Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52012XX0218(01)

Stanovisko európskeho dozorného úradníka pre ochranu údajov k návrhu nariadenia Európskeho parlamentu a Rady o administratívnej spolupráci prostredníctvom informačného systému o vnútornom trhu ( „nariadenie o IMI“ )

Ú. v. EÚ C 48, 18.2.2012, p. 2–12 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

18.2.2012   

SK

Úradný vestník Európskej únie

C 48/2


Stanovisko európskeho dozorného úradníka pre ochranu údajov k návrhu nariadenia Európskeho parlamentu a Rady o administratívnej spolupráci prostredníctvom informačného systému o vnútornom trhu („nariadenie o IMI“)

2012/C 48/02

EURÓPSKY DOZORNÝ ÚRADNÍK PRE OCHRANU ÚDAJOV,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16,

so zreteľom na Chartu základných práv Európskej únie, a najmä na jej články 7 a 8,

so zreteľom na smernicu Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (1),

so zreteľom nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov (2),

so zreteľom na požiadavku na vypracovanie stanoviska v súlade s článkom 28 ods. 2 nariadenia (ES) č. 45/2001,

PRIJAL TOTO STANOVISKO:

1.   ÚVOD

1.1.   Konzultácie s európskym dozorným úradníkom pre ochranu údajov

1.

Komisia prijala 29. augusta 2011 návrh nariadenia (ďalej len „návrh“ alebo „navrhované nariadenie“) Európskeho parlamentu a Rady o administratívnej spolupráci prostredníctvom informačného systému o vnútornom trhu (ďalej len „nariadenie o IMI“) (3). Návrh bol v ten istý deň odoslaný európskemu dozornému úradníkovi pre ochranu údajov na konzultáciu.

2.

Pred prijatím návrhu mal európsky dozorný úradník pre ochranu údajov možnosť návrh neformálne pripomienkovať. Ešte predtým pripomienkoval oznámenie Komisie s názvom Lepšia správa jednotného trhu prostredníctvom posilnenej administratívnej spolupráce: Stratégia rozširovania a rozvíjania informačného systému o vnútornom trhu (IMI) (ďalej len „oznámenie o stratégii IMI“) (4), ktoré návrhu predchádzalo. Mnohé z jeho pripomienok sa pri príprave návrhu zohľadnili, a tým sa posilnili záruky na ochranu údajov v návrhu.

3.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že s ním Komisia uskutočnila formálne konzultácie a že bol do preambuly návrhu zahrnutý aj odkaz na toto stanovisko.

1.2.   Ciele a rozsah návrhu

4.

Systém IMI je nástroj informačných technológií, ktorý príslušným orgánom členských štátov umožňuje vymieňať si navzájom informácie pri uplatňovaní právnych predpisov o vnútornom trhu. Systém IMI umožňuje vnútroštátnym, regionálnym a miestnym orgánom v členských štátoch EÚ rýchlu a jednoduchú komunikáciu s ich partnermi v iných európskych krajinách. K tomu patrí aj spracovanie príslušných osobných údajov vrátane citlivých údajov.

5.

Systém IMI bol pôvodne navrhnutý ako komunikačný nástroj na vzájomnú výmenu informácií medzi dvoma subjektmi podľa ustanovení smernice o uznávaní odborných kvalifikácií (5) a smernice o službách (6). Systém IMI pomáha používateľom vyhľadať ten správny orgán v inej krajine a komunikovať s ním pomocou vopred preložených súborov štandardných otázok a odpovedí (7).

6.

Systém IMI má však predstavovať flexibilný horizontálny systém, ktorý poskytuje podporu v mnohých oblastiach právnych predpisov o vnútornom trhu. Predpokladá sa, že jeho rozsah použitia sa bude postupne rozširovať aj na ďalšie legislatívne oblasti.

7.

Plánuje sa tiež rozšírenie funkcií systému IMI. Okrem vzájomnej výmeny informácií medzi dvoma subjektmi sa počíta aj s inými funkciami, resp. sa už zaviedli, ako napríklad oznamovacie postupy, mechanizmy varovania, opatrenia vzájomnej pomoci a riešenie problémov (8), ako aj databázy informácií pre budúce potreby orgánov IMI (9). Mnohé, nie však všetky, tieto funkcie sa môžu týkať aj spracovania osobných údajov.

8.

Cieľom návrhu je poskytnúť v rámci systému IMI jednoznačný právny základ a komplexný rámec ochrany údajov.

1.3.   Kontext návrhu: Podrobný prístup k zavedeniu komplexného rámca ochrany údajov pre systém IMI

9.

Na jar 2007 si Komisia vyžiadala stanovisko pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 (ďalej len „pracovná skupina zriadená podľa článku 29“), aby mohla preskúmať dôsledky ochrany údajov v systéme IMI. Pracovná skupina zriadená podľa článku 29 vydala svoje stanovisko 20. septembra 2007 (10). V stanovisku sa Komisii odporúčalo zabezpečiť jednoznačnejší právny základ a konkrétne záruky na ochranu údajov pri výmene údajov v systéme IMI. Na práci podskupiny zaoberajúcej sa systémom IMI sa aktívne podieľal aj európsky dozorný úradník pre ochranu údajov, ktorý podporil závery stanoviska pracovnej skupiny zriadenej podľa článku 29.

10.

Európsky dozorný úradník pre ochranu údajov naďalej poskytoval Komisii usmernenia v oblastiach zabezpečenia podrobného a komplexnejšieho rámca ochrany údajov v systéme IMI (11). Pri tejto spolupráci, a najmä od vydania svojho stanoviska k implementácii informačného systému o vnútornom trhu z 22. februára 2008 (12), európsky dozorný úradník pre ochranu údajov neustále obhajuje potrebu vypracovať na základe bežného legislatívneho postupu nový právny nástroj s cieľom zaviesť komplexnejší rámec pre ochranu údajov v systéme IMI, ako aj na zabezpečenie právnej istoty. Návrh takého právneho nástroja sa v súčasnosti predkladá (13).

2.   ANALÝZA NÁVRHU

2.1.   Všeobecné stanoviská európskeho dozorného úradníka pre ochranu údajov k návrhu a ku hlavným výzvam regulácie systému IMI

11.

Všeobecné stanovisko európskeho dozorného úradníka pre ochranu údajov k systému IMI je kladné. Európsky dozorný úradník pre ochranu údajov podporuje ciele Komisie pri zavádzaní elektronického systému výmeny informácií a regulovaní jeho aspektov ochrany údajov. Takýto jednoduchý systém prispeje k zvýšeniu efektívnosti spolupráce a zároveň môže pomôcť zabezpečiť jednotný súlad s platnými zákonmi o ochrane údajov. Môže sa to dosiahnuť prostredníctvom jednoznačného rámca, v ktorom sa stanoví, aké informácie sa budú vymieňať, s kým a za akých podmienok.

12.

Európsky dozorný úradník pre ochranu údajov víta aj skutočnosť, že Komisia navrhuje horizontálny právny nástroj pre systém IMI v podobe nariadenia Rady a Parlamentu. S potešením konštatuje, že v návrhu sa komplexne zdôrazňujú najdôležitejšie oblasti ochrany údajov v rámci systému IMI. Jeho pripomienky treba chápať v tomto pozitívnom kontexte.

13.

Európsky dozorný úradník pre ochranu údajov však upozorňuje, že zavedenie jednotného centralizovaného elektronického systému pre viaceré oblasti administratívnej spolupráce predstavuje aj riziká. Ide najmä o riziko, že sa bude možno vymieňať viac údajov a vo väčšom rozsahu, než bude nevyhnutne potrebné na účely efektívnej spolupráce, a že údaje, a to aj možné zastarané a nepresné údaje, budú možno v elektronickom systéme zostávať dlhšie, než bude potrebné. Citlivou otázkou je aj bezpečnosť informačného systému prístupného v 27 členských štátoch, keďže celý systém bude len taký bezpečný ako najslabšie ohnivko jeho reťazca.

Hlavné výzvy

14.

