EURÓPSKA KOMISIA
V Bruseli10. 1. 2017
COM(2017) 7 final
OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE
Výmena a ochrana osobných údajov v globalizovanom svete
This document is an excerpt from the EUR-Lex website
Document 52017DC0007
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Exchanging and Protecting Personal Data in a Globalised World
OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE Výmena a ochrana osobných údajov v globalizovanom svete
OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE Výmena a ochrana osobných údajov v globalizovanom svete
COM/2017/07 final
EURÓPSKA KOMISIA
V Bruseli10. 1. 2017
COM(2017) 7 final
OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE
Výmena a ochrana osobných údajov v globalizovanom svete
1. Úvod
Ochrana osobných údajov je súčasťou spoločnej ústavnej štruktúry Európy a je zakotvená v článku 8 Charty základných práv EÚ. Už viac ako 20 rokov má ústredné postavenie v práve EÚ, od smernice o ochrane údajov z roku 1995 1 („smernica z roku 1995“) až po prijatie všeobecného nariadenia o ochrane údajov 2 a policajnej smernice 3 v roku 2016.
Ako zdôraznil predseda Juncker vo svojom prejave o stave Európskej únie 14. septembra 2016, „[b]yť Európanom znamená mať aj právo na ochranu osobných údajov prísnymi európskymi právnymi predpismi. […] V Európe na súkromí záleží. V hre je ľudská dôstojnosť.“
Požiadavky na ochranu osobných údajov však nie sú obmedzené len na Európu. Spotrebitelia po celom svete si čoraz viac svoje súkromie strážia a cenia. Spoločnosti zasa uznávajú, že silná ochrana súkromia im poskytuje konkurenčnú výhodu, pretože zvyšuje dôveru v ich služby. Mnohé spoločnosti, najmä tie s celosvetovým dosahom, zlaďujú svoje pravidlá ochrany súkromia so všeobecným nariadením o ochrane údajov preto, že chcú pôsobiť v EÚ, ale aj preto, že ho vnímajú ako model hodný nasledovania.
Podobne niekoľko krajín a regionálnych organizácií mimo EÚ, od našich bezprostredných susedov až po Áziu, Latinskú Ameriku a Afriku, prijíma nové alebo aktualizuje existujúce právne predpisy o ochrane údajov s cieľom využiť príležitosti, ktoré ponúka svetová digitálna ekonomika, a reagovať na rastúci dopyt po silnejšej bezpečnosti údajov a ochrane súkromia. Aj keď medzi krajinami existujú rozdiely v prístupe a úrovni legislatívneho vývoja, existujú náznaky, že dochádza k zbližovaniu smerom k vyššej úrovni, teda smerom k dôležitým zásadám ochrany údajov, a to najmä v určitých regiónoch sveta 4 . Väčšia kompatibilita medzi rôznymi systémami ochrany údajov by zjednodušila medzinárodné toky osobných údajov, či už na komerčné účely alebo na účely spolupráce medzi orgánmi verejnej moci (napr. presadzovanie práva). EÚ by sa mala chopiť tejto príležitosti podporiť svoje hodnoty v oblasti ochrany údajov a zjednodušiť toky údajov podnecovaním zbližovania právnych systémov. Ako bolo oznámené v pracovnom programe Komisie 5 , v tomto oznámení sa preto stanovuje strategický rámec Komisie pre tzv. rozhodnutia o primeranosti, ako aj iné nástroje na prenosy údajov a medzinárodné nástroje ochrany údajov.
2. Balík reforiem v oblasti ochrany údajov v EÚ – Moderný legislatívny rámec, ktorým sa podporujú medzinárodné toky údajov s vysokou ochranou
Reformou právnych predpisov EÚ o ochrane údajov, ktorá bola prijatá v apríli 2016, sa zavádza systém, ktorý zabezpečuje silnú úroveň ochrany a je zároveň otvorený príležitostiam, ktoré prináša globálna informačná spoločnosť. Reformou sa posilňuje dôvera spotrebiteľov v digitálnu ekonomiku tým, že sa fyzickým osobám poskytuje väčšia kontrola nad ich osobnými údajmi. Vďaka harmonizácii a zjednodušeniu právneho prostredia je pre spoločnosti, domáce aj zahraničné, jednoduchšie a menej zaťažujúce vykonávať podnikateľské činnosti v EÚ, a to aj prostredníctvom medzinárodných výmen údajov. V EÚ sa dnes spája otvorenosť voči medzinárodným tokom údajov s najvyššou úrovňou ochrany pre fyzické osoby. Má potenciál stať sa centrom pre dátové služby, ktoré vyžadujú voľné toky aj dôveru.
2.1 Komplexný, zjednotený a zjednodušený rámec EÚ pre ochranu údajov
Reformou EÚ sa stanovuje komplexný rámec upravujúci spracúvanie osobných údajov v súkromnom aj verejnom sektore, ako aj v komerčnom sektore a oblasti presadzovania práva (všeobecné nariadenie o ochrane údajov, resp. policajná smernica).
Na základe všeobecného nariadenia o ochrane údajov bude od mája 2018 existovať jeden celoeurópsky súbor pravidiel na rozdiel od súčasných 28 vnútroštátnych právnych predpisov. Prostredníctvom novovytvoreného mechanizmu jednotného kontaktného miesta sa zabezpečí, že za dozor nad cezhraničnými operáciami spracúvania údajov vykonávanými určitou spoločnosťou v EÚ bude zodpovedný jeden orgán pre ochranu osobných údajov. Bude zaručená jednotnosť výkladu nových pravidiel. Najmä v cezhraničných prípadoch, v ktorých je zapojených niekoľko orgánov pre ochranu osobných údajov, sa prijme jedno rozhodnutie, aby sa zabezpečilo, že sa spoločné problémy budú riešiť spoločne. Okrem toho sa všeobecným nariadením o ochrane údajov vytvárajú rovnaké podmienky pre spoločnosti z EÚ aj zahraničné spoločnosti spočívajúce v tom, že spoločnosti so sídlom mimo EÚ budú musieť pri ponúkaní tovaru a služieb alebo monitorovaní správania fyzických osôb v EÚ uplatňovať rovnaké pravidlá ako európske spoločnosti. Vyššia úroveň dôvery spotrebiteľov bude prínosom pre podnikateľské subjekty v EÚ aj externé podnikateľské subjekty.
V policajnej smernici sa stanovujú spoločné pravidlá pre spracovanie osobných údajov fyzických osôb v trestnom konaní, či už ide o podozrivých, obete alebo svedkov, pričom sa zohľadňuje osobitná povaha oblasti polície a trestného súdnictva. Harmonizácia pravidiel o ochrane údajov v oblasti presadzovania práva vrátane pravidiel o medzinárodných prenosoch zjednoduší cezhraničnú spoluprácu medzi policajnými a súdnymi orgánmi, a to v rámci EÚ aj s medzinárodnými partnermi, čím sa vytvoria podmienky pre účinnejší boj proti trestnej činnosti. Ide o dôležitý príspevok k Európskemu programu v oblasti bezpečnosti 6 .
2.2 Obnovený a diverzifikovaný súbor nástrojov pre medzinárodné prenosy
Od svojho vzniku poskytli právne predpisy EÚ o ochrane údajov niekoľko mechanizmov umožňujúcich medzinárodné prenosy údajov. Hlavným účelom týchto pravidiel je zabezpečiť, aby pri prenášaní osobných údajov Európanov do zahraničia bola súčasne zaistená i ochrana týchto údajov. V priebehu rokov určili tieto pravidlá normu pre medzinárodné toky údajov v mnohých jurisdikciách. Aj keď štruktúra zostáva v zásade rovnaká ako podľa smernice z roku 1995, pri reforme pravidiel pre medzinárodné prenosy sa objasňuje a zjednodušuje ich používanie a zavádzajú sa nové nástroje pre prenosy.
