[pic] | EURÓPSKA KOMISIA |

Brusel, 22.4.2010

KOM(2010)170 v konečnom znení

SPRÁVA KOMISIE

o stave ochrany údajov v informačnom systéme vnútorného trhu

SPRÁVA KOMISIE

o stave ochrany údajov v informačnom systéme vnútorného trhu

ZHRNUTIE

Komisia je spokojná s tým, ako sú zabezpečené osobné práva a slobody týkajúce sa osobných údajov (ďalej len „ochrana údajov“) v rámci informačného systému vnútorného trhu (ďalej len „systém IMI“). Systém IMI je bezpečný internetový viacjazyčný systém na výmenu informácií, ktorý pomáha členským štátom pri plnení úloh v oblasti administratívnej spolupráce. Komisia je spokojná aj s tým, ako sa vykonáva Odporúčanie o usmerneniach na ochranu osobných údajov pre IMI.

Členské štáty nenahlásili žiadne problémy s ochranou údajov. To opodstatňuje postupný prístup dohodnutý s európskym dozorným úradníkom pre ochranu údajov, podľa ktorého sa právny rámec pre systém IMI bude budovať v závislosti od technického vývoja a rozširovania systému na ďalšie legislatívne oblasti vnútorného trhu.

V roku 2010 Komisia preskúma možnosť rozšírenia systému IMI na ďalšie oblasti vnútorného trhu a získa viac skúseností s praktickým využívaním tohto systému v oblasti služieb. V prvom štvrťroku 2011 uverejní pracovný dokument o fungovaní a vývoji systému IMI v roku 2010, ktorý sa bude venovať aj otázke ochrany údajov.

ÚčEL TEJTO SPRÁVY

V tejto správe, ktorej vypracovanie Komisia oznámila vo svojom Odporúčaní o usmerneniach na ochranu osobných údajov pre informačný systém vnútorného trhu[1] (ďalej len „odporúčanie“), sa hodnotí vykonávanie odporúčania členskými štátmi a Komisiou, ako aj stav ochrany údajov v rámci systému IMI. Správa sa venuje aj novým otázkam, ktoré v odporúčaní neboli uvedené. Ide najmä o otázku rozšírenia systému IMI na novú smernicu o službách.

Pri vypracovávaní tejto správy Komisia zohľadnila reakcie členských štátov, ktoré získala prostredníctvom ad hoc konzultácie začatej v novembri 2009[2] a prostredníctvom pravidelných kontaktov s koordinátormi systému IMI a so zástupcami členských štátov na stretnutiach IMAC-IMI (Poradný výbor pre vnútorný trh – pracovná skupina pre systém IMI).

VÝVOJ SYSTÉMU IMI V ROKU 2009

Rok 2009 mal pre vývoj systému IMI kľúčový význam. Používanie systému IMI v legislatívnej oblasti, ktorá sa týka odborných kvalifikácií, sa rozšírilo na 20 nových povolaní a väčšina zdrojov sa použila na to, aby sa uplatňovanie systému IMI rozšírilo na smernicu o službách[3].

Vnútroštátni koordinátori systému IMI sa zúčastnili na pilotnom projekte zameranom na výmenu informácií o smernici o službách (na základe skutočných a fiktívnych prípadov) a na školeniach, ktoré sa uskutočnili v Bruseli[4]. Komisia vydala novú verziu softvéru (1.7), ktorá príslušným orgánom umožňuje, aby sa zaregistrovali. Koncom roka vydala aj prechodnú verziu 2.0, do ktorej sú začlenené oddelené aplikácie IT pre výstražný mechanizmus[5]. Táto nová softvérová verzia začala plne fungovať v prvom štvrťroku 2010.

Vďaka tomuto spoločnému úsiliu Komisie a členských štátov bolo do systému IMI ku koncu januára 2010 zaregistrovaných 4 508 príslušných orgánov, z ktorých 3 698 malo prístup do novej oblasti služieb. Očakáva sa však, že toto číslo bude v nasledujúcich niekoľkých mesiacoch výrazne rásť. Priemerný počet rozličných denne pripojených užívateľov sa zvýšil zo 40 v januári 2009 na 180 v decembri toho istého roku.

Celkový počet zaslaných žiadostí za štvrťrok a za legislatívnu oblasť v roku 2009

[pic]

V oblasti odborných kvalifikácií systém IMI dosiahol istý stupeň vývoja a jeho jednoznačný úspech je dôkazom potenciálu systému IMI ako nástroja administratívnej spolupráce v EÚ. V priemere bolo zaslaných 350 žiadostí za štvrťrok. Viac ako 90 % všetkých žiadostí týkajúcich sa odborných kvalifikácií zaslaných v roku 2009 prišlo z krajín EÚ – 15, teda členských štátov, ktoré pristúpili pred rokom 2004, čo poukazuje na smerovanie migrácie pracovných síl. Poľsku a Rumunsku bolo adresovaných 32 % všetkých žiadostí.

