Rozhodnutie Komisie

z 26. júla 2000

v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami "bezpečného prístavu" a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA

(oznámené pod číslom dokumentu C(2000) 2441)

(Text s významom pre EHP)

(2000/520/ES)

KOMISIA EURÓPSKYCH SPOLOČENSTIEV,

so zreteľom na Zmluvu o založení Európskeho spoločenstva,

so zreteľom na smernicu Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov [1], najmä na jej článok 25 ods. 6,

keďže:

(1) Podľa smernice 95/46/ES sa od členských štátov vyžaduje, aby zabezpečili, že sa prenos osobných údajov do tretej krajiny môže vykonať len vtedy, ak príslušná tretia krajina zaručuje primeranú úroveň ochrany, a ak sa pred uskutočnením prenosu dodržiavajú právne predpisy príslušného členského štátu vykonávajúce ostatné ustanovenia uvedenej smernice.

(2) Komisia môže prísť k záveru, že určitá tretia krajina zaručuje primeranú úroveň ochrany. V takom prípade je prenos osobných údajov z členských štátov možný bez toho, že by boli potrebné ďalšie záruky.

(3) Podľa smernice 95/46/ES by sa mala úroveň ochrany údajov posudzovať so zreteľom na všetky okolnosti sprevádzajúce určitú operáciu prenosu údajov alebo určitý súbor operácií prenosu údajov a vo vzťahu k príslušných podmienkam. Pracovná skupina pre ochranu jednotlivcov v súvislosti so spracovaním osobných údajov zriadená podľa uvedenej smernice [2] vydala usmernenie týkajúce sa postupu pri takomto posudzovaní [3].

(4) Vzhľadom na rôzne prístupy k ochrane údajov v tretích krajinách by sa posudzovanie primeranosti úrovne ochrany a akékoľvek rozhodnutie založené na článku 25 ods. 6 smernice 95/46/ES mali vykonávať takým spôsobom, ktorý nie je svojvoľne a neopodstatnene diskriminačný voči tretím krajinám alebo vo vzťahu k jednotlivým tretím krajinám, v ktorých existujú podobné podmienky, a ktorý tiež nepredstavuje skrytú prekážku pre obchodovanie, pričom je potrebné brať do úvahy existujúce medzinárodné záväzky spoločenstva.

(5) Primeraná úroveň ochrany prenosu údajov zo spoločenstva do Spojených štátov uznávaná podľa tohto rozhodnutia by mala byť dosiahnutá vtedy, ak organizácie spĺňajú zásady "bezpečného prístavu" vo vzťahu k ochrane osobných údajov prenášaných z určitého členského štátu do Spojených štátov (ďalej len "zásady") a často kladené otázky ("frequently asked questions", ďalej len "FAQ") poskytujúce usmernenie pre vykonávanie zásad, ktoré vydala vláda Spojených štátov 21. júla 2000. Okrem toho by organizácie mali zverejniť svoje príslušné stratégie v oblasti ochrany súkromia a mali by podliehať jurisdikcii Federálnej obchodnej komisie (FTC – Federal Trade Commission) podľa oddielu 5 zákona o Federálnej obchodnej komisii, ktorý zakazuje nekalé alebo klamlivé konanie alebo praktiky v rámci obchodovania alebo ovplyvňujúce obchodovanie, alebo by mali podliehať inému štatutárnemu orgánu, ktorý účinne zabezpečí súlad so zásadami vykonávanými v súlade s FAQ.

(6) Sektory a/alebo spracúvanie údajov, ktoré nepodliehajú právomoci žiadneho z vládnych orgánov v Spojených štátoch uvedených v prílohe VII k tomuto rozhodnutiu, nespadajú do rámca pôsobnosti tohto rozhodnutia.

(7) V záujme zabezpečenia náležitého uplatňovania tohto rozhodnutia je potrebné, aby zainteresované strany ako napríklad dotknuté osoby, vývozcovia údajov a orgány na ochranu údajov vedeli rozpoznať organizácie dodržiavajúce zásady a FAQ. S týmto cieľom by Ministerstvo obchodu USA alebo jeho zástupca mali na seba vziať povinnosť udržiavať a sprístupňovať verejnosti zoznam organizácií, ktoré osvedčia svoje dodržiavanie zásad vykonávaných v súlade s FAQ, a ktoré spadajú do jurisdikcie prinajmenšom jedného z vládnych orgánov uvedených v prílohe VII k tomuto rozhodnutiu.

(8) V záujme transparentnosti a s cieľom zabezpečenia schopnosti príslušných orgánov v členských štátoch zaručiť ochranu jednotlivcov v súvislosti so spracúvaním ich osobných údajov je potrebné, aby sa v tomto rozhodnutí presne vymedzili mimoriadne okolnosti, za ktorých by malo byť opodstatnené pozastavenie tokov určitých informácií, a to bez ohľadu na to, či Komisia prišla k záveru, že v danej krajine je zabezpečená primeraná úroveň ochrany.

(9) "Bezpečný prístav" ustanovený zásadami a FAQ bude možno potrebné opätovne prehodnotiť na základe skúseností, na základe vývoja v oblasti ochrany súkromia za okolností, v ktorých technológia umožňuje čoraz jednoduchší prenos a spracúvanie osobných údajov a na základe správ o vykonávaní vypracovaných príslušnými orgánmi poverenými vymáhaním výkonu zásad a FAQ.

(10) Pracovná skupina pre ochranu jednotlivcov v súvislosti so spracovaním osobných údajov ustanovená podľa článku 29 smernice 95/46/ES poskytla stanoviská ohľadom ochrany poskytovanej zásadami "bezpečného prístavu" v Spojených štátoch a tieto stanoviská boli zohľadnené pri príprave tohto rozhodnutia [4].

(11) Opatrenia ustanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru ustanoveného podľa článku 31 smernice 95/46/ES,

(12) Podľa rozhodnutia 1999/468/ES a najmä jeho článku 8 prijal Európsky parlament 5. júla 2000 rezolúciu A5-0177/2000 [5] k návrhu rozhodnutia Komisie o primeranosti ochrany poskytovanej zásadami "bezpečného prístavu" a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA. Komisia návrh rozhodnutia opätovne preskúmala so zreteľom na toto rozhodnutie a prišla k záveru, že hoci Európsky parlament považuje za potrebné niektoré vylepšenia zásad "bezpečného prístavu" a súvisiacich často kladených otázok na to, aby sa mohli považovať za také, ktoré zabezpečia "primeranú ochranu", nezistil, že by Komisia prijatím uvedeného rozhodnutia prekročila svoje právomoci,

PRIJALA TOTO ROZHODNUTIE:

Článok 1

1. Na účely článku 25 ods. 2 smernice 95/46/ES sa vo vzťahu ku všetkým aktivitám spadajúcim do rámca pôsobnosti uvedenej smernice "zásady bezpečného prístavu" (ďalej len "zásady"), tak ako sú uvedené v prílohe I k tomuto rozhodnutiu, vykonávané v súlade s usmernením vyplývajúcim z často kladených otázok (ďalej len "FAQ") vydaných Ministerstvom obchodu USA 21. júla 2000 tak, ako sú uvedené v prílohe II k tomuto rozhodnutiu považujú za také, ktoré zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných zo spoločenstva do organizácií so sídlom v Spojených štátoch, pričom sa zohľadňujú nasledujúce dokumenty vydané Ministerstvom obchodu USA:

a) prehľad presadzovania zásad bezpečného prístavu uvedený v prílohe III;

b) memorandum týkajúce sa náhrad škôd za porušenie súkromia a výslovného oprávnenia v rámci práva USA uvedené v prílohe IV;

c) list Federálnej obchodnej komisie uvedený v prílohe V;

d) list Ministerstva dopravy USA uvedený v prílohe VI;

2. Vo vzťahu ku každému prenosu údajov sa musia splniť nasledujúce podmienky:

a) organizácia, ktorej sa poskytujú údaje, sa jednoznačne a verejným vyhlásením zaviaže dodržiavať zásady vykonávané v súlade s FAQ a

b) v prípade nedodržiavania zásad vykonávaných v súlade s FAQ podlieha daná organizácia zákonným právomociam niektorého zo štátnych orgánov v Spojených štátoch uvedených v prílohe VII k tomuto rozhodnutiu, ktorý je oprávnený vyšetrovať sťažnosti a zabezpečovať nápravu v prípade nekalých alebo klamlivých praktík, ako aj zabezpečovať odškodnenie jednotlivcov bez ohľadu na to, v akej krajine majú trvalý pobyt alebo akú majú štátnu príslušnosť.

3. Podmienky uvedené v odseku 2 sa považujú za splnené vo vzťahu ku každej organizácii, ktorá osvedčí svoje dodržiavanie zásad vykonávaných v súlade s FAQ odo dňa, kedy daná organizácia oznámi Ministerstvu obchodu USA (alebo jeho zástupcovi) svoje verejné vyhlásenie o záväzku uvedenom v odseku 2 písm. a) a totožnosť štátneho orgánu uvedeného v odseku 2 písm. b).

Článok 2

Toto rozhodnutie sa týka len primeranosti ochrany poskytovanej v Spojených štátoch podľa zásad vykonávaných v súlade s FAQ s cieľom splnenia požiadaviek článku 25 ods. 1 smernice 95/46/ES a nie je ním dotknuté uplatňovanie iných ustanovení uvedenej smernice, ktoré sa vzťahujú na spracúvanie osobných údajov v rámci členských štátov, najmä článku 4 tejto smernice.

Článok 3

1. Bez toho, aby tým boli dotknuté ich právomoci prijímať opatrenia na zabezpečenie súladu s vnútroštátnymi právnymi normami prijatými podľa ustanovení iných ako článok 25 smernice 95/46/ES, môžu príslušné orgány v členských štátoch vykonávať svoje existujúce právomoci týkajúce sa pozastavenia tokov údajov do organizácie, ktorá osvedčila svoje dodržiavanie zásad vykonávaných v súlade s FAQ, aby tak chránili jednotlivcov v súvislosti so spracúvaním ich osobných údajov v prípadoch, keď:

a) štátny orgán v Spojených štátoch uvedený v prílohe VII k tomuto rozhodnutiu alebo nezávislý opravný mechanizmus v zmysle písmena a) zásady vymáhania výkonu uvedenej v prílohe I k tomuto rozhodnutiu zistí, že daná organizácia porušuje zásady vykonávané v súlade s FAQ; alebo

b) je veľká pravdepodobnosť, že sa porušujú zásady; existuje reálny dôvod na domnienku, že príslušný mechanizmus na vymáhanie výkonu neprijíma alebo neprijme primerané a včasné opatrenia na urovnanie určitého prípadu; pokračujúci prenos údajov by mal za následok bezprostredné riziko vážneho poškodenia dotknutých osôb, ktoré sú predmetom údajov; a príslušné orgány v danom členskom štáte vyvinuli podľa okolností primerané úsilie na to, aby o tom informovali dotknutú organizáciu a poskytli jej možnosť odpovedať.

Pozastavenie tokov údajov do určitej organizácie sa ukončí, akonáhle sa zabezpečí dodržiavanie zásad vykonávaných v súlade s FAQ a len čo sú o tom informované dotknuté príslušné orgány v spoločenstve.

2. V prípade, že sa prijmú opatrenia na základe odseku 1, členské štáty o tom bezodkladne informujú Komisiu.

3. Členské štáty a Komisia sa tiež navzájom informujú o prípadoch, kedy konanie orgánov zodpovedných za vymáhanie výkonu zásad vykonávaných v súlade s FAQ v Spojených štátoch nezabezpečuje takéto dodržiavanie.

4. Ak informácie zhromaždené podľa odsekov 1, 2 a 3 poskytujú dôkazy o tom, že určitý orgán zodpovedný za dodržiavanie zásad vykonávaných v súlade s FAQ v Spojených štátoch nevykonáva účinne svoju úlohu, Komisia o tom informuje Ministerstvo obchodu USA a v prípade potreby predloží návrh opatrení v súlade s postupom uvedeným v článku 31 smernice 95/46/ES s cieľom zrušiť alebo pozastaviť účinnosť tohto rozhodnutia alebo obmedziť rozsah jeho pôsobnosti.

Článok 4

1. Toto rozhodnutie je možné kedykoľvek upraviť na základe skúseností s jeho vykonávaním a/alebo vtedy, ak úroveň ochrany poskytovanú zásadami a FAQ predstihnú požiadavky právnych predpisov USA.

Komisia v každom prípade posúdi vykonávanie tohto rozhodnutia na základe dostupných informácií tri roky po jeho oznámení členským štátom a podá správu o príslušných zisteniach výboru ustanovenému podľa článku 31 smernice 95/46/ES, vrátane akýchkoľvek dôkazov, ktoré by mohli mať vplyv na hodnotenie, podľa ktorého ustanovenia uvedené v článku 1 tohto rozhodnutia poskytujú primeranú ochranu v zmysle článku 25 smernice 95/46/ES a akýchkoľvek dôkazov svedčiacich o tom, že toto rozhodnutie sa vykonáva diskriminačným spôsobom.

2. Komisia v prípade potreby predloží návrh opatrení v súlade s postupom uvedeným v článku 31 smernice 95/46/ES.

Článok 5

Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s týmto rozhodnutím najneskôr do uplynutia lehoty 90 dní odo dňa jeho oznámenia členským štátom.

Článok 6

Toto rozhodnutie je adresované členským štátom.

V Bruseli 26. júla 2000

Za Komisiu

Frederik Bolkestein

člen Komisie

[1] Ú. v. ES L 381, 23.11.1995, s. 31.

[2] Webová adresa tejto pracovnej skupiny je: http://www.europa.eu.int/comm/internal_market/en/media/dataprot/ wpdocs/index.htm

[3] WP 12: Prenosy osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov, prijaté pracovnou skupinou 24. júla 1998.

[4] WP 15: Stanovisko 1/99 týkajúce sa úrovne ochrany údajov v Spojených štátoch a prebiehajúce diskusie medzi Európskou komisiou a Spojenými štátmi.WP 19: Stanovisko 2/99 ohľadom primeranosti "medzinárodných zásad bezpečného prístavu" vydaných Ministerstvom obchodu USA 19. apríla 1999.WP 21: Stanovisko 4/99 ohľadom často kladených otázok, ktoré má vydať Ministerstvo obchodu USA v súvislosti s navrhovanými "zásadami bezpečného prístavu" a ohľadom primeranosti "medzinárodných zásad bezpečného prístavu".WP 23: Pracovný dokument týkajúci sa súčasného stavu prebiehajúcich diskusií medzi Európskou komisiou a vládou Spojených štátov ohľadom "medzinárodných zásad bezpečného prístavu".WP 27: Stanovisko 7/99 ohľadom úrovne ochrany údajov poskytovanej "zásadami bezpečného prístavu" uverejnenými spolu s často kladenými otázkami (FAQ) a inými súvisiacimi dokumentmi 15. a 16. novembra 1999 Ministerstvom obchodu USA.WP 31: Stanovisko 3/2000 ohľadom dialógu EÚ/USA týkajúceho sa systému "bezpečného prístavu".WP 32: Stanovisko 4/2000 ohľadom úrovne ochrany poskytovanej "zásadami bezpečného prístavu".

[5] Rezolúcia zatiaľ nebola uverejnená v úradnom vestníku.

--------------------------------------------------

PRÍLOHA I

ZÁSADY "BEZPEČNÉHO PRÍSTAVU"

vydané Ministerstvom obchodu USA 21. júla 2000

Súhrnný právny predpis Európskej únie týkajúci sa ochrany súkromia, smernica o ochrane údajov (smernica) nadobudla účinnosť 25. októbra 1998. Táto smernica požaduje, aby sa prenosy osobných údajov vykonávali len do tých nečlenských krajín EÚ, ktoré poskytujú "primeranú" úroveň ochrany súkromia. Napriek tomu, že Spojené štáty a Európska únia sledujú rovnaký cieľ v zmysle zvyšovania ochrany súkromia svojich občanov, Spojené štáty majú k ochrane súkromia prístup, ktorý je odlišný od prístupu Európskej únie. Spojené štáty uplatňujú sektorálny prístup založený na kombinácii právnych predpisov, regulácie a samoregulácie. Vzhľadom na tieto rozdiely mnohé organizácie v USA vyjadrili neistotu, čo sa týka dopadu "štandardu primeranosti úrovne ochrany" požadovaného EÚ na prenos osobných údajov z Európskej únie do Spojených štátov.

V záujme zoslabenia týchto pocitov neistoty a poskytnutia predvídateľnejšieho rámca vo vzťahu k takýmto prenosom údajov vydáva Ministerstvo obchodu z titulu svojej zákonnej právomoci tento dokument a často kladené otázky ("zásady") zamerané na podporu, zvýšenie úrovne a rozvoj medzinárodného obchodu. Tieto zásady boli vypracované na základe porád so zástupcami podnikateľskej sféry a verejnosti s cieľom uľahčenia obchodu medzi Spojenými štátmi a Európskou úniou. Sú určené výlučne na to, aby ich využívali organizácie v USA, ktoré získavajú osobné údaje z Európskej únie a ktoré chcú splniť kritériá bezpečného prístavu a z nich vyplývajúci predpoklad "primeranej úrovne" ochrany osobných údajov. Keďže zásady boli vypracované výlučne na tento osobitný účel, ich použitie na iné účely môže byť nevhodné. Tieto zásady nie je možné používať ako náhradu za vnútroštátne právne predpisy vykonávajúce vyššie spomínanú smernicu, ktoré sa uplatňujú na spracúvanie osobných údajov v členských štátoch.

Rozhodnutie organizácií splniť kritériá "bezpečného prístavu" je úplne dobrovoľné a organizácie ich môžu spĺňať rôznym spôsobom. Organizácie, ktoré sa rozhodnú dodržiavať zásady musia na to, aby získali a udržali si výhody vyplývajúce zo štatútu "bezpečného prístavu" byť v súlade so zásadami a musia urobiť verejné vyhlásenie, že v súlade s nimi konajú. Napríklad, ak sa určitá organizácia pripojí k samoregulačnému programu ochrany súkromia, ktorý je v súlade so zásadami, spĺňa kritériá bezpečného prístavu. Organizácie môžu splniť kritériá bezpečného prístavu aj tak, že vypracujú svoje vlastné samoregulačné stratégie ochrany súkromia, pokiaľ sú tieto v súlade so zásadami. Tam, kde je spĺňanie zásad určitou organizáciou založené úplne alebo čiastočne na samoregulácii, nedodržiavanie takejto samoregulácie danou organizáciou musí byť tiež trestné podľa oddielu 5 zákona o Federálnej obchodnej komisii zakazujúceho nekalé a klamlivé konanie alebo podľa iného zákona alebo právneho predpisu zakazujúceho takéto konanie. (Pozri prílohu, v ktorej je uvedený zoznam štatutárnych orgánov USA uznávaných Európskou úniou.) Navyše, organizácie podliehajúce zákonnému, regulačnému, administratívnemu alebo inému súboru právnych noriem (alebo súboru pravidiel) účinne ochraňujúcemu súkromie jednotlivcov môžu tiež spĺňať kritériá na získanie výhod vyplývajúcich zo štatútu "bezpečného prístavu". Vo všetkých takýchto prípadoch sa výhody vyplývajúce zo štatútu bezpečného prístavu zaručujú odo dňa, kedy organizácia zamýšľajúca získať štatút organizácie spĺňajúcej kritériá "bezpečného prístavu" sama osvedčí Ministerstvu obchodu (alebo jeho zástupcovi) svoje dodržiavanie zásad v súlade s usmernením uvedeným vo FAQ týkajúcom sa poskytovania takéhoto osvedčenia.