Vzhľadom na právny rámec systému IMI, ktorý sa má zriadiť na základe navrhovaného nariadenia, upriamuje európsky dozorný úradník pre ochranu údajov pozornosť na dve hlavné výzvy:

potrebu zabezpečiť jednotnosť popri rešpektovaní rozmanitosti a

potrebu vyvážiť flexibilitu a právnu istotu.

15.

Tieto hlavné výzvy predstavujú dôležité referenčné body a vo veľkej miere určujú, aký prístup zaujme európsky dozorný úradník pre ochranu údajov v tomto stanovisku.

Jednotnosť popri rešpektovaní rozmanitosti

16.

Po prvé, IMI je systém, ktorý sa používa v 27 členských štátoch. V súčasnom štádiu harmonizácie európskych zákonov existujú medzi jednotlivými členskými štátmi významné rozdiely týkajúce sa ich administratívnych postupov a zákonov o ochrane údajov. Systém IMI musí byť vytvorený tak, aby mohli používatelia vo všetkých 27 členských štátoch pri výmene osobných údajov prostredníctvom systému IMI dodržiavať podmienky vyplývajúce z jednotlivých vnútroštátnych zákonov vrátane vnútroštátnych zákonov o ochrane údajov. Dotknuté osoby musia mať zároveň záruku, že ich údaje budú jednotne chránené bez ohľadu na postupovanie údajov do iného členského štátu prostredníctvom systému IMI. Jednotnosť, pri ktorej sa však zároveň musí rešpektovať rozmanitosť, patrí pri vytváraní technickej a právnej infraštruktúry v rámci systému IMI k hlavným výzvam. Neodôvodnenej zložitosti a rozdrobenosti je potrebné sa vyhnúť. Operácie spracovania údajov v rámci systému IMI musia byť transparentné, pričom je potrebné jasne stanoviť rozhodovaciu zodpovednosť v oblastiach návrhu systému, jeho každodennej údržby a používania, ako aj dohľadu na ním.

Vyváženie flexibility a právnej istoty

17.

Po druhé, na rozdiel od iných veľkých systémov IT, napríklad Schengenského informačného systému, vízového informačného systému, colného informačného systému alebo systému Eurodac, ktoré sú zamerané na spoluprácu v konkrétnych, jasne vymedzených oblastiach, predstavuje systém IMI horizontálny nástroj na výmenu informácií a môže sa používať na zjednodušenie výmeny informácií v rôznych politických oblastiach. Predpokladá sa tiež, že rozsah systému IMI sa bude postupne rozširovať na ďalšie politické oblasti a môžu sa zmeniť aj jeho funkcie, aby tak zahŕňali aj nešpecifikované typy administratívnej spolupráce. Charakteristické vlastnosti systému IMI sťažujú jednoznačné vymedzenie funkcií systému a výmeny údajov, ktoré sa v systéme môžu uskutočňovať. Preto je tiež náročnejšie jednoznačne vymedziť príslušné záruky na ochranu údajov.

18.

Európsky dozorný úradník pre ochranu údajov uznáva, že je potrebná flexibilita, a berie na vedomie želanie Komisie pripraviť nariadenie tak, aby bolo „odolné voči budúcim zmenám“. To by však nemalo viesť k nejednoznačnosti alebo právnej neistote pri funkciách systému a zárukách na ochranu údajov, ktoré je potrebné zabezpečiť. Z tohto dôvodu by malo byť nariadenie vždy, keď to bude možné, konkrétnejšie a týkať sa širších súvislostí, nielen hlavných zásad ochrany údajov stanovených v smernici 95/46/ES a v nariadení (ES) č. 45/2001 (14).

2.2.   Rozsah systému IMI a jeho predpokladané rozšírenie (články 3 a 4)

2.2.1.   Úvod

19.

Európsky dozorný úradník pre ochranu údajov víta jednoznačné vymedzenie aktuálneho rozsahu systému IMI v návrhu a uvedenie príslušných aktov Únie v prílohe I, na základe ktorých sa môžu vymieňať informácie. Patrí k nim spolupráca za konkrétnych podmienok stanovených v smernici o uznávaní odborných kvalifikácií, smernici o službách a smernici o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (15).

20.

Keďže sa očakáva rozšírenie rozsahu systému IMI, v prílohe II sa uvádzajú možné cieľové oblasti rozšírenia. Položky z prílohy II sa môžu do prílohy I presunúť prostredníctvom delegovaného aktu prijatého Komisiou po vykonaní posúdenia vplyvu (16).

21.

Európsky dozorný úradník pre ochranu údajov víta tento postup, keďže sa ním i) jednoznačne vymedzuje rozsah systému IMI, ii) zabezpečuje transparentnosť a zároveň iii) umožňuje flexibilita v prípadoch použitia systému IMI na dodatočnú výmenu informácií v budúcnosti. Tiež sa ním zabezpečí, že žiadna výmena informácií prostredníctvom systému IMI sa nebude vykonávať bez existencie i) príslušného právneho základu v podobe konkrétnych právnych predpisov o vnútornom trhu, ktoré umožňujú alebo splnomocňujú výmenu informácií (17), a ii) odkazu na tento právny základ v prílohe I k uvedenému nariadeniu.

22.

Vzhľadom na uvedené stále existujú neistoty týkajúce sa rozsahu systému IMI, konkrétne pri politických oblastiach, o ktoré sa môže systém IMI rozšíriť, a funkciách, ktoré systém IMI obsahuje alebo môže obsahovať.

23.

Po prvé, nemožno vylúčiť, že rozsah systému IMI sa rozšíri aj za hranice politických oblastí uvedených v prílohách I a II. Môže sa to stať, ak bude systém IMI poskytovať pre určité typy výmeny informácií, ktoré nebudú súčasťou delegovaného aktu Komisie, ale budú súčasťou aktu prijatého Parlamentom a Radou v prípade, s ktorým sa v prílohe II nepočíta (18).

24.

Po druhé, hoci rozšírenie rozsahu o nové politické oblasti vyžaduje v niektorých prípadoch len zmeny existujúcich funkcií systému, alebo dokonca nevyžaduje žiadne takéto zmeny (19), iné rozšírenia môžu vyžadovať nové a iné funkcie alebo dôležité zmeny existujúcich funkcií:

napriek tomu, že v návrhu sa odkazuje na niekoľko existujúcich alebo plánovaných funkcií, tieto odkazy nie sú často dostatočne jasné alebo podrobné; to sa v rôznej miere týka odkazov na varovania, vonkajších aktérov, databázy, ustanovenia o vzájomnej pomoci a riešenie problémov (20); napríklad slovo „varovanie“, ktoré odkazuje na kľúčovú existujúcu funkciu, sa spomína len raz, a to v odôvodnení 10,

na základe navrhovaného nariadenia je možné prijať nové typy funkcií, ktoré sa v návrhu vôbec neuvádzajú,

systém IMI sa zatiaľ opisuje ako nástroj IT na výmenu informácií: inými slovami ako komunikačný nástroj (pozri napr. článok 3 návrhu); niektoré funkcie uvedené v návrhu vrátane funkcie „databázy informácií“ však jeho prvotný účel prekračujú; navrhované rozšírenie období uchovávania údajov na päť rokov tiež naznačuje posun ku koncepcii databázy; tento vývoj od základu mení charakter systému IMI (21).

2.2.2.   Odporúčania

25.

Európsky dozorný úradník pre ochranu údajov odporúča, s cieľom vyriešiť tieto neistoty, použiť dvojsmerný prístup. Po prvé navrhuje, aby sa objasnili a špecifikovali už predpokladané funkcie, a po druhé navrhuje, aby sa počas budúceho vývoja systému IMI dôkladne zvážilo uplatňovanie primeraných procedurálnych záruk s cieľom zabezpečiť ochranu údajov.

Objasnenie funkcií, ktoré sú už k dispozícii alebo ktoré sa predpokladajú (napr. vzájomné výmeny medzi dvoma subjektmi, varovania, databázy, riešenie problémov a vonkajší aktéri)

26.

Európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení konkrétnejšie vymedzovali už známe funkcie, ako napríklad výmena informácií uvedená v prílohách I a II.

27.