V súvislosti s uvedenými číslami je nutné poznamenať, že na 56 % žiadostí prišla odpoveď do jedného týždňa.

Čas potrebný na vybavenie žiadosti v rámci smernice o odborných kvalifikáciách v roku 2009

Prijaté žiadosti | Kumulatívne % | Vybavené žiadosti | Kumulatívne % |

Do 3 dní | 741 | 57,0 % | 518 | 43,0 % |

Do 1 týždňa | 216 | 73,7 % | 167 | 56,8 % |

Do 2 týždňov | 166 | 86,5 % | 170 | 71,0 % |

Do 4 týždňov | 120 | 95,7 % | 164 | 84,6 % |

Do 8 týždňov | 35 | 98,4 % | 106 | 93,4 % |

Viac ako 8 týždňov | 21 | 100,0 % | 80 | 100,0 % |

Celkom: | 1299 | 1205 |

(*Nezrovnalosti medzi prijatými a vybavenými žiadosťami vyplývajú z toho, že niektoré žiadosti boli stiahnuté alebo ku koncu decembra 2009 ešte stále neboli vybavené.)

ZLEPšOVANIE OCHRANY ÚDAJOV V SYSTÉME IMI, POSTUPNÝ PRÍSTUP

Systém IMI sa riadi tzv. prístupom „ochrany súkromia už v štádiu návrhu“ (po anglicky Privacy by design ), podľa ktorého sa dodržiavanie ochrany údajov hneď od začiatku zakomponuje do systémov obsahujúcich informácie. Otázka ochrany údajov je aj súčasťou každodenného používania systému a je zahrnutá do školiacich materiálov, takže ide o prístup, ktorý presahuje rámec čisto formálnej či teoretickej ochrany. Zdá sa, že tento prístup sa vypláca, keďže členské štáty nenahlásili ani jeden incident s ochranou údajov v systéme IMI a neprišli ani žiadne sťažnosti od dotknutých subjektov.

Komisia viedla za posledné dva roky dialóg jednak s orgánmi na ochranu údajov, ako aj s európskym dozorným úradníkom pre ochranu údajov. Hlavná zásada, ktorou sa riadi postupný prístup, spočíva v tom, že vzhľadom na to, že systém IMI zaručuje vysokú úroveň ochrany údajov z technickej aj procedurálnej stránky a Komisia sa jasne zaviazala, že bude pokračovať v jej zdokonaľovaní, právny rámec pre systém IMI by mal sledovať technický vývoj a rozširovanie systému na ďalšie legislatívne oblasti vnútorného trhu.

Postupný prístup umožnil Komisii, aby na základe obmedzených skúseností so systémom vyriešila všetky problémové otázky, ktoré európsky dozorný úradník pre ochranu údajov signalizoval vo svojom stanovisku z 12. decembra 2007, a aby prijala tri právne texty, ktoré sa zaoberajú otázkou ochrany údajov v rámci systému IMI:

a) Rozhodnutie Európskej komisie z 12. decembra 2007 o implementácii informačného systému o vnútornom trhu (IMI) v súvislosti s ochranou osobných údajov[6]

b) Odporúčanie Európskej komisie z 26. marca 2009 o usmerneniach na ochranu osobných údajov pre informačný systém vnútorného trhu (IMI)[7]

c) Rozhodnutie Európskej komisie z 2. októbra 2009, ktorým sa ustanovujú praktické opatrenia na výmenu informácií medzi členskými štátmi elektronickými prostriedkami podľa kapitoly VI smernice Európskeho parlamentu a Rady 2006/123/ES o službách na vnútornom trhu[8].

Časť 6 tejto správy sa bude zaoberať zvyšnými otázkami, ako aj obsahom a vhodným načasovaním budúcich opatrení vrátane možnosti prijatia právneho nástroja.

