22.6.2011   

SK

Úradný vestník Európskej únie

C 181/24

1.

Dňa 2. februára 2011 prijala Komisia návrh smernice Európskeho parlamentu a Rady o využívaní údajov z osobných záznamov o cestujúcich na účely prevencie, odhaľovania, vyšetrovania a stíhania teroristických trestných činov a závažnej trestnej činnosti (ďalej len „návrh“) (3). Návrh bol v ten istý deň odoslaný európskemu dozornému úradníkovi pre ochranu údajov na konzultáciu.

2.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že ho Komisia požiadala o konzultáciu. Európsky dozorný úradník pre ochranu údajov mal ešte pred prijatím návrhu možnosť poskytnúť svoje neformálne pripomienky. Niektoré z nich sa pri príprave návrhu zohľadnili a európsky dozorný úradník pre ochranu údajov konštatuje, že vo všeobecnosti boli opatrenia na ochranu údajov v návrhu posilnené. Stále však pretrvávajú pochybnosti týkajúce sa mnohých záležitostí, najmä vo vzťahu k rozsahu a cieľom zhromažďovania osobných údajov.

3.

Diskusie o možnom systéme osobných záznamov o cestujúcich (PNR) v rámci EÚ prebiehajú od roku 2007, keď Komisia prijala návrh rámcového rozhodnutia Rady o tejto problematike (4). Hlavným cieľom systému PNR v EÚ je zaviesť systém, ktorý by leteckým dopravcom prevádzkujúcim medzinárodné lety medzi Európskou úniou a tretími krajinami ukladal povinnosť odosielať údaje z PNR o všetkých cestujúcich príslušným orgánom na účely prevencie, odhaľovania, vyšetrovania a stíhania teroristických trestných činov a závažnej trestnej činnosti. Údaje by mali centralizovať a analyzovať útvary informácií o cestujúcich a výsledky analýzy by sa mali zasielať príslušným národným orgánom v jednotlivých členských štátoch.

4.

Od roku 2007 európsky dozorný úradník pre ochranu údajov pozorne sleduje vývoj súvisiaci s možným systémom PNR v EÚ súbežne s vývojom, ktorý sa týka systémov PNR tretích krajín. Európsky dozorný úradník pre ochranu údajov prijal stanovisko k tomuto návrhu Komisie 20. decembra 2007. (5) Pri mnohých ďalších príležitostiach nielen európsky dozorný úradník pre ochranu údajov, ale aj pracovná skupina zriadená podľa článku 29 (6) neustále upozorňovali na otázku súladu spracovania údajov z PNR na účely presadzovania práva so zásadami nevyhnutnosti a proporcionality, ako aj s ďalšími základnými opatreniami na ochranu údajov.

5.

Hlavná otázka, na ktorú európsky dozorný úradník pre ochranu údajov stále upozorňuje, sa zameriava na odôvodnenie nutnosti európskeho systému PNR ako popredného mechanizmu medzi mnohými ďalšími nástrojmi, ktoré umožňujú spracúvať osobné údaje na účely presadzovania práva.

6.

Európsky dozorný úradník pre ochranu údajov uznáva viditeľné zlepšenia z hľadiska ochrany údajov v tomto návrhu oproti verzii, ku ktorej predtým poskytol svoje odporúčania. Tieto zlepšenia sa týkajú najmä rozsahu pôsobnosti návrhu, vymedzenia úlohy rôznych zainteresovaných strán (útvarov informácií o cestujúcich), vylúčenia spracúvania citlivých údajov, smerovania k tzv. systému posúvania údajov bez prechodného obdobia (7) a obmedzenia uchovávania údajov.

7.

Európsky dozorný úradník pre ochranu údajov víta aj ďalší vývoj v posúdení vplyvu odôvodnení systému PNR v EÚ. Avšak aj pri existencii jasnej vôle objasniť nutnosť tohto systému európsky dozorný úradník pre ochranu údajov v týchto nových odôvodneniach naďalej nevidí presvedčivý základ pre vývoj systému, najmä vzhľadom na rozsiahle „predbežné posudzovanie“ všetkých cestujúcich. Nevyhnutnosť a proporcionalita sa budú ďalej analyzovať v kapitole II. Kapitola III sa sústredí na konkrétnejšie aspekty návrhu.

8.

Preukázanie nevyhnutnosti a proporcionality spracúvania údajov je absolútne nevyhnutným predpokladom pre vývoj systému PNR. Európsky dozorný úradník pre ochranu údajov už pri predchádzajúcich príležitostiach, najmä v súvislosti s možnou revíziou smernice 2006/24/ES („smernica o uchovávaní údajov“), trval na skutočnosti, že potreba spracúvať alebo uchovávať obrovské množstvo informácií by sa mala opierať o jasné preukázanie vzťahu medzi použitím a výsledkom s možnosťou posúdiť, či by porovnateľné výsledky nebolo možné dosiahnuť inými prostriedkami, ktoré predstavujú menší zásah do súkromia, ako podmienkou sine qua non  (8).

