

Prokázání nezbytnosti a přiměřenosti zpracování údajů je zcela nutnou podmínkou pro rozvoj systému jmenné evidence cestujících. EIOÚ již dříve trval na tom, zejména v souvislosti s možným přezkumem směrnice 2006/24/ES („směrnice o uchovávání údajů“), že nutnost zpracovávat nebo uchovávat velké objemy informací by se měla opírat o jasné prokázání vztahu mezi používáním a výsledkem a měla by být podmíněna vyhodnocením, zda by nebylo možné dosáhnout srovnatelných výsledků jiným způsobem, který by méně zasahoval do soukromí (8).

9.

S cílem odůvodnit daný systém zahrnuje návrh a zejména jeho posouzení dopadů rozsáhlou dokumentaci a právní argumenty, které potvrzují, že systém je potřebný a že splňuje požadavky na ochranu údajů. Dokonce stanoví, že systém poskytuje přidanou hodnotu z hlediska harmonizace norem ochrany údajů.

10.

Po analýze těchto prvků má EIOÚ za to, že návrh svým současným obsahem nesplňuje požadavky na nezbytnost a přiměřenost, které ukládá článek 8 Listiny základních práv Unie, článek 8 Evropské úmluvy o lidských právech a článek 16 SFEU. Důvody pro tyto úvahy jsou uvedeny v následujících odstavcích.

11.

EIOÚ konstatuje, že posouzení dopadů zahrnuje rozsáhlé vysvětlení a statistiky s cílem odůvodnit uvedený návrh. Tyto prvky nicméně nejsou přesvědčivé. V posouzení dopadů a v důvodové zprávě návrhu (9) se při popisu hrozby terorismu a závažné trestné činnosti uvádí jako příklad 14 000 trestných činů na 100 000 obyvatel v členských státech v roce 2007. I když je toto číslo působivé, týká se nerozlišených druhů trestné činnosti a nelze jím podložit oprávněnost návrhu, jehož cílem je boj proti omezenému druhu závažné nadnárodní trestné činnosti a terorismu. Další příklad: citování zprávy o drogových „problémech“ bez toho, aniž by návrh spojil statistiky s dotčeným druhem obchodování s drogami, nepředstavuje podle EIOÚ platný odkaz. Totéž platí pro údaje o důsledcích trestných činů, kdy návrh uvádí „hodnotu odcizeného majetku“ a psychologický a fyzický dopad na oběti, což nejsou údaje, které by se přímo vztahovaly k účelu návrhu.

12.

Jako poslední příklad se v posouzení dopadů uvádí, že Belgie „uvedla, že v roce 2009 došlo k zabavení drog v 95 % případů výlučně nebo převážně díky zpracování údajů jmenné evidence cestujících“. Je však třeba zdůraznit, že Belgie (dosud) nemá zavedený systém jmenné evidence cestujících, který by byl srovnatelný se systémem předpokládaným v návrhu. To by mohlo znamenat, že údaje jmenné evidence cestujících mohou být v určitých případech užitečné, což EIOÚ nezpochybňuje. Vážné otázky související s ochranou údajů spíše vyvolává rozsáhlý sběr údajů za účelem systematického posuzování všech cestujících.

13.

EIOÚ má za to, že neexistují dostatečně významné a přesné podklady, které by prokázaly nezbytnost uvedeného nástroje.

14.

Zatímco si dokument všímá, že opatření ke zpracování údajů narušují Listinu základních práv Unie, Evropskou úmluvu o lidských právech a článek 16 SFEU, přímo se zmiňuje o možných omezeních těchto práv a je spokojen se závěrem, že „je jasné, že jelikož navrhované kroky by byly podniknuty za účelem boje proti terorismu a jiným závažným trestným činům a obsaženy v právním aktu, splňovaly by tyto požadavky, pokud jsou nezbytné v demokratické společnosti a splňují zásadu přiměřenosti“ (10). Nebyla nicméně jasně prokázána skutečnost, že uvedená opatření jsou zásadní a že neexistuje alternativa, která by méně narušovala soukromí.

15.

