8.2.2012   

CS

Úřední věstník Evropské unie

C 34/1

1.

Dne 19. dubna 2011 přijala Komise sdělení o otevřeném internetu a neutralitě sítě v Evropě (4).

2.

Toto stanovisko lze považovat za reakci evropského inspektora ochrany údajů na uvedené sdělení. Jeho cílem je přispět k probíhající politické debatě v rámci EU o neutralitě sítě, zejména k aspektům souvisejícím s ochranou údajů a soukromím.

3.

Stanovisko vychází z reakce (5) evropského inspektora ochrany údajů na veřejné konzultace Komise k otevřenému internetu a neutralitě sítě v Evropě, jež předcházely přijetí sdělení Komise. Evropský inspektor ochrany údajů vzal rovněž v úvahu návrh závěrů Rady k neutralitě sítě (6).

4.

Neutralita sítě souvisí s probíhající debatou, zda má být poskytovatelům internetových služeb (7) povoleno omezovat, filtrovat nebo blokovat přístup na internet nebo jinak ovlivňovat jeho výkon. Koncepce neutrality sítě vychází z názoru, že informace na internetu mají být přenášeny nestranně, bez ohledu na obsah, místo určení či zdroj a že uživatelé mají mít možnost se rozhodnout, jaké aplikace, služby a hardware chtějí používat. To znamená, že poskytovatelé internetových služeb nemohou z vlastní vůle stanovovat priority nebo zpomalovat přístup k některým aplikacím či službám, jako je např. Peer to Peer („P2P“) atd (8).

5.

Filtrování, blokování a kontrola provozu sítě nastolují důležité otázky, které bývají často přehlíženy nebo opomíjeny, a to důvěrnost komunikace a respektování soukromí jednotlivců a jejich osobních údajů při používání internetu. Například některé kontrolní metody zahrnují monitorování obsahu sdělení, navštívených internetových stránek, zaslaných a obdržených e-mailových zpráv, času, kdy k tomu dochází, atd., což umožňuje filtrování komunikace.

6.

Kontrolou údajů při komunikaci mohou poskytovatelé internetových služeb porušovat důvěrnost komunikace, což je základní právo zaručené v článku 8 Evropské úmluvy o ochraně lidských práv a základních svobod a v článcích 7 a 8 Listiny základních práv Evropské unie. Důvěrnost dále chrání sekundární právní předpisy EU, konkrétně článek 5 směrnice o soukromí a elektronických komunikacích.

7.

Evropský inspektor ochrany údajů se domnívá, že seriózní politická debata o neutralitě sítě se musí soustředit na důvěrnost komunikace, jakož i na další souvislosti spojené se soukromím a ochranou údajů.

8.

Toto stanovisko přispívá k uvedené probíhající debatě v EU. Má tři cíle:

9.

Evropský inspektor ochrany údajů si je vědom skutečnosti, že neutralita sítě nastoluje další otázky, jež jsou podrobněji popsány níže. Jde například o problematiku přístupu k informacím. Tyto otázky jsou rozebrány pouze v rozsahu jejich souvislosti s ochranou údajů a soukromí nebo dopadem na ochranu údajů a soukromí.

10.

Struktura stanoviska je následující. V části II je uveden stručný přehled způsobu filtrování údajů ze strany poskytovatelů internetových služeb. V části III je nastíněn právní rámec EU v oblasti neutrality sítě. V části IV následuje technický popis a poté hodnocení dopadů na soukromí v závislosti na použitých metodách. Část V pak analyzuje praktické detaily spojené s uplatňováním současného právního rámce EU v oblasti soukromí a ochrany údajů. Na základě této analýzy jsou v části VI uvedeny návrhy na další vývoj politiky a označeny oblasti, které mohou vyžadovat objasnění a zlepšení. V části VII jsou uvedeny závěry.

11.

Poskytovatelé internetových služeb tradičně provádějí monitorování a ovlivňování provozu sítě pouze omezeně. Poskytovatelé internetových služeb například uplatňují metody kontroly a omezené toky informací, aby zajistili bezpečnost sítě, např. proti virům. Proto, obecně řečeno, se internet rozšířil a současně si zachovává velký stupeň neutrality.

12.

V posledních letech se však někteří poskytovatelé internetových služeb zajímají o kontrolu provozu sítě, aby jej mohli diferencovat a uplatňovat na něj různé zásady, například blokovat konkrétní služby nebo upřednostňovat přístup k určitým službám oproti jiným. Někdy se tomu říká „zásady řízení provozu“ (9).

13.

Důvody, proč poskytovatelé internetových služeb kontrolují a diferencují provoz, jsou různé. Zásady řízení provozu mohou například pomáhat poskytovatelům internetových služeb při řízení provozu v období přetížení sítě, např. stanovením priority pro určitý časově citlivý provoz, jako je video-streaming, a přeřazením jiných druhů provozu, které nejsou tak časově citlivé, např. P2P, na nižší úroveň (10). Řízení provozu může být také prostředek, kterým si poskytovatelé internetových služeb zajišťují možný tok příjmů, které mohou pocházet z různých zdrojů. Na jedné straně by poskytovatelé internetových služeb mohli účtovat poplatky poskytovatelům obsahu, např. těm poskytovatelům, jejichž služby vyžadují použití širšího pásma, výměnou za prioritní přenesení jejich obsahu (a tedy vyšší rychlost). To by znamenalo, že přístup k určité službě, například službě poskytující videa na vyžádání, by byl rychlejší než přístup k jiné podobné službě, která nemá předplacenou vysokou přenosovou rychlost. Příjmy by mohly plynout také od účastníků, kteří chtějí platit vyšší (nebo nižší) poplatky za určitý druh diferencované předplacené služby. Například předplacená služba bez přístupu k P2P by mohla být levnější než služba poskytující neomezený přístup.

14.

Kromě důvodů pro používání zásad řízení provozu na straně poskytovatelů internetových služeb mohou mít zájem o zásady řízení provozu i jiné strany. Jestliže poskytovatelé internetových služeb řídí své sítě a provádějí kontrolu obsahu, který přes jejich zařízení prochází, mohou pravděpodobně zvýšit svou schopnost zjišťovat možné nezákonné používání, např. porušení autorských práv nebo používání pro pornografické účely.

15.

Tento trend spustil debatu o oprávněnosti těchto praktik a konkrétně pak o tom, zda mají být v zákoně dále upraveny konkrétní povinnosti v oblasti neutrality sítě.

16.

Rostoucí využívání zásad řízení provozu ze strany poskytovatelů internetových služeb by zřejmě mohlo omezit přístup k informacím. Pokud se takovéto jednání stane běžným a uživatelé již nebudou mít přístup k celému internetu (nebo tento přístup bude velmi drahý), jak jej známe dnes, ohrozí to přístup k informacím a možnost uživatelů zasílat a přijímat obsah, který chtějí, pomocí aplikací či služeb dle jejich výběru. Tento problém může odstranit právně závazná zásada o neutralitě sítě.

17.

To přivádí evropského inspektora ochrany údajů k důsledkům v oblasti ochrany údajů a soukromí v případě, že poskytovatelé internetových služeb provádějí řízení provozu. Konkrétněji:

18.

Do roku 2009 neobsahovaly právní nástroje EU ustanovení, jež by poskytovatelům internetových služeb výslovně zakazovala provádět filtrování nebo blokování či účtovat účastníkům vyšší cenu za přístup ke službám. Zároveň ani neobsahovaly ustanovení, jež by takovouto praxi výslovně připouštěla. Tento stav způsoboval do určité míry nejistotu.

19.

Telekomunikační balíček z roku 2009 tuto situaci změnil, když zavedl ustanovení ve prospěch otevřenosti internetu. Například čl. 8 odst. 4 o společném předpisovém rámci pro sítě a služby elektronických komunikací („rámcová směrnice“) stanoví regulačním orgánům povinnost posilovat schopnost koncových uživatelů dostat se k obsahu, aplikacím či službám dle své volby (12). Toto ustanovení platí pro síť jako celek, nikoli jen na úrovni jednotlivých poskytovatelů. V nedávném návrhu závěrů Rady byla také zdůrazněna nutnost zachovat otevřenost internetu (13).

20.

Směrnice o univerzální službě (14) obsahuje konkrétnější povinnosti. V článcích 20 a 21 jsou stanoveny požadavky na transparentnost týkající se omezení přístupu k službám a aplikacím anebo jejich využívání. Rovněž je zde stanovena minimální úroveň kvality služeb.

21.

K praktikám poskytovatelů internetových služeb, které zahrnují kontrolu komunikace jednotlivců, je v 28. bodě odůvodnění směrnice, kterou se mění směrnice o univerzální službě a soukromí v elektronických komunikacích (15), zdůrazněno, že „některé typy použité technologie a druhy omezení mohou vyžadovat souhlas uživatele podle směrnice o soukromí a elektronických komunikacích“. V 28. bodě odůvodnění je tedy připomenuta nutnost souhlasu podle čl. 5 odst. 1 směrnice o soukromí a elektronických komunikacích u všech omezení na základě monitorování komunikace. V následující části IV je dále analyzováno uplatňování čl. 5 odst. 1 a celkový právní rámec ochrany údajů a soukromí.

22.

Konečně čl. 22 odst. 3 směrnice o univerzální službě dává nyní vnitrostátním regulačním orgánům pravomoc stanovit v případě potřeby poskytovatelům internetových služeb požadavky na minimální kvalitu služeb, aby nedocházelo k zhoršení kvality služeb a ztěžování či zpomalování provozu na veřejných sítích.

23.