Podľa práva EÚ je jedným spôsobom prenosu osobných údajov do zahraničia prenos na základe rozhodnutia Komisie o primeranosti, v ktorom sa stanovuje, že krajina mimo EÚ zabezpečuje úroveň ochrany údajov, ktorá je „v zásade rovnocenná“ 7 úrovni v EÚ. Účinkom takéhoto rozhodnutia je umožniť voľný tok osobných údajov do danej tretej krajiny bez potreby toho, aby vývozca údajov musel poskytnúť ďalšie záruky alebo získať akékoľvek povolenie. Zainteresované krajiny alebo medzinárodné organizácie majú k dispozícii presný a podrobný zoznam prvkov, ktoré musí Komisia zohľadniť pri posudzovaní primeranosti ochrany zahraničného systému 8 . Komisia môže teraz prijímať rozhodnutia o primeranosti aj pre oblasť presadzovania práva 9 . Okrem toho, na základe praxe podľa smernice z roku 1995 sa reformou výslovne umožňuje, aby sa určenie primeranosti uskutočnilo so zreteľom na konkrétne územie tretej krajiny alebo na osobitný sektor alebo odvetvie v rámci tretej krajiny (takzvaná čiastočná primeranosť) 10 .
Bez rozhodnutia o primeranosti sa môžu medzinárodné prenosy uskutočňovať na základe niekoľkých alternatívnych nástrojov prenosu, ktoré poskytujú primerané záruky ochrany údajov 11 . Reformou sa formalizujú a rozširujú možnosti použitia existujúcich nástrojov, ako napríklad štandardných zmluvných doložiek 12 a záväzných vnútropodnikových pravidiel 13 . Napríklad štandardné zmluvné doložky môžu byť teraz zahrnuté do zmluvy medzi sprostredkovateľmi so sídlom v EÚ a sprostredkovateľmi v krajine mimo EÚ (takzvané vzorové doložky medzi sprostredkovateľmi) 14 . Pokiaľ ide o záväzné vnútropodnikové pravidlá, ktoré boli dosiaľ obmedzené na dohody medzi subjektmi z rovnakej skupiny podnikov, teraz ich môže používať viacero podnikov vykonávajúcich spoločnú hospodársku činnosť, ktoré však nemusia nevyhnutne byť súčasťou rovnakej skupiny podnikov 15 . Reformou sa takisto znižuje byrokracia, a to zrušením všeobecných požiadaviek na predchádzajúce oznámenie a povoľovaním prenosov do tretej krajiny na základe štandardných zmluvných doložiek alebo záväzných vnútropodnikových pravidiel orgánmi pre ochranu osobných údajov 16 . Ide o dôležité zjednodušenie systému EÚ týkajúceho sa medzinárodných prenosov údajov, keďže existencia týchto požiadaviek, ktoré sa v súčasnosti v jednotlivých členských štátoch líšia, je často vnímaná ako závažná prekážka tokov údajov, najmä pre menšie podniky 17 .
Okrem toho sa reformou zavádzajú nové nástroje pre medzinárodné prenosy 18 . Prevádzkovatelia a sprostredkovatelia budú môcť za určitých podmienok používať 19 na poskytnutie tzv. primeraných záruk schválené kódexy správania, alebo certifikačné mechanizmy (napríklad osvedčenia alebo značky o zachovaní dôverného charakteru informácií). Tak by sa mal umožniť vývoj lepšie prispôsobených riešení pre medzinárodné prenosy, pri ktorom sa zohľadnia napríklad osobitné črty a potreby daného sektora alebo odvetvia, alebo osobitných tokov údajov. Poskytuje aj možnosť poskytnúť primerané záruky pre prenosy údajov medzi orgánmi verejnej moci alebo verejnými subjektmi na základe medzinárodných dohôd alebo administratívnych opatrení 20 . A napokon, vo všeobecnom nariadení o ochrane údajov sa objasňuje používanie takzvaných výnimiek 21 (napr. súhlas, plnenie zmluvy alebo dôležité dôvody verejného záujmu), na ktorých môžu subjekty v osobitných situáciách založiť svoje prenosy údajov bez rozhodnutia o primeranosti a bez ohľadu na použitie jedného z uvedených nástrojov. Nariadenie obsahuje najmä novú, aj keď obmedzenú, výnimku týkajúcu sa prenosov, ktoré sa môžu uskutočniť na základe oprávnených záujmov 22 , ktoré spoločnosť sleduje.
Na základe reformy je Komisia takisto oprávnená rozvíjať mechanizmy medzinárodnej spolupráce na zjednodušenie presadzovania pravidiel ochrany údajov, a to aj prostredníctvom opatrení vzájomnej pomoci 23 . Tým sa uznáva príspevok, ktorý by mohli priniesť užšie formy spolupráce medzi dozornými orgánmi na medzinárodnej úrovni k zaisteniu účinnejšej ochrany práv fyzických osôb, ako aj väčšej právnej istoty pre podniky.
3. Medzinárodné prenosy údajov v obchodnom sektore: zjednodušenie obchodu ochranou súkromia
Rešpektovanie súkromia je podmienkou stabilných, bezpečných a konkurencieschopných celosvetových obchodných tokov. Súkromie nie je komodita určená na obchodovanie 24 . Internet a digitalizácia tovarov a služieb transformovali svetové hospodárstvo a prenos údajov vrátane osobných údajov cez hranice je súčasťou každodenných činností európskych spoločností všetkých veľkostí vo všetkých sektoroch. Keďže sa obchodné výmeny čoraz viac opierajú o toky osobných údajov, ochrana a bezpečnosť týchto údajov sa stala ústredným prvkom dôvery spotrebiteľov. Napríklad dve tretiny Európanov sa vyjadrili, že majú obavy z toho, že nemajú žiadnu kontrolu nad informáciami, ktoré poskytujú online, zatiaľ čo polovica respondentov sa obáva, že sa stane obeťou podvodu 25 . Európske spoločnosti pôsobiace v niektorých tretích krajinách zároveň čoraz viac čelia ochranným opatreniam, ktoré nemožno odôvodniť oprávnenými obavami o súkromie.
V digitálnom veku sa preto podporovanie vysokých štandardov ochrany údajov musí nevyhnutne spájať so zjednodušovaním medzinárodného obchodu. Zatiaľ čo o ochrane osobných údajov sa v obchodných dohodách nedá vyjednávať 26 , režim EÚ pre medzinárodné prenosy údajov, ako už bol opísaný, poskytuje široký a rozmanitý súbor nástrojov na umožnenie tokov údajov v rôznych situáciách, pri zabezpečení vysokej úrovne ochrany.
3.1 Rozhodnutia o primeranosti
Záver o primeranosti umožňuje voľný tok osobných údajov z EÚ bez toho, aby vývozca údajov z EÚ musel uplatňovať akékoľvek ďalšie záruky alebo podliehal ďalším podmienkam. V závere, že právny poriadok vývozcu údajov poskytuje primeranú úroveň ochrany, sa rozhodnutím uznáva, že systém krajiny sa približuje systému členských štátov EÚ. V dôsledku toho budú prenosy údajov do predmetnej krajiny pripodobnené prenosom údajov v rámci EÚ, čím sa poskytne zvýhodnený prístup na jednotný trh EÚ a zároveň sa otvoria obchodné kanály pre prevádzkovateľov z EÚ. Ako už bolo vysvetlené, pre toto uznanie je nevyhnutne potrebné, aby bola úroveň ochrany porovnateľná (alebo „v zásade rovnocenná“) 27 s úrovňou, ktorá je garantovaná v Únii. Zahŕňa komplexné posúdenie systému tretej krajiny vrátane jej pravidiel pre prístup k osobným údajom orgánmi verejnej moci na účely presadzovania práva, národnej bezpečnosti a na iné účely verejného záujmu.