V tomto smyslu skutečnost, že další účely, jako je vynucování v oblasti přistěhovalectví, seznam nežádoucích cestujících a bezpečnost zdraví, byly zvažovány a nebyly nakonec do návrhu zahrnuty z důvodu přiměřenosti, neznamená, že „omezení“ zpracování údajů jmenné evidence cestujících na závažné trestné činy a terorismus je ve skutečnosti přiměřené, jelikož je méně rušivé. Rovněž nebyla posouzena možnost omezit systém na boj proti terorismu a nezahrnout další trestné činy, jak se předpokládalo v předchozích systémech jmenné evidence cestujících, zejména v systému australském. EIOÚ zdůrazňuje, že v tomto dřívějším systému, k němuž pracovní skupina zřízená podle článku 29 přijala kladné stanovisko v roce 2004, byl účel omezen na „určení těch cestujících, kteří by mohli představovat hrozbu terorismu nebo související trestné činnosti“ (11). Australský systém nepočítal ani s uchováváním údajů jmenné evidence cestujících, kromě konkrétních cestujících, u nichž bylo stanoveno, že představují konkrétní riziko (12).

16.

Kromě toho, co se týče předvídatelnosti dohledu pro subjekty údajů, je sporné, zda návrh Komise splňuje požadavky právních předpisů EU na solidní právní základ: „posouzení“ cestujících (dříve formulováno jako „posouzení rizika“) se bude provádět na základě neustále se vyvíjejících a netransparentních kritérií. Jak je výslovně uvedeno ve znění návrhu, není hlavním cílem systému tradiční hraniční kontrola, nýbrž získávání zpravodajských informací (13) a zadržování osob, které nejsou podezřelými, před spácháním trestné činnosti. Vypracování takového systému v evropském měřítku, který by zahrnoval sběr údajů o všech cestujících a přijímání rozhodnutí na základě neznámých a vyvíjejících se kritérií posuzování, vyvolává vážné otázky ohledně transparentnosti a přiměřenosti.

17.

Jediným účelem, který by byl podle EIOÚ v souladu s požadavky na transparentnost a přiměřenost, by bylo použití údajů jmenné evidence cestujících v jednotlivých případech, jak je uvedeno v čl. 4 odst. 2 písm. c), ale pouze v případě vážné a konkrétní hrozby podložené konkrétními ukazateli.

18.

Podle čl. 4 odst. 2 písm. b) složka pro informace o cestujících může posuzovat cestující a při této činnosti může porovnávat údaje ze jmenné evidence cestujících s „příslušnými databázemi“, jak je uvedeno v čl. 4 odst. 2 písm. b). Toto ustanovení neuvádí, které databáze jsou příslušné. Z tohoto důvodu není toto opatření předvídatelné, což je rovněž požadavek Listiny základních práv Unie a Evropské úmluvy o lidských právech. Uvedené ustanovení navíc nastoluje otázku své slučitelnosti se zásadou omezení účelu: podle EIOÚ by se například nemělo týkat databáze, jako je Eurodac, která byla vytvořena pro jiné účely (14). Navíc by mělo být použitelné pouze v případě zvláštní potřeby, v konkrétním případě, kdy existuje podezření na nějakou osobu poté, co byl spáchán trestný čin. Například systematické porovnávání všech údajů jmenné evidence cestujících s databází Vízového informačního systému (15) by bylo nadbytečné a nepřiměřené.

19.

Myšlenka, podle níž by návrh posílil ochranu údajů tím, že by vytvořil rovné podmínky v souvislosti s právy jednotlivců, je sporná. EIOÚ uznává, že pokud by byla zajištěna nezbytnost a přiměřenost uvedeného systému, posílily by jednotné normy v rámci EU, včetně norem týkajících se ochrany údajů, právní jistotu. Současné znění návrhu v 28. bodě odůvodnění nicméně uvádí, že „tato směrnice nemá vliv na možnost členských států stanovit podle jejich vnitrostátního práva systém pro shromažďování a zpracování údajů jmenné evidence cestujících za jinými účely, než jsou účely specifikované v této směrnici, nebo od jiných dopravců, než jsou dopravci specifikovaní v této směrnici, pokud jde o vnitřní lety (…)“.

20.

Tento návrh by tedy přinesl pouze omezenou harmonizaci. Mohla by se týkat práv subjektů údajů, nikoli však omezení účelu a lze předpokládat, že podle tohoto znění by systémy jmenné evidence cestujících, které se již používají například k boji proti nezákonnému přistěhovalectví, v tom podle této směrnice mohly nadále pokračovat.

21.

To znamená, že na jedné straně by zůstaly určité rozdíly mezi členskými státy, které již vypracovaly systém jmenné evidence cestujících, a na druhé straně by velká většina členských států, které neprovádějí systematický sběr údajů jmenné evidence cestujících (21 z 27 členských států), byla nucena s tímto sběrem začít. EIOÚ má za to, že z tohoto hlediska je jakákoli přidaná hodnota související s ochranou údajů velice sporná.