Výše uvedené znamená, že na úrovni EU se obecně usiluje o otevřený internet (viz čl. 8 odst. 4 rámcové směrnice). Tento politický cíl, který se vztahuje na síť jako celek, však přímo nesouvisí se zákazy nebo povinnostmi jednotlivých poskytovatelů internetových služeb. Jinými slovy, poskytovatel internetových služeb může používat zásady řízení provozu, které vylučují přístup k některým aplikacím, pokud o tom v plné míře informuje koncové uživatele a pokud s tím koncoví uživatelé svobodně vysloví svůj konkrétní a jednoznačný souhlas.

24.

Situace se může v jednotlivých členských státech lišit. V některých členských státech mohou poskytovatelé internetových služeb za určitých podmínek používat zásady řízení provozu například za účelem blokování takových aplikací, jako je VoIP (v rámci levnější předplacené služby přístupu na internet), pokud s tím jednotliví uživatelé vysloví svobodný, konkrétní a jednoznačný informovaný souhlas. Jiné členské státy se rozhodly posílit zásadu neutrality sítě. Například nizozemský parlament schválil v červenci 2011 zákon, který obecně zakazuje poskytovatelům internetových služeb ztěžovat či zpomalovat aplikace nebo služby na internetu (např. VoIP), pokud to není nutné pro minimalizaci vlivů přetížení, z důvodů integrity nebo bezpečnosti, boje proti spamům nebo pokud to není v souladu se soudním příkazem (16).

25.

Ve svém sdělení o neutralitě sítě (17) dospěla Evropská komise k závěru, že situace v oblasti neutrality sítě je taková, že je nutné ji sledovat a dále analyzovat. Zahájila politiku „vyčkávání“, než zváží další regulační kroky.

26.

Ve sdělení Komise se uvádí, že všechna opatření a další regulační kroky budou podrobeny důkladnému posouzení s ohledem na aspekty ochrany údajů a soukromí. V návrhu závěrů Komise je rovněž uvedeno, že jsou v sázce otázky ochrany údajů a soukromí (18).

27.

Otázka, kterou je třeba posoudit z hlediska ochrany údajů a soukromí, zní, zda je vyčkávací politika dostatečná. I když rámec ochrany údajů a soukromí v současnosti předjímá některé bezpečnostní mechanismy, zejména ve formě zásady důvěrnosti komunikace, zdá se, že bude nezbytné pečlivě sledovat úroveň dodržování předpisů a poskytnout návod k několika aspektům, které nejsou zcela jasné. Dále je vzhledem k technologickému vývoji třeba se vyslovit k tomu, jak by mohl být objasněn a dále vylepšen právní rámec. Jestliže bude zjištěno, že se trh vyvíjí směrem k masivní kontrole komunikace v reálném čase a objevují se problémy v oblasti dodržování rámce, bude třeba přijmout legislativní opatření. Konkrétní návrhy v tomto smyslu jsou uvedeny v části VI.

28.

Než se začneme touto otázkou zabývat podrobněji, je důležité lépe poznat kontrolní metody, které mohou poskytovatelé internetových služeb používat při řízení provozu, a jaký to může mít dopad na zásadu neutrality sítě. Důsledky pro soukromí a ochranu údajů, které z těchto metod vyplývají, se značně liší podle toho, jaké metody jsou použity. Pro pochopení a správné uplatňování právního rámce na ochranu osobních údajů, který je popsán v části V, je nutné tyto technické okolnosti uvést. Je však třeba poznamenat, že jde o neustále se měnící a složitou oblast. Níže uvedený popis proto není míněn jako vyčerpávající a zcela aktuální, poskytuje pouze technické informace, které jsou nepostradatelné pro pochopení právního odůvodnění.

29.

Když uživatel přenáší přes internet své sdělení, je přenášená informace rozdělena na pakety. Tyto pakety se přenášejí přes internet od odesílatele k příjemci. Každý paket zahrnuje mimo jiné informaci o zdroji a místu určení. Poskytovatelé internetových služeb mohou dále tyto pakety zabalit do dalších vrstev a protokolů (19), které se používají na řízení různých toků provozu v rámci sítě poskytovatele internetových služeb.

30.

Jestliže se vrátíme k analogii s poštovním dopisem, je použití síťového přenosového protokolu ekvivalentní vložení obsahu poštovního dopisu do obálky a uvedení adresy místa určení, kterou si má poštovní služba přečíst a dopis na ni doručit. Poštovní služba může používat další protokoly v rámci svého interního provozu, podle nichž řídí všechny obálky, jež mají být doručeny, přičemž cílem je, aby každá obálka dorazila na místo svého určení, které původně uvedl odesílatel. Podle této analogie má každý paket dvě části. IP payload (uživatelská data), což představuje obsah sdělení a odpovídá dopisu. Obsahuje informace určené pouze příjemci. Druhá část paketu, IP header (hlavička), obsahuje mimo jiné adresu příjemce a odesílatele a odpovídá obálce. Hlavička umožňuje poskytovatelům internetových služeb a dalším zprostředkovatelům směrovat uživatelská data z jejich zdrojové adresy na cílovou adresu.

31.

Poskytovatelé internetových služeb a další zprostředkovatelé zajišťují, aby IP pakety cestovaly sítí přes uzly, kde je přečtena informace z IP hlavičky a porovnána se směrovacími tabulkami, a poté jsou pakety odeslány k dalšímu uzlu na dráze k místu určení. Tento proces se provádí v celé síti s využitím bezpaměťového přístupu, protože všechny pakety, které do uzlu dorazí, jsou zpracovány neutrálně. Když jsou přeneseny do dalšího uzlu, není třeba ve směrovači dále uchovávat informace (20).

32.

Jak je vysvětleno výše, poskytovatelé internetových služeb si přečtou IP hlavičky za účelem nasměrování do místa určení. Jak je však výše rovněž uvedeno, analýza provozu (zahrnující IP hlavičky a IP uživatelská data) může být prováděna pro jiné účely a s využitím jiných technologií. Nové trendy mohou zahrnovat například zpomalení některých aplikací, které uživatelé používají, např. P2P, nebo naopak zvýšení rychlosti u některých služeb, jako jsou služby poskytující video na vyžádání pro důležité účastníky. Přestože všechny kontrolní metody technicky provádějí kontrolu paketů, úroveň narušování soukromí je jiná. Existují dvě hlavní kategorie kontrolních metod. Jedna vychází pouze z IP hlavičky, druhá kontroluje také IP uživatelská data.

Na základě informací z IP hlavičky. Kontrola IP hlavičky paketu zjišťuje některá pole, podle nichž mohou poskytovatelé internetových služeb uplatňovat řadu konkrétních zásad řízení provozu. Tyto metody vycházejí pouze z kontroly procesních dat IP hlaviček, které v zásadě obsahují jen směrovací informace, a to za jiným účelem (tj. diferenciace provozu). Když se poskytovatel internetových služeb podívá na zdrojovou IP adresu, může ji spojit s konkrétním účastníkem a může uplatnit určité zásady, například směrovat paket přes rychlejší nebo pomalejší spoj. Když se poskytovatel internetových služeb podívá na cílovou IP adresu, může také uplatnit určité zásady, například zablokovat nebo filtrovat přístup na některé internetové stránky.

Na základě hloubkové kontroly. Technologie DPI (z angl. deep packet inspection, hloubková kontrola paketů) umožňuje poskytovateli internetových služeb získat přístup k informacím určeným pouze příjemci sdělení. Jestliže se vrátíme k příkladu s poštovní službou, tato metoda se rovná otevření obálky a přečtení dopisu uvnitř za účelem provedení analýzy obsahu sdělení (zabaleného v IP paketech), aby mohla být uplatněna určitá síťová zásada. Kontrolu lze provádět různými způsoby, z nichž každý představuje pro subjekt údajů ohrožení.

33.

Kontrolní metody vycházející z kontroly IP hlaviček, a zejména pak kontroly paketů, zahrnují monitorování a filtrování těchto dat, což má závažné důsledky z hlediska soukromí a ochrany osobních údajů. Mohou být také v rozporu s právem na důvěrnost komunikace.

34.

Sledování komunikace osob má samo o sobě závažné důsledky pro soukromí a ochranu osobních údajů. Tento problém je však širší, protože v závislosti na výsledku monitorování a zachycování komunikace se mohou důsledky pro soukromí dále zvyšovat. Není samozřejmě totéž pouze kontrolovat komunikaci, např. proto, aby byla zajištěna správná funkce systému, a kontrolovat komunikaci proto, aby mohly být uplatněny zásady, které mohou mít dopad na jednotlivé osoby. Pokud je účelem uplatněných zásad pouze eliminace přetížení sítě, obvykle to nemá na soukromí jednotlivců žádný větší dopad. Ale zásady řízení provozu mohou být používány proto, aby byly zablokovány určité informace obsahu, neboli aby byla komunikace ovlivněna například behaviorální (cílená podle zájmů uživatele) reklamou. V těchto případech je dopad na soukromí závažnější. Tento problém nabývá na závažnosti, když si uvědomíme, že takovéto informace se shromažďují ne za malou skupinu jednotlivců, ale obecně za všechny zákazníky poskytovatelů internetových služeb (25). Pokud budou filtrovací metody používat všichni poskytovatelé internetových služeb, mohlo by to vést ke všeobecnému monitorování používání internetu. Navíc, pokud se zaměříme na druh zpracovávaných informací, jsou rizika pro soukromí samozřejmě vysoká, neboť řada shromažďovaných informací bude zřejmě velmi citlivá a tyto informace mají po shromáždění k dispozici poskytovatelé internetových služeb i ti, kdo si je od nich vyžádají. Navíc tyto informace mohou být velice cenné z komerčního hlediska. Samo o sobě to představuje vysoké riziko, že se původní účel plíživě změní na komerční či jiné využití shromážděných informací.