Konkrétnejšie a jasnejšie opatrenia je napríklad potrebné predpokladať pri začlenení siete SOLVIT (22) do systému IMI (ustanovenia týkajúce sa vonkajších aktérov a riešenia problémov) a pri adresároch odborníkov a poskytovateľov služieb (ustanovenia týkajúce sa databáz).

28.

Ďalšie objasnenia je potrebné poskytnúť v súvislosti s varovaniami, ktoré sa už na základe smernice o službách používajú, a ktoré sa môžu začleniť aj do ďalších politických oblastí. Funkciu varovania je potrebné jednoznačnejšie vymedziť najmä v článku 5 (spolu s inými funkciami, ako napríklad so vzájomnou výmenou informácií medzi dvoma subjektmi a databázami). Tiež je potrebné objasniť prístupové práva a obdobia uchovávania údajov v prípade varovaní (23).

Procedurálne záruky (posudzovanie vplyvu ochrany údajov a konzultácie s orgánmi na ochranu údajov)

29.

Ak má byť nariadenie odolné voči budúcim zmenám v oblasti pridávania funkcií, ktoré môžu byť z dlhodobého hľadiska potrebné, a umožňovať pridávanie funkcií, ktoré ešte nie sú v nariadení vymedzené, malo by obsahovať primerané procedurálne záruky, ktorými sa zabezpečí zavedenie vhodných ustanovení na implementáciu potrebných bezpečnostných opatrení na ochranu údajov ešte pred začlenením novej funkcie. To isté by sa malo týkať rozšírení o nové politické oblasti, ak majú vplyv na ochranu údajov.

30.

Európsky dozorný úradník pre ochranu údajov odporúča, aby sa vypracoval jednoznačný mechanizmus, ktorým sa zabezpečí dôkladné vyhodnotenie otázok ochrany údajov pred rozšírením funkcií alebo rozšírením systému na nové politické oblasti, a aby sa v prípade potreby začlenili do architektúry systému IMI dodatočné záruky alebo technické opatrenia. Ide najmä o to, že:

v samotnom nariadení je potrebné vyžadovať posúdenie vplyvu, ktoré sa spomína na strane 7 dôvodovej správy a ktoré by malo obsahovať aj posúdenie vplyvu na ochranu údajov zamerané najmä na to, či sú zmeny (ak sa vyskytnú) v návrhu systému IMI potrebné na zabezpečenie neustálych a primeraných záruk na ochranu údajov týkajúcich sa nových politických oblastí alebo funkcií,

v nariadení by sa malo konkrétne stanoviť, že pred každým rozšírením systému IMI sa vyžadujú konzultácie s európskym dozorným úradníkom a vnútroštátnymi orgánmi na ochranu údajov; tieto konzultácie sa môžu uskutočňovať prostredníctvom mechanizmu určeného na koordinovaný dohľad podľa článku 20.

31.

Tieto procedurálne záruky (posúdenie vplyvu na ochranu údajov a konzultácie) by sa mali uplatňovať na rozšírenie prostredníctvom delegovaného aktu Komisie (presun položky z prílohy II do prílohy I), aj na rozšírenie prostredníctvom nariadenia Parlamentu a Rady vrátane položky, ktorá nie je uvedená v prílohe II.

32.

A nakoniec európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení objasnilo, či budú do rozsahu delegovaných aktov, ktoré môže prijímať Komisia podľa článku 23, začlenené aj ďalšie záležitosti okrem presúvania položiek z prílohy II do prílohy I. Ak je to realizovateľné, v nariadení by sa mala Komisia splnomocňovať na prijímanie konkrétnych vykonávacích alebo delegovaných aktov, v ktorých sa budú bližšie vymedzovať ďalšie funkcie systému alebo riešiť otázky ochrany údajov, ktoré sa môžu v budúcnosti vyskytnúť.

2.3.   Úlohy, kompetencie a povinnosti (články 7 až 9)

33.

Európsky dozorný úradník pre ochranu údajov víta, že objasneniu funkcií a povinností rôznych subjektov zapojených do systému IMI je venovaná celá kapitola (kapitola II). Tieto ustanovenia možno ďalej posilniť nasledujúcim spôsobom.

34.

V článku 9 sa uvádzajú povinnosti vyplývajúce z kontrolnej úlohy Komisie. Európsky dozorný úradník pre ochranu údajov odporúča začleniť ďalšie opatrenia týkajúce sa úlohy Komisie pri zabezpečovaní uplatňovania zásady ochrany súkromia už v štádiu návrhu pri navrhovaní systému, ako aj jej koordinačnej úlohy v oblasti ochrany údajov.

35.

Európsky dozorný úradník pre ochranu údajov s potešením konštatuje, že k úlohám koordinátorov systému IMI uvedeným v článku 7 teraz patria aj koordinačné úlohy v oblasti ochrany údajov vrátane úlohy kontaktnej osoby pre Komisiu. Odporúča ďalej objasniť to, aby tieto koordinačné úlohy obsahovali aj kontakty s vnútroštátnymi orgánmi na ochranu údajov.

2.4.   Prístupové práva (článok 10)

36.

V článku 10 sa uvádzajú záruky týkajúce sa prístupových práv. Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že po jeho pripomienkach sa tieto ustanovenia zásadne posilnili.

37.

Vzhľadom na horizontálny a rozširujúci charakter systému IMI je dôležité zabezpečiť, aby systém dokázal garantovať uplatňovanie „čínskych múrov“, na základe ktorých sa spracúvaná informácia z určitej politickej oblasti obmedzuje iba na danú politickú oblasť: používatelia systému IMI by mali i) získať prístup iba k informáciám, ktoré potrebujú poznať, a ii) ktoré sú obmedzené na jednu politickú oblasť.

38.

Ak je nevyhnutné, aby mal používateľ systému IMI povolenie na prístup k informáciám z niekoľkých politických oblastí (čo môže byť prípad niektorých miestnych štátnych úradov), minimálnou požiadavkou by malo byť, že v systéme sa neumožňuje kombinácia informácií pochádzajúcich z rôznych politických oblastí. Ak sú potrebné výnimky, mali by sa stanoviť vo vykonávacích právnych predpisoch alebo v akte Únie, pričom by sa mala prísne dodržiavať zásada obmedzenia účelu.

39.

Tieto zásady sú už začlenené do znenia nariadenia, mohli by sa však ešte posilniť a viac sfunkčniť.

40.

Európsky dozorný úradník pre ochranu údajov víta v oblasti prístupových práv Komisie skutočnosť, že v článku 9 ods. 2 a 4 a v článku 10 ods. 6 návrhu sa stanovuje, že Komisia nebude mať prístup k osobným údajom, ktoré sa vymieňajú medzi členskými štátmi, s výnimkou prípadov, keď je Komisia účastníkom administratívneho postupu spolupráce.

41.

Prístupové práva vonkajších aktérov a prístupové práva k varovaniam je tiež potrebné ďalej vymedziť (24). V oblasti varovaní európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení stanovilo, že varovania by sa nemali automaticky odosielať všetkým príslušným orgánom vo všetkých členských štátoch, ale len zainteresovaným orgánom, ktoré o nich musia vedieť. Tým sa nevylučuje odosielanie varovaní všetkým členským štátom v určitých prípadoch alebo v určitých politických oblastiach, ak sa týkajú všetkých orgánov. Na rozhodnutie o tom, či má mať Komisia prístupové práva k varovaniam, je potrebná analýza na základe jednotlivých prípadov.

2.5.   Uchovávanie osobných údajov (články 13 a 14)

2.5.1.   Úvod

42.

V článku 13 návrhu sa rozširuje dĺžka uloženia údajov v systéme IMI zo súčasných šiestich mesiacov (počíta sa od uzavretia prípadu) na päť rokov, pričom údaje sa po 18 mesiacoch tzv. zablokujú. Počas obdobia zablokovania sú údaje dostupné len na základe osobitného postupu získavania údajov, ktorý možno iniciovať na žiadosť dotknutej osoby alebo v prípade, ak sú údaje potrebné na „na účely dokladovania výmeny informácií prostredníctvom IMI“.