22.

Důsledkem 28. bodu odůvodnění je naopak vážné porušení zásady omezení účelu. Dle názoru EIOÚ by měl návrh výslovně stanovit, že údaje jmenné evidence cestujících nemohou být použity pro jiné účely.

23.

EIOÚ dochází k podobnému závěru jako při posouzení směrnice o uchovávání údajů: v obou případech je neexistence skutečné harmonizace spojena s neexistencí právní jistoty. Další sběr a zpracování osobních údajů by se navíc stalo povinné pro všechny členské státy, přestože dosud nebyla potvrzena skutečná nutnost uvedeného systému.

24.

EIOÚ dále poznamenává, že vývoj v oblasti jmenné evidence cestujících souvisí s pokračujícím obecným posuzováním všech nástrojů EU v oblasti správy výměny informací, které Komise zahájila v lednu 2010 a propracovala v nedávném sdělení o přehledu o správě informací v prostoru svobody, bezpečnosti a práva (16). Existuje zejména jasná souvislost se současnou diskusí o evropské strategii pro správu informací. V tomto ohledu má EIOÚ za to, že při posuzování, zda je nutné vytvořit systém jmenné evidence cestujících v rámci EU, by se měly vzít v úvahu výsledky současné práce na evropském modelu pro výměnu informací očekávané v roce 2012.

25.

V této souvislosti a vzhledem ke slabým stránkám návrhu a zejména jeho posouzení dopadů má EIOÚ za to, že v případech, jako je tento, kdy má podstata návrhu vliv na základní práva na ochranu soukromí a osobních údajů, je nutno provést zvláštní posouzení dopadů na ochranu soukromí a osobních údajů. Obecné posouzení dopadů není dostatečné.

26.

V čl. 2 písm. g), h) a i) návrhu jsou definovány teroristické trestné činy, závažná trestná činnost a závažná nadnárodní trestná činnost. EIOÚ vítá skutečnost, že definice a jejich rozsah byly více propracovány a že se rozlišila závažná trestná činnost a závažná nadnárodní trestná činnost. Toto rozlišení je vítané zejména z toho důvodu, že předpokládá odlišné zpracování osobních údajů a vylučuje porovnání závažné trestné činnosti, která není nadnárodní, na základě předem určených hodnotících kritérií.

27.

Podle názoru EIOÚ je nicméně definice závažné trestné činnosti stále příliš široká. To potvrzuje i samotný návrh, jenž uvádí, že členské státy smí vyjmout méně závažné trestné činy spadající pod definici závažné trestné činnosti (17), které by nebyly v souladu se zásadou proporcionality. Z této formulace vyplývá, že definice v návrhu může zahrnovat i méně závažné trestné činy, jejichž zpracování by tak bylo nepřiměřené. Jaké trestné činy by přesně měly spadat do kategorie méně závažných trestných činů, není jasné. Místo toho, aby se zúžení oblasti působnosti ponechalo na členských státech, má EIOÚ za to, že by návrh měl výslovně uvést trestné činy, které by spadaly do jeho působnosti, a ty, které by z ní měly být vyloučeny, jelikož by měly být považovány za méně závažné a nesplňují test proporcionality.

28.

Stejná připomínka platí pro možnost, kterou ponechává otevřenou čl. 5 odst. 5, zpracovávat údaje v souvislosti s jakýmkoli trestným činem, pokud k jeho odhalení dojde v průběhu donucovacího opatření, stejně jako pro možnost, uvedenou ve 28. bodě odůvodnění, rozšířit oblast působnosti na jiné účely, než jsou účely předpokládané v této směrnici, nebo na jiné dopravce.

29.

EIOÚ má rovněž obavy ohledně možnosti v článku 17, jež předpokládá zahrnutí vnitřních letů do oblasti působnosti této směrnice vzhledem ke zkušenostem nabytým členskými státy, které již údaje jmenné evidence cestujících u vnitřních letů sbírají. Takovéto rozšíření oblasti působnosti systému jmenné evidence cestujících by ještě více ohrozilo základní práva jednotlivců a nemělo by se o něm uvažovat před provedením řádné analýzy včetně komplexního posouzení dopadů.

30.