35.

Správné uplatňování monitorování a kontroly a metod filtrování musí probíhat v souladu s příslušnými kontrolními mechanismy na ochranu osobních údajů a soukromí, které stanoví hranice toho, co a za jakých okolností ještě lze. Následuje přehled příslušných kontrolních mechanismů podle současného právního rámce EU v oblasti ochrany osobních údajů a soukromí.

36.

Právní rámec EU v oblasti ochrany osobních údajů je technologicky neutrální; jako takový neupravuje konkrétní kontrolní metody, které jsou popsány výše. Směrnice o soukromí a elektronických komunikacích upravuje ochranu soukromí při poskytování služeb elektronických komunikací ve veřejných sítích (typicky jde o přístup k internetu a telefonování) (26) a směrnice o ochraně údajů upravuje zpracování osobních údajů obecně. Tento právní rámec jako celek stanoví různé povinnosti, jež se vztahují na poskytovatele internetových služeb, kteří zpracovávají a monitorují data o provozu a komunikaci.

37.

Podle právních předpisů o ochraně údajů vyžaduje zpracování osobních údajů, jako je tomu v případě zpracování údajů o provozu a komunikaci, přiměřený právní důvod. Kromě tohoto obecného požadavku mohou v některých případech platit zvláštní požadavky.

38.

V tomto případě se druh osobních údajů, které poskytovatelé internetových služeb zpracovávají, týká údajů o provozu a obsahu sdělení. Jak obsah sdělení, tak i údaje o provozu jsou chráněny právem na důvěrnost korespondence, které je zaručeno v článku 8 Evropské úmluvy o ochraně lidských práv a v článcích 7 a 8 Listiny základních práv Evropské unie. Konkrétněji čl. 5 odst. 1 směrnice o soukromí a elektronických komunikacích, který má název „Důvěrný charakter sdělení“, požaduje, aby členské státy zajistily důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací. Současně čl. 5 odst. 1 směrnice o soukromí a elektronických komunikacích předjímá, že za určitých okolností může být se souhlasem uživatelů povoleno zpracování údajů o provozu a obsahu ze strany poskytovatelů internetových služeb. Stanoví zákaz „příposlechu, odposlechu, uchovávání nebo jiných druhů zachycování či sledování sdělení a s nimi souvisejících provozních údajů osobami jinými než uživateli bez souhlasu dotčených uživatelů, pokud k takovému jednání nejsou zákonem oprávněny v souladu s čl. 15 odst. 1“. To je dále rozebráno níže.

39.

Kromě souhlasu dotčených uživatelů předjímá směrnice o soukromí a elektronických komunikacích i jiné důvody, které mohou opravňovat poskytovatele internetových služeb ke zpracování údajů o provozu a komunikaci. Relevantní právní důvody pro zpracování v tomto případě jsou i) poskytování služby; ii) zajištění bezpečnosti služby a iii) minimalizace přetížení sítě. Další možné důvody, které opravňují využívání řízení na základě údajů o provozu a komunikaci, jsou probrány níže pod bodem iv).

40.

Jak je objasněno v části IV, poskytovatelé internetových služeb zpracovávají informace o IP hlavičkách pro účely nasměrování jednotlivých IP paketů k jejich místu určení. Čl. 6 odst. 1 a 2 směrnice o soukromí a elektronických komunikacích umožňuje zpracování údajů o provozu pro účely přenosu sdělení. Poskytovatelé internetových služeb tedy mohou zpracovávat informace, které jsou nezbytné pro poskytnutí služby.

41.

Podle článku 4 směrnice o soukromí a elektronických komunikacích má poskytovatel internetových služeb obecnou povinnost učinit přiměřená opatření, aby zajistil bezpečnost svých služeb. Při filtrování virů může docházet ke zpracování IP hlaviček a uživatelských dat. Vzhledem k tomu, že článek 4 směrnice o soukromí a elektronických komunikacích vyžaduje, aby poskytovatelé internetových služeb zajistili bezpečnost sítě, opravňuje toto ustanovení kontrolní metody, při nichž jsou kontrolovány IP hlavičky a obsah výhradně za účelem dosažení tohoto cíle. V praxi to znamená, že poskytovatelé internetových služeb mohou ve stanovených hranicích dle zásady přiměřenosti (viz část V.3) monitorovat a filtrovat údaje o komunikaci, aby tak bojovali s viry a celkově zajistili bezpečnost sítě (27).

42.

Zdůvodnění k tomuto právnímu důvodu lze nalézt v 22. bodě odůvodnění směrnice o soukromí a elektronických komunikacích, který vysvětluje zákaz uchovávání sdělení uvedený v čl. 5 odst. 1. Tím se nezakazuje automatické, průběžné a přechodné uchovávání, pokud k němu dochází výhradně za účelem uskutečnění přenosu a pokud netrvá déle, než je nezbytně nutné pro účely přenosu a řízení provozu, a pokud je zaručena důvěrnost sdělení.

43.

Jestliže dojde k přetížení sítě, vyvstává otázka, zda poskytovatelé internetových služeb mají provoz přerušit, nebo opozdit, nebo raději zpomalit komunikaci, která není citlivá na čas, např. P2P nebo e-mailový provoz, aby tak umožnili průchod hlasového provozu v přijatelné kvalitě.

44.

Vzhledem k obecnému zájmu společnosti na zaručení použitelné komunikační sítě mohou poskytovatelé internetových služeb argumentovat tím, že stanovení priorit nebo přiškrcení provozu za účelem omezení přetížení sítě je legitimní opatření, které je potřebné pro poskytnutí adekvátní služby. To znamená, že v těchto případech a pro tento účel bude existovat obecný právní důvod pro zpracování osobních údajů a výslovný souhlas uživatelů není nutný.

45.

Současně však možnost zasahovat tímto způsobem není neomezená. Jestliže poskytovatelé internetových služeb potřebují kontrolovat komunikaci, musí z pohledu důvěrnosti a při přísném uplatnění zásady přiměřenosti používat nejméně narušující způsob, který mají k dispozici, aby dosáhli daného účelu (nesmějí používat technologii DPI), a mohou jej používat pouze tak dlouho, jak je nutné, aby se vyřešilo přetížení sítě.

46.

Poskytovatelé internetových služeb mohou také chtít kontrolovat údaje o provozu a komunikaci pro jiné účely, například za účelem cíleného nabízení služeb (např. službu s omezeným přístupem k P2P nebo službu, při níž je u některých aplikací rychlost zvýšena). Kontrola a další použití údajů o provozu a komunikaci pro účely jiné než poskytování služby či zajištění její bezpečnosti a omezení přetížení sítě je povoleno pouze za přísných podmínek v souladu s právním rámcem.

47.

Právní rámec představuje zejména čl. 5 odst. 1 směrnice o soukromí a elektronických komunikacích, který vyžaduje souhlas příslušných uživatelů s příposlechem, odposlechem, uchováváním či používáním jiných způsobů zachycování či kontrolování komunikace a souvisejících údajů o provozu. V praxi to znamená, že je nutný souhlas účastníků komunikace, aby bylo zpracování údajů o provozu a komunikaci oprávněné podle čl. 5 odst. 1.

48.

Jak je vysvětleno výše, vychází používání kontrolních a filtrovacích metod buď z IP hlaviček, které představují údaje o provozu, nebo z analýzy obsahu (DPI), což zahrnuje také uživatelská data a představuje údaje o komunikaci. Proto je v zásadě použití takovýchto metod pro účely jiné než poskytování služby nebo zajištění bezpečnosti zakázáno, pokud ke zpracování neexistuje oprávněný důvod, například souhlas (čl. 5 odst. 1). Příkladem uplatnění čl. 5 odst. 1 je situace, kdy se poskytovatel internetových služeb rozhodne nabízet zákazníkům nižší sazbu za přístup k internetu výměnou za souhlas se zasíláním behaviorální reklamy pomocí DPI, a tedy i s využitím údajů o komunikaci, aby tak mohl činit. Proto je podle čl. 5 odst. 1 nezbytný skutečný, konkrétní a informovaný souhlas.

49.

Navíc článek 6 směrnice o soukromí a elektronických komunikacích nazvaný „provozní údaje“ stanoví některá pravidla, jež se vztahují konkrétně na údaje o provozu. Předjímá totiž, že poskytovatelé internetových služeb budou zpracovávat údaje o provozu na základě souhlasu uživatelů s přijímáním služeb s přidanou hodnotou (28). Toto ustanovení upřesňuje požadavek na souhlas uvedený v čl. 5 odst. 1, pokud jde o údaje o provozu.

50.

V praxi nemusí být vždy snadné zjistit, například, kdy je souhlas nezbytný a kdy může zajištění bezpečnosti sítě oprávnit zpracování údajů, zejména pak v případě, že důvody pro použití kontrolních metod jsou dvojí (např. vyloučit přetížení sítě a poskytovat služby s přidanou hodnotou). Je třeba zdůraznit, že souhlas nelze považovat za snadný a systematický způsob dodržování zásad ochrany osobních údajů.

51.

S uplatňováním právního rámce a konkrétně s různými aspekty popsanými výše je jen málo zkušeností. Je to oblast, kde jsou podrobnější pokyny velmi potřebné, jak je dále rozebráno v části VI. Navíc existují další relevantní aspekty související se získáváním souhlasu, které rovněž potřebují zvláštní posouzení. Jsou popsány níže.

52.