Zároveň, ako v roku 2015 potvrdil Súdny dvor v rozsudku vo veci Schrems, norma primeranosti si nevyžaduje napodobenie pravidiel EÚ bod za bodom 28 . Namiesto toho sa skôr skúša, či prostredníctvom podstaty práv na súkromie a ich účinného vykonávania, vymožiteľnosti a dohľadu nad nimi dosahuje príslušný zahraničný systém ako celok požadovanú vysokú úroveň ochrany. Ako vyplýva z doteraz prijatých rozhodnutí o primeranosti, je možné, aby Komisia uznala rozmanitú škálu systémov ochrany súkromia, ktoré predstavujú odlišné právne tradície, ako primeranú. Tieto rozhodnutia sa týkajú krajín, ktoré sú úzko integrované s Európskou úniou a jej členskými štátmi (Švajčiarsko, Andorra, Faerské ostrovy, Guernsey, Jersey, Ostrov Man), dôležitých obchodných partnerov (Argentína, Kanada, Izrael, Spojené štáty americké) a krajín, ktoré majú priekopnícku úlohu pri vývoji zákonov na ochranu údajov vo svojom regióne (Nový Zéland, Uruguaj).
Rozhodnutia o Kanade a Spojených štátoch amerických predstavujú závery o tzv. čiastočnej primeranosti. Rozhodnutie o Kanade sa vzťahuje len na súkromné subjekty, ktoré patria do rozsahu pôsobnosti kanadského zákona o ochrane osobných informácií a elektronických dokumentoch. Nedávno prijaté rozhodnutie o štíte na ochranu osobných údajov medzi EÚ a USA 29 je osobitným prípadom v tom, že sa vzhľadom na neexistenciu všeobecných právnych predpisov v oblasti ochrany údajov v USA 30 opiera o záväzky zapojených spoločností týkajúce sa uplatňovania vysokých štandardov ochrany údajov stanovené týmto dojednaním, ktoré sú vymožiteľné podľa práva USA. Štít na ochranu osobných údajov okrem toho vychádza z osobitných vyhlásení a uistení poskytnutých vládou USA, pokiaľ ide o prístup na účely národnej bezpečnosti 31 , ktorými sa dokladá záver o primeranosti. Dodržiavanie týchto záväzkov bude Komisia dôsledne monitorovať a bude súčasťou ročného preskúmania fungovania rámca.
V posledných rokoch čoraz viac krajín po celom svete prijalo nové právne predpisy v oblasti ochrany údajov a súkromia alebo sú v procese ich prijímania. V roku 2015 bolo krajín, ktoré prijali právne predpisy o ochrane údajov, 109, pričom ich počet od polovice roka 2011, keď ich bolo 76, významne vzrástol 32 . Okrem toho približne 35 krajín v súčasnosti pripravuje zákony o ochrane údajov 33 . Tieto nové alebo modernizované zákony sú zvyčajne založené na základnom súbore spoločných zásad, ktoré okrem iného zahŕňajú uznanie ochrany údajov za základné právo, prijímanie zastrešujúcich právnych predpisov v tejto oblasti, existenciu vymožiteľných individuálnych práv na súkromie a zriadenie nezávislého dozorného orgánu. Vznikajú tak nové príležitosti, najmä prostredníctvom záverov o primeranosti, na ďalšie zjednodušenie tokov údajov pri súčasnom garantovaní naďalej vysokej úrovne ochrany osobných údajov.
Podľa práva EÚ je pre záver o primeranosti potrebné, aby existovali pravidlá ochrany údajov, ktoré sú porovnateľné s pravidlami v EÚ 34 . Týka sa to vecnej ochrany vzťahujúcej sa na osobné údaje, ako aj príslušných mechanizmov dohľadu a prostriedkov nápravy, ktoré sú v tretej krajine dostupné.
Na základe svojho rámca pre závery o primeranosti sa Komisia domnieva, že pri posudzovaní toho, s ktorými tretími krajinami by sa mal rozvíjať dialóg o primeranosti, by sa mali zohľadniť nasledujúce kritériá 35 :
i) rozsah (skutočných alebo potenciálnych) obchodných vzťahov EÚ s danou treťou krajinou vrátane existencie dohody o voľnom obchode alebo existujúcich rokovaní;
ii) rozsah tokov osobných údajov z EÚ so zohľadnením geografických a/alebo kultúrnych väzieb;
iii) priekopnícka úloha, ktorú tretia krajina plní v oblasti ochrany súkromia a údajov, ktorá by mohla slúžiť ako vzor pre iné krajiny v jej regióne 36 a
iv) celkový politický vzťah s danou treťou krajinou, najmä so zreteľom na propagovanie spoločných hodnôt a spoločných cieľov na medzinárodnej úrovni.
Na základe týchto úvah bude Komisia aktívne nadväzovať vzťahy s kľúčovými obchodnými partnermi vo východnej a juhovýchodnej Ázii, počnúc Japonskom a Kóreou v roku 2017 37 a, v závislosti od pokroku pri modernizácii jej zákonov na ochranu údajov, Indiou, ale aj s krajinami v Latinskej Amerike, najmä Mercosurom, a európskym susedstvom, ktoré vyjadrilo záujem získať záver o primeranosti. Okrem toho Komisia víta vyjadrenia záujmu iných tretích krajín, ktoré sú ochotné zapojiť sa do týchto záležitostí. Diskusie o možnom závere o primeranosti sú obojstranným dialógom, ktorý zahŕňa poskytnutie akýchkoľvek objasnení pravidiel ochrany údajov EÚ, ktoré sú potrebné, a skúmanie spôsobov na väčšie priblíženie zákonov a praxe tretích krajín.
V určitých situáciách môže byť namiesto prijatia prístupu pre celú krajinu vhodnejšie využiť iné možnosti, napríklad čiastočnú alebo odvetvovú primeranosť (napríklad pre finančné služby alebo sektory IT), ktoré sa môžu týkať geografických oblastí alebo odvetví, ktoré tvoria dôležitú súčasť hospodárstva konkrétnej tretej krajiny. Bude to treba zvážiť vzhľadom na prvky, ako je napríklad povaha a stav rozvoja režimu ochrany súkromia (samostatný zákon, niekoľko zákonov alebo odvetvové zákony atď.), ústavná štruktúra tretej krajiny alebo to, či sú určité sektory hospodárstva osobitne vystavené toku údajov z EÚ.