VYKONÁVANIE ODPORÚčANIA KOMISIE

Zlepšenia dosiahnuté členskými štátmi

Kontakty s orgánmi na ochranu údajov

V odporúčaní Komisie sa členským štátom odporúča, aby „ povzbudzovali vnútroštátnych koordinátorov systému IMI vo vytváraní kontaktov so svojimi vnútroštátnymi orgánmi na ochranu údajov s cieľom získať poradenstvo a pomoc, pokiaľ ide o najlepší spôsob zavedenia týchto usmernení do vnútroštátnych právnych predpisov .“ Väčšina členských štátov vo svojich správach adresovaných Komisii uviedla, že otázku ochrany údajov konzultovala so svojimi vnútroštátnymi orgánmi na ochranu údajov. Tieto konzultácie ubezpečili používateľov systému IMI, že osobné údaje sa môžu vymieňať cez systém IMI v súlade s právnymi predpismi o ochrane údajov, a súčasne umožnili vnútroštátnym regulačným orgánom, aby nadviazali pracovné kontakty so zástupcami verejných správ, ktorí pripisujú dôležitý význam ochrane údajov a sú odhodlaní dotiahnuť tento ozajstný európsky projekt do úspešného konca.

Vyhlásenie o ochrane osobných údajov

V nadväznosti na návrh európskeho dozorného úradníka pre ochranu údajov sa v odporúčaní povzbudzujú aj koordinátori systému IMI, aby o obsahu vyhlásenia o ochrane osobných údajov diskutovali s miestnymi orgánmi na ochranu údajov. V odporúčaní nebolo možné tento aspekt bližšie špecifikovať, pretože napriek tomu, že smernica o ochrane údajov zabezpečuje úplnú harmonizáciu, členské štáty majú istú mieru voľnosti pri vykonávaní niektorých ustanovení. Správy od členských štátov potvrdzujú, že vnútroštátne postupy týkajúce sa obsahu a formátu vyhlásenia o ochrane osobných údajov sa líšia. Tesná väčšina členských štátov zastávala názor, že o správnom formáte a obsahu informácií, ktoré majú byť poskytnuté jednotlivcom, by mali rozhodovať príslušné orgány na miestnej úrovni v súlade s miestnymi zákonmi. V niektorých členských štátoch sa naopak navrhli prispôsobiteľné modely platné v celom členskom štáte[9].

Zvyšovanie povedomia a školenia

Jedným z najvýznamnejších výsledkov odporúčania je zvýšenie povedomia o ochrane údajov v radoch zúčastnených strán a používateľov systému IMI, ktorí sú teraz už oboznámení so všeobecnými zásadami ochrany údajov, a predloženie praktických návrhov ako zabezpečiť vysokú úroveň ochrany údajov v rámci systému IMI. Vďaka odporúčaniu sa odkazy na usmernenia na ochranu údajov začlenili aj do školiacich materiálov o systéme IMI vypracovaných príslušnými orgánmi.

Zlepšenia dosiahnuté Komisiou

Bezpečnostný plán systému IMI

Bezpečnosť a dôvernosť údajov sa reguluje prostredníctvom rozhodnutia Komisie zo 16. augusta 2006 o bezpečnosti informačných systémov používaných Európskou komisiou[10]. Toto rozhodnutie bolo aktualizované vykonávacími pravidlami prijatými v roku 2009 a nedávnymi usmerneniami a normami, ktoré sú vo veľkej miere zhodné s medzinárodnými normami. V súlade s tým sa preskúmali a aktualizovali aj bezpečnostné opatrenia v systéme IMI a v roku 2009 bol vypracovaný kompletný bezpečnostný plán, ktorý bude preskúmaný v roku 2010.

Technické zlepšenia

Pokiaľ sa výmena informácií dotýka citlivých údajov, na obrazovke sa objaví upozornenie, že ide o citlivú informáciu a že osoba vybavujúca daný prípad by mala žiadať túto informáciu výlučne vtedy, ak je absolútne nevyhnutná a priamo súvisí s výkonom povolania alebo s poskytovaním danej služby. Otázka ochrany údajov sa plne zohľadnila aj pri navrhovaní a zavádzaní nového výstražného mechanizmu (pozri časť 5.2.3.2).

Internetová stránka systému IMI bola takisto vylepšená tak, aby mohli používatelia intuitívnejšie vyhľadávať príslušné dokumenty. Časť venovaná ochrane údajov[11] sa doplnila o všetky právne texty súvisiace s ochranou údajov, korešpondenciu s európskym dozorným úradníkom pre ochranu údajov a súbory otázok používaných v systéme. V záujme transparentnosti sa na podnet európskeho dozorného úradníka pre ochranu údajov identifikovali otázky týkajúce sa citlivých údajov.

Nová legislatívna oblasť smernice o službách

Používanie systému IMI v súvislosti so smernicou o službách

V smernici o službách nebol uvedený konkrétny odkaz na systém IMI (ale iba všeobecnejší odkaz na elektronický systém na výmenu informácií). Preto bolo nevyhnutné formálne ustanoviť, že sa má na tento účel používať systém IMI. To sa uskutočnilo prostredníctvom rozhodnutia[12] prijatého Komisiou v súlade s postupom ustanoveným v smernici o službách („komitologické rozhodnutie“).

