13.10.2017   

SK

Úradný vestník Európskej únie

C 345/138

Spravodajkyňa:

Laure BATUT

1.1.

EHSV vyjadruje hlboké poľutovanie nad tým, že v dôsledku množstva právnych predpisov o ochrane údajov, ich objemu a spletitosti, neustáleho vracania sa od jedného k druhému, ktoré je potrebné na ich pochopenie, je nepravdepodobné, že by sa ich čítaniu a vykonávaniu venoval ktokoľvek nad rámec okruhu zainteresovaných osôb a ich pridaná hodnota nie je prístupná pre občanov, čo je zároveň pojem, ktorý v návrhu nariadenia chýba. Odporúča uverejniť na internete prehľadnú brožúru, ktorá by ich sprostredkovala a sprístupnila všetkým.

1.2.

EHSV zdôrazňuje, že spomedzi navrhovaných možností v posúdení vplyvu Komisia zvolila to, ktoré „premyslene“ posilní ochranu súkromia. Je dôvodom snaha zabezpečiť rovnováhu so záujmami priemyslu? Komisia nespresňuje, ktoré prvky budovania „ďalekosiahleho“ posilňovania súkromia by poškodili záujmy priemyslu. Tento prístup sa usiluje oslabiť text už od jeho koncipovania.

1.3.

EHSV odporúča Komisii:

2.1.

Siete elektronickej komunikácie sa výrazne zmenili od nadobudnutia účinnosti smerníc 95/46/EHS a 2002/58/ES  (2) o ochrane súkromia v sektore elektronických komunikácií.

2.2.

Všeobecné nariadenie o ochrane údajov prijaté v roku 2016 [nariadenie (EÚ) 2016/679] sa stalo základom pre príslušné opatrenia a stanovili sa ním hlavné zásady vrátane zásad týkajúcich sa justičných údajov a údajov z trestných spisov. V súlade s týmto nariadením sa osobné údaje smú zhromažďovať len za prísnych podmienok na legitímne účely a pri dodržaní dôvernosti (článok 5 všeobecného nariadenia o ochrane údajov).

2.2.1.

Komisia predložila v októbri 2016 návrh smernice, ktorou sa zavádza európsky kódex elektronickej komunikácie (3) (v rozsahu 300 strán), ktorý ešte nebol prijatý, ale odkazuje sa v ňom na niektoré vymedzenia pojmov, ktoré nie sú uvedené ani vo všeobecnom nariadení o ochrane údajov, ani v skúmanom dokumente.

2.2.2.

V dvoch návrhoch z januára 2017 sa objasňujú určité aspekty vychádzajúce zo všeobecného nariadenia o ochrane údajov: ide o navrhované nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami a orgánmi Únie [COM(2017) 8 final, spravodajca: pán PEGADO LIZ] a predmetný text [COM(2017) 10 final] o rešpektovaní súkromného života a ochrane osobných údajov.

2.3.

Tieto tri texty, ktorých cieľom je harmonizácia práv a postupov kontroly, sa budú uplatňovať od rovnakého dátumu, t. j. od 25. mája 2018.

2.4.

Je potrebné poznamenať, že na uľahčenie tohto prístupu sa v záujme ochrany súkromného života rozhodlo uprednostniť podobu európskeho nariadenia, a nie smernice.

3.1.

Občianska spoločnosť by rada pochopila, či v digitálnom svete, ktorý sa tvorí, prináša Únia pridanú hodnotu, ktorá zaručí priestor pre rozvoj súkromného života bez obáv.

3.2.

Údaje sa generujú nepretržite, v dôsledku čoho je možné vysledovať a identifikovať všetkých užívateľov. Spracovanie osobných údajov v zariadeniach, ktoré väčšinou sídlia mimo Európy, je predmetom obáv.

3.3.