Souhlas požadovaný podle článků 5 a 6 směrnice o soukromí a elektronických komunikacích má stejný význam jako souhlas subjektu údajů definovaný a dále upřesněný ve směrnici 95/46/ES (29). Podle čl. 2 písm. h) směrnice o ochraně údajů „souhlas subjektu údajů“ znamená „jakýkoli svobodný, výslovný a vědomý projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování“. Nedávno byla role souhlasu a požadavky na to, aby byl takový souhlas platný, předmětem stanoviska pracovní skupiny zřízené podle článku 29 (stanovisko 15/2011 o souhlasu (30)).

53.

Poskytovatelé internetových služeb vyžadující souhlas s prováděním kontroly a filtrování údajů o provozu a obsahu musí proto zajistit, aby byl souhlas svobodný a výslovný a aby představoval plně informovaný projev vůle dané osoby vyjadřující srozumění s tím, že její osobní údaje budou zpracovány. 17. bod odůvodnění směrnice o soukromí a elektronických komunikacích to potvrzuje „(…) Souhlas může být udělen jakýmkoli vhodným způsobem, který umožňuje vyjádřit svobodně poskytnutý, zvláštní a informovaný projev vůle uživatele, včetně označení zaškrtnutím políčka při návštěvě webové stránky na internetu“. V dalším textu je uvedeno několik praktických příkladů, co v této souvislosti znamená svobodný, výslovný a informovaný souhlas.

54.

Svobodný souhlas. Uživatelé by neměli být omezováni tím, že služba přístupu na internet bude spojována s udělením souhlasu.

55.

Souhlas by nebyl dán svobodně, kdyby příslušné osoby musely souhlasit s monitorováním své komunikace, aby získaly přístup ke komunikační službě. To platí zejména v případě, kdy by všichni poskytovatelé na daném trhu prováděli řízení provozu pro účely, jež jdou nad rámec zajištění bezpečnosti sítě. Jedinou zbývající možností by bylo službu přístupu na internet nepoužívat vůbec. Vzhledem k tomu, že internet se stal základním nástrojem pro práci i zábavu, nevyužívání služby přístupu na internet není platnou alternativou. Výsledkem by bylo, že by tyto osoby neměly skutečnou možnost volby, tj. nemohly by dát svůj svobodný souhlas (31).

56.

Evropský inspektor ochrany údajů se domnívá, že je jednoznačně potřebné, aby Komise a vnitrostátní orgány monitorovaly trh, zejména proto, aby zjistily, zda se tento scénář, tj. spojování telekomunikačních služeb s monitorováním komunikace ze strany poskytovatelů – nestává převažujícím trendem. Poskytovatelé musí nabízet i alternativní služby včetně takového přístupu na internet, u nějž není provoz řízen, aniž by za to účtovali vyšší ceny.

57.

Výslovný souhlas. Nutnost, aby byl souhlas výslovný, v tomto případě vyžaduje, aby poskytovatelé internetových služeb požádali o souhlas s monitorováním údajů o provozu a komunikaci jasně a zřetelně. Podle pracovní skupiny zřízené podle článku 29: „… aby byl souhlas výslovný, musí být srozumitelný: musí jasně a přesně vyjadřovat rozsah a důsledky zpracování údajů. Nemůže se týkat neurčitých činností v rámci zpracování. Jinými slovy to znamená, že kontext, v němž souhlas platí, je omezený.“ Výslovný souhlas zřejmě nebude poskytnut, pokud bude souhlas s kontrolou údajů o provozu a komunikaci „spojen“ s celkovým souhlasem s objednáním služby. Výslovnost vyžaduje použití cílených prostředků, aby byl souhlas získán, např. zvláštního formuláře pro vyjádření souhlasu nebo samostatného políčka jasně určeného pro účely monitorování (místo uvedení této informace do všeobecných smluvních podmínek a vyžadování podpisu smlouvy, tak jak je).

58.

Informovaný souhlas. Aby byl souhlas platný, musí být informovaný. Nutnost poskytnout předem přiměřené informace vyplývá nejen ze směrnice o soukromí a elektronických komunikacích a směrnice o ochraně údajů, ale také z článků 20 a 21 směrnice o univerzální službě ve znění směrnic 2009/136/ES (32). Nutnost, aby byly informace a souhlas výslovný, je potvrzena v 28. bodě odůvodnění směrnice 2009/136/ES: „Uživatelé by měli být v každém případě plně informováni o všech omezeních při používání služeb elektronických komunikací ze strany poskytovatele služby nebo sítě. Tyto informace by měly upřesnit buď typ dotčeného obsahu, aplikace nebo služby, nebo tyto konkrétní aplikace či služby, popřípadě obojí, podle rozhodnutí poskytovatele“. Dále je upřesněno, že: „Některé typy použité technologie a druhy omezení mohou vyžadovat souhlas uživatele podle směrnice 2002/58/ES“.

59.

Vzhledem ke složitosti metod monitorování je podání smysluplné informace předem jedním z hlavních problémů při získávání platného souhlasu. Spotřebitelé musí být v každém případě informováni tak, aby pochopili informace, které jsou zpracovávány, jak se používají a jaký to má vliv na výsledek pro uživatele a úroveň narušení soukromí v souvislosti s těmito metodami.

60.

To znamená, že nejen sama informace musí být jasná a pochopitelná pro průměrné uživatele, ale také že je informace podána přímo příslušným osobám, a to nápadným způsobem, aby ji nemohly přehlédnout.

61.

Projev vůle. Souhlas podle platného právního rámce rovněž vyžaduje potvrzující krok ze strany uživatele, který tím projevuje svou vůli. Implikovaný souhlas tento požadavek nesplňuje. To rovněž potvrzuje nutnost používat specializované prostředky na získání souhlasu, aby mohl poskytovatel internetových služeb kontrolovat údaje o provozu a komunikaci při používání zásad řízení provozu. Ve svém nedávném stanovisku k souhlasu zdůraznila pracovní skupina zřízená podle článku 29 nutnost nespojitosti při získávání souhlasu s ohledem na různé prvky při zpracování údajů.

62.

Dalo by se argumentovat tím, že pokud účastníci komunikace nechtějí, aby poskytovatelé internetových služeb jejich komunikaci sledovali a mohli tak používat zásady řízení provozu, mohou svou komunikaci zakódovat. Tento přístup by mohl být považován v praxi za užitečný, vyžaduje však určité úsilí a technické znalosti a nelze jej považovat za podobný svobodnému, výslovnému a informovanému souhlasu. Navíc ani používání kódovacích metod neznamená, že komunikace bude zcela důvěrná, protože poskytovatel internetových služeb bude mít přístup minimálně k informacím v IP hlavičce, aby mohl komunikaci nasměrovat, a bude také moci použít statistickou analýzu.

63.

Podle čl. 5 odst. 1 směrnice o soukromí a elektronických komunikacích musí být od příslušných uživatelů získán souhlas. V mnoha případech bude uživatelem stejná osoba jako účastník, což umožňuje podání souhlasu v okamžiku předplacení telekomunikační služby. V jiných případech, kdy se komunikace účastní více než jedna osoba, musí být souhlas dotčených uživatelů získán zvlášť. To může v praxi působit problémy, jak je rozebráno níže.

64.

V čl. 5 odst. 1 je stanovena nutnost souhlasu uživatele, aby bylo zpracování oprávněné. Souhlas musí být získán od všech uživatelů účastnících se komunikace. Důvodem je to, že komunikace se obvykle týká alespoň dvou osob (odesílatele a příjemce). Jestliže například poskytovatel internetových služeb sleduje uživatelská data odkazující na e-mail, kontroluje informace, jež se týkají jak odesílatele, tak i příjemce e-mailu.

65.

Při monitorování a sledování provozu a komunikace (například určitého provozu na internetu) může stačit, aby poskytovatelé internetových služeb získali souhlas uživatele, tedy účastníka. Je tomu tak proto, že druhý účastník komunikace, v tomto případě navštívená internetová stránka, nemůže být považován za „dotčeného uživatele“ (33). Situace však může být složitější, když takovéto monitorování zahrnuje kontrolu obsahu e-mailů, a tedy osobních údajů odesílatele a příjemce zprávy, kteří nemusí mít smluvní vztah se stejným poskytovatelem internetových služeb. V takovýchto případech poskytovatel internetových služeb skutečně zpracovává osobní údaje (jméno, e-mailovou adresu, případně i citlivé údaje o obsahu) osob, které nejsou jeho zákazníky. Z praktického hlediska by získání souhlasu těchto osob mohlo být obtížnější, neboť je nutné případ od případu, a nikoli při uzavření smlouvy o telekomunikačních službách. Není ani realistické předpokládat, že souhlas účastníka byl dán i za jiné uživatele, jak tomu často bývá u soukromých domácností.

66.

V tomto kontextu se evropský inspektor ochrany údajů domnívá, že poskytovatelé internetových služeb musí dodržovat stávající právní požadavky a realizovat takové zásady, které nezahrnují monitorování a kontrolu informací. Je to ještě důležitější s ohledem na komunikační služby, které zahrnují třetí strany, jež nemohou poskytnout souhlas s monitorováním, zejména pak u odeslaných a přijatých e-mailů (to neplatí, když účel vychází z nutnosti zajistit bezpečnost).

67.

