ISSN 1725-5163

doi:10.3000/17255163.C_2009.229.ces

Úřední věstník

Evropské unie

C 229

European flag  

České vydání

Informace a oznámení

Svazek 52
23. září2009


Oznámeníč.

Obsah

Strana

 

I   Usnesení, doporučení a stanoviska

 

STANOVISKA

 

Evropský inspektor ochrany údajů

2009/C 229/01

Stanovisko Evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady, kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o poskytnutí mezinárodní ochrany podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států (KOM(2008) 820 v konečném znění)

1

2009/C 229/02

Stanovisko Evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady o zřízení systému Eurodac pro porovnávání otisků prstů za účelem účinného uplatňování nařízení (ES) č. […/…], kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o poskytnutí mezinárodní ochrany podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států, (KOM(2008) 825)

6

2009/C 229/03

Stanovisko Evropského inspektora ochrany údajů k podnětu Francouzské republiky ohledně rozhodnutí Rady o používání informačních technologií pro celní účely (5903/2/09 REV 2)

12

2009/C 229/04

Stanovisko Evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady, kterým se mění, pokud jde o farmakovigilanci humánních léčivých přípravků, nařízení (ES) č. 726/2004, kterým se stanoví postupy Společenství pro registraci humánních a veterinárních léčivých přípravků a dozor nad nimi a kterým se zřizuje Evropská agentura pro léčivé přípravky a k návrhu směrnice Evropského parlamentu a Rady, kterou se mění směrnice 2001/83/ES o kodexu Společenství týkajícím se humánních léčivých přípravků, pokud jde o farmakovigilanci

19

 

IV   Informace

 

INFORMACE ORGÁNŮ A INSTITUCÍ EVROPSKÉ UNIE

 

Komise

2009/C 229/05

Směnné kurzy vůči euru

27

 

INFORMACE ČLENSKÝCH STÁTŮ

2009/C 229/06

Aktualizace seznamu hraničních přechodů podle čl. 2 odst. 8 nařízení Evropského parlamentu a Rady (ES) č. 562/2006, kterým se stanoví kodex Společenství o pravidlech upravujících přeshraniční pohyb osob (Schengenský hraniční kodex) (Úř. věst. C 316, 28.12.2007, s. 1; Úř. věst. C 134, 31.5.2008, s. 16; Úř. věst. C 177, 12.7.2008, s. 9; Úř. věst. C 200, 6.8.2008, s. 10; Úř. věst. C 331, 31.12.2008, s. 13; Úř. věst. C 3, 8.1.2009, s. 10; Úř. věst. C 37, 14.2.2009, s. 10; Úř. věst. C 64, 19.3.2009, s. 20; Úř. věst. C 99, 30.4.2009, s. 7)

28

 

V   Oznámení

 

ŘÍZENÍ TÝKAJÍCÍ SE PROVÁDĚNÍ SPOLEČNÉ OBCHODNÍ POLITIKY

 

Komise

2009/C 229/07

Oznámení o antidumpingových opatřeních týkajících se dovozu dusičnanu amonného pocházejícího z Ruska

30

CS

 


I Usnesení, doporučení a stanoviska

STANOVISKA

Evropský inspektor ochrany údajů

23.9.2009   

CS

Úřední věstník Evropské unie

C 229/1


Stanovisko Evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady, kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o poskytnutí mezinárodní ochrany podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států (KOM(2008) 820 v konečném znění)

2009/C 229/01

EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,

s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 286 této smlouvy,

s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 této listiny,

s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1),

s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (2), a zejména na článek 41 tohoto nařízení,

s ohledem na žádost o stanovisko v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 obdrženou od Komise dne 3. prosince 2008,

ZAUJAL TOTO STANOVISKO:

I.   ÚVOD

Konzultace s evropským inspektorem ochrany údajů

1.

Návrh nařízení Evropského parlamentu a Rady, kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o poskytnutí mezinárodní ochrany podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států (dále jen „návrh“ nebo „návrh Komise“) zaslala Komise dne 3. prosince 2008 ke konzultaci evropskému inspektorovi ochrany údajů v souladu s čl. 28 odst. 2 nařízení č. 45/2001/ES. Tato konzultace by měla být výslovně zmíněna v preambuli nařízení.

2.

Evropský inspektor ochrany údajů přispěl k návrhu v dřívější etapě a mnohé z bodů, které neformálně nadnesl během přípravného procesu, byly zohledněny Komisí v konečném znění návrhu.

Návrh v souvislostech

3.

Návrh představuje přepracované znění nařízení Rady (ES) č. 343/2003 ze dne 18. února 2003, kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o azyl podané státním příslušníkem třetí země v některém z členských států (3) (dále jen „Dublinské nařízení“). Byl předložen Komisí jako součást prvního balíčku návrhů, jejichž cílem je zajistit vyšší stupeň harmonizace v této oblasti a lepší standardy ochrany společného evropského azylového systému, jak to požaduje Haagský program ze 4. a 5. listopadu 2004 a jak bylo oznámeno v plánu politiky týkající se azylu předloženém Komisí dne 17. června roku 2008. Haagský program vyzval Komisi, aby ukončila hodnocení právních nástrojů první fáze a předložila Radě a Evropskému parlamentu právní nástroje a opatření pro druhou fázi tak, aby byly přijaty do roku 2010.

4.

Návrh byl předmětem intenzivního procesu hodnocení a konzultací. Přihlíží zejména k výsledkům zprávy Komise o hodnocení dublinského systému ze dne 6. června 2007 (4), která odhalila řadu právních i praktických nedostatků stávajícího systému, jakož i k příspěvkům různých zúčastněných stran předloženým Komisi v reakci na zelenou knihu o budoucím společném evropském azylovém systému (5).

5.

Prvořadým cílem návrhu je zvýšit účinnost dublinského systému a zajistit vyšší standardy ochrany poskytované žadatelům o mezinárodní ochranu, na které se vztahuje dublinské řízení. Kromě toho je zaměřen na posílení solidarity vůči těm členským státům, které čelí mimořádným migračním tlakům (6).

6.

Návrh rozšiřuje oblast působnosti Dublinského nařízení, aby se vztahovalo i na žadatele o podpůrnou ochranu (a osoby, které této ochrany požívají). Změna je nezbytná k dosažení souladu s acquis EU, konkrétně se směrnicí Rady 2004/83/ES ze dne 29. dubna 2004 o minimálních normách, které musí splňovat státní příslušníci třetích zemí nebo osoby bez státní příslušnosti, aby mohli žádat o postavení uprchlíka nebo osoby, která z jiných důvodů potřebuje mezinárodní ochranu, a o obsahu poskytnuté ochrany (7) (dále jen „kvalifikační směrnice“), kde se zavádí pojem podpůrné ochrany. Návrh rovněž sjednocuje definice a terminologii používané v Dublinském nařízení s těmi, které jsou obsaženy v ostatních nástrojích týkajících se azylu.

7.

S cílem zlepšit účinnost systému návrh určuje zejména lhůtu k předložení žádostí o přijetí zpět a zkracuje lhůtu pro odpověď na žádosti o informace. Návrh rovněž ujasňuje ustanovení o zániku příslušnosti, jakož i okolnosti a postupy pro uplatňování diskrečních ustanovení (ustanovení o svrchovanosti a humanitární ustanovení). Jsou v něm doplněna pravidla týkající se přemisťování a je rozšířen stávající mechanismus řešení sporů. Návrh rovněž obsahuje ustanovení o povinném pohovoru.

8.

S cílem zvýšit úroveň ochrany poskytované žadatelům návrh Komise dále stanoví právo na odvolání proti rozhodnutí o přemístění, jakož i povinnost příslušného orgánu rozhodnout o možnosti pozastavení jeho výkonu. Návrh se zabývá otázkou práva na právní pomoc nebo zastoupení a jazykovou pomoc. Návrh rovněž odkazuje na zásadu, že by nikdo neměl být zadržován pouze proto, že žádá o mezinárodní ochranu. Rozšiřuje rovněž právo na sloučení rodiny a zabývá se potřebami nezletilých osob bez doprovodu a jiných ohrožených skupin.

Zaměření stanoviska

9.

Toto stanovisko se má zabývat zejména změnami znění, které jsou nejpodstatnější z hlediska ochrany osobních údajů:

ustanovení zaměřená na lepší provádění práva na informace, tzn. že byly ujasněny obsah, forma a časové rozvržení poskytování informací a že bylo navrženo přijmout společný informační leták,

zavádí se nový mechanismus sdílení příslušných informací mezi členskými státy před přemístěním,

používání zabezpečeného kanálu pro přenos údajů DubliNet pro výměnu informací.

II.   OBECNÉ POZNÁMKY

10.

Evropský inspektor ochrany údajů podporuje cíle návrhu Komise, zejména zvýšení účinnosti dublinského systému a zajištění vyšších standardů ochrany poskytované žadatelům o mezinárodní ochranu, na které se vztahuje dublinské řízení. Rovněž chápe příčiny, pro které Komise rozhodla provést revizi dublinského systému.

11.

Zajištění přiměřené úrovně ochrany osobních údajů je nezbytnou podmínkou pro to, aby bylo rovněž zajištěno účinné provádění a vysoká úroveň ochrany dalších základních práv. Evropský inspektor ochrany údajů vydává toto stanovisko s plným vědomím rozměru návrhu v oblasti základních práv, který se týká nejen zpracování osobních údajů, ale také mnoha dalších práv státních příslušníků třetích zemí nebo osob bez státní příslušnosti, jakými jsou zejména právo na azyl, právo na informace v širším smyslu, právo na sloučení rodiny, právo na účinný opravný prostředek, právo na svobodu a volný pohyb, práva dětí a nezletilých osob bez doprovodu.

12.

Jak 34. bod odůvodnění návrhu, tak i důvodová zpráva zdůrazňují úsilí vynaložené normotvůrcem na zajištění souladu návrhu s Listinou základních práv. Důvodová zpráva v této souvislosti výslovně odkazuje na ochranu osobních údajů a právo na azyl. Důvodová zpráva rovněž zdůrazňuje skutečnost, že návrh byl podroben podrobnému přezkoumání s cílem zajistit, aby jeho ustanovení byla zcela slučitelná se základními právy, která představují obecné zásady práva Společenství i mezinárodního práva. Vzhledem k pravomocem evropského inspektora ochrany údajů se však toto stanovisko zaměří v první řadě na ty aspekty návrhu, které se týkají ochrany údajů. Evropský inspektor ochrany údajů v této souvislosti vítá značnou pozornost, která je v návrhu věnována tomuto základnímu právu, což považuje za podstatné pro zajištění účinnosti dublinského řízení v plném souladu s požadavky ohledně základních práv.

13.

Evropský inspektor ochrany údajů rovněž bere na vědomí, že návrh Komise usiluje o soulad s dalšími právními nástroji upravujícími zřízení anebo využívání jiných rozsáhlých systémů informačních technologií. Zejména si přeje zdůraznit, že dělba odpovědnosti vzhledem k databázi i způsob, jakým je v návrhu formulován model dohledu, jsou v souladu s rámcem Schengenského informačního systému druhé generace a Vízového informačního systému.

14.

Evropský inspektor ochrany údajů vítá, že jeho úloha v oblasti dohledu je jasně upravena, čemuž tak ze zřejmých důvodů v předchozím znění nebylo.

III.   PRÁVO NA INFORMACE

15.

Čl. 4 odst. 1 (písm. f–g) návrhu stanoví:

„Po podání žádosti o mezinárodní postup informují příslušné orgány členských států žadatele o azyl o uplatňování tohoto nařízení, a to zejména o:

f)

skutečnosti, že si příslušné orgány mohou o žadateli mezi sebou vyměňovat údaje pouze za účelem výkonu povinností podle tohoto nařízení;

g)

existenci práva na přístup k údajům, které se ho týkají, a právu požadovat, aby nepřesné údaje, které se ho týkají, byly opraveny, nebo aby byly vymazány nezákonně zpracované údaje, které se ho týkají, včetně práva na informace o postupech při uplatňování těchto práv a o kontaktních údajích vnitrostátních orgánů příslušných pro ochranu údajů, u kterých lze podat stížnost ohledně ochrany osobních údajů“.

V čl. 4 odst. 2 jsou popsány způsoby, jakými by informace uvedené v odstavci 1 ustanovení měly být poskytnuty žadateli.

16.

Účinné uplatňování práva na informace je klíčové pro řádné fungování dublinského řízení. Zejména je podstatné zajistit, aby informace byly poskytovány způsobem, který žadatelům o azyl umožňuje plně pochopit jejich situaci i rozsah práv, včetně procedurálních kroků, které mohou podniknout v návaznosti na správní rozhodnutí v jejich věci.

17.

Pokud jde o praktické aspekty uplatňování práva, evropský inspektor ochrany údajů by rád poukázal na skutečnost, že v souladu s čl. 4 odst. 1 písm. g) a odst. 2 návrhu by členské státy měly používat společný leták pro žadatele, který bude kromě jiných informací obsahovat „kontaktní údaje o vnitrostátních orgánech příslušných pro ochranu údajů, u kterých lze podat stížnost ohledně ochrany osobních údajů“. V souvislosti s tím si evropský inspektor ochrany údajů přeje zdůraznit, že vnitrostátní orgány pro ochranu údajů uvedené v čl. 4 odst. 2 návrhu jsou sice ve skutečnosti příslušné pro posuzování stížností ohledně ochrany osobních údajů, avšak že znění návrhu by nemělo žadateli (subjekt údajů) bránit, aby svou stížnost podal především u správce údajů (v tomto případě příslušné vnitrostátní orgány pověřené spoluprací podle Dublinského nařízení). Zdá se, že stávající znění čl. 4 odst. 2 znamená, že žadatel by měl svou žádost podat – přímo a v každém případě – u vnitrostátního orgánu pro ochranu údajů, zatímco standardní postup a praxe v členských státech jsou takové, že žadatel podává svou stížnost nejprve u správce údajů.

18.

Evropský inspektor ochrany údajů rovněž navrhuje, že by znění čl. 4 odst. 1 písm. g) mělo být přeformulováno, aby se tak vyjasnila práva žadatele. Navrhované znění je nejasné, neboť může být vykládáno tak, že považuje „právo na informaci o postupech při uplatnění těchto práv (…)“ za součást práva na přístup k údajům anebo práva žádat opravu nepřesných údajů (…). Kromě toho mají členské státy v souladu se stávajícím zněním výše zmíněného ustanovení informovat žadatele nikoli o obsahu práv, nýbrž o jejich „existenci“. Jelikož se zřejmě jedná o stylistickou otázku, navrhuje evropský inspektor ochrany údajů přeformulovat čl. 4 odst. 1 písm. g) takto:

„Po podání žádosti o mezinárodní ochranu informují příslušné orgány členských států žadatele o azyl o (…):

g)

právu na přístup k údajům, které se jich týkají, a právu žádat opravu nepřesných údajů, které se jich týkají, nebo vymazání údajů, které byly zpracovány v rozporu se zákonem, jakož i o postupech při uplatnění těchto práv včetně kontaktních údajů o orgánech uvedených v článku 33 tohoto nařízení a o vnitrostátních orgánech pro ochranu údajů“.

19.

Pokud jde o metody poskytování informací žadatelům, odkazuje evropský inspektor ochrany údajů na práci vykonanou skupinou pro koordinaci dohledu nad systémem EURODAC (8) (složenou ze zástupců orgánů pro ochranu údajů každého zúčastněného státu a evropského inspektora ochrany údajů). Tato skupina v současné době posuzuje tuto otázku v rámci systému EURODAC s cílem navrhnout příslušné pokyny, jakmile budou k dispozici a sestaveny výsledky vnitrostátních vyšetřování. Ačkoliv se toto koordinované vyšetřování konkrétně týká systému EURODAC, jsou jeho zjištění pravděpodobně zajímavá i v kontextu Dublinského nařízení, neboť se zabývají otázkami, jako jsou jazyky/překlady a posouzení skutečného pochopení informací ze strany žadatelů o azyl atd.

IV.   ZAMĚŘENÍ NA TRANSPARENTNOST

20.

Pokud jde o orgány zmíněné v článku 33 návrhu, evropský inspektor ochrany údajů vítá skutečnost, že Komise zveřejní v Úředním věstníku Evropské unie souhrnný seznam orgánů uvedených v odstavci 1 výše uvedeného ustanovení. Pokud dojde ke změnám, zveřejní Komise jednou ročně aktualizovaný souhrnný seznam. Zveřejnění souhrnného seznamu pomůže zajistit transparentnost a usnadnit dohled prováděný orgány pro ochranu údajů.

V.   NOVÝ MECHANISMUS PRO VÝMĚNU INFORMACÍ

21.

Evropský inspektor ochrany údajů bere na vědomí zavedení nového mechanismu pro výměnu příslušných informací mezi členskými státy před přemístěním (stanovený v článku 30 návrhu). Domnívá se, že účel této výměny informací je legitimní.

22.

Evropský inspektor ochrany údajů bere rovněž na vědomí existenci zvláštních ochranných opatření na ochranu údajů v návrhu podle čl. 8 odst. 1–3 směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, jako jsou: a) výslovný souhlas žadatele anebo jeho zástupce; b) okamžité vymazání údajů přemisťujícím členským státem po přemístění; a c) „zpracovávání údajů o osobním zdravotním stavu pouze odborným zdravotnickým pracovníkem, který je podle vnitrostátních právních předpisů nebo pravidel, jež stanoví příslušné vnitrostátní orgány, vázán povinností zachovávat profesní tajemství, nebo jinou osobou rovněž podléhající obdobné povinnosti mlčenlivosti“ (po absolvování vhodné lékařské přípravy). Podporuje rovněž skutečnost, že výměna bude prováděna pouze prostřednictvím zabezpečeného systému DubliNet a předem vyrozuměnými orgány.