43.

V dôsledku toho sa údaje v systéme IMI ukladajú počas troch rôznych období:

od vloženia údajov do uzavretia prípadu,

od uzavretia prípadu na obdobie 18 mesiacov (25),

od uplynutia obdobia 18 mesiacov v podobe zablokovaných údajov na ďalšie obdobie troch rokov a šiestich mesiacov (inými slovami, až do uplynutia piatich rokov od uzavretia prípadu).

44.

Okrem týchto všeobecných pravidiel umožňujú ustanovenia článku 13 ods. 2 uchovávanie údajov v „databáze informácií“ tak dlho, ako je to potrebné na tento účel, a to buď so súhlasom dotknutej osoby, alebo ak „je to nevyhnutné na splnenie ustanovení právneho aktu Únie“. V článku 14 sa okrem toho stanovuje podobný blokovací mechanizmus na uchovávanie osobných údajov používateľov systému IMI, a to v trvaní piatich rokov od dátumu, ku ktorému prestanú byť používateľmi systému IMI.

45.

Žiadne ďalšie osobitné ustanovenia neexistujú. Preto sa zrejme všeobecné pravidlá majú uplatňovať nielen na vzájomnú výmenu údajov medzi dvoma subjektmi, ale aj na varovania, riešenie problémov [ako v prípade siete SOLVIT (26)] a všetky ostatné funkcie, ktoré sa týkajú spracovania osobných údajov.

46.

Európsky dozorný úradník pre ochranu údajov má v súvislosti s obdobiami uchovávania údajov viacero obáv, a to vzhľadom na článok 6 ods. 1 písm. e) smernice 95/46/ES a na článok 4 ods. 1 písm. e) nariadenia (ES) č. 45/2001, v ktorých sa vyžaduje, aby sa osobné údaje neuchovávali dlhšie, než je potrebné na účely, na ktoré sa údaje zbierali alebo ďalej spracúvali.

2.5.2.   Od vloženia do uzavretia prípadu: potreba včasného uzavretia prípadu

47.

V prípade prvého obdobia, od vloženia informácií do uzavretia prípadu, sa európsky dozorný úradník pre ochranu údajov obáva rizika, že niektoré prípady sa možno nikdy neuzavrú, alebo sa uzavrú až po neúmerne dlhom časovom období. V dôsledku toho môžu niektoré osobné údaje zostať v databáze dlhšie, než je potrebné, alebo dokonca neobmedzene dlhý čas.

48.

Európsky dozorný úradník pre ochranu údajov chápe, že Komisia dosiahla na praktickej úrovni pokrok v oblasti zníženia počtu nevybavených žiadostí v systéme IMI a že je zavedený systém na vzájomnú výmenu údajov medzi dvoma subjektmi s cieľom monitorovať včasné uzavretia prípadov a pravidelne pripomínať túto povinnosť subjektom, ktoré ju neplnia. Okrem toho nová zmena vo funkciách systému po zavedení prístupu ochrany súkromia už v štádiu návrhu umožňuje stlačením jedného tlačidla prijať odpoveď a zároveň uzavrieť prípad. Predtým sa vyžadovali dva samostatné kroky, čo mohlo mať za následok existenciu neaktívnych prípadov v systéme.

49.

Európsky dozorný úradník pre ochranu údajov víta toto úsilie vynaložené na praktickej úrovni. Odporúča však, aby znenie samotného nariadenia obsahovalo záruky, že prípady sa v systéme IMI včas uzavrú a že neaktívne prípady (prípady, v ktorých sa v poslednom období nevykonávala žiadna činnosť) sa z databázy vymažú.

2.5.3.   Od uzavretia prípadu na 18 mesiacov: je predĺženie obdobia šiestich mesiacov odôvodnené?

50.

Európsky dozorný úradník pre ochranu údajov vyzýva na zváženie primeraného odôvodnenia predĺženia súčasnej lehoty šiestich mesiacov na obdobie 18 mesiacov po uzavretí prípadu a v prípade existencie vhodného odôvodnenia na zváženie toho, či sa vzťahuje iba na vzájomnú výmenu informácií medzi dvoma subjektmi alebo aj na iné typy funkcií. Systém IMI existuje už niekoľko rokov a pri tomto postupe je potrebné zohľadniť nazbierané praktické skúsenosti.

51.

Ak systém IMI naďalej zostane nástrojom na výmenu informácií (opakom systému na spracovanie súborov, databázy alebo archivačného systému) a tiež a predpokladu, že príslušné orgány budú mať k dispozícii prostriedky na získavanie informácií zo systému [v elektronickej alebo papierovej podobe, v každom prípade však tak, aby mohli využívať získané informácie ako dôkaz (27)], potom je uchovávanie údajov v systéme IMI po uzavretí prípadu v podstate nepotrebné.

52.

Pri vzájomnej výmene informácií medzi dvoma subjektmi môže (primerane krátke) obdobie uchovávania údajov po uzavretí prípadu odôvodniť potenciálna potreba odpovedať na ďalšie otázky aj po prijatí pôvodnej odpovede a uzavretí prípadu. Súčasné obdobie šiestich mesiacov sa zdá byť prima facie na tento účel viac ako veľkorysé.

2.5.4.   Od 18 mesiacov do piatich rokov: „zablokované“ údaje

53.

Európsky dozorný úradník pre ochranu údajov sa domnieva, že Komisia neposkytla dostatočné odôvodnenie ani v prípade nevyhnutnosti a primeranosti uchovávať zablokované údaje na obdobie piatich rokov.

54.

Dôvodová správa na strane 8 obsahuje odkaz na rozhodnutie Súdneho dvora vo veci Rijkeboer  (28). Európsky dozorný úradník pre ochranu údajov odporúča, aby Komisia prehodnotila dôsledky tohto prípadu na uchovávanie údajov v systéme IMI. Podľa jeho názoru sa na základe rozhodnutia vo veci Rijkeboer nevyžaduje, aby bol systém IMI nakonfigurovaný na uchovávanie údajov v období piatich rokov po uzavretí prípadu.

55.

Európsky dozorný úradník pre ochranu údajov nepovažuje odkaz na rozsudok vo veci Rijkeboer alebo na práva dotknutých osôb na prístup k svojim údajom za dostatočné a primerané odôvodnenie uchovávania údajov v systéme IMI na obdobie piatich rokov od uzavretia prípadu. Menší zásah môže predstavovať možnosť uchovávať iba „údaje z protokolov“ (prísne vymedzené tak, aby neobsahovali žiadny obsah týkajúci sa okrem iného príloh alebo citlivých údajov), ktorá by sa mala zvážiť. Európsky dozorný úradník pre ochranu údajov však v tomto štádiu nie je presvedčený o nevyhnutnosti či primeranosti ani takéhoto opatrenia.

56.

Problematické je aj nedostatočné objasnenie toho, kto môže získať prístup k zablokovaným údajom a na aké účely. Jednoduchý odkaz na „účely dokladovania výmeny informácií“ (ako v článku 13 ods. 3) nie je dostatočný. Ak sa ustanovenie o zablokovaní zachová, v každom prípade je potrebné lepšie stanoviť, kto môže požiadať o dokladovanie výmeny informácií a v akej súvislosti. Budú mať aj iné osoby okrem dotknutých osôb právo požadovať prístup? Ak áno, budú to výhradne príslušné orgány a výhradne na účely doloženia konkrétnej výmeny informácií s konkrétnym obsahom (ak s takou výmenou informácií súhlasili príslušné orgány, kto odoslal alebo prijal správu)? Predpokladajú sa aj ďalší používatelia „na účely dokladovania výmeny informácií“ (29)?

2.5.5.   Varovania

57.

Európsky dozorný úradník pre ochranu údajov odporúča jednoznačnejšie oddeliť varovania od databáz informácií. Jedna vec je používať varovanie ako nástroj oznamovania konkrétnych priestupkov alebo podozrení príslušným orgánom a druhá ukladať varovania do databázy na dlhšie alebo dokonca neobmedzené časové obdobie. Ukladanie informácií o varovaniach predstavuje ďalšie obavy a bude vyžadovať osobitné pravidlá a dodatočné záruky na ochranu údajov.