Prijatie rozhodnutí o primeranosti zahŕňa vytvorenie osobitného dialógu a úzke formy spolupráce s príslušnou treťou krajinou. Rozhodnutia o primeranosti sú tzv. živé dokumenty, ktoré Komisia musí podrobne monitorovať a v prípade vývoja, ktorý ovplyvní úroveň ochrany zabezpečovanú príslušnou treťou krajinou, prispôsobiť 38 . Na tento účely sa aspoň každé štyri roky budú konať pravidelné preskúmania s cieľom riešiť vznikajúce problémy a vymieňať si najlepšie postupy medzi blízkymi partnermi 39 . Tento dynamický prístup sa vzťahuje aj na už existujúce rozhodnutia o primeranosti prijaté podľa smernice z roku 1995, ktoré bude potrebné preskúmať pre prípad, že už nespĺňajú platné normy 40 . Príslušné tretie krajiny sa preto vyzývajú, aby informovali Komisiu o každej relevantnej zmene v práve a praxi, ku ktorej došlo od prijatia rozhodnutia o primeranosti, ktoré sa ich týka. Je to veľmi dôležité pre zaistenie kontinuity týchto rozhodnutí podľa nových pravidiel reformy 41 .
Pravidlá EÚ týkajúce sa ochrany údajov nemôžu byť predmetom rokovaní o dohode o voľnom obchode 42 . Aj sa keď dialógy o ochrane údajov a rokovania o obchode s tretími krajinami musia viesť po samostatných líniách, rozhodnutie o primeranosti vrátane čiastočného alebo odvetvového rozhodnutia, je najlepším spôsobom na budovanie vzájomnej dôvery, pretože zaručuje nerušený tok osobných údajov a zjednodušuje tak obchodné výmeny zahŕňajúce prenosy osobných údajov do príslušnej tretej krajiny. Tieto rozhodnutia môžu preto uľahčiť obchodné rokovania alebo môžu dopĺňať existujúce obchodné dohody, vďaka čomu sa zväčší ich prínos. Záver o primeranosti napomáha zbližovaniu úrovne ochrany v EÚ a tretej krajine, a tým zároveň znižuje riziko toho, že daná krajina použije dôvody ochrany osobných údajov na uloženie neodôvodnených požiadaviek na lokalizáciu alebo uchovávanie údajov. Okrem toho, ako bolo uvedené v oznámení Obchod pre všetkých, Komisia sa bude snažiť používať obchodné dohody EÚ na určenie pravidiel pre elektronický obchod a cezhraničné toky údajov a bojovať proti novým formám digitálneho protekcionizmu, a to v úplnom súlade s pravidlami EÚ týkajúcimi sa ochrany údajov a bez toho, aby boli tieto pravidlá dotknuté 43 .
Komisia:
stanoví prioritu diskusií o možných rozhodnutiach o primeranosti s kľúčovými obchodnými partnermi vo východnej a juhovýchodnej Ázii počnúc Japonskom a Kóreou v roku 2017, ale zváži aj iných strategických partnerov, ako je India, a krajiny v Latinskej Amerike, najmä Mercosur, a v európskom susedstve.
bude dôsledne monitorovať fungovanie existujúcich rozhodnutí o primeranosti. Pôjde najmä o monitorovanie vykonávania rámca pre štít na ochranu osobných údajov medzi EÚ a USA, predovšetkým prostredníctvom mechanizmu každoročného spoločného preskúmania.
bude pracovať s krajinami, ktoré sa zaujímajú o prijatie silných zákonov na ochranu údajov, pomáhať im a podporovať ich zbližovanie so zásadami EÚ týkajúcimi sa ochrany údajov.
3.2 Alternatívne mechanizmy prenosu údajov
V pravidlách EÚ týkajúcich sa ochrany údajov sa vždy uznávalo, že neexistuje jeden univerzálny prístup k medzinárodným prenosom údajov. Ešte viac to platí v prípade pravidiel vyplývajúcich z reformy. Zatiaľ čo závery o primeranosti budú k dispozícii len pre tretie krajiny, ktoré spĺňajú príslušné kritériá, vo všeobecnom nariadení o ochrane údajov sa stanovuje rozmanitý súbor mechanizmov, ktoré sú dostatočne flexibilné na to, aby sa mohli prispôsobiť celej škále rôznych situácií prenosu. Môžu byť vyvinuté nástroje na zohľadnenie osobitných potrieb alebo osobitných podmienok konkrétnych odvetví, obchodných modelov a/alebo prevádzkovateľov. Tie by mohli mať napríklad formu štandardných zmluvných doložiek zameraných na požiadavky konkrétneho sektora, ako sú napríklad osobitné záruky pri spracúvaní citlivých údajov v sektore zdravotníctva, alebo osobitného druhu spracovateľských činností prevládajúceho v určitých tretích krajinách, ako sú napríklad outsourcingové služby, ktoré sa vykonávajú pre európske spoločnosti. Mohlo by sa to uskutočniť buď prijatím nových súborov štandardných doložiek, alebo doplnením existujúcich doložiek dodatočnými zárukami, ktoré môžu siahať od technických riešení po organizačné riešenia súvisiace s obchodným modelom 44 . Niektoré osobitné odvetvové potreby sa dajú uspokojiť aj prostredníctvom záväzných vnútropodnikových pravidiel vzťahujúcich sa na skupiny spoločností spoločne vykonávajúce hospodársku činnosť, napríklad v odvetví cestovného ruchu. Pre medzinárodné prenosy medzi sprostredkovateľmi by mohol byť prínosom rozvoj štandardných zmluvných doložiek medzi sprostredkovateľmi a/alebo záväzné vnútropodnikové pravidlá pre sprostredkovateľov. Na záver možno uviesť, že nové mechanizmy prenosu, ako sú napríklad schválené kódexy správania a certifikácie akreditovanou treťou stranou poskytujú odvetviu možnosť zaviesť pre medzinárodné prenosy prispôsobené riešenia a zároveň využívať konkurenčné výhody spojené napríklad s osvedčením alebo značkou o zachovaní dôverného charakteru informácií. Niektoré z týchto nástrojov môžu byť vyvinuté ako mechanizmy osobitne určené pre prenosy alebo ako súčasť všeobecnejších nástrojov na preukázanie dodržania všetkých ustanovení všeobecného nariadenia o ochrane údajov, ako napríklad v prípade schváleného kódexu správania.
Komisia bude spolupracovať s priemyslom, občianskou spoločnosťou a orgánmi pre ochranu osobných údajov s cieľom naplno využiť potenciál súboru nástrojov pre medzinárodné prenosy podľa všeobecného nariadenia o ochrane údajov. Dialóg so zainteresovanými stranami prebiehajúci v kontexte vykonávania reformy pomôže určiť prioritné oblasti činnosti v tomto smere. Môže to zahŕňať dokončenie práce, ktorá sa už začala, napríklad na vypracovaní štandardných zmluvných doložiek medzi sprostredkovateľmi v spolupráci s pracovnou skupinou zriadenou podľa článku 29 (ktorú v roku 2018 nahradí Európsky výbor pre ochranu údajov) 45 . Môže to zahŕňať aj vypracovanie nových prvkov infraštruktúry EÚ na zaistenie dodržiavania predpisov, napríklad prostredníctvom vymedzovania požiadaviek a technických noriem Komisiou na účely zriadenia a fungovania certifikačných mechanizmov vrátane aspektov týkajúcich sa medzinárodných prenosov 46 . Niektoré z týchto opatrení môžu byť doplnené činnosťou na medzinárodnej úrovni, a to najmä s organizáciami, ktoré vyvinuli podobné mechanizmy prenosu. Mohli by sa napríklad preskúmať spôsoby presadzovania zbližovania medzi záväznými vnútropodnikovými pravidlami podľa práva EÚ a pravidlami cezhraničnej ochrany osobných údajov vyvinutými Ázijsko-tichomorskou hospodárskou spoluprácou (APEC) 47 , pokiaľ ide o platné normy, ako aj postup uplatňovania podľa oboch systémov. To by malo prispieť k presadzovaniu vysokých štandardov ochrany údajov v celosvetovom meradle a zároveň odstrániť rozdiely v prístupoch k ochrane súkromia a údajov, čo by hospodárskym subjektom pomohlo pohybovať sa medzi rôznymi systémami a navrhovať zásady, ktoré sú s nimi v súlade.