Dodržiavanie týchto zásad môže byť obmedzené: a) na mieru potrebnú na splnenie požiadaviek národnej bezpečnosti, verejného záujmu alebo vymáhania práva; b) zákonmi, nariadeniami vlády alebo precedenčným právom, ktoré ustanovujú protichodné povinnosti alebo výslovné oprávnenia, za predpokladu, že pri vykonávaní každého takéhoto oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je obmedzené do tej miery, ktorá je potrebná na splnenie vyššie stojacich legitímnych záujmov vyplývajúcich z takéhoto oprávnenia; alebo c) ak účinok určitej smernice v rámci právnych predpisov členského štátu umožňuje výnimky alebo odchýlky, za predpokladu, že takéto výnimky alebo odchýlky sa uplatňujú v porovnateľných súvislostiach. Sledujúc cieľ zvyšovania ochrany súkromia by sa organizácie mali snažiť vykonávať tieto zásady v úplnosti a transparentne, čo tiež znamená, že by v rámci svojich stratégií ochrany súkromia mali uviesť, v akých prípadoch sa budú pravidelne uplatňovať výnimky zo zásad povolené na základe vyššie uvedeného písmena b). Z tých istých dôvodoch sa predpokladá, že tam, kde je v súlade so zásadami a/alebo s právom USA možná voľba medzi určitými alternatívami, si organizácie podľa možnosti zvolia vyššiu úroveň ochrany.

Niektoré organizácie môžu mať z praktických alebo iných dôvodov záujem o uplatňovanie zásad na všetky svoje operácie spracúvania údajov, sú však povinné ich uplatňovať len na údaje prenesené po tom, čo získali štatút organizácie spĺňajúcej kritériá "bezpečného prístavu". Na to, aby splnili kritériá "bezpečného prístavu" nie sú organizácie povinné uplatňovať tieto zásady na osobné informácie v rámci systémov neautomatizovaného spracúvania súborov. Organizácie, ktoré majú záujem o výhody vyplývajúce zo štatútu bezpečného prístavu s cieľom získavania informácií zo systémov neautomatizovaného spracovania súborov z Európskej únie musia uplatňovať zásady na všetky takéto informácie prenesené po tom, čo získajú štatút "bezpečného prístavu". Organizácia, ktorá má záujem o rozšírenie výhod vyplývajúcich zo štatútu "bezpečného prístavu" na osobné informácie týkajúce sa ľudských zdrojov prenášané z Európskej únie v súvislosti s pracovnoprávnymi vzťahmi musí túto skutočnosť uviesť pri poskytovaní osvedčenia o svojom dodržiavaní zásad Ministerstvu obchodu (alebo jeho zástupcovi) a musí spĺňať požiadavky uvedené vo FAQ týkajúcej sa takéhoto osvedčenia. Organizácie tiež budú môcť poskytovať záruky potrebné podľa článku 26 smernice vo vzťahu k hmotnoprávnym ustanoveniam o ochrane súkromia, a to v prípade, že zahrnú zásady do písomných dohôd so stranami prenášajúcimi údaje z EÚ a po tom, čo Komisia a členské štáty schvália ostatné ustanovenia vo vzťahu k takýmto modelovým zmluvám.

Na otázky výkladu zásad a súladu so zásadami "bezpečného prístavu" (vrátane často kladených otázok) a príslušné stratégie ochrany súkromia uplatňované organizáciami so štatútom bezpečného prístavu sa uplatňuje právo USA, s výnimkou prípadov, kedy sa organizácie zaviazali spolupracovať s európskymi orgánmi na ochranu údajov. Pokiaľ nie je stanovené inak, všetky ustanovenia zásad bezpečného prístavu a často kladené otázky sa uplatňujú tam, kde sú relevantné.

"Osobné údaje" a "osobné informácie" sú údaje o identifikovanom alebo identifikovateľnom jednotlivcovi spadajúce do rámca pôsobnosti smernice, ktoré získavajú organizácie v USA od Európskej únie a ktoré sú v akejkoľvek forme zaznamenané.

OZNÁMENIE

Organizácia musí informovať jednotlivcov o dôvodoch, na základe ktorých vo vzťahu k nim zhromažďuje a využíva informácie, o tom, ako sa majú s danou organizáciou skontaktovať v prípade dopytov alebo sťažností, o druhoch tretích strán, ktorým dané informácie poskytuje a o možnostiach a prostriedkoch, ktoré daná organizácia poskytuje jednotlivcom, ak chcú využívanie a poskytovanie takýchto informácií obmedziť. Toto oznámenie musí byť poskytnuté v jasnom a zrozumiteľnom jazyku vtedy, keď sa od jednotlivcov po prvýkrát požaduje poskytnutie osobných informácií danej organizácii alebo čo najskôr po tom ako je to možné, ale v každom prípade pred tým, než daná organizácia využije takéto informácie na účel iný ako ten, na ktorý boli tieto informácie pôvodne zhromaždené alebo spracúvané prenášajúcou organizáciou alebo pred tým, než daná organizácia poskytne tieto informácie po prvýkrát tretej strane [1].

MOŽNOSŤ VOĽBY

Organizácia musí jednotlivcom ponúknuť možnosť rozhodnúť sa (možnosť vyjadriť nesúhlas), či sa ich osobné informácie a) môžu poskytnúť tretej strane [2] alebo b) môžu byť využité na účel, ktorý je nezlučiteľný s cieľom (účelmi), na ktorý (ktoré) boli tieto informácie pôvodne zhromaždené alebo následne schválené daným jednotlivcom. Jednotlivcom musia byť poskytnuté jasné a zreteľné, ľahko dostupné a z hľadiska výdavkov prístupné mechanizmy na výkon takejto voľby.

Čo sa týka citlivých informácií (t. j. osobných informácií týkajúcich sa liečebnej starostlivosti alebo zdravotného stavu, rasového alebo etnického pôvodu, politických názorov, náboženskej viery alebo svetonázoru, členstva v odboroch alebo informácií týkajúcich sa sexuálneho života jednotlivca), jednotlivcom musí byť poskytnutá možnosť potvrdzujúcej alebo explicitnej voľby (možnosť vyjadriť súhlas), ak sa príslušné informácie majú poskytnúť tretej strane alebo využiť na účel iný ako ten, na základe ktorého boli tieto informácie pôvodne zhromaždené alebo následne schválené jednotlivcom prostredníctvom výkonu voľby v zmysle vyjadrenia súhlasu. V každom prípade by mala organizácia zaobchádzať ako s citlivými s akýmikoľvek informáciami získanými od tretej strany, ak ich tretia strana identifikuje ako citlivé a zaobchádza s nimi ako s citlivými.

ĎALŠÍ PRENOS

Aby mohli organizácie poskytnúť informácie tretej strane, musia uplatniť zásady oznámenia a možnosti voľby. Tam, kde chce organizácia preniesť informácie tretej strane, ktorá koná ako sprostredkovateľ, tak ako je to opísané v poznámke na konci, môže tak urobiť, ak sa najprv buď presvedčí o tom, že tretia strana dodržiava zásady alebo podlieha smernici alebo inému právnemu záveru o primeranosti ochrany, alebo ak uzavrie písomnú dohodu s takouto treťou stranou požadujúcu, aby tretia strana poskytovala aspoň takú istú úroveň ochrany súkromia, akú požadujú príslušné zásady. Ak organizácia splní tieto požiadavky, nebude považovaná za zodpovednú (pokiaľ sa organizácia nedohodne inak), ak tretia strana, ktorej organizácia prenáša takéto informácie spracuje tieto informácie spôsobom odporujúcim akýmkoľvek obmedzeniam alebo vyhláseniam, s výnimkou prípadov, kedy daná organizácia vedela alebo mala vedieť, že tretia strana spracuje dané informácie takýmto odporujúcim spôsobom a daná organizácia neuskutočnila náležité kroky, ktoré by zabránili takémuto spracovaniu alebo by ho zastavili.

BEZPEČNOSŤ

Organizácie zakladajúce, uchovávajúce, využívajúce alebo rozširujúce osobné informácie musia uskutočniť primerané preventívne opatrenia, aby vo vzťahu k týmto informáciám zabránili ich strate, zneužívaniu a neoprávnenému prístupu k nim, ich odhaľovaniu, zmene a zničeniu.

INTEGRITA ÚDAJOV

V súlade so zásadami musia osobné údaje zodpovedať účelom, na ktoré sa majú využiť. Organizácia nemôže spracúvať osobné informácie spôsobom, ktorý je nezlučiteľný s cieľmi, na základe ktorých boli zhromaždené a následne schválené príslušným jednotlivcom. V miere zodpovedajúcej týmto cieľom by mala organizácia prijať náležité opatrenia na zabezpečenie toho, že údaje sú spoľahlivé vo vzťahu k ich zamýšľanému využitiu, že sú presné, úplné a aktuálne.

PRÍSTUP

Jednotlivci musia mať prístup k osobným informáciám o sebe, ktoré uchováva určitá organizácia a majú mať možnosť opraviť, zmeniť a doplniť alebo vypustiť určité informácie tam, kde sú tieto nepresné, s výnimkou prípadov, kedy by zaťaženie alebo výdavky súvisiace s poskytnutím prístupu neboli úmerné rizikám vyplývajúcim v danom prípade pre súkromie príslušného jednotlivca alebo tam, kde by boli poškodené práva osôb iných ako príslušný jednotlivec.

VYMÁHANIE VÝKONU

Účinná ochrana súkromia musí zahrňovať mechanizmy zabezpečujúce dodržiavanie zásad, možnosť nápravy pre jednotlivcov, ktorých sa údaje týkajú a ktorí sú postihnutí v dôsledku nedodržiavania zásad a zabezpečujúce vyvodenie dôsledkov pre príslušnú organizáciu v prípade nedodržiavania zásad. Takéto mechanizmy musia prinajmenšom zahrňovať: a) ľahko dostupné a z hľadiska výdavkov prístupné nezávislé opravné mechanizmy, prostredníctvom ktorých sa odvolaním sa na zásady vyšetrujú a riešia sťažnosti a spory jednotlivcov a priznávajú náhrady škody tam, kde to ustanovuje uplatňované právo alebo iniciatívy súkromného sektoru; b) následné postupy umožňujúce overiť, či sú osvedčenia a tvrdenia spoločností o ich praktikách v oblasti ochrany súkromia pravdivé a či sa praktiky v oblasti ochrany súkromia vykonávajú tak ako sú prezentované; a c) povinnosti napraviť problémy, ktoré vznikli v dôsledku nedodržiavania zásad organizáciami vyhlasujúcim svoju oddanosť zásadám a vyvodenie dôsledkov pre takéto organizácie. Sankcie musia byť dostatočne prísne, aby zabezpečili dodržiavanie zásad organizáciami.

[1] Oznámenie alebo možnosť voľby nie je potrebné poskytnúť vtedy, ak sa informácie poskytujú tretej strane konajúcej ako orgán vykonávajúci úlohu (úlohy) v mene alebo na základe pokynov danej organizácie. Na druhej strane v prípadoch takéhoto poskytovania informácií sa uplatňuje zásada ďalšieho prenosu.

[2] Oznámenie alebo možnosť voľby nie je potrebné poskytnúť vtedy, ak sa informácie poskytujú tretej strane konajúcej ako orgán vykonávajúci úlohu (úlohy) v mene alebo na základe pokynov danej organizácie. Na druhej strane v prípadoch takéhoto poskytovania informácií sa uplatňuje zásada ďalšieho prenosu.

--------------------------------------------------

PRÍLOHA II

ČASTO KLADENÉ OTÁZKY (FAQ – Frequently Asked Questions)

FAQ 1 – Citlivé údaje

Otázka: Musí organizácia vždy poskytnúť jednotlivcovi možnosť explicitnej voľby (možnosť vyjadriť súhlas) vo vzťahu k citlivým údajom?

Odpoveď: Nie, takáto možnosť voľby sa nevyžaduje tam, kde je spracúvanie údajov: (1) vykonávané v životne dôležitom záujme osoby, ktorej sa údaje týkajú alebo v životne dôležitom záujme inej osoby; (2) potrebné pre založenie právnych nárokov alebo obhajoby; (3) požadované s cieľom poskytnutia zdravotnej starostlivosti alebo stanovenia diagnózy; (4) vykonávané v priebehu zákonnej činnosti nadácie, združenia alebo akéhokoľvek iného neziskového orgánu majúceho politický, filozofický, náboženský alebo odborársky cieľ za podmienky, že sa spracúvanie týka výlučne členov príslušného orgánu alebo osôb, ktoré sú s ním v pravidelnom kontakte v súvislosti s jeho cieľmi a že sa údaje neposkytnú tretej strane bez súhlasu dotknutých osôb; (5) potrebné pre výkon povinností príslušnej organizácie v oblasti pracovného práva; alebo tam, (6) kde sa spracúvanie týka údajov, ktoré príslušný jednotlivec jasne zverejnil.

FAQ 2 – Výnimky pre novinárov

Otázka: Berúc do úvahy ústavnú ochranu slobody tlače v USA a výnimku smernice ohľadom novinárskeho materiálu, uplatňujú sa zásady bezpečného prístavu na osobné informácie zhromažďované, uchovávané alebo rozširované na novinársky účel?

Odpoveď: Tam, kde sa práva na slobodnú tlač zakotvené v Prvom dodatku k Ústave Spojených štátov prelínajú so záujmami ochrany súkromia, musí Prvý dodatok upravovať vyváženie týchto záujmov so zreteľom na činnosť osôb alebo organizácií v Spojených štátoch. Osobné informácie zhromažďované s cieľom uverejnenia v tlači, vysielania rozhlasom alebo televíziou alebo s cieľom iných foriem verejného oznámenia novinárskeho materiálu, či sa už použije alebo nie, ako aj informácie nájdené v už uverejnenom materiále rozšírenom z mediálnych archívov, nepodliehajú požiadavkám zásad "bezpečného prístavu".

FAQ 3 – Druhotná zodpovednosť

Otázka: Sú poskytovatelia internetových služieb (IPSs – Internet Service Providers), telekomunikační prepravcovia alebo iné organizácie zodpovedné podľa zásad bezpečného prístavu, ak v mene inej organizácie len prenášajú, smerujú, prepájajú alebo ukladajú informácie, ktoré môžu porušovať tieto zásady?

Odpoveď: Nie. Podobne ako je to v prípade samotnej smernice, bezpečný prístav nezakladá druhotnú zodpovednosť. Pokiaľ určitá organizácia koná len ako prenášač údajov vysielaných tretími stranami a nerozhoduje o účeloch a spôsoboch spracúvania týchto osobných údajov, nie je zodpovedná.

FAQ 4 – Investičné bankovníctvo a audity

Otázka: Činnosť audítorov a investičných bankárov môže zahrňovať spracúvanie osobných údajov bez súhlasu alebo vedomia jednotlivca. Za akých podmienok je toto povolené v rámci zásad týkajúcich sa oznámenia, možnosti voľby a prístupu?

Odpoveď: Investiční bankári alebo audítori môžu spracúvať informácie bez vedomia jednotlivca len do miery potrebnej a po dobu potrebnú na to, aby splnili zákonné požiadavky alebo požiadavky verejného záujmu a za iných okolností, za ktorých by sa uplatňovanie týchto zásad dotýkalo legitímnych záujmov príslušnej organizácie. Tieto legitímne záujmy zahrňujú monitorovanie dodržiavania právnych záväzkov spoločnosťami a legitímnu účtovnícku činnosť a potrebu utajenia údajov súvisiacu s prípadnými nákupmi, zlúčeniami, spoločnými podnikmi alebo inými podobnými transakciami vykonávanými investičnými bankármi alebo audítormi.

FAQ 5 – Úloha orgánov na ochranu údajov [1]

Otázka: Ako budú spoločnosti, ktoré sa zaviažu spolupracovať s orgánmi na ochranu údajov Európskej únie (DPA – Data Protection Authorities) prijímať tieto záväzky a a ako budú tieto záväzky vykonávané?

Odpoveď: Podľa zásad "bezpečného prístavu" sa musia organizácie Spojených štátov získavajúce osobné údaje z EÚ zaviazať, že budú uplatňovať účinné mechanizmy na vymáhanie výkonu zásad "bezpečného prístavu". Konkrétne, ako je to ustanovené v zásade týkajúcej sa vymáhania výkonu, musia tieto organizácie poskytovať: a) možnosť nápravy pre jednotlivcov, ktorých sa údaje týkajú, b) následné postupy umožňujúce overiť, či sú osvedčenia a tvrdenia organizácií o ich postupoch v oblasti ochrany súkromia pravdivé a c) záväzky v zmysle nápravy problémov, ktoré vznikli v dôsledku nedodržiavania zásad a vyvodenie dôsledkov pre takéto organizácie. Organizácia môže spĺňať písmená a) a c) zásady týkajúcej sa vymáhania výkonu, ak chce dodržať požiadavky tejto FAQ s cieľom spolupráce s DPA.

Organizácia sa môže zaviazať spolupracovať s DPA tým, že v rámci svojho osvedčenia o spĺňaní zásad "bezpečného prístavu" poskytne Ministerstvu obchodu (pozri FAQ 6 týkajúcu sa osvedčenia vydávaného samotnou organizáciou) vyhlásenie, že daná organizácia:

1. sa rozhodla splniť požiadavku v písmenách a) a c) zásady týkajúcej sa vymáhania výkonu zásad "bezpečného prístavu" tým, že sa zaviazala spolupracovať s DPA;

2. bude spolupracovať s DPA pri vyšetrovaní a rozhodovaní vo vzťahu k sťažnostiam vzneseným v rámci systému bezpečného prístavu a

3. bude dodržiavať akékoľvek rady poskytnuté zo strany DPA, ak sú DPA toho názoru, že daná organizácia musí prijať osobitné opatrenia s cieľom splnenia zásad "bezpečného prístavu", vrátane opravných alebo kompenzačných opatrení v prospech jednotlivcov postihnutých v dôsledku nedodržiavania zásad a poskytne DPA písomné potvrdenie, že sa takéto opatrenia vykonali.

Spolupráca zo strany DPA bude zabezpečená vo forme informácií a rád nasledujúcim spôsobom:

- Rady zo strany DPA sa budú poskytovať prostredníctvom neformálneho výboru DPA ustanoveného na úrovni Európskej únie, ktorý okrem iného pomôže zabezpečiť harmonizovaný a súvislý prístup.

- Výbor bude poskytovať rady príslušným organizáciám v Spojených štátoch ohľadom nevyriešených sťažností jednotlivcov týkajúcich sa zaobchádzania s osobnými informáciami, ktoré boli prenesené z EÚ pod ochranou zásad bezpečného prístavu. Cieľom týchto rád bude zabezpečiť, aby sa zásady bezpečného prístavu uplatňovali správne, pričom tieto rady budú zahrňovať akékoľvek nápravné opatrenia vo vzťahu k príslušným jednotlivcom, ktoré budú DPA považovať za primerané.

- Výbor bude takéto rady poskytovať ako odpoveď na žiadosti o rozhodnutie zo strany príslušných organizácií a/alebo na sťažnosti obdržané priamo od jednotlivcov voči organizáciám, ktoré sa zaviazali spolupracovať s DPA pre účely bezpečného prístavu, pričom budú nabádať a podľa potreby pomáhať takýmto jednotlivcom, aby najskôr využili vnútropodnikové mechanizmy na vybavovanie sťažností, ktoré poskytuje daná organizácia.

- Rady budú poskytnuté len po tom, čo obe strany sporu mali primeranú možnosť vyjadriť sa a poskytnúť podľa svojho želania akékoľvek dôkazy. Výbor sa bude snažiť poskytnúť rady tak rýchlo, ako mu to umožňuje táto požiadavka ohľadom náležitého postupu. Vo všeobecnosti sa výbor bude snažiť poskytnúť rady do 60 dní po obdržaní sťažnosti alebo žiadosti o rozhodnutie a podľa možnosti rýchlejšie.

- Výbor zverejní výsledky svojho posúdenia ohľadom sťažností, ktoré mu boli predložené, ak to bude považovať za vhodné.

- Poskytnutie rady prostredníctvom výboru nezakladá vo vzťahu k výboru alebo vo vzťahu k jednotlivým DPA žiadnu zodpovednosť.

Ako bolo uvedené vyššie organizácie, ktoré sa rozhodnú pre tento spôsob riešenia sporov sa musia zaviazať, že budú držiavať rady poskytnuté zo strany DPA. Ak určitá organizácia do 25 dní odo dňa vydania rád nekoná v súlade s nimi a neposkytne žiadne uspokojujúce vysvetlenie omeškania, výbor oznámi svoj zámer buď predložiť danú záležitosť Federálnej obchodnej komisii alebo inému federálnemu alebo štátnemu orgánu USA so zákonnými právomocami s cieľom konania v zmysle vymáhania výkonu práva v prípadoch podvodu alebo nepravdivého vyhlásenia, alebo svoj zámer rozhodnúť o tom, že dohoda o spolupráci bola vážne porušená a preto musí byť považovaná za neplatnú. V tomto poslednom prípade výbor informuje Ministerstvo obchodu (alebo jeho zástupcu), aby mohol byť náležite upravený zoznam účastníkov systému bezpečného prístavu. Akékoľvek nedodržanie plnenia záväzku spolupracovať s DPA, ako aj nedodržanie plnenia zásad "bezpečného prístavu" sa bude považovať za žalovateľné ako klamlivá praktika podľa oddielu 5 zákona o Federálnej obchodnej komisii alebo podľa iného podobného právneho predpisu.

Organizácie, ktoré sa rozhodnú pre túto možnosť budú musieť platiť ročný poplatok určený na pokrytie prevádzkových nákladov výboru a môžu byť dodatočne požiadané, aby uhradili akékoľvek potrebné výdavky na preklad súvisiace s posudzovaním, ktoré výbor uskutočňuje vo vzťahu k žiadostiam o rozhodnutie alebo sťažnostiam voči týmto organizáciám. Ročný poplatok neprekročí 500 amerických dolárov a pre menšie spoločnosti bude nižší.

Možnosť spolupráce s DPA budú mať k dispozícii organizácie, ktoré sa po dobu troch rokov zapoja do systému bezpečného prístavu. DPA tento mechanizmus pred uplynutím tejto doby opätovne posúdia, ak sa ukáže, že počet organizácií v USA, ktoré sa rozhodnú pre túto možnosť je príliš vysoký.

FAQ 6 – Osvedčenie vydávané samotnou organizáciou

Otázka: Akým spôsobom organizácia osvedčuje, že dodržiava zásady bezpečného prístavu?

Odpoveď: Výhody vyplývajúce zo štatútu bezpečného prístavu sú zabezpečené odo dňa, kedy určitá organizácia sama poskytne ministerstvu obchodu (alebo jeho zástupcovi) v súlade s nižšie uvedeným usmernením osvedčenie, že dodržiava zásady.

S cieľom poskytnutia osvedčenia o svojom dodržiavaní zásad "bezpečného prístavu" môže organizácia poslať Ministerstvu obchodu (alebo jeho zástupcovi) list podpísaný vedúcim pracovníkom spoločnosti v mene danej organizácie pripájajúcej sa k systému bezpečného prístavu, ktorý obsahuje prinajmenšom nasledujúce informácie:

1. názov organizácie, poštovú adresu, e-mailovú adresu, telefónne a faxové čísla;

2. opis činnosti danej organizácie s ohľadom na osobné informácie získavané od EÚ a

3. opis stratégie danej organizácie v oblasti ochrany súkromia vo vzťahu k takýmto osobným informáciám, vrátane: a) miesta, kde je stratégia v oblasti ochrany súkromia dostupná na nahliadnutie pre verejnosť, b) dňa, kedy nadobúda účinnosť vykonávanie tejto stratégie, c) kontaktného orgánu pre vybavovanie sťažností, žiadostí o prístup a akýchkoľvek iných záležitostí vyplývajúcich z uplatňovania systému bezpečného prístavu, d) osobitného štatutárneho orgánu, v ktorého právomoci je vypočutie sťažností voči danej organizácii čo sa týka možných nekalých alebo klamlivých praktík a porušení zákonov alebo iných právnych predpisov upravujúcich ochranu súkromia (a ktorý je uvedený v zozname pripojenom k zásadám), e) názvu akéhokoľvek programu v oblasti ochrany súkromia, ktorého je daná organizácia členom, f) spôsobu overovania (napr. vnútri podniku, treťou stranou) [2], a g) nezávislého opravného mechanizmu, ktorý je dostupný s cieľom vyšetrovania nevyriešených sťažností.

Tam, kde má organizácia záujem o to, aby výhody vyplývajúce zo štatútu bezpečného prístavu zahrňovali informácie v oblasti ľudských zdrojov prenášané z EÚ na využitie v súvislosti s pracovnoprávnymi vzťahmi, môže tak urobiť, ak existuje štatutárny orgán s právomocou vypočúvať sťažnosti voči danej organizácii vyplývajúce z informácií týkajúcich sa ľudských zdrojov, ktorý je uvedený v zozname pripojenom k zásadám. Navyše to musí daná organizácia uviesť vo svojom liste a musí vyhlásiť, že sa zaväzuje spolupracovať s orgánom EÚ alebo príslušnými orgánmi v súlade s FAQ 9 a FAQ 5 podľa potreby a že bude dodržiavať rady poskytnuté týmito orgánmi.

Ministerstvo obchodu (alebo jeho zástupca) bude udržiavať zoznam všetkých organizácií, ktoré podajú takýto list, ktorým si zabezpečujú dostupnosť výhod vyplývajúcich zo štatútu bezpečného prístavu a bude každoročne aktualizovať takýto zoznam na základe listov a oznámení obdržaných podľa FAQ 11. Takéto listy obsahujúce osvedčenia vydávané samotnými organizáciami by sa mali poskytovať najmenej raz ročne. V opačnom prípade bude organizácia zo zoznamu odstránená a nebudú jej viac zabezpečené výhody vyplývajúce zo štatútu bezpečného prístavu. Tento zoznam i listy obsahujúce osvedčenia jednotlivých organizácií budú verejne sprístupnené. Všetky organizácie, ktoré poskytujú osvedčenie o svojom dodržiavaní zásad "bezpečného prístavu" musia tiež vo svojich príslušných uverejnených vyhláseniach o stratégii ochrany súkromia uviesť, že dodržiavajú zásady "bezpečného prístavu".

Záväzok dodržiavať zásady "bezpečného prístavu" nie je časovo obmedzený vo vzťahu k údajom získavaným v priebehu doby, v ktorej daná organizácia využíva výhody bezpečného prístavu. Záväzok organizácie znamená, že bude na takéto údaje naďalej uplatňovať zásady tak dlho, pokiaľ ich bude uchovávať, využívať alebo poskytovať, dokonca aj vtedy, ak následne z akýchkoľvek dôvodov upustí od zásad bezpečného prístavu.

Organizácia, ktorá prestane existovať ako samostatná právnická osoba v dôsledku koncentrácie alebo akvizície musí o tom vopred informovať Ministerstvo obchodu (alebo jeho zástupcu). V tomto oznámení by tiež malo byť uvedené, či nadobúdajúca spoločnosť alebo spoločnosť vzniknutá v dôsledku koncentrácie (1) bude výkonom práva upravujúceho akvizíciu alebo koncentráciu naďalej viazaná zásadami "bezpečného prístavu" alebo (2) sa rozhodne poskytnúť osvedčenie o svojom dodržiavaní zásad bezpečného prístavu alebo poskytnúť iné záruky, ako napríklad písomnú dohodu zabezpečujúcu dodržiavanie zásad "bezpečného prístavu". Tam, kde neplatí ani (1) ani (2), musia byť akékoľvek údaje získané v rámci bezpečného prístavu okamžite vymazané.

Organizácia nemusí podriadiť všetky osobné informácie zásadám "bezpečného prístavu", ale musí podriadiť zásadám bezpečného prístavu všetky osobné údaje získané od EÚ po tom, čo sa zapojila do systému bezpečného prístavu.

Akýkoľvek nepravdivé vyhlásenie pre verejnosť ohľadom dodržiavania zásad bezpečného prístavu určitou organizáciou môže byť žalovateľné zo strany Federálnej obchodnej komisie alebo iného príslušného vládneho orgánu. Nepravdivé vyhlásenie pre Ministerstvo obchodu (alebo jeho zástupcu) môže byť žalovateľné podľa zákona o nepravdivých vyhláseniach (18 U.S.C. (Ústava Spojených štátov) § 1001).

FAQ 7 – Overovanie

Otázka: Akým spôsobom zabezpečujú organizácie následné postupy umožňujúce overiť, či sú ich osvedčenia a tvrdenia o ich praktikách bezpečného prístavu pravdivé a či sa praktiky bezpečného prístavu vykonávajú tak, ako sú prezentované a v súlade so zásadami bezpečného prístavu?

Odpoveď: Aby splnila požiadavky na overovanie ustanovené v zásade týkajúcej sa vymáhania výkonu, organizácia môže takéto osvedčenia a tvrdenia overovať buď prostredníctvom posudzovania dodržiavania zásad "bezpečného prístavu" vykonaného samotnou organizáciou, alebo vykonaného externým posudzovateľom.

Pri posudzovaní vykonávanom samotnou organizáciou by sa malo preukázať, že verejne prezentovaná stratégia ochrany súkromia danej organizácie týkajúca sa osobných informácií získavaných z EÚ je presná, vyčerpávajúca, zreteľne prezentovaná, vykonávaná v úplnosti a prístupná. Takéto posúdenie tiež musí preukázať, že stratégia danej organizácie v oblasti ochrany súkromia je v súlade so zásadami "bezpečného prístavu", že jednotlivci sú informovaní o všetkých mechanizmoch dostupných v rámci organizácie, ktoré sa zaoberajú sťažnosťami a o nezávislých mechanizmoch, prostredníctvom ktorých môžu jednotlivci presadzovať svoje sťažnosti; že organizácia uplatňuje postupy na školenie zamestnancov v oblasti vykonávania jej stratégie v oblasti ochrany súkromia a na postihovanie zamestnancov v prípade nedodržania tejto stratégie; a že daná organizácia uplatňuje interné postupy s cieľom vykonávania pravidelného objektívneho posudzovania dodržiavania toho, čo bolo uvedené vyššie. Vyhlásenie osvedčujúce posúdenie vykonané samotnou organizáciou by malo byť podpísané vedúcim pracovníkom spoločnosti alebo iným oprávneným zástupcom danej organizácie najmenej raz za rok a na požiadanie by malo byť sprístupnené jednotlivcom alebo v súvislosti s vyšetrovaním alebo sťažnosťou ohľadom nedodržiavania zásad "bezpečného prístavu".

Organizácie by mali uchovávať záznamy o vykonávaní svojich postupov bezpečného prístavu a mali by ich na požiadanie sprístupniť v súvislosti s vyšetrovaním alebo sťažnosťou ohľadom nedodržiavania praktík bezpečného prístavu nezávislému orgánu zodpovednému za vyšetrovanie sťažností alebo orgánu s jurisdikciou týkajúcou sa nekalých a klamlivých postupov.

Tam, kde sa určitá organizácia rozhodne pre posúdenie dodržiavania postupov bezpečného prístavu vykonané externým posudzovateľom, takéto posúdenie musí preukázať, že jej stratégia v oblasti ochrany súkromia týkajúca sa osobných informácií získavaných z EÚ je v súlade so zásadami "bezpečného prístavu", že sa dodržiava a že jednotlivci sú informovaní o mechanizmoch, prostredníctvom ktorých môžu presadzovať svoje sťažnosti. Spôsoby posudzovania môžu zahrňovať bez obmedzenia audit, náhodné kontroly, používanie "návnad" alebo podľa potreby využívanie technologických nástrojov. Vyhlásenie osvedčujúce, že bolo úspešne ukončené posúdenie dodržiavania postupov bezpečného prístavu vykonané externým posudzovateľom by malo byť podpísané buď posudzovateľom alebo vedúcim pracovníkom spoločnosti alebo iným oprávneným zástupcom danej organizácie najmenej raz rok a malo by byť na požiadanie sprístupnené jednotlivcom alebo v súvislosti s vyšetrovaním alebo sťažnosťou ohľadom dodržiavania spomínaných praktík.

FAQ 8 – Prístup

Zásada prístupu:

Jednotlivci musia mať prístup k osobným informáciám o sebe, ktoré uchováva určitá organizácia a majú mať možnosť opraviť, zmeniť a doplniť alebo odstrániť takéto informácie tam, kde sú nepresné, s výnimkou prípadov, kedy by zaťaženie alebo výdavky súvisiace s poskytnutím prístupu neboli úmerné rizikám vyplývajúcim v danom prípade pre súkromie príslušného jednotlivca alebo tam, kde by boli poškodené legitímne práva osôb iných ako príslušný jednotlivec.

1. Otázka: Je právo na prístup absolútne?

1. Odpoveď: Nie. Podľa zásad "bezpečného prístavu" je právo na prístup k osobným informáciám základom ochrany súkromia. Konkrétne umožňuje jednotlivcom overovať správnosť informácií, ktoré sa o nich uchovávajú. Povinnosť organizácie poskytovať prístup k osobným informáciám, ktoré uchováva o danom jednotlivcovi však podlieha zásade primeranosti alebo odôvodnenosti a v určitých prípadoch je potrebné ju modifikovať. V skutočnosti Vysvetľujúce memorandum z roku 1980 týkajúce sa usmernení OECD ohľadom ochrany súkromia jasne ustanovuje, že povinnosť organizácie umožniť prístup k osobným informáciám nie je absolútna. Toto memorandum nevyžaduje príliš podrobné vyhľadávanie prikazované napríklad pod hrozbou potrestania, ani nevyžaduje prístup ku všetkým rôznym formám, v ktorých môže príslušná organizácia informácie uchovávať.

Skúsenosti skôr ukázali, že pri reagovaní na žiadosti jednotlivcov ohľadom prístupu k ich osobným informáciám by sa organizácie mali predovšetkým riadiť dôvodom (dôvodmi), ktoré viedli k príslušným žiadostiam. Napríklad, ak je žiadosť o prístup nejasná alebo rozsahom všeobecná, organizácia môže s jednotlivcom nadviazať dialóg, aby lepšie pochopila motiváciu danej žiadosti a lokalizovala zodpovedajúce informácie. Organizácia sa môže zaujímať o to, s ktorou organizačnou súčasťou (súčasťami) danej organizácie príslušný jednotlivec komunikoval a/alebo o povahu informácií (alebo ich využití), ktoré sú predmetom žiadosti o prístup. Jednotlivci však nemusia odôvodňovať svoju žiadosť o prístup k svojim vlastným údajom.

Výdavky a zaťaženie sú významnými faktormi a mali by sa brať do úvahy, ale nie sú určujúce pri rozhodovaní o tom, či je umožnenie prístupu odôvodnené. Napríklad, ak sa dané informácie využívajú pri rozhodnutiach, ktoré významne ovplyvnia daného jednotlivca (napríklad zamietnutie alebo priznanie dôležitých dávok, ako napríklad poistného, hypotéky alebo práce), potom v súlade s ostatnými ustanoveniami týchto FAQ by organizácia mala poskytnúť tieto informácie dokonca aj vtedy, ak je toto poskytnutie relatívne zložité alebo nákladné.

Ak požadované informácie nie sú citlivé alebo sa nevyužívajú pri rozhodnutiach, ktoré významne ovplyvnia daného jednotlivca (napr. necitlivé marketingové údaje využívané na rozhodnutie o tom, či sa má alebo nemá danému jednotlivcovi poslať katalóg), ale sú ľahko dostupné a ich poskytnutie nie je nákladné, organizácia by mala poskytnúť prístup ku skutočným informáciám, ktoré táto organizácia uchováva o danom jednotlivcovi. Tieto informácie by mohli zahrňovať skutočnosti získané od jednotlivca, skutočnosti zhromaždené v priebehu určitej transakcie alebo skutočnosti týkajúce sa daného jednotlivca získané od iných osôb.

V súlade so základnou povahou prístupu k osobným informáciám by sa organizácie mali vždy v dobrej viere snažiť poskytnúť prístup. Napríklad, ak je potrebné určité informácie chrániť a dajú sa ľahko oddeliť od iných informácií, ktorých sa týka žiadosť o prístup, organizácia by mala upraviť chránené informácie a mala by sprístupniť ostatné informácie. Ak organizácia rozhodne, že v niektorom konkrétnom prípade by sa mal prístup zamietnuť, mala by jednotlivcovi požadujúcemu prístup poskytnúť vysvetlenie, prečo sa takto rozhodla a mala by mu udať kontaktné miesto, na ktoré sa môže obrátiť v prípade ďalších otázok.

2. Otázka: Čo sú to dôverné obchodné informácie a môžu organizácie zamietnuť prístup s cieľom ich ochrany?

2. Odpoveď: Dôverné obchodné informácie (keďže tento termín sa používa vo Federálnych pravidlách občianskoprávneho konania týkajúcich sa sprístupnenia) sú informácie, vo vzťahu ku ktorým určitá organizácia podnikla kroky v zmysle ich ochrany pred zverejnením tam, kde by na určitom trhu odhalenie týchto informácií pomohlo konkurenčnej spoločnosti. Určitý počítačový program používaný určitou organizáciou ako napríklad modelovací program alebo podrobnosti tohto programu môžu byť dôvernými obchodnými informáciami. Tam, kde je možné dôverné obchodné informácie ľahko oddeliť od iných informácií, ktorých sa týka žiadosť o prístup, daná organizácia by mala upraviť dôverné obchodné informácie a mala by sprístupniť nedôverné informácie. Organizácie môžu zamietnuť alebo obmedziť prístup, pokiaľ by poskytnutie prístupu odhalilo jej vlastné dôverné obchodné informácie, tak ako boli vymedzené vyššie, ako napríklad marketingové odhady alebo kategorizácie vypracované danou organizáciou alebo dôverné obchodné informácie inej organizácie tam, kde takéto informácie podliehajú zmluvnej povinnosti utajenia za okolností, kedy by sa k takejto povinnosti utajenia organizácia spravidla zaviazala alebo by jej bola uložená.

3. Otázka: Pri poskytovaní prístupu môže organizácia odhaliť jednotlivcom osobné informácie o nich stiahnuté z jej databáz alebo sa vyžaduje poskytnutie prístupu k samotnej databáze?

3. Odpoveď: Prístup je možné poskytnúť tak, že organizácia sprístupní osobné informácie jednotlivcovi, pričom sa nevyžaduje, aby organizácia poskytla jednotlivcovi prístup k svojej databáze.

4. Otázka: Musí organizácia reštrukturalizovať svoje databázy, aby mohla poskytnúť prístup k osobným informáciám?

4. Odpoveď: Prístup k osobným informáciám je potrebné poskytnúť len vtedy, ak organizácia dané informácie uchováva. Samotná zásada prístupu nezakladá povinnosť uchovávať, udržiavať, reorganizovať alebo reštrukturalizovať súbory s osobnými informáciami.

5. Otázka: Z týchto odpovedí je jasné, že v určitých prípadoch je možné prístup zamietnuť. V ktorých iných prípadoch môže organizácia zamietnuť jednotlivcom prístup k ich osobným informáciám?

5. Odpoveď: Takéto okolnosti sú obmedzené a akékoľvek dôvody na zamietnutie prístupu musia byť osobitné. Organizácia môže zamietnuť poskytnutie prístupu k informáciám, pokiaľ je pravdepodobné, že takéto poskytnutie je v rozpore s ochranou dôležitých verejných záujmov, ako napríklad národná bezpečnosť; obrana; alebo verejná bezpečnosť. Okrem toho tam, kde sa osobné informácie spracúvajú výlučne pre účely výskumu alebo štatistiky, môže byť prístup zamietnutý. Iné dôvody na zamietnutie alebo obmedzenie prístupu k osobným informáciám sú:

a) rozpor s výkonom alebo vymáhaním výkonu práva, vrátane prevencie, vyšetrovania alebo odhaľovania trestných činov alebo práva na spravodlivý proces;

b) rozpor so súkromnými žalobnými dôvodmi, vrátane prevencie, vyšetrovania alebo odhaľovania právnych nárokov alebo práva na spravodlivý proces;

c) poskytovanie osobných informácií týkajúcich sa iného jednotlivca (iných jednotlivcov) tam, kde takéto odkazy nie je možné revidovať;

d) porušovanie zákonnej alebo inej profesionálnej výsady alebo povinnosti;

e) porušovanie potrebnej dôvernosti budúcich alebo prebiehajúcich rokovaní, napríklad takých, ktoré zahrňujú akvizíciu verejne kótovaných spoločností;

f) škodlivé ovplyvňovanie vyšetrovania bezpečnosti pri práci alebo konania vo veci pracovných sťažností;

g) narušovanie dôvernosti, ktorá môže byť na obmedzenú dobu potrebnú v súvislosti s plánovaním zmien v obsadzovaní funkcií v rámci určitej spoločnosti a s reorganizáciou určitej spoločnosti, alebo

h) narušovanie dôvernosti, ktorá môže byť potrebná v súvislosti s monitorovaním, kontrolou alebo regulačnými funkciami súvisiacimi s dobrým hospodárskym alebo finančným riadením, alebo

i) iné okolnosti, za ktorých by zaťaženie alebo náklady súvisiace s poskytnutím prístupu boli neúmerné alebo by boli porušené legitímne práva alebo záujmy iných osôb.

Organizácia, ktorá si nárokuje výnimku má povinnosť preukázať jej uplatniteľnosť (zvyčajne to tak je). Ako bolo uvedené vyššie, jednotlivcom by sa mali uviesť dôvody zamietnutia alebo obmedzenia prístupu k osobným informáciám a kontaktné miesto pre prípad, že by mali ďalšie otázky.

6. Otázka: Môže organizácia účtovať poplatok na pokrytie nákladov za poskytnutie prístupu k osobným informáciám?

6. Odpoveď: Áno. Usmernenia OECD pripúšťajú, že organizácie môžu účtovať poplatok za predpokladu, že nie je príliš vysoký. To znamená, že organizácie môžu za prístup k osobným informáciám účtovať primeraný poplatok. Účtovanie poplatkov môže byť užitočné z hľadiska odradzovania opakujúcich sa a zlomyseľných žiadostí.

To znamená, že organizácie, ktorých predmetom podnikania je predaj verejne dostupných informácií môžu pri odpovedaní na žiadosti o prístup k osobným informáciám účtovať obvyklý poplatok danej organizácie. Jednotlivci sa môžu prípadne pokúsiť o prístup k informáciám o sebe u organizácií, ktoré pôvodne zhromaždili dané údaje.

Prístup nemôže byť zamietnutý kvôli nákladom, ak príslušný jednotlivec ponúka zaplatenie nákladov.

7. Otázka: Musí organizácia poskytnúť prístup k osobným informáciám získaným z verejných záznamov?

7. Odpoveď: Po prvé si treba vyjasniť, že verejné záznamy sú tie záznamy uchovávané vládnymi orgánmi alebo právnickými osobami na akejkoľvek úrovni, ktoré sú vo všeobecnosti otvorené pre verejnosť s cieľom dopytovania. Na takéto informácie nie je potrebné uplatňovať zásadu prístupu, pokiaľ nie sú kombinované s inými osobnými informáciami, s výnimkou prípadov, kedy sa neveľké množstvo informácií z neverejných záznamov používa na registrovanie alebo organizovanie informácií vo verejných záznamoch. Je však potrebné rešpektovať akékoľvek podmienky dopytovania stanovené príslušnou jurisdikciou. Avšak tam, kde sú informácie z verejných záznamov kombinované s inými informáciami z neverejných záznamov (iných ako tie, ktoré boli osobitne uvedené vyššie), organizácia musí poskytnúť prístup ku všetkým takým informáciám za predpokladu, že nepodliehajú iným povoleným výnimkám.

8. Otázka: Musí sa zásada prístupu uplatňovať na verejne dostupné osobné informácie?

8. Odpoveď: Podobne ako pri informáciách z verejných záznamov (pozri Q 7), nie je potrebné poskytovať prístup k informáciám, ktoré už sú verejne dostupné širokej verejnosti, pokiaľ nie sú kombinované s informáciami, ktoré nie sú verejne dostupné.

9. Otázka: Ako sa môže organizácia chrániť pred opakovanými alebo zlomyseľnými žiadosťami o prístup?

9. Odpoveď: Organizácia nemusí odpovedať na takéto žiadosti o prístup. Z týchto dôvodov môžu organizácie účtovať primeraný poplatok a môžu stanoviť primerané limity na počet prípadov v rámci určitého časového obdobia, kedy sa vyhovie žiadostiam určitého jednotlivca o prístup k osobným informáciám. Pri stanovovaní takýchto limitov by organizácia mala zohľadniť také faktory ako frekvencia, s akou sa informácie aktualizujú, účel, na ktorý sa dané údaje využívajú a povahu daných informácií.

10. Otázka: Ako sa organizácia môže chrániť pred podvodnými žiadosťami o prístup?

10. Odpoveď: Organizácia nemusí poskytnúť prístup k osobným informáciám, pokiaľ jej nie sú dodané dostatočné informácie, ktoré jej umožnia potvrdiť totožnosť osoby, ktorá podáva žiadosť.

11. Otázka: Existuje nejaký časová lehota, v rámci ktorého musia byť poskytnuté odpovede na žiadosti o prístup?

11. Odpoveď: Áno, organizácie by mali odpovedať bez neprimeraného oneskorenia a v primeranej časovej lehote. Túto požiadavku možno splniť rôznym spôsobom, ako to stanovuje Vysvetľujúce memorandum k usmerneniam OECD o ochrane súkromia z roku 1980. Napríklad prevádzkovateľ údajov, ktorý v pravidelných intervaloch poskytuje informácie dotknutým osobám, ktoré sú predmetom údajov, je možné vyňať z povinnosti odpovedať okamžite na individuálne žiadosti.

FAQ 9 – Ľudské zdroje

1. Otázka: Podlieha prenos osobných informácií z EÚ do Spojených štátov zhromaždených v súvislosti s pracovnoprávnymi vzťahmi zásadám bezpečného prístavu?

1. Otázka: Áno, tam, kde spoločnosť v EÚ prenáša osobné informácie o svojich zamestnancoch (minulých alebo súčasných) zhromaždené v súvislosti s pracovným pomerom do materskej, sesterskej alebo nesesterskej spoločnosti, ktorá poskytuje služby v Spojených štátoch a ktorá je účastníčkou systému bezpečného prístavu, na daný prenos sa vzťahujú výhody vyplývajúce zo systému bezpečného prístavu. V takýchto prípadoch zhromažďovanie informácií a ich spracúvanie pred prenosom podlieha vnútroštátnym právnym predpisom krajiny EÚ, v ktorej boli dané informácie zhromaždené a musia byť rešpektované akékoľvek podmienky alebo obmedzenia vo vzťahu k prenosu týchto informácií ustanovené týmto predpismi.

Zásady bezpečného prístavu sú relevantné len vtedy, keď sa prenášajú individuálne identifikované záznamy alebo keď ide o prístup k takýmto záznamom. Na štatistické výkazy založené na súhrnných údajoch o zamestnancoch a/alebo na využívaní anonymizovaných alebo pseudoanonymizovaných údajov sa nevzťahujú problémy ochrany súkromia.

2. Otázka: Ako sa na takéto informácie uplatňujú zásady oznámenia a možnosti voľby?

2. Odpoveď: Organizácia v USA, ktorá získala informácie týkajúce sa zamestnancov z EÚ v rámci systému bezpečného prístavu môže tieto informácie poskytnúť tretím stranám a/alebo ich využívať na rôzne účely len v súlade so zásadami oznámenia a možnosti voľby. Napríklad tam, kde chce určitá organizácia využiť osobné informácie zhromaždené v rámci pracovného pomeru na účely nesúvisiace s pracovnoprávnymi vzťahmi, ako napríklad na marketingovú komunikáciu, daná organizácia v USA musí pred tým, než tak urobí, poskytnúť dotknutým jednotlivcom možnosť voľby, pokiaľ títo jednotlivci už nedali svoj súhlas na využitie daných informácií na takéto účely. Navyše, takáto možnosť voľby sa nesmie použiť na obmedzenie pracovných príležitostí alebo na represívne konanie voči takýmto zamestnancom.

Treba podotknúť, že určité všeobecne uplatniteľné podmienky na prenos z niektorých členských štátov môžu vylučovať iné možnosti využitia takýchto informácií po prenose mimo EÚ a takéto podmienky sa budú musieť rešpektovať.

Navyše, zamestnávatelia by mali vynaložiť primerané úsilie na to, aby vyhoveli zamestnancom uprednostňujúcim ochranu svojho súkromia. To by napríklad mohlo znamenať obmedzenie prístupu k príslušným údajom, anonymizovanie určitých údajov alebo pridelenie kódov alebo pseudonymov v prípadoch, kedy sa pre účely manažmentu nevyhnutne nevyžadujú skutočné mená.

Do tej miery a po takú dobu, ktoré sú potrebné na to, aby neboli dotknuté legitímne záujmy organizácie v oblasti vykonávania náboru, prijímania do zamestnania alebo iných pracovnoprávnych rozhodnutí organizácia nemusí poskytnúť oznámenie a možnosť voľby.

3. Otázka: Ako sa v tejto oblasti uplatňuje zásada prístupu k osobným informáciám?

3. Odpoveď: FAQ týkajúce sa prístupu k osobným informáciám poskytujú usmernenie čo sa týka dôvodov, ktoré môžu opodstatňovať odmietnutie alebo obmedzenie prístupu na požiadanie v súvislosti s ľudskými zdrojmi. Zamestnávatelia v Európskej únii musia prirodzene dodržiavať miestne právne predpisy a zabezpečiť, aby mali zamestnanci v rámci Európskej únie prístup k takýmto informáciám, tak ako to vyžaduje právo v ich domovských krajinách bez ohľadu na to, na akom mieste sa údaje spracúvajú a uchovávajú. Zásady "bezpečného prístavu" vyžadujú, aby organizácia, ktorá spracúva takéto údaje v Spojených štátoch spolupracovala pri poskytovaní takéhoto prístupu buď priamo, alebo prostredníctvom zamestnávateľa v EÚ.

4. Otázka: Ako sa bude v súlade so zásadami bezpečného prístavu uplatňovať vymáhanie výkonu vo vzťahu k údajom o zamestnancoch?

4. Odpoveď: Pokiaľ sa informácie využívajú len v rámci pracovnoprávnych vzťahov, prvotná zodpovednosť za údaje vo vzťahu k zamestnancom spočíva na príslušnej spoločnosti v EÚ. To znamená, že v prípade, že európski zamestnanci podajú sťažnosti týkajúce sa porušovania ich práv na ochranu údajov a nie sú spokojní s výsledkami interného posúdenia, konania v rámci sťažnosti a odvolacieho konania (alebo iného uplatňovateľného konania v rámci pracovných sťažností v súlade so zmluvou s odbormi), tieto sťažnosti by mali byť podané na štátny alebo národný orgán na ochranu údajov alebo na úrad práce, v rámci jurisdikcie ktorých daný zamestnanec pracuje. Týka sa to aj prípadov, kedy sa údajné nesprávne zaobchádzanie s osobnými informáciami spomínaných zamestnancov udialo v Spojených štátoch, kedy je zodpovedná organizácia v USA, ktorá získala dané informácie od zamestnávateľa a nie zamestnávateľ, čo znamená, že ide o údajné porušenie zásad bezpečného prístavu a nie porušenie vnútroštátnych právnych predpisov vykonávajúcich smernicu. Toto bude najúčinnejší spôsob riešenia často sa prekrývajúcich práv a povinností ukladaných miestnym pracovným právom a pracovnými dohodami, ako aj právom v oblasti ochrany údajov.

Organizácia v USA, ktorá sa zúčastňuje na systéme bezpečného prístavu a ktorá využíva údaje EÚ v oblasti ľudských zdrojov prenášané z Európskej únie v súvislosti s pracovnoprávnymi vzťahmi a ktorá má záujem o to, aby takéto prenosy spadali pod zásady bezpečného prístavu sa musí preto zaviazať, že v takýchto prípadoch bude spolupracovať pri vyšetrovaniach príslušných orgánov EÚ a že bude dodržiavať rady týchto orgánov. DPA, ktoré súhlasili s takýmto spôsobom spolupráce budú o tom informovať Európsku komisiu a Ministerstvoobchodu USA. Ak má organizácia v USA zúčastňujúca sa na systéme bezpečného prístavu záujem o prenos údajov týkajúcich sa ľudských zdrojov z určitého členského štátu bez schválenia príslušnej DPA, budú sa uplatňovať ustanovenia FAQ 5.

FAQ 10 – Zmluvy podľa článku 17

Otázka: Ak sa údaje prenášajú z EÚ do Spojených štátov len s cieľom spracúvania, bude potrebná zmluva bez ohľadu nato, či sa spracovateľ zúčastňuje na systéme bezpečného prístavu?

Odpoveď: Áno. Od správcov údajov v Európskej únii sa vždy vyžaduje, aby uzavreli zmluvu v prípade, ak sa prenos vykonáva len s cieľom spracúvania údajov, bez ohľadu na to, či sa operácia spracúvania vykonáva vnútri alebo mimo EÚ. Cieľom zmluvy je chrániť záujmy správcu údajov, t. j. osoby alebo orgánu určujúceho účely a prostriedky spracúvania a plne zodpovedného za dané údaje vo vzťahu k príslušnému jednotlivcovi (jednotlivcom). V zmluve sa preto presne určuje spracúvanie, ktoré sa vykonať a všetky prostriedky potrebné na zabezpečenie ochrany daných údajov.

To znamená, že organizácia v USA zúčastňujúca sa na systéme bezpečného prístavu a získavajúca osobné informácie z EÚ len s cieľom spracúvania nemusí uplatňovať na tieto informácie zásady, pretože v súlade s príslušnými predpismi EÚ (ktoré môžu byť prísnejšie ako zodpovedajúce zásady "bezpečného prístavu") za tieto informácie zodpovedá voči jednotlivcovi osoba zodpovedná za spracovanie.

Keďže účastníci bezpečného prístavu poskytujú primeranú ochranu osobných informácií, zmluvy s účastníkmi bezpečného prístavu týkajúce sa výlučne spracúvania údajov si nevyžadujú predchádzajúci súhlas (alebo takýto súhlas poskytnú členské štáty automaticky), ktorý by sa vyžadoval v prípade zmlúv s príjemcami údajov, ktorí sa nezúčastňujú na systéme bezpečného prístavu alebo iným spôsobom neposkytujú primeranú ochranu osobných informácií.

FAQ 11 – Riešenie sporov a vymáhanie výkonu

Otázka: Ako by sa mali vykonávať požiadavky zásady vymáhania výkonu týkajúce sa riešenia sporov ako sa bude postupovať v prípade, že určitá organizácia sústavne nedodržiava zásady?

Odpoveď: Zásada vymáhania výkonu ustanovuje požiadavky na vymáhanie výkonu zásad bezpečného prístavu. To, ako sa majú splniť požiadavky bodu b) tejto zásady je stanovené vo FAQ týkajúcej sa overovania (FAQ 7). Táto FAQ 11 sa týka bodov a) a c), ktoré oba požadujú nezávislé opravné mechanizmy. Tieto mechanizmy môžu mať rôznu formu, avšak musia spĺňať požiadavky zásady vymáhania výkonu. Organizácie môžu splniť tieto požiadavky nasledujúcim spôsobom: (1) dodržiavaním programov ochrany súkromia vypracovaných súkromným sektorom, ktoré začleňujú do svojich pravidiel zásady bezpečného prístavu a ktoré zahrňujú účinné mechanizmy vymáhania výkonu toho druhu, ktorý je opísaný v zásade vymáhania výkonu; (2) podrobením sa zákonným alebo regulačným dozorným orgánom, ktoré zabezpečujú vybavovanie individuálnych sťažností a riešenie sporov; alebo (3) tým, že sa zaviažu spolupracovať s orgánmi na ochranu údajov sídliacimi v Európskej únii alebo s ich oprávnenými zástupcami. Vymenovanie vyššie uvedených spôsobov má ilustratívny a nie obmedzujúci charakter. Súkromný sektor môže vypracovať iné mechanizmy na zabezpečenie vymáhania výkonu, pokiaľ tieto mechanizmy budú spĺňať požiadavky zásady vymáhania výkonu a FAQs. Treba upozorniť na to, že požiadavky zásady vymáhania výkonu sú dodatočnými požiadavkami k požiadavkám ustanoveným v odseku 3 úvodu k zásadám, podľa ktorých samoregulačné pravidlá musia byť vymáhateľné podľa článku 5 zákona o Federálnej obchodnej komisii alebo podľa podobného právneho predpisu.

Opravné mechanizmy

Jednotlivci by mali byť podporovaní v tom, aby pred tým, než sa obrátia na nezávislé opravné mechanizmy podávali svoje sťažnosti na príslušné organizácie. To, či je určitý opravný mechanizmus nezávislý je faktická otázka, ktorú možno zodpovedať viacerými spôsobmi, napríklad preukázaním transparentnej štruktúry a financovania alebo dobrým osvedčením z predchádzajúcej činnosti. Ako to vyžaduje zásada vymáhania výkonu, opravný mechanizmus dostupný pre jednotlivcov musí byť ľahko prístupný a z hľadiska výdavkov prijateľný. Orgány pre riešenie sporov by mali prešetriť každú sťažnosť, ktorú dostanú od jednotlivcov, pokiaľ tieto sťažnosti nie sú očividne nepodložené alebo neodôvodnené. Toto však nevylučuje možnosť, že organizácia prevádzkujúca opravný mechanizmus zavedie požiadavky súvisiace s oprávnenosťou podania sťažnosti, avšak takéto požiadavky musia byť transparentné a odôvodnené (napríklad požiadavka na vylúčenie sťažností, ktoré nespadajú do rámca pôsobnosti daného programu alebo patria na posúdenie inému fóru) a ich výsledkom by nemalo byť narušenie záväzku ohľadom prešetrovania oprávnených sťažností. Okrem toho by opravné mechanizmy mali jednotlivcom poskytovať úplné a ľahko dostupné informácie o tom, aký je postup v rámci konania týkajúceho sa riešenia sporov v prípade, že podajú sťažnosť. Takéto informácie by mali obsahovať upozornenie na praktiky daného mechanizmu v oblasti ochrany súkromia, a to v súlade so zásadami "bezpečného prístavu" [3]. Opravné mechanizmy by tiež mali spolupracovať na vypracovaní nástrojov ako napríklad štandardných formulárov na podávanie sťažnosti, aby tak uľahčili proces riešenia sťažností.

Opatrenia a sankcie

Výsledkom akýchkoľvek nápravných opatrení ustanovených orgánom na riešenie sporov by malo byť to, že daná organizácia do tej miery, po ktorú je to možné, zvráti alebo opraví nedodržiavanie zásad a to, že ďalšie spracúvanie údajov danou organizáciou bude v súlade so zásadami a tam, kde je to vhodné, to, že spracúvanie osobných údajov jednotlivca, ktorý podal sťažnosť, bude ukončené. Sankcie musia byť dostatočne prísne, aby sa zabezpečilo dodržiavanie zásad danou organizáciou. Rozsah sankcií rôzneho stupňa prísnosti umožní orgánom na riešenie sporov primerane reagovať na rozličné stupne nedodržiavania zásad. Sankcie by mali zahrňovať tak uverejnenie zisteného nedodržiavania zásad, ako aj požiadavku vymazať za určitých okolností dané údaje [4]. Iné sankcie by mohli zahrňovať pozastavenie a odobratie oprávnenia používať označenie štatútu bezpečného prístavu, kompenzáciu pre jednotlivcov za straty spôsobené v dôsledku nedodržiavania zásad a príkazných opatrení. Orgány súkromného sektoru pre riešenie sporov a samoregulačné orgány musia oznámiť prípady, kedy organizácie so štatútom bezpečného prístavu nedodržiavajú svoje pravidlá vládnemu orgánu s uplatniteľnou jurisdikciou alebo súdom, podľa toho, čo je v konkrétnom prípade vhodné, a musia informovať Ministerstvo obchodu USA (alebo jeho zástupcu).

Činnosť Federálnej obchodnej komisie (FTC – Federal Trade Commission)

Federálna obchodná Komisia sa zaviazala prioritne posudzovať žiadosti o rozhodnutie obdržané od súkromných organizácií uplatňujúcich samoreguláciu, ako napríklad BBOnline a TRUSTe, a od členských štátov EÚ sťažujúcich sa na nedodržiavanie zásad "bezpečného prístavu" s cieľom zistiť, či bol porušený oddiel 5 zákona FTC zakazujúci nekalé alebo klamlivé konanie alebo praktiky v rámci obchodovania. Ak FTC príde k záveru, že má dôvod (dôvody) domnievať sa, že bol porušený oddiel 5, môže v danej veci rozhodnúť tak, že bude žiadať administratívny príkaz na zastavenie činnosti zakazujúci namietané praktiky alebo tak, že podá sťažnosť na federálny obvodný súd, výsledkom čoho by v prípade úspechu mohol byť príkaz federálneho súdu s tým istým účinkom. FTC môže uložiť civilné sankcie za porušenie administratívneho príkazu na zastavenie činnosti a môže konať v rámci urážky súdu v civilnom alebo trestnom práve za porušenie príkazu federálneho súdu. Každý takýto krok oznámi Federálna obchodná Komisia Ministerstvu obchodu USA. Ministerstvo obchodu podnecuje iné vládne orgány, aby ho informovali o konečnom vybavení takýchto žiadostí o rozhodnutie alebo o iných rozhodnutiach nariaďujúcich dodržiavanie zásad bezpečného prístavu.

Trvalé nedodržiavanie zásad

Ak určitá organizácia trvale nedodržiava zásady, nemá už ďalej nárok na výhody vyplývajúce zo štatútu bezpečného prístavu. Trvalé nedodržiavanie zásad nastane tam, kde organizácia, ktorá sama osvedčila svoje dodržiavanie zásad Ministerstvu obchodu USA (alebo jeho zástupcovi) odmietne splniť rozhodnutie samoregulačného alebo vládneho orgánu alebo tam, kde takýto orgán rozhodne, že určitá organizácia často nedodržiava zásady až do tej miery, že jej tvrdenie o dodržiavaní zásad nie je viac vierohodné. V týchto prípadoch musí daná organizácia okamžite informovať Ministerstvo obchodu (alebo jeho zástupcu) o takýchto skutočnostiach. Ak to neurobí, môže byť žalovateľná podľa zákona o nepravdivom vyhlásení (18 U.S.C. § 1001).

Ministerstvo obchodu USA (alebo jeho zástupca) uvedie na ním udržiavanom verejnom zozname organizácií, ktoré osvedčili svoje dodržiavanie zásad každé oznámenie, ktoré obdrží vo vzťahu k trvalému nedodržiavaniu zásad, či už je toto oznámenie od samotnej organizácie, od samoregulačného orgánu alebo od vládneho orgánu, ale len po tom, čo ministerstvo najprv tridsať (30) dní vopred danú organizáciu nedodržiavajúcu zásady upozorní a dá jej príležitosť reagovať. Vo verejnom zozname udržiavanom Ministerstvom obchodu (alebo jeho zástupcom) bude tiež jasne uvedené, ktoré organizácie majú zabezpečené a ktoré organizácie už nemajú zabezpečené výhody bezpečného prístavu.

Organizácia, ktorá podáva žiadosť o účasť na samoregulačnom orgáne s cieľom opätovného splnenia kritérií bezpečného prístavu musí poskytnúť tomuto orgánu úplné informácie o svojej predchádzajúcej účasti v systéme bezpečného prístavu.

FAQ 12 – Možnosť voľby – Časové súvislosti vyjadrenia nesúhlasu s využívaním osobných informácií ("Opt out")

Otázka: Umožňuje zásada možnosti voľby jednotlivcovi vykonať voľbu len na začiatku vzťahu s určitou organizáciou alebo kedykoľvek?

Odpoveď: Vo všeobecnosti je cieľom zásady možnosti voľby zabezpečiť, aby sa osobné informácie využívali a poskytovali spôsobmi, ktoré sú zlučiteľné s očakávaním a rozhodnutím daného jednotlivca. To znamená, že jednotlivec by mal mať možnosť vyjadriť nesúhlas (alebo súhlas) vo vzťahu k tomu, či sa majú jeho osobné informácie využiť na priamy marketing, kedykoľvek podliehajúc primeraným obmedzeniam stanoveným danou organizáciou, ako napríklad poskytnutie času pre organizáciu, aby mohla urobiť kroky v tom zmysle, aby vyjadrenie nesúhlasu jednotlivca s využívaním jeho osobných informácií nadobudlo účinnosť. Organizácia môže tiež požadovať dostatočné informácie na potvrdenie totožnosti jednotlivca požadujúceho ukončenie využívania jeho osobných informácií. V Spojených štátoch môžu jednotlivci vykonávať túto možnosť voľby prostredníctvom využívania relevantného centrálneho programu ako napríklad Poštová preferenčná služba Združenia priameho marketingu. Organizácie, ktoré sa zúčastňujú na Poštovej preferenčnej službe Združenia priameho marketingu by mali podporovať jej dostupnosť pre spotrebiteľov, ktorí si neželajú dostávať komerčné informácie. V každom prípade by jednotlivec mal mať k dispozícii ľahko dostupný a z hľadiska výdavkov prístupný mechanizmus na výkon tejto možnosti.

Podobne môže organizácia využívať informácie na určité priame marketingové účely, keď nie je prakticky možné poskytnúť jednotlivcovi príležitosť vyjadriť nesúhlas pred použitím daných informácií, ak daná organizácia zároveň (a na požiadanie kedykoľvek) poskytne jednotlivcovi takúto možnosť zamietnuť (bez toho, že by to jednotlivca niečo stálo), aby mu boli doručované akékoľvek ďalšie priame marketingové oznamy a ak organizácia vyhovie želaniu jednotlivca.

FAQ 13 – Informácie súvisiace s cestovaním

Otázka: Kedy je možné prenášať organizáciám sídliacim mimo EÚ informácie týkajúce sa rezervácií v rámci osobnej leteckej dopravy a iné informácie týkajúce sa cestovania, ako napríklad informácie o osobách často využívajúcich letecké služby alebo informácie o hotelových rezerváciách a zvláštnych požiadavkách na zaobchádzanie, ako napríklad o jedle zodpovedajúcom náboženským požiadavkám alebo o potrebe fyzickej pomoci?

Odpoveď: Takéto informácie je možné prenášať za niekoľkých rôznych okolností. Podľa článku 26 smernice je možné prenášať osobné údaje "do tretej krajiny, ktorá nezabezpečuje primeranú úroveň ochrany v zmysle článku 25 ods. 2" za podmienky, že (1) je potrebné poskytnúť služby požadované zákazníkom alebo splniť podmienky dohody, ako napríklad dohody uzavretej s "osobou často využívajúcou letecké služby"; alebo (2) že na to dal výslovný súhlas zákazník. Organizácie v USA zúčastnené na systéme bezpečného prístavu poskytujú primeranú ochranu osobných údajov a preto im môžu byť prenášané údaje z EÚ bez toho, aby spĺňali spomínané podmienky alebo iné podmienky ustanovené v článku 26 smernice. Keďže systém bezpečného prístavu zahrňuje osobitné pravidlá týkajúce sa citlivých informácií, takéto informácie (ktoré je potrebné zhromažďovať napríklad v súvislosti s tým, že zákazníci potrebujú fyzickú pomoc) je možné zahrnúť do prenosov informácií účastníkom bezpečného prístavu. Vo všetkých prípadoch však musí organizácia prenášajúca dané informácie rešpektovať právo členského štátu EÚ, v ktorom vyvíja činnosť, ktoré môže okrem iného ukladať osobitné podmienky pre narábanie s citlivými údajmi.

FAQ 14 – Farmaceutické výrobky a liečivá

1. Otázka: Ak sú osobné údaje zhromažďované v EÚ a prenášané do Spojených štátov s cieľom farmaceutického výskumu a/alebo za inými účelmi, uplatňujú sa záklony členských štátov alebo zásady "bezpečného prístavu"?

1. Odpoveď: Právo členských štátov sa uplatňuje na zhromažďovanie osobných údajov a na akékoľvek spracúvanie, ktoré sa vykonáva pred prenosom do Spojených štátov. Zásady bezpečného prístavu sa na tieto údaje uplatňujú po tom, čo boli prenesené do Spojených štátov. Ak je to vhodné, údaje využívané na farmaceutický výskum a iné účely by mali byť anonymné.

2. Otázka: Osobné údaje získané v rámci zvláštnych lekárskych alebo farmaceutických výskumných štúdií hrajú často významnú úlohu v ďalšom vedeckom výskume. Ak sa osobné údaje zhromaždené v rámci jednej výskumnej štúdie prenesú do organizácie v USA, ktorá je účastníkom bezpečného prístavu, môže táto organizácia využívať dané údaje v rámci nového vedeckého výskumu?

2. Odpoveď: Áno, ak sa najskôr poskytlo oznámenie a možnosť voľby. Takéto oznámenie by malo poskytnúť informácie o akomkoľvek budúcom zvláštnom využití daných údajov, ako napríklad následné využívanie v pravidelných intervaloch, v súvisiacich štúdiách alebo v marketingu. Je zrejmé, že nie je možné presne vymedziť všetky budúce možnosti využitia daných údajov, pretože nový výskum môže byť podnietený novými pohľadmi na pôvodné údaje, na základe nových objavov a pokroku v medicíne a na základe vývoja v oblasti zdravotníctva a regulačného systému. Tam, kde je to vhodné, by preto oznámenie malo obsahovať vysvetlenie, že osobné údaje môžu byť použité v rámci aktivít budúceho lekárskeho a farmaceutického výskumu, ktoré nemožno vopred predvídať. Ak určité využívanie údajov nie je zlučiteľné s hlavným účelom (účelmi) výskumu, pre ktorý boli dané údaje pôvodne zhromaždené alebo na ktorý dal jednotlivec následne súhlas, je potrebné získať nový súhlas.

3. Otázka: Čo sa stane s údajmi jednotlivca, ak sa účastník rozhodne dobrovoľne alebo na žiadosť sponzora nezúčastňovať sa ďalej na určitej klinickej štúdii?

3. Odpoveď: Účastníci sa môžu kedykoľvek rozhodnúť nezúčastňovať sa ďalej na klinickej štúdii alebo môžu byť o to kedykoľvek požiadaní. Akékoľvek údaje zhromaždené pred skončením účasti na štúdii môžu byť naďalej spracúvané spolu s inými údajmi zhromaždenými ako súčasť klinickej štúdie, avšak len vtedy, ak to bolo objasnené príslušnému účastníkovi v oznámení v čase, keď on alebo ona súhlasili s účasťou.

4. Otázka: Farmaceutické spoločnosti alebo spoločnosti vyrábajúce lekárske prístroje majú povolené poskytovať osobné údaje z klinických štúdií uskutočnených v EÚ regulačným orgánom v Spojených štátoch s cieľom regulácie alebo dohľadu. Sú podobné prenosy povolené pre strany iné ako regulačné orgány, ako napríklad do sídiel spoločností alebo na iné vedecké pracoviská?

4. Odpoveď: Áno, v súlade so zásadami oznámenia a možnosti voľby.

5. Otázka: V záujme zabezpečenia objektivity pri mnohých klinických štúdiách účastníkom a často aj výskumníkom nemôže byť poskytnutý prístup k informáciám o tom, akým liečebným metódam sú podrobení jednotliví účastníci. Ak by bol takýto prístup umožnený, ohrozila by sa platnosť príslušného výskumu a výsledky. Budú mať účastníci takýchto klinických štúdií (označovaných ako "skrytý" výskum) prístup k údajom o liečebných metódach, ktorým boli podrobení počas štúdie?

5. Odpoveď: Nie, takýto prístup sa účastníkovi nemusí poskytnúť, ak takéto obmedzenie bolo vysvetlené vtedy, keď sa účastník rozhodoval o účasti v štúdii a keby odhalenie takýchto informácií ohrozilo integritu príslušného výskumu. Súhlas s účasťou na určitej štúdii za týchto podmienok je vlastne zrieknutím sa práva na prístup k spomínaným informáciám. Následne po záveroch štúdie a analýze výsledkov by účastníci mali mať prístup k svojim údajom, ak o to požiadajú. Mali by sa ich v prvom rade žiadať od lekára alebo iného poskytovateľa zdravotnej starostlivosti, ktorý im poskytol ošetrenie v rámci klinickej štúdie alebo v druhom rade od sponzorujúcej spoločnosti.

6. Otázka: Musí farmaceutická firma alebo firma vyrábajúca lekárske prístroje uplatňovať zásady "bezpečného prístavu", pokiaľ ide o oznámenie, možnosť voľby, ďalší prenos a prístup v rámci svojich aktivít týkajúcich sa bezpečnosti výrobkov a monitorovania účinnosti, vrátane podávania správ o nepriaznivých prípadoch a sledovania stavu pacientov/subjektov používajúcich určité lieky alebo lekárske prístroje (napr. kardiostimulátor)?

6. Odpoveď: Nie, pokiaľ je dodržiavanie zásad v rozpore s dodržiavaním zákonom stanovených požiadaviek. Platí to tak vo vzťahu k správam poskytovaným napríklad poskytovateľmi zdravotnej starostlivosti farmaceutickým spoločnostiam alebo spoločnostiam vyrábajúcim lekárske prístroje, ako aj vo vzťahu s správam poskytovaným farmaceutickými spoločnosťami a spoločnosťami vyrábajúcimi lekárske prístroje vládnym organizáciám ako napríklad Správe pre výživu a liečivá (Food and Drug Administration).

7. Otázka: Výskumné údaje hlavný vedúci pracovník výskumu vždy zakóduje v ich pôvodnom stave osobitným kľúčom, aby sa neodhalila totožnosť jednotlivých osôb, ktoré sú predmetom údajov. Farmaceutickým spoločnostiam sponzorujúcim takýto výskum sa tento kľúč neposkytuje. Tento osobitný kľúčový kód vlastní len spomínaný výskumný pracovník, aby mohol/mohla za určitých okolností identifikovať osobu, ktorá je predmetom výskumu (napríklad v prípade, že je potrebná následná lekárska starostlivosť). Predstavuje prenos takýmto spôsobom zakódovaných údajov z EÚ do Spojených štátov prenos osobných údajov podliehajúcich zásadám bezpečného prístavu?

7. Odpoveď: Nie. Takýto prenos nepredstavuje prenos osobných údajov, ktoré by podliehali zásadám.

FAQ 15 – Verejné záznamy a verejne prístupné informácie

Otázka: Je potrebné uplatňovať zásady oznámenia, možnosti voľby a ďalšieho prenosu na informácie obsiahnuté vo verejných záznamoch alebo na verejne prístupné informácie?

Odpoveď: Zásady oznámenia, možnosti voľby alebo ďalšieho prenosu nie je potrebné uplatňovať na informácie obsiahnuté vo verejných záznamoch, pokiaľ nie sú kombinované s informáciami obsiahnutými v neverejných záznamoch a pokiaľ sa rešpektujú všetky podmienky týkajúce sa potreby konzultácie ustanovené príslušnou jurisdikciou.

Vo všeobecnosti tiež nie je potrebné uplatňovať zásady oznámenia, možnosti voľby alebo ďalšieho prenosu na verejne prístupné informácie, pokiaľ subjekt v EÚ prenášajúci dané údaje neuvedie, že takéto informácie podliehajú obmedzeniam, ktoré si vyžadujú, aby daná organizácia na zamýšľané účely využívania týchto informácií uplatňovala vyššie uvedené zásady. Organizácie nebudú zodpovedné za to, ako takéto informácie využívajú tí, ktorí ich získali z uverejnených materiálov.

Tam, kde sa zistí, že určitá organizácia zámerne zverejnila osobné informácie v protiklade so zásadami, takže ona alebo iní môžu mať z týchto výnimiek výhody, prestane spĺňať kritériá na získavanie výhod vyplývajúcich zo systému bezpečného prístavu.

[1] Zahrnutie tejto FAQ do súboru často kladených otázok závisí od súhlasu orgánov na ochranu údajov EÚ (Data Protection Authorities – DPA). Tieto orgány prediskutovali tento text v článku 29 pracovnej skupiny a väčšina konštatovala, že je prijateľný, ale konečné stanovisko môžu prijať len v kontexte celkového stanoviska, ktoré pracovná skupina vydá ohľadom konečného súboru často kladených otázok.

[2] Pozri FAQ 7 týkajúcu sa overovania.

[3] Od orgánov na riešenie sporov sa nevyžaduje, aby dodržiavali zásadu vymáhania výkonu. Môžu tiež urobiť výnimku zo zásad tam, kde pri výkone svojich osobitných úloh narazia na vzájomne si odporujúce povinnosti alebo na výslovné oprávnenia.

[4] Orgány na riešenie sporov podľa svojho uváženia rozhodujú o okolnostiach, za akých použijú tieto sankcie. Citlivosť údajov je jedným faktorom, ktorý treba brať do úvahy pri rozhodovaní, či by sa malo vyžadovať vymazanie údajov, pričom druhým faktorom je skutočnosť, či organizácia zhromažďovala, využívala alebo poskytovala informácie spôsobom jednoznačne protirečiacim zásadám.

--------------------------------------------------

PRÍLOHA III

Prehľad vymáhania výkonu zásad "bezpečného prístavu"

Právomoci federálnych a štátnych orgánov v oblasti "nekalých a klamlivých postupov" a ochrana súkromia

Toto memorandum uvádza prehľad právomocí Federálnej obchodnej komisie (FTC – Federal Trade Comission) podľa oddielu 5 zákona o Federálnej obchodnej komisii (15 U.S.C. §§ 41 – 58, v znení neskorších predpisov) v zmysle konania voči tým, ktorí v rámci ochrany osobných informácií prestanú konať v súlade so svojimi vyhláseniami a/alebo záväzkami. Venuje sa tiež výnimkám z týchto právomocí a spôsobilosti iných federálnych a štátnych orgánov prijať opatrenia tam, kde FTC nemá právomoc [1].

Právomoc FTC v oblasti nekalých alebo klamlivých postupov

Oddiel 5 zákona Federálnej obchodnej komisie vyhlasuje "nekalé a klamlivé postupy v rámci obchodovania alebo ovplyvňujúce obchodovanie" za protizákonné. 15 U.S.C. § 45 a) (1). Oddiel 5 udeľuje FTC plné právomoci v zmysle zabránenia takémuto konaniu a postupom. 15 U.S.C. § 45 a) (2). To znamená, že FTC môže po vykonaní oficiálneho vypočutia vydať "príkaz na zdržanie sa konania" s cieľom zastavenia takéhoto protiprávneho konania. 15 U.S.C. § 45 b). Ak by to bolo vo verejnom záujme, FTC môže tiež požiadať obvodný súd USA o dočasný obmedzujúci príkaz alebo o dočasný alebo trvalý zákaz. 15 U.S.C. § 53 b). V prípadoch, v ktorých ide o širokú škálu nekalých alebo klamlivých postupov alebo tam, kde už FTC vydala v danej záležitosti príkaz na zadržanie sa konania, môže FTC vyhlásiť administratívne pravidlo ustanovujúce príslušné konanie alebo postupy. 15 U.S.C. § 57 a.

Každý, kto nesplní príkaz FTC, podlieha civilnej sankcii až do výšky 11000 USD, pričom každý deň pokračujúceho porušovania zákona predstavuje samostatné porušenie [2]. 15 U.S.C. § 45 (1). Podobne je každý, kto vedome poruší pravidlo ustanovené Federálnou obchodnou komisiou povinný zaplatiť 11000 USD za každé porušenie pravidla. 15 U.S.C. § 45 m). Konanie v zmysle vymáhania práva môže začať buď Ministerstvo spravodlivosti alebo, v prípade jeho odmietnutia, Federálna obchodná Komisia. 15 U.S.C. § 56.

Právomoc FTC a ochrana súkromia

Pri výkone svojej právomoci na základe oddielu 5 vychádza FTC z toho, že nepravdivé vyhlásenie o tom, prečo sa od spotrebiteľov zhromažďujú informácie alebo ako sa tieto informácie využijú predstavuje klamlivý postup [3]. Napríklad v roku 1998 FTC podala sťažnosti proti GeoCities za poskytnutie informácií, ktoré táto spoločnosť zhromažďovala na svojej webovej stránke, tretím stranám s cieľom ponúk, a to bez predchádzajúceho súhlasu spotrebiteľov, napriek tomu, že vyhlasovala opak [4]. FTC tiež trvala na tom, že zhromažďovanie osobných údajov od detí a predaj a poskytovanie takýchto informácií bez súhlasu rodičov pravdepodobne predstavuje nekalý postup [5].

V liste generálnemu riaditeľovi Európskej komisie Johnovi Moggovi predseda FTC Pitofsky poukázal na obmedzenia právomoci FTC v oblasti ochrany súkromia tam, kde neprišlo k nepravdivému vyhláseniu (alebo vôbec neprišlo k žiadnemu vyhláseniu) vo vzťahu k tomu, ako sa zhromažďované informácie využijú. List predsedu FTC Pitofského Johnovi Moggovi (23. september 1998). Avšak spoločnosti, ktoré chcú využívať výhody navrhovaného systému "bezpečného prístavu" budú musieť poskytnúť osvedčenie, že budú chrániť informácie, ktoré zhromažďujú v súlade so stanovenými usmerneniami. Z toho vyplýva, že tam, kde určitá spoločnosť osvedčí, že zabezpečí ochranu informácií a potom túto ochranu nezabezpečí, by takéto konanie bolo nepravdivým vyhlásením a "klamlivým postupom" v zmysle oddielu 5.

Keďže jurisdikcia FTC zahrňuje nekalé alebo klamlivé konanie alebo postupy "v rámci obchodovania alebo ovplyvňujúce obchodovanie", FTC nebude mať právomoc vo vzťahu k zhromažďovaniu a využívaniu osobných informácií pre nekomerčné účely, napríklad na zbieranie finančných príspevkov na charitatívne účely. Pozri list Pitofského, s. 3. Avšak využívanie osobných informácií v akejkoľvek obchodnej transakcii zodpovedá tomuto judikátu. To znamená, že ak napríklad zamestnávateľ predá osobné informácie o svojich zamestnancoch na účely priameho marketingu, táto transakcia bude spadať do rámca pôsobnosti oddielu 5.

Oddiel 5 Výnimky

V oddiele 5 sú ustanovené výnimky z právomoci FTC v oblasti nekalého alebo klamlivého konania alebo postupov vo vzťahu k:

- finančným inštitúciám vrátane bánk, sporiteľných úverových inštitúcií a úverových zväzov,

- telekomunikáciám a verejným dopravcom v rámci dopravy medzi jednotlivým štátmi USA,

- leteckým prepravcom a

- veľkoobchodníkom a prevádzkovateľom dobytčích staníc (v ktorých sa dočasne prechováva dobytok a ošípané pred tým než idú na jatky, sú predané alebo prepravené na iné miesto).

Pozri 15 U.S.C. § 45 a) (2). Nižšie uvedený text sa podrobnejšie zaoberá každou z týchto výnimiek, ako aj regulačným orgánom, ktorý má príslušnú právomoc.

Finančné inštitúcie [6]

Prvá výnimka sa vzťahuje na "banky, sporiteľné a úverové inštitúcie opísané v oddiele 18f)(3) [15 U.S.C. § 57 af)(3)]" a na "federálne úverové združenia opísané v oddiele 18f)(4) [15 U.S.C. § 57af)(4)]" [7]. Tieto finančné inštitúcie namiesto toho podliehajú nariadeniam vydaným Federálnym rezervným úradom a Úradom pre dohľad nad sporiteľňami [8] respektíve Národnou správnou radou úverových družstiev. Pozri 15 U.S.C. § 57af). Tieto regulačné orgány sú orientované na vydávanie nariadení potrebných na zabránenie nekalým a klamlivým postupom v rámci týchto finančných inštitúcií [9] a na zriadenie osobitného oddelenia na vybavovanie sťažností spotrebiteľov. 15 U.S.C. § 57af)(1). A nakoniec, právomoc v zmysle vymáhania práva vyplýva z oddielu 8 federálneho zákona o vkladovom poistení (12 U.S.C. § 1818) čo sa týka bánk a sporiteľní a úverových inštitúcií a z oddielov 120 a 206 federálneho zákona o úverových združeniach čo sa týka federálnych úverových združení. 15 U.S.C. § 57af) (2)-(4).

Napriek tomu, že poisťovníctvo nie je osobitne zahrnuté v zozname výnimiek v oddiele 5, zákon McCarran-Fergusona (15 U.S.C. § 1011 a nasl.) vo všeobecnosti ponecháva reguláciu v oblasti poisťovacej činnosti na jednotlivé štáty USA [10]. Navyše, podľa oddielu 2b) zákona McCarran-Fergusona nemôže žiaden federálny zákon urobiť neplatným, ovplyvniť nepriaznivým spôsobom alebo nahradiť štátne nariadenie "pokiaľ sa takýto zákon netýka osobitne poisťovníctva." 15 U.S.C. § 1011 2b). Avšak ustanovenia zákona o FTC sa vzťahujú na poisťovníctvo "do tej miery, že táto oblasť nie je upravená štátnym právom."Id. Treba tiež poukázať na to, že zákon McCarran-Fergusona prenecháva štátom USA právomoc len vo vzťahu k "poisťovacej činnosti". To znamená, že FTC si ponecháva zvyškovú právomoc vo vzťahu k nekalým alebo klamlivým postupom poisťovacích spoločností vtedy, keď sa nezaoberajú poisťovacou činnosťou. Išlo by napríklad o prípad, kedy poisťovatelia predávajú osobné informácie o svojich poistencoch na účely priameho marketingu obchodníkom s produktmi nepatriacimi do oblasti poisťovníctva [11].

Verejní prepravcovia

Druhá výnimka oddielu 5 zahrňuje tých verejných prepravcov, ktorí "podliehajú zákonom upravujúcim oblasť obchodu." 15 U.S.C. § 45a)(2). V tomto prípade sa "zákony upravujúce oblasť obchodu" odvolávajú na podhlavu IV hlavy 49 Zákonníka Spojených štátov a na komunikačný zákon z roku 1934 (47 U.S.C. § 151 a nasl.) (komunikačný zákon). Pozri 15 U.S.C. § 44.

49 U.S.C. podhlava IV (medzištátna doprava) zahrňuje železničných prepravcov, motorových prepravcov, vodných prepravcov, burzových maklérov, nákladných dopravcov a potrubných prepravcov. 49 U.S.C. § 10101 a nasl. Títo rozliční verejní prepravcovia podliehajú regulácii Úradu pre pozemnú dopravu, nezávislého orgánu v rámci Ministerstva dopravy. 49 U.S.C. §§ 10501, 13501 a 15301. V každom prípade má prepravca zakázané poskytovať informácie o povahe, mieste určenia a iných aspektoch svojho nákladu, ktoré by sa mohli využiť na ujmu odosielateľa. Pozri 49 U.S.C. §§ 11904, 14908 a 16103. Treba poznamenať, že tieto ustanovenia sa vzťahujú na informácie týkajúce sa nákladu odosielateľa, a preto nezahrňujú osobné informácie o odosielateľovi, ktoré sa nevzťahujú na príslušný prepravovaný náklad.

Čo sa týka komunikačného zákona, ustanovuje reguláciu "medzištátneho (medzi štátmi USA) a medzinárodného obchodu v rámci drôtovej a rádiotelegrafickej komunikácie" Federálnou komunikačnou komisiou (FCC – Federal Communication Commission). Pozri 47 U.S.C. §§ 151 a 152. Popri verejných prepravcoch predstavovaných telekomunikačnými spoločnosťami sa komunikačný zákon uplatňuje aj na také spoločnosti ako televízne a rozhlasové spoločnosti a poskytovatelia káblových služieb, ktorí nie sú verejnými prepravcami. Ako také tieto posledne vymenované spoločnosti nespĺňajú podmienky na poskytnutie výnimky podľa oddielu 5 zákona o FTC. To znamená, že v jurisdikcii FTC je vyšetrovanie týchto spoločností z hľadiska používania nekalých a klamlivých postupov, zatiaľ čo FCC disponuje súbežnou jurisdikciou vykonávať v tejto oblasti svoju nezávislú právomoc tak, ako je to opísané nižšie.

Podľa komunikačného zákona má "každý telekomunikačný prepravca" vrátane miestnych telekomunikačných prepravcov povinnosť ochraňovať súkromie informácií vo vlastníctve zákazníka [12]. 47 U.S.C. § 222a). Okrem tejto všeobecnej právomoci v zmysle ochrany súkromia bol komunikačný zákon zmenený a doplnený zákonom o politike v oblasti káblovej komunikácie z roku 1984 (káblový zákon), 47 U.S.C. § 521 a nasl. s cieľom splnomocnenia káblových prevádzkovateľov v zmysle ochrany "osobne identifikovateľných informácií" týkajúcich sa káblových účastníkov. 47 U.S.C. § 551 [13]. Káblový zákon obmedzuje zhromažďovanie osobných informácií káblovými prevádzkovateľmi a požaduje, aby kábloví prevádzkovatelia informovali príslušného účastníka o povahe zhromažďovaných informácií a o tom, ako budú tieto informácie využité. Káblový zákon poskytuje účastníkom právo na prístup k informáciám o nich a požaduje od káblových prevádzkovateľov, aby takéto informácie zničili, keď už nie sú potrebné.

Komunikačný zákon splnomocňuje FCC vykonávať tieto dve ustanovenia týkajúce sa ochrany súkromia, a to buď z vlastnej iniciatívy, alebo ako reakciu na sťažnosť zvonka [14]. 47 U.S.C. §§ 205, 403; id. § 208. Ak FCC príde k záveru, že telekomunikačný prepravca (vrátane káblového prepravcu) porušil ustanovenia o ochrane súkromia oddielu 222 alebo oddielu 551, existujú tri základné opatrenia, ktoré môže FCC prijať. Po prvé, po vypočutí a rozhodnutí o porušení môže Komisia nariadiť prepravcovi, aby zaplatil peňažnú náhradu škody [15]. 47 U.S.C. § 209. Druhá možnosť je, že FCC dá prepravcovi príkaz na zdržanie sa konania vo vzťahu k protiprávnej praktike alebo opomenutiu. 47 U.S.C. § 205a). A nakoniec, Komisia môže tiež nariadiť prepravcovi porušujúcemu zákon, aby "splnil a dodržiaval akékoľvek nariadenie alebo praktiku", ktoré ustanoví FCC. Id.

Súkromné osoby, ktoré sa domnievajú, že telekomunikačný prepravca alebo káblový prevádzkovateľ porušil príslušné ustanovenia komunikačného zákona alebo káblového zákona buď podajú sťažnosť na FCC, alebo predložia svoje žaloby federálnemu okresnému súdu. 47 U.S.C. § 207. Žalobcovi, ktorý uspeje na federálnom obvodnom súde voči telekomunikačnému prepravcovi vo veci nedodržiavania ochrany informácií vo vlastníctve zákazníka podľa širšieho oddielu 222 komunikačného zákona, môže byť priznaná náhrada za skutočne spôsobené škody a úhrada odmeny pre právnych zástupcov. 47 U.S.C. § 206. Žalobcovi, ktorý podá žalobu vo veci porušenia súkromia podľa osobitného oddielu 551 káblového zákona, môže byť okrem náhrady za skutočne spôsobené škody a úhrady odmeny pre právnych zástupcov priznaná tiež náhrada škody plniaca represívnu funkciu a primeraná úhrada súdnych nákladov. 47 U.S.C. § 551f).

FCC prijala podrobné pravidlá na výkon oddielu 222. Pozri 47 CFR 64.2001-2009. Tieto pravidlá ustanovujú osobitné záruky a ochranu voči neoprávnenému prístupu k sieťovým informáciám vo vlastníctve zákazníka. Tieto nariadenia vyžadujú, aby telekomunikační prepravcovia:

- vypracovali a uplatňovali softvérové systémy, v rámci ktorých sa pri prvom uvedení záznamu služieb vo vzťahu k zákazníkovi na obrazovke objaví označenie o oznámení zákazníkovi/o schválení zákazníkom,

- udržiavali elektronické "kontrolné sledovanie" s cieľom sledovania prístupu k záznamu zákazníka, vrátane prípadov, kedy je záznam otvorený, kým a na aký účel,

- školili svoj personál v oblasti oprávneného využívania sieťových informácií vo vlastníctve zákazníka a uplatňovali príslušný systém disciplinárnych opatrení,

- vybudovali systém dohľadu nad zabezpečením dodržiavania pravidiel pri vykonávaní telemarketingu a

- každoročne osvedčovali Federálnej komunikačnej komisii (FCC), ako dodržiavajú tieto nariadenia.

Leteckí prepravcovia

Americkí a zahraniční leteckí prepravcovia, ktorí podliehajú federálnemu leteckému zákonu z roku 1958 sú tiež vyňatí z oddielu 5 zákona o FTC. Pozri 15 U.S.C. § 45a)(2). Týka sa to každého, kto poskytuje medzištátnu (v rámci štátov USA) alebo medzinárodnú prepravu tovaru alebo cestujúcich alebo kto prepravuje letecky poštu. Pozri 49 U.S.C. § 40102. Leteckí prepravcovia podliehajú právomoci Ministerstva dopravy. V tomto smere je minister dopravy oprávnený prijať opatrenia v záujme "zabránenia nekalým, klamlivým, dravým alebo protisúťažným postupom v oblasti dopravy". 49 U.S.C. § 40101a)(9). Ak je to vo verejnom záujme, minister dopravy môže vyšetrovať, či sa americký alebo zahraničný letecký prepravca alebo organizácia zabezpečujúca letenky dopustili nekalého alebo klamlivého postupu. 49 U.S.C. § 41712. Po vypočutí môže minister dopravy vydať príkaz na zastavenie príslušného protiprávneho postupu. Id. Pokiaľ je nám známe, minister dopravy neuplatnil túto právomoc na riešenie problému ochrany osobných informácií o leteckých zákazníkoch [16].

Existujú dve ustanovenia ochraňujúce osobné informácie, ktoré sa uplatňujú vo vzťahu k leteckým prepravcom v osobitných súvislostiach. Po prvé, federálny letecký zákon chráni súkromie žiadateľov o miesto pilota. Pozri 49 U.S.C. 44936f). Popri tom, že daný zákon umožňuje leteckým prepravcom získavať záznamy o doterajšom zamestnaní príslušného žiadateľa, poskytuje žiadateľovi právo na oznámenie, že sa dané záznamy požadujú, právo na súhlas s takouto požiadavkou, na opravu nepresností a na to, že sa tieto záznamy poskytnú len tým osobám, ktoré sa zúčastňujú na rozhodovaní o prijatí do zamestnania. Po druhé, nariadenia Ministerstva dopravy vyžadujú, aby zoznam informácií o cestujúcich, ktoré sa zhromažďujú s cieľom použitia vládou v prípade leteckého nešťastia, "zostal utajený a poskytol sa len Ministerstvu zahraničných vecí USA, Národnému úradu pre dopravu (na žiadosť NTB (NTB – National Transportation Board, t. j. Národný úrad pre dopravu)) a Ministerstvu dopravy USA." 14 CFR časť 243, § 243.9c) (doplnené 63 FR 8258).

Prevádzkovatelia zariadení na porciovanie a balenie mäsa a prevádzkovatelia dobytčích staníc

Čo sa týka zákona o prevádzkovateľoch zariadení na porciovanie a balenie mäsa a prevádzkovateľoch dobytčích staníc z roku 1921 (7 U.S.C. § 181 a nasl.), zákon ustanovuje, že je protiprávne, aby sa "ktorýkoľvek prevádzkovateľ zariadení na porciovanie a balenie mäsa vo vzťahu k živému dobytku, mäsu, mäsovým potravinárskym výrobkom alebo k výrobkom zo zvierat v nespracovanej podobe alebo aby sa ktorýkoľvek obchodník so živou hydinou vo vzťahu k živej hydine podieľal na nekalých, nespravodlivo diskriminačných alebo klamlivých postupoch alebo prostriedkoch alebo aby takéto praktiky a prostriedky používal". 7 U.S.C. § 192a); pozri tiež 7 U.S.C. § 213a) (zakazujúci "akékoľvek nekalé, nespravodlivo diskriminujúce alebo klamlivé postupy alebo prostriedky" v súvislosti so živým dobytkom). Prvotnú právomoc v zmysle vymáhania výkonu týchto ustanovení má minister poľnohospodárstva, zatiaľ čo FTC si zachováva právomoc nad maloobchodnými transakciami a transakciami zahrňujúcimi obchod s hydinou. 7 U.S.C. § 227b)(2).

Nie je jasné, či minister poľnohospodárstva bude vykladať prípady, kedy prevádzkovateľ zariadení na porciovanie a balenie mäsa alebo prevádzkovateľ dobytčej stanice nekoná pri ochrane súkromia v súlade s vyhlasovanou stratégiou ako "klamlivý" postup spadajúci pod zákon o prevádzkovateľoch zariadení na porciovanie a balenie mäsa a prevádzkovateľoch dobytčích staníc. Výnimka v oddiele 5 sa však týka osôb, verejných obchodných spoločností alebo korporácií len "potiaľ, pokiaľ podliehajú zákonu o prevádzkovateľoch zariadení na porciovanie a balenie mäsa a prevádzkovateľoch dobytčích staníc". To znamená, že ak ochrana súkromia nie je záležitosťou spadajúcou do rozsahu pôsobnosti zákona o prevádzkovateľoch zariadení na porciovanie a balenie mäsa a prevádzkovateľoch dobytčích staníc, potom sa môže celkom ľahko stať, že sa výnimka v oddiele 5 nebude uplatňovať a prevádzkovatelia zariadení na porciovanie a balenie mäsa a prevádzkovatelia dobytčích staníc budú v tomto smere podliehať právomoci FTC.

Právomoc štátov USA v oblasti "nekalých a klamlivých postupov"

Podľa analýzy vypracovanej pracovníkmi FTC "Všetkých 50 štátov plus District of Columbia, Guam, Portoriko a americké Panenské ostrovy prijali zákony viac menej podobné zákonu Federálnej obchodnej komisie ("FTCA – Federal Trade Commission Act" ) zamerané na zabránenie nekalým alebo klamlivým obchodným postupom." Prehľad prípadov Federálnej obchodnej komisie, opätovne uverejnený v "Poznámky, Ochrana spotrebiteľa: Praktická účinnosť štátnej legislatívy v oblasti klamlivých obchodných praktík", 59 Tul, L. Rev. 427 (1984). Vo všetkých prípadoch má orgán na vymáhanie výkonu práva právomoc "uskutočniť vyšetrovanie prostredníctvom predvolania na súd alebo občianskoprávneho konania, získavať uistenia o dobrovoľnom dodržiavaní, vydávať príkazy na zdržanie sa konania alebo získavať súdne príkazy zabraňujúce používaniu nekalých, nespravodlivých alebo klamlivých obchodných praktík. Id. V jurisdikciách 46 štátov USA umožňuje právo občianske žaloby týkajúce sa odškodnenia za skutočne vzniknuté škody, dvojnásobného odškodnenia, trojnásobného odškodnenia alebo náhrady škody plniacej represívnu funkciu a v niektorých prípadoch náhrady nákladov a úhrady nákladov na právneho zástupcu. Id."

Napríklad zákon štátu Florida týkajúci sa nekalých obchodných postupov oprávňuje generálneho prokurátora vyšetrovať a podávať civilné žaloby voči "nekalým metódam hospodárskej súťaže, nekalým, nespravodlivým alebo klamlivým obchodným postupom", vrátane nepravdivej alebo zavádzajúcej reklamy, zavádzajúcim licenčným alebo obchodným príležitostiam, podvodnému telemarketingu a pyramídovým programom. Pozri tiež N.Y. General Business Law (Všeobecné obchodné právo štátu New York) § 349 (zakazujúce nekalé konanie a klamlivé praktiky vykonávané počas obchodovania).

Prieskum uskutočnený tento rok Národným združením generálnych prokurátorov (NAAG – National Association of Attorneys General) potvrdzuje tieto zistenia. Zo 43 štátov USA, ktoré odpovedali, majú všetky "mini FTC" štatúty alebo iné štatúty poskytujúce porovnateľnú ochranu. Podľa prieskumu NAAG 39 štátov tiež uviedlo, že majú právomoc vypočuť sťažnosti osôb bez štatútu trvalého bydliska v danom štáte. Čo sa týka ochrany súkromia spotrebiteľov, 37 zo 41 štátov, ktoré odpovedali uviedlo, že reagujú na sťažnosti uvádzajúce, že určitá spoločnosť v rámci ich jurisdikcie nedodržiava ochranu súkromia, ktorú sama deklaruje.

[1] Nezaoberáme sa tu všetkými rozličnými federálnymi právnymi normami týkajúcimi sa ochrany súkromia v osobitných súvislostiach alebo štátnymi právnymi normami a zvykovým právom, ktoré sa v tejto oblasti uplatňujú. Právne normy na federálnej úrovni upravujúce komerčné zhromažďovanie a využívanie osobných informácií zhrňujú okrem iného zákon o politike v oblasti káblovej komunikácie (47 U.S.C. § 551), zákon o ochrane súkromia vodičov motorových vozidiel (18 U.S.C. § 2721), zákon o ochrane súkromia v rámci elektronickej komunikácie (18 U.S.C. § 2701 a nasl.), zákon o elektronickom prevode finančných prostriedkov (15 U.S.C. §§ 1693, 1693 m), zákon o náležitom podávaní informácií o úverovej schopnosti zákazníkov (15 U.S.C. § 1681 a nasl.), zákon o práve na ochranu osobných finančných údajov (12 U.S.C. § 3401 a nasl.), zákon o ochrane spotrebiteľov využívajúcich telefónnu sieť (47 U.S.C § 227) a zákon o ochrane súkromných videozáznamov (18 U.S.C. § 2710). Mnohé štáty USA majú v týchto oblastiach analogickú legislatívu. Pozri napr. všeobec. zák. štátu Mass. ("Mass. Gen. Laws") kap. 167B, § 16 (zakazujúci finančným inštitúciám poskytovať finančné záznamy zákazníkov tretej strane bez súhlasu zákazníka alebo bez toho, že by išlo o súdny proces, zákon štátu N.Y. o verejnej zdravotníckej starostlivosti (N.Y. Public Health Law) § 17 (obmedzujúci využívanie a poskytovanie lekárskych záznamov alebo záznamov o duševnom zdraví a poskytujúci pacientom právo na prístup k takýmto záznamom).

[2] V prípade takéhoto konania môže tiež okresný súd USA nariadiť príkaznú a spravodlivú náhradu zodpovedajúcu vymáhaniu výkonu príkazu FTC. 15 U.S.C. § 45(1).

[3] "Klamlivý postup" sa definuje ako vyhlásenie, opomenutie alebo postup, ktorá pravdepodobne uvedie do omylu rozumne uvažujúcich spotrebiteľov v materiálnom zmysle.

[4] Pozri www.ftc.gov/opa/1998/9808/geocitie.htm.

[5] Pozri list pracovníkov FTC Stredisku pre mediálne vzdelávanie, www.ftc.gov/os/1997/9707/cenmed.htm. Okrem toho, zákon o ochrane súkromia detí v rámci online režimov z roku 1998 zveruje FTC osobitnú zákonnú právomoc upravovať zhromažďovanie osobných informácií od detí prevádzkovateľmi webových stránok a online služieb. Pozri 15 U.S.C. §§ 6501-6506. Konkrétne tento zákon požaduje, aby prevádzkovatelia online služieb pred tým, než začnú zhromažďovať, využívať alebo poskytovať osobné informácie získané od detí, oboznámili o tom rodičov a získali ich overiteľný súhlas. Id. § 6502b). Tento zákon tiež dáva rodičom právo prístupu k údajom a právo odmietnuť povolenie na ďalšie využívanie príslušných informácií. Id.

[6] 12. novembra 1999 podpísal prezident Clinton zákon Gramm-Leach-Blileya (Pub. L. 106-102, kodifikovaný v 15 U.S.C. § 6801 a nasl.). Tento zákon obmedzuje finančné inštitúcie v zmysle poskytovania osobných informácií o ich zákazníkoch. Tento zákon okrem iného od finančných inštitúcií vyžaduje, aby informovali všetkých zákazníkov o svojej stratégii v oblasti ochrany súkromia vo vzťahu k poskytovaniu osobných informácií ich sesterským spoločnostiam a ostatným spoločnostiam. Tento zákon splnomocňuje FTC, federálne bankové úrady a iné orgány vydávať nariadenia na vykonávanie ochrany súkromia požadovaného touto právnou normou. Dané orgány vydali na tento účel navrhované nariadenia.

[7] Svojimi podmienkami sa táto výnimka nevzťahuje na sektor cenných papierov. To znamená, že burzoví makléri, dealeri a iní pracovníci v oblasti obchodovania s cennými papiermi podliehajú súčasne jurisdikcii Komisie pre burzy a cenné papiere a FTC vo vzťahu k nekalému alebo klamlivému konaniu alebo postupom.

[8] Výnimka v oddiele 5 sa pôvodne vzťahovala na Federálnu bankovú radu pre úverovanie bytovej výstavby, ktorá bola zrušená v auguste roku 1989 zákonom o reforme, obnove a vymáhaní výkonu finančných inštitúcií z roku 1989. Jej funkcie boli prenesené na Úrad pre dohľad nad sporiteľňami, Korporáciu na vysporiadanie zvereneckých fondov, Federálny úrad pre vkladové poistenie a na Radu pre financovanie bytovej výstavby.

[9] Pri vynímaní finančných inštitúcií z jurisdikcie FTC sa v oddiele 5 tiež ustanovuje, že kedykoľvek vydá FTC pravidlo týkajúce sa nekalého alebo klamlivého konania a postupov, rady pre reguláciu finančných inštitúcií by mali prijať do 60 dní paralelné nariadenia. Pozri 15 U.S.C. § 57af)(1).

[10] "Poisťovacia činnosť a každá osoba, ktorá sa zúčastňuje na tejto činnosti podlieha zákonom niekoľkých štátov, ktoré sa týkajú regulácie alebo zdaňovania takejto činnosti". 15 U.S.C. § 1012a).

[11] FTC vykonáva jurisdikciu vo vzťahu k poisťovacím spoločnostiam v rôznych kontextoch. V jednom prípade FTC podala žalobu na určitú firmu vo veci klamlivej reklamy v štáte, v ktorom táto spoločnosť nemala povolené podnikanie. Jurisdikcia FTC bola potvrdená na základe toho, že neexistoval účinný štátny predpis, pretože daná firma bola v skutočnosti mimo dosahu daného štátu. Pozri FTC v. Travelers Health Association, 362 U.S. 293 (1960).Čo sa týka štátov USA, 17 prijalo model "zákona osobných informácií v oblasti poisťovníctva" pripravený Národným združením poisťovacích komisárov (NAIC – National Association of Insurance Commissioners). Tento zákon zahrňuje ustanovenia o oznámení, využívaní a poskytovaní osobných informácií a o prístupe k takýmto informáciám. Takmer všetky štáty tiež prijali modelový "zákon o nekalých poisťovacích postupoch" NAIC, ktorý je osobitne zameraný na nekalé obchodné postupy v oblasti poisťovníctva.

[12] Termín "sieťové informácie vo vlastníctve zákazníka" znamená informácie, ktoré sa vzťahujú na "množstvo, technickú konfiguráciu, typ, miesto určenia a úroveň využívania telekomunikačnej služby" zákazníkom a informácie pochádzajúce z telefónnych účtov. 47 U.S.C. § 222f)(1). Termín však nezahrňuje informácie pochádzajúce zo zoznamov účastníkov. Id.

[13] Legislatíva vyslovene nevymedzuje "osobne identifikovateľné informácie".

[14] Táto právomoc zahrňuje právo na náhradu škody za porušovanie súkromia podľa oddielu 222 komunikačného zákona alebo, vo vzťahu ku káblovým účastníkom, podľa oddielu 551 novelizovaného káblového zákona. Pozri tiež 47 U.S.C. § 551f)(3) (civilná žaloba na federálny oblastný súd predstavuje nevýlučnú nápravu, poskytovanú "ako dodatok akéhokoľvek iného zákonného nápravného prostriedku, ktorý je dostupný pre káblového účastníka").

[15] Avšak absencia spôsobenia priamej škody žalobcovi nie je dôvodom na stiahnutie žaloby. 47 U.S.C. § 208a).

[16] Pokiaľ je nám známe, v tejto oblasti existujú snahy riešiť problém ochrany súkromia. Zástupcovia tejto oblasti podnikania diskutujú o navrhovaných zásadách bezpečného prístavu a ich možnom uplatňovaní na leteckých prepravcov. Diskusie obsahujú aj návrh na prijatie stratégie ochrany súkromia v tejto oblasti podnikania, pričom by sa zúčastnené firmy výslovne podriadili právomoci Ministerstva dopravy.

--------------------------------------------------

PRÍLOHA IV

Náhrady škôd za porušenie súkromia, zákonné oprávnenia a koncentrácie a akvizície v rámci právnych predpisov USA

Táto príloha je reakciou na požiadavku Európskej komisie v zmysle objasnenia práva USA vo vzťahu k a) nárokom na náhradu škody za porušenie súkromia, b) "výslovným oprávneniam" v rámci práva USA týkajúcich sa využívania osobných informácií spôsobom nezlučiteľným so zásadami "bezpečného prístavu" a c) dopadu koncentrácií a akvizícií na záväzky prijaté v súlade so zásadami "bezpečného prístavu".

A. Náhrada škody za porušenie súkromia

Nedodržiavanie zásad "bezpečného súkromia" by mohlo viesť k početným občianskym žalobám v závislosti od príslušných okolností. Konkrétne by organizácie so štatútom bezpečného prístavu mohli byť v prípade nedodržiavania svojich deklarovaných stratégií v oblasti ochrany súkromia brané na zodpovednosť vo veci nepravdivého vyhlásenia. Súkromné dôvody žaloby o náhradu škody za porušenie súkromia sa riešia tiež v rámci precedenčného práva. Mnohé federálne právne normy i normy jednotlivých štátov USA taktiež ustanovujú získanie náhrady za škody spôsobené súkromným jednotlivcom v oblasti porušenia súkromia.

Právo na získanie náhrady škody za porušenie súkromia jednotlivcov je uspokojujúco upravené v rámci precedenčného práva USA.

Využívanie osobných informácií spôsobom nezlučiteľným so zásadami "bezpečného prístavu" môže viesť k vzniku právnej zodpovednosti v súlade s väčším počtom rozličných právnych teórií. Napríklad tak riadiaci subjekt prenášajúci údaje, ako aj postihnutí jednotlivci by mohli žalovať za nepravdivé vyhlásenie organizáciu so štatútom bezpečného prístavu, ktorá prestane dodržiavať svoje záväzky v rámci bezpečného prístavu. Podľa druhej novelizácie práva, občianskoprávne delikty [1]:

Ten, kto podvodne urobí nepravdivé vyhlásenie vo vzťahu ku skutočnosti, názoru, úmyslu alebo právu s cieľom ovplyvnenia inej osoby v zmysle jej konania alebo zdržania sa konania v dôsledku spoľahnutia sa na takéto vyhlásenie, je zodpovedný voči tejto osobe vo veci podvodu vedúceho k majetkovej ujme spôsobenej tejto osobe tým, že sa opodstatnene spoľahla na takéto nepravdivé vyhlásenie.

Novelizácia, § 525. Nepravdivé vyhlásenie je "podvodné", ak bolo urobené s vedomím alebo vo viere, že nie je pravdivé. Id. § 526. Vo všeobecnosti je ten, kto urobí podvodné nepravdivé vyhlásenie potenciálne zodpovedný voči každému, vo vzťahu ku ktorému si želá alebo očakáva, že sa dotyčná osoba spoľahne na takéto nepravdivé vyhlásenie, za akúkoľvek majetkovú ujmu, ktorá takejto osobe v dôsledku toho môže vzniknúť. Id. 531. Navyše, strana, ktorá urobí podvodné nepravdivé vyhlásenie pre inú stranu by mohla byť zodpovedná voči tretej strane, ak ten, kto robí nepravdivé vyhlásenie má v úmysle alebo očakáva, že jeho nepravdivé vyhlásenie bude opakovať tretia strana a bude podľa neho konať. Id., § 533.

V kontexte bezpečného prístavu je relevantným vyhlásením verejné vyhlásenie organizácie, že bude dodržiavať zásady bezpečného prístavu. Po prijatí takéhoto záväzku by úmyselné nedodržiavanie zásad mohlo byť dôvodom na žalobu za nepravdivé vyhlásenie vznesenú tými osobami, ktoré sa spoľahli na takéto nepravdivé vyhlásenie. Keďže sa záväzok dodržiavať zásady prijíma všeobecne vo vzťahu k verejnosti, jednotlivci, ktorí sú predmetom týchto informácií, ako aj správca údajov v Európe, ktorý prenáša osobné informácie organizácii v USA, by všetci mohli mať dôvod na podanie žaloby voči danej organizácii v USA za nepravdivé vyhlásenie [2]. Navyše, daná organizácia v USA zostáva zodpovedná voči vyššie uvedeným za "pokračujúce nepravdivé vyhlásenie" po dobu, po ktorú sa títo spoliehajú na dané informácie vo svoj neprospech. Novelizácia, § 535.

Tí, ktorí sa spoliehajú na podvodné nepravdivé vyhlásenie, majú právo na získanie náhrady škody. V súlade s novelizáciou.

Prijímateľ podvodného nepravdivého vyhlásenia má v rámci žaloby za vec podvodu voči tomu, kto urobil takéto vyhlásenie, nárok na získanie náhrady škody za majetkovú ujmu spôsobenú prijímateľovi, ktorej právnou príčinou je nepravdivé vyhlásenie.

Novelizácia, § 549. Prípustné náhrady škôd zahrňujú skutočnú stratu v hotovosti, ako aj stratu "ušlého rozdielu medzi skutočnou hodnotou a hodnotou stanovenou v rámci nepravdivého vyhlásenia" v rámci obchodnej transakcie. Id.; pozri napr. Boling v. Tennessee State Bank, 890 S.W.2d 32 (1994) (banka je povinná vyplatiť dlžníkom 14825 USD v rámci kompenzačných náhrad škôd za poskytnutie osobných informácií dlžníkov a ich podnikateľských zámerov prezidentovi banky, u ktorého sa preukázal konflikt záujmov).

Zatiaľ čo si podvodné nepravdivé vyhlásenie vyžaduje buď skutočnú vedomosť o tom alebo aspoň vieru v to, že vyhlásenie je nepravdivé, zodpovednosť môže vzniknúť aj pri nepravdivých vyhláseniach z nedbalosti. Podľa novelizácie ktokoľvek, kto urobí nepravdivé vyhlásenie v rámci svojho obchodovania, svojej profesie alebo zamestnania alebo v rámci akejkoľvek majetkovej transakcie môže byť braný na zodpovednosť "ak neuplatňuje primeranú pozornosť alebo spôsobilosť pri získavaní alebo oznamovaní informácií." Novelizácia, § 552(1). Na rozdiel od podvodného nepravdivého vyhlásenia sa náhrady škody za nepravdivé vyhlásenia z nedbalosti obmedzujú na stratu v hotovosti. Id., 552B(1).