23.

Způsob uspořádání mechanismu má zásadní význam pro jeho soulad s režimem ochrany údajů, zejména vzhledem k tomu, že výměna informací se bude vztahovat i na velmi citlivé osobní údaje, jakými jsou například údaje „o jakýchkoli zvláštních potřebách žadatele, který má být přemístěn, které mohou v konkrétních případech zahrnovat i informace o fyzickém a duševním zdraví dotyčné osoby.“ Evropský inspektor ochrany údajů v této souvislosti plně podporuje začlenění článku 36 návrhu, který zavazuje členské státy, aby přijaly nezbytná opatření a zajistily, že jakékoli zneužití údajů (…) podléhá sankcím podle vnitrostátního práva, včetně správních anebo trestních sankcí.

VI.   ÚPRAVA VÝMĚNY INFORMACÍ V RÁMCI DUBLINSKÉHO SYSTÉMU

24.

Článek 32 návrhu Komise upravuje sdílení informací. Evropský inspektor ochrany údajů se na tomto ustanovení v dřívější fázi podílel a podporuje znění navržené Komisí.

25.

Evropský inspektor ochrany údajů zdůrazňuje, že je důležité, aby si orgány členských států vyměňovaly informace o fyzických osobách prostřednictvím sítě DubliNet. Umožní to nejen poskytnout lepší bezpečnost, nýbrž také zajistit lepší sledovatelnost transakcí. Evropský inspektor ochrany údajů v tomto ohledu odkazuje na pracovní dokument útvarů Komise ze dne 6. června 2007„Průvodní dokument ke zprávě Komise Evropskému parlamentu a Radě o hodnocení dublinského systému“ (9), ve kterém Komise připomíná, že „že použití sítě DubliNet je vždy závazné, kromě výjimek uvedených v čl. 15 odst. 1 druhém pododstavci“ nařízení Komise (ES) č. 1560/2003 ze dne 2. září 2003, kterým se stanoví prováděcí pravidla k nařízení Rady (ES) č. 343/2003, kterým se stanoví kritéria a postupy pro určení státu příslušného k posuzování žádosti o azyl podané státním příslušníkem třetí země v některém z členských států (10) (dále jen „Dublinské prováděcí nařízení“). Evropský inspektor ochrany údajů trvá na tom, že možnost odchýlit se od použití sítě DubliNet, zmíněná ve výše uvedeném čl. 15 odst. 1, by měla být vykládána restriktivně.

26.

K zajištění toho byla do návrhu vložena některá ustanovení nebo byla přepracována a evropský inspektor ochrany údajů vítá veškeré toto úsilí. Tak byl například přepracován nový čl. 33 odst. 4 návrhu s cílem vyjasnit, že nejen žádosti, ale i odpovědi a veškerá písemná korespondence podléhají pravidlům týkajícím se zřízení bezpečných prostředků elektronického přenosu (stanoveným v čl. 15 odst. 1 Dublinského prováděcího nařízení). Cílem vypuštění odstavce 2 v novém článku 38, který v předchozím znění (článek 25) ukládal členským státům povinnost zasílat žádosti a odpovědi „způsobem, při němž je vydán doklad o přijetí“, je navíc vyjasnit, že by členské státy měly používat sítě DubliNet i v tomto ohledu.

27.

Evropský inspektor ochrany údajů bere na vědomí, že výměna osobních informací je v rámci dublinského systému upravena poměrně málo. Přestože určité aspekty výměny byly již v prováděcím Dublinském nařízení vyřešeny, zdá se, že současná úprava nezahrnuje všechna hlediska výměny osobních informací, což je politováníhodné (11).

28.

V této souvislosti stojí za zmínku, že tato otázka výměny informací týkajících se žadatelů o azyl byla předmětem jednání skupiny pro koordinaci dohledu nad systémem EURODAC. Aniž by předjímal výsledky práce této skupiny, evropský inspektor ochrany údajů si přeje zmínit již v této fázi, že jedním z možných doporučení by mohlo být přijetí souboru pravidel podobných těm, která byla schválena v příručce SIRENE.

VII.   ZÁVĚRY

29.

Evropský inspektor ochrany údajů podporuje návrh Komise týkající se nařízení, kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o poskytnutí mezinárodní ochrany podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států. Chápe rovněž příčiny pro revizi stávajícího systému.

30.

Evropský inspektor ochrany údajů vítá soulad návrhu Komise s jinými právními nástroji upravujícími složitý právní rámec v této oblasti.

31.

Evropský inspektor ochrany údajů vítá značnou pozornost, která je v návrhu věnována dodržování základních práv, zejména ochraně osobních údajů. Považuje tento přístup za základní předpoklad pro zlepšení dublinského řízení. Upozorňuje zákonodárce zejména na nový mechanismus výměny údajů, které budou mimo jiné zahrnovat i obzvláště citlivé osobní údaje žadatelů o azyl.

32.

Evropský inspektor ochrany údajů by rovněž rád poukázal na důležitou práci, kterou v této oblasti vykonala skupina pro koordinaci dohledu nad systémem EURODAC, a věří, že výsledky práce této skupiny mohou užitečným způsobem přispět ke zlepšení vlastností systému.

33.

Evropský inspektor ochrany údajů se domnívá, že některé poznámky učiněné v tomto stanovisku mohou být dále rozvinuty při praktickém provádění revidovaného systému. Konkrétně zamýšlí podílet se na vypracování prováděcích opatření týkajících se výměny informací prostřednictvím sítě DubliNet, jak je uvedeno v 24. až 27. bodu tohoto stanoviska.

V Bruselu dne 18. února 2009.

Peter HUSTINX

evropský inspektor ochrany údajů


(1)  Úř. věst. L 281, 23.11.1995, s. 31.

(2)  Úř. věst. L 8, 12.1.2001, s. 1.

(3)  Úř. věst. L 50, 25.2.2003, s. 1.

(4)  KOM(2007) 299.

(5)  KOM(2007) 301.

(6)  Viz odůvodnění návrhu.

(7)  Úř. věst. L 304, 30.9.2004, s. 12.

(8)  K vysvětlení práce a statusu skupiny viz: http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/79. Tato skupina provádí koordinovaný dohled nad systémem EURODAC. Z hlediska ochrany údajů však bude mít její práce také dopad v obecném kontextu na výměnu informací podle Dublinského nařízení. Tyto informace se vztahují na stejný subjekt údajů a jsou vyměňovány ve stejném řízení, které se ho týká.

(9)  SEK(2007) 742.

(10)  Úř. věst. L 222, 5.9.2003, s. 3.

(11)  Je to o to zřejmější, když se učiní srovnání s rozsahem, v jakém byla upravena výměna doplňujících informací v rámci Schengenského informačního systému (SIRENE).


23.9.2009   

CS

Úřední věstník Evropské unie

C 229/6


Stanovisko Evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady o zřízení systému „Eurodac“ pro porovnávání otisků prstů za účelem účinného uplatňování nařízení (ES) č. […/…], kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o poskytnutí mezinárodní ochrany podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států, (KOM(2008) 825)

2009/C 229/02

EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,

s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 286 této smlouvy,

s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 této listiny,

s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1),

s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (2), a zejména na článek 41 tohoto nařízení,

s ohledem na žádost Komise o stanovisko v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 přijatou dne 3. prosince 2008,

ZAUJAL TOTO STANOVISKO:

I.   ÚVOD

Konzultace s evropským inspektorem ochrany údajů

1.

Komise dne 3. prosince 2008 předložila v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 evropskému inspektorovi ochrany údajů (dále rovněž „EIOÚ“) ke konzultaci návrh nařízení Evropského parlamentu a Rady o zřízení systému „Eurodac“ pro porovnávání otisků prstů za účelem účinného uplatňování nařízení (ES) č. […/…], kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o poskytnutí mezinárodní ochrany podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států (dále jen „návrh“ nebo „návrh Komise“). Tato konzultace by měla být výslovně uvedena v preambuli nařízení.

2.

Jak je zmíněno v důvodové zprávě, EIOÚ k vypracování tohoto návrhu přispíval již v dřívější fázi a mnoho bodů, na které neformálně poukázal, bylo v konečném znění návrhu Komise zohledněno.

Souvislosti návrhu

3.

Nařízení Rady 2725/2000/ES ze dne 11. prosince 2000 (3) o zřízení systému „Eurodac“ (dále jen „nařízení EURODAC“) vstoupilo v platnost dne 15. prosince 2000. EURODAC, systém informačních technologií s působností po celém Společenství, byl vytvořen, aby usnadnil uplatňování Dublinské úmluvy, jejímž cílem je vytvoření jasného a fungujícího mechanismu pro určení odpovědnosti za posuzování žádostí o azyl podaných v jednom z členských států. Dublinská úmluva byla poté nahrazena právním nástrojem Společenství – nařízením Rady (ES) č. 343/2003 ze dne 18. února 2003, kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o azyl podané státním příslušníkem třetí země v některém z členských států (4) (dále jen „dublinské nařízení“) (5). Provoz systému EURODAC byl zahájen dne 15. ledna 2003.

4.

Návrh je revidovaným zněním nařízení EURODAC a jeho prováděcího nařízení, tj. nařízení Rady 407/2002/ES, a má mimo jiné za cíl:

zvýšit účinnost provádění nařízení EURODAC,

zajistit soudržnost s acquis v oblasti azylu, ve kterém od přijetí výše uvedeného nařízení došlo k vývoji,

aktualizovat některá ustanovení s ohledem na vývoj situace po přijetí nařízení,

vytvořit nový rámec pro řízení.

5.

Je rovněž třeba zdůraznit, že jedním z hlavních cílů návrhu je zajistit lepší dodržování základních práv, zejména ochranu osobních údajů. Účelem tohoto stanoviska je zjistit, zda jsou ustanovení tohoto návrhu v souladu s uvedeným cílem.

6.

V návrhu jsou zohledněny výsledky zprávy o hodnocení dublinského systému, kterou v červnu roku 2007 předložila Komise (dále jen „hodnotící zpráva“) a která je zaměřena na první 3 roky fungování systému EURODAC (2003–2005).

7.

Z hodnotící zprávy Komise vyplynulo, že systém stanovený v nařízení je v členských státech prováděn celkově uspokojivě, avšak přesto v ní byly vymezeny určité otázky v souvislosti s účinností stávajících ustanovení a bylo poukázáno na problémy, které je třeba vyřešit za účelem zlepšení systému EURODAC a snadnějšího uplatňování dublinského nařízení. Hodnotící zpráva zejména zaznamenala, že některé členské státy stále předávají otisky prstů se zpožděním. Nařízení EURODAC v současnosti stanoví jen velmi obecnou lhůtu pro předávání otisků prstů, což může v praxi způsobovat značná zpoždění. Tato otázka má pro účinnost systému zásadní význam, protože jakékoliv zpoždění přenosu může vést k výsledkům, jež jsou v rozporu se zásadami odpovědnosti stanovenými v dublinském nařízení.

8.

V hodnotící zprávě bylo rovněž zdůrazněno, že neexistence účinného postupu, který by členským státům umožnil navzájem se informovat o statusu žadatele o azyl, vede k neefektivní správě vymazávání údajů. Členské státy, které vkládají údaje o určité osobě, často nevědí o tom, že jiný členský stát původu údaje vymazal, a proto si neuvědomují, že by měly své údaje vztahující se k téže osobě rovněž vymazat. V důsledku toho nelze zajistit dostatečné dodržování zásady, že „žádné údaje by neměly být uchovávány ve formě umožňující identifikaci subjektů údajů déle, než je nezbytné pro dosažení účelů, pro které jsou shromažďovány“.

9.

Kromě toho podle analýzy předložené v hodnotící zprávě brání nejasné určení vnitrostátních orgánů, které mají přístup do systému EURODAC, výkonu dozorčí role Komise a evropského inspektora ochrany údajů.

Zaměření stanoviska

10.

Vzhledem k tomu, že evropský inspektor ochrany údajů v současnosti zastává funkci dozorčího orgánu pro systém EURODAC, návrh Komise a kladný výsledek přezkumu systému EURODAC jako celku jej zvláště zajímají.

11.

Evropský inspektor ochrany údajů bere na vědomí, že návrh obsahuje různé aspekty týkající se základních práv žadatelů o azyl, jako je právo na azyl, v širším smyslu právo na informace a právo na ochranu osobních údajů. Vzhledem k hlavnímu poslání EIOÚ se však toto stanovisko zaměří převážně na otázky ochrany osobních údajů, kterými se zabývá revidované nařízení. V této souvislosti EIOÚ vítá skutečnost, že se v návrhu věnuje značná pozornost respektování osobních údajů a práva na jejich ochranu. Rád by využil této příležitosti k tomu, aby zdůraznil, že zajištění vysoké úrovně ochrany osobních údajů a její účinnější provádění v praxi je třeba považovat za základní předpoklad lepšího fungování systému EURODAC.

12.

Stanovisko se převážně zabývá následujícími změnami znění, protože mají největší význam z hlediska ochrany osobních údajů:

dozor ze strany evropského inspektora ochrany údajů, a to i v případech, kdy je část řízení systému svěřena jinému subjektu (například soukromé společnosti),

postup snímání otisků prstů, včetně stanovení věkové hranice,

práva subjektu údajů.

II.   OBECNÉ POZNÁMKY

13.

Evropský inspektor ochrany údajů vítá, že návrh usiluje o zajištění souladu s jinými právními nástroji, které upravují zavádění nebo používání jiných informatických systémů s širokou oblastí působnosti. Zejména sdílení odpovědnosti za databáze, jakož i způsob, jakým je v návrhu koncipován systém dozoru, jsou v souladu s právními nástroji, kterými se zřizuje Schengenský informační systém druhé generace (SIS II) a Vízový informační systém (VIS).

14.

Evropský inspektor ochrany údajů bere na vědomí, že návrh je v souladu se směrnicí 95/46/ES a nařízením (ES) č. 45/2001. V této souvislosti zejména vítá nové body odůvodnění č. 17, 18 a 19, které stanoví, že na zpracování osobních údajů prováděné podle navrhovaného nařízení členskými státy a dotčenými orgány a institucemi Společenství se použije směrnice 95/46/ES a nařízení (ES) č. 45/2001.

15.

EIOÚ v neposlední řadě upozorňuje na to, že je třeba zajistit plný soulad mezi systémem EURODAC a dublinskými nařízeními, a rád by v tomto stanovisku poskytl přesnější informace ohledně tohoto souladu. Nicméně konstatuje, že určitými aspekty této otázky se návrh již zabýval, například v důvodové zprávě, ve které se uvádí, že „soulad s dublinským nařízením (jakož i ohled na obavy v souvislosti s ochranou údajů, zejména zásadu proporcionality) bude zajištěn harmonizací doby ukládání údajů o státních příslušnících třetích zemí nebo osobách bez státní příslušnosti, jimž byly sejmuty otisky prstů v souvislosti s neoprávněným překročením vnější hranice s dobou, na niž čl. 14. odst. 1 dublinského nařízení ukládá povinnosti na základě těchto údajů (tj. na dobu jednoho roku).“

III.   KONKRÉTNÍ POZNÁMKY

III.1   Dozor vykonávaný evropským inspektorem ochrany údajů

16.

Evropský inspektor ochrany údajů vítá dozorčí systém stanovený v návrhu, jakož i konkrétní úkoly, které mu byly svěřeny podle článků 25 a 26 návrhu. Podle článku 25 je evropský inspektor ochrany údajů pověřen dvěma úkoly dozoru:

„kontroluje, zda jsou činnosti řídícího orgánu související se zpracováváním osobních údajů prováděny v souladu s tímto nařízením“ (čl. 25 odst. 1), a

„zajistí, aby byl alespoň každým čtvrtým rokem v souladu s mezinárodními auditorskými standardy proveden audit činností řídícího orgánu souvisejících se zpracováváním osobních údajů“.

Článek 26 se zabývá otázkou spolupráce dozorčích orgánů členských států a evropského inspektora ochrany údajů.

17.

Evropský inspektor ochrany údajů rovněž konstatuje, že návrh obsahuje obdobný přístup, jaký byl použit u SIS II a VIS: víceúrovňový systém dozoru, v jehož rámci vnitrostátní orgány na ochranu údajů vykonávají dozor na úrovni členských států a evropský inspektor ochrany údajů vykonává dozor na úrovni EU, přičemž systém zahrnuje spolupráci mezi oběma úrovněmi. Koncepce systému spolupráce obsažená v návrhu rovněž odráží stávající postupy, které se osvědčily a které podporují úzkou spolupráci mezi evropským inspektorem ochrany údajů a vnitrostátními orgány na ochranu údajů. Evropský inspektor ochrany údajů proto vítá její formalizaci v návrhu a skutečnost, že normotvůrce při vypracování příslušných ustanovení současně zajistil soudržnost s dozorčími systémy jiných informatických systémů s širokou působností.

III.2   Subdodávky

18.

Evropský inspektor ochrany údajů konstatuje, že se návrh nezabývá otázkou zadání části úkolů Komise subdodavateli, kterým může být jiná organizace nebo subjekt (například soukromá společnost). Zadávání subdodávek nicméně Komise běžně používá v rámci řízení a rozvoje systémů i komunikační infrastruktury. Zadávání subdodávek samo o sobě sice není v rozporu s požadavky souvisejícími s ochranou údajů, avšak je zapotřebí zavést vysoké záruky, které zajistí, že zadáváním činností subdodavatelům nebude nijak dotčena použitelnost nařízení (ES) č. 45/2001, včetně dozoru EIOÚ v oblasti ochrany údajů. Kromě toho by měly být přijaty další záruky spíše technického charakteru.

19.