Závěrem je možno shrnout, že ponechání oblasti působnosti v otevřené podobě a poskytnutí možnosti členským státům rozšířit účel směrnice je v rozporu s požadavkem, že údaje lze sbírat pouze pro konkrétní a výslovné účely.

31.

Úloha složek pro informace o cestujících a záruky týkající se zpracování údajů jmenné evidence cestujících přinášejí zvláštní otázky, zejména z toho důvodu, že složky pro informace o cestujících dostávají údaje o všech cestujících od leteckých dopravců a podle znění návrhu mají široké pravomoci ke zpracování těchto údajů. Patří k nim i posuzování chování cestujících, kteří nejsou podezřelí ze žádné trestné činnosti, a možnost porovnávat údaje jmenné evidence cestujících s nerozlišenými databázemi (18). EIOÚ poznamenává, že návrh sice počítá s podmínkami „omezeného přístupu“, ale má za to, že samotné tyto podmínky nejsou dostatečné vzhledem k širokým pravomocem složek pro informace o cestujících.

32.

Za prvé není jasná povaha orgánu určeného jako složka pro informace o cestujících a jeho složení. Návrh uvádí možnost, že pracovníci této složky mohou být „vysláni z příslušných veřejných orgánů“, ale neposkytuje žádné záruky z hlediska způsobilosti a důvěryhodnosti pracovníků složky. EIOÚ doporučuje, aby tyto požadavky byly zahrnuty do znění směrnice, vzhledem k citlivé povaze zpracovávání, které mají provádět složky pro informace o cestujících.

33.

Za druhé, návrh dává možnost určit jednu složku pro informace o cestujících pro několik členských států. Tím vzniká riziko zneužití a přenosu údajů mimo podmínky návrhu. EIOÚ uznává, že z důvodu efektivnosti, zejména pro malé státy, by mohlo dojít ke kombinování sil, ale doporučuje zahrnout do znění návrhu podmínky pro tuto možnost. Tyto podmínky by měly řešit spolupráci s příslušnými orgány, stejně jako dozor, zejména v souvislosti s orgánem pro ochranu údajů odpovědným za dohled a v souvislosti s výkonem práv subjektu údajů, jelikož k dohledu nad jednou složkou pro informace o cestujících může být příslušných několik orgánů.

34.

Existuje riziko neplánované funkce spojené s výše uvedenými prvky, zejména vzhledem ke kvalitě pracovníků odpovědných za analýzu údajů a „sdílení“ složky pro informace o cestujících několika členskými státy.

35.

Za třetí, EIOÚ má pochyby ohledně předpokládaných záruk proti zneužití. Povinnost protokolování je vítaná, ale nedostatečná. Vlastní kontrola by měla být doplněna o vnější kontrolu, a to strukturovanějším způsobem. EIOÚ navrhuje, aby byly audity prováděny pravidelně každé čtyři roky. Měl by být vypracován komplexní soubor bezpečnostních pravidel, který by se měl horizontálně uplatnit na všechny složky pro informace o cestujících.

36.

Článek 7 návrhu předpokládá několik scénářů umožňujících výměnu údajů mezi složkami pro informace o cestujících – což by měla být běžná situace – nebo mezi příslušnými orgány některého členského státu a složkou pro informace o cestujících ve výjimečných situacích. Podmínky jsou rovněž přísnější v závislosti na tom, zda se požaduje přístup k databázi uvedené v čl. 9 odst. 1, kde se údaje uchovávají během prvních 30 dní, nebo k databázi uvedené v čl. 9 odst. 2, kde se údaje uchovávají po dalších pět let.

37.

Podmínky přístupu jsou definovány přísněji tam, kde žádost o přístup jde za běžný postup. EIOÚ nicméně poznamenává, že použité formulace vedou ke zmatení: ustanovení čl. 7 odst. 2 se použijí „za účelem prevence, odhalování, vyšetřování nebo stíhání teroristických trestných činů a závažné trestné činnosti“, čl. 7 odst. 3 uvádí „výjimečné okolnosti v reakci na konkrétní hrozbu nebo v rámci konkrétního vyšetřování nebo stíhání souvisejících teroristických činů nebo závažné trestné činnosti“, zatímco čl. 7 odst. 4 se týká „bezprostředního a závažného ohrožení veřejné bezpečnosti“ a čl. 7 odst. 5 zmiňuje „konkrétní a skutečnou hrozbu související s teroristickými trestnými činy a závažnou trestnou činností“. Podmínky přístupu různých zúčastněných stran k databázím se v závislosti na těchto kritériích liší. Není však jasné, jaký je rozdíl mezi konkrétní hrozbou, bezprostředním a závažným ohrožením a konkrétní a skutečnou hrozbou. EIOÚ zdůrazňuje nutnost dále specifikovat přesné podmínky, za nichž bude umožněn přenos údajů.