58.

Preto európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení ako základné pravidlo stanovovalo, že i) ak nie je uvedené inak vo vertikálnych právnych predpisoch a vzhľadom na primerané dodatočné záruky, na varovania by sa mala vzťahovať šesťmesačná lehota uchovávania, pričom je dôležité, že ii) táto lehota by sa mala počítať od času odoslania varovania.

59.

Ako druhú možnosť európsky dozorný úradník pre ochranu údajov odporúča, aby sa v navrhovanom nariadení konkrétne stanovili podrobné záruky týkajúce sa varovaní. Európsky dozorný úradník pre ochranu údajov je pripravený v prípade uplatnenia tohto druhého prístupu poskytovať Komisii a zákonodarcom ďalšie poradenstvo v tomto smere.

2.6.   Osobitné kategórie údajov (článok 15)

60.

Európsky dozorný úradník pre ochranu údajov víta oddelenie osobných údajov podľa článku 8 ods. 1 smernice 95/46/ES od osobných údajov podľa článku 8 ods. 5. Víta tiež jednoznačné ustanovenie v nariadení o tom, že osobitné kategórie údajov sa môžu spracúvať len na základe osobitných podmienok uvedených v článku 8 smernice 95/46/ES.

61.

V tomto zmysle sa európsky dozorný úradník pre ochranu údajov domnieva, že v systéme IMI sa bude spracúvať veľké množstvo citlivých údajov podľa článku 8 ods. 2 smernice 95/46/ES. Systém IMI bol naozaj od úplného začiatku, čiže od prvého spustenia s cieľom poskytovať podporu pri administratívnej spolupráci na základe smernice o službách a smernice o uznávaní odborných kvalifikácií, vytvorený na spracúvanie týchto údajov, a to najmä údajov týkajúcich sa záznamov o trestných činoch alebo administratívnych priestupkoch, ktoré môžu mať vplyv na právo odborníka alebo poskytovateľa služieb na vykonávanie práce alebo poskytovanie služieb v inom členskom štáte.

62.

Po rozšírení systému IMI o modul pre sieť SOLVIT (30) sa bude v tomto systéme spracúvať oveľa väčší objem citlivých údajov podľa článku 8 ods. 1 (najmä údajov týkajúcich sa zdravia). Nedá sa tiež vylúčiť, že v budúcnosti sa budú prostredníctvom systému IMI ad hoc alebo aj systematicky zbierať ďalšie citlivé údaje.

2.7.   Bezpečnosť (článok 16 a odôvodnenie 16)

63.

Európsky dozorný úradník pre ochranu údajov s potešením konštatuje, že článok 16 sa osobitne týka povinnosti Komisie postupovať podľa svojich vlastných vnútorných pravidiel prijatých s cieľom dosiahnuť súlad s článkom 22 nariadenia (ES) č. 45/2001, ako aj prijať pre systém IMI bezpečnostný plán a neustále ho aktualizovať.

64.

S cieľom posilniť tieto ustanovenia európsky dozorný úradník pre ochranu údajov odporúča v nariadení vyžadovať, aby sa pred rozšírením systému IMI o novú politickú oblasť alebo pred pridaním novej funkcie, ktorá má vplyv na osobné údaje, vyžadovalo posúdenie rizika a preskúmanie bezpečnostného plánu (31).

65.

Európsky dozorný úradník pre ochranu údajov okrem toho poznamenáva, že v článku 16 a odôvodnení 16 sa odkazuje iba na povinnosti Komisie a na dozornú úlohu európskeho dozorného úradníka pre ochranu údajov. Tento odkaz môže byť zavádzajúci. Napriek tomu, že prevádzkovateľom systému je Komisia, ktorá je ako taká väčšou mierou zodpovedná za udržanie bezpečnosti systému IMI, svoje povinnosti majú aj príslušné orgány, nad ktorými vykonávajú dohľad vnútroštátne orgány na ochranu údajov. Preto by sa v článku 16 a odôvodnení 16 malo odkazovať aj na povinnosti v oblasti bezpečnosti, ktoré sa vzťahujú na ostatné subjekty systému IMI podľa smernice 95/46/ES a na právomoci dohľadu vnútroštátnych orgánov na ochranu údajov.

2.8.   Informácie poskytované dotknutým osobám a transparentnosť (článok 17)

2.8.1.   Informácie poskytované v členských štátoch

66.

Európsky dozorný úradník pre ochranu údajov so zreteľom na článok 17 ods. 1 odporúča začleniť do nariadenia konkrétnejšie opatrenia, aby sa zabezpečilo, že dotknuté osoby budú plne informované o spracovaní svojich údajov v systéme IMI. Vzhľadom na to, že systém IMI používajú viaceré príslušné orgány vrátane množstva malých miestnych štátnych úradov, ktoré nemajú dostatočné zdroje, dôkladne sa odporúča koordinovať ustanovenie o oznamovaní na vnútroštátnej úrovni.

2.8.2.   Informácie poskytované Komisiou

67.

V článku 17 ods. 2 písm. a) sa vyžaduje, aby Komisia poskytovala vyhlásenie o dôvernosti údajov podľa článkov 10 a 11 nariadenia (ES) č. 45/2001 týkajúce sa jej vlastných činností spracovania údajov. V článku 17 ods. 2 písm. b) sa okrem toho vyžaduje, aby Komisia poskytovala aj „informácie o aspektoch ochrany údajov v rámci postupov administratívnej spolupráce v IMI, ako sa uvádza v článku 12“. A nakoniec, v článku 17 ods. 2 písm. c) sa vyžaduje, aby Komisia poskytovala informácie o „výnimkách alebo obmedzeniach v právach dotknutých osôb, ako sa uvádza v článku 19“.

68.

Európsky dozorný úradník pre ochranu údajov s potešením reaguje na prítomnosť ustanovení, ktoré prispievajú k transparentnosti operácií spracovania údajov v systéme IMI. Ako je uvedené v časti 2.1, v prípade systému IT, ktorý sa používa v 27 rôznych členských štátoch, je najdôležitejšie zabezpečiť jednotnosť činnosti systému, uplatňovanie záruk na ochranu údajov a informovanie dotknutých osôb (32).

69.

Vzhľadom na uvedené skutočnosti je potrebné posilniť ustanovenia článku 17 ods. 2. Komisia má ako prevádzkovateľ systému najlepšiu východiskovú pozíciu na to, aby pri poskytovaní prvej vrstvy upozornenia na ochranu údajov a ďalších príslušných informácií dotknutým osobám na svojej viacjazyčnej stránke prevzala iniciatívnu úlohu, a to aj v mene príslušných orgánov, čiže aby poskytovala aj informácie vyžadované na základe článku 10 alebo 11 smernice 95/46/ES. Oznámenia poskytované príslušnými orgánmi v členských štátoch potom budú môcť jednoducho odkazovať na oznámenie poskytované Komisiou, pričom sa len podľa potreby doplnia tak, aby boli v súlade s osobitnými dodatočnými informáciami, ktoré sa vyžadujú na základe vnútroštátneho práva.

70.

V článku 17 ods. 2 písm. b) je okrem toho potrebné objasniť, že informácie poskytované Komisiou sa budú komplexne týkať všetkých politických oblastí, všetkých typov postupov administratívnej spolupráce a všetkých funkcií v systéme IMI a budú konkrétne obsahovať kategórie údajov, ktoré sa môžu spracúvať. K tomu by malo patriť aj zverejnenie súborov otázok používaných pri vzájomnej spolupráci medzi dvoma subjektmi na webovej stránke systému IMI, ako sa už v súčasnosti v praxi uskutočňuje.

2.9.   Právo na prístup, opravu a vymazanie (článok 18)

71.

Európsky dozorný úradník pre ochranu údajov chce znovu upozorniť na skutočnosť uvedenú v časti 2.1, že je dôležité zabezpečiť jednotnú činnosť systému a uplatňovanie záruk na ochranu údajov. Z tohto dôvodu sa európsky dozorný úradník pre ochranu údajov domnieva, že je potrebné ďalej špecifikovať ustanovenia týkajúce sa práva na prístup, opravu a vymazanie.