9.

S cieľom odôvodniť systém obsahuje návrh, a najmä jeho posúdenie vplyvu, rozsiahlu dokumentáciu a právne argumenty na stanovenie, že systém je potrebný a spĺňa požiadavky na ochranu údajov. Zachádza ešte ďalej prostredníctvom vyhlásenia, že systém prinesie pridanú hodnotu, pokiaľ ide o harmonizáciu noriem na ochranu údajov.

10.

Po analýze týchto prvkov sa európsky dozorný úradník pre ochranu údajov domnieva, že návrh s aktuálnym obsahom nespĺňa požiadavky na nutnosť a proporcionalitu stanovené článkom 8 Charty základných práv Európskej únie, článkom 8 EDĽP a článkom 16 ZFEÚ. Odôvodnenie tejto domnienky je vypracované v ďalších odsekoch.

11.

Európsky dozorný úradník pre ochranu údajov konštatuje, že posúdenie vplyvu obsahuje rozsiahle vysvetlenia a štatistiky na odôvodnenie návrhu. Tieto prvky však nie sú presvedčivé. V opise hrozby terorizmu a závažnej trestnej činnosti v posúdení vplyvu a v dôvodovej správe k návrhu (9) sa uvádza ako príklad 14 000 trestných činov na 100 000 obyvateľov v členských štátoch v roku 2007. Aj keď tento údaj môže byť pôsobivý, vzťahuje sa na bližšie neurčené druhy trestných činov a nemôže pomôcť pri odôvodnení návrhu, ktorého cieľom je boj len s obmedzeným druhom závažnej nadnárodnej trestnej činnosti a terorizmu. Odkaz na správu o „problémoch“ s drogami bez spojenia štatistík s typom obchodu s drogami, ktorého sa správa týka, nie je, ako ďalší príklad, z pohľadu európskeho dozorného úradníka pre ochranu údajov opodstatnenou referenciou. To isté platí pre upozornenie na následky trestných činov, s odvolaním sa na „hodnotu odcudzeného majetku“ a psychologické a fyzické následky pre obete, čo nie sú údaje priamo súvisiace s cieľom návrhu.

12.

Ako posledný príklad sa v posúdení vplyvu uvádza správa Belgicka, podľa ktorej „95 % všetkých prípadov zachytenia drog v roku 2009 sa uskutočnilo výlučne alebo v rozhodujúcej miere vďaka spracovaniu údajov z PNR“. Treba však zdôrazniť, že Belgicko nemá (zatiaľ) zavedený systematický systém PNR porovnateľný so systémom, ktorý predpokladá tento návrh. To by mohlo znamenať, že údaje z PNR môžu byť užitočné v cielených prípadoch, čo európsky dozorný úradník pre ochranu údajov nespochybňuje. Závažné otázky týkajúce sa ochrany údajov vyvoláva skôr rozsiahle zhromažďovanie s cieľom systematického posudzovania všetkých cestujúcich.

13.

Európsky dozorný úradník pre ochranu údajov sa domnieva, že návrh neobsahuje dostatok relevantných a presných podkladov, ktorými sa preukazuje nutnosť takéhoto nástroja.

14.

Keď sa v dokumente upozorňuje na zasahovanie opatrení na spracovanie údajov do Charty, EDĽP a článku 16 ZFEÚ, odkazuje sa priamo na možné obmedzenie týchto práv a vyjadruje sa spokojnosť so záverom, že „ak by navrhované opatrenia boli na účely boja proti terorizmu a ďalším závažným trestným činom, ktoré sú obsiahnuté v legislatívnom akte, zjavne by boli s takýmito požiadavkami v súlade, ak by boli nevyhnutné v demokratickej spoločnosti a spĺňali by zásady proporcionality“ (10). Chýba však jasné preukázanie skutočnosti, že opatrenia sú nevyhnutné a že neexistujú nijaké alternatívy menšieho zásahu do súkromia.

15.