38.

Jako na obecný právní základ pro zásady ochrany údajů odkazuje návrh na rámcové rozhodnutí Rady 2008/977/SVV a jeho působnost rozšiřuje i na zpracování údajů na domácí úrovni.

39.

Již v roce 2007 (19) EIOÚ zdůraznil nedostatky rámcového rozhodnutí v souvislosti s právy subjektů údajů. Mezi prvky, které v rámcovém rozhodnutí chybí, jsou zejména některé požadavky na informace pro subjekt údajů v případě žádosti o přístup k jeho údajům: informace je třeba poskytovat srozumitelnou formou, je třeba uvést účel zpracování a je nutno více propracovat záruky v případě odvolání k orgánu pro ochranu údajů, pokud bude odepřen přímý přístup.

40.

Odkaz na rámcové rozhodnutí má důsledky i pro stanovení, který orgán pro ochranu údajů je příslušný ke kontrole provádění budoucí směrnice, jelikož to nemusí nutně být tentýž orgán, který je příslušný pro záležitosti (bývalého) prvního pilíře. EIOÚ považuje za neuspokojivé spoléhat se v období po Lisabonu výhradně na rámcové rozhodnutí, když jedním z hlavních cílů je upravit právní rámec s cílem zajistit vysokou a harmonizovanou úroveň ochrany napříč (bývalými) pilíři. EIOÚ má za to, že do návrhu je třeba přidat další ustanovení, aby se doplnil odkaz na rámcové rozhodnutí Rady tam, kde byly shledány nedostatky, zejména v souvislosti s podmínkami přístupu k osobním údajům.

41.

Tyto obavy rovněž platí pro ustanovení o předávání údajů do třetích zemí. Návrh odkazuje na čl. 13 odst. 3 bod ii) rámcového rozhodnutí, který zahrnuje široké výjimky ze záruk ochrany údajů: odchyluje se zejména od požadavku odpovídající úrovně v případě „oprávněných převažujících zájmů, zejména důležitých veřejných zájmů“. Tato výjimka je vágně formulována a tato formulace by se mohla případně použít v mnoha případech zpracování údajů jmenné evidence cestujících, pokud by se široce vykládala. EIOÚ má za to, že by návrh měl výslovně zabránit používání výjimek rámcového rozhodnutí v souvislosti se zpracováním údajů jmenné evidence cestujících a dodržovat požadavek přísného posouzení odpovídající úrovně.

42.

Návrh předpokládá období 30 dní uchovávání údajů s dalším obdobím pěti let archivace. Toto období uchovávání se značně zkracuje, pokud ho srovnáme s předchozími verzemi dokumentu, které stanovily období uchovávání na pět plus osm let.

43.

EIOÚ vítá zkrácení prvního období uchovávání údajů na 30 dní. Zpochybňuje však období dalšího uchovávání po dobu 5 let: není mu jasné, zda je nutné uchovávat tyto údaje déle ve formě, která nadále umožňuje identifikaci jednotlivců.

44.

Rovněž zdůrazňuje otázku terminologie ve znění návrh, která má závažné právní důsledky: ustanovení čl. 9 odst. 2 uvádí, že údaje o cestujících budou „maskovány“, čímž budou „anonymizovány“. Dále v návrhu se nicméně uvádí, že je nadále možné získat přístup k „údajům jmenné evidence cestujících v plném rozsahu“. Pokud je toto možné, znamená to, že údaje jmenné evidence cestujících nebyly nikdy zcela anonymizovány; i když jsou maskovány, je nadále možné je identifikovat. Důsledkem je to, že rámec pro ochranu údajů je i nadále plně platný, čímž vyvstává zásadní otázka, zda je nezbytné a přiměřené uchovávat identifikovatelné údaje všech cestujících po dobu pěti let.

45.

EIOÚ doporučuje, aby byl návrh přeformulován tak, aby se dodržela zásada skutečné anonymizace a nemožnost návratu k identifikovatelným údajům, což znamená, že by nemělo být umožněno zpětné vyšetřování. Tyto údaje by se i nadále – a výhradně – mohly používat k obecným zpravodajským účelům na základě identifikace terorismu a související struktury trestných činů v migračních tocích. To by se mělo odlišit od uchovávání údajů v identifikovatelné podobě – podléhajícího určitým zárukám – v případech, kdy vzniklo konkrétní podezření.