Současně je třeba poznamenat, že vnitrostátní zákony provádějící čl. 5 odst. 1 směrnice o soukromí a elektronických komunikacích nemusí být v tomto směru vždy uspokojivé a že obecně je zřejmě nutné poskytnout lepší pokyny k požadavkům stanoveným v tomto směru ve směrnici o soukromí a elektronických komunikacích. Evropský inspektor ochrany údajů proto vyzývá Komisi, aby byla v tomto smyslu aktivnější a aby zahájila iniciativu, která by mohla čerpat z doporučení, jež orgány dozoru shromáždily v pracovní skupině zřízené podle článku 29 a od účastníků. V případě potřeby je třeba tuto záležitost předat Soudnímu dvoru, aby bylo vyjasněno, co čl. 5 odst. 1 znamená a jaké to má důsledky.

68.

V čl. 6 písm. c) směrnice o ochraně údajů je stanovena zásada přiměřenosti (34), což se vztahuje na poskytovatele internetových služeb, neboť tito poskytovatelé jsou správci údajů ve smyslu směrnice, když provádějí monitorování a filtrování.

69.

Podle této zásady musí být osobní údaje zpracovávány pouze, pokud jsou „přiměřené, podstatné a nepřesahující míru s ohledem na účely, pro které jsou shromažďovány nebo dále zpracovávány“. Uplatňování této zásady zahrnuje nutnost posoudit, jaké prostředky použité při zpracování údajů a jaký druh osobních údajů je vhodný a může pravděpodobně tento cíl splnit. Jestliže je zjištěno, že je shromažďováno více údajů, než je nezbytné, není tato zásada splněna.

70.

Dodržení zásady přiměřenosti u některých druhů kontrolních metod musí být posuzováno případ od případu. Nelze vyslovovat abstraktní závěry. Je však možné ukázat na různé konkrétní aspekty, které je třeba posoudit při hodnocení, zda je zásada přiměřenosti splněna.

71.

Množství zpracovávaných informací. Dohled nad komunikací zákazníků poskytovatelů internetových služeb na nejhlubší možné úrovni bude ve většině případů nadbytečný a nezákonný. Skutečnost, že to lze provádět pomocí prostředků, které nejsou pro jednotlivce zjevné, a že může být obtížné, aby zjistili, co se děje, zvyšuje dopad na jejich soukromí. Poskytovatelé internetových služeb musí posoudit, jaké méně narušující prostředky jsou k dispozici, aby byl dosažen potřebný výsledek. Může například místo použití analýzy obsahu dosáhnout potřebného výsledku monitorování IP hlaviček? I při používání technologie DPI může potřebné informace přinést identifikace jen některých protokolů. Vhodné může být také uplatnění bezpečnostních mechanismů na ochranu údajů, včetně pseudo-anonymizace. Výsledek takovéhoto posouzení musí potvrzovat, že zpracování osobních údajů je přiměřené.

72.

Účinky zpracování (přímo související s účely). Přiměřenost může chybět v případech, kdy poskytovatelé internetových služeb používají zásady řízení provozu vylučující přístup k některým službám, aniž by tím uživatelé získali spravedlivý podíl na výsledném výtěžku.

73.

Je důležité připomenout, že zásada přiměřenosti platí i v případě, že byly splněny ostatní závazné právní požadavky, jestliže poskytovatel internetových služeb například získal souhlas od jednotlivců s monitorováním obsahu. To znamená, že zpracování údajů prováděné formou monitorování obsahu může být nezákonné, pokud porušuje základní zásadu přiměřenosti.

74.

V článku 4 směrnice o soukromí a elektronických komunikacích je stanoven výslovný požadavek, aby poskytovatelé internetových služeb učinili technická a organizační opatření na zajištění i) toho, že k osobním údajům bude mít přístup pouze oprávněný personál, a to pro zákonné účely; ii) ochrany osobních údajů před náhodným či nezákonným zpracováním a iii) implementace bezpečnostní politiky v oblasti zpracování osobních údajů. Umožňuje také, aby příslušné vnitrostátní orgány prováděly kontroly těchto opatření.

75.

Dále podle čl. 4 odst. 3 a 2 směrnice o soukromí a elektronických komunikacích jsou poskytovatelé internetových služeb také povinni oznámit příslušným vnitrostátním orgánům případy narušení údajů a jednotlivce, kteří byli postiženi, pokud pro ně může mít odhalení jejich osobních údajů negativní důsledky.

76.

Zpracování osobních údajů uvedených v komunikaci s cílem použít zásady řízení provozu může dát poskytovatelům internetových služeb přístup k údajům, které jsou dokonce citlivější než údaje o provozu.

77.

Proto musí bezpečnostní zásady vyvinuté poskytovateli internetových služeb zahrnovat zvláštní kontrolní mechanismy, aby bylo zajištěno, že učiněná opatření jsou těmto rizikům přiměřená. Současně musí být příslušné vnitrostátní orgány, které tato opatření kontrolují, zvláště náročné. Konečně je třeba zajistit, aby byly zavedeny efektivní oznamovací postupy, kdy budou informovány subjekty údajů, jejichž údaje byly narušeny a pro něž to tedy může mít negativní důsledky.

78.

Kontrolní metody vycházející z údajů o provozu a kontroly uživatelských dat, tj. obsahu komunikace, mohou odhalit činnost uživatelů internetu: navštívené internetové stránky a činnosti prováděné na těchto stránkách, používání aplikací P2P, stahování souborů, odeslané a přijaté e-maily, od koho, s jakým předmětem a v jaké formě atd. Poskytovatelé internetových služeb by mohli chtít používat tyto informace pro účely stanovení vyšší priority u některých druhů komunikace, například u videa na vyžádání, než u jiných. Mohli by chtít používat tyto informace za účelem identifikace virů nebo vytvoření profilů, které budou sloužit behaviorální reklamě. Tyto činnosti narušují právo na důvěrnost komunikace.

79.

V závislosti na použitých metodách a specifických okolnostech daného případu se důsledky pro soukromí zvyšují. Čím hlubší je sledování a analýza shromážděných informací, tím větší je rozpor se zásadou důvěrnosti komunikace. Účely, pro něž probíhá monitorování, a bezpečnostní mechanismy, které byly zavedeny, jsou také důležité pro posouzení stupně narušení soukromí a osobních údajů jednotlivců. Blokování a monitorování pro účely boje se škodlivým obsahem s přísným omezením doby uchovávání a použití kontrolovaných údajů nelze srovnávat se situacemi, kdy jsou informace zaznamenávány za účelem vytváření individuálních profilů za účelem behaviorální reklamy.

80.

Evropský inspektor ochrany údajů se v zásadě domnívá, že stávající právní rámec EU v oblasti soukromí a ochrany osobních údajů by postačoval na zaručení, že bude dodržováno právo na důvěrnost a že nebude obecně docházet k ohrožení ochrany soukromí a osobních údajů jednotlivců (35). Poskytovatelé internetových služeb nesmí používat takové mechanismy, pokud řádně neuplatňují právní rámec. Konkrétně, mezi příslušné prvky právního rámce, které musí poskytovatelé internetových služeb vzít v úvahu a dodržovat, patří:

81.

I když právní rámec nyní obsahuje příslušné podmínky a bezpečnostní mechanismy, zvláštní pozornost je třeba věnovat tomu, zda poskytovatelé internetových služeb skutečně plní právní požadavky, zda poskytují spotřebitelům potřebné informace, aby spotřebitelé mohli provést smysluplnou volbu, a zda dodržují zásadu přiměřenosti. Na vnitrostátní úrovni patří mezi orgány k tomuto příslušné vnitrostátní telekomunikační úřady na straně jedné a na druhé straně vnitrostátní úřady na ochranu osobních údajů. Na úrovni EU patří mezi příslušné evropské subjekty BEREC. V této souvislosti může hrát roli také evropský inspektor ochrany údajů.

82.

Kromě monitorování současné úrovně dodržování právního rámce vzhledem k relativní novosti možností masivní kontroly komunikace v reálném čase vyžadují některé aspekty související s uplatňováním právního rámce, které jsou probírány v tomto stanovisku, další hlubší analýzu a bližší vysvětlení. Bude třeba vydat pokyny týkající se několika oblastí, a to:

83.

Vzhledem k tomu, že kompetence jsou v této oblasti jak na vnitrostátní úrovni, tak i na úrovni EU, evropský inspektor ochrany údajů se domnívá, že je velmi důležité vyměňovat si názory a zkušenosti, aby byly nalezeny harmonizované přístupy k výše uvedené problematice. Za tímto účelem evropský inspektor ochrany údajů navrhuje vytvořit platformu či expertní skupinu, která by zahrnovala zástupce vnitrostátních regulačních orgánů, pracovní skupinu zřízenou podle článku 29, evropského inspektora ochrany údajů a BEREC. Prvním cílem této platformy by bylo vypracovat pokyny alespoň k výše uvedeným bodům, aby byly zajištěny pevné a harmonizované přístupy a stejné podmínky. Evropský inspektor ochrany údajů vyzývá Komisi, aby se této iniciativy ujala.

84.

V neposlední řadě vnitrostátní orgány i jejich unijní protějšky, včetně sdružení BEREC a Komise EU, musí pečlivě sledovat vývoj trhu v této oblasti. Z pohledu ochrany osobních údajů a soukromí by byl scénář, kdy by poskytovatelé internetových služeb rutinně používali zásady řízení provozu a nabízeli služby na základě filtrování přístupu k obsahu a aplikacím, vysoce problematický. Pokud by k tomu mělo někdy dojít, bylo by nutné přijmout takové zákony, které by se touto situací zabývaly.

85.

Stále větší používání monitorování a kontrolních metod ze strany poskytovatelů internetových služeb ohrožuje neutralitu sítě a důvěrnost komunikace. S tím souvisejí závažné otázky týkající se ochrany soukromí uživatelů a jejich osobních údajů.

86.