V tomto komitologickom rozhodnutí sa ustanovujú praktické opatrenia na výmenu informácií v oblasti služieb v rámci systému IMI. Rozhodnutie prispieva k vysokej úrovni ochrany údajov v systéme a vnáša viac transparentnosti a presnosti do všeobecných pravidiel vyplývajúcich z rozhodnutia 2008/49/ES a usmernení na ochranu údajov obsiahnutých v odporúčaní. Ponecháva možnosť, aby sa o akýchkoľvek dodatočných zárukách ochrany údajov v prípade potreby rozhodlo neskôr, po nadobudnutí skúseností so systémom[13].

Koncepcia výstražného mechanizmu zabezpečujúca ochranu údajov

Výstražný mechanizmus je varovný mechanizmus ustanovený v článku 29 ods. 3 a v článku 32 smernice o službách, ktorý dopĺňa systém RAPEX určený pre výrobky. Pomáha predchádzať rizikám spojeným s poskytovanými službami, ktoré ohrozujú príjemcov.

Výstražný mechanizmus umožňuje členským štátom, aby si plnili právne záväznú povinnosť vymieňať si informácie, a preto je úplne zákonný z hľadiska ochrany údajov. Komisia si však uvedomuje vplyvy využívania takéhoto mechanizmu na ochranu údajov. Preto pri jeho navrhovaní postupovala veľmi opatrne tak, aby zabezpečila, že bude dodržiavať ochranu údajov, a vyzýva členské štáty, ktoré nesú zodpovednosť za ochranu údajov pri odosielaní alebo prijímaní výstrah, aby boli ostražité a pravidlá uplatňovali dôsledne.

Výstražný mechanizmus obsahuje celý rad záruk ochrany údajov, ktoré sú všeobecnými znakmi systému IMI, a navyše aj niekoľko špecifických záruk, ktoré majú zaručiť, že:

a) Prístup k údajom je obmedzený iba pre konkrétne orgány/používateľov

V súlade so všeobecným prístupom uplatňovaným v systéme IMI je prístup k informáciám, ktorý sa uplatňuje v rámci výstražného mechanizmu, prísne obmedzený na prípady, v ktorých je poznanie týchto informácií absolútne nevyhnutné. Príslušné orgány a používatelia systému IMI majú prístup k výstrahám výlučne vtedy, keď im členské štáty udelili špeciálny prístup nielen do samotného systému IMI, ale aj do konkrétnej aplikácie pre výstrahy. Príslušné orgány a používatelia IMI nemôžu automaticky odosielať alebo prijímať výstrahy. Táto funkcia musí byť aktivovaná osobitne.

b) Neposielajú sa zbytočné výstrahy

Výstraha sa nemôže odoslať bez vyplnenia kontrolného formulára, ktorý zaručuje, že kritériá sú splnené. Napríklad kritérium, že existujú závažné špecifické aktivity alebo okolnosti spojené s poskytovaním služieb, ktoré by mohli spôsobiť vážne škody. Ak príslušný orgán, ktorý chce výstrahu odoslať, neskontroluje všetky príslušné kritériá, systém mu neumožní odoslanie výstrahy.

Navyše, výstraha sa neodosiela do ostatných členských štátov priamo, ale najprv ju preskúma koordinátor výstrah v členskom štáte odosielania. Tento koordinátor výstrah by mal opäť posúdiť, či by daná výstraha mala byť rozoslaná ostatným členským štátom, alebo nie.

c) Výstrahy sa nerozosielajú väčšiemu počtu príjemcov, než je nevyhnutné na splnenie požiadaviek na informácie stanovených v právnych predpisoch

Keď sa výstrahy odosielajú ostatným členským štátom, orgán, na podnet ktorého sa výstraha odosiela, a koordinátor výstrah musia posúdiť, ktoré členské štáty túto výstrahu potrebujú. Pokiaľ chce členský štát, v ktorom sa služba poskytuje, zaslať výstrahu, výstraha sa automaticky odošle iba členskému štátu, v ktorom je poskytovateľ služby usadený, a Komisii. Toto automatické nastavenie zaručuje, že o pridaní ďalších členských štátov na zoznam príjemcov sa bude rozhodovať z prípadu na prípad a podľa zásady, že poznanie týchto informácií musí byť absolútne nevyhnutné.

