OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU, RADE, EURÓPSKEMU HOSPODÁRSKEMU A SOCIÁLNEMU VÝBORU A VÝBORU REGIÓNOV Ochrana súkromia v prepojenom svete Európsky rámec ochrany údajov pre 21. storočie /* COM/2012/09 final */
OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU,
RADE, EURÓPSKEMU HOSPODÁRSKEMU A SOCIÁLNEMU VÝBORU A VÝBORU REGIÓNOV Ochrana súkromia v prepojenom svete
Európsky rámec ochrany údajov pre 21. storočie (Text s významom pre EHP)
1.
AKTUÁLNE VÝZVY V OBLASTI OCHRANY ÚDAJOV
Rýchle tempo technologických zmien a globalizácia
výrazne zmenili spôsob zhromažďovania, využívania a prenosu čoraz
väčšieho objemu osobných informácií a prístupu k nim. Nové spôsoby
zdieľania informácií prostredníctvom sociálnych sietí a vzdialené uchovávanie
veľkého množstva údajov sa stali súčasťou života mnohých
z 250 miliónov európskych používateľov internetu. Osobné údaje sa
zároveň stali pre mnohé podniky cenným aktívom. Zber, zhromažďovanie
a analýza údajov týkajúcich sa potenciálnych zákazníkov je často
významnou časťou ich podnikateľských aktivít[1]. V tomto novom digitálnom prostredí majú fyzické
osoby právo na účinnú kontrolu nad osobnými údajmi, ktoré sa ich týkajú.
Ochrana údajov je v Európe základným právom, ktoré je zakotvené v
článku 8 Charty základných práv Európskej únie, ako aj v článku
16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ), a preto sa musí
náležite chrániť. Nedostatok dôvery spôsobuje, že spotrebitelia
váhajú s nákupmi on-line a ťažšie si zvykajú na nové služby.
Vysoká úroveň ochrany údajov má preto kľúčový význam aj pre
posilnenie dôvery v služby on-line a pre využitie potenciálu digitálnej
ekonomiky, a tak aj pre podporu hospodárskeho rastu a
konkurencieschopnosti priemyslu EÚ. Na zaistenie voľného toku údajov medzi členskými
štátmi sú potrebné moderné a harmonizované pravidlá v celej EÚ. Podniky
musia mať k dispozícii jasné a jednotné pravidlá, ktoré zaistia
právnu istotu a minimalizujú administratívnu záťaž. To je základný
predpoklad pre to, aby mohol jednotný trh fungovať a stimulovať
hospodársky rast, viesť k vytváraniu pracovných miest a podporovať
inovácie[2].
Modernizácia pravidiel ochrany osobných údajov EÚ, ktorá posilňuje ich
aspekt súvisiaci s vnútorným trhom, zaisťuje vysokú úroveň ochrany
údajov fyzických osôb a podporuje právnu istotu, jasnosť
a súdržnosť, a preto zaujíma ústredné miesto v rámci
akčného plánu pre Štokholmský program Európskej komisie[3], v Digitálnej agende pre Európu[4] a zo širšieho pohľadu
prispieva k stratégii rastu EÚ Európa 2020[5]. Smernica EÚ z roku 1995[6], hlavný legislatívny nástroj
v oblasti ochrany osobných údajov v EÚ, bola míľnikom v histórii
ochrany údajov. Jej ciele, ktorými sú zaistenie fungovania jednotného trhu a
účinná ochrana základných práv a slobôd fyzických osôb, sú stále aktuálne.
Bola však prijatá pred 17 rokmi v čase, keď bol internet ešte
len vo svojich počiatkoch. V súčasnom novom a náročnom
digitálnom prostredí nie sú existujúce pravidlá ani dostatočne
harmonizované, ani dostatočne efektívne na zaistenie práva na ochranu
osobných údajov. Práve z tohto dôvodu Komisia navrhuje zásadnú reformu
rámca ochrany údajov v EÚ. Okrem toho od nadobudnutia platnosti Lisabonskej
zmluvy predstavuje článok 16 ZFEÚ nový právny základ pre modernizovaný
a komplexný prístup k ochrane údajov a pre voľný pohyb
osobných údajov, ktorý sa vzťahuje aj na policajnú a justičnú
spoluprácu v trestných veciach[7].
Tento prístup je zohľadnený v oznámeniach Komisie týkajúcich sa
Štokholmského programu a akčného plánu pre Štokholmský program[8], v ktorých sa zdôrazňuje,
že „Únia musí zaviesť úplný režim ochrany osobných údajov, ktorý pokryje
všetky oblasti jej právomocí“ a „zabezpečiť konzistentné
uplatňovanie základného práva na ochranu údajov“. S cieľom pripraviť reformu rámca
ochrany údajov EÚ transparentným spôsobom začala Komisia od roku 2009
organizovať verejné konzultácie o ochrane údajov[9] a viesť intenzívny
dialóg so zainteresovanými stranami[10].