46.

EIOÚ vítá skutečnost, že do seznamu údajů ke zpracování nejsou zahrnuty citlivé údaje. Nicméně zdůrazňuje, že návrh i nadále přepokládá možnost zaslání těchto údajů složce pro informace o cestujících, která je pak povinna je vymazat (čl. 4 odst. 1, článek 11). Z této formulace není jasné, zda složky pro informace o cestujících jsou i nadále povinné běžně filtrovat citlivé údaje zaslané leteckými společnostmi, nebo zda by to měly provádět pouze ve výjimečném případě, když jim je letecké společnosti zašlou omylem. EIOÚ doporučuje, aby bylo znění návrhu pozměněno tak, aby bylo jasné, že letecké společnosti, které jsou u samotného zdroje zpracování údajů, nesmí zasílat žádné citlivé údaje.

47.

Kromě citlivých údajů odráží seznam údajů, které lze předat, do velké míry seznam jmenné evidence cestujících USA, který byl v několika stanoviscích pracovní skupiny zřízené podle článku 29 (20) kritizován jako příliš rozsáhlý. EIOÚ má za to, že tento seznam by měl být zredukován v souladu se stanoviskem pracovní skupiny a každá přidaná položka by měla být řádně zdůvodněna. To platí zejména pro kategorii „obecné poznámky“, která by měla být ze seznamu odstraněna.

48.

Podle čl. 4 odst. 2 písm. a) a b) se pro posouzení jednotlivců na základě předem stanovených kritérií nebo na základě příslušných databází může použít automatické zpracování, ale mělo by být individuálně přezkoumáno neautomatickými prostředky.

49.

EIOÚ vítá vyjasnění zapracované do této nové verze návrhu. Nejednoznačnost předchozí oblasti působnosti ustanovení ve vztahu k automatickým rozhodnutím, která mají „pro osobu nepříznivé právní účinky nebo ji podstatným způsobem poškozují (…)“, byla nahrazena jasnější formulací. Nyní je jasné, že každý pozitivní výsledek bude individuálně přezkoumán.

50.

V novém znění je rovněž jasné, že posouzení nesmí být za žádných okolností založeno na rasovém nebo etnickém původu dané osoby, jejím náboženském či filozofickém přesvědčení, politických názorech, členství v odborových organizacích, zdraví nebo sexuální orientaci. Jinými slovy, EIOÚ chápe tuto novou formulaci tak, že žádné rozhodnutí nemůže být ani částečně přijato na základě citlivých údajů. To je ve shodě s ustanovením, podle nějž nesmí složky pro informace o cestujících zpracovávat žádné citlivé údaje, a je třeba to rovněž přivítat.

51.

EIOÚ považuje za nejvýš důležité, aby bylo provádění směrnice důkladně posouzeno, jak je stanoveno v článku 17. Má za to, že by přezkum měl posoudit nejen obecný soulad s normami ochrany údajů, ale také zásadněji a konkrétněji, zda systémy jmenné evidence cestujících představují nutné opatření. Statistické údaje uvedené v článku 18 hrají z tohoto hlediska důležitou úlohu. EIOÚ má za to, že tyto informace by měly zahrnovat řadu opatření v oblasti vynucování práva, jak předpokládá návrh, ale i řadu účinných přesvědčení, která vyplynula – nebo nevyplynula – z vynucovacích opatření. Takovéto údaje jsou zásadní pro získání přesvědčivého závěru přezkumu.

52.

Návrhem nejsou dotčeny stávající dohody se třetími zeměmi (článek 19). EIOÚ má za to, že by toto ustanovení mohlo výslovněji odkazovat na cíl globálního rámce stanovícího harmonizované záruky ochrany údajů v oblasti jmenné evidence cestujících uvnitř i mimo EU, jak vyžadoval Evropský parlament a vypracovala Evropská komise ve svém sdělení ze dne 21. září 2010„O globálním přístupu k přenosům údajů jmenné evidence cestujících do třetích zemí“.

53.

V tomto smyslu by smlouvy se třetími zeměmi neměly zahrnovat ustanovení, která se nacházejí pod prahem pro ochranu údajů stanoveným v dotčené směrnici. To má význam zejména v současnou chvíli, kdy se opětovně projednávají smlouvy se Spojenými státy, Austrálií a Kanadou z tohoto hlediska globálního – a harmonizovaného – rámce.