Navyše, ak sa výstraha rozosiela ostatným členským štátom, neodosiela sa všetkým príslušným orgánom v prijímajúcich členských štátoch, ale iba do poštovej schránky pre prichádzajúce výstrahy (obyčajne ide o schránku vnútroštátneho koordinátora výstrah). Príjemca rozhodne o tom, ktoré orgány v jeho členskom štáte sú dotknuté a musia byť informované.

d) Pri prijímaní výstrah, ako sa ustanovuje v smernici o službách, Komisia nemá prístup k osobným údajom

V smernici o službách sa ustanovuje, že všetky výstrahy sa musia zaslať Komisii, ale na rozdiel od členských štátov Komisia nepotrebuje prístup k osobným údajom. Komisia preto prijíma výstrahy bez osobných údajov.

e) V prípade, že napriek preventívnym opatreniam dôjde k odoslaniu neopodstatnených výstrah, môžu sa urýchlene stiahnuť alebo sa nesprávne údaje môžu opraviť či vymazať

Systém IMI umožňuje príslušnému orgánu, ktorý poslal neopodstatnenú výstrahu, aby ju okamžite stiahol, takže zostane neviditeľnou pre všetkých používateľov systému IMI. Pokiaľ bola výstraha opodstatnená, ale je nutné opraviť niektoré informácie, príslušný orgán, na podnet ktorého sa výstraha odoslala, môže opravy vykonať kedykoľvek. Navyše, systém IMI umožňuje aj ostatným príslušným orgánom, ktoré výstrahu prijali, aby upozornili na chybné informácie uvedené vo výstrahe.

f) Výstrahy sa uzatvoria, hneď ako riziko prestane existovať. Údaje okamžite prestanú byť viditeľné pre všetkých používateľov systému a osobné údaje sa vymažú do šiestich mesiacov po uzatvorení.

Keď pominie riziko, ktoré výstrahu spustilo, výstraha sa musí uzatvoriť. Systém IMI preto umožňuje príslušnému členskému štátu, aby výstrahu uzatvoril, a príslušným orgánom sa pošlú upozornenia e-mailom. Hneď ako sa výstraha uzatvorí, prestane byť viditeľná. Najneskôr šesť mesiacov po uzatvorení sa všetky osobné údaje automaticky vymažú a odstránia sa zo systému.

OTÁZKY NA ďALšIE ZVÁžENIE

Hoci väčšina členských štátov vyjadrila pozitívne stanovisko k ochrane údajov v systéme IMI, niekoľko členských štátov vznieslo isté pripomienky, ktorými sa zaoberá táto časť správy.

Platné pravidlá v oblasti ochrany a dôvernosti údajov

Spracovávanie osobných údajov v systéme IMI pozostáva zo spoločného spracovávania (Komisiou a členskými štátmi), spoločnej kontroly (rôznymi používateľmi a zúčastnenými stranami) a spoločného dohľadu (vnútroštátnymi orgánmi na ochranu údajov a európskym dozorným úradníkom pre ochranu údajov). V takomto zložitom prostredí nie je vždy jednoduché rozdeliť zodpovednosti.

Dánske a nemecké orgány na ochranu údajov zastávajú názor, že vzhľadom na to, že príslušné orgány nachádzajúce sa na ich územiach musia dodržiavať určité vnútroštátne požiadavky (napr. prísnejší autentifikačný mechanizmus, ako sa uvádza v nasledujúcej časti), mohli by nástojiť na tom, aby aj systém IMI spĺňal tieto vnútroštátne požiadavky, alebo prestanú používať systém. Príslušné orgány poslali tieto požiadavky Komisii, ktorá je zodpovedná za bezpečnosť systému.

Komisia sa domnieva, že systém IMI je bezpečný systém a že ozajstná európska sieť ako systém IMI jednoducho nebude môcť fungovať, ak každý členský štát bude nástojiť na tom, aby sa dodržiavali jeho vnútroštátne bezpečnostné normy. Prijatie smernice o ochrane údajov pred takmer dvadsiatimi rokmi malo dvojaký účel, a to chrániť základné právo na ochranu údajov na jednej strane a zabezpečiť voľný tok osobných údajov medzi členskými štátmi a medzi členskými štátmi a inštitúciami EÚ[14] na druhej strane.

Komisia preto nalieha, aby vzhľadom na vysokú úroveň záruk ochrany údajov v systéme IMI a na zásadu lojálnej spolupráce ustanovenej v článku 4 ods. 3 Zmluvy o fungovaní Európskej únie, vnútroštátne orgány na ochranu údajov nekládli prekážky príslušným vnútroštátnym orgánom vo využívaní systému.