72.

V článku 18 je potrebné stanoviť, na koho sa môžu dotknuté osoby obracať so žiadosťami o prístup. Je potrebné jednoznačne stanoviť prístup k údajom počas rôznych časových období:

pred uzavretím prípadu,

po uzavretí prípadu, ale pred uplynutím 18-mesačného obdobia uchovávania údajov,

a nakoniec počas obdobia, v ktorom sú údaje zablokované.

73.

V nariadení by sa tiež malo vyžadovať, aby príslušné orgány podľa potreby spolupracovali pri spracovaní žiadostí o prístup. Opravy a vymazania je potrebné vykonávať „čo najskôr, ale najneskôr do 60 dní“, nie iba „do 60 dní“. Pri spolupráci orgánov v oblasti prístupových práv je tiež potrebné začleniť odkaz na možnosť vytvárania modulu ochrany údajov a možnosť riešení ochrany súkromia už v štádiu návrhu, ako aj na splnomocnenie dotknutej osoby, napríklad tým, že sa jej v prípade potreby a realizovateľnosti poskytne priamy prístup k údajom.

2.10.   Dohľad (článok 20)

74.

V posledných rokoch sa vyvinul model koordinovaného dohľadu. Tento model dohľadu, ako sa v súčasnosti využíva v systéme Eurodac a častiach colného informačného systému, sa prijal aj pre vízový informačný systém (VIS) a Schengenský informačný systém druhej generácie (SIS-II).

75.

Tento model má tri vrstvy:

dohľad na vnútroštátnej úrovni zabezpečujú vnútroštátne orgány na ochranu údajov,

dohľad na úrovni EÚ zabezpečuje európsky dozorný úradník pre ochranu údajov,

koordinácia sa zabezpečuje prostredníctvom pravidelných zasadnutí a iných koordinovaných činností, ktoré podporuje európsky dozorný úradník pre ochranu údajov konajúci ako sekretariát tohto koordinovaného mechanizmu.

76.

Tento model sa ukázal ako úspešný a efektívny a malo by sa s ním počítať v ďalších informačných systémoch v budúcnosti.

77.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že v článku 20 návrhu sa konkrétne ustanovuje koordinovaný dohľad medzi vnútroštátnymi orgánmi na ochranu údajov a že európsky dozorný úradník pre ochranu údajov vo všeobecnosti postupuje podľa modelu stanoveného v nariadeniach o systémoch VIS a SIS II (33).

78.

Európsky dozorný úradník pre ochranu údajov chce v určitých bodoch posilniť ustanovenia o koordinovanom dohľade a na tento účel podporuje podobné ustanovenia, ako sú napríklad ustanovenia zavedené v súvislosti s vízovým informačným systémom (články 41 až 43 nariadenia o VIS), Schengenským informačným systémom II (články 44 až 46 nariadenia o systéme SIS-II) a ustanovenia predpokladané pre systém Eurodac (34). Konkrétne by bolo vhodné, keby sa v nariadení:

v článku 20 ods. 1 a 2 stanovovali a jednoznačnejšie rozdeľovali príslušné úlohy dohľadu jednotlivých vnútroštátnych orgánov na ochranu údajov a európskeho dozorného úradníka pre ochranu údajov (35),

v článku 20 ods. 3 stanovovalo, že vnútroštátne orgány na ochranu údajov a európsky dozorný úradník pre ochranu údajov budú aktívne spolupracovať (každý v rámci svojich kompetencií) a zabezpečovať koordinovaný dohľad nad systémom IMI (a nielen jednoducho odkazovalo na koordinovaný dohľad bez zmienky o aktívnej spolupráci) (36) a

podrobne stanovovalo, o aký druh spolupráce má ísť, napríklad by sa vyžadovalo, aby si vnútroštátne orgány na ochranu údajov a európsky dozorný úradník pre ochranu údajov (každý v rámci svojich príslušných kompetencií) vymieňali informácie, navzájom si pomáhali pri vykonávaní auditov a inšpekcií, skúmali problémy s výkladom alebo uplatňovaním nariadenia o systéme IMI, študovali problémy s vykonávaním nezávislého dohľadu alebo s uplatňovaním práv dotknutých osôb, vypracúvali harmonizované návrhy spoločných riešení problémov a podľa potreby podporovali informovanosť dotknutých osôb o ich právach na ochranu údajov (37).

79.

Vzhľadom na tieto skutočnosti si európsky dozorný úradník pre ochranu údajov uvedomuje menší objem a iný charakter v súčasnosti spracúvaných údajov, ako aj vyvíjajúci sa charakter systému IMI. Preto uznáva, že pri stanovovaní časových intervalov zasadnutí a auditov je žiaduca väčšia flexibilita. Stručne povedané, európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení uvádzali minimálne potrebné pravidlá na zabezpečenie efektívnej spolupráce, ktoré však nebudú predstavovať nepotrebnú administratívnu záťaž.

80.

V článku 20 ods. 3 návrhu sa nevyžadujú pravidelné zasadnutia, stanovuje sa tam jednoducho len to, že európsky dozorný úradník pre ochranu údajov môže „v prípade potreby pozývať vnútroštátne orgány dohľadu na zasadnutie“. Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že v týchto ustanoveniach sa ponecháva zainteresovaným stranám možnosť rozhodnúť o intervaloch a formách zasadnutí, ako aj ďalších procedurálnych podrobnostiach týkajúcich sa ich spolupráce. Tieto podrobnosti sa môžu odsúhlasiť na základe rokovacieho poriadku, na ktorý sa už v návrhu odkazuje.

81.

V oblasti pravidelných auditov môže byť účinnejšie ponechať stanovenie času a intervalov ich vykonávania na spolupracujúce orgány, ktoré tak môžu urobiť vo svojich rokovacích poriadkoch. Môže to závisieť od množstva faktorov a po čase sa tiež môžu vyskytnúť zmeny. Európsky dozorný úradník pre ochranu údajov preto podporuje prístup Komisie, ktorý umožňuje väčšiu flexibilitu aj v tejto súvislosti.

2.11.   Vnútroštátne používanie systému IMI

82.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že v návrhu sa poskytuje jednoznačný právny základ pre vnútroštátne používanie systému IMI a že toto používanie podlieha niekoľkým podmienkam vrátane skutočnosti, že sa musia viesť konzultácie s vnútroštátnym orgánom na ochranu údajov a že používanie musí byť v súlade s vnútroštátnym právom.

2.12.   Výmena informácií s tretími krajinami (článok 22)

83.

Európsky dozorný úradník pre ochranu údajov víta požiadavky stanovené v článku 22 ods. 1 týkajúce sa výmeny informácií, ako aj skutočnosť, že v článku 22 ods. 3 sa zabezpečuje transparentnosť rozšírenia prostredníctvom zverejnenia aktualizovaného zoznamu tretích krajín používajúcich systém IMI v Úradnom vestníku (článok 22 ods. 3).

84.

Európsky dozorný úradník pre ochranu údajov ďalej odporúča, aby Komisia zjednodušila odkaz na odchýlky podľa článku 26 smernice 95/46/ES tak, aby sa odkaz vzťahoval iba na článok 26 ods. 2. Inými slovami: príslušné orgány alebo ďalší vonkajší aktéri v tretej krajine, ktorá nezabezpečuje primeranú ochranu, nemôžu získať priamy prístup do systému IMI, ak neexistujú príslušné zmluvné ustanovenia v tejto veci. Tieto ustanovenia je potrebné dohodnúť na úrovni EÚ.

85.

Európsky dozorný úradník pre ochranu údajov zdôrazňuje, že na odôvodnenie postúpenia údajov do tretích krajín pomocou priameho prístupu do systému IMI by sa nemali využívať iné odchýlky, ako napríklad, že postúpenie je potrebné alebo sa zákonne vyžaduje z dôvodu dôležitého verejného záujmu alebo z dôvodu stanovenia spôsobu vykonávania alebo ochrany zákonných nárokov (38).