Veľké dáta sa stali menou a ich inteligentné spracovanie umožňuje vypracovať profil fyzických a právnických osôb, využívať ich údaje na obchodné účely a zarábať peniaze často bez toho, aby o tom užívatelia vedeli.

3.4.

Predovšetkým však skutočnosť, že v odvetví spracovania údajov sa objavili nové subjekty mimo poskytovateľov služby pripojenia k internetu, musí viesť k preskúmaniu relevantných dokumentov.

4.1.

Komisia by týmto znením chcela vytvoriť rovnováhu medzi spotrebiteľmi a priemyslom:

4.2.

Cieľom návrhu je zavedenie všeobecného nariadenia o ochrane údajov, ktoré je všeobecne uplatniteľné tak, ako majú všeobecnú platnosť dôvernosť súkromných údajov a právo na vymazanie, pokiaľ ide o konkrétny aspekt rešpektovania súkromného života a ochrany osobných údajov v oblasti telekomunikácií. Navrhuje sa zavedenie prísnejších pravidiel v oblasti ochrany súkromia, ako aj koordinované kontroly a sankcie.

4.3.

Nestanovujú sa v ňom osobitné opatrenia týkajúce sa nedostatkov v oblasti osobných údajov zapríčinené samotnými užívateľmi, ale potvrdzuje sa zásada dôvernosti údajov z elektronickej komunikácie (článok 5).

4.4.

Poskytovatelia môžu spracúvať obsah elektronickej komunikácie, ak:

4.5.

Ich povinnosťou je vymazať alebo anonymizovať obsah po tom, ako ho dostali príjemcovia.

4.6.

Podľa článku 4 ods. 11 všeobecného nariadenia o ochrane údajov sa ako „súhlas dotknutej osoby“ chápe akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

4.7.

Návrh zachováva požiadavku výslovného vyjadrenia súhlasu, ktorá je stanovená vo všeobecnom nariadení o ochrane údajov, pričom dôkazné bremeno nesú operátori.

4.8.

„Spracúvanie“ je založené na súhlase. Prevádzkovateľ musí „vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov“ (článok 7 ods. 1 všeobecného nariadenia o ochrane údajov).

4.9.

Právne predpisy EÚ alebo vnútroštátne právne predpisy môžu zaviesť určité obmedzenia (práv a povinností) dôvernosti s cieľom zabezpečiť verejný záujem alebo inšpekciu.

4.10.

Fyzická osoba môže dať súhlas so zaradením do verejne dostupného informačného zoznamu s možnosťou overiť a opraviť údaje, ktoré sa jej týkajú (článok 15).

4.11.

Právo namietať umožní každému užívateľovi zablokovať používanie jeho údajov poskytnutých tretej strane (napríklad obchodníkovi), a ktoré sa poskytne pri každom odoslaní správy (článok 16). Nové pravidlá poskytujú užívateľom lepšiu kontrolu nad ich parametrami (cookies, identifikátory) a umožnia zablokovať nevyžiadanú komunikáciu (spam, správy, SMS, hovory) v prípade, ak užívateľ nedal svoj súhlas.

4.12.

Pokiaľ ide o identifikáciu volajúceho a zablokovanie neželaných volaní (články 12 a 14), v nariadení sa poukazuje na to, že tieto práva majú aj právnické osoby.

4.13.

Štruktúra kontrolného systému je v súlade so všeobecným nariadením o ochrane údajov (kapitoly VI o dozorných orgánoch a kapitola VII o spolupráci medzi dozornými orgánmi).

4.13.1.

Členské štáty a ich vnútroštátne orgány zodpovedné za ochranu údajov budú musieť zabezpečiť dodržiavanie pravidiel dôvernosti. Ostatné príslušné dozorné orgány budú môcť v rámci vzájomnej pomoci vypracúvať námietky, ktoré budú prípadne predložené vnútroštátnym dozorným orgánom. S nimi a s Európskou komisiou budú spolupracovať v rámci mechanizmu konzistentnosti (článok 63 všeobecného nariadenia o ochrane údajov).