Dňa 4. novembra Komisia uverejnila oznámenie o komplexnom prístupe k
ochrane osobných údajov v Európskej únii[11],
v ktorom sa uvádzajú hlavné prvky reformy. V období od septembra do
decembra 2011 Komisia viedla posilnený dialóg s európskymi národnými
orgánmi pre ochranu údajov a s európskym dozorným úradníkom pre ochranu
údajov, ktorého cieľom bolo preskúmať možnosti súdržnejšieho
uplatňovania pravidiel na ochranu údajov prijatých na úrovni EÚ vo
všetkých členských štátoch EÚ[12]. Z uvedených diskusií vyplynulo, že
občania aj podniky si želajú, aby Európska komisia reformovala
pravidlá EÚ na ochranu údajov komplexne. Po posúdení dôsledkov rôznych možností
politiky[13]
Európska komisia navrhuje pevný a súdržný legislatívny rámec
pokrývajúci všetky politiky Únie, ktorý posilňuje práva fyzických osôb,
rozmer vnútorného trhu v oblasti ochrany údajov a znižuje administratívnu
záťaž podnikov[14].
Komisia navrhuje, aby nový rámec pozostával z: –
nariadenia (ktorým sa
nahrádza smernica 95/46/ES), ktorým sa ustanovuje všeobecný rámec EÚ pre
ochranu údajov[15], –
a smernice (ktorou sa nahrádza rámcové
rozhodnutie 2008/977/SVV[16]),
ktorým sa stanovujú pravidlá ochrany osobných údajov spracúvaných na účely
predchádzania trestným činom, ich odhaľovania, vyšetrovania alebo
stíhania a na účely súvisiacich činností justičných orgánov. V tomto oznámení sa uvádzajú hlavné prvky
reformy rámca EÚ na ochranu údajov.
2.
Poskytnúť fyzickým osobám kontrolu nad ich
osobnými údajmi
Smernica 95/46/ES – ktorá je v súčasnosti
hlavným právnym nástrojom EÚ v oblasti ochrany údajov – nezaisťuje
dostatočnú harmonizáciu spôsobov, prostredníctvom ktorých môžu fyzické
osoby uplatňovať svoje právo na ochranu údajov v jednotlivých
členských štátoch. Ani právomoci národných orgánov zodpovedných za ochranu
údajov nie sú harmonizované v dostatočnej miere tak, aby bolo možné
zabezpečiť súdržné a účinné uplatňovanie pravidiel.
V praxi to znamená, že uplatňovanie práv je v niektorých
členských štátoch zložitejšie než v iných, a to najmä v on-line
prostredí. Tieto ťažkosti vyplývajú aj zo samotného
objemu údajov, ktoré sa každodenne zhromažďujú, a zo
skutočnosti, že používatelia často nevedia o tom, že údaje o
nich sa zhromažďujú. Hoci sa mnoho Európanov domnieva, že
sprístupňovanie osobných údajov sa v čoraz väčšej miere stáva
súčasťou moderného života[17],
72 % používateľov internetu v Európe má stále obavy, že sa od
nich v on-line prostredí vyžaduje príliš mnoho osobných údajov[18]. Majú pocit, že nad týmito
údajmi nemajú kontrolu. Nie sú náležite informovaní o tom, čo sa
z ich osobnými údajmi deje a komu a na aké účely sa tieto
údaje odovzdávajú. Často nevedia, ako uplatniť svoje práva on-line. „Právo byť
zabudnutý“ Európsky študent, ktorý využíva služby
sociálnej siete, sa rozhodne požiadať o prístup ku všetkým osobným
údajom, ktoré o ňom sieť uchováva. Zistí pri tom, že sieť
zhromažďuje oveľa viac údajov, než predpokladal, a že niektoré
osobné údaje, o ktorých si myslel, že sú už vymazané, sa stále uchovávajú. Reforma pravidiel EÚ na ochranu údajov zaistí,
že k takýmto situáciám už nebude dochádzať, pretože sa ňou
zavedie: – výslovná povinnosť poskytovateľov
služieb sociálnych sietí (a všetkých ostatných prevádzkovateľov údajov)
minimalizovať objem osobných údajov o používateľoch, ktoré
zhromažďujú a spracúvajú, – povinnosť, aby základné nastavenie
zaisťovalo nezverejnenie údajov, – výslovnú povinnosť
prevádzkovateľov údajov vymazať osobné údaje fyzickej osoby, ak táto
osoba výslovne požiada o vymazanie a ak neexistuje žiaden legitímny
dôvod na ich uchovávanie.
V tomto konkrétnom prípade by bol poskytovateľ služieb sociálnej
siete nútený bezodkladne a úplne vymazať všetky údaje o študentovi. Ako sa zdôrazňuje v Digitálnej agende pre
Európu, obavy súvisiace s ochranou súkromia patria medzi najčastejšie
dôvody, pre ktoré ľudia nenakupujú tovary a služby on-line.