Silnejšia autentifikácia v systéme IMI

Autentifikácia v systéme IMI je pokročilou verziou jednofaktorovej autentifikácie, keďže kombinuje meno používateľa a heslo s PIN kódom. Pri prihlasovaní do systému používateľ musí zadať náhodne vybranú kombináciu znakov z PIN kódu.

Nemecké a dánske orgány na ochranu údajov vyjadrili znepokojenie nad autentifikačným systémom IMI. Komisia verí, že súčasný mechanizmus autentifikácie je primeraný vzhľadom na súčasnú technologickú úroveň a náklady na zavedenie, ale súhlasí s tým, že z dlhodobého hľadiska by bola vhodnejšia silnejšia autentifikácia. Keďže členské štáty zaviedli rôzne autentifikačné systémy, ktoré nie sú vždy interoperabilné, ako najvhodnejším riešením pre silnejšiu autentifikáciu v systéme IMI sa zdajú byť elektronické identity spravované na úrovni členských štátov, ktorých interoperabilita by sa zabezpečila prostredníctvom programového vybavenia typu „middleware“.

Jedným z riešení je projekt STORK, na vývoji ktorého práve pracuje konzorcium, do ktorého sú zapojené niektoré členské štáty, a ktorý je financovaný z programu na podporu politiky IKT rámcového programu na podporu konkurencieschopnosti a inovácií. Komisia bude pozorne sledovať jeho pokroky v nasledujúcich mesiacoch, ktoré budú mať rozhodujúci význam pri posudzovaní toho, či sa má použiť v systéme IMI.

Ďalšie odkazy na ochranu údajov sú uvedené v časti 7.2.

Uchovávanie údajov

Politika uchovávania údajov v systéme IMI je veľmi prísna[15] a niektoré zúčastnené strany a používatelia naznačili, že by sa mala prehodnotiť. Rýchle vymazanie osobných údajov v systéme nie je vždy v záujme dotknutého subjektu, ktorý by bol možno radšej, aby sa jeho osobné údaje uchovali v systéme IMI dlhšiu dobu, napríklad v súvislosti so súdnymi konaniami.

Vo svojom poslednom rozsudku Európsky súdny dvor skonštatoval[16], že právo na prístup k informáciám[17] sa neuplatňuje iba na súčasné údaje, ale aj na údaje z minulosti. Súd je preto toho názoru, že obmedzovanie prístupu vymazaním údajov môže byť protiprávne, pokiaľ nie je preukázané, že dlhodobejšie uchovávanie informácií by mohlo viesť k nadmernému zaťažovaniu kontrolóra. Komisia si nemyslí, že dlhodobejšie uchovávanie osobných informácií v systéme IMI by malo predstavovať nadmernú záťaž, a preto uvažuje o dlhodobejšom uchovávaní údajov, súčasťou ktorého by mohla byť aj fáza prechodného blokovania údajov, počas ktorej budú údaje neviditeľné pre všetkých používateľov a ktorá bude predchádzať definitívnemu vymazaniu týchto údajov. Aký by bol prípadný dosah politiky blokovania údajov, ako aj to, kto by mohol mať prístup k blokovaným údajom a na aké účely, bude predmetom dôkladnej analýzy.

Ide o dobrý príklad toho, že o pravidlách, ktorými sa bude riadiť fungovanie systému IMI, je nutné dôkladne pouvažovať ešte predtým, ako sa o nich rozhodne v podobe právne záväzného nástroja. Je veľmi dôležité, aby Komisia a členské štáty, ktoré zaručujú dobrú ochranu údajov a zapájanie orgánov na ochranu údajov do procesu, mali dostatočné skúsenosti so systémom, aby sa predišlo zavádzaniu neúčinných alebo dokonca kontraproduktívnych pravidiel v oblasti ochrany údajov.

Vnútroštátne používanie systému IMI

V transpozícii smernice o službách v Holandsku sa ustanovuje, že systém IMI sa musí používať na vnútroštátne účely. To znamená že sa musí používať aj na výmenu informácií medzi holandskými správami. Európska komisia odporúča tento prístup, ktorý poukazuje na potenciál systému IMI pri jeho využívaní medzi správami. Pravidlá používania systému IMI členskými štátmi na vnútroštátne účely však podliehajú trom podmienkam:

a) spracovávanie osobných údajov a uchovávanie informácií na serveroch Komisie musí byť v zmysle vnútroštátnych právnych predpisov zákonné,

b) systém sa musí používať vo svojej nezmenenej podobe, s rovnakým súborom otázok a s rovnakými funkciami a

c) členské štáty preberajú plnú zodpovednosť za akékoľvek problémy (ochrana údajov alebo iné problémy) súvisiace s používaním systému na vnútroštátne účely.