Evropský inspektor ochrany údajů v této souvislosti navrhuje, aby v rámci přezkumu nařízení EURODAC byly stanoveny obdobné právní záruky jako v právních nástrojích, kterými se zřizuje SIS II, přičemž je třeba upřesnit, že i v případě, kdy Komise pověří řízením systému jiný subjekt, toto pověření „nepříznivým způsobem neovlivní případný účinný kontrolní mechanismus podle práva Společenství, ať se jedná o Soudní dvůr, Účetní dvůr nebo evropského inspektora ochrany údajů“ (čl. 15 odst. 7 rozhodnutí a nařízení o SIS II).

20.

Tato ustanovení jsou formulována ještě přesněji v článku 47 nařízení o SIS II, který stanoví: „V případě, že Komise (…) pověří jiný orgán plněním svých povinností (…), zajistí, aby měl evropský inspektor ochrany údajů právo a možnost plně vykonávat své úkoly, včetně možnosti provádět kontroly na místě nebo vykonávat jiné pravomoci, které na něj byly přeneseny podle článku 47 nařízení (ES) č. 45/2001.“

21.

Výše uvedená ustanovení zajistí nezbytné vyjasnění důsledků, které s sebou nese zadávání části úkolů Komise jiným subjektům. Evropský inspektor ochrany údajů proto navrhuje, aby byla do znění návrhu Komise doplněna ustanovení, jejichž cílem je dosáhnout téhož účinku.

III.3   Postup snímání otisků prstů (čl. 3 odst. 5 a článek 6)

22.

Čl. 3 odst. 5 návrhu se zabývá postupem snímání otisků prstů. V článku se stanoví, že tento postup „se určí a uplatní v souladu s vnitrostátními zvyklostmi daného členského státu a v souladu se zárukami stanovenými Listinou základních práv Evropské unie, Evropskou úmluvou o ochraně lidských práv a základních svobod a Úmluvou Organizace spojených národů o právech dítěte.“ Článek 6 návrhu stanoví, že otisky prstů mají být sejmuty všem žadatelům o azyl starším 14 let, a to nejpozději do 48 hodin od podání žádosti.

23.

Za prvé, evropský inspektor ochrany údajů v souvislosti s věkovou hranicí zdůrazňuje, že je nutné zajistit soulad návrhu s dublinským nařízením. Systém EURODAC byl zaveden za účelem zajištění účinného uplatňování dublinského nařízení. To znamená, že pokud bude mít výsledek probíhajícího přezkumu dublinského nařízení dopad na jeho uplatňování na nezletilé žadatele o azyl, mělo by to být zohledněno i v nařízení EURODAC (6).

24.

Za druhé, pokud jde obecně o stanovení věkové hranice pro snímání otisků prstů, evropský inspektor ochrany údajů by rád poukázal na to, že z většiny aktuálně dostupné dokumentace vyplývá, že přesnost identifikace podle otisků prstů se s přibývajícím věkem snižuje. V této souvislosti je vhodné se pozorně řídit studií týkající se snímání otisků prstů, která je prováděna v rámci zavádění VIS. Aniž by předjímal výsledky této studie, evropský inspektor ochrany údajů by rád již v této fázi zdůraznil, že ve všech případech, kdy není možné otisky prstů sejmout nebo kdy by sejmutí otisků nemělo spolehlivé výsledky, je důležité použít alternativní postupy, které by měly plně respektovat důstojnost dotyčné osoby.

25.

Za třetí, evropský inspektor ochrany údajů bere na vědomí úsilí normotvůrce o zajištění souladu ustanovení o snímání otisků prstů s požadavky v oblasti lidských práv podle mezinárodního i evropského práva. Upozorňuje však na problémy, které v řadě členských států vyvstaly v souvislosti s určováním věku mladých žadatelů o azyl. Žadatelé o azyl nebo nelegální přistěhovalci velmi často nemají doklady totožnosti a pro rozhodnutí, zda jim mají být odebrány otisky prstů, je nutné určit jejich věk. Metody, které jsou pro tento účel používány, vyvolávají v jednotlivých členských státech řadu diskusí.

26.

Evropský inspektor ochrany údajů v této souvislosti upozorňuje na skutečnost, že koordinační skupina pro dozor nad systémem EURODAC (7) zahájila v této věci koordinované vyšetřování, jehož výsledky (očekávané v průběhu první poloviny roku 2009) by měly usnadnit stanovení společných postupů v této oblasti.

27.

Na závěr části věnované této otázce evropský inspektor ochrany údajů konstatuje, že je třeba na úrovni EU lépe koordinovat a v maximální možné míře harmonizovat postupy pro snímání otisků prstů.

III.4   Nejlepší dostupné techniky (článek 4)

28.

Čl. 4 odst. 1 návrhu stanoví: „Po přechodném období odpovídá za provozní řízení systému EURODAC řídící orgán financovaný ze souhrnného rozpočtu Evropské unie. Řídící orgán zajistí ve spolupráci s členskými státy, aby se pro ústřední systém využívaly nejlepší dostupné technologie určené na základě analýzy nákladů a přínosů.“ Přestože evropský inspektor ochrany údajů vítá požadavek stanovený v čl. 4 odst. 1, rád by poukázal na to, že výraz „nejlepší dostupné technologie“ použitý ve výše uvedeném ustanovení by měl být nahrazen zněním „nejlepší dostupné techniky“, které zahrnuje jak používané technologie, tak způsob, jakým je systém navržen, vystavěn, udržován a provozován.

III.5   Předčasné vymazání údajů (článek 9)

29.

Čl. 9 odst. 1 návrhu se zabývá otázkou předčasného vymazání údajů. Toto ustanovení ukládá členským státům původu povinnost vymazat z ústředního systému „údaje o osobě, která získá občanství některého členského státu před uplynutím doby uvedené v článku 8“, jakmile se členský stát původu dozví, že daná osoba získala toto občanství. Evropský inspektor ochrany údajů vítá povinnost vymazat údaje, protože je plně v souladu se zásadou kvality údajů. Evropský inspektor ochrany údajů se navíc domnívá, že přezkum tohoto ustanovení představuje příležitost vybídnout členské státy k zavedení postupů, jež zajistí spolehlivé a včasné (pokud možno automatické) vymazání údajů v případě, že osoba získá státní občanství některého z členských států.

30.

Evropský inspektor ochrany údajů by kromě toho rád poukázal na to, že znění čl. 9 odst. 2 týkající se předčasného vymazání údajů by mělo být přepracováno, protože navrhované znění je nejasné. Evropský inspektor ochrany údajů navrhuje rovněž stylistickou změnu, a to nahrazení slova „předal“ slovem „předaly“.

III.6   Doba uchovávání údajů o státních příslušnících třetích zemí zadržených v souvislosti s neoprávněným překročením hranice (článek 12)

31.

Článek 12 návrhu se zabývá uchováváním údajů. Evropský inspektor ochrany údajů by rád poznamenal, že stanovení doby 1 roku pro uchovávání údajů (namísto 2 let ve stávajícím znění nařízení) představuje správné uplatňování zásady kvality údajů, podle které by údaje neměly být uchovávány déle, než je nutné pro splnění účelu, ke kterému jsou zpracovávány. Jedná se tedy o vítané zlepšení znění.

III.7   Seznam orgánů majících přístup do systému EURODAC (článek 20)

32.

Ustanovení o zveřejnění seznamu orgánů majících přístup do systému EURODAC řídícím orgánem je vítanou úpravou. Napomůže to dosáhnout větší transparentnosti a vytvořit praktický nástroj pro lepší dozor nad systémem, například prostřednictvím vnitrostátních orgánů na ochranu údajů.

III.8   Záznamy (článek 21)

33.

Článek 21 návrhu se týká uchovávání záznamů o všech úkonech zpracování údajů v rámci ústředního systému. Čl. 21 odst. 2 stanoví, že tyto záznamy lze použít pouze pro sledování přípustnosti zpracovávání údajů (…). V této souvislosti by bylo možné upřesnit, že zahrnuta jsou rovněž opatření interní kontroly.

III.9   Práva zúčastněných osob (článek 23)

34.

Čl. 23 odst. 1 písm. e) návrhu zní takto:

„Každou osobu, které se týká toto nařízení, informuje členský stát původu (…) o:

e)

existenci práva na přístup k údajům, které se jí týkají, a práva žádat opravu nepřesných údajů, které se jí týkají, nebo vymazání údajů, které se jí týkají a které byly zpracovány v rozporu se zákonem, včetně práva na informace o postupech při uplatňování těchto práv a o kontaktních údajích vnitrostátních dozorčích orgánů podle čl. 25 odst. 1, u kterých lze podat stížnost ohledně ochrany osobních údajů.“

35.

Evropský inspektor ochrany údajů bere na vědomí, že účinné uplatňování práva na informace má zásadní význam pro řádné fungování systému EURODAC. Zejména je důležité zajistit, aby informace byly poskytovány způsobem, jenž žadatelům o azyl umožní plně pochopit jejich situaci i rozsah práv, včetně procedurálních kroků, které mohou podniknout v návaznosti na správní rozhodnutí v jejich věci.

36.

Pokud jde o praktické aspekty uplatňování práva, evropský inspektor ochrany údajů by rád zdůraznil, že vnitrostátní orgány na ochranu údajů jsou sice příslušné pro posuzování stížností týkajících se ochrany osobních údajů, avšak že znění návrhu by nemělo žadateli (zúčastněné osobě / subjektu údajů) bránit, aby stížnost podal nejprve ke správci údajů. Ze stávajícího znění čl. 23 odst. 1 písm. e) vyplývá, že žadatel by měl svou žádost podat – přímo a vždy – u vnitrostátního orgánu na ochranu údajů, zatímco standardní postup a praxe v členských státech jsou takové, že žadatel podává svou stížnost nejprve u správce údajů.

37.

Evropský inspektor ochrany údajů rovněž navrhuje, že by znění čl. 23 odst. 1 písm. e) mělo být přeformulováno, aby se vyjasnila práva žadatele. Navrhované znění je nejasné, protože je lze vykládat tak, že považuje „právo na informace o postupech při uplatnění těchto práv (…)“ za součást práva na přístup k údajům nebo práva žádat opravu nepřesných údajů (…). Kromě toho mají členské státy v souladu se stávajícím zněním výše zmíněného ustanovení informovat osoby, na které se nařízení vztahuje, nikoli o obsahu práv, nýbrž o jejich „existenci“. Vzhledem k tomu, že se zřejmě jedná o stylistickou otázku, evropský inspektor ochrany údajů navrhuje přeformulovat znění čl. 23 odst. 1 písm. e) takto:

„Každou osobu, které se týká toto nařízení, informuje členský stát původu (…) o (…):

g)

právu na přístup k údajům, které se jí týkají, a práva žádat opravu nepřesných údajů, které se jí týkají, nebo vymazání údajů, které se jí týkají a které byly zpracovány v rozporu se zákonem, jakož i o postupech při uplatnění těchto práv a o kontaktních údajích vnitrostátních dozorčích orgánů podle čl. 25 odst. 1“.

38.

Ve stejném smyslu by mělo být znění čl. 23 odst. 10 změněno takto: „V každém členském státě pomáhá jeho vnitrostátní dozorčí orgán v případě potřeby (nebo: na žádost zúčastněné osoby) a v souladu s čl. 28 odst. 4 směrnice 95/46/ES zúčastněné osobě při výkonu jejích práv“. EIOÚ by rád znovu zdůraznil, že zásah vnitrostátního orgánu na ochranu údajů by v zásadě neměl být nutný; správce údajů by naproti tomu měl být vybízen k tomu, aby řádně odpovídal na stížnosti zúčastněných osob. Stejná zásada platí i v případě, že je zapotřebí spolupráce mezi orgány různých členských států. Odpovědnost za vyřizování žádostí by primárně měli nést správci údajů, kteří by za tímto účelem měli spolupracovat.

39.

Pokud jde o čl. 23 odst. 9, EIOÚ vítá nejen samotný cíl tohoto ustanovení (které stanoví kontrolu používání „zvláštních vyhledávání“, jak doporučily vnitrostátní orgány na ochranu údajů ve své první zprávě z koordinovaných vyšetřování), ale rovněž s uspokojením bere na vědomí navrhovaný postup, kterým by tohoto cíle mělo být dosaženo.

40.

Pokud jde o postupy poskytování informací žadatelům, evropský inspektor ochrany údajů odkazuje na činnost koordinační skupiny pro dozor nad systémem EURODAC. Tato skupina v současnosti o dané otázce jedná v rámci systému EURODAC s cílem navrhnout – jakmile budou známy a shrnuty výsledky vnitrostátních šetření – příslušné hlavní směry.

IV.   ZÁVĚRY

41.

EIOÚ vyjadřuje podporu návrhu nařízení Evropského parlamentu a Rady o zřízení systému EURODAC pro porovnávání otisků prstů za účelem účinného uplatňování nařízení (ES) č. […/…], kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o poskytnutí mezinárodní ochrany podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států.

42.

EIOÚ vítá systém dozoru, který je součástí návrhu, jakož i úlohu a úkoly, které mu byly v rámci nového systému svěřeny. Navrhovaný systém odráží stávající postupy, které se osvědčily.

43.

EIOÚ bere na vědomí, že návrh usiluje o zajištění souladu s jinými právními nástroji, které upravují zavádění nebo používání jiných informatických systémů se širokou oblastí působnosti.

44.

EIOÚ vítá skutečnost, že se v návrhu věnuje značná pozornost respektování základních práv a zejména ochraně osobních údajů. Jak již bylo zmíněno ve stanovisku k přezkumu dublinského nařízení, EIOÚ považuje tento přístup za základní předpoklad lepšího fungování azylových řízení v Evropské unii.

45.

EIOÚ upozorňuje na to, že je třeba zajistit plný soulad mezi systémem EURODAC a dublinskými nařízeními.

46.

EIOÚ má za to, že je třeba na úrovni EU lépe koordinovat a harmonizovat postupy snímání otisků prstů bez ohledu na to, zda se týkají žadatelů o azyl nebo jiných osob, na něž se vztahují postupy v rámci systému EURODAC. Zvláště upozorňuje na otázku věkové hranice pro snímání otisků prstů a zejména na problémy, které v řadě členských států vyvstaly v souvislosti s určováním věku mladých žadatelů o azyl.

47.

EIOÚ trvá na nutnosti vyjasnit ustanovení týkající se práv zúčastněných osob (subjektů údajů) a zejména zdůrazňuje, že vnitrostátní správci údajů nesou primární odpovědnost za uplatňování těchto práv.

V Bruselu dne 18. února 2009.

Peter HUSTINX

evropský inspektor ochrany údajů


(1)  Úř. věst. L 281, 23.11.1995, s. 31.

(2)  Úř. věst. L 8, 12.1.2001, s. 1.

(3)  Úř. věst. L 316, 15.12.2000, s. 1.

(4)  Úř. věst. L 50, 25.2.2003, s. 1.

(5)  Dublinské nařízení je v současnosti rovněž předmětem revize (KOM(2008) 820 v konečném znění), 3.12.2008 (přepracované znění). Evropský inspektor ochrany údajů rovněž vydal stanovisko k návrhu dublinského nařízení.

(6)  Evropský inspektor ochrany údajů v této souvislosti poukazuje na skutečnost, že návrh Komise na přezkum dublinského nařízení předložený dne 3. prosince 2008 (KOM(2008) 820 v konečném znění) definuje „nezletilou osobu“ jako „státního příslušníka třetí země nebo osobu bez státní příslušnosti mladší 18 let věku“.

(7)  Informace o práci a statusu této skupiny viz: http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/pid/79. Skupina zajišťuje koordinovaný dozor nad systémem EURODAC.


23.9.2009   

CS

Úřední věstník Evropské unie

C 229/12


Stanovisko Evropského inspektora ochrany údajů k podnětu Francouzské republiky ohledně rozhodnutí Rady o používání informačních technologií pro celní účely (5903/2/09 REV 2)

2009/C 229/03

EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,

s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 286 této smlouvy,

s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 této listiny,

s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1),

s ohledem na rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech (2),

s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (3), a zejména na článek 41 tohoto nařízení,

ZAUJAL TOTO STANOVISKO:

I.   ÚVOD

Konzultace s evropským inspektorem ochrany údajů

1.

Podnět Francouzské republiky k přijetí rozhodnutí Rady o používání informačních technologií pro celní účely byl zveřejněn v Úředním věstníku dne 5. února 2009 (4). Evropský inspektor ochrany údajů (EIOÚ) nebyl požádán o stanovisko k tomuto podnětu ani členským státem, který jej přednesl, ani Radou. V souvislosti se stanoviskem Evropského parlamentu k francouzskému podnětu však byl EIOÚ o vyjádření k tomuto podnětu požádán Výborem Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci, v souladu s článkem 41 nařízení (ES) č. 45/2001. Stejně jako tomu bylo v podobných případech (5), kdy EIOÚ vydal stanovisko z vlastní iniciativy, mělo by být i toto stanovisko chápáno jako reakce na uvedenou žádost ze strany Evropského parlamentu.

2.

Podle EIOÚ by toto stanovisko mělo být uvedeno v preambuli rozhodnutí Rady stejným způsobem, jakým je jeho stanovisko zmíněno v řadě právních nástrojů přijatých na základě návrhu Komise.

3.

Členský stát předkládající podnět k legislativnímu opatření podle hlavy VI Smlouvy o EU není sice z právního hlediska povinen žádat EIOÚ o vyjádření, příslušná pravidla však žádost o takovéto vyjádření nevylučují. EIOÚ vyjadřuje politování nad tím, že v tomto případě Francouzská republika ani Rada o jeho vyjádření nepožádaly.

4.

EIOÚ zdůrazňuje, že vzhledem k současnému vývoji daného návrhu v Radě jsou komentáře uvedené v tomto stanovisku založeny na znění návrhu ze dne 24. února 2009 (5903/2/09 REV 2), jež je zveřejněno na internetových stránkách Evropského parlamentu (6).

5.