Komisia:
bude pracovať so zainteresovanými stranami na vývoji alternatívnych mechanizmov prenosu osobných údajov prispôsobených osobitným potrebám alebo podmienkam konkrétnych odvetví, obchodných modelov a/alebo prevádzkovateľov.
3.3 Medzinárodná spolupráca na účely ochrany osobných údajov
3.3.1. Presadzovanie noriem ochrany údajov prostredníctvom multilaterálnych nástrojov a fór
Právny rámec EÚ týkajúci sa ochrany údajov často slúži ako referencia pre tretie krajiny, ktoré vypracovávajú právne predpisy v tejto oblasti. EÚ sa bude naďalej aktívne zapájať do dialógu so svojimi medzinárodnými partnermi, na bilaterálnej aj multilaterálnej úrovni, aby podporila zbližovanie vypracovaním vysokých a interoperabilných štandardov ochrany osobných údajov na celosvetovej úrovni. To prispeje k účinnejšej ochrane práv fyzických osôb a zároveň zníži prekážky cezhraničného toku údajov ako dôležitého prvku voľného obchodu.
Komisia najmä podnecuje tretie krajiny k tomu, aby pristúpili k Dohovoru Rady Európy č. 108 a jeho dodatkovému protokolu 48 . Dohovor, ktorý je otvorený aj pre krajiny, ktoré nie sú členmi Rady Európy, a ktorý už ratifikovalo 50 krajín vrátane afrických a juhoamerických štátov 49 , je jediným záväzným multilaterálnym nástrojom v oblasti ochrany údajov. V súčasnosti je v procese revízie, pričom Komisia bude aktívne podporovať urýchlené prijatie modernizovaného znenia, aby sa EÚ mohla stať jeho zmluvnou stranou. V revidovanom znení budú zohľadnené rovnaké zásady ako tie, ktoré sú zakotvené v nových pravidlách EÚ týkajúcich sa ochrany údajov, čím prispeje k zbližovaniu smerom k súboru vysokých štandardov ochrany údajov.
Stretnutie G20 v roku 2017 poskytne EÚ ďalšiu príležitosť usilovať sa o zbližovanie na základe zásady, že vysoké štandardy ochrany údajov sú základným prvkom ďalšieho rozvoja globálnej informačnej spoločnosti schopnej podporovať inovácie, rast a sociálnu prosperitu 50 .
Komisia sa takisto teší na spoluprácu s dôležitými novými aktérmi, napríklad s osobitným spravodajcom OSN pre právo na súkromie 51 , a ďalší rozvoj svojich pracovných vzťahov s regionálnymi organizáciami, ako je napríklad APEC, s cieľom posilniť celosvetovú kultúru rešpektovania práv na súkromie a ochranu osobných údajov.
V rámci svojho širšieho úsilia o zlepšenie povedomia o ochrane súkromia a posilnenie záruk ochrany údajov na medzinárodnej úrovni Európska komisia schválila 15. novembra 2016 projekt v rámci nástroja partnerstva na posilnenie spolupráce s partnerskými krajinami v tejto oblasti 52 . To bude zahŕňať financovanie činností, ako je napríklad odborná príprava a zvyšovanie informovanosti. V súvislosti s vykonávaním reformy môže mať EÚ zase prínos z výmeny najlepších postupov a skúseností z iných systémov s novými výzvami pre ochranu súkromia a vznikajúcimi právnymi alebo technickými riešeniami, okrem iného pokiaľ ide o oblasť presadzovania, nástroje na zabezpečenie dodržiavania predpisov (napr. certifikačné mechanizmy, posúdenia vplyvu na súkromie) alebo ochranu určitých osobitných súborov údajov (napríklad údajov detí).
3.3.2. Spolupráca v oblasti presadzovania práva
Zlepšenie spolupráce s príslušnými orgánmi presadzovania ochrany súkromia a dozornými orgánmi tretích krajín je vzhľadom na celosvetový dosah nadnárodných spoločností, ktoré spracúvajú obrovské množstvá osobných údajov vo veľkom počte krajín, čoraz potrebnejšie. Problémy spojené s nedodržiavaním pravidiel ochrany údajov alebo porušením ochrany údajov často naraz zasiahnu ľudí vo viac ako jednej jurisdikcii. V týchto prípadoch by sa účinnosť ochrany fyzických osôb mohla zvýšiť spoločnými opatreniami. Hospodárske subjekty zároveň mali prospech z jasnejšieho právneho prostredia, v ktorom sa spoločné nástroje výkladu a postupy presadzovania vyvíjajú na celosvetovej úrovni.
V prepojenom svete tokov údajov, ktorý nemá hranice, preto nastal čas zintenzívniť spoluprácu medzi orgánmi presadzovania 53 . EÚ je pripravená plniť svoju úlohu. Ako sa už uviedlo, všeobecným nariadením o ochrane údajov sa Komisii umožňuje rozvíjať mechanizmy medzinárodnej spolupráce na zjednodušenie účinného presadzovania právnych predpisov v oblasti ochrany údajov, a to aj prostredníctvom opatrení vzájomnej pomoci. V tejto súvislosti by sa mala preskúmať možnosť vypracovania rámcovej dohody pre spoluprácu medzi orgánmi EÚ pre ochranu osobných údajov a orgánmi presadzovania práva v určitých tretích krajinách, pri ktorej by sa malo čerpať aj zo skúseností, ktoré Komisia nadobudla v iných oblastiach presadzovania práva, napríklad v oblasti hospodárskej súťaže a ochrany spotrebiteľa.
Komisia: bude presadzovať rýchle prijatie modernizovaného znenia Dohovoru Rady Európy č. 108 so zreteľom na pristúpenie EÚ a bude k pristúpeniu podnecovať tretie krajiny. bude využívať multilaterálne fóra, napríklad OSN, G20 a APEC, na podporu celosvetovej kultúry rešpektovania práv na ochranu údajov. vyvinie mechanizmy medzinárodnej spolupráce s kľúčovými medzinárodnými partnermi na uľahčenie účinného presadzovania predpisov. |
4. Účinnejšia spolupráca v oblasti presadzovania práva so silnými zárukami ochrany údajov
Výmeny osobných údajov sú neoddeliteľnou súčasťou predchádzania trestným činom, ich vyšetrovania a stíhania. Vo vzájomne prepojenom svete, v ktorom sa zločin zriedka zastaví na hraniciach štátov, je rýchla výmena osobných údajov nevyhnutná pre úspešnú spoluprácu pri presadzovaní práva a účinnú odpoveď na trestnú činnosť. Tieto výmeny sa musia opierať o silné záruky ochrany údajov. Prispieva to aj k budovaniu dôvery medzi orgánmi presadzovania práva a posilňovaniu právnej istoty pri zhromažďovaní a/alebo výmene informácií.
Pravidlami medzinárodných prenosov obsiahnutými v policajnej smernici sa spravujú výmeny údajov medzi orgánmi presadzovania práva v EÚ a mimo nej, ako aj, v osobitných prípadoch, prenosy od orgánov presadzovania práva iným subjektom. Smernicou sa zavádza možnosť prijatia záverov o primeranosti v oblasti presadzovania trestného práva. Komisia bude presadzovať možnosť takýchto záverov o primeranosti v prípade tretích krajín, ktoré na to spĺňajú podmienky, najmä krajín, s ktorými je potrebné úzko a rýchle spolupracovať v boji proti trestnej činnosti a terorizmu a v ktorých sa už uskutočňujú významné výmeny osobných údajov. Komisia na tomto základe určí prioritu diskusií o rozhodnutiach o primeranosti s tretími krajinami, ktoré sú v tomto úsilí kľúčovými partnermi.