2.13.   Zodpovednosť (článok 26)

86.

V súlade s očakávaným posilnením podmienok, ktorými sa zabezpečuje väčšia zodpovednosť počas preskúmania rámca EÚ na ochranu údajov (39), európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení zaviedol jednoznačný rámec primeraných mechanizmov vnútornej kontroly, ktorými sa zabezpečuje súlad ochrany údajov a poskytuje dôkaz o tomto súlade a ktoré obsahujú minimálne prvky uvedené ďalej.

87.

V tejto súvislosti európsky dozorný úradník pre ochranu údajov víta požiadavku v článku 26 ods. 2 nariadenia, aby Komisia každé tri roky prekladala európskemu dozornému úradníkovi pre ochranu údajov správu o aspektoch ochrany údajov vrátane bezpečnosti. Odporúča sa, aby sa v nariadení objasňovalo, že európsky dozorný úradník pre ochranu údajov bude musieť v rámci koordinovaného dohľadu uvedeného v článku 20 sprístupniť správu Komisie vnútroštátnym orgánom na ochranu údajov. Tiež by bolo užitočné, keby sa v nariadení objasňovalo, že správa sa bude v rámci všetkých politických oblastí a všetkých funkcií zaoberať spôsobom praktického uplatňovania kľúčových zásad a otázok ochrany údajov (napr. informovanie dotknutých osôb, prístupové práva, bezpečnosť).

88.

Okrem toho by sa malo v nariadení objasniť, že k rámcu mechanizmov vnútornej kontroly by malo patriť aj posúdenie ochrany súkromia (obsahujúce aj analýzu bezpečnostného rizika) a politiky ochrany údajov (vrátane bezpečnostného plánu) prijatej na základe ich výsledkov, ako aj pravidelné preskúmania a audity.

2.14.   Ochrana súkromia už v štádiu návrhu

89.

Európsky dozorný úradník pre ochranu údajov víta odkaz na túto zásadu v odôvodnení 6 uvedeného nariadenia (40). Odporúča, aby okrem tohto odkazu nariadenie obsahovalo zavedenie konkrétnych záruk ochrany súkromia už v štádiu návrhu, ako napríklad:

modul ochrany údajov s cieľom umožniť dotknutým osobám efektívnejší výkon ich práv (41),

jasné oddelenie rôznych politických oblastí, ktoré sú súčasťou systému IMI (tzv. čínske múry) (42),

konkrétne technické riešenia na obmedzenie možností vyhľadávania v adresároch, informáciách o varovaniach a v iných častiach s cieľom zabezpečiť obmedzenie účelu,

konkrétne opatrenia na zabezpečenie uzavretia neaktívnych prípadov (43),

primerané procedurálne záruky v súvislosti s budúcim vývojom (44).

3.   ZÁVERY

90.

Všeobecné stanovisko európskeho dozorného úradníka pre ochranu údajov k systému IMI je kladné. Európsky dozorný úradník pre ochranu údajov podporuje ciele Komisie pri zavádzaní elektronického systému výmeny informácií a regulovaní jeho aspektov ochrany údajov. Európsky dozorný úradník pre ochranu údajov víta aj skutočnosť, že Komisia navrhuje horizontálny právny nástroj pre systém IMI v podobe nariadenia Parlamentu a Rady. S potešením konštatuje, že v návrhu sa komplexne zdôrazňujú najdôležitejšie oblasti ochrany údajov v rámci systému IMI.

91.

Vzhľadom na právny rámec systému IMI, ktorý sa má zriadiť prostredníctvom navrhovaného nariadenia, upriamuje európsky dozorný úradník pre ochranu údajov pozornosť na dve hlavné výzvy:

na potrebu zabezpečiť jednotnosť popri rešpektovaní rozmanitosti a

na potrebu vyvážiť flexibilitu a právnu istotu.

92.

Je potrebné objasniť a konkrétnejšie vymedziť funkcie systému IMI, ktoré sa už predpokladajú.

93.

S cieľom zabezpečiť dôkladné zváženie ochrany údajov počas budúceho vývoja systému IMI by sa mali uplatňovať primerané procedurálne záruky. Mali by k nim patriť posúdenie vplyvu a konzultácie s európskym dozorným úradníkom pre ochranu údajov, ako aj s vnútroštátnymi orgánmi pre ochranu údajov, pred každým rozšírením rozsahu systému IMI o novú politickú oblasť a/alebo o nové funkcie.

94.

Prístupové práva vonkajších aktérov a prístupové práva k varovaniam je potrebné ďalej vymedziť.

95.

V súvislosti s obdobiami uchovávania údajov:

nariadenie by malo obsahovať záruky, že prípady sa v systéme IMI včas uzavrú a že neaktívne prípade (prípady, v ktorých sa v poslednom období nevykonávala žiadna činnosť) sa z databázy vymažú,

malo by sa prehodnotiť, či existuje primerané odôvodnenie rozšírenia súčasného šesťmesačného obdobia na 18 mesiacov po uzavretí prípadu,

Komisia neposkytla dostatočné odôvodnenie nevyhnutnosti a primeranosti uchovávať tzv. zablokované údaje na obdobie piatich rokov, preto by sa mal tento návrh prehodnotiť,

mali by sa jednoznačnejšie oddeliť varovania od databáz informácií: v nariadení by sa ako základné pravidlo malo stanoviť, že i) ak nie je uvedené inak vo vertikálnych právnych predpisoch a s výhradou primeraných dodatočných záruk, na varovania by sa mala vzťahovať šesťmesačná lehota uchovávania, a že ii) táto lehota by sa mala počítať od času odoslania varovania.

96.

V nariadení by sa malo vyžadovať, aby sa pred každým rozšírením systému IMI o novú politickú oblasť alebo pred pridaním novej funkcie, ktorá má vplyv na osobné údaje, vyžadovalo posúdenie rizika a preskúmanie bezpečnostného plánu.

97.

Ustanovenia o poskytovaní informácií dotknutým osobám a o ich prístupových právach je potrené posilniť a mali by podporovať jednotnejší prístup.

98.

Európsky dozorný úradník pre ochranu údajov by v určitých bodoch posilnil ustanovenia o koordinovanom dohľade a na tento účel podporuje podobné ustanovenia, ako sú napríklad ustanovenia zavedené v súvislosti s vízovým informačným systémom, Schengenským informačným systémom II a ustanovenia predpokladané pre systém Eurodac. V oblasti početnosti zasadnutí a auditov európsky dozorný úradník pre ochranu údajov podporuje návrh s jeho pružným prístupom s cieľom zabezpečiť, aby sa v nariadení poskytovali potrebné minimálne pravidlá na zabezpečenie efektívnej spolupráce bez vytvárania nepotrebnej administratívnej záťaže.

99.

V nariadení by sa malo zabezpečiť, aby príslušné orgány alebo ďalší vonkajší aktéri v tretej krajine, ktorá nezabezpečuje primeranú ochranu, nemohli získať priamy prístup do systému IMI, pokiaľ neexistujú príslušné zmluvné ustanovenia v tejto veci. Tieto ustanovenia je potrebné dohodnúť na úrovni EÚ.

100.

V nariadení by sa mal stanoviť jednoznačný rámec primeraných mechanizmov vnútornej kontroly, ktorým sa zabezpečuje súlad ochrany údajov a dôkazy o jeho dosiahnutí vrátane posúdenia ochrany súkromia (obsahujúce aj analýzu bezpečnostného rizika), ako aj politika ochrany údajov (vrátane bezpečnostného plánu) prijatá na základe ich výsledkov a pravidelné preskúmania a audity.

101.

V nariadení by sa mali tiež zaviesť konkrétne záruky ochrany súkromia už v štádiu návrhu.

V Bruseli 22. novembra 2011

Giovanni BUTTARELLI

Asistent európskeho dozorného úradníka pre ochranu údajov


(1)  Ú. v. ES L 281, 23.11.1995, s. 31.

(2)  Ú. v. ES L 8, 12.1.2001, s. 1.

(3)  KOM(2011) 522 v konečnom znení.

(4)  KOM(2011) 75.