EIOÚ se domnívá, že je třeba více vysvětlit odůvodnění podnětu jako takového, jakož i některé jeho konkrétní články a mechanismy. S politováním konstatuje, že k podnětu není připojeno posouzení dopadů či důvodová zpráva. Jedná se o nezbytný prvek, který posiluje transparentnost a obecněji i kvalitu legislativního procesu. Vysvětlující informace by rovněž usnadnily posouzení řady otázek v rámci dotyčného návrhu, například nezbytnost udělit přístup do celního informačního systému Europolu a Eurojustu a související odůvodnění.

6.

EIOÚ přihlédl ke stanovisku 09/03 vydanému dne 24. března 2009 společným celním kontrolním orgánem k návrhu rozhodnutí Rady o používání informačních technologií pro celní účely.

Návrh v souvislostech

7.

Právní rámec celního informačního systému (dále jen „CIS“) se v současné době řídí nástroji prvního i třetího pilíře. Právní rámec podle třetího pilíře upravující dotyčný systém sestává zejména z Úmluvy o používání informační technologie pro celní účely (dále jen „Úmluva CIS“ (7)) ze dne 26. července 1995, vypracované na základě článku K.3 Smlouvy o Evropské unii, a z protokolů ze dnů 12. března 1999 a 8. března 2003.

8.

Stávající režim ochrany údajů zahrnuje používání Úmluvy Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních údajů ze dne 28. ledna 1981 (dále jen „Úmluva Rady Evropy 108“). Kromě toho se na CIS podle daného návrhu vztahuje rámcové rozhodnutí Rady 2008/977/SVV.

9.

Na část systému spadající do oblasti prvního pilíře se vztahuje nařízení Rady (ES) č. 515/97 o vzájemné pomoci mezi správními orgány členských států a jejich spolupráci s Komisí k zajištění řádného používání celních a zemědělských předpisů (8).

10.

Účelem Úmluvy CIS bylo podle jejího čl. 2 odst. 2 „napomáhat předcházení závažným porušením vnitrostátních právních předpisů a vyšetřování a stíhání těchto porušení, a to prostřednictvím rychlejšího šíření informací a prostřednictvím posílení účinnosti postupů spolupráce a kontroly celních správ členských států“.

11.

Podle Úmluvy CIS je celní informační systém tvořen ústřední databází přístupnou prostřednictvím terminálů umístěných v každém členském státě. Další hlavní charakteristiky systému jsou následující:

Úmluva CIS stanoví, že CIS může obsahovat výlučně údaje, včetně osobních údajů, nezbytné pro dosažení jeho cíle; tyto údaje jsou rozděleny do následujících kategorií: a) zboží; b) dopravní prostředky; c) podniky; d) osoby; e) tendence podvodů; f) dostupnost odborných znalostí (9),

členské státy rozhodují o položkách, které mají být zadány do CIS pro každou z posledních tří uvedených kategorií, a to v míře nezbytné pro dosažení cíle systému. V posledních dvou kategoriích nejsou zahrnuty žádné položky obsahující osobní údaje. Přímý přístup k údajům z celního informačního systému je v současné době vyhrazen pouze vnitrostátním orgánům, určeným jednotlivými členskými státy. Těmito vnitrostátními orgány jsou orgány celní správy, ale mohou jimi být i jiné orgány, jež jsou podle právních předpisů a postupů daného členského státu příslušné jednat za účelem dosažení cíle Úmluvy,

členské státy mohou údaje z celního informačního systému používat pouze pro dosažení cíle Úmluvy; mohou je však použít pro administrativní nebo jiné účely s předchozím povolením členského státu, který údaje do systému zadal, a s výhradou podmínek tímto státem uložených. Pro účely dohledu nad částí CIS spadající do oblasti třetího pilíře byl zřízen společný kontrolní orgán.

12.

Francouzský podnět, jenž je založen na čl. 30 odst. 1 písm. a) a na čl. 34 odst. 2 Smlouvy o Evropské unii, má nahradit Úmluvu CIS a protokol ze dne 12. března 1999 i protokol ze dne 8. března 2003, aby bylo dosaženo souladu mezi částí systému spadající do oblasti třetího pilíře s nástroji pilíře prvního.

13.

Návrh však nezůstává u nahrazení znění Úmluvy CIS rozhodnutím Rady. Pozměňuje značné množství ustanovení dotyčné úmluvy a rozšiřuje stávající možnosti přístupu do CIS tím, že přístup umožňuje Europolu a Eurojustu. Kromě toho návrh obsahuje podobná ustanovení ohledně fungování CIS, jako jsou ta, jež jsou stanovena ve výše uvedeném nařízení (ES) č. 766/2008, např. pokud jde o vytvoření identifikační databáze celních spisů (kapitola VI).

14.

Návrh rovněž zohledňuje nové právní nástroje, jako je rámcové rozhodnutí 2008/977/SVV a rámcové rozhodnutí 2006/960/SVV ze dne 13. prosince 2006 o zjednodušení výměny operativních a jiných informací mezi donucovacími orgány členských států Evropské unie (10).

15.

Cílem návrhu je mimo jiné:

posílit spolupráci mezi celními orgány stanovením postupů, které umožní celním orgánům společně jednat a vyměňovat si za využití nových technologií správy a přenosu tohoto druhu informací osobní nebo jiné údaje týkající se nedovoleného obchodu. Tyto postupy zpracování podléhají ustanovením Úmluvy Rady Evropy 108, rámcového rozhodnutí 2008/977/SVV a zásadám uvedeným v doporučení R (87) 15 Výboru ministrů Rady Evropy ze dne 17. září 1987 upravujícím používání osobních údajů v policejním sektoru,

posílit komplementaritu s činnostmi týkajícími se spolupráce s Europolem a Eurojustem tím, že se těmto subjektům umožní přístup k údajům obsaženým v celním informačním systému.

16.

Podle článku 1 daného návrhu je v této souvislosti cílem CIS „napomáhat v souladu s tímto rozhodnutím předcházení závažným porušením vnitrostátních právních předpisů a vyšetřování a stíhání těchto porušení, a to prostřednictvím rychlejšího zpřístupňování údajů a v důsledku toho prostřednictvím posílení účinnosti postupů spolupráce a kontroly celních správ členských států“. Toto ustanovení do značné míry vychází z čl. 2 odst. 2 Úmluvy CIS.

17.

Pro dosažení tohoto cíle se návrhem rozšiřuje rozsah používání údajů CIS tak, aby zahrnoval vyhledávání v systémech a umožnění strategických nebo operativních analýz. EIOÚ bere na vědomí rozšíření účelu a seznamu kategorií osobních údajů, které mají být shromažďovány a zpracovávány, a rozšíření seznamu subjektů údajů s přímým přístupem do CIS.

Zaměření stanoviska

18.

Vzhledem ke své stávající úloze dozorčího orgánu pro ústřední složku té části CIS, jež spadá do oblasti prvního pilíře, pokládá EIOÚ řečený podnět a nový vývoj jednání v rámci Rady ve věci jeho obsahu za hodny zvláštní pozornosti. EIOÚ zdůrazňuje, že je třeba zajistit soudržný a komplexní přístup, aby byly části systému spadající do oblasti prvního a třetího pilíře uvedeny v soulad.

19.

EIOÚ poukazuje na to, že daný návrh obsahuje různé aspekty vztahující se k základním právům, zejména k ochraně osobních údajů a k právu na informace, jakož i k dalším právům subjektů údajů.

20.

Pokud jde o stávající režim ochrany údajů v rámci Úmluvy CIS, EIOÚ považuje za nutné zmínit, že řada současných ustanovení této úmluvy je třeba změnit a aktualizovat, neboť již neodpovídají dnešním požadavkům a normám ochrany údajů. EIOÚ si při této příležitosti přeje vyzdvihnout, že zajištění vysoké úrovně ochrany osobních údajů a její účinnější provádění v praxi by mělo být považováno za zásadní předpoklad lepšího fungování CIS.

21.

Po několika obecných poznámkách se toto stanovisko bude zabývat zejména těmito otázkami, jež jsou z hlediska ochrany osobních údajů důležité:

záruky ochrany údajů v rámci systému,

identifikační databáze celních spisů,

přístup Eurojustu a Europolu do systému (přiměřenost a nezbytnost přístupu uděleného těmto subjektům),

model dohledu nad CIS jako celkem,

seznam orgánů s přístupem do CIS.

II.   OBECNÉ POZNÁMKY

Soulad částí systému spadajících do oblasti prvního a třetího pilíře

22.

Jak bylo uvedeno již v úvodní části, EIOÚ se zvláště zajímá o nejnovější vývoj v oblasti části CIS spadající do oblasti třetího pilíře, neboť již vykonává úkoly dohledu nad ústřední složkou té části CIS, jež spadá do oblasti prvního pilíře, v souladu s novým nařízením 766/2008 k zajištění řádného používání celních a zemědělských předpisů. (11)

23.

V této souvislosti by EIOÚ rád upozornil normotvůrce na skutečnost, že se k otázkám týkajícím se dohledu nad částí CIS spadající do oblasti prvního pilíře již v řadě stanovisek vyjádřil, zejména ve stanovisku ze dne 22. února 2007 (12).

24.

V řečeném stanovisku EIOÚ zdůraznil, že „vytváření a rozvoj různých nástrojů určených k posílení spolupráce Společenství, jako je CIS, vedou k nárůstu v oblasti sdílení osobních informací shromážděných a dále vyměňovaných se správními orgány členských států a, v některých případech, také s třetími zeměmi. Zpracovávané a dále sdílené osobní informace mohou zahrnovat informace týkající se domnělého nebo potvrzeného zapojení dané osoby do protiprávního jednání v oblasti celních nebo zemědělských operací (…). Jeho význam je dále posílen, pokud se uváží druh shromážděných a sdílených údajů, zejména podezření o účasti osob v protiprávním jednání, a celková konečnost a výsledek zpracování.“

Potřeba strategického přístupu k CIS jako celku

25.

EIOÚ zdůrazňuje, že na rozdíl od změn, jež byly do nástroje řídícího CIS v rámci prvního pilíře zaneseny nařízením (ES) č. 766/2008, představuje stávající návrh úplné přepracování Úmluvy CIS, což normotvůrci poskytuje příležitost ke stanovení ucelenější vize celého systému na základě soudržného a komplexního přístupu.

26.

EIOÚ se domnívá, že tento přístup musí být rovněž orientován do budoucnosti. Při rozhodování o konkrétním obsahu návrhu by měly být řádně zváženy a zohledněny nové události, jako je přijetí rámcového rozhodnutí 2008/977/SVV a (možný) budoucí vstup Lisabonské smlouvy v platnost.

27.

Pokud jde o vstup Lisabonské smlouvy v platnost, EIOÚ by rád normotvůrce upozornil, že vzhledem k tomu, že dotyčný systém je v současné době vybudován na kombinaci nástrojů prvního a třetího pilíře, je potřeba provést důkladnou analýzu možných dopadů zrušení pilířové struktury EU na CIS v okamžiku vstupu této smlouvy v platnost. EIOÚ vyjadřuje politování nad tím, že chybí vysvětlující informace ve věci této významné události, jež může výrazně ovlivnit právní rámec, kterým se CIS bude v budoucnu řídit. Z obecnějšího hlediska se EIOÚ táže, zda by nebylo vhodnější, aby normotvůrce vyčkal s revizí až do vstupu Lisabonské smlouvy v platnost, a zamezil tak případné právní nejistotě.

EIOÚ vyzývá k dosažení soudržnosti s dalšími rozsáhlými systémy

28.

Podle názoru EIOÚ představuje nahrazení Úmluvy CIS jako celku rovněž vhodnou příležitost, jak zajistit soudržnost CIS s dalšími systémy a mechanismy, jež byly vyvinuty až po přijetí Úmluvy. V tomto ohledu EIOÚ vyzývá k dosažení soudržnosti, mimo jiné v otázce modelu dohledu, s dalšími právními nástroji, zejména těmi, jimiž se zřizuje Schengenský informační systém druhé generace (SIS II) a vízový informační systém (VIS).

Vztah k rámcovému rozhodnutí 2008/977/SVV

29.

Vzhledem ke tomu, že výměna údajů mezi členskými státy probíhá v rámci CIS, EIOÚ vítá, že návrh zohledňuje rámcové rozhodnutí o ochraně osobních údajů. Článek 20 daného návrhu jasně stanoví, že není-li tímto rozhodnutím stanoveno jinak, vztahuje se rámcové rozhodnutí 2008/977/SVV na ochranu výměny údajů v souladu s tímto rozhodnutím. EIOÚ rovněž bere na vědomí, že návrh odkazuje na rámcové rozhodnutí i v dalších ustanoveních, např. v čl. 4 odst. 5, který stanoví, že se nezadávají údaje uvedené v článku 6 rámcového rozhodnutí 2008/977/SVV, dále v článku 8 o používání údajů získaných z CIS za účelem dosažení cíle uvedeného v čl. 1 odst. 2 řečeného rozhodnutí, v článku 22 o právech osob týkajících se osobních údajů v CIS a v článku 29 o odpovědnosti a povinnostech.

30.

EIOÚ věří, že koncepty a zásady zavedené tímto rámcovým rozhodnutím vhodným způsobem zapadají do kontextu CIS, a že by tudíž měly být použitelné z důvodu právní jistoty i z důvodu soudržnosti právních systémů.

31.

Bez ohledu na tyto skutečnosti však EIOÚ zdůrazňuje, že by normotvůrce měl zajistit nezbytné záruky, aby do chvíle, než dojde k úplnému provedení rámcového rozhodnutí 2008/977/SVV, neexistovaly v systému ochrany údajů mezery. EIOÚ jinými slovy vyzdvihuje, že je pro přístup, v jehož rámci budou nezbytné a dostatečné záruky zavedeny dříve, než začne probíhat výměna údajů novým způsobem.

III.   KONKRÉTNÍ POZNÁMKY

Záruky ochrany údajů

32.

EIOÚ je přesvědčen, že účinné provádění práva na ochranu údajů a práva na informace představuje klíčový prvek řádného fungování celního informačního systému. Záruky ochrany údajů jsou nezbytné nejen pro zajištění účinné ochrany fyzických osob v rámci CIS, nýbrž měly by i sloužit k usnadnění řádného a účinnějšího provozu celého systému.

33.

EIOÚ upozorňuje normotvůrce na skutečnost, že potřeba pevných a účinných záruk ochrany údajů je ještě zřejmější, uváží-li se, že CIS je databází založenou spíše na „podezření“ než na odsouzení či na jiných soudních či správních rozhodnutích. Tato skutečnost je zohledněna v článku 5 návrhu, kde je uvedeno, že „údaje týkající se kategorií uvedených v čl. 3 jsou zadávány do celního informačního systému pouze pro účely pozorování a zpravodajství, utajeného sledování, zvláštních kontrol a strategické nebo operativní analýzy. Pro účely navrhovaných akcí (…) lze do celního informačního systému zadat osobní údaje (…), pouze pokud existuje důvodné podezření, zejména na základě předchozí nezákonné činnosti, že dotyčná osoba spáchala, páchá nebo spáchá závažná porušení vnitrostátních právních předpisů.“ Vzhledem k této vlastnosti CIS vyžaduje návrh vyvážené, účinné a zvýšené záruky v oblasti ochrany osobních údajů a kontrolních mechanismů.

34.

Pokud jde o konkrétní ustanovení daného návrhu ohledně ochrany osobních údajů, EIOÚ bere na vědomí úsilí, jež normotvůrce vyvinul za účelem zajištění většího množství záruk, než jaké je k dispozici v Úmluvě CIS. EIOÚ nicméně přesto musí upozornit na řadu závažných otázek, jež se vztahují k ustanovením o ochraně údajů, zejména k uplatňování zásady omezení účelu.

35.

V této souvislosti je rovněž třeba zmínit, že se připomínky ohledně záruk ochrany údajů uvedené v tomto stanovisku neomezují pouze na ustanovení, jimiž se mění či rozšiřuje oblast působnosti Úmluvy CIS, nýbrž že se vztahují rovněž na části, jež byly ze stávajícího znění této úmluvy převzaty beze změn. Jak již bylo zmíněno v obecných poznámkách, důvodem k tomu je názor EIOÚ, podle něhož již některá z ustanovení Úmluvy zřejmě neodpovídají současným požadavkům na ochranu údajů, a francouzský podnět je vhodnou příležitostí k aktuálnímu přehodnocení celého systému a k zajištění vhodné úrovně ochrany údajů, jež bude odpovídat úrovni ochrany v části systému spadající do oblasti prvního pilíře.

36.

EIOÚ bere s uspokojením na vědomí, že CIS může obsahovat pouze uzavřený a vyčerpávající soubor osobních údajů. Rovněž vítá, že ve srovnání s Úmluvou CIS obsahuje daný návrh širší definici pojmu „osobní údaje“. Podle čl. 2 odst. 2 návrhu se „osobními údaji“ rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, která může být identifikována, přímo či nepřímo, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity.

Omezení účelu

37.

Jedním z ustanovení, která jsou z hlediska ochrany údajů problematická, je článek 8 návrhu, v němž se stanoví, že „členské státy mohou používat údaje z celního informačního systému pouze pro dosažení cíle uvedeného v čl. 1 odst. 2. Mohou je však použít pro správní nebo jiné účely s předchozím povolením členského státu, který je do systému zadal, a s výhradou podmínek tímto státem uložených. Toto jiné použití musí být v souladu s právními předpisy a postupy členského státu, který je chce použít v souladu s čl. 3 odst. 2 rámcového rozhodnutí 2008/977/SVV“. Uvedené ustanovení týkající se použití údajů získaných z CIS je klíčové pro strukturu systému, a vyžaduje si tudíž zvláštní pozornost.

38.