Ďalším úspešným príkladom toho, ako sa dá zlepšiť spolupráca pri presadzovaní práva s dôležitým medzinárodným partnerom vyrokovaním silného súboru záruk ochrany údajov je zastrešujúca dohoda o ochrane údajov medzi EÚ a USA 54 uzavretá v decembri 2016. Automatickým dopĺňaním existujúcich právnych nástrojov, na ktorých sú založené výmeny údajov (najmä bilaterálne dohody na úrovni EÚ, ako aj členských štátov), zastrešujúca dohoda prináša fyzickým osobám bezprostredné a priame výhody a zjednodušením výmeny informácií posilňuje spoluprácu pri presadzovaní práva. Stanovením základu pre budúce opatrenia na výmenu údajov so Spojenými štátmi americkými sa zároveň zastrešujúcou dohodou odstraňuje potreba opakovane rokovať o rovnakých zárukách. Zastrešujúca dohoda predstavuje prvú bilaterálnu medzinárodnú dohodu s komplexným súborom práv a povinností v oblasti ochrany údajov v súlade s acquis EÚ. Môže preto slúžiť ako základ pre rokovania o podobných dohodách s tretími krajinami nielen v oblasti justičnej a policajnej spolupráce, ale aj v iných oblastiach verejnoprávneho presadzovania práva (napr. politika hospodárskej súťaže, ochrana spotrebiteľa). Vzťahovalo by sa to na výmeny údajov medzi vládami aj prenosy údajov medzi súkromnými spoločnosťami a orgánmi presadzovania práva. Mohlo by to takisto zjednodušiť uzatváranie dohôd o výmene údajov medzi príslušnými agentúrami EÚ (najmä Europolom a Eurojustom) a tretími krajinami zo strany Únie 55 . Komisia preto preskúma možnosť uzavretia podobných rámcových dohôd so svojimi dôležitými partnermi v oblasti presadzovania práva.
Okrem toho sa v policajnej smernici stanovuje, že orgány presadzovania práva EÚ si pod podmienkou prísnych záruk a v osobitných prípadoch môžu vyžiadať informácie priamo od súkromnej spoločnosti v tretej krajine a uviesť v danej žiadosti osobné údaje (zvyčajne meno alebo IP adresu) 56 . Naopak, vo všeobecnom nariadení o ochrane osobných údajov sa konkrétne riešia prípady, keď súkromné subjekty v EÚ prenášajú osobné údaje orgánom presadzovania práva tretej krajiny na základe žiadosti: tieto prenosy mimo EÚ sú prípustné len za určitých podmienok, napr. na základe medzinárodnej dohody, alebo ak je poskytnutie nevyhnutné z dôležitého dôvodu verejného záujmu uznaného v práve Únie alebo práve členského štátu 57 .
Táto spolupráca, ktorá má zásadný význam pre úspešné vyšetrovanie a stíhanie trestnej činnosti a terorizmu, je zdôraznená v záveroch Rady o zlepšení trestnej justície v kybernetickom priestore. Rada vyzvala Komisiu, aby na základe spoločného prístupu EÚ prijala konkrétne opatrenia na zlepšenie spolupráce s poskytovateľmi služieb, zvýšila efektívnosť vzájomnej právnej pomoci a navrhla riešenia problémov s určovaním a presadzovaním jurisdikcie v kybernetickom priestore 58 . Tieto opatrenia sa vzťahujú na výmeny medzi orgánmi presadzovania práva a poskytovateľmi služieb so sídlom v EÚ, ako aj na výmeny s orgánmi a spoločnosťami mimo EÚ. Komisia v júni 2017 navrhne možnosti, pokiaľ ide o prístup k elektronickým dôkazom, pričom zohľadní potrebu rýchlej a spoľahlivej spolupráce opierajúcej sa o silné normy ochrany údajov podľa policajnej smernice a všeobecného nariadenia o ochrane údajov pri prenosoch údajov v rámci EÚ, ako aj v prípade medzinárodných prenosov.
A napokon, v súlade s novým právnym základom pre Europol Komisia posúdi ustanovenia obsiahnuté v dohodách o operatívnej spolupráci medzi Europolom a tretími stranami uzavretých podľa rozhodnutia Rady 2009/371/SVV vrátane ich ustanovení o ochrane údajov 59 . Okrem toho, ako sa stanovuje v Európskom programe v oblasti bezpečnosti z roku 2015, v budúcom prístupe Únie k výmene údajov z osobných záznamov o cestujúcich s tretími krajinami sa zohľadní potreba uplatňovania jednotných noriem a osobitnej ochrany základných práv. Komisia bude pracovať na právne podložených a udržateľných riešeniach na výmenu údajov z osobných záznamov o cestujúcom (PNR) s tretími krajinami, a to aj so zohľadnením modelovej dohody o PNR, v ktorej sa stanovia požiadavky, ktoré musia tretie krajiny splniť, aby mohli od EÚ dostať údaje z osobných záznamov o cestujúcich. Akákoľvek budúca politika v tejto oblasti však bude závisieť najmä od nadchádzajúceho stanoviska Súdneho dvora Európskej únie k plánovanej dohode medzi EÚ a Kanadou o osobných záznamoch o cestujúcich 60 .
Účinnejšia spolupráca v oblasti presadzovania práva so silnými zárukami ochrany údajov Komisia: bude v prípade krajín, ktoré spĺňajú podmienky, presadzovať možnosť rozhodnutí o primeranosti podľa policajnej smernice. bude presadzovať rokovanie o dohodách v oblasti presadzovania práva s dôležitými medzinárodnými partnermi podľa modelu, ktorý poskytuje zastrešujúca dohoda s USA. prijme opatrenia v nadväznosti na závery Rady o zlepšení trestnej justície v kybernetickom priestore s cieľom zjednodušiť cezhraničnú výmenu elektronických dôkazov v súlade s pravidlami ochrany údajov. |
5. Záver
Ochrana a výmena osobných údajov sa vzájomne nevylučujú. Silný systém ochrany údajov zjednodušuje toky údajov budovaním dôvery spotrebiteľov v spoločnosti, ktoré dbajú na spôsob, akým nakladajú s osobnými údajmi svojich zákazníkov. Vysoké štandardy ochrany údajov sa preto vo svetovej digitálnej ekonomike stávajú výhodou. To isté platí pre spoluprácu v oblasti presadzovania práva: záruky ochrany súkromia sú neoddeliteľnou súčasťou účinnej a rýchlej výmeny informácií v boji proti trestnej činnosti na základe vzájomnej dôvery a právnej istoty.