V tomto zmysle skutočnosť, že v návrhu sa predpokladali ďalšie účely, ako sú vynútenie imigrácie, „zoznam subjektov so zákazom letov“ a zdravotná bezpečnosť, ktoré nakoniec, vzhľadom na pripomienky týkajúce sa proporcionality, neboli zahrnuté, neznamená, že „obmedzenie“ spracúvania údajov z PNR na závažné trestné činy a terorizmus je de facto proporcionálne, pretože predstavuje menší zásah. Nebola posúdená ani možnosť obmedziť systém na boj proti terorizmu bez zahrnutia ďalších trestných činov, ako sa predpokladalo v predchádzajúcich systémoch PNR, najmä v predchádzajúcom austrálskom systéme PNR. Európsky dozorný úradník pre ochranu údajov zdôrazňuje, že v tomto skoršom systéme, ku ktorému pracovná skupina zriadená podľa článku 29 zaujala v roku 2004 pozitívne stanovisko, boli ciele obmedzené na „identifikáciu cestujúcich, ktorí môžu predstavovať hrozbu terorizmu alebo s tým spojenej trestnej činnosti“ (11). Austrálsky systém navyše nepredpokladal uchovávanie údajov z PNR s výnimkou údajov konkrétnych cestujúcich, ktorí boli identifikovaní ako subjekty predstavujúce osobitnú hrozbu (12).

16.

Okrem toho, pokiaľ ide o predvídateľnosť sledovania dotknutých osôb, existujú pochybnosti, či návrh Komisie spĺňa požiadavky na pevný právny základ podľa práva EÚ: „posudzovanie“ cestujúcich (predchádzajúce znenie „posudzovanie rizika“) sa bude vykonávať na základe neustále sa vyvíjajúcich a netransparentných kritérií. Ako sa v texte výslovne uvádza, hlavným účelom tohto systému nie je tradičná hraničná kontrola, ale spravodajské informácie (13) a zatýkanie osôb, ktoré nie sú podozrivé, skôr ako bol spáchaný trestný čin. Vývoj takéhoto systému na úrovni EÚ, ktorý zahŕňa zhromažďovanie údajov o všetkých cestujúcich a prijímanie rozhodnutí na základe neznámych a vyvíjajúcich sa kritérií posudzovania, vyvoláva závažné otázky týkajúce sa transparentnosti a proporcionality.

17.

Jediný účel, ktorý by podľa európskeho dozorného úradníka pre ochranu údajov spĺňal požiadavky na transparentnosť a proporcionalitu, by bolo použitie údajov z PNR na individuálnom základe, ako sa uvádza v článku 4 ods. 2 písm. c), ale iba v prípade závažnej a konkrétnej hrozby na základe konkrétnych indícií.

18.

V článku 4 ods. 2 písm. b) sa stanovuje, že útvary informácií o cestujúcich môžu vykonávať posúdenie cestujúcich a pri tejto činnosti môžu porovnať údaje z PNR s „relevantnými databázami“. Týmto ustanovením sa neurčuje, ktoré databázy sú relevantné. Opatrenie preto nie je predvídateľné, čo je tiež jedna z požiadaviek Charty a EDĽP. Ustanovenie navyše vyvoláva otázku zlučiteľnosti so zásadou obmedzenia účelu: európsky dozorný úradník pre ochranu údajov zastáva názor, že by malo byť vylúčené napríklad pre databázy, ako je Eurodac, ktorá bola vyvinutá na iné účely (14). Okrem toho by to malo byť možné len v prípade konkrétnej potreby, v osobitnom prípade, kde vopred existuje podozrenie osoby po tom, ako bol spáchaný trestný čin. Napríklad systematická kontrola databázy vízového informačného systému (15), čo sa týka všetkých údajov z PNR, by bola nadmerná a neprimeraná.

19.

Myšlienka, podľa ktorej by sa na základe návrhu posilnila ochrana údajov poskytnutím jednotných rovnakých podmienok, pokiaľ ide o práva jednotlivcov, je otázna. Európsky dozorný úradník pre ochranu údajov uznáva skutočnosť, že v prípade preukázania nutnosti a proporcionality systému by sa jednotnými normami v rámci EÚ vrátane ochrany dát posilnili právnu istotu. Avšak v súčasnom znení návrhu v odôvodnení č. 28 sa uvádza, že „touto smernicou nie je dotknutá možnosť členských štátov ustanoviť v rámci svojho vnútroštátneho práva systém zhromažďovania údajov z PNR a manipulácie s nimi na iné účely než sú uvedené v tejto smernici ani od iných dopravcov neuvedených v tejto smernici, pokiaľ ide o vnútroštátne lety (…)“.

20.

Harmonizácia, ktorú návrh prináša, je preto obmedzená. Môže sa týkať práv dotknutých osôb, ale nie obmedzenia účelu, a možno predpokladať, že podľa tohto znenia systémy PNR, ktoré sa už používajú napr. v boji proti nelegálnemu prisťahovalectvu, by v tom mohli podľa tejto smernice pokračovať.

21.