Přestože se sdělení Komise k otevřenému internetu a neutralitě sítě v Evropě těmito otázkami krátce zabývá, evropský inspektor ochrany údajů se domnívá, že je třeba učinit více, abychom dospěli k uspokojivé politice do budoucna. V tomto stanovisku proto přispívá k probíhající politické debatě o neutralitě sítě, zejména pak k aspektům souvisejícím s ochranou osobních údajů a soukromí.

87.

Evropský inspektor ochrany údajů je přesvědčen, že je třeba, aby vnitrostátní orgány a BEREC monitorovaly situaci na trhu. Toto monitorování by mělo přinést jasný obraz popisující, zda se trh vyvíjí směrem k masivní kontrole komunikace v reálném čase a problémy spojené s dodržováním právního rámce.

88.

Monitorování trhu by nemělo probíhat bez další analýzy účinků, které mají nové metody v souvislosti s ochranou osobních údajů a soukromí, na internet. V tomto stanovisku jsou uvedeny některé oblasti, které by potřebovaly objasnit. I když mají agentury a subjekty EU, jako je např. BEREC, pracovní skupina zřízená podle článku 29 a evropský inspektor ochrany údajů, možnost objasnit podmínky uplatňování právního rámce, evropský inspektor ochrany údajů se domnívá, že koordinovat a řídit tuto debatu je povinností Komise. Proto vyzývá Komisi, aby se v tomto smyslu ujala iniciativy začleňující všechny zainteresované strany do platformy nebo pracovní skupiny. Mezi záležitostmi, které potřebují další analýzu, je třeba vyřešit toto:

89.

V závislosti na těchto zjištěních může být nutné přijmout další legislativní opatření. V takovém případě musí Komise zavést politická opatření směřující k posílení právního rámce a zajištění právní jistoty. Nová opatření musí objasnit praktické důsledky zásady neutrality sítě, jak to již bylo učiněno v některých členských státech, a zajistit, aby uživatelé měli skutečnou možnost volby, a to zejména tak, že poskytovatelé internetových služeb budou nuceni nabízet nemonitorované připojení.

8.2.2012   

CS

Úřední věstník Evropské unie

C 34/18

1.

Dne 4. května 2011 vydala Komise sdělení o migraci (3) (dále jen „sdělení“). Evropský inspektor ochrany údajů v souladu s článkem 41 nařízení (ES) č. 45/2001 předkládá toto stanovisko z vlastního podnětu.

2.

Před přijetím sdělení nebyl Evropský inspektor ochrany údajů (EIOÚ) konzultován. Tato skutečnost je politováníhodná, jelikož včas poskytnuté připomínky mohly pomoci řešit některé otázky nastíněné v tomto stanovisku.

3.

Cílem sdělení je zasadit do společného rámce minulé i budoucí politické návrhy tak, aby se zohlednily všechny důležité aspekty migrace a nedošlo k omezení na „krátkodobý postup, který se omezí na hraniční kontroly, aniž by zohlednil dlouhodobé aspekty“ (4). Toto sdělení bylo vydáno zejména jako reakce na současné události v severní Africe, zejména na konflikt v Libyi.

4.

Za tímto účelem se sdělení zabývá humanitární pomocí, správou hranic, vízy, azylem, potřebou přistěhovalců v ekonomice a integrací. Odkazuje na řadu legislativních návrhů, z nichž některé jsou nové a některé již byly předloženy. Mnohé z těchto návrhů se týkají správy hranic, přičemž toto téma je důležitou součástí sdělení. Některé z návrhů by znamenaly zpracování osobních údajů ve velkém měřítku.

5.

Toto sdělení je pouze jedním z řady sdělení a návrhů, jež mají být v blízké budoucnosti vydány, přičemž každé se věnuje konkrétním aspektům zahrnutým ve stávajícím sdělení. V této souvislosti závěry Evropské rady z 23.–24. června 2011 (5) zmiňují, že „k tomuto úsilí rovněž přispěje urychlení přípravy „inteligentních hranic“ s cílem zajistit, že k řešení úkolů souvisejících s dohledem nad hranicemi budou využity nové technologie. Konkrétně by měl být zaveden systém vstupu/výstupu a program registrovaných cestujících. Evropská rada vítá dosažení dohody o agentuře pro provozní řízení rozsáhlých informačních systémů v oblasti svobody, bezpečnosti a práva.“

6.

Záležitosti týkající se ochrany údajů nestojí v centru pozornosti sdělení, avšak je v něm zmíněno několik iniciativ a návrhů z oblasti správy hranic, jako například systém vstupu – výstupu a program registrovaných cestujících, které budou mít významný dopad na základní právo ochrany údajů. V této souvislosti sdělení zdůrazňuje, že hraniční kontroly významným způsobem přispívají k boji proti zločinu, a odkazuje na strategii vnitřní bezpečnosti představenou Komisí v roce 2010 (6).

7.

Mnoho ze zmíněných návrhů a iniciativ bude v budoucnosti detailněji rozpracováno, a stávající sdělení je tedy příležitostí, jak včas vyjádřit připomínky k těmto iniciativám. Pro ty iniciativy, které již byly předloženy, jako je například návrh nařízení, kterým se mění nařízení Frontex (7), se jedná o příležitost, jak zapracovat některé z nejvýznamnějších dříve učiněných připomínek, než budou definitivně přijaty Radou a Evropským parlamentem.

8.

Cílem tohoto stanoviska není analyzovat všechny dotčené oblasti politik a návrhy uvedené v daném sdělení, ale:

9.

Za tímto účelem je stanovisko rozděleno na dvě hlavní části. První část komentuje obecný přístup sdělení a obsahuje horizontální úvahy o sdělení, jako jsou například potřeba hodnocení a dopady základních práv na vytváření informačních systémů. Druhá část obsahuje cílené připomínky ke konkrétním návrhům a iniciativám (8).

10.

EIOÚ vítá cíl sdělení, aby nedošlo na „krátkodobý postup, který se omezí na hraniční kontroly, aniž zohlednil dlouhodobé aspekty“ (9). Komplexní a účinný přístup musí kromě hraničních kontrol zahrnovat i jiné aspekty.

11.

Takový komplexní přístup musí respektovat základní práva migrantů a uprchlíků, včetně jejich práva na ochranu údajů. Je to o to důležitější, že tyto skupiny se často nacházejí ve zranitelné situaci.

12.

V této souvislosti sdělení uvádí, že Unie má dvojí cíl, a sice zachovat vysokou úroveň bezpečnosti a zároveň zjednodušit překračování hranic pro ty osoby „kterým to má být dovoleno, a to v plném souladu s jejich základními právy“ (10). Taková formulace by mohla vyvolat dojem, že základní práva osob, které by z různých důvodů neměly být přijaty, nemusí být dodržována. Podle EIOÚ je zřejmé, že mezi jejich práva ne vždy patří právo usadit se na území EU a že v takových případech je nezbytná odpovídající reakce, např. navrácení, avšak je třeba vždy dodržovat základní práva.

13.

Podotýká se, že pokud jde o správu hranic, sdělení zastává přístup významně založený na používání technologií. Mimo jiné je tomu tak proto, aby se zlepšila ostraha hranic (viz plánovaný evropský systém ostrahy hranic Eurosur) (11). Dále také sdělení předpokládá prozkoumání možného zavedení nových rozsáhlých IT projektů na zpracování informací o cestujících (systém vstupu – výstupu a program registrovaných cestujících) (12). A konečně se vyslovuje pro rozšíření stávajících systémů na nové uživatele (tj. pro Eurodac) (13). Toto zaměření na technologie odráží obecný trend posledních let.

14.

EIOÚ již mnohokrát zdůrazňoval, že stávající nástroje by měly být zhodnoceny, než budou navrženy nové (14). EIOÚ v této souvislosti připomíná judikaturu Evropského soudu pro lidská práva (15) a Soudního dvora Evropské unie (16) a zdůrazňuje, že zásahy do práva na soukromý život jsou možné jen tehdy, pokud jsou „v demokratické společnosti nutné“ a jsou v souladu se zásadou přiměřenosti. Pojem nezbytnost vyžaduje přísnější důkazní břemeno než jen „užitečnost“ (17). To znamená, že jakékoliv relevantní návrhy musí být doprovázeny jasným důkazem nezbytnosti a přiměřenosti.

15.

Takový důkaz by měl být opatřen posouzením dopadů na soukromí (18), které vycházejí z dostatečných důkazů (19). Selektivní využití statistiky a odhadů není dostačující. EIOÚ si je vědom skutečnosti, že shromažďování spolehlivých informací o jevu, jakým je například nelegální migrace, je obtížné; nicméně tato posouzení dopadů by měla zohlednit i alternativní řešení problémů, a minimalizovat tak dopad na základní práva (20). Pouhý fakt, že technologická řešení jsou proveditelná, ještě neznamená, že jich je za potřebí a že jsou přiměřená.

16.

Pokud posouzení dopadů povede k závěru, že je zapotřebí nových rozsáhlých IT systémů, měl by být při jejich vytváření zohledněn koncept „ochrana soukromí již od návrhu“. Kontroloři by měli být schopni dokázat, že při vytváření systémů přijali vhodná opatření na ochranu soukromí. To by mohlo snížit negativní dopad nových opatření na soukromí (nebo zvýšit pozitivní dopad). Takový přístup schvaluje i Komise (21). Uplatňování konceptu „ochrana soukromí již od návrhu“ v souvislosti se systémy, jako je systém vstupu – výstupu zmíněný ve sdělení, by znamenalo omezení sběru osobních dat na nezbytné minimum, omezení délky uchovávání údajů a zpracování údajů by k subjektům údajů bylo příznivější, pokud jde o soukromí a transparentnost.