Po dokončení reformy svojich pravidiel ochrany údajov by EÚ mala v tomto ohľade aktívne spolupracovať s tretími krajinami. Mala by sa snažiť o väčšie zbližovanie smerom k vyššej úrovni zásad ochrany údajov na medzinárodnej úrovni, a to na bilaterálnej aj multilaterálnej úrovni. Je to v záujme občanov a podnikov, ako aj v ich prospech. Nový legislatívny rámec v oblasti ochrany údajov poskytuje EÚ potrebné a vhodné nástroje na dosiahnutie týchto cieľov. Na základe strategického prístupu predstaveného v tomto oznámení bude Komisia aktívne spolupracovať s kľúčovými tretími krajinami pri skúmaní možnosti prijatia záverov o primeranosti, počnúc Japonskom a Kóreou v roku 2017, s cieľom podporiť zbližovanie právnych predpisov s normami EÚ a uľahčiť obchodné vzťahy. EÚ zároveň v plnom rozsahu využije celú škálu alternatívnych nástrojov na prenosy, aby chránila práva v oblasti ochrany údajov a podporila hospodárske subjekty pri prenose údajov do krajín, ktorých vnútroštátne právo nezabezpečuje primeranú ochranu údajov. Tieto nástroje by sa mali používať aj na ďalšie uľahčenie spolupráce medzi dozornými orgánmi a orgánmi presadzovania práva v EÚ a ich medzinárodnými partnermi. Komisia zabezpečí súdržnosť vnútorného a vonkajšieho rozmeru politiky EÚ v oblasti ochrany údajov a bude presadzovať silnú ochranu údajov na medzinárodnej úrovni s cieľom zlepšiť spoluprácu v oblasti presadzovania práva, prispieť k voľnému obchodu a vyvinúť vysoké štandardy ochrany osobných údajov na celosvetovej úrovni.
Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, Ú. v. ES L 281 z 23.11.1995.
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88. Nadobudlo účinnosť 24. mája 2016 a bude sa uplatňovať od 25. mája 2018.
Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV, Ú. v. EÚ L 119, 4.5.2016, s. 89 – 131. Smernica nadobudla účinnosť 5. mája 2016. Členské štáty EÚ ju musia transponovať do svojho vnútroštátneho práva do 6. mája 2018.
Pozri „Data protection regulations and international data flows: Implications for trade and development“, UNCTAD (2016): http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.
Pracovný program Komisie na rok 2017, Vytvorenie Európy, ktorá chráni, posilňuje a obraňuje, COM(2016) 710 final, 25.10.2016, s. 12 a príloha 1.
Oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov: Európsky program v oblasti bezpečnosti, COM(2015) 185 final, 28.4.2015.
Rozsudok Súdneho dvora EÚ zo 6. októbra 2015 vo veci C-362/14, Maximillian Schrems proti Data Protection Commissioner, body 73, 74 a 96. Pozri tiež odôvodnenie 104 všeobecného nariadenia o ochrane údajov a odôvodnenie 67 policajnej smernice, ktoré sa týkajú normy základnej rovnocennosti.
Pozri článok 45 všeobecného nariadenia o ochrane údajov. Ako sa stanovuje v článku 45 ods. 2, Komisia musí vo svojom posudzovaní zohľadniť okrem iného právny štát, dodržiavanie ľudských práv a základných slobôd a príslušné právne predpisy vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva a prístupu orgánov verejnej moci k osobným údajom. Tieto predpisy musia byť podporené účinnými a vymožiteľnými právami vrátane správnych a súdnych prostriedkov nápravy pre fyzické osoby a účinne fungujúcim nezávislým dozorným orgánom na zabezpečenie a presadzovanie dodržiavania pravidiel ochrany údajov. Zohľadní sa aj dodržiavanie právne záväzných dohovorov, najmä Dohovoru Rady Európy č. 108, a zapojenie do viacstranných alebo regionálnych systémov ochrany údajov.
Konkrétne prvky posudzovania primeranosti pozri v článku 36 ods. 2 policajnej smernice.
Pozri článok 45 ods. 1 všeobecného nariadenia o ochrane údajov a článok 36 ods. 1 policajnej smernice.
Pozri napr. Oznámenie Komisie Európskemu parlamentu a Rade o prenose osobných údajov z EÚ do Spojených štátov amerických podľa smernice 95/46/ES v nadväznosti na rozsudok Súdneho dvora vo veci C-362/14 (Schrems), COM(2015) 566 final, 6.11.2015.
V štandardných zmluvných doložkách sa stanovujú príslušné povinnosti ochrany údajov pre vývozcov z EÚ a dovozcov v tretej krajine.
Záväzné vnútropodnikové pravidlá sú interné pravidlá prijaté nadnárodnou skupinou spoločností na uskutočňovanie prenosov údajov v rámci rovnakej skupiny podnikov subjektom nachádzajúcim sa v krajinách, ktoré nezabezpečujú primeranú úroveň ochrany. Aj keď sa záväzné vnútropodnikové pravidlá už používajú podľa smernice z roku 1995, všeobecným nariadením o ochrane údajov sa kodifikuje a formalizuje ich úloha ako nástroja pre prenosy.
Pozri článok 46 ods. 2 písm. c) a d) a odôvodnenie 168 všeobecného nariadenia o ochrane údajov.
Pozri článok 46 ods. 2 písm. b), článok 47 a odôvodnenie 110 všeobecného nariadenia o ochrane údajov.
Pozri článok 46 ods. 2 všeobecného nariadenia o ochrane údajov.
To, že registračné požiadavky vytvárajú prekážku v obchode pre mnohé podniky, najmä MSP, bolo zdôraznené napr. v správe UNCTAD, s. 34.
Pozri článok 46 ods. 2 písm. e) a f) všeobecného nariadenia o ochrane údajov.
Prevádzkovatelia z tretích krajín budú môcť dodržiavať kódex správania alebo certifikačný mechanizmus EÚ prijatím záväzných a vymožiteľných záväzkov (prostredníctvom zmluvných alebo iných právne záväzných záväzkov), že budú uplatňovať záruky ochrany údajov obsiahnuté v uvedených nástrojoch. Pozri článok 42 ods. 2 všeobecného nariadenia o ochrane údajov.
Pozri článok 46 ods. 2 písm. a) a článok 46 ods. 3 písm. b) všeobecného nariadenia o ochrane údajov.
Pozri článok 49 všeobecného nariadenia o ochrane údajov.
Článok 49 ods. 1 druhý pododsek.
Pozri článok 50 všeobecného nariadenia o ochrane údajov.
Pozri napr. oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov – Obchod pre všetkých Smerom k zodpovednejšej obchodnej a investičnej politike, COM(2015) 497 final, 14.10.2015, s. 7.
Osobitný prieskum Eurobarometra 431 – Ochrana údajov, jún 2015.
Politické usmernenia predsedu Junckera: Nový začiatok pre Európu: moja agenda pre zamestnanosť, rast, spravodlivosť a demokratickú zmenu.
Pozri poznámku pod čiarou č. 7.
Pozri bod 74 rozsudku vo veci Schrems.
Vykonávacie rozhodnutie EÚ(2016) 1260 z 12. júla 2016.
Komisia podnecuje USA, aby vyvíjali úsilie o komplexný systém ochrany súkromia a údajov, ktorý umožní konvergenciu medzi týmito dvomi systémami z dlhodobejšieho hľadiska. Pozri oznámenie Komisie Európskemu parlamentu a Rade, Transatlantické toky údajov: Obnovenie dôvery prostredníctvom silných záruk, COM(2016) 117 final, 29.2.2016.
Patrí sem najmä uplatňovanie prezidentskej politickej smernice 28 (PPD-28), ktorou sa ukladá niekoľko obmedzení a záruk pre operácie „signálového spravodajstva“, a menovanie osobitného ombudsmana pre sťažnosti fyzických osôb z EÚ v tomto smere.
G. Greenleaf, Global data privacy laws 2015: 109 countries, with European laws now in a minority, (2015) 133 Privacy Laws & Business International Report, s. 14 – 17.
Štúdia UNCTAD, s. 8 a 42 (už uvedená poznámka pod čiarou č. 4).