Vzhľadom na príspevok sektora informačných a komunikačných
technológií (IKT) k celkovému rastu produktivity Európe – 20 % priamo
zo sektora IKT a 30 % z investícií z IKT[19] – má dôvera k takýmto
službám zásadný význam pre podporu rastu hospodárstva EÚ a pre
konkurencieschopnosť európskeho priemyslu. Oznámenia
o porušení ochrany údajov Hackeri zaútočili na poskytovateľa
služieb v oblasti hier on-line, ktoré sú zamerané na používateľov v
EÚ. Došlo k prieniku do databáz obsahujúcich osobné údaje (vrátane mien,
adries a možno údajov o kreditných kartách) desiatok miliónov
používateľov na celom svete. Spoločnosť informovala dotknutých
používateľov až po týždni. Reforma pravidiel EÚ na ochranu údajov zaistí,
že k takejto situácii už nebude môcť dôjsť. Podľa nových
pravidiel budú mať spoločnosti povinnosť: – posilniť svoje bezpečnostné
opatrenia na predchádzanie a zabránenie porušeniam bezpečnosti, – oznámiť prípady porušenia ochrany
údajov národným orgánom pre ochranu údajov – ak je to možné, do 24 hodín od
odhalenia incidentu – a dotknutým osobám bez zbytočného odkladu. Cieľom nových legislatívnych aktov, ktorých
návrhy predkladá Komisia, je posilniť práva a poskytnúť občanom
efektívne a funkčné prostriedky, ktoré zaistia, že budú plne
informovaní o tom, čo sa s ich osobnými údajmi deje, a ktoré im
umožnia účinnejší výkon ich práv. Na posilnenie práv fyzických osôb na ochranu ich
osobných údajov navrhuje Komisia nové pravidlá, ktoré: zlepšia možnosti kontroly, ktorú majú fyzické
osoby nad svojimi osobnými údajmi, a to: – zaistením, že v prípadoch, keď sa
vyžaduje ich súhlas, musí byť tento súhlas výslovný, a
teda založený buď na vyhlásení, alebo inom jasnom akte vyjadrujúcom
súhlas, a musí byť poskytnutý dobrovoľne, – zaručením účinného „práva
byť zabudnutý“ v on-line prostredí pre používateľov
internetu: právo na vymazanie údajov o používateľoch, ak odvolajú svoj
súhlas a ak neexistujú iné legitímne dôvody na uchovávanie údajov, – zaručením jednoduchého prístupu
k vlastným osobným údajom a práva na prenosnosť údajov:
právo získať kópiu uchovávaných údajov od prevádzkovateľa
a sloboda presunúť tieto údaje od jedného poskytovateľa služieb
k inému bez akýchkoľvek prekážok, – posilnením práva
na informácie, aby fyzické osoby plne chápali, ako sa s ich osobnými
údajmi narába, a to najmä v prípade, keď sa operácie spracúvania
údajov týkajú detí;
poskytnú fyzickým osobám prostriedky, ktoré im
umožnia lepšie využívať ich práva, a to: – posilnením nezávislosti a právomocí
národných orgánov pre ochranu údajov tak, aby mali k dispozícii náležité
nástroje na účinné riešenie sťažností a aby medzi ich právomoci
patrilo právo viesť skutočné vyšetrovanie, prijímať záväzné
rozhodnutia a ukladať účinné a odrádzajúce sankcie, – posilnením správnych a súdnych
prostriedkov nápravy pre prípad porušenia práv na ochranu
údajov. Oprávnené združenia budú môcť podávať návrhy na začatie
konania na súde v mene fyzických osôb; posilnia bezpečnosť údajov, a to: – podporovaním používania technológií na
zvýšenie ochrany súkromia (technológie, ktoré chránia dôvernosť
informácií prostredníctvom minimalizovania uchovávania osobných údajov), základných
nastavení zohľadňujúcich ochranu súkromia a systémov
udeľovania certifikátov o nenarúšaní súkromia, – zavedením všeobecnej povinnosti[20] prevádzkovateľov údajov oznámiť
prípady porušenia ochrany údajov bez zbytočného odkladu národným
orgánom pre ochranu údajov (ak je to možné do 24 hodín) a dotknutým osobám; zvýšia zodpovednosť tých, ktorí
spracúvajú osobné údaje, a to najmä: – zavedením
povinnosti prevádzkovateľov vymenovať úradníka pre ochranu údajov
v spoločnostiach s viac než 250 zamestnancami a v podnikoch
vykonávajúcich operácie spracúvania, ktoré svojou povahou, rozsahom alebo
účelom predstavujú osobitné riziká v súvislosti s právami
a slobodami fyzických osôb („rizikové spracúvanie“), – zavedením zásady „ochrany súkromia už v
štádiu návrhu“ s cieľom zaistiť, aby sa záruky ochrany
údajov zohľadnili už vo fáze plánovania postupov a systémov, – zavedením povinnosti vykonať posúdenie
vplyvu z hľadiska ochrany údajov pre organizácie, ktoré vykonávajú
rizikové spracúvanie.
3.
Pravidlá ochrany údajov, ktoré vyhovujú potrebám
elektronického jednotného trhu
Napriek tomu, že cieľom
v súčasnosti platnej smernice je zaistiť rovnakú úroveň
ochrany údajov v rámci EÚ, medzi pravidlami platnými v členských
štátoch naďalej pretrvávajú značné rozdiely. V dôsledku toho
môžu byť prevádzkovatelia údajov nútení plniť požiadavky 27
rozdielnych vnútroštátnych právnych poriadkov. Výsledkom je roztrieštené
právne prostredie, ktoré vedie k právnej neistote
a nerovnomernej ochrane fyzických osôb. To vedie k zbytočným
nákladom a administratívnej záťaži pre podniky a predstavuje
prekážku pre podniky pôsobiace na jednotnom trhu, ktoré by chceli rozšíriť
svoje aktivity za hranice. Právomoci národných orgánov zodpovedných za
ochranu údajov a zdroje, ktorými disponujú, sa v jednotlivých
členských štátoch výrazne líšia[21].