4.13.2.

Úlohou európskeho výboru pre ochranu údajov (CEPD) je zaistiť konzistentné uplatňovanie tohto nariadenia (články 68 a 70 všeobecného nariadenia o ochrane údajov).

4.14.

Prístup k prostriedkom nápravy majú koncoví užívatelia z radov fyzických aj právnických osôb s cieľom presadiť svoje záujmy poškodené porušeniami predpisov, pričom majú právo na náhradu vzniknutej škody.

4.15.

Stanovené správne pokuty majú pôsobiť odrádzajúco, pretože sa môžu zvýšiť pre všetky subjekty porušujúce pravidlá až do výšky 10 000 000 EUR alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok (článok 23). V prípadoch bez správnej pokuty rozhodnú o sankciách členské štáty a informujú o nej Komisiu.

4.16.

Nový dokument o rešpektovaní súkromia a využívania osobných údajov sa bude uplatňovať od 25. mája 2018, teda počnúc rovnakým dňom ako všeobecné nariadenie o ochrane údajov z roku 2016 a nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a návrh smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie [COM/2016) 590], pokiaľ budú prijaté.

4.17.

Rozsah pôsobnosti lex specialis na vykonávanie všeobecného nariadenia o ochrane údajov:

—

ratione personae: subjekty

—

ratione materiae: údaje

—

ratione loci: kde?

4.18.

Ciele EÚ: jednotný digitálny trh

5.1.

Výbor víta skutočnosť, že s cieľom chrániť práva fyzických a právnických osôb sa v celej Únii súbežne zavádza jednotný súbor pravidiel spojených s používaním digitálnych dát prostredníctvom elektronickej komunikácie.

5.1.1.

Víta, že EÚ si plní svoju úlohu ochrancu ľudských práv občanov a spotrebiteľov.

5.1.2.

Zdôrazňuje, že hoci je cieľom harmonizácia, výklad mnohých pojmov je na členských štátoch, čím sa toto nariadenie pretvára na určitú formu smernice, ktorá ponecháva široký priestor na komercializáciu súkromných údajov. Najmä oblasť zdravia ponúka a veľkú príležitosť na zber obrovského množstva osobných údajov.

5.1.3.

Článok 11 ods. 1, článok 13 ods. 2, článok 16 ods. 4 a ods. 5 a článok 24 predstavujú ustanovenia, ktoré možno označiť za „transpozičné“ a ktoré by boli vhodné pre smernicu, ale nie pre nariadenie. Príliš veľký priestor pre voľnú úvahu je ponechaný poskytovateľom s cieľom zlepšiť kvalitu služieb (články 5 a 6). Toto nariadenie by malo byť neoddeliteľnou súčasťou návrhu smernice o európskom kódexe elektronickej komunikácie [COM(2016) 590 final].

5.1.4.

EHSV vyjadruje hlboké poľutovanie nad tým, že v dôsledku prekrývania sa týchto dokumentov, ich rozsahu a spletitosti je nepravdepodobné, že ich bude čítať niekto iný okrem obmedzeného okruhu osôb. Je potrebné neustále sa vracať od jedného textu k druhému. Navyše ich prínos nebude viditeľný pre občanov. Náročné čítanie návrhu a jeho zložitosť sú v rozpore s duchom programu regulačnej vhodnosti a efektívnosti (REFIT) a cieľom „lepšej tvorby práva“, bude ťažké ho interpretovať a vzniknú medzery v ochrane.

5.1.5.

Napríklad návrh nariadenia neobsahuje vymedzenie pojmu „operátor“ a je potrebné nazrieť do návrhu európskeho kódexu elektronickej komunikácie (4), ktorý ešte nenadobudol účinnosť, a ktorým sa zmenia pravidlá v odvetví ako súčasti jednotného digitálneho trhu, konkrétne rámcová smernica 2002/21/ES, smernica o povolení 2002/20/ES, smernica o univerzálnej službe 2002/22/ES, smernica o prístupe 2002/19/ES v znení neskorších predpisov, nariadenie (ES) č. 1211/2009, ktorým sa zriaďuje orgán BEREC, rozhodnutie 676/2002/ES o rádiovom frekvenčnom spektre, rozhodnutie 2002/622/ES, ktorým sa ustanovuje skupina pre politiku rádiového frekvenčného spektra a rozhodnutie 243/2012/EÚ, ktorým sa zriaďuje viacročný program politiky rádiového frekvenčného spektra. Základným referenčným dokumentom zostáva samozrejme všeobecné nariadenie o ochrane údajov (pozri vyššie bod 2.2). Predmetný text je jeho doplnením a je mu teda podradený.

5.2.

EHSV osobitne zdôrazňuje obsah článku 8 týkajúci sa ochrany informácií uchovávaných v koncových zariadeniach a možných výnimiek, ide o základný článok, pretože umožňuje informačnej spoločnosti získať prístup k súkromným údajom. Rovnako zdôrazňuje aj obsah článku 12 o zamedzení identifikácie volajúceho a volaného účastníka. Tieto články sú ťažko zrozumiteľné pre nezainteresovanú verejnosť.

5.2.1.

V smernici z roku 1995 (článok 2) sa „osobné údaje“ definujú ako „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“). Toto nariadenie rozširuje ochranu osobných údajov o metaúdajoch a bude sa vzťahovať na fyzické, ako aj na právnické osoby. Treba opätovne zdôrazniť, že návrh má dvojaký cieľ: na jednej strane ochrániť údaje osobnej povahy, a na strane druhej zabezpečiť voľný pohyb údajov a služieb elektronických komunikácií v EÚ (článok 1).

5.2.2.

EHSV zdôrazňuje, že záväzok chrániť údaje právnických osôb (článok 1 ods. 2) bude v rozpore s inými dokumentmi, v ktorých takýto záväzok chýba. Nie je jasne vyjadrené, že sa bude vzťahovať na ich prípady (pozri všeobecné nariadenie o ochrane údajov, údaje v európskych inštitúciách).

5.3.

EHSV si kladie otázku, či skutočným cieľom tohto návrhu nie je viac zdôrazniť jeho článok 1 ods. 2, a to konkrétne zabezpečiť „voľný pohyb údajov z elektronických komunikácií a elektronických komunikačných služieb v rámci Únie“, ktorý nesmie byť obmedzený ani zakázaný z dôvodov súvisiacich s rešpektovaním súkromného života a komunikácií fyzických a právnických osôb, či skôr naozaj zaručiť to, čo stanovuje v článku 1 ods. 1, t. j. „práva na rešpektovanie súkromného života a komunikácií a ochranu fyzických osôb v oblasti spracovania osobných údajov“.

5.4.

Všetko sa opiera o vyjadrenie súhlasu fyzickej alebo právnickej osoby. V dôsledku toho musia byť podľa EHSV užívatelia informovaní, poučení a naďalej opatrní, pretože po vyjadrení ich súhlasu môže poskytovateľ ďalej spracúvať obsah a metaúdaje s cieľom mať čo najväčší úžitok a zisk. Koľko ľudí vie – predtým, než akceptuje cookies – že tieto majú sledovaciu funkciu? Medzi priority súvisiace s týmto nariadením by malo patriť aj vzdelávanie užívateľov, aby tak vedeli využívať svoje práva vrátane anonymizácie a šifrovania.

6.1.

Osobné údaje by mali zhromažďovať len orgány, ktoré dodržiavajú veľmi prísne podmienky a ich ciele sú známe a legitímne (všeobecné nariadenie o ochrane údajov).

6.2.

Výbor opäť vyjadruje poľutovanie nad príliš veľkým počtom „výnimiek a obmedzení, ktoré sa dotýkajú stanovených zásad práva na ochranu osobných údajov“ (5). Rovnováha medzi slobodou a bezpečnosťou by mala zostať hlavnou črtou Európskej únie, viac než rovnováha medzi základnými právami človeka a priemyslom. Pracovná skupina „článok 29“ vo svojej analýze návrhu nariadenia (WP247, 4. 4. 2017, stanovisko 1/2017, bod 17) dôrazne upozornila, že znižuje úroveň ochrany definovanú vo všeobecnom nariadení o ochrane údajov, najmä pokiaľ ide o umiestnenie terminálu, nedostatočné obmedzenie rozsahu zbieraných údajov a neposkytuje štandardný priestor na ochranu súkromia (bod 19).

6.3.

Údaje sú akoby ďalším rozmerom osoby, jej tieňovou identitou, „tieňovým identifikačným dokladom“. Údaje patria osobe, ktorá ich generuje, avšak po ich spracovaní sú už mimo jej vplyvu. Za uchovávanie údajov má zodpovednosť každý členský štát, pričom nedochádza k harmonizácii vzhľadom na možné právne obmedzenia, o ktorých sa hovorí v návrhu dokumentu. Výbor poukazuje na nebezpečenstvo rozdielneho prístupu, ktoré súvisí so skutočnosťou, že obmedzenie práv je ponechané na voľnú úvahu členských štátov.

6.4.

Najmä v súvislosti s osobami, ktoré pracujú v podnikoch, vyvstáva otázka: komu patria údaje, ktoré tieto osoby generujú počas pri práci? A ako sú chránené?

6.5.

Kontrolný systém nie je veľmi jasný (6). Napriek dohľadu zo strany CEPD (európskeho výboru pre ochranu údajov) sa záruky proti svojvoľnému konaniu zdajú byť nedostatočné a nemožno posúdiť, koľko času treba na to, než postupy skončia sankciami.

6.6.

EHSV sa zasadzuje za vytvorenie európskeho portálu, kde by boli zhromaždené a aktualizované všetky európske a vnútroštátne dokumenty, všetky práva, prostriedky nápravy, judikatúra a praktické aspekty s cieľom pomôcť občanom a užívateľom vyznať sa v spleti textov a postupov, aby tak mohli uplatňovať svoje práva. Tento portál by mal vychádzať minimálne z požiadaviek smernice (EÚ) 2016/2102 z 26. októbra 2016 o prístupnosti webových sídel a mobilných aplikácií subjektov verejného sektora a zo zásad uvedených v odôvodneniach 12, 15 a 21 návrhu smernice nazývanej Európsky akt o prístupnosti 2015/0278 (COD) a ponúkať obsah, ktorý bude dostupný a zrozumiteľný pre všetkých koncových používateľov. EHSV je pripravený zapojiť sa do fázy definovania tohto portálu.

6.7.

V článku 22 chýba zmienka o skupinovej žalobe, ako už uviedol EHSV vo svojom stanovisku o európskom kódexe elektronickej komunikácie.

6.8.

Obmedzenie vecnej pôsobnosti (článok 2 ods. 2), rozšírenie právomoci spracúvať údaje bez súhlasu majiteľa (článok 6 odseky 1 a 2) a nejasný pojem získania súhlasu VŠETKÝCH dotknutých používateľov [článok 6 ods. 3 písm. b)] a článok 8 ods. 1, 2 a 3 a obmedzenia práv, ktoré môžu umožniť členské štáty, ak to považujú za „nevyhnutné, vhodné a primerané“ predstavujú pravidlá, ktorých obsah sa môže vykladať tak rôznorodo, že budú napokon v rozpore so skutočnou ochranou súkromia. Osobitnú pozornosť treba navyše venovať ochrane údajov týkajúcich sa maloletých osôb.

6.9.