To znamená, že na jednej strane by pretrvávali niektoré rozdiely medzi členskými štátmi, ktoré už systém PNR vyvinuli, a na druhej strane, prevažná väčšina členských štátov, ktoré nevykonávajú systematický zber údajov z PNR (21 z 27 členských štátov), by to bola povinná uskutočňovať. Európsky dozorný úradník pre ochranu údajov sa domnieva, že z tohto pohľadu je akákoľvek pridaná hodnota, pokiaľ ide o ochranu údajov, veľmi diskutabilná.

22.

Naopak, dôsledky odôvodnenia č. 28 sú závažným porušením zásady obmedzenia účelu. Podľa názoru európskeho dozorného úradníka pre ochranu údajov by sa v návrhu malo výslovne stanoviť, že údaje z PNR sa nesmú použiť na iné účely.

23.

Európsky dozorný úradník pre ochranu údajov dospieva k rovnakému záveru ako pri hodnotení smernice o uchovávaní údajov: v oboch kontextoch ide absencia skutočnej harmonizácie ruka v ruke s absenciou právnej istoty. Okrem toho ďalšie zhromažďovanie a spracúvanie osobných údajov sa stane povinným pre všetky členské štáty, kde skutočná nutnosť systému nebola stanovená.

24.

Európsky dozorný úradník pre ochranu údajov ďalej poznamenáva, že vývoj v oblasti PNR je spojený s prebiehajúcim celkovým hodnotením všetkých nástrojov EÚ v oblasti riadenia výmeny informácií, ktoré Komisia začala v januári 2010 a ktoré rozpracovala v najnovšom oznámení o prehľade o riadení informácií v oblasti slobody, bezpečnosti a spravodlivosti (16). Existuje tu najmä jasná súvislosť s prebiehajúcou debatou o stratégii EÚ pre riadenie informácií v oblasti bezpečnosti. Európsky dozorný úradník pre ochranu údajov sa v tejto súvislosti domnieva, že pri posudzovaní potreby PNR v EÚ by sa mali zohľadniť aj výsledky súčasnej práce na európskom modeli výmeny informácií, ktoré sa očakávajú na rok 2012.

25.

V tejto súvislosti a so zreteľom na nedostatky návrhu a najmä na posúdenie jeho vplyvu sa európsky dozorný úradník pre ochranu údajov domnieva, že v prípadoch, ako je tento, kde podstata návrhu ovplyvňuje základné práva na súkromie a ochranu osobných údajov, treba vykonať osobitné posúdenie vplyvu na súkromie a ochranu údajov. Všeobecné posúdenie vplyvu nepostačuje.

26.

Teroristické trestné činy, závažná trestná činnosť a závažná nadnárodná trestná činnosť sú vymedzené v článku 2 písm. g), h) a i) návrhu. Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že vymedzenie pojmov – a ich rozsahu – bolo spresnené s rozlíšením závažných trestných činov a závažnej nadnárodnej trestnej činnosti. Tento rozdiel je vítaný najmä preto, že znamená odlišné spracovanie osobných údajov s vylúčením posudzovania podľa vopred stanovených kritérií v prípade závažných trestných činov, ktoré nie sú nadnárodné.

27.

Podľa názoru európskeho dozorného úradníka pre ochranu údajov je však vymedzenie pojmu závažné trestné činy stále príliš všeobecné. Uznáva sa to aj v návrhu, v ktorom sa uvádza, že členské štáty môžu stále vylúčiť menej závažné trestné činy, ktoré spadajú pod definíciu závažných trestných činov (17), ale ktoré by neboli v súlade so zásadou proporcionality. Z tejto formulácie vyplýva, že vymedzenie pojmu v návrhu môže zahŕňať aj menej závažné trestné činy, ktorých spracovanie by bolo neprimerané. Nie je jasné, čo presne by mal zahŕňať pojem menej závažné trestné činy. Európsky dozorný úradník pre ochranu údajov sa domnieva, že namiesto toho, aby sa možnosť zúžiť rozsah pôsobnosti ponechala na členské štáty, mal by sa v návrhu výslovne uvádzať zoznam trestných činov, ktoré by sa mali zahrnúť do jeho pôsobnosti, a tých, ktoré by mali byť vyňaté, pretože sa považujú za menej závažné a nespĺňajú test proporcionality.

28.

Rovnaké pochybnosti sa týkajú aj možnosti otvorenej v článku 5 ods. 5 spracúvať údaje týkajúce sa akéhokoľvek druhu trestného činu, ak bol zistený pri výkone opatrenia na presadzovanie práva, ako aj možnosti uvedenej v odôvodnení č. 28 rozšíriť rozsah pôsobnosti na iné účely, ako sú uvedené v návrhu, alebo na iných dopravcov.