V niektorých prípadoch nie sú tieto orgány schopné uspokojivo plniť
svoje úlohy v oblasti presadzovania. Spolupráca medzi týmito orgánmi na
európskej úrovni – prostredníctvom existujúcej poradnej skupiny (tzv. pracovná
skupina zriadená podľa článku 29)[22]
– nevedie vždy ku konzistentnému presadzovaniu a je tiež potrebné zlepšiť
ju. Konzistentné presadzovanie pravidiel ochrany
údajov v celej Európe Nadnárodná spoločnosť
s viacerými pobočkami v EÚ začala v Európe
prevádzkovať on-line mapovací systém, ktorý zhromažďuje obrazové
snímky všetkých súkromných a verejných budov a môže tiež obsahovať
snímky ľudí na ulici. V jednom členskom štáte sa zahrnutie
nerozmazanej snímky osôb, ktoré nevedeli o tom, že sú fotografované,
považovalo za nezákonné, zatiaľ čo v iných členských
štátoch nedošlo k žiadnemu porušenie právnych predpisov na ochranu údajov.
V dôsledku toho jednotlivé národné orgány pre ochranu údajov neriešili
túto situáciu konzistentne. Reforma pravidiel EÚ na ochranu údajov zaistí,
že k takejto situácii už v budúcnosti nebude môcť dôjsť,
pretože: – požiadavky a záruky týkajúce sa ochrany
údajov budú stanovené v nariadení EÚ, ktoré bude mať priamy
účinok celej Únii, – rozhodovať o tom, či
spoločnosť koná v súlade so zákonom, bude len orgán pre ochranu
údajov v krajine, v ktorej má daná spoločnosť svoje hlavne
sídlo, – včasná a účinná koordinácia
medzi národnými orgánmi pre ochranu údajov – vzhľadom na to, že služba sa
poskytuje fyzickým osobám vo viacerých členských štátoch – pomôže
zaistiť, aby sa nové pravidlá EÚ v oblasti ochrany údajov
uplatňovali a presadzovali konzistentne vo všetkých členských
štátoch.
Bude potrebné posilniť národné orgány
a ich spoluprácu, aby bolo možné zaistiť konzistentné presadzovanie
pravidiel a v konečnom dôsledku aj ich jednotné uplatňovanie v
celej EÚ. Pevný, jasný a jednotný legislatívny rámec na
úrovni EÚ pomôže uvoľniť potenciál elektronického jednotného trhu
a podporiť hospodársky rast, inovácie a vytváranie pracovných
miest. Nariadením sa odstráni problém roztrieštenosti právnych úprav 27
členských štátov a odstránia sa prekážky vstupu na trh, čo je
obzvlášť významný faktor z hľadiska mikro, malých
a stredných podnikov. Nové pravidlá tiež zvýhodnia podniky z EÚ
v globálnom konkurenčnom prostredí. V rámci zreformovaného
regulačného rámca budú môcť svojich zákazníkov uistiť, že
s cennými osobnými údajmi sa bude zaobchádzať s náležitou
starostlivosťou a obozretnosťou. Dôvera v súdržný regulačný
rámec EÚ bude predstavovať kľúčovú výhodu pre
poskytovateľov služieb a stimul pre investorov hľadajúcich
ideálne podmienky z hľadiska miesta poskytovania služieb. S cieľom posilniť rozmer vnútorného
trhu v oblasti ochrany údajov Komisia navrhuje: – stanoviť pravidlá ochrany údajov na
úrovni EÚ prostredníctvom nariadenia priamo uplatniteľného vo všetkých
členských štátoch[23],
ktoré ukončí kumulatívne a súbežné uplatňovanie rozdielnych
národných právnych predpisov na ochranu osobných údajov. Čisté úspory
podnikov vyplývajúce zo samotného zníženia administratívnej záťaže
v dôsledku tohto opatrenia dosiahnu približne 2,3 miliardy EUR
ročne, – zjednodušiť regulačné
prostredie prostredníctvom drastického zníženia byrokracie a zrušenia formalít,
ako je napríklad všeobecná notifikačná povinnosť (čistá úspora
vo výške 130 miliónov EUR, len pokiaľ ide o zníženie administratívnej
záťaže). Osobitná pozornosť sa venuje špecifickým potrebám mikro,
malých a stredných podnikov vzhľadom na ich význam pre
konkurencieschopnosť európskeho hospodárstva, – ešte viac posilniť nezávislosť
a právomoci národných orgánov pre ochranu údajov, aby mohli viesť
vyšetrovania, prijímať záväzné rozhodnutia a ukladať účinné
a odrádzajúce sankcie, a stanoviť povinnosť členských
štátov poskytnúť im na tento účel dostatočné zdroje, – vytvoriť systém „jednotného
kontaktného miesta“ pre ochranu údajov v EÚ: prevádzkovatelia údajov
v EÚ budú podliehať jedinému orgánu pre ochranu údajov, a to
orgánu pre ochranu údajov toho členského štátu, v ktorom má daná
spoločnosť hlavné sídlo, – vytvoriť podmienky pre rýchlu
a efektívnu spoluprácu medzi orgánmi pre ochranu údajov vrátane
povinnosti orgánu pre ochranu údajov uskutočňovať vyšetrovania a
kontroly na základe žiadosti iného orgánu pre ochranu údajov a vzájomného
uznávania rozhodnutí, – vytvoriť mechanizmus na zaistenie
konzistentnosti na úrovni EÚ s cieľom zaistiť, aby rozhodnutia
orgánov pre ochranu údajov, ktoré majú širší európsky dosah, plne
zohľadňovali názory ostatných orgánov pre ochranu údajov a boli plne