17.

Navíc se musí dodržovat i zásada účelového omezení. Je třeba předejít „rozšiřování o neplánované funkce“. Sdělení například předpokládá znovuzavedení iniciativy, díky níž by donucovací agentury získaly přístup k systému Eurodac (22), což – zdá se – potvrzuje trend umožňovat donucovacím orgánům přístup do rozsáhlých systémů EU a také to vyvolává otázku rozšíření původního záměru systému. Udělování dodatečného přístupu k databázím orgánům je záležitost, která může mít závažné dopady: databáze považovaná za přiměřenou, používá-li se pro jeden konkrétní účel, se může stát nepřiměřenou, pokud se její použití následně rozšíří (23).

18.

Z toho důvodu EIOÚ požaduje, aby jakékoliv (stávající a nové) návrhy obsahující omezení základního práva na ochranu údajů byly opatřeny jasným důkazem o nezbytnosti (24). Navíc, pokud se má za to, že rozsáhlé IT systémy jsou zapotřebí, měly by být navrženy v souladu s principem „ochrana soukromí již od návrhu“. Prováděná opatření by navíc měla být pravidelně hodnocena, aby se stanovilo, zda jsou stále zapotřebí.

19.

Sdělení odkazuje na přístup donucovacích orgánů k systému Eurodac s tím, že Eurodac by také měl, kromě toho, že bude nadále podporovat účinnost dublinského nařízení, „sloužit i jiným potřebám donucovacích orgánů“ (25).

20.

Návrh na reformu nařízení Eurodac z prosince roku 2008 (26) neobsahoval ustanovení pro přístup donucovacích orgánů. Ta byla zahrnuta v návrhu předloženém Komisí v září roku 2009 (27). V únoru roku 2010 Komise přijala pozměněný návrh (28), který již ustanovení pro přístup donucovacích orgánů neobsahoval a byl podobný návrhu původnímu.

21.

Ve svém stanovisku ze dne 15. prosince 2010 o systému Eurodac EIOÚ uvítal vypuštění přístupu donucovacích orgánů (29) a připomněl, že takové použití pro jiné účely musí být založeno na jasném důkazu prokazujícím souvislost mezi žadateli o azyl a terorismem nebo závažnou trestnou činností. Navíc musí být při posuzování nezbytnosti a přiměřenosti takového přístupu zohledněna tísnivá situace žadatelů o azyl.

22.

Reforma nařízení o systému Eurodac je součástí zavádění evropského azylového systému, který by měl v souladu se Stockholmským programem začít fungovat do roku 2012 (30). Jedním z důvodů, které Komise uvedla k vypuštění přístupu donucovacích orgánů v návrhu z října roku 2010, bylo, že nezahrnutí tohoto kontroverzního opatření by mohlo usnadnit přijetí azylového balíčku (31). Souvisí to také se zaváděním agentury pro provozní řízení rozsáhlých informačních systémů v rámci prostoru svobody, bezpečnosti a práva (32).

23.

Na tomto pozadí a ve světle předchozích připomínek zaujímá EIOÚ stanovisko, že doposud nebyly předloženy dostatečně jasné a spolehlivé důkazy o potřebě znovu zavést přístup donucovacích orgánů k systému Eurodac. O takovémto znovuzavedení by se mohlo diskutovat až ve chvíli, kdy by bylo provedeno nové posouzení dopadů, které by zohlednilo obavy o soukromí. Zpřístupnění systému pro donucovací orgány by navíc vyžadovalo značné úpravy databáze systému Eurodac, aby byl takto upravený přístup bezpečný. Technické a finanční dopady zpřístupnění by bylo také zapotřebí zohlednit v novém posouzení dopadů (33).

24.

Znovuzavedení návrhu by dále mohlo mít významný dopad na načasování azylového balíčku jako celku. Komise neuvádí datum, kdy by měl být nový návrh předložen; nezmiňuje se ani o tom, zda by takový návrh doprovázelo nové posouzení dopadů.

25.

Komise má také v plánu vydat v září roku 2011 sdělení o inteligentních hranicích. Toto sdělení by mělo stavět na iniciativách pro systém vstupu – výstupu a na programu registrovaných cestujících. Komise si je vědoma, že tyto projekty by vyžadovaly „značné investice“, aby se zajistily „vysoké standardy ochrany osobních údajů“ (34).

26.

Pokud jde o systém vstupu – výstupu, Komise tuto iniciativu obhajuje tvrzením, že „překročení povolené délky pobytu“ je „hlavním zdrojem nedovoleného přistěhovalectví v EU“ (35). Vyjma této poznámky sdělení nevysvětluje záměr tohoto systému.

27.

Snížení počtu osob s překročenou povolenou délkou pobytu jistě může mít pozitivní dopady. EIOÚ chápe, že systém vstupu – výstupu by mohl příslušníky třetích zemí odradit od překračování povolené délky pobytu, pokud by věděli, že budou pravděpodobně automaticky identifikováni ve chvíli, kdy vyprší platnost jejich víz. Zůstává však několik nejasností.

28.

Doposud v členských státech neexistuje konzistentní politika týkající se fenoménu překročení povolené délky pobytu. Pojem „překročení povolené délky k pobytu“ obecně není dobře definován; shodnout se na všeobecné definici tohoto termínu by bylo nezbytným prvním krokem směrem k lepšímu porozumění problému (36).

29.

Všechny doposud dostupné číselné údaje jsou navíc odhady (37). Vyjasnění rozsahu problému by bylo předpokladem pro odůvodněné posouzení nezbytnosti.

30.

Stávajícím opatřením, které má konkrétním osobám zabránit ve vstupu do Schengenského prostoru, jsou záznamy podle článku 96 Úmluvy k provedení Schengenské dohody. Pomocí těchto záznamů je možno zabránit známým osobám, které překročily povolenou dobu pobytu, v opětovném vstupu (38). Ve svém nedávném sdělení Komise vyzvala členské státy, aby této možnosti využívaly v co největším měřítku (39), z čehož vyplývá, že opatření v současné době není plně využíváno.

31.

Systém vstupu – výstupu by také pravděpodobně spoléhal na biometrické prvky. EIOÚ sice uznává možné výhody používání biometrických prvků, avšak je jeho povinností zdůraznit i jejich slabé stránky. Veškeré používání biometrických prvků musí doprovázet přísná zajištění a měla by být zohledněna rizika chyby (40). V tomto ohledu EIOÚ podporuje zavedení souboru minimálních kritérií souvisejících s používáním biometrických prvků, jako jsou spolehlivost biometrických prvků, cílené posouzení dopadů biometrických prvků, přesnost a záložní postupy (41). Dále, určitá část dotčených osob nemá otisky prstů, které by daný systém byl schopen číst (42). Pokud má systém vstupu – výstupu zahrnovat i biometrické prvky, musel by zároveň zajistit záložní řešení pro takové cestující (43).

32.

EIOÚ by také rád upozornil na zkušenosti se systémem US-VISIT (United States Visitor and Immigrant Status Indicator Technology), což je obdobný systém fungující v USA. V systému US-VISIT je většina příslušníků třetích zemí povinna poskytnout při vstupu na území USA biometrické údaje. Část „výstup“ tohoto systému je pořád ještě ve vývoji. V roce 2009 byly provedeny dva pilotní testy sběru biometrických údajů pro tuto část systému (44). Ministerstvo vnitřní bezpečnosti Spojených států uznalo, že výsledky těchto testů byly „přehnané vzhledem k omezením systému vztahujícím se na případy, kdy záznamy ADIS nezohlednily aktuální statut cestujících vzhledem k nedávným změnám či rozšířením statusu“ (45). Tyto testy také porovnaly cestující s několika seznamy, ovšem „žádný z (…) případů shody by nezabránil odjezdu“ (46). Celkem Ministerstvo vnitřní bezpečnosti Spojených států vynaložilo zhruba 1,3 miliardy USD na vývoj části „vstupu“ systému US-VISIT (47). To vyvolává otázku, zda je systém vstupu – výstupu nákladově efektivním opatřením pro snížení překračování povolené doby pobytu.

33.

Stručně řečeno, záměr takového systému, ani způsob jeho vytvoření a uplatňování nejsou dostatečně jasné. Jde-li o nutnost jednat, neexistuje jasná definice ústředního pojmu „překročení povolené délky pobytu“, a neexistují tedy spolehlivé statistické údaje o rozměru problému. Co se týče potřebných opatření, stávající nástroje, jež mají zabránit osobám s překročenou povolenou dobou pobytu v opětovném vstupu na území, se pravděpodobně nevyužívají v takové míře, jak by měly; biometrický prvek systému vstupu – výstupu vyvolává otázky. Pokud jde o proveditelnost tohoto systému a náklady na něj, zkušenosti z USA naznačují, že systém vstupu – výstupu by byl na zavedení finančně náročný. Zmíněné body zpochybňují nezbytnost a nákladovou účinnost systému vstupu – výstupu.

34.

Sdělení dále zmiňuje zavedení programu registrovaných cestujících. Není zcela jasné, jaká by byla přidaná hodnota takového systému v porovnání například s používáním víz pro opakovaný vstup s dlouhou dobou platnosti. Cílové skupiny by byly tytéž (pravidelní cestující). Faktem je, že stále trvá „neochota“ (48) vydávat taková víza, což samo o sobě nemůže být důvodem pro navrhování nových opatření v situaci, kdy stávající opatření – pokud by byla plně využívána – by umožnila plnit stejné cíle. Ve světle výše uvedeného není EIOÚ plně přesvědčen, že tohoto systému je skutečně zapotřebí.