29.

Európsky dozorný úradník pre ochranu údajov má pochybnosti aj v súvislosti s možnosťou uvedenou v článku 17 zahrnúť do rozsahu pôsobnosti tejto smernice vnútroštátne lety na základe skúseností získaných členskými štátmi, ktoré tieto údaje už zhromažďujú. Takýmto rozšírením pôsobnosti systému PNR by sa ešte viac ohrozilo základné právo jednotlivcov a nemalo by sa o ňom uvažovať skôr, ako sa vykoná riadna analýza vrátane komplexného posúdenia vplyvu.

30.

Na záver vyvstáva otázka o skutočnosti, že neuzatvorený problém rozsahu pôsobnosti a možnosť rozšíriť účel poskytnutá členským štátom sú v rozpore s požiadavkou, že údaje možno zhromažďovať výlučne na stanovené a výslovne uvedené účely.

31.

V súvislosti s úlohou útvarov zodpovedných za informácie o cestujúcich (PIU) a opatreniami na ochranu pri spracovaní údajov z PNR vyvstávajú osobitné otázky, najmä z dôvodu, že PIU získavajú od leteckých dopravcov údaje o všetkých cestujúcich a majú – podľa znenia návrhu – široké právomoci spracúvať tieto informácie. Zahŕňa to posudzovanie správania cestujúcich, ktorí nie sú podozriví zo spáchania nijakého trestného činu, a možnosť spájať údaje z PNR s neurčenými databázami (18). Európsky dozorný úradník pre ochranu údajov poznamenáva, že návrh predpokladá podmienky „obmedzujúce prístup“, domnieva sa však, že vzhľadom na široké právomoci PIU tieto podmienky samotné nestačia.

32.

Po prvé, povaha orgánu určeného ako PIU a jeho zloženie ostávajú nejasné. V návrhu sa uvádza, že „zamestnancami môžu byť osoby vyslané príslušnými verejnými orgánmi“, ale neponúkajú sa žiadne záruky, pokiaľ ide o odbornú spôsobilosť a bezúhonnosť zamestnancov PIU. Európsky dozorný úradník pre ochranu údajov odporúča zahrnúť takéto požiadavky do znenia smernice vzhľadom na citlivý charakter spracúvania, ktoré má vykonávať PIU.

33.

Po druhé, na základe návrhu možno určiť jeden PIU pre niekoľko členských štátov. To podnecuje riziko zneužitia a prenosu údajov mimo podmienok návrhu. Európsky dozorný úradník pre ochranu údajov uznáva, že by tu mohli byť dôvody pre efektívnosť spojenia síl, najmä pre menšie členské štáty, odporúča však zahrnúť do znenia podmienky tejto možnosti. Tieto podmienky by sa mali týkať spolupráce s príslušnými orgánmi, ako aj dohľadu, najmä s ohľadom na úrad na ochranu údajov zodpovedný za dohľad a s ohľadom na výkon práv dotknutej osoby, pretože za dohľad nad jedným PIU môže byť zodpovedných niekoľko orgánov.

34.

Existuje riziko neplánovaného využívania funkčnosti súvisiace s uvedenými prvkami, najmä s ohľadom na kvalitu pracovníkov, ktorí majú právomoc analyzovať údaje, a „spoločné využívanie“ PIU niekoľkými členskými štátmi.

35.

Po tretie, európsky dozorný úradník pre ochranu údajov spochybňuje predpokladané opatrenia na ochranu proti zneužitiu. Povinnosť zaznamenávať činnosti je vítaná, ale nedostačujúca. Vlastné monitorovanie by mal dopĺňať štruktúrovanejší spôsob externého monitorovania. Európsky dozorný úradník pre ochranu údajov navrhuje organizovať audit systematicky každé štyri roky. Mal by sa vytvoriť komplexný súbor bezpečnostných pravidiel, ktorý by bol stanovený horizontálne pre všetky PIU.

36.

V článku 7 návrhu sa predpokladá niekoľko scenárov, na základe ktorých je možná výmena údajov medzi jednotlivými PIU – čo je normálna situácia – alebo vo výnimočných situáciách medzi príslušnými orgánmi členského štátu a PIU. Podmienky sú prísnejšie aj v závislosti od toho, či sa požaduje prístup k databáze podľa ustanovení článku 9 ods. 1, kde sa údaje uchovávajú počas prvých 30 dní, alebo prístup k databáze uvedenej v článku 9 ods. 1, kde sa údaje uchovávajú počas ďalších piatich rokov.

37.