v súlade s právom EÚ, – transformovať pracovnú skupinu
zriadenú podľa článku 29 na nezávislý Európsky výbor pre ochranu
údajov s cieľom zlepšiť jej príspevok ku konzistentnému
uplatňovaniu právnych predpisov na ochranu osobných údajov
a poskytnúť pevný základ pre spoluprácu medzi orgánmi pre ochranu
údajov vrátane európskeho dozorného úradníka pre ochranu údajov, a
posilniť synergie a účinnosť prostredníctvom ustanovenia, že
funkciu sekretariátu Európskeho výboru pre ochranu údajov bude plniť
európsky dozorný úradník pre ochranu údajov. Nové nariadenie EÚ zaistí spoľahlivú ochranu
základného práva na ochranu údajov v celej Európskej únii a posilní
fungovanie jednotného trhu. Zároveň – vzhľadom na
skutočnosť, že, ako zdôraznil Súdny dvor EÚ[24], právo na ochranu osobných
údajov sa nejaví ako absolútne právo, ale musí sa zohľadniť so
zreteľom na jeho funkciu v spoločnosti[25] a musí byť v
rovnováhe s ostatnými základnými právami, a to v súlade so zásadou
proporcionality[26]
– sa do nariadenia zahrnú výslovné ustanovenia zaisťujúce dodržiavanie
ostatných základných práv, ako sú sloboda prejavu a právo na informácie
a právo na obhajobu, ako aj dodržiavanie služobného tajomstva (napríklad
v prípade právnických profesií), bez toho, aby bolo dotknuté právne
postavenie cirkví v jednotlivých členských štátoch.
4.
Používanie údajov v rámci policajnej
a justičnej spolupráce v trestných veciach
Nadobudnutie platnosti Lisabonskej zmluvy,
a najmä zavedenie nového právneho základu (článku 16 ZFEÚ), umožňujú
vytvorenie komplexného rámca na ochranu údajov, ktorý zaisťuje vysokú
úroveň ochrany údajov fyzických osôb a zároveň
zohľadňuje osobitný charakter oblasti policajnej
a justičnej spolupráce v trestných veciach. Umožňuje najmä,
aby sa revidovaný rámec EÚ na ochranu údajov vzťahoval na cezhraničné
aj vnútroštátne spracúvanie osobných údajov.. Zmenšili by sa tak rozdiely medzi
právnymi úpravami jednotlivých členských štátov, čo by mohlo
prispieť k celkovému zlepšeniu ochrany osobných údajov. Mohlo by to tiež
viesť k jednoduchšej výmene informácií medzi policajnými a
justičnými orgánmi členských štátov, a tak aj k zlepšeniu
spolupráce v boji proti závažnej trestnej činnosti v Európe.
Spracúvanie údajov policajnými a justičnými orgánmi v trestných
veciach je v súčasnosti upravené najmä rámcovým rozhodnutím
2008/977/SVV, ktoré bolo prijaté pred nadobudnutím platnosti Lisabonskej
zmluvy. Keďže ide o rámcové rozhodnutie, Komisia nemá žiadnu právomoc
presadzovať dodržiavanie svojich pravidiel, čo prispelo k rozdielom
vo vykonávaní. Okrem toho je rozsah pôsobnosti rámcového rozhodnutia obmedzený
na cezhraničné spracúvanie údajov[27].
Znamená to, že na spracúvanie osobných údajov, ktoré nie sú predmetom výmeny,
sa v súčasnosti nevzťahujú pravidlá EÚ, ktoré upravujú takéto
spracúvanie a ochranu základného práva na ochranu údajov. To
v niektorých prípadoch spôsobuje praktické ťažkosti polícii
a iným orgánom, pre ktoré nemusí byť vždy jednoduché určiť,
či má spracúvanie výlučne vnútroštátny alebo cezhraničný
charakter, resp. predvídať, či sa „vnútroštátne“ údaje môžu neskôr
stať predmetom cezhraničnej výmeny[28].
Cieľom nového zreformovaného rámca EÚ na
ochranu údajov je preto zaistiť konzistentnú, vysokú úroveň ochrany
údajov v snahe posilniť vzájomnú dôveru medzi policajnými a
justičnými orgánmi rôznych členských štátov, a tak prispieť
k voľnému toku údajov a účinnej spolupráci policajných
a justičných orgánov. S cieľom zaistiť vysokú úroveň
ochrany osobných údajov v oblasti policajne a justičnej spolupráce
v trestných veciach a uľahčiť výmenu osobných údajov
medzi policajnými a justičnými orgánmi členských štátov
predkladá Komisia, ako súčasť súboru opatrení na reformu ochrany
údajov, smernicu, ktorá: – zaistí, aby sa
v oblasti policajnej spolupráce a justičnej spolupráce v trestných
veciach uplatňovali všeobecné zásady ochrany údajov, a to pri
zohľadnení osobitného charakteru týchto oblastí,[29] – stanoví minimálne harmonizované kritériá
a podmienky pre možné obmedzenia všeobecných pravidiel. Ide
predovšetkým o právo fyzických osôb byť informovaný v prípadoch,
keď policajné a justičné orgány narábajú s ich údajmi alebo
k nim majú prístup. Takéto obmedzenia sú potrebné na účinné
predchádzanie trestným činom, ich odhaľovanie, vyšetrovanie alebo
stíhanie, – stanoví osobitné pravidlá, ktoré budú
zohľadňovať osobitný charakter činností v oblasti
presadzovania práva vrátane rozlišovania medzi rôznymi kategóriami
dotknutých osôb, ktorých práva môžu byť odlišné (napr. svedkovia
a podozriví).