Článek 8 návrhu odkazuje na čl. 3 odst. 2 rámcového rozhodnutí 2008/977/SVV, v němž se pojednává o „zásadách zákonnosti, proporcionality a účelu“. Článek 3 rámcového rozhodnutí stanoví toto:

„1.   Příslušné orgány mohou osobní údaje shromažďovat pouze ke stanoveným, výslovně vyjádřeným a legitimním účelům v rámci svých úkolů a zpracovávat je pouze k účelu, pro nějž byly údaje shromážděny. Zpracování údajů musí být zákonné a přiměřené, podstatné a nepřesahující míru s ohledem na účely, pro které jsou shromažďovány.

2.   Další zpracování k jinému účelu je přípustné, pouze pokud:

a)

toto zpracování je slučitelné s účelem, pro nějž byly údaje shromážděny;

b)

příslušné orgány jsou zmocněny zpracovávat tyto údaje pro takový jiný účel podle platných právních předpisů; a

c)

toto zpracování je pro tento jiný účel nezbytné a přiměřené.“

39.

I přes použití čl. 3 odst. 2 rámcového nařízení 2008/977/SVV, jímž jsou stanoveny obecné podmínky, podle nichž lze povolit zpracování údajů pro jiný účel, EIOÚ upozorňuje na skutečnost, že ustanovení článku 8 daného návrhu povoluje použití údajů CIS pro jakékoli správní nebo jiné účely, jež v návrhu definovány nejsou, což je problematické z hlediska dodržování požadavků na ochranu údajů, zejména zásady omezení účelu. Nástroj prvního pilíře navíc takové obecné použití neumožňuje. EIOÚ tudíž vyzývá, aby byly stanoveny účely, pro něž lze údaje použít. Tato otázka je v souvislosti s ochranou údajů zcela zásadní, neboť se jedná o ústřední zásady použití údajů v rozsáhlých systémech: „údaje by měly být používány výhradně pro řádně definované a jasně vymezené účely stanovené právním rámcem“.

Předávání údajů třetím zemím

40.

Článek 8 odst. 4 dotyčného návrhu pojednává o údajích, jež mají být předávány třetím zemím nebo mezinárodním organizacím. Příslušné ustanovení stanoví, že „údaje získané z CIS lze s předchozím souhlasem členského státu, který je zadal do systému, a s výhradou podmínek, které uloží, předat (…) třetím zemím a mezinárodním nebo regionálním organizacím, které si je přejí využít. Každý členský stát přijme zvláštní opatření, aby zajistil bezpečnost těchto údajů při jejich předávání útvarům mimo své území. Podrobnosti těchto opatření musí být předány společnému kontrolnímu orgánu uvedenému v článku 25.“

41.

EIOÚ poukazuje na to, že na tuto situaci se vztahuje článek 11 rámcového rozhodnutí. Je však třeba zdůraznit, že s ohledem na velmi obecnou povahu použití ustanovení čl. 8 odst. 4 daného návrhu, podle nějž mohou členské státy předávat údaje z CIS (…) třetím zemím a mezinárodním nebo regionálním organizacím, které si je přejí využít, nejsou záruky stanovené v uvedeném ustanovení z hlediska ochrany osobních údajů ani zdaleka dostatečné. EIOÚ vybízí k přepracování čl. 8 odst. 4 způsobem, který by zajišťoval jednotný systém hodnocení vhodnosti prostřednictvím příhodného mechanismu; do takovéhoto hodnocení by mohl být zapojen např. výbor uvedený v článku 26 návrhu.

Další záruky ochrany údajů

42.

EIOÚ bere s uspokojením na vědomí ustanovení týkající se změn údajů (kapitola IV, článek 13), jež představují důležitý prvek zásady kvality údajů. EIOÚ vítá především skutečnost, že oblast působnosti tohoto ustanovení, jež je oproti Úmluvě CIS rozšířena a upravena, nyní zahrnuje i opravy a výmazy údajů. Například čl. 13 odst. 2 stanoví, že pokud poskytující členský stát nebo Europol zjistí nebo pokud se dozví, že údaje, které zadal, jsou věcně nesprávné nebo že byly zadány či jsou uchovávány v rozporu s tímto rozhodnutím, tyto údaje podle potřeby změní, doplní, opraví nebo vymaže a upozorní na to ostatní členské státy a Europol.

43.

EIOÚ bere na vědomí ustanovení kapitoly V týkající se uchovávání údajů, která z převážné části vychází z Úmluvy CIS a mimo jiné stanoví časové lhůty pro uchovávání údajů kopírovaných z CIS.

44.

Kapitola IX (Ochrana osobních údajů) zohledňuje řadu ustanovení Úmluvy CIS. Obsahuje však významnou změnu, jíž je použití rámcového rozhodnutí o ochraně osobních údajů na CIS, a zmínku uvedenou v článku 22, podle níž „práva osob týkající se osobních údajů v celním informačním systému, zejména jejich právo na přístup, opravu, výmaz nebo blokování, jsou vykonávána v souladu s právními předpisy a postupy, jimiž se v členském státě, v němž tato práva uplatňují, provádí rámcové rozhodnutí 2008/977/SVV“. V této souvislosti si EIOÚ přeje zdůraznit zejména význam zachování postupu, díky němuž mohou subjekty údajů uplatňovat svá práva a požádat o přístup v každém členském státě. EIOÚ bude praktickému provádění tohoto důležitého práva subjektů údajů věnovat zvýšenou pozornost.

45.

Návrh rovněž rozšiřuje oblast působnosti Úmluvy CIS, pokud jde o zákaz kopírování údajů z CIS do jiných vnitrostátních souborů údajů. Úmluva CIS v čl. 14 odst. 2 výslovně uvádí, že „osobní údaje zadané jinými členskými státy nelze kopírovat z celního informačního systému do jiných vnitrostátních souborů údajů“. Článek 21 odst. 3 návrhu takové kopírování povoluje v případě „kopií v systémech řízení rizik, které se používají pro účely zaměření celních kontrol na vnitrostátní úrovni, nebo v systému operativní analýzy, který se používá ke koordinaci postupů“. V této záležitosti EIOÚ sdílí názory společného celního kontrolního orgánu vyjádřené ve stanovisku 09/03, zejména pokud jde o pojem „systémy řízení rizik“ a o potřebu dále upřesnit, kdy a za jakých podmínek by kopírování povolené v čl. 21 odst. 3 bylo možné.

46.

EIOÚ vítá ustanovení týkající se bezpečnosti, jež jsou pro účinné fungování CIS zásadní (kapitola XII).

Identifikační databáze celních spisů

47.

Návrh přináší nová ustanovení o identifikační databázi celních spisů (články 16–19). Jedná se o podobný postup, jakým je vytvoření identifikační databáze celních spisů v nástroji podle prvního pilíře. EIOÚ sice nezpochybňuje potřebu takového nové databáze v rámci CIS, avšak upozorňuje na to, že je zapotřebí vhodných záruk ochrany údajů. V této souvislosti EIOÚ vítá skutečnost, že se výjimka stanovená v čl. 21 odst. 3 na identifikační databáze celních spisů nevztahuje.

Přístup Europolu a Eurojustu do CIS

48.

Návrh umožňuje přístup do systému Evropskému policejnímu úřadu (Europolu) a Evropské jednotce pro justiční spolupráci (Eurojustu).

49.

EIOÚ především zdůrazňuje, že je třeba jasně stanovit účel přístupu a vyhodnotit proporcionalitu a nezbytnost rozšíření přístupu. Informace o tom, proč je nezbytné rozšířit přístup do systému tak, aby zahrnoval Europol a Eurojust, nebyly dány k dispozici. EIOÚ rovněž zdůrazňuje, že jedná-li se o přístup do databází, k příslušným funkcím a ke zpracovávání osobních informací, je bezpochyby zapotřebí předem vyhodnotit nejen užitečnost takového přístupu, nýbrž i reálnou a podloženou nezbytnost takového návrhu. EIOÚ zdůrazňuje, že žádné takové zdůvodnění nebylo poskytnuto.

50.

EIOÚ rovněž žádá, aby ve znění byla obsažena jasná definice konkrétních úkolů, v jejichž zájmu může být Europolu a Eurojustu přístup k údajům umožněn.

51.

Podle článku 11 „má Europol v rámci svého mandátu a za účelem plnění svých úkolů právo na přístup k údajům zaneseným do CIS, právo tyto údaje přímo vyhledávat a právo na zanášení těchto údajů do uvedeného systému“.

52.

EIOÚ vítá omezení, která návrh zavádí, jako zejména:

podmínku, že informace z CIS lze používat pouze se souhlasem členského státu, který údaje do systému zadal,

omezení případů, kdy Europol může údaje sdělit třetím zemím (opět pouze se souhlasem členského státu, který údaje do systému zadal),

omezení přístupu do CIS (oprávněný personál),

kontrola činnosti Europolu ze strany společného kontrolního orgánu Europolu.

53.

EIOÚ by rovněž rád podotknul, že kdykoli daný návrh odkazuje na Úmluvu o Europolu, mělo by být zohledněno rozhodnutí Rady, na jehož základě se Europol ke dni 1. ledna 2010 stane agenturou EU.

54.

Článek 12 návrhu pojednává o přístupu Eurojustu do CIS. Uvádí se v něm, že „s výhradou kapitoly IX mají národní členové a jejich asistenti v rámci svého mandátu právo na přístup k údajům zaneseným do CIS v souladu s články 1, 3, 4, 5 a 6 a právo tyto údaje vyhledávat“. Pokud jde o souhlas členského státu, jenž údaje do systému zadal, návrh stanoví podobné mechanismy, jako jsou ty, které jsou stanoveny pro Europol. Výše uvedené připomínky týkající se potřeby odůvodnit nezbytnost poskytnutí přístupu a zajistit vhodná a nezbytná omezení pro případ, kdy je tento přístup poskytnut, se vztahují rovněž na Eurojust.

55.

EIOÚ vítá, že přístup do CIS je omezen pouze na národní členy, jejich zástupce a jejich asistenty. EIOÚ nicméně podotýká, že čl. 12 odst. 1 pojednává pouze o národních členech a jejich asistentech, zatímco jiné odstavce článku 12 se vztahují rovněž na zástupce národních členů. Normotvůrci by této souvislosti měli zajistit jednoznačnost a konzistentnost.

Dohled – koherentní, konzistentní a komplexní model

56.

Pokud jde o navrhovaný dohled nad částí CIS spadající do oblasti třetího pilíře, EIOÚ upozorňuje normotvůrce, že je třeba zajistit soudržný a komplexní dohled nad celým systémem. Měl by být zohledněn komplexní právní rámec stojící na dvou právních základech, jímž se CIS řídí, a z důvodu právní jasnosti i z praktických důvodů by bylo na místě vyhnout se dvěma různým modelům dohledu.

57.

Jak bylo v tomto stanovisku již uvedeno, EIOÚ v současné době vykonává dohled nad ústřední složkou té části CIS, jež spadá do oblasti prvního pilíře. Tato skutečnost je v souladu s článkem 37 nařízení Rady (ES) č. 515/97, kde se stanoví, že „evropský inspektor ochrany údajů dohlíží na to, aby byl CIS provozován v souladu s nařízením (ES) č. 45/2001“. EIOÚ poukazuje na to, že model dohledu navrhovaný ve francouzském podnětu tuto roli nezohledňuje. Model dohledu je založen na úloze společného kontrolního orgánu CIS.

58.

EIOÚ sice oceňuje činnost vykonávanou společným kontrolním orgánem CIS, avšak vyzdvihuje dva důvody, proč by měl být použit koordinovaný model dohledu konsiztentní se stávajícími úkoly EIOÚ v jiných rozsáhlých systémech. Za prvé by takový model zajistil vnitřní soudržnost částí systému spadajících do oblasti prvního a třetího pilíře. Za druhé by rovněž zajistil soudržnost s modely zavedenými v jiných rozsáhlých systémech. EIOÚ tudíž doporučuje, aby byl na CIS jako celek uplatněn podobný model jako ten, jenž se používá v SIS II („koordinovaný dohled“ či „odstupňovaný model“). Jak EIOÚ již uvedl ve stanovisku k části CIS spadající do oblasti prvního pilíře, „pokud jde o SIS II, zvolil evropský zákonodárce racionalizaci modelu dohledu, a to uplatněním odstupňovaného modelu popsaného v prostředí prvního a třetího pilíře systému“.

59.

EIOÚ věří, že nejvhodnější řešení zajišťující uvedené uspořádání spočívá v zavedení jednotnějšího systému dohledu v podobě již otestovaného modelu založeného na struktuře obsahující tři stupně: orgány pro ochranu údajů na vnitrostátní úrovni, EIOÚ na centrální úrovni a koordinace mezi nimi. EIOÚ je přesvědčen, že nahrazení Úmluvy CIS poskytuje jedinečnou příležitost zjednodušit dohled a zajistit v oblasti dohledu větší soudržnost, plně v souladu s jinými rozsáhlými systémy (VIS, SIS II, Eurodac).

60.

Koordinovaný model dohledu kromě toho rovněž lépe zohledňuje změny, které s sebou přinese vstup Lisabonské smlouvy v platnost a zrušení pilířové struktury EU.

61.

EIOÚ se nevyjadřuje k tomu, zda by zavedení koordinovaného modelu dohledu vyžadovalo změny nástroje prvního pilíře, jímž se CIS řídí, tedy nařízení (ES) č. 766/2008, ale upozorňuje normotvůrce, že je tento aspekt nutno zvážit rovněž z hlediska právní soudržnosti.

Seznam orgánů s přístupem do CIS

62.

Článek 7 odst. 2 stanoví každému členskému státu povinnost zaslat ostatním členským státům a výboru uvedenému v článku 26 seznam příslušných orgánů, které určil k přímému přístupu do CIS, a upřesní, ke kterým údajům mohou mít jednotlivé orgány přístup a pro jaké účely.

63.

EIOÚ upozorňuje na skutečnost, že daný návrh stanoví pouze, že členské státy by si mezi sebou měly vyměnit informace o orgánech s přístupem do CIS a že by měly informovat výbor uvedený v článku 26, nepředpokládá však o zveřejnění tohoto seznamu orgánů. To je politováníhodné, neboť zveřejnění by pomohlo zajistit lepší transparentnost a vytvořit praktický nástroj účinného dohledu nad systémem, například ze strany příslušných orgánů pro ochranu údajů.

IV.   ZÁVĚRY

64.

EIOÚ podporuje návrh rozhodnutí Rady o používání informačních technologií pro celní účely. Zdůrazňuje, že v důsledku práce legislativní povahy, jež v Radě probíhá, nejsou jeho připomínky založeny na konečném znění návrhu.

65.

Vyjadřuje politování nad nedostatkem vysvětlujících materiálů, jež by mohly poskytnout některá nezbytná objasnění a informace o cílech i o konkrétní povaze některých ustanovení návrhu.

66.

EIOÚ vyzývá k tomu, aby byla v návrhu věnována větší pozornost potřebě konkrétních záruk ochrany údajů. Je si vědom řady případů, kde by mohlo být praktické uplatnění záruk ochrany údajů lépe zajištěno, zejména pokud jde o používání omezení účelu ve vztahu k používání údajů zadaných do CIS. EIOÚ se domnívá, že se jedná o zásadní předpoklad lepšího fungování celního informačního systému.

67.

EIOÚ vybízí k tomu, aby byl do návrhu zanesen koordinovaný model dohledu. Je třeba vzít v potaz, že EIOÚ v současné době vykonává úkoly dohledu nad částí CIS, jež spadá do oblasti prvního pilíře. Zdůrazňuje, že v zájmu soudržnosti a konzistentnosti je nejlépe použít model koordinovaného dohledu rovněž na část systému, jež spadá pod třetí pilíř. Tento model by dále v nezbytných a vhodných případech zajistil konzistentnost s dalšími nástroji, jimiž se zřizují či v souladu s nimiž se používají jiné rozsáhlé informační systémy.

68.

EIOÚ žádá důkladnější vysvětlení nezbytnosti a proporcionality, pokud jde o udělení přístupu Eurojustu a Europolu. Zdůrazňuje, že k této otázce v návrhu chybí vysvětlující informace.

69.

EIOÚ rovněž důsledně žádá, aby bylo posíleno ustanovení čl. 8 odst. 4 daného návrhu, pojednávající o předávání údajů státům, jež nejsou členy EU, nebo mezinárodním organizacím. S tím souvisí i potřeba zajistit jednotný systém hodnocení vhodnosti.

70.

EIOÚ žádá, aby v zájmu zvýšení transparentnosti systému a usnadnění dohled nad ním bylo vloženo ustanovení o zveřejnění seznamu orgánů s přístupem do CIS.

V Bruselu dne 20. dubna 2009.

Peter HUSTINX

evropský inspektor ochrany údajů


(1)  Úř. věst. L 281, 23.11.1995, s. 31.

(2)  Úř. věst. L 350, 30.12.2008, s. 60.

(3)  Úř. věst. L 8, 12.1.2001, s. 1.

(4)  Úř. věst. C 29, 5.2.2009, s. 6.

(5)  Nejnověji viz stanovisko evropského inspektora ochrany údajů k podnětu 15 členských států k přijetí rozhodnutí Rady o posílení Eurojustu a o změně rozhodnutí 2002/187/SVV, Úř. věst. C 310, 5.12.2008, s. 1.

(6)  http://www.europarl.europa.eu/meetdocs/2004_2009/organes/libe/libe_20090330_1500.htm

(7)  Úř. věst. C 316, 27.11.1995, s. 33.

(8)  Úř. věst. L 82, 22.3.1997, s. 1.

(9)  Návrh zavádí novou kategorii: g) zajištěné, zabrané nebo propadlé zboží.

(10)  Úř. věst. L 386, 29.12.2006, s. 89.

(11)  Úř. věst. L 218, 13.8.2008, s. 48.