Podmienky prístupu sú prísnejšie vymedzené v prípade žiadosti o prístup nad rámec bežného postupu. Európsky dozorný úradník pre ochranu údajov však poznamenáva, že použitá formulácia vyvoláva nejasnosti: Článok 7 ods. 2 sa uplatňuje v „konkrétnom prípade týkajúcom sa prevencie, odhaľovania, vyšetrovania alebo stíhania teroristických trestných činov alebo závažnej trestnej činnosti“, v článku 7 ods. 3 sa uvádzajú „výnimočné prípady v reakcii na konkrétnu hrozbu alebo v súvislosti s konkrétnym vyšetrovaním či trestným stíhaním, ktoré súvisia s teroristickými trestnými činmi alebo so závažnou trestnou činnosťou“, kým článok 7 ods. 4 sa týka „bezprostrednej a závažnej hrozby pre verejnú bezpečnosť“ a v článku 7 ods. 5 sa uvádza „skutočná hrozba súvisiaca s trestnými činmi terorizmu alebo so závažnou trestnou činnosťou“. V závislosti od týchto kritérií sa líšia podmienky prístupu rôznych zainteresovaných strán k databázam. Rozdiely medzi konkrétnou hrozbou, bezprostrednou a závažnou hrozbou a skutočnou hrozbou sú však nejasné. Európsky dozorný úradník pre ochranu údajov zdôrazňuje potrebu podrobnejšie stanoviť presné podmienky, za ktorých bude prenos údajov povolený.

38.

V návrhu sa uvádza ako všeobecný právny základ zásad ochrany údajov rámcové rozhodnutie Rady 2008/977/SVV a rozširuje sa jeho pôsobnosť na spracúvanie údajov na vnútroštátnej úrovni.

39.

Európsky dozorný úradník pre ochranu údajov už v roku 2007 (19) upozornil na nedostatky rámcového rozhodnutia z hľadiska práv dotknutých osôb. Medzi prvkami, ktoré v rámcovom rozhodnutí chýbajú, sú najmä niektoré požiadavky na informácie, ktoré sa majú poskytnúť dotknutej osobe v prípade žiadosti o prístup k svojim údajom: informácie by mali byť poskytnuté v zrozumiteľnej forme, mal by sa uviesť účel spracovania a existuje potreba pokročilejších opatrení na ochranu v prípade odvolania na úrad na ochranu údajov pri odmietnutí priameho prístupu.

40.

Odkaz na rámcové rozhodnutie má dôsledky aj s ohľadom na určenie úradu na ochranu údajov, ktorý je príslušný monitorovať uplatňovanie budúcej smernice, pretože to nemusí byť nutne rovnaký úrad na ochranu údajov ako ten, ktorý je príslušný pre otázky (bývalého) prvého piliera. Európsky dozorný úradník pre ochranu údajov sa domnieva, že v postlisabonskom kontexte, keď je jedným z hlavných cieľov prijatie právneho rámca na zaistenie vysokej a harmonizovanej úrovne ochrany vo všetkých bývalých pilieroch, nie je dostatočné spoliehať sa len na rámcové rozhodnutie. Domnieva sa, že v návrhu sú potrebné ďalšie ustanovenia na doplnenie odkazu na rámcové rozhodnutie Rady v prípade zistených nedostatkov, najmä vo vzťahu k podmienkam prístupu k osobným údajom.

41.

Tieto obavy platia v celom rozsahu aj v súvislosti s ustanoveniami o prenose údajov do tretích krajín. V návrhu sa odkazuje na článok 13 ods. 3 písm. ii) rámcového rozhodnutia, v ktorom sú uvedené rozsiahle výnimky z opatrení na ochranu údajov: odchyľuje sa najmä od požiadavky na primeranosť v prípade „legitímnych všeobecných záujmov, najmä dôležitých verejných záujmov“. Táto výnimka má nejednoznačnú formuláciu a pri širšom výklade by sa mohla uplatniť v mnohých prípadoch spracovania údajov z PNR. Európsky dozorný úradník pre ochranu údajov sa domnieva, že návrh by mal výslovne brániť uplatneniu výnimiek z rámcového rozhodnutia v súvislosti so spracovaním údajov z PNR a mal by zachovávať prísne posúdenie primeranosti.

42.

V návrhu sa predpokladá uchovávanie údajov počas 30 dní a ich archiváciu počas ďalších piatich rokov. Toto obdobie je značne skrátené oproti predchádzajúcim verziám dokumentu, podľa ktorých sa údaje mali uchovávať až päť plus osem rokov.

43.

Európsky dozorný úradník pre ochranu údajov víta skrátenie prvého obdobia uchovávania údajov na 30 dní. Má však pochybnosti týkajúce sa ďalšieho uchovávania údajov počas 5 rokov: považuje za nejasné, či je potrebné ďalej uchovávať tieto údaje vo forme, ktorá umožňuje identifikovať fyzické osoby.