5.
OCHRANA ÚDAJOV V GLOBALIZOVANOM SVETE
Práva fyzických osôb musia byť naďalej
chránené v prípadoch, keď dochádza k prenosu osobných údajov
z EÚ do tretích krajín a vždy keď sú služby zamerané na fyzické
osoby v členských štátoch a zo strany poskytovateľa údajov z
tretej krajiny dochádza k používaniu alebo analyzovaniu ich údajov.
Znamená to, že normy EÚ v oblasti ochrany údajov musia platiť bez
ohľadu na geografické umiestnenie spoločnosti alebo jej prevádzky,
ktorá údaje spracúva. V dnešnom globalizovanom svete sa osobné
údaje prenášajú cez čoraz väčší počet virtuálnych
a geografických hraníc a uchovávajú sa na serveroch umiestnených
v mnohých krajinách. Čoraz viac spoločností ponúka služby „cloud
computing“, ktoré zákazníkom umožňujú prístup k údajom a ich uchovávanie
na vzdialených serveroch. Tieto skutočnosti si vyžadujú zlepšenie
súčasného mechanizmu prenosu údajov do tretích krajín. To zahŕňa
aj rozhodnutia o primeranosti – t. j. rozhodnutia potvrdzujúce
„primeranosť“ noriem ochrany údajov v tretích krajinách –
a náležité záruky, ako sú štandardné zmluvné doložky alebo záväzné firemné
pravidlá[30],
aby sa zaistila vysoká úroveň ochrany pri medzinárodných operáciách
spracúvania a uľahčil tok údajov cez hranice. Záväzné firemné pravidlá Skupina podnikov potrebuje
uskutočniť prenos osobných údajov zo svojich filiálok v EÚ do svojich
filiálok v tretích krajinách. Skupina by chcela zaviesť súbor
záväzných firemných pravidiel s cieľom zaistiť súlad
s právom EÚ a zároveň obmedziť administratívne požiadavky
vzťahujúce sa na každý individuálny prenos. Záväzné firemné pravidlá v
praxi zaisťujú, že sa v celej skupine uplatňuje jediný súbor
pravidiel namiesto rôznych interných zmlúv. Podľa súčasnej praxe, ktorá bola
dohodnutá na úrovni pracovnej skupiny zriadenej podľa článku 29, sa
pre uznanie toho, že záväzné firemné pravidlá určitého podniku poskytujú
primerané záruky, vyžaduje dôkladné preskúmanie vykonané tromi orgánmi pre
ochranu údajov (jedným „vedúcim“ a dvomi „hodnotiacimi“), ale pripomienky
môžu vzniesť aj ďalšie orgány. Okrem toho právne predpisy mnohých členských
štátov vyžadujú dodatočné národné povolenie pre prenosy podliehajúce
záväzným firemným pravidlám, v dôsledku čoho je proces ich prijímania
veľmi zložitý, nákladný, dlhý a komplexný. Po uskutočnení reformy ochrany údajov: – sa tento proces zjednoduší
a zefektívni, – záväzné firemné pravidlá budú
schvaľované len jedným orgánom pre ochranu údajov a bude
existovať mechanizmus, ktorý umožní rýchle zapojenie ostatných príslušných
orgánov pre ochranu údajov, – keď záväzné firemné pravidlá schváli
jeden orgán, stanú sa platnými pre celú EÚ a nebude potrebné žiadne ďalšie
povolenie na vnútroštátnej úrovni. Na riešenie výziev súvisiacich
s globalizáciou sú – najmä pre podniky s celosvetovou
pôsobnosťou – potrebné flexibilné nástroje a mechanizmy, pričom je
zároveň potrebné zaručiť bezchybnú ochranu údajov fyzických
osôb. Komisia navrhuje tieto opatrenia: – jasné pravidlá,
ktoré vymedzia, kedy sa právo EÚ vzťahuje na prevádzkovateľov
údajov so sídlom v tretích krajinách, a to najmä stanovením
pravidla, podľa ktorého sa vždy, keď sa tovary alebo služby ponúkajú
fyzickým osobám v EÚ alebo keď sa monitoruje správanie týchto osôb, uplatňujú
európske pravidlá, – všetky rozhodnutia o primeranosti
bude prijímať Európska komisia na základe explicitných a jasných kritérií,
a to aj v oblasti policajnej a justičnej spolupráce v trestných
veciach, – zákonné toky údajov do tretích krajín sa
uľahčia posilnením a zjednodušením pravidiel medzinárodných
prenosov do krajín, na ktoré sa nevzťahuje žiadne rozhodnutie
o primeranosti, a to najmä zefektívnením a rozšírením používania
nástrojov, ako sú záväzné firemné pravidlá tak, aby sa mohli
uplatňovať na prevádzkovateľov údajov a v rámci
skupín podnikov, čo umožní lepšie zohľadniť rastúci
počet podnikov zapojených do operácií spracúvania údajov, a to najmä
pokiaľ ide o cloud computing, – nadviazanie dialógu a v náležitých
prípadoch začatie rokovaní s tretími krajinami – najmä so
strategickými partnermi EÚ a krajinami, na ktoré sa vzťahuje európska
susedská politika – a príslušnými medzinárodnými organizáciami (ako sú
Rada Európy, Organizácia pre hospodársku spoluprácu a rozvoj
a Organizácia spojených národov) s cieľom podporiť
uplatňovanie interoperabilných noriem zaručujúcich vysokú úroveň
ochrany na celom svete.
6.
ZÁVER
Cieľom reformy ochrany údajov v EÚ je
vytvoriť moderný, pevný, konzistentný a komplexný rámec ochrany
údajov pre Európsku úniu. Posilní sa ochrana základného práva
fyzických osôb na ochranu údajov. Ďalšie práva a slobody, ako sú sloboda
prejavu a právo na informácie, práva dieťaťa, právo podnikať,
právo na spravodlivý proces a služobné tajomstvo (napríklad v prípade
právnických profesií), ako aj právne postavenie cirkví v členských
štátoch, budú zachované. Reforma prinesie prospech predovšetkým fyzickým
osobám vďaka posilneniu ich práv na ochranu údajov a ich dôvery v
digitálne prostredie. Reforma tiež výrazne zjednoduší právne prostredie pre
podniky a verejný sektor. To by malo podľa očakávaní
stimulovať rozvoj digitálnej ekonomiky v rámci jednotného trhu EÚ aj za jeho
hranicami v súlade s cieľmi stratégie Európa 2020 a Digitálnej agendy pre
Európu. Reforma napokon posilní dôveru medzi orgánmi presadzovania práva
s cieľom uľahčiť výmenu údajov medzi nimi a ich
spoluprácu v boji proti závažnej trestnej činnosti, a to pri zaistení
vysokej úrovne ochrany fyzických osôb. Európska komisia bude úzko spolupracovať
s Európskym parlamentom a Radou, aby zaistila dosiahnutie dohody
o novom rámci EÚ na ochranu údajov do konca roku 2012. V priebehu procesu
prijímania ako aj po jeho skončení, a to najmä v súvislosti
s vykonávaním nových právnych nástrojov, bude Komisia udržiavať úzky
a transparentný dialóg so všetkými zainteresovanými stranami, do
ktorého budú zapojení predstavitelia súkromného a verejného sektora. Budú medzi
nimi zástupcovia polície a justičných orgánov, regulačných orgánov v
oblasti elektronických komunikácií, organizácií občianskej
spoločnosti, orgánov pre ochranu údajov a akademickej obce, ako aj
špecializovaných agentúr EÚ, ako sú Eurojust, Europol, Agentúra pre základné
práva a Európska agentúra pre bezpečnosť sietí a informácií .
V kontexte neustáleho rozvoja informačných technológií a
meniaceho sa sociálneho správania má takýto dialóg mimoriadny význam, aby bolo
možné využiť príspevky jednotlivých aktérov na zaistenie vysokej úrovne
ochrany údajov fyzických osôb, rastu a konkurencieschopnosti priemyslu EÚ,
operatívnej účinnosti verejného sektora (vrátane polície a justície)
a nízkej miery administratívnej záťaže. [1] Trh analýzy veľmi rozsiahlych súborov údajov rastie
celosvetovo ročne o 40 %: http://www.mckinsey.com/mgi/publications/big_data/. [2] Pozri aj závery Európskej rady z 23. októbra 2011,
v ktorých sa zdôrazňuje „kľúčová úloha“ jednotného trhu „pri
dosahovaní rastu a zamestnanosti“, ako ja potreba dobudovať
elektronický jednotný trh do roku 2015. [3] KOM(2010) 171 v konečnom znení. [4] KOM(2010) 245 v konečnom znení. [5] KOM(2010) 2020 v konečnom znení. [6] Smernica 95/46/ES o ochrane fyzických osôb pri
spracovaní osobných údajov a voľnom pohybe týchto údajov, Ú. v. ES L 281,
23.11.1995, s. 31. [7] Osobitné pravidlá spracúvania údajov členskými
štátmi v oblasti spoločnej zahraničnej a bezpečnostnej politiky
sa stanovia rozhodnutím Rady založeným na článku 39 ZEÚ. [8] KOM(2009) 262 a KOM(2010) 171. [9] Zorganizovali sa dve verejné konzultácie o reforme
ochrany údajov: jedna prebiehala od júla do decembra 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
a druhá od novembra 2010 do januára 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm). [10] V roku 2010 sa uskutočnili cielené konzultácie
s orgánmi členských štátov a súkromnými zainteresovanými stranami.
V novembri 2010 komisárka EÚ pre spravodlivosť Vivian Redingová
zorganizovala okrúhly stôl venovaný reforme ochrany údajov. V priebehu
roka 2011 sa uskutočnili aj ďalšie špecializované workshopy a
semináre zamerané na osobitné otázky (napr. oznámenia o porušení ochrany
údajov). [11] KOM(2010) 609. [12] Pozri list komisárky EÚ pre spravodlivosť Vivian
Redingovej z 19. septembra 2011 adresovaný členom pracovnej skupiny
zriadenej podľa článku 29, uverejnený na adrese http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm. [13] Pozri posúdenie vplyvu SEK(2012) 72. [14] V neskoršej fáze sa pristúpi aj k zmenám
a doplneniam zameraným na zosúladenie osobitných a odvetvových
nástrojov, ako je napríklad nariadenie (ES) č. 45/2001, Ú. v. EÚ L 8,
12.1.2001, s.1. [15] Nariadením sa zavádza aj obmedzené množstvo technických
úprav smernice o súkromí a elektronických komunikáciách (smernica
2002/58/ES, naposledy zmenená a doplnená smernicou 2009/136/ES – Ú. v. EÚ L
337, 18.12.2009, s. 11) s cieľom zohľadniť transformáciu
smernice 95/46/ES na nariadenie. Podstatné právne dôsledky nového nariadenia
a novej smernice pre smernicu o súkromí a elektronických
komunikáciách Komisia v náležitom čase preskúma, pričom zohľadní
výsledky rokovaní o súčasných návrhoch s Európskym parlamentom a
Radou. [16] Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008
o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej
spolupráce v trestných veciach, Ú. v. EÚ L 350, 30.12.2008, s. 60. Správa
o vykonávaní rámcového rozhodnutia členskými štátmi [KOM(2012) 12] sa
prijíma ako súčasť súboru opatrení na reformu ochrany údajov. [17] Pozri Osobitný Eurobarometer 359 – „Attitudes on Data
Protection and Electronic Identity in the European Union“, jún 2011, s. 23. [18] Tamtiež, s. 54. [19] Pozri Digitálnu agendu pre Európu, str. 4. [20] V súčasnosti táto povinnosť existuje len
v sektore telekomunikácií na základe smernice o súkromí
a elektronických komunikáciách. [21] Viac informácií týkajúcich sa tohto aspektu možno
nájsť v posúdení vplyvu pripojenom k právnym návrhom, SEK(2010)
72. [22] Pracovná skupina zriadená podľa článku 29 bola
ustanovená v roku 1996 (článkom 29 smernice 95/46/ES) ako poradný
orgán, ktorého členmi sú zástupcovia národných dozorných orgánov pre ochranu
údajov, európsky dozorný úradník pre ochranu údajov (EDPS) a zástupca
Komisie. Viac informácií o jej činnosti možno nájsť na adrese http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [23] Podľa návrhu by sa pravidlá uplatniteľné
v oblasti policajnej a justičnej spolupráce v trestných veciach mali
vymedziť v smernici (pozri bod 4), čím sa poskytne členským
štátom v tejto osobitnej oblasti väčšia voľnosť. [24] Rozsudok Súdneho dvora Európskej únie z 9. novembra 2010,
spojené veci C-92/09 a C-93/09, Volker und Markus Schecke a Eifert,
Zb. 2010, zatiaľ neuverejnený v Zbierke. [25] V súlade s článkom 52 ods. 1 charty je
možné obmedziť výkon práva na ochranu osobných údajov, ak je takéto
obmedzenie ustanovené zákonom, rešpektuje podstatu týchto práv a slobôd
a za predpokladu dodržiavania zásady proporcionality je nevyhnutné
a skutočne zodpovedá cieľom všeobecného záujmu, ktoré sú uznané
Európskou úniou, alebo je potrebné na ochranu práv a slobôd iných. [26] Rozsudok Súdneho dvora Európskej únie zo 6. novembra 2003,
vec C-101/01, Lindqvist, Zb. 2003. s. I-12971,
body 82 – 90; rozsudok zo 16. decembra 2008, vec C-73/07, Satamedia, Zb.
2008, s. I-9831, body 50 – 62. [27] Presnejšie, rámcové rozhodnutie sa vzťahuje na osobné
údaje, ktoré sa prenášajú alebo poskytujú alebo sa preniesli alebo poskytli
medzi členskými štátmi alebo ku ktorých výmene došlo medzi členskými
štátmi a inštitúciami alebo orgánmi EÚ (pozri článok 1 ods. 2). [28] Túto skutočnosť potvrdili niektoré členské
štáty v odpovediach na dotazník Komisie v súvislosti so správou
o vykonávaní rámcového rozhodnutia KOM(2012) 12. [29] Pozri vyhlásenie č. 21 o ochrane osobných údajov v
oblasti justičnej spolupráce v trestných veciach a policajnej
spolupráce, ktoré je pripojené k Záverečnému aktu medzivládnej
konferencie, ktorá prijala Lisabonskú zmluvu. [30] „Záväzné firemné pravidlá“ sú kódexy osvedčených
postupov vychádzajúce z európskych noriem ochrany údajov a schválené
aspoň jedným orgánom pre ochranu údajov; tieto kódexy organizácie
vypracovali a dobrovoľne dodržiavajú, aby sa zaistili primerané záruky vo
vzťahu k určitým kategóriám prenosov osobných údajov medzi
spoločnosťami, ktoré sú súčasťou rovnakej skupiny podnikov
a ktoré sú týmito firemnými pravidlami viazané. Nie sú výslovne upravené
smernicou 95/46/ES, ale vyvinuli sa v rámci praxe medzi orgánmi pre
ochranu údajov s podporou pracovnej skupiny zriadenej podľa
článku 29.