(12)  Stanovisko ze dne 22. února 2007 k návrhu nařízení (KOM(2006) 866 v konečném znění), Úř. věst. C 94, 28.4.2007, s. 3.


23.9.2009   

CS

Úřední věstník Evropské unie

C 229/19


Stanovisko Evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady, kterým se mění, pokud jde o farmakovigilanci humánních léčivých přípravků, nařízení (ES) č. 726/2004, kterým se stanoví postupy Společenství pro registraci humánních a veterinárních léčivých přípravků a dozor nad nimi a kterým se zřizuje Evropská agentura pro léčivé přípravky a k návrhu směrnice Evropského parlamentu a Rady, kterou se mění směrnice 2001/83/ES o kodexu Společenství týkajícím se humánních léčivých přípravků, pokud jde o farmakovigilanci

2009/C 229/04

EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,

s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 286 uvedené smlouvy,

s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 uvedené listiny,

s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1),

s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (2), a zejména na článek 41 tohoto nařízení,

ZAUJAL TOTO STANOVISKO:

I.   ÚVOD

Návrhy na změnu stávajícího systému farmakovigilance

1.

Komise dne 10. prosince 2008 přijala dva návrhy týkající se změny nařízení (ES) č. 726/2004 a směrnice 2001/83/ES (3). Nařízení Evropského parlamentu a Rady (ES) č. 726/2004 (4) stanoví postupy Společenství pro registraci humánních a veterinárních léčivých přípravků a dozor nad nimi a kterým se zřizuje Evropská agentura pro léčivé přípravky (dále jen: „agentura EMEA“). Směrnice Evropského parlamentu a Rady 2001/83/ES (5) obsahuje pravidla kodexu Společenství o humánních léčivých přípravcích, která se týkají specifických procesů na úrovni členských států. Navrhované změny se vztahují k částem v obou nástrojích týkajícím se farmakovigilance humánních léčivých přípravků.

2.

Farmakovigilanci je možné definovat jako vědeckou a jinou činnost související s odhalováním, posuzováním, pochopením a prevencí nežádoucích účinků léčivých přípravků (6). Stávající systém farmakovigilance v Evropě umožňuje pacientům a zdravotnickým pracovníkům hlásit nežádoucí účinky léčivých přípravků příslušným veřejným a soukromým orgánům na vnitrostátní i evropské úrovni. Celoevropskou databázi (databáze EudraVigilance) provozuje agentura EMEA jako řídící a ohlašovací středisko v případě podezření na nežádoucí účinky léčivých přípravků.

3.

Farmakovigilance se považuje za nezbytný doplněk systému Společenství pro registraci léčivých přípravků, který byl zahájen v roce 1965 přijetím směrnice Rady 65/65/EHS (7).

4.

Jak vyplývá z důvodových zpráv a posouzení dopadů připojených k návrhům, trpí stávající systém farmakovigilance řadou nedostatků, jako je nejasnost, pokud jde o úlohu a odpovědnost jednotlivých zúčastněných stran, složitost hlášení o nežádoucích účincích léčivých přípravků, potřeba větší transparentnosti a lepší komunikace, pokud jde o bezpečnost léčiv, a zlepšení plánování v oblasti řízení rizik týkajících se léčiv.

5.

Hlavním účelem uvedených dvou návrhů je tyto nedostatky odstranit a posílit systém farmakovigilance Společenství, přičemž obecným cílem je lépe chránit veřejné zdraví, zajistit řádné fungování vnitřního trhu a zjednodušit stávající pravidla a postupy (8).

Osobní údaje a farmakovigilance a konzultace s evropským inspektorem ochrany údajů

6.

Celková činnost stávajícího systému farmakovigilance závisí na zpracování osobních údajů. Tyto údaje jsou zahrnuty do hlášení o nežádoucích účincích léčivých přípravků a je možné je chápat jako údaje týkající se zdravotního stavu („údaje o zdravotním stavu“) dotčených osob, neboť poskytují informace o užívání léků a souvisejících zdravotních problémech. Zpracování takových údajů podléhá přísným pravidlům ochrany údajů v souladu s článkem 10 nařízení (ES) č. 45/2001 a článkem 8 směrnice 95/46/ES (9). Význam ochrany těchto údajů nedávno opět zdůraznil Evropský soud pro lidská práva v souvislosti s článkem 8 Evropské úmluvy o lidských právech: „Ochrana osobních údajů, zejména lékařských údajů, má zásadní význam pro to, aby člověk mohl uplatňovat své právo na respektování soukromého a rodinného života, jak je zaručuje článek 8 uvedené úmluvy“ (10).

7.

Přesto není ve stávajícím znění nařízení (ES) č. 726/2004 a směrnice 2001/83/ES na ochranu údajů žádný odkaz, vyjma jednoho konkrétního odkazu v uvedeném nařízení, který bude probrán níže v bodu 21 a dále.

8.

Evropský inspektor ochrany údajů lituje, že hlediska ochrany údajů nejsou v navrhovaných změnách zohledněna a že nebyl v souvislosti s oběma návrhy změn formálně konzultován podle čl. 28 odst. 2 nařízení (ES) č. 45/2001. Stávající stanovisko tudíž vychází z čl. 41 odst. 2 téhož nařízení. Evropský inspektor ochrany údajů doporučuje, aby byl odkaz na toto stanovisko zahrnut do preambulí obou návrhů.

9.

Bere na vědomí, že ačkoliv není otázka ochrany údajů ve stávajícím právním rámci farmakovigilance ani v uvedených návrzích dostatečně zohledněna, praktické uplatňování EudraVigilance, ústředního systému Společenství, s sebou otázky ochrany údajů jasně přináší. Agentura EMEA proto v červnu roku 2008 informovala evropského inspektora ochrany údajů o předběžné kontrole stávajícího systému EudraVigilance na základě článku 27 nařízení (ES) č. 45/2001.

10.

Stávající stanovisko a závěry evropského inspektora ochrany údajů ohledně předběžné kontroly (zveřejnění se očekává během tohoto roku) se budou nutně překrývat. Těžiště obou nástrojů se však liší: zatímco toto stanovisko je zaměřeno na všeobecný právní rámec na podporu systému podle nařízení (ES) č. 726/2004, směrnice 2001/83/ES a souvisejících navrhovaných změn, předběžná kontrola představuje podrobný rozbor týkající se ochrany údajů, který se soustřeďuje na další rozpracování stávajících pravidel do následných nástrojů (např. rozhodnutí a pokynů) vydaných agenturou EMEA nebo společně Komisí a agenturou EMEA a na konkrétní fungování systému EudraVigilance v praxi.

11.

V uvedeném stanovisku se nejprve zjednodušeně vysvětlí systém farmakovigilance v EU, jak vyplývá ze současného nařízení (ES) č. 726/2004 a směrnice 2001/83/ES. Dále rozebere nutnost zpracování osobních údajů v rámci farmakovigilance. Poté budou projednány návrhy Komise na zlepšení stávajícího a připravovaného právního rámce a budou vydána doporučení, jak zajistit a zlepšit normy pro ochranu údajů.

II.   SYSTÉM FARMAKOVIGILANCE V EVROPSKÉ UNII: ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A USTANOVENÍ O OCHRANĚ ÚDAJŮ

Subjekty zapojené do sběru a šíření informací

12.

Do sběru a šíření informací o nežádoucích účincích léčivých přípravků v Evropské unii je zapojeno několik subjektů. Na vnitrostátní úrovni to jsou držitelé rozhodnutí o registraci (společnosti registrované pro dodávání léčivých přípravků na trh) a příslušné vnitrostátní orgány (orgány odpovědné za registraci). Příslušné vnitrostátní orgány registrují přípravky prostřednictvím vnitrostátních postupů, k nimž patří např. „postup vzájemného uznávání“ a „decentralizovaný postup“ (11). V případě přípravků registrovaných tzv. „centralizovaným postupem“ může být příslušným orgánem také Evropská komise. Důležitým dodatečným orgánem na evropské úrovni je agentura EMEA. Jedním z úkolů této agentury je zajistit šíření informací o nežádoucích účincích léčivých přípravků registrovaných ve Společenství prostřednictvím databáze, kterou je již zmiňovaná databáze EudraVigilance.

Sběr a uchovávání osobních údajů na vnitrostátní úrovni

13.

Ve směrnici 2001/83/ES se obecně stanoví odpovědnost členských států provozovat systém farmakovigilance, s jehož pomocí se získávají informace „užitečné pro dozor nad léčivými přípravky“ (článek 102). Na základě článků 103 a 104 směrnice 2001/83/ES (viz též článek 23 a 24 nařízení (ES) č. 726/2004) musí mít držitel rozhodnutí o registraci vlastní systém farmakovigilance a musí být odpovědný za své přípravky na trhu, musí zaručit jejich spolehlivost a zajistit, aby bylo v případě potřeby možné odpovídajícím způsobem zasáhnout. Informace se získávají přímo od zdravotnických pracovníků nebo pacientů. Všechny informace týkající se rovnováhy rizik a přínosů léčivých přípravků musí držitel rozhodnutí o registraci elektronicky ohlásit příslušnému orgánu.

14.

V samotné směrnici 2001/83/ES se příliš přesně neuvádí, jaké informace o nežádoucích účincích léčivých přípravků na vnitrostátní úrovni shromažďovat, jak je uchovávat nebo jak je oznamovat. V článcích 104 a 106 se pouze uvádí, že je nutné provádět „hlášení“. Podrobnější pravidla pro tato hlášení lze najít v pokynech Komise, vypracovaných na základě článku 106 po konzultaci s agenturou EMEA, členskými státy a zainteresovanými stranami. V těchto pokynech pro farmakovigilanci u humánních léčivých přípravků (dále jen: pokyny) je odkaz na tzv. hlášení podezření na nežádoucí účinek léčivého přípravku (Individual Case Safety Reports, ICSR) (dále jen: hlášení NÚ, což jsou záznamy o nežádoucích účincích léčivých přípravků týkající se konkrétního pacienta (12). Z těchto pokynů vyplývá, že jedním ze základních prvků informací vyžadovaných v hlášení NÚ je „identifikovatelný pacient“ (13). Uvádí se, že pacienta lze identifikovat prostřednictvím iniciál jména, jeho čísla, data narození, váhy, výšky a pohlaví, čísla nemocničního záznamu, informace o anamnéze pacienta, informací o jeho rodičích (14).

15.

Vzhledem k důrazu, který se klade na identifikovatelnost pacienta, zpracování těchto informaci jasně spadá do působnosti pravidel o ochraně údajů stanovených ve směrnici 95/46/ES. Přestože není uvedeno jméno pacienta, ve skutečnosti lze jednotlivé informace spojit (např. nemocnici, datum narození, iniciály) a v určitých případech (např. v uzavřených společenstvích nebo v malých obcích) danou osobu identifikovat. Proto by se měly informace zpracované v rámci farmakovigilance v zásadě považovat za informace vztahující se k identifikovatelné fyzické osobě ve smyslu čl. 2 písm. a) směrnice 95/46/ES (15). Přestože to jasně nevyplývá ani z nařízení ani ze směrnice, vyplývá to z uvedených pokynů, kde se stanoví, že „by informace měly být co nejúplnější, přičemž by se měly zohlednit právní předpisy EU v oblasti ochrany údajů“ (16).

16.

Je třeba zdůraznit, že hlášení o nežádoucích účincích léčivých přípravků na vnitrostátní úrovni není navzdory uvedeným pokynům zdaleka jednotné. Této skutečnosti budou dále věnovány níže uvedené body 24 a 25.

Databáze EudraVigilance

17.

Databáze EudraVigilance, provozovaná agenturou EMEA, hraje v systému farmakovigilance zásadní úlohu. Jak již bylo uvedeno, databáze EudraVigilance je centralizovaná síť pro zpracování údajů a systém řízení pro hlášení a vyhodnocování podezření na nežádoucí účinky léčivých přípravků během vývoje léčivých přípravků a po jejich registraci v Evropském společenství a zemích, které patří do Evropského hospodářského prostoru. Právní základ této databáze lze nalézt v čl. 57 odst. 1 písm. d) nařízení (ES) č. 726/2004.

18.

Stávající databáze EudraVigilance má dvě části, a to: 1) informace z klinických hodnocení (před uvedením léku na trh; nazývá se proto „předregistrační“ období) a 2) informace z hlášení o nežádoucích účincích (po uvedení léku na trh; nazývá se proto „poregistrační“ období). Stávající stanovisko klade důraz na toto „poregistrační“ období, neboť se navrhované změny týkají této části.

19.

Databáze EudraVigilance obsahuje údaje o pacientech pocházející z hlášení NÚ. Hlášení NÚ poskytují agentuře EMEA příslušné vnitrostátní orgány (viz článek 102 směrnice 2001/83/ES a článek 22 nařízení (ES) č. 726/2004) a v některých případech přímo držitelé rozhodnutí o registraci (viz článek 104 směrnice 2001/83/ES a článek 24 nařízení (ES) č. 726/2004).

20.

Stávající stanovisko klade důraz na zpracování osobních informací o pacientech. Je však třeba vzít na vědomí, že databáze EudraVigilance obsahuje též osobní informace o lidech pracujících pro příslušné vnitrostátní orgány a o držitelích rozhodnutí o registraci, pokud poskytují informace do databáze. V systému se uchovává jejich plné jméno, adresa, kontaktní údaje a údaje o dokladu totožnosti. Další kategorii osobních informací tvoří údaje o tzv. kvalifikovaných osobách odpovědných za farmakovigilanci, které jmenují držitelé rozhodnutí o registraci na základě článku 103 směrnice 2001/83/ES. Na zpracování těchto informací se samozřejmě plně vztahují práva a povinnosti vyplývající z nařízení (ES) č. 45/2001.

Přístup k databázi EudraVigilance

21.

Článek 57 odst. 1 písm. d) nařízení (ES) č. 726/2004 stanoví, že by tato databáze měla být neustále přístupná všem členským státům. Zdravotničtí pracovníci, držitelé rozhodnutí o registraci a veřejnost tudíž musí mít přístup k těmto databázím na vhodné úrovni tak, aby byla zaručena ochrana osobních údajů. Jak je již uvedeno v bodě 7, je to v daném nařízení i ve směrnici 2001/83/ES jediné ustanovení, které se vztahuje k ochraně údajů.

22.

Článek 57 odst. 1 písm. d) vedl k následujícímu režimu přístupu. Jakmile Evropská agentura pro léčivé přípravky obdrží hlášení NÚ, vloží je přímo do portálu EudraVigilance, který je zcela přístupný agentuře EMEA, příslušným vnitrostátním orgánům i Komisi. Poté, co agentura EMEA hlášení NÚ ověří (kontrola pravosti a jednoznačnosti), jsou informace z hlášení NÚ převedeny do stávající databáze. Agentura EMEA, příslušné vnitrostátní orgány i Komise mají do databáze plný přístup, zatímco přístup držitelů rozhodnutí o registraci podléhá jistým omezením, a to zejména přístup k údajům, které sami agentuře EMEA poskytli. Souhrnné informace o hlášeních NÚ jsou nakonec uloženy na internetové stránky EudraVigilance, kam má přístup široká veřejnost včetně zdravotnických pracovníků.

23.

Za účelem veřejné konzultace zveřejnila agentura EMEA na svých internetových stránkách dne 19. prosince 2008 návrh o politice přístupu (17). Tento dokument ukazuje, jak agentura EMEA hodlá provádět čl. 57 odst. 1 písm. d) nařízení (ES) č. 726/2004. Evropský inspektor ochrany údajů se k této otázce v krátkosti vrátí od bodu 48 dále.

Slabiny stávajícího systému a nedostatek opatření na ochranu údajů

24.

Posouzení dopadů vypracované Komisí ukazuje řadu slabin stávajícího systému farmakovigilance EU, který se považuje za složitý a nejasný. Za jeden z hlavních nedostatků se považuje složitý systém sběru údajů, jejich uchovávání a sdílení jednotlivými subjekty na vnitrostátní i evropské úrovni. Tuto situaci dále komplikuje skutečnost, že se směrnice 2001/83/ES uplatňuje v jednotlivých členských státech rozdílným způsobem (18). Příslušné vnitrostátní orgány a agentura EMEA se proto často setkávají s neúplnými nebo duplicitními hlášeními o nežádoucích účincích léčivých přípravků (19).

25.

Je tomu tak proto, že ačkoliv již zmíněné postupy popisují obsah hlášení NÚ, rozhodnutí o tom, jak se budou tato hlášení uplatňovat na vnitrostátní úrovni, je ponecháno na členských státech. Patří sem jak komunikační prostředky, které pro hlášení příslušným vnitrostátním orgánům používají držitelé rozhodnutí o registraci, tak i skutečné informace obsažené v hlášeních (v Evropě se nepoužívá žádná normalizovaná podoba hlášení). Kromě toho mohou některé příslušné vnitrostátní orgány na přípustnost hlášení uplatňovat specifická kritéria kvality (podle jejich obsahů, úplnosti atd.), zatímco v jiných zemích tomu tak být nemusí. Je zřejmé, že přístup používaný pro oznamování a posouzení kvality hlášení NÚ používaný v jednotlivých členských státech, má přímý dopad na to, jak je hlášení podáváno agentuře EMEA, tj. databázi EudraVigilance.

26.

Evropský inspektor ochrany údajů by rád zdůraznil, že výše uvedené slabiny způsobují praktické potíže, ale rovněž představují značnou hrozbu pro ochranu údajů o zdravotním stavu občanů. Přestože, jak ukazují předchozí odstavce, v průběhu několika fází procesu farmakovigilance dochází ke zpracování údajů o zdravotním stavu, v současné době neexistují ustanovení týkající se jejich ochrany. Jedinou výjimkou je obecný odkaz na ochranu údajů v čl. 57 odst. 1 písm. d) nařízení (ES) č. 726/2004, který se vztahuje jen k poslední fázi zpracování údajů, a to ke zpřístupnění údajů uložených v databázi EudraVigilance. Kromě toho ohrožují nejasnosti v případě úlohy a odpovědnosti jednotlivých subjektů zapojených do zpracování údajů a nedostatek konkrétních norem pro samotné zpracování důvěrnost údajů, jakož i integritu zpracovávaných osobních údajů i vymezení odpovědnosti.