35.

Sdělení navíc odkazuje na koncept cestujících „bona fide“ (strana 11), což souvisí převážně s programem registrovaných cestujících. Taková formulace může být nepřímo vykládána jako vytvoření skupiny cestujících „mala fide“. Pouze cestující, kteří učiní kroky navíc, přihlásí se do programu registrovaných cestujících a poskytnou dodatečné osobní údaje, by byli považování za cestující „v dobré víře“. Cestující obecně by již nebyli považováni za osoby, které vstupují na území Unie v dobré víře, pokud neexistují konkrétní důkazy vzbuzující podezření, ale sami cestující by se museli vyvinit poskytnutím dodatečných informací o své osobě, a to i v případě absence jakýchkoliv důkazů. Toto naznačuje, že prohlášením některých cestujících za cestující „v dobré víře“, by ti, kteří nechtějí poskytnout dodatečné informace, byli de facto označeni za cestující „ve špatné víře“, přestože takové odmítnutí poskytnout dodatečné informace může být oprávněné, např. osoba necestuje často (49).

36.

Sdělení žádá „užší spolupráci mezi úřady“, mezi úřadem Europol, agenturou Frontex a vnitrostátními celními a policejními orgány, což se jeví jako „nezbytné“, zejména pokud jde o spolupráci mezi orgány pohraniční stráže a celními orgány (50). Tuto spolupráci podpoří návrhy osvědčených postupů, které mají být předloženy v roce 2012. Komise také oznámila, že v průběhu roku 2011 předloží legislativní návrh, který umožní agenturám členských států, jež provádějí ostrahu hranic „sdílet provozní informace a spolupracovat spolu navzájem, jakož i s agenturou Frontex“ (51). A konečně, v současné době se v Radě a v Evropském parlamentu projednává návrh na aktualizaci právního rámce agentury Frontex, aby mohla „operovat účinnějším způsobem“ (52).

37.

S cílem zajistit soudržnost a vytvořit přidanou hodnotu s ohledem na ochranu údajů by příslušná ustanovení v právních základech pro uzavírání možných dohod o spolupráci a pro výměnu osobních údajů mezi agenturou Frontex a agenturami, s nimiž má spolupracovat, měla být koherentní a konzistentní, aby v oblasti pravidel pro ochranu údajů zajistila plnou spolupráci mezi subjekty.

38.

EIOÚ dále připomíná body vznesené ve svém stanovisku k návrhu na reformu nařízení o agentuře Frontex (53), zejména potřebu jasného právního základu pro zpracování osobních údajů. Pokud bude agentuře Frontex svěřen mandát pro výměnu osobních údajů, měla by s ním souviset silná a jasná ustanovení o právech subjektů údajů, a také další zabezpečení. Jakékoliv ustanovení umožňující agentuře Frontex zpracování nebo výměnu osobních údajů by mělo být přesné a jasně vymezené.

39.

Komise také na prosinec roku 2011 plánuje předložit legislativní návrh, který určuje cíl, působnost a technický a operační rámec evropského systému ochrany hranic (Eurosur) (54). Tento návrh by měl „na pozemních a námořních hranicích (…) zajistit větší využívání moderní technologie“ (55), a také zajistit výměnu provozních informací o incidentech (56). To souvisí i s agenturou Frontex, jelikož Komise má v plánu předložit další návrh, který by umožnil orgánům členských států, které provádějí ostrahu hranic, sdílet navzájem mezi sebou a s agenturou Frontex provozní informace (57).

40.

Není jasné, zda a nakolik by to zahrnovalo zpracování osobních údajů (58). EIOÚ vyzývá Komisi, aby tyto záležitosti v nadcházejících návrzích vyjasnila.

41.

Sdělení se zmiňuje, že je potřeba zvážit proveditelnost vytvoření evropského systému pohraniční stráže. Z textu není jasné, jak by tento systém mohl vypadat. Podle textu by se nemuselo „nutně“ (59) jednat o centrální správu, což stále ještě nechává otevřenou možnost, že by to centrální správa mohla být. Pokud by neměla existovat centrální správa, navrhuje Komise, mimo jiné, že bude zapotřebí zlepšit „sdílené kapacity“ a „praktickou spolupráci“ (60).

42.

Není jasné, zda je cílem lepší uplatňování stávajících opatření, nebo zda úprava směřuje k novým, dosud nezveřejněným návrhům. Vzhledem k tomu, že „praktická spolupráce“ by nejspíš zahrnovala i výměnu osobních údajů, což by nutně muselo mít právní základ, měla by být upřesněna v budoucích návrzích, pokud se má v projektu pokračovat.

43.

V souladu se zavedenou judikaturou Soudního dvora Evropské unie a Evropského soudu pro lidská práva EIOÚ připomíná požadavek nezbytnosti a přiměřenosti pro všechny (stávající i nové) návrhy, které narušují základní práva na soukromí a ochranu údajů. Pro každý návrh by musela být posouzením dopadů na soukromí prokázána nezbytnost.

44.

Při navrhování a vytváření nových, rozsáhlých IT systémů musí být dodrženy princip „ochrany soukromí již od návrhu“ a zásada účelového omezení.

45.

EIOÚ zdůrazňuje, že jakékoliv použití biometrických prvků by měla doprovázet přísná ochranná opatření a záložní postupy pro osoby, které nemohou být zapsány. Obecněji řečeno, měly by být vytvořeny minimální podmínky pro používání biometrických údajů.

46.

Dále EIOÚ vybízí Komisi, aby objasnila rozsah působnosti a obsah svých návrhů zmíněných v tomto sdělení. Týká se to ohlášených legislativních návrhů ohledně systému vstupu – výstupu, programu registrovaných cestujících, systému Eurosur, agentury Frontex a meziagenturní spolupráce, stejně jako sdělení o inteligentních hranicích a evropském systému pohraniční stráže.

47.

Také vyzývá Komisi, aby znovu nezaváděla návrh o přístupu donucovacích orgánů do systému Eurodac, pokud nové posouzení dopadů jasně neprokáže nezbytnost takového návrhu, včetně technických a finančních dopadů pro systém.

48.

EIOÚ bude tento vývoj pozorně sledovat a vydávat dodatečné připomínky, kde to bude vhodné. V duchu dobré spolupráce je připraven k dalším konzultacím.

8.2.2012   

CS

Úřední věstník Evropské unie

C 34/27

8.2.2012   

CS

Úřední věstník Evropské unie

C 34/28

1.

Společný postoj 2002/402/SZBP (1) vyzývá Evropskou unii ke zmrazení prostředků a hospodářských zdrojů členů organizace Al-Kajdá a dalších osob, skupin, podniků a subjektů s nimi spojených, které jsou uvedeny na seznamu vypracovaném na základě rezolucí Rady bezpečnosti OSN č. 1267 (1999) a 1333 (2000), který by měl být pravidelně aktualizován výborem OSN zřízeným podle rezoluce Rady bezpečnosti OSN č. 1267 (1999).

Na seznamu vypracovaném tímto výborem jsou uvedeni:

Činy nebo jednání, které naznačují, že osoba, skupina, podnik nebo subjekt je „spojen se“ sítí Al-Kajdá, zahrnují:

2.

Výbor OSN se dne 25. ledna 2012 rozhodl zařadit na příslušný seznam Monira Chouku, Yassina Chouku a Mevlüta Kara. Tyto osoby mohou kdykoli ombudsmanovi OSN předložit žádost s podpůrnou dokumentací, aby bylo rozhodnutí o jejich zařazení na výše uvedený seznam OSN přezkoumáno. Žádost je třeba zaslat na adresu:

Další informace viz http://www.un.org/sc/committees/1267/delisting.shtml

3.

V návaznosti na rozhodnutí OSN uvedené v odstavci 2 přijala Komise nařízení (EU) č. 97/2012 (2), kterým se mění příloha I nařízení Rady (ES) č. 881/2002 o zavedení některých zvláštních omezujících opatření namířených proti některým osobám a subjektům spojeným se sítí Al-Kajdá (3). Touto změnou se podle čl. 7 odst. 1 písm. a) a čl. 7a odst. 1 nařízení (ES) č. 881/2002 zařadí osoby Monir Chouka, Yassin Chouka a Mevlüt Kar do seznamu v příloze I nařízení („příloha I“).

Na osoby a subjekty zařazené do přílohy I se vztahují následující opatření podle nařízení (ES) č. 881/2002:

4.

Podle článku 7a nařízení (ES) č. 881/2002 (5) je v případě, kdy osoba, subjekt, orgán nebo skupina zařazená na seznam předloží připomínky k důvodům tohoto zařazení, proveden přezkum příslušného rozhodnutí. Osoby a subjekty, jejichž jména byla přidána do přílohy I podle nařízení (EU) č. 97/2012, mohou Komisi požádat o objasnění důvodů jejich zařazení na uvedené seznamy. Tuto žádost je třeba zaslat na adresu:

5.

Dotčené osoby a subjekty se rovněž upozorňují na to, že mohou nařízení (EU) č. 97/2012 napadnout u Tribunálu Evropské unie, a to v souladu s podmínkami stanovenými ve čtvrtém a šestém pododstavci článku 263 Smlouvy o fungování Evropské unie.

6.

Pro pořádek se osoby a subjekty zařazené do přílohy I upozorňují na to, že mají možnost požádat příslušné orgány daného členského státu (členských států) uvedené v příloze II nařízení (ES) č. 881/2002, aby jim vydaly povolení použít zmrazené prostředky a jiné hospodářské zdroje na základní potřeby nebo konkrétní platby v souladu s článkem 2a uvedeného nařízení.