54.

Vytvoření systému jmenné evidence cestujících v rámci EU představovalo spolu s vyjednáním dohod o jmenné evidenci cestujících se třetími zeměmi dlouho trvající projekt. EIOÚ uznává, že ve srovnání s návrhem rámcového rozhodnutí Rady o jmenné evidenci cestujících v rámci EU z roku 2007 byla do předlohy začleněna viditelná zlepšení. Byly přidány záruky ochrany údajů s využitím diskusí a stanovisek různých zúčastněných stran, zejména pracovní skupiny zřízené podle článku 29, EIOÚ a Evropského parlamentu.

55.

EIOÚ vítá tato zlepšení, a zejména úsilí omezit oblast působnosti návrhu a podmínky zpracování údajů jmenné evidence cestujících. Je však nucen podotknout, že návrh nesplňuje základní předpoklad pro vytvoření systému jmenné evidence cestujících, tj. dodržení zásady nezbytnosti a přiměřenosti. EIOÚ připomíná, že podle jeho názoru by údaje jmenné evidence cestujících mohly být rozhodně nezbytné pro účely vynucování práva v konkrétních případech a splňovat požadavky na ochranu údajů. Zvláštní obavy budí jejich systematické a nerozlišující používání v souvislosti se všemi cestujícími.

56.

Posouzení dopadů přináší prvky zaměřené na ospravedlnění potřeby údajů jmenné evidence cestujících za účelem boje proti trestné činnosti, ale povaha těchto informací je příliš obecná a nepodporuje rozsáhlé zpracování údajů jmenné evidence cestujících pro zpravodajské účely. Podle názoru EIOÚ je jediným opatřením slučitelným s požadavky na ochranu údajů používání údajů jmenné evidence cestujících případ od případu, pokud konkrétní ukazatele stanoví vážné ohrožení.

57.

Kromě těchto základních nedostatků se připomínky EIOÚ týkají těchto otázek:

58.

EIOÚ dále doporučuje, aby se vývoj v oblasti jmenné evidence cestujících v rámci EU posuzoval z širší perspektivy včetně pokračujícího obecného hodnocení všech nástrojů EU v oblasti správy výměny informací, které Komise zahájila v lednu 2010. Při posuzování, zda je nutné vytvořit systém jmenné evidence cestujících v rámci EU, by se měly vzít v úvahu zejména výsledky současné práce na evropském modelu pro výměnu informací očekávané v roce 2012.

—

stanovisko ze dne 19. října 2010 o globálním přístupu k přenosům údajů jmenné evidence cestujících do třetích zemí, k dispozici na: http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

stanoviska pracovní skupiny zřízené podle článku 29 jsou k dispozici na této adrese: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

22.6.2011   

CS

Úřední věstník Evropské unie

C 181/31

22.6.2011   

CS

Úřední věstník Evropské unie

C 181/34

22.6.2011   

CS

Úřední věstník Evropské unie

C 181/35

Regione Lombardia

DG Agricoltura

Piazza Città di Lombardia 1

20124 Milano MI

ITALIA

—

articles L. 621-1 et suivants du Code rural et de la pêche maritime,

—

projet de décision du directeur général de FranceAgriMer

FranceAgriMer

12 rue Henri Rol Tanguy

TSA 20002

93555 Montreuil sous Bois Cedex

FRANCE

Ministrstvo za kmetijstvo, gozdarstvo in prehrano Republike Slovenije

Dunajska 22

SI-1000 Ljubljana

SLOVENIJA

22.6.2011   

CS

Úřední věstník Evropské unie

C 181/37

1.

Komise dne 15. června 2011 obdržela oznámení o navrhovaném spojení podle článku 4 nařízení Rady (ES) č. 139/2004 (1), kterým podnik Bridgepoint Europe IV Investments (2) Sàrl (Lucembursko), zcela kontrolovaný podnikem Bridgepoint Capital Group Limited („Bridgepoint“, Spojené království), a podnik Eurazeo SA („Eurazeo“, Francie) získávají ve smyslu čl. 3 odst. 1 písm. b) nařízení ES o spojování nákupem akcií společnou kontrolu nad podnikem Foncia Groupe SA („Foncia“, Francie).

2.

Předmětem podnikání příslušných podniků je:

3.