27.

Evropský inspektor ochrany údajů by proto rád zdůraznil, že za jednu ze slabin stávajícího systému lze považovat skutečnost, že neexistuje důkladný rozbor týkající se ochrany údajů zohledněný v právním rámci, který tvoří základ systému farmakovigilance v EU. Tento nedostatek by měly odstranit změny stávajících právních předpisů.

III.   FARMAKOVIGILANCE A POTŘEBA OSOBNÍCH ÚDAJŮ

28.

V rámci předběžného a obecného zájmu klade evropský inspektor ochrany údajů otázku, zda zpracování údajů o zdravotním stavu, týkajících se identifikovatelné fyzické osoby, je opravdu ve všech fázích systému farmakovigilance nezbytné (na vnitrostátní i na evropské úrovni).

29.

Jak již bylo vysvětleno výše, v hlášeních NÚ není pacient uveden pod svým jménem a není jako takový identifikován. V některých případech však může být identifikovatelný pospojováním různých informací obsažených v hlášeních NÚ. Jak vyplývá z pokynů, v některých případech se uděluje pacientovi specifické osobní číslo, což znamená, že systém jako celek umožňuje vysledovatelnost dané osoby. Ani směrnice ani nařízení však neodkazují na sledovatelnost osob jako součást účelu systému farmakovigilance.

30.

Evropský inspektor ochrany údajů proto zákonodárce vybízí k upřesnění, zda má být sledovatelnost v jednotlivých fázích zpracování údajů, a konkrétněji v rámci databáze EudraVigilance, vskutku účelem farmakovigilance.

31.

V této souvislosti je zajímavé srovnání s plánovaným systémem dárcovství orgánů a transplantací (20). V souvislosti s transplantací orgánů má sledovatelnost orgánu v případě dárce i příjemce orgánu prvořadý význam, zejména v případech závažných nežádoucích příhod nebo reakcí.

32.

V kontextu farmakovigilance však evropský inspektor ochrany údajů nemá dostatečné důkazy pro to, aby dospěl k závěru, že je sledovatelnost skutečně vždy nezbytná. Při farmakovigilanci jde o hlášení nežádoucích účinků léčivých přípravků užívaných nyní nebo v budoucnosti (většinou) neznámým počtem osob. Proto je, a v případě „poregistračního“ období každopádně, propojení informací o nežádoucích účincích a příslušnou osobou méně automatické a individuální, než je tomu v případě informací o institucích a osobách zapojených do transplantace konkrétního orgánu. Je zřejmé, že je v zájmu pacientů, kteří užívali některý léčivý přípravek a hlásili jeho nežádoucí účinky, aby byli informováni o výsledcích všech dalších posouzení. To však neznamená, že by v rámci celého procesu farmakovigilance měly být hlášené informace vždy spojeny s konkrétní osobou. V mnoha případech by stačilo spojit informace o nežádoucích účincích s příslušným léčivým přípravkem, což zúčastněným aktérům, zřejmě prostřednictvím zdravotnických pracovníků, obecně umožní informovat pacienty o následcích užívání nebo užití určitých léčivých přípravků.

33.

Pokud se sledovatelnost přece jen předpokládá, evropský inspektor ochrany údajů by rád připomněl rozbor, který provedl ve svém stanovisku k návrhu Komise o jakostních a bezpečnostních normách pro lidské orgány určené k transplantaci. V uvedeném stanovisku totiž vysvětlil vztah mezi sledovatelností, identifikovatelností, anonymitou a důvěrností údajů. Identifikovatelnost je pojem, který je v právních předpisech v oblasti ochrany údajů zásadní (21). Pravidla ochrany údajů se vztahují na údaje týkající se osob, které jsou identifikované nebo identifikovatelné  (22). Sledovatelnost údajů až ke konkrétní osobě lze srovnat s identifikovatelností. V právních předpisech v oblasti ochrany údajů je anonymita protikladem identifikovatelnosti, a tudíž i sledovatelnosti. Údaje se považují za anonymní pouze v případě, kdy není možné identifikovat (nebo zjistit) osobu, k níž se údaje vztahují Pojem „anonymita“ se proto liší od významu, který má obvykle v každodenním životě, a to zejména v tom, že nelze osobu identifikovat podle údajů samotných, např. protože není uvedeno její jméno. V takovém případě se jedná spíše o důvěrnost údajů v tom smyslu, že informace je dostupná pouze (nebo zcela) těm, kdo jsou oprávněni k přístupu. Sledovatelnost a anonymita nemohou existovat současně, zatímco sledovatelnost a důvěrnost ano.

34.

Kromě sledovatelnosti může být identifikovatelnost pacientů v rámci celého procesu farmakovigilance oprávněna také řádným fungováním systému. Evropský inspektor ochrany údajů si je vědom, že pokud se informace vztahuje k identifikovatelné a tudíž konkrétní osobě, je pro příslušné orgány (tzn. příslušné vnitrostátní orgány a agenturu EMEA) snazší obsah hlášení NÚ monitorovat a kontrolovat (např. s cílem zabránit duplicitě). Ačkoliv si je evropský inspektor ochrany údajů vědom potřeby takového kontrolního mechanismu, nedomnívá se, že by uvedené skutečnosti ospravedlňovaly identifikovatelnost údajů ve všech fázích procesu farmakovigilance a zejména v databázi EudraVigilance. Lepším uspořádáním a koordinací systému vedení záznamů, např. prostřednictvím decentralizovaného systému, jak je uvedeno od bodu 42 dále, lze zabránit duplicitě již na vnitrostátní úrovni.

35.

Evropský inspektor ochrany údajů uznává, že za určitých okolností není možné, aby byly údaje anonymizovány. A to např. v případě, kdy jisté léčivé přípravky užívá velmi malá skupina osob. V takovém případě by se měla stanovit konkrétní ochranná opatření v souladu s povinností vyplývající z právních předpisů v oblasti ochrany údajů.

36.

Na závěr vyjádřil evropský inspektor ochrany údajů vážné pochybnosti o tom, jsou-li sledovatelnost nebo používání údajů o identifikovatelných pacientech nutné v každé fázi procesu farmakovigilance. Evropský inspektor ochrany údajů si je vědom skutečnosti, že v každé fázi procesu pravděpodobně není možné vyloučit zpracování identifikovatelných údajů, a to zejména na vnitrostátní úrovni, kde ve skutečnosti dochází ke sběru informací o nežádoucích účincích. Pravidla na ochranu údajů však vyžadují, aby se zpracování údajů o zdravotním stavu provádělo pouze v případě, kdy je to nezbytně nutné. V případech, kdy to není nutné, by se používání identifikovatelných údajů tudíž mělo co nejvíce omezit a mělo by se mu zabránit, nebo je v pokud možno co nejrannější fázi zastavit. Evropský inspektor ochrany údajů tudíž zákonodárce vybízí k přezkoumání potřeby používání takových informací na evropské i na vnitrostátní úrovni.

37.

Je třeba poukázat na to, že v případě, kdy je skutečně třeba zpracovat identifikovatelné údaje nebo údaje nemohou zůstat anonymní (viz výše uvedený bod 35), by se měly posoudit technické možnosti k nepřímé identifikaci subjektů údajů, např. využíváním mechanismů pro použití pseudonymu (23).

38.

Evropský inspektor ochrany údajů proto doporučuje vložit do nařízení (ES) č. 726/2004 a směrnice 2001/83/ES nový článek stanovící, že ustanovení nařízení (ES) č. 726/2004 a směrnice 2001/83/ES se nedotýkají práv a povinností vznikajících z ustanovení nařízení (ES) č. 45/2001 a směrnice 95/46/ES, se zvláštním odkazem na článek 10 nařízení (ES) č. 45/2001 a směrnice 95/46/ES. K tomu je třeba dodat, že se identifikovatelné údaje o zdravotním stavu mají zpracovávat, pouze je-li to nezbytně nutné, a zúčastněné subjekty musí tuto nutnost v každé jednotlivé fázi procesu farmakovigilance posoudit.

IV.   PODROBNÁ ANALÝZA NÁVRHU

39.

Přestože se ochrana údajů v navrhovaných změnách skoro nebere v úvahu, podrobnější rozbor návrhu je poučný, neboť ukazuje, že některé navrhované změny zvyšují dopad na ochranu údajů a následná rizika.

40.

Obecným cílem obou návrhů je zlepšit soudržnost pravidel, ujasnit odpovědnost, zjednodušit systém hlášení a posílit databázi EudraVigilance (24).

Vyjasnění otázky odpovědnosti

41.

Komise se zjevně snažila lépe vyjasnit otázku odpovědnosti, když navrhla změnit stávající ustanovení takovým způsobem, aby samotné právní předpisy jednoznačněji stanovily, co by kdo měl dělat. Vyjasnění ohledně jednotlivých zúčastněných subjektů a jejich příslušných povinností v souvislosti s hlášením nežádoucích účinků samozřejmě zvyšuje transparentnost systému a představuje tudíž z pohledu ochrany údajů pozitivní vývoj. Obecně by pacienti měli mít možnost z právních předpisů vyrozumět jak, kdy a kým jsou jejich osobní údaje zpracovávány. Navrhované vyjasnění povinností a odpovědnosti by rovněž mělo být jednoznačně uvedeno do vztahu k otázkám vyplývajícím z právních předpisů v oblasti ochrany údajů.

Zjednodušení systému hlášení

42.

Zjednodušení systému hlášení by se mělo dosáhnout využitím vnitrostátních webových portálů pro bezpečnosti léčiv, které by byly spojeny s evropským webovým portálem věnovaným bezpečnosti léčiv (viz nově navržený článek 106 směrnice 2001/83/ES a článku 26 nařízení (ES) č. 726/2004). Vnitrostátní webové portály budou obsahovat veřejně dostupné formuláře pro hlášení podezření na nežádoucí účinky pro zdravotnické pracovníky a pacienty (viz nově navržený čl. 106 odst. 3 směrnice 2001/83/ES a článek 25 nařízení (ES) č. 726/2004). Evropský webový portál bude rovněž obsahovat informace o tom, jak tato hlášení podávat, včetně standardizovaných formulářů pro hlášení pacientů a zdravotnických pracovníků prostřednictvím internetu.

43.

Evropský inspektor ochrany údajů by rád zdůraznil, že používání těchto webových portálů a standardizovaných formulářů sice zvýší účinnost systému hlášení, ale zároveň zvýší rizika systému, pokud jde o ochranu údajů. Evropský inspektor ochrany údajů vyzývá legislativní orgán, aby vytváření tohoto systému hlášení podřídilo požadavkům zákona o ochraně údajů. Jak již bylo uvedeno, znamená to, že nutnost zpracování osobních údajů by měla být řádně posuzována v souvislosti s každým krokem tohoto procesu. To by se mělo zobrazit ve způsobu organizace hlášení na vnitrostátní úrovni i předávání informací agentuře EMEA a do databáze EudraVigilance. Obecněji řečeno, evropský inspektor ochrany údajů velice doporučuje zavedení jednotných formulářů na vnitrostátní úrovni, čímž by se zabránilo odlišným postupům vedoucím k různé míře ochrany údajů.

44.

Zdá se, že plánovaný systém předpokládá, že pacienti mohou podávat hlášení přímo agentuře EMEA nebo i přímo do databáze EudraVigilance. To by při stávajícím používání databáze EudraVigilance znamenalo, že by se informace uložily na portál EMEA, kam by, jak bylo již vysvětleno ve výše uvedených bodech 21 a 22, měla plný přístup Komise a příslušné vnitrostátní orgány.

45.

Obecně řečeno, evropský inspektor ochrany údajů je rozhodně pro decentralizovaný systém hlášení. Spojení s evropským webovým portálem by se mělo koordinovat prostřednictvím využívání vnitrostátních webových portálů, které spadají do pravomoci příslušných vnitrostátních orgánů. Mělo by se rovněž používat nepřímé hlášení pacientů, tzn. prostřednictvím zdravotnických pracovníků (ať už pomocí webových portálů nebo ne), spíše než možnost přímého hlášení pacientů především do databáze EudraVigilance.

46.

Systém hlášení prostřednictvím webových portálů v každém případě vyžaduje přísná bezpečnostní pravidla. V této souvislosti by evropský inspektor ochrany údajů rád odkázal na již zmíněné stanovisko k navrhované směrnici o právech pacientů v přeshraniční zdravotní péči, a to zejména pokud jde o část věnovanou bezpečnosti údajů v členských státech a soukromí v případě aplikací elektronického zdravotnictví e-Zdraví (eHealth) (25). Evropský inspektor ochrany údajů již v uvedeném stanovisku zdůraznil, že soukromí a bezpečnost by měly být součástí aspektů návrhu a provádění každé aplikace e-Zdraví („soukromí coby aspekt návrhu“) (26). To se týká i plánovaných webových portálů.

47.

Evropský inspektor ochrany údajů by tudíž rád doporučil povinnost zahrnout patřičná opatření ohledně soukromí a bezpečnosti i do nově navržených článků 25 a 26 nařízení (ES) č. 726/2004 a článku 106 směrnice 2001/83/ES, které se týkají zavedení systému hlášení o nežádoucích účincích s využitím webových portálů. Zásady důvěrnosti, integrity a dostupnosti údajů a vymezení odpovědnosti lze rovněž uvést jako hlavní bezpečnostní cíle, které by měly být ve stejné míře zajištěny ve všech členských státech. Dále lze doplnit užití odpovídajících technických norem a prostředků, např. šifrování a autentizace elektronického podpisu.

Posílení databáze EudraVigilance: zlepšení přístupu

48.

Databáze EudraVigilance se týká nově navržený článek 24 nařízení (ES) č. 726/2004. Tento článek jasně uvádí, že posílení databáze povede k jejímu zvýšenému využívání jednotlivými zúčastněnými subjekty, a to pokud jde o poskytování informací do databáze a informací z databáze a o přístup k nim. Zajímavé jsou zejména dva odstavce článku 24.

49.

Článek 24 odst. 2 se týká přístupnosti databáze. Nahrazuje stávající čl. 57 odst. 1 písm. d) nařízení č. 726/2004, který byl již zmiňován jako jediné ustanovení, které se v současné době vztahuje k ochraně údajů. Odkaz na ochranu údajů je zachován, ale je omezen počet subjektů, na které se vztahuje. Tam, kde stávající znění uvádí, že odpovídající přístup k této databázi, při ochraně osobních údajů, mají mít zdravotničtí pracovníci, držitelé rozhodnutí o registraci a veřejnost, Komise nyní navrhuje vyjmout z tohoto seznamu držitele rozhodnutí o registraci a umožnit jim přístup „do takové míry, která je potřebná pro to, aby mohli plnit své povinnosti v rámci farmakovigilance“ bez jakéhokoli odkazu na ochranu údajů. Není jasné, proč je tomu tak.

50.

Dále čl. 24 odst. 3 stanoví pravidla pro přístup k hlášením NÚ. Veřejnost smí požadovat přístup, který se poskytne do 90 dnů „s výjimkou případů, kdy by uvolnění hlášení ohrozilo anonymitu subjektů, jichž se týká“. Evropský inspektor ochrany údajů podporuje myšlenku tohoto ustanovení, a to zejména, že bude možné odhalit pouze anonymní údaje. Nicméně by rád zdůraznil, jak je již vysvětleno, že anonymita se musí chápat jako naprostou nemožnost identifikovat osobu, která hlásila nežádoucí účinky (viz též bod 33).

51.

Přístupnost systému EudraVigilance by obecně měla být posouzena s ohledem na pravidla ochrany údajů. To má rovněž přímé důsledky na návrh o politice přístupu zveřejněný agenturou EMEA v prosinci roku 2008, jak je výše uvedeno v bodu 23 (27). Pokud se informace v databázi EudraVigilance nutně vztahují k identifikovatelné fyzické osobě, měl by být přístup k těmto údajům co nejomezenější.

52.

Evropský inspektor ochrany údajů proto doporučuje zahrnout do navrženého čl. 24 odst. 2 nařízení (ES) č. 726/2004 větu stanovící, že přístupnost databáze EudraVigilance se má upravit v souladu s právy a povinnostmi vyplývajícími z právních předpisů Společenství v oblasti ochrany údajů.

Práva subjektu údajů

53.

Evropský inspektor ochrany údajů by rád zdůraznil, že pokud jsou již identifikovatelné údaje zpracovány, strana odpovědná za toto zpracování by měla dostát všem požadavkům právních předpisů Společenství v oblasti ochrany údajů. To mimo jiné znamená, že příslušná osoba je řádně informována o tom, co se s údaji stane a kdo je bude zpracovávat, a je seznámena s dalšími informacemi požadovanými podle článku 11 nařízení (ES) č. 45/2001 anebo článku 10 směrnice 95/46/ES. Příslušná osoba by dále měla mít možnost uplatňovat svá práva na vnitrostátní i evropské úrovni, jako je právo na přístup (článek 12 směrnice 95/46/ES a článek 13 nařízení (ES) č. 45/2001), právo na námitku (článek 18 nařízení (ES) č. 45/2001 a článek 14 směrnice 95/46/ES) atd.

54.

Evropský inspektor ochrany údajů by tudíž doporučil k navrženému článku 101 směrnice 2001/83/ES doplnit odstavec, v němž by bylo uvedeno, že v případě zpracování osobních údajů musí být subjekty v souladu s článkem 10 směrnice 95/46/ES o zpracování řádně informovány.

55.