V prípade, že majú členské štáty záujem o využívanie systému IMI na vnútroštátne účely, sa preto odporúča, aby najprv konzultovali svoje príslušné orgány na ochranu údajov a potom sa obrátili na Komisiu, aby s ňou prediskutovali túto otázku a ubezpečili sa, že nevzniknú žiadne problémy z hľadiska právnych predpisov na ochranu údajov.

Osobitné záruky ochrany údajov v právne záväzných právnych predpisoch Spoločenstva

Európsky dozorný úradník pre ochranu údajov vyzval vo svojom stanovisku z 12. decembra 2007 a v listoch vymenených s Komisiou, aby sa v právnych predpisoch EÚ ustanovili právne záväzné záruky ochrany údajov, keď sa pôsobnosť systému IMI rozšíri nad rámec smernice o službách a smernice o odborných kvalifikáciách. Aj nemecké orgány na ochranu údajov vyjadrili podobné stanovisko.

V roku 2010 nová Komisia prinesie nový pohľad na fungovanie jednotného trhu a na možnosti toho, ako by mohol systém IMI ešte viac prispieť k lepšiemu vykonávaniu právnych predpisov členskými štátmi v oblasti vnútorného trhu. Posúdi aj to, v ktorých ďalších politikách by sa dal využiť systém IMI.

V súčasnosti už existuje solídny balík opatrení na ochranu údajov a reakcie od členských štátov boli pozitívne. Komisia sa preto domnieva, že predkladať legislatívny návrh skôr, ako sa vymedzí rozsah pôsobnosti systému IMI a ako sa nadobudnú praktické skúsenosti s používaní systému v oblasti služieb, by nebolo rozumné. Akýkoľvek budúci návrh musí tento vývoj zohľadňovať, aby sa zabezpečil solídny nadčasový základ pre systém IMI a ochranu údajov.

Komisia bude zatiaľ pokračovať v zlepšovaní ochrany údajov v systéme IMI v úzkej spolupráci s členskými štátmi a európskym dozorným úradníkom pre ochranu údajov, ako sa ustanovuje nižšie.

BUDÚCE ZLEPšENIA

Technické zlepšenia

V budúcej softvérovej verzii budú fungovať automatické pripomienky a zoznamy naliehavých pripomienok na prijatie odpovede (takže žiadosti nezostanú otvorené dlhšie, ako je to nevyhnutné). Pokiaľ ide o on-line postupy na opravu, blokovanie alebo vymazávanie údajov, keďže doteraz neboli žiadne takéto žiadosti a je málo pravdepodobné, že v budúcnosti ich bude veľa, Komisia sa domnieva, že by bolo vhodnejšie zaviesť jednoduchší postup, ktorý bude riadne zdokumentovaný s pomocou úradníka Komisie pre ochranu údajov alebo európskeho dozorného úradníka pre ochranu údajov.

Bezpečnosť údajov

V súlade s novými usmerneniami a normami, ktoré boli nedávno prijaté Komisiou, Komisia vykoná v roku 2010 nové hodnotenie rizík pre systém IMI, na základe ktorého zaktualizuje bezpečnostný plán a určí, ktoré časti systému je nutné posúdiť, ako aj prípadné hrozby a potrebné infraštruktúrne a softvérové opatrenia. Ak sa na základe hodnotenia rizík zistí, že je nutné zaviesť dodatočné bezpečnostné opatrenia, tieto opatrenia sa budú postupne začleňovať do budúcich verzií softvéru.

Začiatkom roku 2011 sa vykoná aj externý audit, ktorý sa bude zameriavať najmä na výkonnosť a stabilnosť systému, ale môže sa vzťahovať aj na niektoré problémy spojené s ochranou údajov a bezpečnosťou.

Preskúmanie smernice o odborných kvalifikáciách

Hodnotenie smernice o odborných kvalifikáciách sa vykoná v rokoch 2010 až 2011. Bude zahŕňať hodnotenie administratívnej spolupráce a používanie systému IMI vrátane problémov s ochranou údajov.

ZÁVER

Komisia je spokojná s vykonávaním odporúčania a so stavom ochrany údajov v systéme IMI. Aj naďalej však bude pracovať na ďalšom zdokonaľovaní systému, najmä na zlepšovaní technickej stránky a bezpečnosti údajov.