44.

Zdôrazňuje aj otázku terminológie v texte, ktorá má významné právne dôsledky: V článku 9 ods. 2 sa uvádza, že údaje o cestujúcich sa budú „maskovať“, a preto budú „anonymizované“. V ďalšom texte sa však uvádza, že stále existuje možnosť prístupu k „úplným údajom z PNR“. Ak je to možné, znamená to, že údaje z PNR nikdy neboli úplne anonymizované: hoci sú maskované, zostávajú identifikovateľné. Dôsledkom je, že rámec ochrany údajov zostáva plne uplatniteľný, čo vyvoláva základnú otázku nevyhnutnosti a proporcionality, pokiaľ ide o uchovávanie identifikovateľných údajov o všetkých cestujúcich počas piatich rokov.

45.

Európsky dozorný úradník pre ochranu údajov odporúča návrh preformulovať pri dodržaní princípu skutočnej anonymizácie, kde nie je možný spätný prístup k identifikovateľným údajom, čo znamená, že by nemalo byť povolené nijaké retroaktívne vyšetrovanie. Tieto údaje by sa stále mohli použiť – výlučne – na všeobecné spravodajské účely na základe identifikácie terorizmu a s tým súvisiacej povahy trestnej činnosti v migračných tokoch. Treba to odlíšiť od uchovávania údajov v identifikovateľnej forme – s výhradou splnenia určitých podmienok – v prípadoch, ktoré vedú ku konkrétnemu podozreniu.

46.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že zoznam údajov na spracovanie nezahŕňa citlivé údaje. Zdôrazňuje však, že v návrhu sa stále predpokladá možnosť zasielania týchto údajov útvaru informácií o cestujúcich, ktorý je ich potom povinný vymazať (článok 4 ods. 1, článok 11). Z tejto formulácie nie je jasné, či má PIU rutinnú povinnosť filtrovať citlivé údaje zaslané leteckými spoločnosťami, alebo či tak má urobiť len vo výnimočnom prípade, keď ich letecké spoločnosti poslali omylom. Európsky dozorný úradník pre ochranu údajov odporúča zmeniť a doplniť text tak, aby bolo jasné, že letecké spoločnosti, ktoré sú pri samom zdroji spracúvania údajov, by nemali zasielať nijaké citlivé údaje.

47.

S výnimkou citlivých informácií odráža do značnej miery zoznam údajov, ktoré môžu byť prenesené, zoznam PNR v USA, ktorý pracovná skupina zriadená podľa článku 29 (20) vo viacerých stanoviskách kritizovala ako príliš rozsiahly. Európsky dozorný úradník pre ochranu údajov sa domnieva, že tento zoznam by sa mal zúžiť v súlade so stanoviskom pracovnej skupiny a že jeho akékoľvek doplnenie musí byť riadne odôvodnené. Týka sa to najmä oblasti „všeobecných poznámok“, ktoré by sa mali zo zoznamu vylúčiť.

48.

Podľa článku 4 ods. 2 písm. a) a b) môže posudzovanie jednotlivcov na základe vopred stanovených kritérií alebo pomocou príslušných databáz zahŕňať automatizované spracovanie, ale malo by sa individuálne preskúmať neautomatizovanými spôsobmi.

49.

Európsky dozorný úradník pre ochranu údajov víta objasnenie, ktoré priniesla táto nová verzia znenia. Nejednoznačný predchádzajúci rozsah pôsobnosti ustanovenia vo vzťahu k automatizovaným rozhodnutiam, ktoré majú „nepriaznivé právne účinky pre určitú osobu alebo majú pre ňu závažné dôsledky (…)“, bol nahradený konkrétnejším znením. Teraz je jasné, že akýkoľvek kladný výsledok bude individuálne preskúmaný.

50.

V novej verzii je takisto jasné, že základom posudzovania nemôže byť za nijakých okolností rasa ani etnický pôvod osoby, jej náboženské či filozofické presvedčenie, politické názory, členstvo v odboroch, zdravie ani sexuálny život. Inými slovami, podľa názoru európskeho dozorného úradníka pre ochranu údajov z tohto nového znenia vyplýva, že nijaké rozhodnutie, ani čiastočné, nemôže byť prijaté na základe citlivých údajov. To je v súlade s ustanovením, podľa ktorého PIU nemôžu spracúvať nijaké citlivé údaje, čo by sa tiež malo oceniť.

51.