V tomto smere Komisia pri vykonávaní posúdenia takisto zohľadňuje záväzky tretej krajiny vyplývajúce z právne záväzných dohovorov, najmä z jej pristúpenia k Dohovoru č. 108 a jeho dodatkovému protokolu. Pozri článok 45 ods. 2 písm. c) a odôvodnenie 105 všeobecného nariadenia o ochrane údajov.
V prípade krajín, vo vzťahu ku ktorým existujú relevantné záujmy o spoluprácu v oblasti vnútornej bezpečnosti a presadzovania práva, Komisia preskúma možnosť osobitných záverov o primeranosti podľa policajnej smernice, pozri oddiel 4.
Toto môže byť osobitne relevantné pre rozvíjajúce sa krajiny a krajiny s transformujúcim sa hospodárstvom, keďže ochrana osobných údajov je veľmi dôležitým prvkom právneho štátu, ako aj dôležitým faktorom hospodárskej konkurencieschopnosti.
Japonsko a Kórea nedávno prijali alebo modernizovali svoje právne predpisy, aby zaviedli komplexné režimy ochrany údajov.
V článku 45 ods. 4 a 5 všeobecného nariadenia o ochrane údajov sa vyžaduje, aby Komisia priebežne monitorovala vývoj v tretích krajinách, pričom tento článok jej dáva právomoc zrušiť, zmeniť alebo pozastaviť rozhodnutie o primeranosti, ak sa domnieva, že príslušná krajina už nezaručuje primeranú úroveň ochrany.
Článok 45 ods. 3 všeobecného nariadenia o ochrane údajov.
V článku 97 ods. 2 písm. a) všeobecného nariadenia o ochrane údajov sa takisto vyžaduje, aby Komisia predložila do roku 2020 hodnotiacu správu Európskemu parlamentu a Rade.
S cieľom vyvodiť dôsledky z rozsudku vo veci Schrems, podľa ktorého Komisia prekročila svoje právomoci, keď v rozhodnutí o bezpečnom prístave obmedzila právomoci dozorných orgánov pre ochranu osobných údajov pozastaviť alebo zakázať toky údajov, Komisia prijala 16. decembra 2016 tzv. pozmeňujúce rozhodnutie omnibus, ktorým sa vymazávajú podobné ustanovenia v existujúcich rozhodnutiach o primeranosti a nahrádzajú sa ustanoveniami, v ktorých sa stanovujú len požiadavky na poskytovanie informácií medzi členskými štátmi a Komisiou v prípade, že orgán pre ochranu osobných údajov pozastaví alebo zakáže prenosy do tretej krajiny. Rozhodnutím omnibus sa takisto zavádza požiadavka, aby Komisia monitorovala príslušný vývoj v tretej krajine. Pozri Ú. v. EÚ L 355, 17.12.2016, s. 83.
Záver o primeranosti je najmä jednostranným vykonávacím rozhodnutím Komisie v súlade s právom EÚ v oblasti ochrany údajov, na základe kritérií, ktoré sú v ňom stanovené.
Pozri oznámenie Obchod pre všetkých s. 12 (pozri poznámku pod čiarou č. 24).
Pozri článok 46 ods. 2 písm. c) a d) a odôvodnenie 109 všeobecného nariadenia o ochrane údajov, v ktorých sa objasňuje, že prispôsobenia schválených vzorových doložiek sú možné, pokiaľ nie sú priamo ani nepriamo v rozpore s danými vzorovými doložkami, ani nebránia základným právam alebo slobodám fyzických osôb.
V súčasnosti nie sú zavedené žiadne štandardné zmluvné doložky medzi sprostredkovateľom z EÚ a sprostredkovateľom z tretej krajiny.
Článok 43 ods. 8 a 9 všeobecného nariadenia o ochrane údajov.
Pozri dokument APEC/EÚ z roku 2014 s názvom Common Referential for the Structure of the EU Binding Corporate Rules and the APEC Cross Border Privacy Rules System (CBPR), v ktorom sú porovnané požiadavky oboch systémov na dodržiavanie predpisov a certifikáciu: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.
Dohovor Rady Európy z 28. januára 1981 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (ETS č. 180) a Dodatkový protokol k Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov z roku 2001 (ETS č. 181).
Dohovor ratifikovali Maurícius, Senegal a Uruguaj. Okrem toho boli na pristúpenie k dohovoru vyzvané Kapverdy, Maroko a Tunisko.
Pozri aj ministerské vyhlásenie OECD k digitálnej ekonomike: inovácia, rast a sociálna prosperita (Kankúnska deklarácia), 23. júna 2016.
Pozri: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .
Vykonávacie rozhodnutie Komisie C(2016) 7198, ktorým sa schvaľuje druhá fáza ročného akčného programu nástroja partnerstva na rok 2016 (AAP 2016).
Medzi existujúce siete patrí Globálna sieť pre presadzovanie ochrany súkromia (GPEN) vytvorená v roku 2010 pod záštitou OECD. Ide o neformálnu sieť orgánov na presadzovanie ochrany súkromia, v ktorej sú zapojené orgány pre ochranu osobných údajov EÚ a ktorá je poverená, okrem iného, spoluprácou v oblasti presadzovania práva, výmenou najlepších postupov pri riešení cezhraničných problémov a podporovaním spoločných iniciatív v oblasti presadzovania práva a kampaní na zvýšenie informovanosti. Svojim účastníkom neukladá žiadne nové právne záväzné povinnosti a je zameraná najmä na zjednodušenie spolupráce pri presadzovaní právnych predpisov týkajúcich sa ochrany súkromia, ktorými sa riadi súkromný sektor. Pozri https://privacyenforcement.net/ .
Dohoda medzi EÚ a USA o ochrane osobných údajov pri prenose a spracúvaní na účely predchádzania trestným činom vrátane terorizmu, ich vyšetrovania, odhaľovania alebo stíhania v rámci policajnej a justičnej spolupráce v trestných veciach: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf („zastrešujúca dohoda“)
Uzavretie operačných dohôd s Europolom a Eurojustom bolo kritériom aj v dialógoch o liberalizácii vízového režimu s určitými tretími krajinami, napr. v rámci prebiehajúceho dialógu s Tureckom.
Pozri článok 39 a odôvodnenie 73 policajnej smernice.
Pozri článok 48 a odôvodnenie 115 všeobecného nariadenia o ochrane údajov.
Závery Rady Európskej únie o zlepšení trestnej justície v kybernetickom priestore, 9. júna 2016: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. Komisia bola poverená, aby v nadväznosti na svoju správu o pokroku, ktorú predložila Rade v decembri 2016, predložila Rade výstupy v týchto otázkach, a to do júna 2017.
Pozri článok 25 ods. 4 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/794 z 11. mája 2016 o Agentúre Európskej únie pre spoluprácu v oblasti presadzovania práva (Europol), ktorým sa nahrádzajú a zrušujú rozhodnutia Rady 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV, Ú. v. EÚ L 135, 24.5.2016 (s. 53 – 114). Komisia je povinná predložiť do 14. júna 2021 hodnotiacu správu o dohodách Europolu o spolupráci uzavretých pred 1. májom 2017.
Stanovisko Súdneho dvora k návrhu dohody medzi EÚ a Kanadou o osobných záznamoch o cestujúcich z roku 2014, ktorý Európsky parlament postúpil Súdnemu dvoru (stanovisko 1/15). Súdny dvor bol požiadaný, aby posúdil zlučiteľnosť návrhu dohody s Chartou základných práv EÚ.