Komisia má v úmysle preskúmať možnosť rozšírenia pôsobnosti systému IMI na ďalšie oblasti vnútorného trhu, pričom chce využiť ďalšie praktické skúsenosti s jeho používaním v oblasti služieb. V akomkoľvek budúcom legislatívnom návrhu EÚ sa zohľadní tento vývoj a tieto úvahy, aby sa vytvoril solídny nadčasový základ pre systém IMI a ochranu údajov.

V prvom štvrťroku 2011 sa uverejnení pracovný dokument o fungovaní a vývoji systému IMI v roku 2010. Táto správa sa bude vzťahovať aj na ochranu údajov.

[1] K(2009) 2041 v konečnom znení. Ú. v. EÚ L 100, 18. 4. 2009, s. 12 – 28.

[2] Do konzultácie sa zapojilo sedemnásť členských štátov. Členské štáty odpovedali na tieto otázky:– Kontaktovali ste váš vnútroštátny orgán na ochranu údajov? Vydal nejaké stanovisko k vnútroštátnemu vykonávaniu usmernení?– Vydali ste všeobecné vyhlásenie o politike ochrany osobných údajov určené pre všetkých používateľov systému IMI alebo boli tieto opatrenia prijaté príslušnými orgánmi (PO) na miestnej úrovni?– Stretli sa vaše PO s nejakými problémami v súvislosti s ochranou údajov, keď posielali žiadosti alebo odpovedali na žiadosti v rámci systému IMI?– Nahlásili vaše PO nejaké problémy pri spracovávaní otázok o trestných záznamoch?– Dostali vaše PO nejaké žiadosti o prístup, vymazanie alebo opravy od dotknutých subjektov?– Sú vaše PO oboznámené s možnosťou predčasného vymazania osobných údajov zo systému? Využívajú túto možnosť?– Začlenili ste otázku ochrany údajov do vašich školení o systéme IMI?

[3] Smernica Európskeho parlamentu a Rady 2006/123/ES z 12. decembra 2006 o službách na vnútornom trhu , Ú. v. EÚ L 376, 27. 12. 2006, s. 36–68.

[4] Komisia v roku 2009 zorganizovala v Bruseli tri jednodňové školenia určené pre koordinátorov systému IMI, pričom na každom z nich sa zúčastnilo približne 60 účastníkov. Členské štáty zorganizovali v tom istom období celkovo viac ako 100 školení určených pre príslušné orgány na miestnej, regionálnej a národnej úrovni.

[5] Pozri článok 32 smernice o službách.

[6] K(2007) 6306, Ú. v. EÚ L 13, 16. 1. 2008, s. 13 – 23.

[7] K(2009) 2041 v konečnom znení, Ú. v. EÚ L 100, 18. 4. 2009, s. 12 – 28.

[8] K(2009) 7493, Ú. v. EÚ L 263, 7. 10. 2009, s. 32 – 34.

[9] Dobrým príkladom vnútroštátneho modelu vypracovaného s technickou pomocou vnútroštátneho orgánu na ochranu údajov je vyhlásenie o ochrane osobných údajov ( cláusula de privacidad ), ktoré sprístupnila španielska skupina pre systém IMI.http://www.mpt.es/documentacion/sistema_IMI/documentos/protec_datos/ClausulaIMI_ES/document_es/Clausula_IMI.pdf.

[10] K (2006) 3602.

[11] http://ec.europa.eu/internal_market/imi-net/data_protection_en.html

[12] Rozhodnutie Komisie z 2. októbra 2009, ktorým sa ustanovujú praktické opatrenia na výmenu informácií medzi členskými štátmi elektronickými prostriedkami podľa kapitoly VI smernice Európskeho parlamentu a Rady 2006/123/ES o službách na vnútornom trhu.

[13] Pozri kapitolu 13 odporúčania, oddiel „Postup prác“, písmeno d).

[14] Zásada je jasne stanovená v článku 1 ods. 2 smernice o ochrane údajov a v článku 1 ods. 1. a v odôvodnení 13 nariadenia o ochrane údajov: „cieľom je zabezpečiť tak účinný súlad s pravidlami upravujúcimi ochranu základných práv a slobôd jednotlivca, ako aj voľný tok osobných údajov medzi členskými štátmi a inštitúciami a orgánmi Spoločenstva, alebo medzi inštitúciami a orgánmi Spoločenstva navzájom, na účely spojené s výkonom ich príslušných právomocí.“

[15] Na skoršie vymazanie osobných údajov stačí zopár kliknutí a všetky osobné údaje sa v každom prípade automaticky vymažú do šiestich mesiacov od uzatvorenia žiadostí o informácie.

[16] C-553/07, Rotterdam v Rijkeboer.

[17] Pozri článok 12 písm. a) smernice 95/46/ES.