Európsky dozorný úradník pre ochranu údajov považuje za nanajvýš dôležité dôkladné posudzovanie vykonávania tejto smernice, ako sa stanovuje v článku 17. Domnieva sa, že v rámci kontroly by sa nemalo posudzovať len všeobecné dodržiavanie noriem na ochranu údajov, ale zásadnejšie a konkrétnejšie skúmať, či systémy PNR predstavujú nevyhnutné opatrenie. Z tohto pohľadu zohrávajú dôležitú úlohu štatistické údaje uvedené v článku 18. Európsky dozorný úradník pre ochranu údajov sa domnieva, že tieto informácie by mali obsahovať počet opatrení na presadzovanie práva, ako je uvedené v návrhu, ale aj počet skutočných usvedčení, ktoré sa uskutočnili alebo neuskutočnili na základe takýchto opatrení. Tieto údaje sú dôležité na získanie presvedčivého výsledku kontroly.

52.

Týmto návrhom nie sú dotknuté existujúce dohody s tretími krajinami (článok 19). Európsky dozorný úradník pre ochranu údajov sa domnieva, že toto ustanovenie by malo obsahovať jasnejší odkaz na cieľ globálneho rámca, v ktorom sa stanovujú harmonizované opatrenia na ochranu údajov v oblasti PNR v EÚ aj mimo Únie, ako požaduje Európsky parlament a uvádza Komisia vo svojom oznámení z 21. septembra 2010 o všeobecnom prístupe k prenosu osobných záznamov o cestujúcich (PNR) do tretích krajín.

53.

V tomto zmysle by dohody s tretími krajinami nemali obsahovať ustanovenia pod prahom ochrany údajov stanoveným smernicou. Obzvlášť dôležité je to v súčasnosti, keď sa opätovne rokuje o dohodách so Spojenými štátmi, s Austráliou a Kanadou z hľadiska tohto globálneho – a harmonizovaného – rámca.

54.

Vývoj systému PNR v EÚ spolu s rokovaniami o dohodách PNR s tretími krajinami je dlhotrvajúcim projektom. Európsky dozorný úradník pre ochranu údajov uznáva, že v porovnaní s návrhom rámcového rozhodnutia Rady o PNR v EÚ z roku 2007 boli do tohto znenia návrhu začlenené viditeľné zlepšenia. Na základe diskusií a názorov rozličných zainteresovaných strán, predovšetkým vrátane pracovnej skupiny zriadenej podľa článku 29, európskeho dozorného úradníka pre ochranu údajov a Európskeho parlamentu, sa pridali opatrenia na ochranu údajov.

55.

Európsky dozorný úradník pre ochranu údajov víta tieto vylepšenia, najmä úsilie obmedziť rozsah návrhu a podmienky spracúvania údajov z PNR. Je však povinný uviesť, že nevyhnutný predpoklad akéhokoľvek vývoja systému PNR – t. j. súlad so zásadami nevyhnutnosti a proporcionality – nie je v návrhu splnený. Európsky dozorný úradník pre ochranu údajov pripomína, že podľa jeho názoru by údaje z PNR určite mohli byť nutné na účely presadzovania práva v konkrétnych prípadoch a mohli by spĺňať požiadavky na ochranu údajov. Konkrétne obavy vyvoláva ich použitie systematickým spôsobom a bez rozdielu vzhľadom na všetkých cestujúcich.

56.

Posúdenie vplyvu obsahuje prvky zamerané na odôvodnenie potreby údajov z PNR na boj proti zločinu, povaha týchto informácií je však príliš všeobecná a nepodporuje rozsiahle spracúvanie údajov z PNR na spravodajské účely. Podľa názoru európskeho dozorného úradníka pre ochranu údajov by jediné opatrenie, ktoré by spĺňalo požiadavky na ochranu údajov, predstavovalo použitie údajov z PNR v jednotlivých prípadoch závažnej hrozby na základe konkrétnych indícií.

57.

Pripomienky európskeho dozorného úradníka pre ochranu údajov sa okrem tohto základného nedostatku týkajú týchto aspektov:

58.

Európsky dozorný úradník pre ochranu údajov ďalej odporúča posúdiť vývoj PNR v EÚ zo širšieho hľadiska vrátane priebežného celkového posúdenia všetkých nástrojov EÚ v oblasti riadenia výmeny informácií, ktoré Komisia začala v januári 2010. Pri posudzovaní potreby systému PNR v EÚ by sa mali zohľadniť najmä výsledky súčasnej práce na európskom modeli výmeny informácií očakávané na rok 2012.

—

Stanovisko z 19. októbra 2010 k všeobecnému prístupu k prenosu osobných záznamov o cestujúcich do tretích krajín k dispozícii na stránke: http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

Stanoviská pracovnej skupiny zriadenej podľa článku 29 sú k dispozícii na stránke: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers