31.8.2017   

SK

Úradný vestník Európskej únie

C 288/107

Spravodajca:

pán PEGADO LIZ

1.1.

Komisia v predkladanom návrhu vo všeobecnosti správne a primerane (čisto z technicko-právneho hľadiska) účinne realizuje nevyhnutné prispôsobenie súčasného režimu nariadenia Európskeho parlamentu a Rady (ES) č. 45/2001  (1) a rozhodnutia Európskeho parlamentu a Rady č. 1247/2002/ES  (2) o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Únie novému všeobecnému nariadeniu o ochrane údajov (3), ktoré bude platné v celej EÚ od 25. mája 2018.

1.2.

To však nebráni EHSV, aby znovu predložil svoje pripomienky a odporúčania k návrhu všeobecného nariadenia o ochrane údajov, ktoré bolo prepracované na súčasné nariadenie, a ľutuje, že v tomto konečnom znení neboli jeho pripomienky a odporúčania plne zohľadnené. Tiež sa obáva, že neskorým prijatím a nadobudnutím účinnosti tohto nariadenia sa vzhľadom na rýchly technologický vývoj v tejto oblasti zvyšuje riziko neoprávneného získavania údajov a zneužívania ich spracovania a marketingu, a že nariadenie sa stane zastaraným ešte pred jeho implementáciou. Vzhľadom na to, že predkladaný návrh prispôsobuje spomínané všeobecné nariadenie fungovaniu európskych inštitúcií, tieto obavy sa primerane vzťahujú na predkladaný návrh, najmä pokiaľ ide o nejasné znenie a ťažko zrozumiteľný text pre bežného občana.

1.3.

EHSV sa však domnieva, že to, čo sa deje v inštitúciách EÚ, by malo byť príkladom pre postupy na vnútroštátnej úrovni, a preto považuje za nevyhnutné, aby sa pri formulácii predkladaného návrhu postupovalo obzvlášť opatrne.

1.4.

V tejto súvislosti sa EHSV domnieva, že tento návrh by sa mal výslovne zaoberať aspektmi, ako napríklad prepojenie predkladaného návrhu so služobným poriadkom úradníkov Európskej únie, riešenie situácií obťažovania, kybernetického šikanovania a oznamovania nekalých praktík v rámci inštitúcií EÚ, uplatňovanie návrhu nariadenia v súvislosti s iniciatívou internet vecí, big data a využívaním vyhľadávačov na prístup k osobným údajom a vytváranie alebo používanie osobných údajov, ako aj osobných informácií uverejnených na stránkach jednotlivých inštitúcií na sociálnych sieťach (Facebook, Twitter, Linkedin, Instagram atď.).

1.5.

EHSV by tiež ocenil, keby sa v návrhu stanovili podmienky zabezpečenia informačných systémov, ktoré sa budú využívať na spracovanie údajov, a bezpečnostné opatrenia proti kybernetickým útokom a zneužitiu, prípadne úniku týchto údajov, aby sa zabezpečila ich technologická neutralita a nespoliehalo by sa len na špecifické interné pravidlá každej inštitúcie. Tiež by sa mal lepšie objasniť vzťah medzi ochranou údajov a bojom proti trestnej činnosti a terorizmu bez toho, aby to znamenalo prijatie neprimeraných alebo nadmerných opatrení dohľadu, ktoré by v každom prípade by podliehali kontrole európskeho dozorného úradníka pre ochranu údajov (EDPS).

1.6.

Zároveň by privítal, keby návrh definoval kompetencie a typ odbornej prípravy a spôsobilosti potrebnej na výkon funkcie úradníka pre ochranu údajov, prevádzkovateľa alebo sprostredkovateľa údajov v inštitúciách EÚ, pričom vždy podlieha kontrole a monitorovaniu európskeho dozorného úradníka pre ochranu údajov.

1.7.

EHSV sa domnieva, že vzhľadom na špecifickú povahu zbieraných údajov, ktoré sa priamo týkajú súkromia dotknutých osôb, najmä v oblasti zdravia, daňových údajov a sociálneho zabezpečenia, by sa tieto údaje mali obmedziť na striktné minimum potrebné na účely, na ktoré boli určené, a že by sa mala zabezpečiť maximálna ochrana a maximálne záruky pri spracúvaní takýchto obzvlášť citlivých osobných údajov, a to v súlade s najaktuálnejšími medzinárodnými normami a vnútroštátnymi právnymi predpismi a osvedčenými postupmi niektorých členských štátov.

1.8.

EHSV zdôrazňuje, že je potrebné, aby sa v návrhu jasne posilnili prostriedky, ktoré má k dispozícii EDPS a aby mu bol pridelený dostatočný počet zamestnancov s rozsiahlymi znalosťami a odbornou spôsobilosťou v oblasti ochrany údajov.

1.9.

EHSV znovu pripomína, že je potrebné, aby aj údaje o právnických osobách (podniky, mimovládne organizácie, obchodné spoločnosti, atď.), ktoré sú zákonne založené, boli chránené pri zbere a spracúvaní údajov.

1.10.

EHSV vo svojich špecifických pripomienkach vymenúva súbor zmien k rôznym ustanoveniam, ktoré – ak sa prijmú – prispejú k účinnejšej ochrane osobných údajov v rámci inštitúcií EÚ, a to nielen pokiaľ ide o úradníkov týchto inštitúcií, ale aj tisíce európskych občanov, ktorí s inštitúciami prichádzajú do kontaktu. Žiada preto Komisiu, ale aj Európsky parlamentu a Radu, aby tieto pripomienky zohľadnili v konečnej verzii návrhu.

2.1.

Ako sa uvádza v dôvodovej správe Komisie, zámerom jej návrhu je pristúpiť k  zrušeniu nariadenia (ES) č. 45/2001  (4) a rozhodnutia č. 1247/2002/ES o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Únie, a to s dvomi cieľmi:

2.2.

Rada a Parlament po zdĺhavom a náročnom procese rokovaní nakoniec schválili všeobecné nariadenie o ochrane údajov (5), ktoré bude platné v celej EÚ od 25. mája 2018. Týmto nariadením sa upravuje viacero legislatívnych nástrojov (6), medzi ktoré patrí už uvedené nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES.

2.3.

Komisia vzhľadom na výsledky prieskumov a konzultácií so zainteresovanými stranami a hodnotiacu štúdiu o uplatňovaní tohto nariadenia za uplynulých 15 rokov, ktoré rozsiahle zohľadňuje, dospela k týmto konkrétnym záverom:

2.4.

Vzhľadom na povahu a rozsah zmien, ktoré sa majú zaviesť do predchádzajúcich právnych nástrojov, sa Komisia rozhodla, že toto nariadenie úplne zruší a nahradí ho nariadením, ktoré je predmetom tohto stanoviska, v súlade s ostatnými uvedenými nástrojmi, ktoré by mali nadobudnúť účinnosť súčasne s nariadením (EÚ) 2016/679 a podľa jeho článku 98.

3.1.

EHSV z čisto technicko-právneho hľadiska vyjadruje svoj súhlas, pokiaľ ide o:

3.2.

To nie je v rozpore s pripomienkami a odporúčaniami výboru k návrhu všeobecného nariadenia o ochrane údajov (8), ktoré bolo teraz prepracované na súčasné všeobecné nariadenie o ochrane údajov (9), pričom konečná verzia tieto pripomienky a odporúčania plne nezohľadňuje. Tiež sa obáva, že neskorým prijatím a nadobudnutím účinnosti tohto nariadenia sa vzhľadom na rýchly technologický vývoj v tejto oblasti zvyšuje riziko neoprávneného získavania údajov a zneužívania ich spracovania a marketingu, pretože nariadenie sa môže stať zastaraným ešte pred jeho implementáciou. Vzhľadom na to, že predkladaný návrh prispôsobuje spomínané všeobecné nariadenie fungovaniu európskych inštitúcií, tieto obavy sa primerane vzťahujú na predkladaný návrh, najmä pokiaľ ide o nejasné znenie a ťažko zrozumiteľný text pre bežného občana. Bolo by lepšie bolo lepšie, keby bol predložený a prediskutovaný zároveň s návrhom všeobecného nariadenia.

3.3.

Avšak vzhľadom na to, že postupy v inštitúciách EÚ by mali byť príkladom pre postupy na vnútroštátnej úrovni sa EHSV nazdáva, že určité témy mali byť v predkladanom návrhu uvedené.

3.4.

Nie je jasné, či bol návrh riadne zosúladený so služobným poriadkom úradníkov Európskej Únie [nariadenie (EHS) č. 31 (10)] vzhľadom na chýbajúce konkrétne právne ustanovenia, ktorými by sa zabezpečilo, že osobné údaje úradníkov a zamestnancov inštitúcií budú účinnejšie chránené, pokiaľ ide o ich prijímanie do zamestnania, služobný postup, trvanie zmluvy a jej prípadné predĺženie a ich hodnotenie.

3.4.1.

Ak nie, mali by sa zaviesť všeobecné ustanovenia s pravidlami týkajúcimi sa zdravotných záznamov úradníkov a ich rodín, ochrany údajov vytvorených alebo používaných úradníkmi a ich genetických údajov, spracovania údajov a ochrany správ zasielaných elektronickou poštou, či už správ od občanov adresovaných orgánom EÚ alebo správ, ktoré píšu alebo zasielajú úradníci týchto orgánov, buď navzájom alebo s externými partnermi, ako aj ich obsahu a navštívených internetových stránok (11).

3.4.2.

Špecifický prístup by sa mal zaviesť aj v situáciách obťažovania formou kybernetického šikanovania a oznamovania nekalých praktík v inštitúciách EÚ, napriek ustanoveniam článku 68.

3.4.3.

EHSV si tiež kladie otázky v súvislosti s podmienkami uplatňovania predkladaného návrhu a nariadenia (EÚ) 2016/679, pokiaľ ide o iniciatívu internet vecí, big data a využívanie vyhľadávačov na prístup k osobným údajom a vytváranie alebo používanie osobných údajov, ako aj osobných informácií uverejnených na stránkach jednotlivých inštitúcií na sociálnych sieťach (Facebook, Twitter, Linkedin, Instagram atď.) nezávisle od výslovného súhlasu dotknutej osoby.

3.5.

EHSV by tiež ocenil, keby sa v návrhu Komisie, okrem odkazu na dôvernosť elektronickej komunikácie v článku 34 návrhu nariadenia, stanovili podmienky zabezpečenia informačných systémov, ktoré sa budú využívať na spracovanie údajov, a bezpečnostné opatrenia proti kybernetickým útokom a zneužitiu prípadne úniku týchto údajov (12), aby sa zabezpečila ich technologická neutralita a nespoliehalo by sa len na špecifické interné pravidlá každej inštitúcie. Tiež by sa mal lepšie objasniť vzťah medzi ochranou údajov a bojom proti trestnej činnosti a terorizmu bez toho, aby to znamenalo prijatie neprimeraných alebo nadmerných opatrení dohľadu, ktoré by v každom prípade podliehali kontrole EDPS.

3.6.

EHSV zdôrazňuje, že prepojenie osobných údajov v orgánoch EÚ nemôže byť ponechané len na zásadu zodpovednosti stanovenú v odôvodnení 16, a v tejto súvislosti vyzýva Komisiu, aby zaviedla špecifické pravidlo, na základe ktorého sa prepojenia budú môcť realizovať len po schválení EDPS, o ktoré požiada prevádzkovateľ alebo spolu s ním aj sprostredkovateľ.

3.7.

Privítal by, keby Komisia predložila tiež vymedzené kompetencie a typ odbornej prípravy a spôsobilosti potrebnej na vykonávanie funkcie úradníka pre ochranu údajov, prevádzkovateľa alebo sprostredkovateľa údajov v inštitúciách EÚ (13) bez toho, aby boli dotknuté ustanovenia odôvodnenia 51 preambuly a článku 44 ods. 3 návrhu. Na prípadné porušenia povinnosti týkajúce sa výkonu tejto funkcie by sa mali vzťahovať skutočné odrádzajúce sankcie disciplinárneho, občianskeho a trestného charakteru, ktoré sú uvedené v návrhu a vždy podliehajú kontrole a monitorovaniu EDPS.

3.8.

EHSV síce uznáva, že predkladaným návrhom sa zvyšuje úroveň ochrany v porovnaní s predchádzajúcim nariadením (ES) č. 45/2001, no domnieva sa, že vzhľadom na špecifickú povahu zbieraných údajov, ktoré sa priamo týkajú súkromia dotknutých osôb, najmä v oblasti zdravia, daňových údajov a sociálneho zabezpečenia, by sa v návrhu tieto údaje mali obmedziť na striktné minimum potrebné na účely, na ktoré boli určené, a mala by sa zabezpečiť maximálna ochrana a maximálne záruky pri spracúvaní osobných údajov, a to v súlade s najaktuálnejšími medzinárodnými normami a vnútroštátnymi právnymi predpismi a osvedčenými postupmi niektorých členských štátov (14).

3.9.

Hoci si uvedomuje, že nariadenie (EÚ) 2016/679 aj predkladaný návrh sa uplatňujú iba na údaje fyzických osôb, treba zopakovať, že údaje právnických osôb (podniky, mimovládne organizácie, obchodné spoločnosti, atď.), zriadené v súlade s platnými právnymi predpismi, musia byť taktiež chránené v rámci zberu a spracovania.

4.1.

Podrobná analýza predkladaného návrhu priniesla určité pochybnosti a pripomienky vzhľadom na základné zásady v oblasti ochrany súkromia vyplývajúce z Charty základných práv EÚ a zásady proporcionality a predbežnej opatrnosti.

4.3.1.

Vzhľadom na to, že analyzované nariadenie sa vzťahuje na údaje spracované v rámci inštitúcií EÚ, EHSV by očakával výslovné zavedenie zásady nediskriminácie v súvislosti so spracúvanými údajmi.

4.3.2.

Pokiaľ ide o článok 4 ods 1. písm. b), spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely by malo podliehať predbežnému schváleniu európskeho dozorného úradníka pre ochranu údajov, čo nie je v článku 58 stanovené.

4.3.3.

Napokon sa nazdáva, že by malo existovať výslovné ustanovenie, rovnaké ako v článku 7 nariadenia (ES) č. 45/2001, pokiaľ ide o prenos údajov medzi inštitúciami EÚ.

4.4.1.

Nie je jasné, z akého dôvodu nepodlieha článok 5 ods. 1 písm. b) návrhu nariadenia ustanoveniam odseku 2 toho istého článku, na rozdiel od článku 6 písm. c) a e), ktoré podliehajú ustanoveniam odseku 3 všeobecného nariadenia o ochrane údajov.

4.4.2.

EHSV sa nazdáva, že v písmene d) by sa malo zdôrazniť, že súhlas by sa mal riadiť zásadou dobrej viery.

4.5.1.

Uplatňovanie tohto článku musí vždy podliehať povoleniu európskeho dozorného úradníka pre ochranu údajov.

4.5.2.

V týchto prípadoch musí byť dotknutá osoba vždy vopred informovaná o tejto možnosti počas zberu údajov alebo keď bude prijaté nové rozhodnutie, a mala by mať prípadne možnosť požiadať o opravu údajov, ich vymazanie, prípadne namietať proti ich spracovaniu alebo požiadať o jeho obmedzenie.

4.6.1.

EHSV sa nazdáva, že výnimka z pravidla platnosti súhlasu detí mladších ako 16 rokov (od 13 do 16 rokov) je sama o sebe nesprávna, prípustná je len pre členské štáty z kultúrnych dôvodov v rámci vnútroštátneho práva (článok 8 všeobecného nariadenia), ale nemala by byť prípustná ako pravidlo pre inštitúcie EÚ (článok 8 ods. 1), ktorým sa ako hranica stanovuje vek 13 rokov.

4.6.2.

Zároveň sa neuvádza, akým spôsobom má EDPS venovať „osobitnú pozornosť“ deťom, uvedenú v článku 58 ods 1. písm. b), najmä v prípade zoznamov užívateľov uvedených v článku 36, keď sú ich údaje verejne dostupné.

4.7.1.

V odseku 1 by mali byť začlenené aj pojmy politická príslušnosť (ktorá nie je synonymom politického názoru) a súkromie.

4.7.2.

V odseku 2 písm. b) by sa malo uviesť, že aj na účely plnenia povinnosti a výkonu špecifických práv dotknutých osôb by mali byť tieto dotknuté osoby vždy vopred informované.

4.7.3.

V odseku 2 písm. d) by sa malo uviesť, že spracovanie údajov možno vykonať len so súhlasom dotknutej osoby.

4.7.4.

Písmeno e) by malo byť výnimkou len v prípade, ak z vyhlásení dotknutej osoby možno legitímne vyvodiť súhlas so spracovaním údajov.

4.9.1.

Pokiaľ ide o ďalšie informácie uvedené v článku 15 ods. 2, treba doplniť požiadavku, aby dotknutá osoba bola informovaná o tom, či je odpoveď prevádzkovateľa povinná alebo nepovinná, ako aj o prípadných dôsledkoch neposkytnutia odpovede.

4.9.2.

V prípade zberu údajov v otvorených sieťach musí byť dotknutá osoba informovaná vždy, keď môže dôjsť k pohybu jej údajov v týchto sieťach bez toho, aby boli splnené bezpečnostné podmienky a hrozí riziko, že sa dostanú k tretím stranám, ktoré ich budú neoprávnene používať.

4.9.3.

Právo uvedené v článku 17 ods. 1 sa musí nadobúdať slobodne a bez obmedzení, s primeranou periodicitou, rýchlo alebo okamžite a bezplatne.

4.9.4.

EHSV navrhuje, aby bola dotknutá osoba povinne informovaná aj o potvrdení o tom, či sa osobné údaje, ktoré sa jej týkajú, spracúvané alebo nie.

4.9.5.

Informácie, ktoré sa spomínajú v článku 17. ods. 1 sa musia poskytovať jednoznačným, jasným a zrozumiteľným spôsobom, a to najmä pokiaľ ide o spracúvané údaje a akékoľvek informácie o pôvode týchto údajov.

4.11.1.

EHSV sa domnieva, že v odseku 2 písm. c) by sa malo doplniť, že dotknutá osoba tento súhlas vyjadrí až po tom, ako dostane informácie o dosahu rozhodnutí na právne účinky, ktoré sa jej týkajú, keďže iba pod touto podmienkou bude súhlas dotknutej osoby riadne podložený.

4.11.2.

Pokiaľ ide o odsek 3, EHSV sa nazdáva, že vhodné opatrenia by mal určiť európsky dozorný úradník pre ochranu údajov a nie prevádzkovateľ.

4.12.1.

EHSV sa obáva, že znenie článku 25 návrhu nariadenia príliš voľne interpretuje článok 23 všeobecného nariadenia o ochrane údajov, pokiaľ ide o rozsah obmedzení uplatňovania ustanovení, ktorými sa stanovujú základné práva dotknutej osoby, a odporúčal by Komisii kriticky preskúmať tento článok na základe dôkladnej analýzy, ktorou by sa prípadne mohli obmedziť niektoré písmená tohto článku, najmä pokiaľ ide o obmedzenie práva na ochranu súkromia v elektronických komunikačných sieťach v súlade s článkom 7 Charty základných práv, ktoré je uvedené v platnej smernice o súkromí a elektronických komunikáciách a zachované v návrhu nariadenia, ktoré sa analyzuje v inom stanovisku EHSV.

4.12.2.

EHSV rozhodne nesúhlasí s ustanovením článku 25 ods. 2, pokiaľ ide o to, aby inštitúcie a orgány Únie mohli obmedziť uplatňovanie obmedzení práv dotknutých osôb, ktoré nevyplývajú z právnych aktov výslovne umožňujúcich takéto obmedzenia. To isté platí pre článok 34.

—

zabrániť prístupu neoprávnených osôb k zariadeniam na spracovanie týchto údajov,

—

zabrániť neoprávnenému čítaniu, kopírovaniu, modifikácii alebo mazaniu dátových nosičov;

—

zabrániť neoprávnenému zadávaniu údajov, ako aj prehliadaniu, zmene alebo vymazaniu uložených osobných údajov,

—

zabrániť neoprávnenému využitiu automatizovanej sústavy spracovania údajov za pomoci zariadenia k prenosu údajov,

—

zabezpečiť overovanie subjektov, ktorým môžu byť údaje prenesené,

—

zaručiť, aby oprávnené osoby mali prístup iba k údajom, na ktoré sa vzťahuje predbežný súhlas.

4.20.1.

Bez ohľadu na vyššie uvedené, ak nie je zodpovedná osoba stálym zamestnancom, musí sa umožniť, aby mohla byť vzhľadom na povahu svojej funkcie kedykoľvek odvolaná, a to so súhlasom EDPS (článok 45 ods. 8 nariadenia).

4.20.2.

Nazdávame sa, že funkčné obdobie zodpovednej osoby by sa malo stanoviť na 5 rokov s možnosťou len jedného predĺženia.

4.25.

V návrhu nariadenia je použitých mnoho výrazov alebo pojmov, ktoré sú nejednoznačné a subjektívne, ktoré by sa mali preskúmať a nahradiť. Ide napríklad o výrazy: „čo možno najviac/v čo najväčšej miere“, „podľa možností“, „bez zbytočného odkladu“, „vysoké riziko“, „náležite“, „primeraná lehota“, „relevantnosť“.