Otázkou přístupu osob k vlastním informacím uloženým v databázi EudraVigilance se nezabývají ani stávající, ani navrhované právní předpisy. Je třeba zdůraznit, že v případech, kdy se považuje za nutné uchovávat v databázi osobní údaje, jak právě bylo uvedeno, měl by mít pacient možnost uplatňovat svá práva ohledně svých osobních údajů v souladu s článkem 13 nařízení (ES) č. 45/2001. Evropský inspektor ochrany údajů by proto doporučil doplnit k navrženému článku 24 odstavec, v němž by bylo uvedeno, že budou učiněna opatření zajišťující, že subjekt údajů může uplatňovat své právo přístupu k osobním údajům, které se jej týkají, a to podle článku 13 nařízení (ES) č. 45/2001.

V.   ZÁVĚRY A DOPORUČENÍ

56.

Evropský inspektor ochrany údajů zastává názor, že chybějící řádné posouzení důsledků ochrany údajů ve farmakovigilanci představuje jednu ze slabin stávajícího právního rámce podle nařízení (ES) č. 726/2004 a směrnice 2001/83/ES. Stávající změna nařízení (ES) č. 726/2004 a směrnice 2001/83/ES by se proto měla považovat za příležitost zavést ochranu osobních údajů do farmakovigilance jako její plnohodnotnou a významnou část.

57.

Proto je třeba zabývat se obecnou otázkou týkající se skutečné potřeby zpracování osobních údajů ve všech fázích procesu farmakovigilance. Jak je vysvětleno v tomto stanovisku, evropský inspektor ochrany údajů má ohledně této potřeby vážné pochybnosti a vyzývá zákonodárce, aby tuto otázku v rámci jednotlivých fází procesu posoudil. Je zřejmé, že cílů farmakovigilance lze v mnoha případech docílit sdílením informací o nežádoucích účincích, které jsou ve smyslu právních předpisů v oblasti ochrany údajů anonymní. Duplikaci hlášení lze již na vnitrostátní úrovni zabránit uplatňováním řádných postupů pro hlášení údajů.

58.

Navrhované změny usilují o zjednodušení systému hlášení a o posílení databáze EudraVigilance. Evropský inspektor ochrany údajů vysvětlil, že tyto změny vedou ke zvýšenému riziku v oblasti ochrany osobních údajů, zejména pokud obsahují přímé hlášení pacientů agentuře EMEA nebo databázi Eudravigilance. V této souvislosti je evropský inspektor ochrany údajů rozhodně pro decentralizovaný a nepřímý systém hlášení, kde je spojení s evropským webovým portálem koordinováno prostřednictvím vnitrostátních webových portálů. Evropský inspektor ochrany údajů dále zdůrazňuje, že soukromí a bezpečnost by měly být součástí aspektů návrhu a uplatňování systému hlášení prostřednictvím webových portálů („soukromí coby aspekt návrhu“).

59.

Evropský inspektor ochrany údajů dále zdůrazňuje, že jakmile jsou údaje o zdravotním stavu identifikované nebo identifikovatelné fyzické osoby zpracovány, osoba zodpovědná za toto zpracování by měla dostát všem požadavkům právních předpisů Společenství v oblasti ochrany údajů.

60.

Konkrétněji evropský inspektor ochrany údajů doporučuje:

vložit odkaz na toto stanovisko do preambule obou návrhů,

vložit do nařízení (ES) č. 726/2004 i do směrnice 2001/83/ES bod odůvodnění, který stanoví význam ochrany osobních údajů ve farmakovigilanci s odkazem na příslušné právní předpisy Společenství,

vložit do nařízení (ES) č. 726/2004 a do směrnice 2001/83/ES nový článek obecné povahy, v němž se stanoví, že:

ustanovení nařízení (ES) č. 726/2004 a směrnice 2001/83/ES se nedotknou práv a povinností vyplývajících z ustanovení nařízení (ES) č. 45/2001 a směrnice 95/46/ES, s konkrétním odkazem na článek 10 nařízení (ES) č. 45/2001 a na článek 8 směrnice 95/46/ES,

identifikovatelné údaje o zdravotním stavu se zpracují pouze tehdy, je-li to nezbytně nutné, což posoudí zúčastněné strany v každé fázi procesu farmakovigilance,

vložit do navrženého čl. 24 odst. 2 nařízení (ES) č. 726/2004 větu stanovící, že přístupnost databáze EudraVigilance se má upravit v souladu s právy a povinnostmi podle právních předpisů Společenství v oblasti ochrany údajů,

přidat k navrženému článku 24 odstavec, který stanoví, že budou učiněna opatření zajišťující, aby subjekt údajů mohl uplatňovat své právo přístupu k osobním údajům, které se jej týkají, a to podle článku 13 nařízení (ES) č. 45/2001,

přidat k navrženému článku 101 směrnice 2001/83/ES odstavec, který stanoví, že v případě zpracování osobních údajů musí být subjekty v souladu s článkem 10 směrnice 95/46/ES o zpracování řádně informovány,

vložit do nově navrženého článku 25 a článku 26 nařízení (ES) č. 726/2004 a článku 106 směrnice 2001/83/ES, které se zabývají rozvojem systému hlášení nežádoucích účinků prostřednictvím webových portálů, povinnost začlenit opatření týkající se soukromí a bezpečnosti ve stejné míře ve všech členských státech, zohlednit hlavní zásady důvěrnosti, integrity, dostupnosti údajů a odpovědnosti za ně.

V Bruselu dne 22. dubna 2009.

Peter HUSTINX

evropský inspektor ochrany údajů


(1)  Úř. věst. L 281, 23.11.1995, s. 31.

(2)  Úř. věst. L 8, 12.1.2001, s. 1.

(3)  KOM(2008) 664 v konečném znění a KOM(2008) 665 v konečném znění.

(4)  Úř. věst. L 136, 30.4.2004, s. 1.

(5)  Úř. věst. L 311, 28.11.2001, s. 67.

(6)  Viz důvodové zprávy k oběma návrhům na s. 3.

(7)  Úř. věst. 22, 9.2.1965, s. 369.

(8)  Viz důvodové zprávy, s. 2.

(9)  Viz definice údajů o zdraví ve stanovisku evropského inspektora ochrany údajů k navrhované směrnici o právech pacientů v přeshraniční zdravotní péči, body 15 až 17, na adrese http://www.edps.europa.eu

(10)  Viz Evropský soud pro lidská práva dne 17. července 2008, I v. Finsko (žádost č. 20511/03) bod 38 a Evropský soud pro lidská práva dne 25. listopadu 2008, Armonas v. Litva (žádost č. 36919/02), bod 40.

(11)  Viz hodnocení dopadu, str. 10.

(12)  Viz Pravidla pro léčivé přípravky v Evropské unii, svazek 9A: Pokyny pro farmakovigilanci humánních léčivých přípravků, které lze najít na adrese: http://ec.europa.eu/enterprise/pharmaceuticals/eudralex/vol-9/pdf/vol9a_09-2008.pdf

(13)  Viz pokyny, s. 57.

(14)  Viz poznámka pod čarou č. 13.

(15)  Článek 2 písm. a) směrnice 95/46/ES definuje „osobní údaje“ jako „veškeré informace o identifikované nebo identifikovatelné osobě („subjekt údajů“); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity.“ 26. bod odůvodnění dále upřesňuje: „… že pro určení, zda je osoba identifikovatelná, je třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem tak jakoukoli jinou osobou pro identifikaci dané osoby.“ Další rozbor viz stanovisko 4/2007 pracovní skupiny zřízené podle článku 29 k pojetí osobních údajů (dokument WP 136) přijaté dne 20. června 2007 a dostupné na adrese http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm To platí i pro nařízení (ES) č. 45/2001.

(16)  Viz poznámka pod čarou č. 13.

(17)  Viz návrh o politice přístupu k databázi EudraVigilance pro humánní léčivé přípravky ze dne 19. prosince 2008, a to na adrese http://www.emea.europa.eu/pdfs/human/phv/18743906en.pdf

(18)  Viz posouzení dopadů, s. 17.

(19)  Viz poznámka pod čarou č. 18.

(20)  Viz návrh směrnice Evropského parlamentu a Rady o jakostních a bezpečnostních normách pro lidské orgány určené k transplantaci vypracovaný Komisí, KOM(2008) 818 v konečném znění. Viz stanovisko evropského inspektora ochrany údajů ze dne 5. března 2009, na adrese http://www.edps.europa.eu

(21)  Viz stanovisko evropského inspektora ochrany údajů, body 11–28.

(22)  Viz čl. 2 písm. a) směrnice 95/46/ES, čl. 3 písm. a) nařízení (ES) č. 45/2001 a další vysvětlení v poznámce pod čarou 13.

(23)  Použití pseudonymu je postup, který lze aplikovat pro zatajení identity subjektu údajů při současném zachování sledovatelnosti údajů Existují rozličné technické možnosti, např. zajištění uchovávání seznamů uvádějících skutečné identity a pseudonymy, využívání obousměrných šifrovacích algoritmů atd.

(24)  Viz důvodová zpráva, s. 2. a 3.

(25)  Viz stanovisko evropského inspektora ochrany údajů v poznámce pod čarou 7 navrhované směrnice o právech pacientů v přeshraniční zdravotní péči, bod 32 až 34.

(26)  Viz bod 32 tohoto stanoviska.

(27)  Viz rovněž poznámka pod čarou č. 15.


IV Informace

INFORMACE ORGÁNŮ A INSTITUCÍ EVROPSKÉ UNIE

Komise

23.9.2009   

CS

Úřední věstník Evropské unie

C 229/27


Směnné kurzy vůči euru (1)

22. září 2009

2009/C 229/05

1 euro =


 

měna

směnný kurz

USD

americký dolar

1,4780

JPY

japonský jen

135,09

DKK

dánská koruna

7,4422

GBP

britská libra

0,90470

SEK

švédská koruna

10,0940

CHF

švýcarský frank

1,5149

ISK

islandská koruna

 

NOK

norská koruna

8,6280

BGN

bulharský lev

1,9558

CZK

česká koruna

25,131

EEK

estonská koruna

15,6466

HUF

maďarský forint

271,42

LTL

litevský litas

3,4528

LVL

lotyšský latas

0,7055

PLN

polský zlotý

4,1613

RON

rumunský lei

4,2475

TRY

turecká lira

2,1882

AUD

australský dolar

1,6922

CAD

kanadský dolar

1,5787

HKD

hongkongský dolar

11,4552

NZD

novozélandský dolar

2,0484

SGD

singapurský dolar

2,0863

KRW

jihokorejský won

1 779,06

ZAR

jihoafrický rand

10,9943

CNY

čínský juan

10,0902

HRK

chorvatská kuna

7,2943

IDR

indonéská rupie

14 316,85

MYR

malajsijský ringgit

5,1434

PHP

filipínské peso

70,238

RUB

ruský rubl

44,5532

THB

thajský baht

49,687

BRL

brazilský real

2,6726

MXN

mexické peso

19,6500

INR

indická rupie

70,8900


(1)  Zdroj: referenční směnné kurzy jsou publikovány ECB.


INFORMACE ČLENSKÝCH STÁTŮ

23.9.2009   

CS

Úřední věstník Evropské unie

C 229/28


Aktualizace seznamu hraničních přechodů podle čl. 2 odst. 8 nařízení Evropského parlamentu a Rady (ES) č. 562/2006, kterým se stanoví kodex Společenství o pravidlech upravujících přeshraniční pohyb osob (Schengenský hraniční kodex) (Úř. věst. C 316, 28.12.2007, s. 1; Úř. věst. C 134, 31.5.2008, s. 16; Úř. věst. C 177, 12.7.2008, s. 9; Úř. věst. C 200, 6.8.2008, s. 10; Úř. věst. C 331, 31.12.2008, s. 13; Úř. věst. C 3, 8.1.2009, s. 10; Úř. věst. C 37, 14.2.2009, s. 10; Úř. věst. C 64, 19.3.2009, s. 20; Úř. věst. C 99, 30.4.2009, s. 7)

2009/C 229/06

Zveřejnění seznamu hraničních přechodů podle čl. 2 odst. 8 nařízení Evropského parlamentu a Rady (ES) č. 562/2006 ze dne 15. března 2006, kterým se stanoví kodex Společenství o pravidlech upravujících přeshraniční pohyb osob (Schengenský hraniční kodex), vychází z informací sdělených členskými státy Komisi v souladu s článkem 34 Schengenského hraničního kodexu.

Kromě zveřejnění v Úředním věstníku jsou na internetové stránce generálního ředitelství pro spravedlnost, svobodu a bezpečnost dostupné měsíční aktualizace.

MAĎARSKO

Nahrazení seznamu zveřejněného v Úř. věst. C 316, 28.12.2007, s. 1 .

MAĎARSKO–CHORVATSKO

Pozemní hranice

1.

Barcs–Terezino Polje

2.

Beremend–Baranjsko Petrovo Selo

3.

Berzence–Gola

4.

Drávaszabolcs–Donji Miholjac

5.

Drávaszabolcs (řeka, na požádání) (1)

6.

Gyékényes–Koprivnica (železnice)

7.

Letenye–Goričan I

8.

Letenye–Goričan II (dálnice)

9.

Magyarboly–Beli Manastir (železnice)

10.

Mohács (řeka)

11.

Murakeresztúr–Kotoriba (železnice)

12.

Udvar–Dubosevica

MAĎARSKO–SRBSKO

Pozemní hranice

1.

Bácsalmás–Bajmok (2)

2.

Hercegszántó–Bački Breg

3.

Kelebia–Subotica (řeka)

4.

Mohács (řeka)

5.

Röszke–Horgoš (dálnice)

6.

Röszke–Horgoš (železnice)

7.

Szeged (řeka) (2)

8.

Tiszasziget–Đjala (Gyála) (2)

9.

Tompa–Kelebija

MAĎARSKO–RUMUNSKO

Pozemní hranice

1.

Ágerdőmajor (Tiborszállás)–Carei (železnice)

2.

Ártánd–Borș

3.

Battonya–Turnu

4.

Biharkeresztes–Episcopia Bihorului (železnice)

5.

Csengersima–Petea

6.

Gyula–Vărșand

7.

Kiszombor–Cenad

8.

Kötegyán–Salonta (železnice)

9.

Létavértes–Săcuieni (3)

10.

Lőkösháza–Curtici (železnice)

11.

Méhkerék–Salonta

12.

Nagylak–Nădlac

13.

Nyírábrány–Valea Lui Mihai (železnice)

14.

Nyírábrány–Valea Lui Mihai

15.

Vállaj–Urziceni

MAĎARSKO–UKRAJINA

Pozemní hranice

1.

Barabás–Kosino (4)

2.

Beregsurány–Luzhanka

3.

Eperjeske–Salovka (železnice)

4.

Lónya–Dzvinkove (5)

5.

Tiszabecs–Vylok

6.

Záhony–Čop (železnice)

7.

Záhony–Čop

Vzdušné hranice

Mezinárodní letiště

1.

Budapest Nemzetközi Repülőtér

2.

Debrecen Repülőtér

3.

Sármellék

Menší letiště (funguje pouze na požádání):

1.

Békéscsaba

2.

Budaörs

3.

Fertőszentmiklós

4.

Győr–Pér

5.

Kecskemét

6.

Nyíregyháza

7.

Pápa

8.

Pécs–Pogány

9.

Siófok–Balatonkiliti

10.

Szeged

11.

Szolnok


(1)  07:00–19:00.

(2)  Viz poznámka pod čarou (*).

(3)  06:00–22:00.

(4)  Viz poznámka pod čarou (*).

(5)  08:00–16:00.


V Oznámení

ŘÍZENÍ TÝKAJÍCÍ SE PROVÁDĚNÍ SPOLEČNÉ OBCHODNÍ POLITIKY

Komise

23.9.2009   

CS

Úřední věstník Evropské unie

C 229/30


Oznámení o antidumpingových opatřeních týkajících se dovozu dusičnanu amonného pocházejícího z Ruska

2009/C 229/07

V návaznosti na žádost, kterou podala společnost JSC Kirovo-Chepetsky Khimichesky Kombinat, zrušil Soud prvního stupně Evropských společenství svým rozsudkem ze dne 10. září 2008 ve věci T-348/05 nařízení Rady (ES) č. 945/2005 (1) ze dne 21. června 2005, kterým se mění i) nařízení (ES) č. 658/2002 (2) o uložení konečného antidumpingového cla z dovozu dusičnanu amonného pocházejícího z Ruska a ii) nařízení (ES) č. 132/2001 (3) týkající se uložení konečného antidumpingového cla z dovozu dusičnanu amonného pocházejícího mimo jiné z Ukrajiny. Na základě žádosti o výklad výše zmíněného rozsudku Soud prvního stupně svým rozsudkem ze dne 9. července 2009 dále prohlásil, že výrok rozsudku ze dne 10. září 2008 má být vykládán v tom smyslu, že nařízení (ES) č. 945/2005 ze dne 21. června 2005 je zrušeno, pokud jde o společnost JSC Kirovo-Chepetsky Khimichesky Kombinat.

Z toho důvodu bude konečné antidumpingové clo zaplacené podle nařízení Rady (ES) č. 658/2002 z dovozu výrobků, které vyrábí a do Evropské unie vyváží společnost JSC Kirovo-Chepetsky Khimichesky Kombinat, s výjimkou antidumpingového cla vybraného z dovozu výrobků kódů KN 3102 30 90 a 3102 40 90, vráceno nebo prominuto. O vrácení nebo prominutí je nutno požádat vnitrostátní celní orgány v souladu s příslušnými celními předpisy.


(1)  Úř. věst. L 160, 23.6.2005, s. 1.

(2)  Úř. věst. L 102, 18.4.2002, s. 1.

(3)  Úř. věst. L 23, 25.1.2001, s. 1.