Komise po předběžném posouzení zjistila, že by oznamovaná transakce mohla spadat do působnosti nařízení (ES) o spojování. Konečné rozhodnutí v tomto ohledu však zůstává vyhrazeno. V souladu se sdělením Komise o zjednodušeném postupu ohledně některých spojování podle nařízení (ES) o spojování (2) je třeba uvést, že tato věc může být posouzena podle postupu stanoveného sdělením.

4.

Komise vyzývá zúčastněné třetí strany, aby jí předložily své případné připomínky k navrhované transakci.

Připomínky musí být Komisi doručeny nejpozději do deseti dnů po zveřejnění tohoto oznámení. Připomínky lze Komisi zaslat faxem (+32 22964301), e-mailem na adresu COMP-MERGER-REGISTRY@ec.europa.eu či poštou s uvedením čísla jednacího COMP/M.6274 – Bridgepoint/Eurazeo/Foncia Groupe na adresu Generálního ředitelství pro hospodářskou soutěž Evropské Komise:

22.6.2011   

CS

Úřední věstník Evropské unie

C 181/39

1.

Komise dne 14. června 2011 obdržela oznámení o navrhovaném spojení podle článku 4 nařízení Rady (ES) č. 139/2004 (1), kterým podnik CSN Steel S.L. (Španělsko) patřící do skupiny Companhia Siderúrgica Nacional získává ve smyslu čl. 3 odst. 1 písm. b) nařízení ES o spojování nákupem akcií kontrolu nad celými podniky:

2.

Předmětem podnikání příslušných podniků je:

3.

Komise po předběžném posouzení zjistila, že by oznamovaná transakce mohla spadat do působnosti nařízení (ES) o spojování. Konečné rozhodnutí v tomto ohledu však zůstává vyhrazeno. V souladu se sdělením Komise o zjednodušeném postupu ohledně některých spojování podle nařízení (ES) o spojování (2) je třeba uvést, že tato věc může být posouzena podle postupu stanoveného sdělením.

4.

Komise vyzývá zúčastněné třetí strany, aby jí předložily své případné připomínky k navrhované transakci.

Připomínky musí být Komisi doručeny nejpozději do deseti dnů po zveřejnění tohoto oznámení. Připomínky lze Komisi zaslat faxem (+32 22964301), e-mailem na adresu COMP-MERGER-REGISTRY@ec.europa.eu či poštou s uvedením čísla jednacího COMP/M.6265 – CSN/AG Cementos Balboa/Corrugados Azpeitia/Corrugados Lasao/Stahlwerk Thuringen na adresu Generálního ředitelství pro hospodářskou soutěž Evropské Komise:

22.6.2011   

CS

Úřední věstník Evropské unie

C 181/40

1.

Evropská komise dne 14. června 2011 obdržela oznámení o navrhovaném spojení podle článku 4 nařízení Rady (ES) č. 139/2004 (1), kterým podnik Talis International Holding GmbH (Německo), holdingová společnost tvořící Talis Group („Talis“), získává ve smyslu čl. 3 odst. 1 písm. b) nařízení o spojování nákupem akcií kontrolu nad celým podnikem Raphael Valves Industries (1975) („Raphael“) (Izrael).

2.

Předmětem podnikání obou příslušných podniků, Talis i Raphael, je vývoj, výroba a distribuce ventilů a dalších výrobků a vybavení pro vodohospodářský průmysl, včetně produkce, rozvodu, distribuce a čištění vody.

3.

Evropská komise po předběžném posouzení zjistila, že by oznamovaná transakce mohla spadat do působnosti nařízení o spojování. Konečné rozhodnutí v tomto ohledu však zůstává vyhrazeno. V souladu se sdělením Komise o zjednodušeném postupu ohledně některých spojování podle nařízení o spojování (2) je třeba uvést, že tato věc může být posouzena podle postupu stanoveného sdělením.

4.

Evropská komise vyzývá zúčastněné třetí strany, aby jí k navrhované transakci předložily své případné připomínky.

Připomínky musí být Evropské komisi doručeny nejpozději do deseti dnů po zveřejnění tohoto oznámení. Připomínky lze Evropské komisi zaslat faxem (+32 22964301), e-mailem na adresu COMP-MERGER-REGISTRY@ec.europa.eu nebo poštou s uvedením čísla jednacího COMP/M.6253 – Talis International Holding/Raphael Valves Industries (1975) Ltd na adresu Generálního ředitelství pro hospodářskou soutěž Evropské komise: