18.2.2012   

SK

Úradný vestník Európskej únie

C 48/2

1.

Komisia prijala 29. augusta 2011 návrh nariadenia (ďalej len „návrh“ alebo „navrhované nariadenie“) Európskeho parlamentu a Rady o administratívnej spolupráci prostredníctvom informačného systému o vnútornom trhu (ďalej len „nariadenie o IMI“) (3). Návrh bol v ten istý deň odoslaný európskemu dozornému úradníkovi pre ochranu údajov na konzultáciu.

2.

Pred prijatím návrhu mal európsky dozorný úradník pre ochranu údajov možnosť návrh neformálne pripomienkovať. Ešte predtým pripomienkoval oznámenie Komisie s názvom Lepšia správa jednotného trhu prostredníctvom posilnenej administratívnej spolupráce: Stratégia rozširovania a rozvíjania informačného systému o vnútornom trhu (IMI) (ďalej len „oznámenie o stratégii IMI“) (4), ktoré návrhu predchádzalo. Mnohé z jeho pripomienok sa pri príprave návrhu zohľadnili, a tým sa posilnili záruky na ochranu údajov v návrhu.

3.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že s ním Komisia uskutočnila formálne konzultácie a že bol do preambuly návrhu zahrnutý aj odkaz na toto stanovisko.

4.

Systém IMI je nástroj informačných technológií, ktorý príslušným orgánom členských štátov umožňuje vymieňať si navzájom informácie pri uplatňovaní právnych predpisov o vnútornom trhu. Systém IMI umožňuje vnútroštátnym, regionálnym a miestnym orgánom v členských štátoch EÚ rýchlu a jednoduchú komunikáciu s ich partnermi v iných európskych krajinách. K tomu patrí aj spracovanie príslušných osobných údajov vrátane citlivých údajov.

5.

Systém IMI bol pôvodne navrhnutý ako komunikačný nástroj na vzájomnú výmenu informácií medzi dvoma subjektmi podľa ustanovení smernice o uznávaní odborných kvalifikácií (5) a smernice o službách (6). Systém IMI pomáha používateľom vyhľadať ten správny orgán v inej krajine a komunikovať s ním pomocou vopred preložených súborov štandardných otázok a odpovedí (7).

6.

Systém IMI má však predstavovať flexibilný horizontálny systém, ktorý poskytuje podporu v mnohých oblastiach právnych predpisov o vnútornom trhu. Predpokladá sa, že jeho rozsah použitia sa bude postupne rozširovať aj na ďalšie legislatívne oblasti.

7.

Plánuje sa tiež rozšírenie funkcií systému IMI. Okrem vzájomnej výmeny informácií medzi dvoma subjektmi sa počíta aj s inými funkciami, resp. sa už zaviedli, ako napríklad oznamovacie postupy, mechanizmy varovania, opatrenia vzájomnej pomoci a riešenie problémov (8), ako aj databázy informácií pre budúce potreby orgánov IMI (9). Mnohé, nie však všetky, tieto funkcie sa môžu týkať aj spracovania osobných údajov.

8.

Cieľom návrhu je poskytnúť v rámci systému IMI jednoznačný právny základ a komplexný rámec ochrany údajov.

9.

Na jar 2007 si Komisia vyžiadala stanovisko pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 (ďalej len „pracovná skupina zriadená podľa článku 29“), aby mohla preskúmať dôsledky ochrany údajov v systéme IMI. Pracovná skupina zriadená podľa článku 29 vydala svoje stanovisko 20. septembra 2007 (10). V stanovisku sa Komisii odporúčalo zabezpečiť jednoznačnejší právny základ a konkrétne záruky na ochranu údajov pri výmene údajov v systéme IMI. Na práci podskupiny zaoberajúcej sa systémom IMI sa aktívne podieľal aj európsky dozorný úradník pre ochranu údajov, ktorý podporil závery stanoviska pracovnej skupiny zriadenej podľa článku 29.

10.

Európsky dozorný úradník pre ochranu údajov naďalej poskytoval Komisii usmernenia v oblastiach zabezpečenia podrobného a komplexnejšieho rámca ochrany údajov v systéme IMI (11). Pri tejto spolupráci, a najmä od vydania svojho stanoviska k implementácii informačného systému o vnútornom trhu z 22. februára 2008 (12), európsky dozorný úradník pre ochranu údajov neustále obhajuje potrebu vypracovať na základe bežného legislatívneho postupu nový právny nástroj s cieľom zaviesť komplexnejší rámec pre ochranu údajov v systéme IMI, ako aj na zabezpečenie právnej istoty. Návrh takého právneho nástroja sa v súčasnosti predkladá (13).

11.

Všeobecné stanovisko európskeho dozorného úradníka pre ochranu údajov k systému IMI je kladné. Európsky dozorný úradník pre ochranu údajov podporuje ciele Komisie pri zavádzaní elektronického systému výmeny informácií a regulovaní jeho aspektov ochrany údajov. Takýto jednoduchý systém prispeje k zvýšeniu efektívnosti spolupráce a zároveň môže pomôcť zabezpečiť jednotný súlad s platnými zákonmi o ochrane údajov. Môže sa to dosiahnuť prostredníctvom jednoznačného rámca, v ktorom sa stanoví, aké informácie sa budú vymieňať, s kým a za akých podmienok.

12.

Európsky dozorný úradník pre ochranu údajov víta aj skutočnosť, že Komisia navrhuje horizontálny právny nástroj pre systém IMI v podobe nariadenia Rady a Parlamentu. S potešením konštatuje, že v návrhu sa komplexne zdôrazňujú najdôležitejšie oblasti ochrany údajov v rámci systému IMI. Jeho pripomienky treba chápať v tomto pozitívnom kontexte.

13.

Európsky dozorný úradník pre ochranu údajov však upozorňuje, že zavedenie jednotného centralizovaného elektronického systému pre viaceré oblasti administratívnej spolupráce predstavuje aj riziká. Ide najmä o riziko, že sa bude možno vymieňať viac údajov a vo väčšom rozsahu, než bude nevyhnutne potrebné na účely efektívnej spolupráce, a že údaje, a to aj možné zastarané a nepresné údaje, budú možno v elektronickom systéme zostávať dlhšie, než bude potrebné. Citlivou otázkou je aj bezpečnosť informačného systému prístupného v 27 členských štátoch, keďže celý systém bude len taký bezpečný ako najslabšie ohnivko jeho reťazca.

14.

Vzhľadom na právny rámec systému IMI, ktorý sa má zriadiť na základe navrhovaného nariadenia, upriamuje európsky dozorný úradník pre ochranu údajov pozornosť na dve hlavné výzvy:

15.

Tieto hlavné výzvy predstavujú dôležité referenčné body a vo veľkej miere určujú, aký prístup zaujme európsky dozorný úradník pre ochranu údajov v tomto stanovisku.

16.

Po prvé, IMI je systém, ktorý sa používa v 27 členských štátoch. V súčasnom štádiu harmonizácie európskych zákonov existujú medzi jednotlivými členskými štátmi významné rozdiely týkajúce sa ich administratívnych postupov a zákonov o ochrane údajov. Systém IMI musí byť vytvorený tak, aby mohli používatelia vo všetkých 27 členských štátoch pri výmene osobných údajov prostredníctvom systému IMI dodržiavať podmienky vyplývajúce z jednotlivých vnútroštátnych zákonov vrátane vnútroštátnych zákonov o ochrane údajov. Dotknuté osoby musia mať zároveň záruku, že ich údaje budú jednotne chránené bez ohľadu na postupovanie údajov do iného členského štátu prostredníctvom systému IMI. Jednotnosť, pri ktorej sa však zároveň musí rešpektovať rozmanitosť, patrí pri vytváraní technickej a právnej infraštruktúry v rámci systému IMI k hlavným výzvam. Neodôvodnenej zložitosti a rozdrobenosti je potrebné sa vyhnúť. Operácie spracovania údajov v rámci systému IMI musia byť transparentné, pričom je potrebné jasne stanoviť rozhodovaciu zodpovednosť v oblastiach návrhu systému, jeho každodennej údržby a používania, ako aj dohľadu na ním.

17.

Po druhé, na rozdiel od iných veľkých systémov IT, napríklad Schengenského informačného systému, vízového informačného systému, colného informačného systému alebo systému Eurodac, ktoré sú zamerané na spoluprácu v konkrétnych, jasne vymedzených oblastiach, predstavuje systém IMI horizontálny nástroj na výmenu informácií a môže sa používať na zjednodušenie výmeny informácií v rôznych politických oblastiach. Predpokladá sa tiež, že rozsah systému IMI sa bude postupne rozširovať na ďalšie politické oblasti a môžu sa zmeniť aj jeho funkcie, aby tak zahŕňali aj nešpecifikované typy administratívnej spolupráce. Charakteristické vlastnosti systému IMI sťažujú jednoznačné vymedzenie funkcií systému a výmeny údajov, ktoré sa v systéme môžu uskutočňovať. Preto je tiež náročnejšie jednoznačne vymedziť príslušné záruky na ochranu údajov.

18.

Európsky dozorný úradník pre ochranu údajov uznáva, že je potrebná flexibilita, a berie na vedomie želanie Komisie pripraviť nariadenie tak, aby bolo „odolné voči budúcim zmenám“. To by však nemalo viesť k nejednoznačnosti alebo právnej neistote pri funkciách systému a zárukách na ochranu údajov, ktoré je potrebné zabezpečiť. Z tohto dôvodu by malo byť nariadenie vždy, keď to bude možné, konkrétnejšie a týkať sa širších súvislostí, nielen hlavných zásad ochrany údajov stanovených v smernici 95/46/ES a v nariadení (ES) č. 45/2001 (14).

19.

Európsky dozorný úradník pre ochranu údajov víta jednoznačné vymedzenie aktuálneho rozsahu systému IMI v návrhu a uvedenie príslušných aktov Únie v prílohe I, na základe ktorých sa môžu vymieňať informácie. Patrí k nim spolupráca za konkrétnych podmienok stanovených v smernici o uznávaní odborných kvalifikácií, smernici o službách a smernici o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (15).

20.

Keďže sa očakáva rozšírenie rozsahu systému IMI, v prílohe II sa uvádzajú možné cieľové oblasti rozšírenia. Položky z prílohy II sa môžu do prílohy I presunúť prostredníctvom delegovaného aktu prijatého Komisiou po vykonaní posúdenia vplyvu (16).

21.

Európsky dozorný úradník pre ochranu údajov víta tento postup, keďže sa ním i) jednoznačne vymedzuje rozsah systému IMI, ii) zabezpečuje transparentnosť a zároveň iii) umožňuje flexibilita v prípadoch použitia systému IMI na dodatočnú výmenu informácií v budúcnosti. Tiež sa ním zabezpečí, že žiadna výmena informácií prostredníctvom systému IMI sa nebude vykonávať bez existencie i) príslušného právneho základu v podobe konkrétnych právnych predpisov o vnútornom trhu, ktoré umožňujú alebo splnomocňujú výmenu informácií (17), a ii) odkazu na tento právny základ v prílohe I k uvedenému nariadeniu.

22.

Vzhľadom na uvedené stále existujú neistoty týkajúce sa rozsahu systému IMI, konkrétne pri politických oblastiach, o ktoré sa môže systém IMI rozšíriť, a funkciách, ktoré systém IMI obsahuje alebo môže obsahovať.

23.

Po prvé, nemožno vylúčiť, že rozsah systému IMI sa rozšíri aj za hranice politických oblastí uvedených v prílohách I a II. Môže sa to stať, ak bude systém IMI poskytovať pre určité typy výmeny informácií, ktoré nebudú súčasťou delegovaného aktu Komisie, ale budú súčasťou aktu prijatého Parlamentom a Radou v prípade, s ktorým sa v prílohe II nepočíta (18).

24.

Po druhé, hoci rozšírenie rozsahu o nové politické oblasti vyžaduje v niektorých prípadoch len zmeny existujúcich funkcií systému, alebo dokonca nevyžaduje žiadne takéto zmeny (19), iné rozšírenia môžu vyžadovať nové a iné funkcie alebo dôležité zmeny existujúcich funkcií:

25.

Európsky dozorný úradník pre ochranu údajov odporúča, s cieľom vyriešiť tieto neistoty, použiť dvojsmerný prístup. Po prvé navrhuje, aby sa objasnili a špecifikovali už predpokladané funkcie, a po druhé navrhuje, aby sa počas budúceho vývoja systému IMI dôkladne zvážilo uplatňovanie primeraných procedurálnych záruk s cieľom zabezpečiť ochranu údajov.

26.

Európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení konkrétnejšie vymedzovali už známe funkcie, ako napríklad výmena informácií uvedená v prílohách I a II.

27.

Konkrétnejšie a jasnejšie opatrenia je napríklad potrebné predpokladať pri začlenení siete SOLVIT (22) do systému IMI (ustanovenia týkajúce sa vonkajších aktérov a riešenia problémov) a pri adresároch odborníkov a poskytovateľov služieb (ustanovenia týkajúce sa databáz).

28.

Ďalšie objasnenia je potrebné poskytnúť v súvislosti s varovaniami, ktoré sa už na základe smernice o službách používajú, a ktoré sa môžu začleniť aj do ďalších politických oblastí. Funkciu varovania je potrebné jednoznačnejšie vymedziť najmä v článku 5 (spolu s inými funkciami, ako napríklad so vzájomnou výmenou informácií medzi dvoma subjektmi a databázami). Tiež je potrebné objasniť prístupové práva a obdobia uchovávania údajov v prípade varovaní (23).

29.

Ak má byť nariadenie odolné voči budúcim zmenám v oblasti pridávania funkcií, ktoré môžu byť z dlhodobého hľadiska potrebné, a umožňovať pridávanie funkcií, ktoré ešte nie sú v nariadení vymedzené, malo by obsahovať primerané procedurálne záruky, ktorými sa zabezpečí zavedenie vhodných ustanovení na implementáciu potrebných bezpečnostných opatrení na ochranu údajov ešte pred začlenením novej funkcie. To isté by sa malo týkať rozšírení o nové politické oblasti, ak majú vplyv na ochranu údajov.

30.

Európsky dozorný úradník pre ochranu údajov odporúča, aby sa vypracoval jednoznačný mechanizmus, ktorým sa zabezpečí dôkladné vyhodnotenie otázok ochrany údajov pred rozšírením funkcií alebo rozšírením systému na nové politické oblasti, a aby sa v prípade potreby začlenili do architektúry systému IMI dodatočné záruky alebo technické opatrenia. Ide najmä o to, že:

31.

Tieto procedurálne záruky (posúdenie vplyvu na ochranu údajov a konzultácie) by sa mali uplatňovať na rozšírenie prostredníctvom delegovaného aktu Komisie (presun položky z prílohy II do prílohy I), aj na rozšírenie prostredníctvom nariadenia Parlamentu a Rady vrátane položky, ktorá nie je uvedená v prílohe II.

32.

A nakoniec európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení objasnilo, či budú do rozsahu delegovaných aktov, ktoré môže prijímať Komisia podľa článku 23, začlenené aj ďalšie záležitosti okrem presúvania položiek z prílohy II do prílohy I. Ak je to realizovateľné, v nariadení by sa mala Komisia splnomocňovať na prijímanie konkrétnych vykonávacích alebo delegovaných aktov, v ktorých sa budú bližšie vymedzovať ďalšie funkcie systému alebo riešiť otázky ochrany údajov, ktoré sa môžu v budúcnosti vyskytnúť.

33.

Európsky dozorný úradník pre ochranu údajov víta, že objasneniu funkcií a povinností rôznych subjektov zapojených do systému IMI je venovaná celá kapitola (kapitola II). Tieto ustanovenia možno ďalej posilniť nasledujúcim spôsobom.

34.

V článku 9 sa uvádzajú povinnosti vyplývajúce z kontrolnej úlohy Komisie. Európsky dozorný úradník pre ochranu údajov odporúča začleniť ďalšie opatrenia týkajúce sa úlohy Komisie pri zabezpečovaní uplatňovania zásady ochrany súkromia už v štádiu návrhu pri navrhovaní systému, ako aj jej koordinačnej úlohy v oblasti ochrany údajov.

35.

Európsky dozorný úradník pre ochranu údajov s potešením konštatuje, že k úlohám koordinátorov systému IMI uvedeným v článku 7 teraz patria aj koordinačné úlohy v oblasti ochrany údajov vrátane úlohy kontaktnej osoby pre Komisiu. Odporúča ďalej objasniť to, aby tieto koordinačné úlohy obsahovali aj kontakty s vnútroštátnymi orgánmi na ochranu údajov.

36.

V článku 10 sa uvádzajú záruky týkajúce sa prístupových práv. Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že po jeho pripomienkach sa tieto ustanovenia zásadne posilnili.

37.

Vzhľadom na horizontálny a rozširujúci charakter systému IMI je dôležité zabezpečiť, aby systém dokázal garantovať uplatňovanie „čínskych múrov“, na základe ktorých sa spracúvaná informácia z určitej politickej oblasti obmedzuje iba na danú politickú oblasť: používatelia systému IMI by mali i) získať prístup iba k informáciám, ktoré potrebujú poznať, a ii) ktoré sú obmedzené na jednu politickú oblasť.

38.

Ak je nevyhnutné, aby mal používateľ systému IMI povolenie na prístup k informáciám z niekoľkých politických oblastí (čo môže byť prípad niektorých miestnych štátnych úradov), minimálnou požiadavkou by malo byť, že v systéme sa neumožňuje kombinácia informácií pochádzajúcich z rôznych politických oblastí. Ak sú potrebné výnimky, mali by sa stanoviť vo vykonávacích právnych predpisoch alebo v akte Únie, pričom by sa mala prísne dodržiavať zásada obmedzenia účelu.

39.

Tieto zásady sú už začlenené do znenia nariadenia, mohli by sa však ešte posilniť a viac sfunkčniť.

40.

Európsky dozorný úradník pre ochranu údajov víta v oblasti prístupových práv Komisie skutočnosť, že v článku 9 ods. 2 a 4 a v článku 10 ods. 6 návrhu sa stanovuje, že Komisia nebude mať prístup k osobným údajom, ktoré sa vymieňajú medzi členskými štátmi, s výnimkou prípadov, keď je Komisia účastníkom administratívneho postupu spolupráce.

41.

Prístupové práva vonkajších aktérov a prístupové práva k varovaniam je tiež potrebné ďalej vymedziť (24). V oblasti varovaní európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení stanovilo, že varovania by sa nemali automaticky odosielať všetkým príslušným orgánom vo všetkých členských štátoch, ale len zainteresovaným orgánom, ktoré o nich musia vedieť. Tým sa nevylučuje odosielanie varovaní všetkým členským štátom v určitých prípadoch alebo v určitých politických oblastiach, ak sa týkajú všetkých orgánov. Na rozhodnutie o tom, či má mať Komisia prístupové práva k varovaniam, je potrebná analýza na základe jednotlivých prípadov.

42.

V článku 13 návrhu sa rozširuje dĺžka uloženia údajov v systéme IMI zo súčasných šiestich mesiacov (počíta sa od uzavretia prípadu) na päť rokov, pričom údaje sa po 18 mesiacoch tzv. zablokujú. Počas obdobia zablokovania sú údaje dostupné len na základe osobitného postupu získavania údajov, ktorý možno iniciovať na žiadosť dotknutej osoby alebo v prípade, ak sú údaje potrebné na „na účely dokladovania výmeny informácií prostredníctvom IMI“.

43.

V dôsledku toho sa údaje v systéme IMI ukladajú počas troch rôznych období:

44.

Okrem týchto všeobecných pravidiel umožňujú ustanovenia článku 13 ods. 2 uchovávanie údajov v „databáze informácií“ tak dlho, ako je to potrebné na tento účel, a to buď so súhlasom dotknutej osoby, alebo ak „je to nevyhnutné na splnenie ustanovení právneho aktu Únie“. V článku 14 sa okrem toho stanovuje podobný blokovací mechanizmus na uchovávanie osobných údajov používateľov systému IMI, a to v trvaní piatich rokov od dátumu, ku ktorému prestanú byť používateľmi systému IMI.

45.

Žiadne ďalšie osobitné ustanovenia neexistujú. Preto sa zrejme všeobecné pravidlá majú uplatňovať nielen na vzájomnú výmenu údajov medzi dvoma subjektmi, ale aj na varovania, riešenie problémov [ako v prípade siete SOLVIT (26)] a všetky ostatné funkcie, ktoré sa týkajú spracovania osobných údajov.

46.

Európsky dozorný úradník pre ochranu údajov má v súvislosti s obdobiami uchovávania údajov viacero obáv, a to vzhľadom na článok 6 ods. 1 písm. e) smernice 95/46/ES a na článok 4 ods. 1 písm. e) nariadenia (ES) č. 45/2001, v ktorých sa vyžaduje, aby sa osobné údaje neuchovávali dlhšie, než je potrebné na účely, na ktoré sa údaje zbierali alebo ďalej spracúvali.

47.

V prípade prvého obdobia, od vloženia informácií do uzavretia prípadu, sa európsky dozorný úradník pre ochranu údajov obáva rizika, že niektoré prípady sa možno nikdy neuzavrú, alebo sa uzavrú až po neúmerne dlhom časovom období. V dôsledku toho môžu niektoré osobné údaje zostať v databáze dlhšie, než je potrebné, alebo dokonca neobmedzene dlhý čas.

48.

Európsky dozorný úradník pre ochranu údajov chápe, že Komisia dosiahla na praktickej úrovni pokrok v oblasti zníženia počtu nevybavených žiadostí v systéme IMI a že je zavedený systém na vzájomnú výmenu údajov medzi dvoma subjektmi s cieľom monitorovať včasné uzavretia prípadov a pravidelne pripomínať túto povinnosť subjektom, ktoré ju neplnia. Okrem toho nová zmena vo funkciách systému po zavedení prístupu ochrany súkromia už v štádiu návrhu umožňuje stlačením jedného tlačidla prijať odpoveď a zároveň uzavrieť prípad. Predtým sa vyžadovali dva samostatné kroky, čo mohlo mať za následok existenciu neaktívnych prípadov v systéme.

49.

Európsky dozorný úradník pre ochranu údajov víta toto úsilie vynaložené na praktickej úrovni. Odporúča však, aby znenie samotného nariadenia obsahovalo záruky, že prípady sa v systéme IMI včas uzavrú a že neaktívne prípady (prípady, v ktorých sa v poslednom období nevykonávala žiadna činnosť) sa z databázy vymažú.

50.

Európsky dozorný úradník pre ochranu údajov vyzýva na zváženie primeraného odôvodnenia predĺženia súčasnej lehoty šiestich mesiacov na obdobie 18 mesiacov po uzavretí prípadu a v prípade existencie vhodného odôvodnenia na zváženie toho, či sa vzťahuje iba na vzájomnú výmenu informácií medzi dvoma subjektmi alebo aj na iné typy funkcií. Systém IMI existuje už niekoľko rokov a pri tomto postupe je potrebné zohľadniť nazbierané praktické skúsenosti.

51.

Ak systém IMI naďalej zostane nástrojom na výmenu informácií (opakom systému na spracovanie súborov, databázy alebo archivačného systému) a tiež a predpokladu, že príslušné orgány budú mať k dispozícii prostriedky na získavanie informácií zo systému [v elektronickej alebo papierovej podobe, v každom prípade však tak, aby mohli využívať získané informácie ako dôkaz (27)], potom je uchovávanie údajov v systéme IMI po uzavretí prípadu v podstate nepotrebné.

52.

Pri vzájomnej výmene informácií medzi dvoma subjektmi môže (primerane krátke) obdobie uchovávania údajov po uzavretí prípadu odôvodniť potenciálna potreba odpovedať na ďalšie otázky aj po prijatí pôvodnej odpovede a uzavretí prípadu. Súčasné obdobie šiestich mesiacov sa zdá byť prima facie na tento účel viac ako veľkorysé.

53.

Európsky dozorný úradník pre ochranu údajov sa domnieva, že Komisia neposkytla dostatočné odôvodnenie ani v prípade nevyhnutnosti a primeranosti uchovávať zablokované údaje na obdobie piatich rokov.

54.

Dôvodová správa na strane 8 obsahuje odkaz na rozhodnutie Súdneho dvora vo veci Rijkeboer  (28). Európsky dozorný úradník pre ochranu údajov odporúča, aby Komisia prehodnotila dôsledky tohto prípadu na uchovávanie údajov v systéme IMI. Podľa jeho názoru sa na základe rozhodnutia vo veci Rijkeboer nevyžaduje, aby bol systém IMI nakonfigurovaný na uchovávanie údajov v období piatich rokov po uzavretí prípadu.

55.

Európsky dozorný úradník pre ochranu údajov nepovažuje odkaz na rozsudok vo veci Rijkeboer alebo na práva dotknutých osôb na prístup k svojim údajom za dostatočné a primerané odôvodnenie uchovávania údajov v systéme IMI na obdobie piatich rokov od uzavretia prípadu. Menší zásah môže predstavovať možnosť uchovávať iba „údaje z protokolov“ (prísne vymedzené tak, aby neobsahovali žiadny obsah týkajúci sa okrem iného príloh alebo citlivých údajov), ktorá by sa mala zvážiť. Európsky dozorný úradník pre ochranu údajov však v tomto štádiu nie je presvedčený o nevyhnutnosti či primeranosti ani takéhoto opatrenia.

56.

Problematické je aj nedostatočné objasnenie toho, kto môže získať prístup k zablokovaným údajom a na aké účely. Jednoduchý odkaz na „účely dokladovania výmeny informácií“ (ako v článku 13 ods. 3) nie je dostatočný. Ak sa ustanovenie o zablokovaní zachová, v každom prípade je potrebné lepšie stanoviť, kto môže požiadať o dokladovanie výmeny informácií a v akej súvislosti. Budú mať aj iné osoby okrem dotknutých osôb právo požadovať prístup? Ak áno, budú to výhradne príslušné orgány a výhradne na účely doloženia konkrétnej výmeny informácií s konkrétnym obsahom (ak s takou výmenou informácií súhlasili príslušné orgány, kto odoslal alebo prijal správu)? Predpokladajú sa aj ďalší používatelia „na účely dokladovania výmeny informácií“ (29)?

57.

Európsky dozorný úradník pre ochranu údajov odporúča jednoznačnejšie oddeliť varovania od databáz informácií. Jedna vec je používať varovanie ako nástroj oznamovania konkrétnych priestupkov alebo podozrení príslušným orgánom a druhá ukladať varovania do databázy na dlhšie alebo dokonca neobmedzené časové obdobie. Ukladanie informácií o varovaniach predstavuje ďalšie obavy a bude vyžadovať osobitné pravidlá a dodatočné záruky na ochranu údajov.

58.

Preto európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení ako základné pravidlo stanovovalo, že i) ak nie je uvedené inak vo vertikálnych právnych predpisoch a vzhľadom na primerané dodatočné záruky, na varovania by sa mala vzťahovať šesťmesačná lehota uchovávania, pričom je dôležité, že ii) táto lehota by sa mala počítať od času odoslania varovania.

59.

Ako druhú možnosť európsky dozorný úradník pre ochranu údajov odporúča, aby sa v navrhovanom nariadení konkrétne stanovili podrobné záruky týkajúce sa varovaní. Európsky dozorný úradník pre ochranu údajov je pripravený v prípade uplatnenia tohto druhého prístupu poskytovať Komisii a zákonodarcom ďalšie poradenstvo v tomto smere.

60.

Európsky dozorný úradník pre ochranu údajov víta oddelenie osobných údajov podľa článku 8 ods. 1 smernice 95/46/ES od osobných údajov podľa článku 8 ods. 5. Víta tiež jednoznačné ustanovenie v nariadení o tom, že osobitné kategórie údajov sa môžu spracúvať len na základe osobitných podmienok uvedených v článku 8 smernice 95/46/ES.

61.

V tomto zmysle sa európsky dozorný úradník pre ochranu údajov domnieva, že v systéme IMI sa bude spracúvať veľké množstvo citlivých údajov podľa článku 8 ods. 2 smernice 95/46/ES. Systém IMI bol naozaj od úplného začiatku, čiže od prvého spustenia s cieľom poskytovať podporu pri administratívnej spolupráci na základe smernice o službách a smernice o uznávaní odborných kvalifikácií, vytvorený na spracúvanie týchto údajov, a to najmä údajov týkajúcich sa záznamov o trestných činoch alebo administratívnych priestupkoch, ktoré môžu mať vplyv na právo odborníka alebo poskytovateľa služieb na vykonávanie práce alebo poskytovanie služieb v inom členskom štáte.

62.

Po rozšírení systému IMI o modul pre sieť SOLVIT (30) sa bude v tomto systéme spracúvať oveľa väčší objem citlivých údajov podľa článku 8 ods. 1 (najmä údajov týkajúcich sa zdravia). Nedá sa tiež vylúčiť, že v budúcnosti sa budú prostredníctvom systému IMI ad hoc alebo aj systematicky zbierať ďalšie citlivé údaje.

63.

Európsky dozorný úradník pre ochranu údajov s potešením konštatuje, že článok 16 sa osobitne týka povinnosti Komisie postupovať podľa svojich vlastných vnútorných pravidiel prijatých s cieľom dosiahnuť súlad s článkom 22 nariadenia (ES) č. 45/2001, ako aj prijať pre systém IMI bezpečnostný plán a neustále ho aktualizovať.

64.

S cieľom posilniť tieto ustanovenia európsky dozorný úradník pre ochranu údajov odporúča v nariadení vyžadovať, aby sa pred rozšírením systému IMI o novú politickú oblasť alebo pred pridaním novej funkcie, ktorá má vplyv na osobné údaje, vyžadovalo posúdenie rizika a preskúmanie bezpečnostného plánu (31).

65.

Európsky dozorný úradník pre ochranu údajov okrem toho poznamenáva, že v článku 16 a odôvodnení 16 sa odkazuje iba na povinnosti Komisie a na dozornú úlohu európskeho dozorného úradníka pre ochranu údajov. Tento odkaz môže byť zavádzajúci. Napriek tomu, že prevádzkovateľom systému je Komisia, ktorá je ako taká väčšou mierou zodpovedná za udržanie bezpečnosti systému IMI, svoje povinnosti majú aj príslušné orgány, nad ktorými vykonávajú dohľad vnútroštátne orgány na ochranu údajov. Preto by sa v článku 16 a odôvodnení 16 malo odkazovať aj na povinnosti v oblasti bezpečnosti, ktoré sa vzťahujú na ostatné subjekty systému IMI podľa smernice 95/46/ES a na právomoci dohľadu vnútroštátnych orgánov na ochranu údajov.

66.

Európsky dozorný úradník pre ochranu údajov so zreteľom na článok 17 ods. 1 odporúča začleniť do nariadenia konkrétnejšie opatrenia, aby sa zabezpečilo, že dotknuté osoby budú plne informované o spracovaní svojich údajov v systéme IMI. Vzhľadom na to, že systém IMI používajú viaceré príslušné orgány vrátane množstva malých miestnych štátnych úradov, ktoré nemajú dostatočné zdroje, dôkladne sa odporúča koordinovať ustanovenie o oznamovaní na vnútroštátnej úrovni.

67.

V článku 17 ods. 2 písm. a) sa vyžaduje, aby Komisia poskytovala vyhlásenie o dôvernosti údajov podľa článkov 10 a 11 nariadenia (ES) č. 45/2001 týkajúce sa jej vlastných činností spracovania údajov. V článku 17 ods. 2 písm. b) sa okrem toho vyžaduje, aby Komisia poskytovala aj „informácie o aspektoch ochrany údajov v rámci postupov administratívnej spolupráce v IMI, ako sa uvádza v článku 12“. A nakoniec, v článku 17 ods. 2 písm. c) sa vyžaduje, aby Komisia poskytovala informácie o „výnimkách alebo obmedzeniach v právach dotknutých osôb, ako sa uvádza v článku 19“.

68.

Európsky dozorný úradník pre ochranu údajov s potešením reaguje na prítomnosť ustanovení, ktoré prispievajú k transparentnosti operácií spracovania údajov v systéme IMI. Ako je uvedené v časti 2.1, v prípade systému IT, ktorý sa používa v 27 rôznych členských štátoch, je najdôležitejšie zabezpečiť jednotnosť činnosti systému, uplatňovanie záruk na ochranu údajov a informovanie dotknutých osôb (32).

69.

Vzhľadom na uvedené skutočnosti je potrebné posilniť ustanovenia článku 17 ods. 2. Komisia má ako prevádzkovateľ systému najlepšiu východiskovú pozíciu na to, aby pri poskytovaní prvej vrstvy upozornenia na ochranu údajov a ďalších príslušných informácií dotknutým osobám na svojej viacjazyčnej stránke prevzala iniciatívnu úlohu, a to aj v mene príslušných orgánov, čiže aby poskytovala aj informácie vyžadované na základe článku 10 alebo 11 smernice 95/46/ES. Oznámenia poskytované príslušnými orgánmi v členských štátoch potom budú môcť jednoducho odkazovať na oznámenie poskytované Komisiou, pričom sa len podľa potreby doplnia tak, aby boli v súlade s osobitnými dodatočnými informáciami, ktoré sa vyžadujú na základe vnútroštátneho práva.

70.

V článku 17 ods. 2 písm. b) je okrem toho potrebné objasniť, že informácie poskytované Komisiou sa budú komplexne týkať všetkých politických oblastí, všetkých typov postupov administratívnej spolupráce a všetkých funkcií v systéme IMI a budú konkrétne obsahovať kategórie údajov, ktoré sa môžu spracúvať. K tomu by malo patriť aj zverejnenie súborov otázok používaných pri vzájomnej spolupráci medzi dvoma subjektmi na webovej stránke systému IMI, ako sa už v súčasnosti v praxi uskutočňuje.

71.

Európsky dozorný úradník pre ochranu údajov chce znovu upozorniť na skutočnosť uvedenú v časti 2.1, že je dôležité zabezpečiť jednotnú činnosť systému a uplatňovanie záruk na ochranu údajov. Z tohto dôvodu sa európsky dozorný úradník pre ochranu údajov domnieva, že je potrebné ďalej špecifikovať ustanovenia týkajúce sa práva na prístup, opravu a vymazanie.

72.

V článku 18 je potrebné stanoviť, na koho sa môžu dotknuté osoby obracať so žiadosťami o prístup. Je potrebné jednoznačne stanoviť prístup k údajom počas rôznych časových období:

73.

V nariadení by sa tiež malo vyžadovať, aby príslušné orgány podľa potreby spolupracovali pri spracovaní žiadostí o prístup. Opravy a vymazania je potrebné vykonávať „čo najskôr, ale najneskôr do 60 dní“, nie iba „do 60 dní“. Pri spolupráci orgánov v oblasti prístupových práv je tiež potrebné začleniť odkaz na možnosť vytvárania modulu ochrany údajov a možnosť riešení ochrany súkromia už v štádiu návrhu, ako aj na splnomocnenie dotknutej osoby, napríklad tým, že sa jej v prípade potreby a realizovateľnosti poskytne priamy prístup k údajom.

74.

V posledných rokoch sa vyvinul model koordinovaného dohľadu. Tento model dohľadu, ako sa v súčasnosti využíva v systéme Eurodac a častiach colného informačného systému, sa prijal aj pre vízový informačný systém (VIS) a Schengenský informačný systém druhej generácie (SIS-II).

75.

Tento model má tri vrstvy:

76.

Tento model sa ukázal ako úspešný a efektívny a malo by sa s ním počítať v ďalších informačných systémoch v budúcnosti.

77.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že v článku 20 návrhu sa konkrétne ustanovuje koordinovaný dohľad medzi vnútroštátnymi orgánmi na ochranu údajov a že európsky dozorný úradník pre ochranu údajov vo všeobecnosti postupuje podľa modelu stanoveného v nariadeniach o systémoch VIS a SIS II (33).

78.

Európsky dozorný úradník pre ochranu údajov chce v určitých bodoch posilniť ustanovenia o koordinovanom dohľade a na tento účel podporuje podobné ustanovenia, ako sú napríklad ustanovenia zavedené v súvislosti s vízovým informačným systémom (články 41 až 43 nariadenia o VIS), Schengenským informačným systémom II (články 44 až 46 nariadenia o systéme SIS-II) a ustanovenia predpokladané pre systém Eurodac (34). Konkrétne by bolo vhodné, keby sa v nariadení:

79.

Vzhľadom na tieto skutočnosti si európsky dozorný úradník pre ochranu údajov uvedomuje menší objem a iný charakter v súčasnosti spracúvaných údajov, ako aj vyvíjajúci sa charakter systému IMI. Preto uznáva, že pri stanovovaní časových intervalov zasadnutí a auditov je žiaduca väčšia flexibilita. Stručne povedané, európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení uvádzali minimálne potrebné pravidlá na zabezpečenie efektívnej spolupráce, ktoré však nebudú predstavovať nepotrebnú administratívnu záťaž.

80.

V článku 20 ods. 3 návrhu sa nevyžadujú pravidelné zasadnutia, stanovuje sa tam jednoducho len to, že európsky dozorný úradník pre ochranu údajov môže „v prípade potreby pozývať vnútroštátne orgány dohľadu na zasadnutie“. Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že v týchto ustanoveniach sa ponecháva zainteresovaným stranám možnosť rozhodnúť o intervaloch a formách zasadnutí, ako aj ďalších procedurálnych podrobnostiach týkajúcich sa ich spolupráce. Tieto podrobnosti sa môžu odsúhlasiť na základe rokovacieho poriadku, na ktorý sa už v návrhu odkazuje.

81.

V oblasti pravidelných auditov môže byť účinnejšie ponechať stanovenie času a intervalov ich vykonávania na spolupracujúce orgány, ktoré tak môžu urobiť vo svojich rokovacích poriadkoch. Môže to závisieť od množstva faktorov a po čase sa tiež môžu vyskytnúť zmeny. Európsky dozorný úradník pre ochranu údajov preto podporuje prístup Komisie, ktorý umožňuje väčšiu flexibilitu aj v tejto súvislosti.

82.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že v návrhu sa poskytuje jednoznačný právny základ pre vnútroštátne používanie systému IMI a že toto používanie podlieha niekoľkým podmienkam vrátane skutočnosti, že sa musia viesť konzultácie s vnútroštátnym orgánom na ochranu údajov a že používanie musí byť v súlade s vnútroštátnym právom.

83.

Európsky dozorný úradník pre ochranu údajov víta požiadavky stanovené v článku 22 ods. 1 týkajúce sa výmeny informácií, ako aj skutočnosť, že v článku 22 ods. 3 sa zabezpečuje transparentnosť rozšírenia prostredníctvom zverejnenia aktualizovaného zoznamu tretích krajín používajúcich systém IMI v Úradnom vestníku (článok 22 ods. 3).

84.

Európsky dozorný úradník pre ochranu údajov ďalej odporúča, aby Komisia zjednodušila odkaz na odchýlky podľa článku 26 smernice 95/46/ES tak, aby sa odkaz vzťahoval iba na článok 26 ods. 2. Inými slovami: príslušné orgány alebo ďalší vonkajší aktéri v tretej krajine, ktorá nezabezpečuje primeranú ochranu, nemôžu získať priamy prístup do systému IMI, ak neexistujú príslušné zmluvné ustanovenia v tejto veci. Tieto ustanovenia je potrebné dohodnúť na úrovni EÚ.

85.

Európsky dozorný úradník pre ochranu údajov zdôrazňuje, že na odôvodnenie postúpenia údajov do tretích krajín pomocou priameho prístupu do systému IMI by sa nemali využívať iné odchýlky, ako napríklad, že postúpenie je potrebné alebo sa zákonne vyžaduje z dôvodu dôležitého verejného záujmu alebo z dôvodu stanovenia spôsobu vykonávania alebo ochrany zákonných nárokov (38).

86.

V súlade s očakávaným posilnením podmienok, ktorými sa zabezpečuje väčšia zodpovednosť počas preskúmania rámca EÚ na ochranu údajov (39), európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení zaviedol jednoznačný rámec primeraných mechanizmov vnútornej kontroly, ktorými sa zabezpečuje súlad ochrany údajov a poskytuje dôkaz o tomto súlade a ktoré obsahujú minimálne prvky uvedené ďalej.

87.

V tejto súvislosti európsky dozorný úradník pre ochranu údajov víta požiadavku v článku 26 ods. 2 nariadenia, aby Komisia každé tri roky prekladala európskemu dozornému úradníkovi pre ochranu údajov správu o aspektoch ochrany údajov vrátane bezpečnosti. Odporúča sa, aby sa v nariadení objasňovalo, že európsky dozorný úradník pre ochranu údajov bude musieť v rámci koordinovaného dohľadu uvedeného v článku 20 sprístupniť správu Komisie vnútroštátnym orgánom na ochranu údajov. Tiež by bolo užitočné, keby sa v nariadení objasňovalo, že správa sa bude v rámci všetkých politických oblastí a všetkých funkcií zaoberať spôsobom praktického uplatňovania kľúčových zásad a otázok ochrany údajov (napr. informovanie dotknutých osôb, prístupové práva, bezpečnosť).

88.

Okrem toho by sa malo v nariadení objasniť, že k rámcu mechanizmov vnútornej kontroly by malo patriť aj posúdenie ochrany súkromia (obsahujúce aj analýzu bezpečnostného rizika) a politiky ochrany údajov (vrátane bezpečnostného plánu) prijatej na základe ich výsledkov, ako aj pravidelné preskúmania a audity.

89.

Európsky dozorný úradník pre ochranu údajov víta odkaz na túto zásadu v odôvodnení 6 uvedeného nariadenia (40). Odporúča, aby okrem tohto odkazu nariadenie obsahovalo zavedenie konkrétnych záruk ochrany súkromia už v štádiu návrhu, ako napríklad:

90.

Všeobecné stanovisko európskeho dozorného úradníka pre ochranu údajov k systému IMI je kladné. Európsky dozorný úradník pre ochranu údajov podporuje ciele Komisie pri zavádzaní elektronického systému výmeny informácií a regulovaní jeho aspektov ochrany údajov. Európsky dozorný úradník pre ochranu údajov víta aj skutočnosť, že Komisia navrhuje horizontálny právny nástroj pre systém IMI v podobe nariadenia Parlamentu a Rady. S potešením konštatuje, že v návrhu sa komplexne zdôrazňujú najdôležitejšie oblasti ochrany údajov v rámci systému IMI.

91.

Vzhľadom na právny rámec systému IMI, ktorý sa má zriadiť prostredníctvom navrhovaného nariadenia, upriamuje európsky dozorný úradník pre ochranu údajov pozornosť na dve hlavné výzvy:

92.

Je potrebné objasniť a konkrétnejšie vymedziť funkcie systému IMI, ktoré sa už predpokladajú.

93.

S cieľom zabezpečiť dôkladné zváženie ochrany údajov počas budúceho vývoja systému IMI by sa mali uplatňovať primerané procedurálne záruky. Mali by k nim patriť posúdenie vplyvu a konzultácie s európskym dozorným úradníkom pre ochranu údajov, ako aj s vnútroštátnymi orgánmi pre ochranu údajov, pred každým rozšírením rozsahu systému IMI o novú politickú oblasť a/alebo o nové funkcie.

94.

Prístupové práva vonkajších aktérov a prístupové práva k varovaniam je potrebné ďalej vymedziť.

95.

V súvislosti s obdobiami uchovávania údajov:

96.

V nariadení by sa malo vyžadovať, aby sa pred každým rozšírením systému IMI o novú politickú oblasť alebo pred pridaním novej funkcie, ktorá má vplyv na osobné údaje, vyžadovalo posúdenie rizika a preskúmanie bezpečnostného plánu.

97.

Ustanovenia o poskytovaní informácií dotknutým osobám a o ich prístupových právach je potrené posilniť a mali by podporovať jednotnejší prístup.

98.

Európsky dozorný úradník pre ochranu údajov by v určitých bodoch posilnil ustanovenia o koordinovanom dohľade a na tento účel podporuje podobné ustanovenia, ako sú napríklad ustanovenia zavedené v súvislosti s vízovým informačným systémom, Schengenským informačným systémom II a ustanovenia predpokladané pre systém Eurodac. V oblasti početnosti zasadnutí a auditov európsky dozorný úradník pre ochranu údajov podporuje návrh s jeho pružným prístupom s cieľom zabezpečiť, aby sa v nariadení poskytovali potrebné minimálne pravidlá na zabezpečenie efektívnej spolupráce bez vytvárania nepotrebnej administratívnej záťaže.

99.

V nariadení by sa malo zabezpečiť, aby príslušné orgány alebo ďalší vonkajší aktéri v tretej krajine, ktorá nezabezpečuje primeranú ochranu, nemohli získať priamy prístup do systému IMI, pokiaľ neexistujú príslušné zmluvné ustanovenia v tejto veci. Tieto ustanovenia je potrebné dohodnúť na úrovni EÚ.

100.

V nariadení by sa mal stanoviť jednoznačný rámec primeraných mechanizmov vnútornej kontroly, ktorým sa zabezpečuje súlad ochrany údajov a dôkazy o jeho dosiahnutí vrátane posúdenia ochrany súkromia (obsahujúce aj analýzu bezpečnostného rizika), ako aj politika ochrany údajov (vrátane bezpečnostného plánu) prijatá na základe ich výsledkov a pravidelné preskúmania a audity.

101.

V nariadení by sa mali tiež zaviesť konkrétne záruky ochrany súkromia už v štádiu návrhu.