EHSV víta právo na kontrolu uvedené v článku 12, ale upozorňuje na jeho mimoriadne nezrozumiteľné znenie, ktoré, ako sa zdá, uprednostňuje využívanie telefonických hovorov z „neznámeho“ alebo „skrytého“ čísla, akoby bola anonymita odporúčaná, hoci zásadou by mala byť identifikácia hovorov.

6.10.

Nevyžiadaná komunikácia (článok 16) a priamy marketing sú už predmetom smernice o „nekalých obchodných praktikách“ (7). Režim by mal byť štandardne založený na súhlase (opt-in), a nie na odmietnutí (opt-out).

6.11.

Hodnotenie Komisie je naplánované každé tri roky, čo je však v digitálnej oblasti príliš dlhá lehota. Po dvoch hodnoteniach bude digitálny svet úplne zmenený. Delegovanie právomoci (článok 25), ktoré bude možné rozšíriť, však musí byť časovo obmedzené s možnosťou jeho obnovenia.

6.12.

V právnych predpisoch sa musia zachovať práva užívateľov (článok 3 ZEÚ), pričom treba zároveň zaručiť právnu stabilitu potrebnú na obchodnú činnosť. EHSV vyjadruje poľutovanie nad tým, že sa návrh nezmieňuje o obehu údajov medzi prístrojmi (M2M); treba odkázať na európsky kódex elektronickej komunikácie (návrh smernice, články 2 a 4).

6.12.1.

Internet vecí (IoT) (8) povedie k tomu, že z veľkých dát (big data) sa stanú obrovské dáta (huge data) a následne všedáta (all data). To je kľúčové pre budúce vlny inovácií. Prístroje – malé či veľké – budú teda komunikovať a prenášať medzi sebou súkromné údaje (vaše hodinky zaznamenajú tep a pošlú do počítača vášho lekára). Mnohí účastníci digitálneho trhu spustili svoju vlastnú platformu vyhradenú pre pripojené prístroje: Amazon, Microsoft, Intel, či Orange a La Poste vo Francúzsku.

6.12.2.

V každodennom živote sa internet vecí môže ľahko stať predmetom neoprávneného vniknutia so zlým úmyslom a objem osobných údajov, ktoré môžu byť zozbierané na diaľku narastá (lokalizačné údaje, údaje o zdravotnom stave, obrazové a zvukové súbory). Nedostatky v oblasti ochrany údajov zaujímajú okrem iných poisťovacie spoločnosti, ktoré začínajú svojim zákazníkom ponúkať, aby sa vybavili pripojenými zariadeniami a prevzali zodpovednosť za svoje správanie.

6.13.

Viaceré veľké internetové spoločnosti sa snažia vyvinúť z pôvodnej aplikácie platformu: takto treba rozlišovať medzi aplikáciou Facebook a platformou Facebook, ktorá vývojárom umožňuje vyvíjať aplikácie dostupné z profilov užívateľov. Samotný Amazon bol webovou aplikáciou špecializujúcou sa na online predaj. V súčasnosti je z neho platforma, ktorá umožňuje tretím stranám – od jednotlivcov až po veľké skupiny – uvádzať na trh svoje produkty využívajúc pritom zdroje Amazonu: jeho dobré meno, logistiku atď. Súčasťou tohto všetkého je prenos osobných údajov.

6.14.

Hospodárstvo spoločného využívania zdrojov registruje nárast platforiem: „platforma, v rámci ktorej sa najmä elektronickými prostriedkami dostáva do kontaktu široká škála osôb, ktoré majú k dispozícii tovar alebo služby, a široká škála používateľov (9)“. Napriek tomu, že sú vyhľadávané z dôvodu činnosti a pracovných miest, ktoré prinášajú, EHSV sa pýta, ako možno – pri uplatňovaní všeobecného nariadenia o ochrane údajov a tohto nariadenia – kontrolovať údaje, ktoré tieto platformy generujú.