(5)  Smernica Európskeho parlamentu a Rady 2005/36/ES zo 7. septembra 2005 o uznávaní odborných kvalifikácií (Ú. v. EÚ L 255, 30.9.2005, s. 22).

(6)  Smernica Európskeho parlamentu a Rady 2006/123/ES z 12. decembra 2006 o službách na vnútornom trhu (Ú. v. EÚ L 376, 27.12.2006, s. 36).

(7)  Bežnou otázkou obsahujúcou citlivé údaje môže byť napríklad: „Slúži priložený dokument ako zákonné odôvodnenie neexistencie pozastavenia alebo zákazu vykonávania príslušných odborných činností pre závažné odborné pochybenie alebo trestný čin týkajúci sa pracovníka (migrujúci odborník)?“.

(8)  Pozri odôvodnenie 10.

(9)  Pozri článok 13 ods. 2.

(10)  Stanovisko č. 7/2007 pracovnej skupiny zriadenej podľa článku 29 k otázkam ochrany údajov týkajúcim sa informačného systému o vnútornom trhu (IMI), WP140. K dispozícii na stránke http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp140_en.pdf

(11)  Najdôležitejšie dokumenty týkajúce sa tejto spolupráce sú k dispozícii na webovej stránke Komisie venovanej systému IMI na adrese http://ec.europa.eu/internal_market/imi-net/data_protection_en.html, ako aj na webovej stránke európskeho dozorného úradníka pre ochranu údajov na adrese http://www.edps.europa.eu

(12)  Stanovisko európskeho dozorného úradníka pre ochranu údajov k rozhodnutiu Komisie 2008/49/ES z 12. decembra 2007 o implementácii informačného systému o vnútornom trhu (IMI) v súvislosti s ochranou osobných údajov (Ú. v. EÚ C 270, 25.10.2008, s. 1).

(13)  Pracovná skupina zriadená podľa článku 29 plánuje aj pripomienkovanie tohto návrhu. Európsky dozorný úradník pre ochranu údajov sleduje vývoj v príslušnej podskupine pracovnej skupiny zriadenej podľa článku 29 a prispel svojimi pripomienkami.

(14)  V tomto zmysle pozri tiež naše pripomienky v časti 2.2 týkajúce sa predpokladaného rozšírenia systému IMI.

(15)  Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45).

(16)  V samotnom návrhu nariadenia sa na posúdenie vplyvu neodkazuje. Na strane 7 dôvodovej správy k návrhu sa však vysvetľuje, že Komisia bude mať právomoc presunúť položky z prílohy II do prílohy I na základe prijatia delegovaného aktu a „následne po posúdení technickej realizovateľnosti, nákladovej efektívnosti, ústretovosti pri používaní a celkového vplyvu na systém a podľa potreby aj výsledkov možnej testovacej fázy“.

(17)  S výnimkou siete SOLVIT (pozri prílohy II, I ods. 1), kde je k dispozícii iba „mäkké právo“, čiže odporúčanie Komisie. Z hľadiska ochrany údajov môže byť podľa názoru európskeho dozorného úradníka pre ochranu údajov právnym základom na spracovanie údajov v konkrétnom prípade siete SOLVIT súhlas dotknutých osôb.

(18)  To sa môže stať na základe iniciatívy Komisie, nedá sa však vylúčiť, že myšlienka na využívanie systému IMI v konkrétnej politickej oblasti môže neskôr vyústiť do legislatívneho procesu a môže ju navrhnúť Parlament alebo Rada. Už sa to stalo v súvislosti so smernicou o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti. V takom prípade bude potrebné lepšie objasniť postup rozšírenia, ktorý sa zjavne zameriava iba na prípad rozšírenia prostredníctvom delegovaných aktov (pozri ustanovenia o posudzovaní vplyvu, delegovaných aktoch, aktualizovaní prílohy I).

(19)  Na základe rovnakej štruktúry sa môže vykonávať napríklad vzájomná výmena informácií medzi dvoma subjektmi podľa smernice o uznávaní odborných kvalifikácií a smernice o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti, pričom sa môže upraviť pomocou podobných funkcií, na ktoré sa vzťahujú záruky na ochranu údajov.

(20)  Pozri odôvodnenia 2, 10, 12, 13 a 15 a článok 5 písm. b) a i), článok 10 ods. 7 a článok 13 ods. 2.

(21)  Ak existuje zámer, aby systém IMI nahradil alebo doplnil existujúce systémy na spracovanie a archivovanie súborov, alebo aby sa systém IMI používal ako databáza, malo by sa to v článku 3 jasne uviesť.

(22)  Pozri prílohu II, I ods. 1.

(23)  Pozri časti 2.4 a 2.5.5 ďalej.

(24)  Pozri tiež časť 2.2.2.

(25)  V článku 13 ods. 1 sa navrhuje, aby bolo obdobie 18 mesiacov maximálnym časovým obdobím, preto je možné zaviesť aj kratšie obdobie. To však nebude mať vplyv na celkovú dĺžku uchovávania údajov, ktorá bude v každom prípade päť rokov od uzavretia prípadu.

(26)  Pozri prílohu II, I bod 1.

(27)  Chápeme, že sa vyvíja úsilie na praktické zabezpečenie tohto cieľa.

(28)  Vec C-553/07, Rijkeboer, [2009] Zb. s. I-3889.

(29)  Napriek tomu, že uchovávanie osobných údajov predstavuje porovnateľne menšie riziko ohrozenia súkromia, sa európsky dozorný úradník pre ochranu údajov domnieva, že uchovávanie osobných údajov používateľov systému IMI na obdobie piatich rokov, keď už nemajú prístup do systému IMI, nebolo dostatočne zdôvodnené.

(30)  Pozri prílohu II, I ods. 1.

(31)  Pozri tiež časť 12 o odporúčaniach týkajúcich sa auditov.

(32)  Pri tomto prístupe na zabezpečenie jednotnosti je samozrejme potrebné v prípade potreby a nevyhnutnosti riadne zohľadniť všetky vnútroštátne odchýlky.

(33)  Pozri nariadenie Európskeho parlamentu a Rady (ES) č. 1987/2006 z 20. decembra 2006 o zriadení, prevádzke a využívaní Schengenského informačného systému druhej generácie (SIS II) (Ú. v. EÚ L 381, 28.12.2006, s. 4) a nariadenie Európskeho parlamentu a Rady (ES) č. 767/2008 z 9. júla 2008 o vízovom informačnom systéme (VIS) a výmene údajov o krátkodobých vízach medzi členskými štátmi (nariadenie o VIS) (Ú. v. EÚ L 218, 13.8.2008, s. 60).

(34)  Nariadenie Rady (ES) č. 2725/2000 z 11. decembra 2000, ktoré sa týka zriadenia systému Eurodac na porovnávanie odtlačkov prstov pre účinné uplatňovanie Dublinského dohovoru (Ú. v. ES L 316, 15.12.2000, s. 1) ktoré sa v súčasnosti reviduje. V tejto súvislosti sa o podobných ustanoveniach uvažuje aj v nariadeniach o systémoch VIS a SIS II.

(35)  Pozri napríklad články 41 a 42 nariadenia o VIS.

(36)  Pozri napríklad článok 43 ods. 1 nariadenia o VIS.

(37)  Pozri napríklad článok 43 ods. 2 nariadenia o VIS.

(38)  Podobný prístup sa uplatňuje v článku 22 ods. 2 na Komisiu ako na subjekt systému IMI.

(39)  Pozri časť 2.2.4 oznámenia Komisie Európskemu parlamentu, Rade, Hospodárskemu a sociálnemu výboru a Výboru regiónov s názvom Komplexný prístup k ochrane osobných údajov v Európskej únii, COM(2010) 0609 v konečnom znení. Pozri tiež časť 7 stanoviska európskeho dozorného úradníka pre ochranu údajov vydaného k tomuto oznámeniu Komisie 14. januára 2011.

(40)  Tamtiež.

(41)  Pozri časť 2.9.

(42)  Pozri časť 2.4.

(43)  Pozri časť 2.5.2.

(44)  Pozri časť 2.2.2.


Top