Nedávno napríklad Najvyšší súd štátu Connecticut rozhodol, že skutočnosť, že elektrárenský verejnoprospešný podnik neinformoval o tom, že poskytuje informácie týkajúce sa platieb zákazníkov národným firmám poskytujúcim informácie o úverovej schopnosti zákazníkov, predstavuje dôvod na žalobu za nepravdivé vyhlásenie. Pozri Brouillard v. United Illuminating Co., 1999 Conn. Super. LEXIS 1754. V danom prípade bol žalobcovi zamietnutý úver, pretože žalovaný ohlasoval platby, ktoré neobdržal do tridsiatich dní od dátumu účtovania ako platby "zaplatené neskoro". Žalobca uviedol, že pri svojom otváraní rezidenčného účtu za poskytovanie služieb v oblasti dodávky elektriny u žalovaného nebol o tejto politike podniku informovaný. Súd konkrétne rozhodol, že "žaloba za nepravdivé vyhlásenie z nedbalosti môže byť založená na tom, že žalovaný neinformoval, keď mal povinnosť informovať." Tento prípad tiež svedčí o tom, že "vedomý čin" alebo podvodný úmysel nie je nevyhnutým prvkom dôvodu na žalobu za nepravdivé vyhlásenie z nedbalosti. To znamená, že organizácia v USA, ktorá z nedbalosti neposkytne úplné informácie o tom, ako bude využívať osobné informácie získané v rámci systému bezpečného prístavu by mohla byť braná na zodpovednosť za nepravdivé vyhlásenie.

V prípade, že porušenie zásad "bezpečného prístavu" zahrňuje zneužívanie osobných informácií, mohlo by to byť tiež základom pre žalobu zo strany dotknutej osoby, ktorá je predmetom údajov, za delikt porušenia súkromia podľa precedenčného práva. Americké právo už dlho uznáva žalobné dôvody týkajúce porušenia súkromia. V prípade z roku 1905 [3] najvyšší súd štátu Georgia rozhodol, že právo na súkromie je založené na normách prirodzeného práva a precedenčného práva vo svojom rozsudku v prípade súkromného občana, ktorého fotografiu použila spoločnosť pre životné poistenie bez jeho vedomia ako ilustráciu v komerčnej reklame. Jasne predurčujúc podobu v súčasnosti známych tém americkej právnej vedy v oblasti ochrany súkromia súd konštatoval, že použitie danej fotografie bolo "zlovoľné", "neoprávnené" a smerovalo k tomu, že "sa žalobca dostal do situácie, kedy bol ľuďom na posmech." [4] Základy rozhodnutia v prípade Pavesich s malými obmenami pretrvali dodnes a stali sa pevným základom amerického práva v tejto oblasti. Súdy jednotlivých štátov USA neustále potvrdzujú dôvody žalôb v oblasti porušenia súkromia a najmenej 48 štátov v súčasnosti právne uznáva niektoré takéto dôvody žaloby [5]. Navyše, najmenej 12 štátov má v ústave zakotvené ustanovenia zabezpečujúce ich občanom právo na to, že nesmú byť obťažovaní dotieravým konaním [6], čo by sa v niektorých prípadoch dalo rozšíriť o ochranu voči obťažovaniu zo strany nevládnych subjektov. Pozri napr. Hill v. NCAA, 865 P.2d 633 (Ca. 1994); pozri tiež S. Ginder, Stratený a nájdený v kybernetickom priestore: Informačné súkromie v ére internetu (Lost and Found in Cyberspace: Informational Privacy in the age of the Internet), 34 S.D.I. Rev. 1153 (1997) ("Ústavy niektorých štátov USA obsahujú ochranu súkromia, ktorá prevyšuje ochranu súkromia v Ústave USA. Štáty Aljaška, Arizona, Kalifornia, Florida, Havaj, Illinois, Louisiana, Montana, Južná Karolína a Washington majú širšiu ochranu súkromia.")

Druhá novelizácia občianskoprávnych deliktov poskytuje smerodajný prehľad práva v tejto oblasti. Odrážajúc všeobecnú súdnu prax novelizácia objasňuje, že "právo na súkromie" zahrňuje pod jednou strechou štyri rozdielne dôvody žaloby za občianskoprávny delikt. Pozri novelizáciu, § 652A. Po prvé, dôvod žaloby vo veci "obťažovania v súkromí" môže byť právne prípustný voči žalovanému, ktorý úmyselne obťažuje, fyzicky alebo inak, osobu nachádzajúcu sa osamote alebo izolovanú alebo obťažuje vo vzťahu k jej súkromným záležitostiam alebo záujmom [7]. Po druhé, prípad "privlastnenia" môže nastať vtedy, ak si určitá osoba vezme meno alebo podobu niekoho iného pre svoje vlastné použitie alebo prospech [8]. Po tretie, "uverejnenie osobných faktov" je žalovateľné vtedy, keď je uverejnená záležitosť takého druhu, že je pre rozumne uvažujúceho človeka mimoriadne urážlivá a nie je v legitímnom záujme verejnosti [9]. A nakoniec, žaloba za "publicitu v nepravdivom svetle" je primeraná vtedy, keď žalovaný vedome alebo bezohľadne ukazuje iného na verejnosti v nepravdivom svetle, ktoré by bolo pre súdneho človeka mimoriadne urážlivé [10].

V kontexte rámca bezpečného prístavu by "obťažovanie v súkromí" mohlo zahrňovať neoprávnené zhromažďovanie osobných informácií, zatiaľ čo neoprávnené využívanie osobných informácií na komerčné účely by mohlo viesť k žalobe za privlastnenie. Podobne by poskytnutie osobných informácií, ktoré sú nesprávne viedlo k vzniku občianskoprávneho deliktu "publicity v nepravdivom svetle", ak určité informácie zodpovedajú stanovenému kritériu v tom zmysle, že sú pre rozumne uvažujúceho človeka mimoriadne urážlivé. Nakoniec, porušenie súkromia, ktoré je dôsledkom uverejnenia alebo poskytnutia citlivých osobných informácií by mohlo mať za následok žalobu za "uverejnenie súkromných faktov." (Pozri príklady ilustratívnych prípadov nižšie).

Pokiaľ ide o náhradu škody, porušenie súkromia poskytuje poškodenej strane právo na získanie náhrady škody za:

a) poškodenie jej práva na súkromie v dôsledku porušenia súkromia;

b) duševnú úzkosť, o ktorej sa dokáže, že ňou poškodená strana trpela, ak je takej povahy, že zvyčajne vzniká následkom takéhoto porušenia súkromia a

c) mimoriadnu škodu, ktorej právnym dôvodom je porušenie súkromia.

Novelizácia, § 652H. Vzhľadom na všeobecnú uplatniteľnosť práva občianskoprávnych deliktov a na veľké množstvo dôvodov na žalobu pokrývajúcich rôzne aspekty práva na ochranu súkromia, peňažná náhrada škody je pravdepodobne dostupná pre tých, ktorí utrpeli porušenie svojho práva na ochranu súkromia v dôsledku nedodržiavania zásad bezpečného prístavu.

Súdy jednotlivých štátov sú skutočne zavalené prípadmi obvinení z porušovania súkromia v analogických situáciách. Napríklad prípad ex parte AmSouth Bancorporation a nasl. 717 So. 2d 357 zahrňoval skupinovú žalobu, v ktorej bola žalovaná strana obviňovaná z toho, že "využívala trusových vkladateľov banky tým, že poskytovala dôverné informácie týkajúce sa bankových vkladateľov a ich účtov", aby tak umožnila pridruženej banke predávať spoločný fond a iné investície. V takýchto prípadoch sa často priznávajú náhrady škody. V prípade Vassiliades v. Garfinckel's, Brooks Bros., 429 A 2d 580 (D.C.App. 1985) odvolací súd zrušil rozsudok súdu nižšej inštancie a rozhodol, že použitie fotografií žalobcu "pred" plastickou operáciou a "po" plastickej operácii v rámci prezentácie v obchodnom dome predstavovalo porušenie súkromia prostredníctvom uverejnenia súkromných faktov. V prípade Candebat v. Flanagan, 487 So.2d 207 (Miss. 1986) žalovaná poisťovacia spoločnosť využila nehodu, v ktorej bola žalobcova manželka vážne zranená, v reklamnej kampani. Žalobca podal žalobu za porušenie súkromia. Súd rozhodol, že žalobca môže dostať náhradu škody za emocionálne rozrušenie a privlastnenie totožnosti. Žaloby za privlastnenie totožnosti je možné podať dokonca aj vtedy, ak žalobca nie je verejne známou osobou. Pozri tiež napr. Staruski v. Continental Telephone Co. 154 Vt. 568 (1990) (žalovaná strana získala komerčný prospech z uverejnenia mena a fotografie zamestnanca v novinovej reklame). V prípade Pulla v. Amoco Oil Co., 882 F.Supp. 836 (S.D. Iowa 1995) zamestnávateľ obťažoval žalujúceho zamestnanca v súkromí tým, že dal inému zamestnancovi vyšetriť jeho záznamy na úverovej karte s cieľom overenia jeho neprítomnosti v práci z dôvodu choroby. Súd v konaní pred porotou rozhodol o priznaní náhrady vo výške 2 USD za skutočne spôsobenú škodu a o priznaní sumy 500000 USD ako náhrady škody plniacej represívnu funkciu. Iný zamestnávateľ bol uznaný za zodpovedného za uverejnenie príbehu v novinách spoločnosti o zamestnancovi, s ktorým bol rozviazaný pracovný pomer za údajné falšovanie svojich záznamov o predchádzajúcom zamestnaní. Pozri Zinda v. Louisiana-Pacific Corp. 140 Wis.2d 277 (Wis.App. 1987). Príbeh porušil súkromie žalobcu uverejnením súkromnej záležitosti, pretože noviny boli rozširované v rámci danej komunity. A nakoniec, univerzita, ktorá dala študentov testovať na HIV po tom, čo im povedala, že krvná skúška je na testovanie rubeoly, bola uznaná zodpovednou za obťažovanie v súkromí. Pozri Doe v High-Tech Institute, Inc., 972 P.2d 1060 (Colo.App. 1998). (Čo sa týka iných oznámených prípadov, pozri novelizáciu, § 652H, príloha.)

Spojené štáty sú často kritizované za to, že sa v nich vedie príliš veľa súdnych sporov, avšak táto skutočnosť tiež znamená, že jednotlivci môžu skutočne využívať a aj využívajú právne prostriedky, ak sa domnievajú, že im bola spôsobená ujma. Mnohé aspekty právneho systému USA uľahčujú žalujúcim stranám začať konanie, či už jednotlivo alebo skupinovo. Advokátska komora, ktorá je v porovnaní s väčšinou iných krajín početnejšia, poskytuje ľahko dostupnú bázu právnych zástupcov. Právni poradcovia zastupujúci žalujúcich jednotlivcov v súkromných žalobách zvyčajne pracujú na základe podmieneného honoráru, čo umožňuje dokonca aj chudobným žalobcom alebo žalobcom v núdzi požadovať náhradu škody. Toto má za následok ďalšiu dôležitú skutočnosť – v Spojených štátoch zvyčajne každá strana znáša náklady na svojho právnika a iné výdavky. Táto prax je odlišná od pravidiel existujúcich v Európe, kde strana, ktorá spor prehrá, musí uhradiť náklady druhej strany. Bez diskutovania o relatívnych výhodách týchto dvoch systémov je pravdepodobné, že pravidlá existujúce v Spojených štátoch v menšej miere odradia od legitímnych sťažností jednotlivcov, ktorí by neboli schopní uhradiť náklady oboch strán sporu v prípade, že by príslušný spor prehrali.

Jednotlivci sa môžu súdiť o náhradu škody dokonca aj vtedy, keď sú ich nároky na úhradu relatívne malé. Väčšina, ak nie všetky jurisdikcie v USA majú súdy zaoberajúce sa drobnými pohľadávkami, ktoré poskytujú zjednodušené a menej nákladné konanie na riešenie sporov pod zákonnými limitmi [11]. Možnosť náhrady škôd s represívnou funkciou poskytuje možnosť získania finančnej náhrady aj jednotlivcom, ktorí utrpeli malú priamu škodu na to, aby sa mohli súdiť za odsúdeniahodné nesprávne konanie. A nakoniec, jednotlivci, ktorí utrpeli tú istú škodu, môžu spojiť svoje finančné zdroje, ako aj svoje žaloby a súdiť sa v skupine.

Dobrým príkladom schopnosti jednotlivcov súdiť sa s cieľom získania náhrady škody je prebiehajúci súdny proces proti firme Amazon.com za porušenie súkromia. Amazon.com, veľká online maloobchodná spoločnosť, je terčom skupinovej žaloby, v ktorej ju žalobcovia obviňujú, že neboli informovaní o zhromažďovaní ani nedali súhlas na zhromažďovanie osobných informácií o sebe pri používaní softvérového programu vlastneného firmou Amazon a nazývaného "Alexa". V tomto prípade žalobcovia žalujú za porušenie zákona o počítačovom podvode a zneužívaní spôsobené protiprávnym prístupom k ich uchovávaným údajom a za porušenie zákona o ochrane súkromia v oblasti elektronickej komunikácie spôsobené protiprávnym zachytávaním ich elektronických a drôtových komunikácií. Žalujú tiež za porušenie súkromia podľa precedenčného práva. Táto žaloba vychádza zo sťažnosti podanej v decembri zo strany odborníka na internetovú bezpečnosť. Žaloba žiada úhradu škody vo výške 1000 USD na jedného člena skupiny, plus úhradu nákladov na právnych zástupcov a zisky nadobudnuté v dôsledku porušenia zákonov. Vzhľadom na to, že členov skupiny môžu byť milióny, náhrada škôd sa môže vyšplhať na miliardy dolárov. FTC tiež vyšetruje tieto obvinenia.

Federálna legislatíva a legislatíva jednotlivých štátov USA v oblasti ochrany súkromia často umožňuje súkromné dôvody žaloby vo veci peňažnej náhrady za vzniknuté škody.

Popri tom, že podľa práva občianskoprávnych deliktov zakladá vznik občianskoprávnej zodpovednosti, nedodržiavanie zásad bezpečného prístavu by tiež mohlo znamenať porušenie jedného zo stoviek federálnych a štátnych právnych predpisov týkajúcich sa ochrany súkromia. Mnohé z týchto zákonov, ktoré sa týkajú tak vládneho, ako aj súkromného sektoru v zmysle ich zaobchádzania s osobnými informáciami, umožňujú jednotlivcom žiadať súdnou cestou o náhradu škody v prípade porušenia týchto zákonov. Napríklad:

Zákon o ochrane súkromia v oblasti elektronických komunikácií z roku 1986 (ECPA – Electronic Communications Privacy Act of 1986). ECPA zakazuje neoprávnené zachytávanie telefonických hovorov uskutočňovaných pomocou mobilných telefónov a neoprávnené zachytávanie prenosov z počítača do počítača. Porušenia tohto zákona môžu mať za následok občianskoprávnu zodpovednosť spočívajúcu v povinnosti úhrady škody vo výške nie menej ako 100 USD za každý deň porušenia tohto zákona. Ochrana v rámci tohto zákona je tiež rozšírená na neoprávnený prístup k uchovávaným elektronickým komunikáciám alebo ich neoprávnené poskytovanie. Porušovatelia sú zodpovední za náhradu spôsobených škôd alebo za ušlé zisky spôsobené porušením zákonov.

Telekomunikačný zákon z roku 1996. Podľa oddielu 702 sieťové informácie vo vlastníctve zákazníka (CPNI – Customer Proprietary Network Information) nemôžu byť využívané na žiaden účel iný ako poskytovanie telekomunikačných služieb. Odberatelia takýchto služieb môžu buď podať sťažnosť na Federálnu komunikačnú komisiu, alebo podať žalobu na federálny okresný súd o náhradu škody a úhradu nákladov na právneho zástupcu.

Novelizovaný zákon o podávaní informácií o úverovej schopnosti zákazníkov z roku 1996. Zákon z roku 1996 je novelou zákona o náležitom podávaní informácií o úverovej schopnosti zákazníkov z roku 1970 (FCRA – Fair Credit Reporting Act) a vyžaduje vyššiu úroveň v oblasti oznamovania a práva prístupu vo vzťahu k osobám, ktoré sú predmetom informácií o úverovej schopnosti. Novelizovaný zákon tiež ukladá nové obmedzenia vo vzťahu k opätovným predajcom informácií o úverovej schopnosti zákazníkov. V prípade porušenia tohto zákona môžu zákazníci súdnou cestou získať náhradu škody a úhradu nákladov na právneho zástupcu.

Zákony jednotlivých štátov USA tiež chránia osobné súkromie v rámci širokého spektra situácií. Oblasti, v ktorých štáty prijali opatrenia zahrňujú bankové záznamy, účasť na káblovej televízii, správy o úverovej schopnosti zákazníkov, záznamy o zamestnancoch, vládne záznamy, genetické informácie a lekárske záznamy, záznamy z oblasti poisťovníctva, školské záznamy, elektronické komunikácie a záznamy z požičiavania videokaziet [12].

B. Explicitné zákonné oprávnenia

Zásady bezpečného prístavu obsahujú výnimku tam, kde právna norma, nariadenie alebo precedenčné právo zakladajú "konfliktné povinnosti alebo explicitné oprávnenia, za predpokladu, že pri výkone takéhoto oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je obmedzené do miery potrebnej na splnenie vyššie stojacich legitímnych záujmov podporovaných takýmto oprávnením." Je zrejmé, že tam, kde právo USA ukladá konfliktné povinnosti, organizácie v USA, či už sú účastníkmi systému bezpečného prístavu alebo nie, musia dodržiavať toto právo. Čo sa týka explicitných oprávnení, napriek tomu, že zásady bezpečného prístavu sú zamerané na preklenutie rozdielov medzi režimami ochrany súkromia v USA a v Európe, je potrebné sa podriadiť výsadným právomociam volených zákonodarcov. Obmedzená výnimka z prísneho dodržiavania zásad bezpečného prístavu predstavuje snahu o udržanie rovnováhy pri uspokojovaní legitímnych záujmov na oboch stranách.

Daná výnimka je obmedzená na prípady, kedy existuje explicitná oprávnenie. To znamená, že základnou podmienkou je, že relevantná právna norma, nariadenie alebo rozhodnutie súdu musia potvrdiť oprávnenie organizácií zúčastnených na programe bezpečného prístavu správať sa určitým konkrétnym spôsobom [13]. Inými slovami, výnimka by sa neuplatňovala tam, kde právo mlčí. Navyše, výnimka by sa uplatňovala len vtedy, keby explicitné oprávnenie bolo v rozpore s dodržiavaním zásad "bezpečného prístavu". Dokonca aj vtedy je výnimka "obmedzená na mieru potrebnú na splnenie vyššie stojacich legitímnych záujmov podporovaných takýmto oprávnením." Na ilustráciu – tam, kde zákon jednoducho oprávňuje určitú spoločnosť poskytovať osobné informácie vládnym orgánom, výnimka by sa neuplatňovala. Naopak, tam, kde zákon osobitne oprávňuje určitú spoločnosť, aby poskytovala osobné informácie vládnym orgánom bez súhlasu jednotlivca, predstavovalo by to "explicitné oprávnenie" konať spôsobom, ktorý je v rozpore so zásadami bezpečného prístavu. Iná možnosť je, že osobitné výnimky z afirmatívnych požiadaviek poskytovať oznámenie a súhlas by spadali pod danú výnimku (pretože by to bolo rovnocenné osobitnému oprávneniu poskytovať informácie bez oznámenia a súhlasu). Napríklad, právna norma, ktorá oprávňuje lekárov poskytovať lekárske záznamy ich pacientov úradníkom v oblasti zdravotníctva bez predchádzajúceho súhlasu pacientov by mohla povoľovať výnimku zo zásad oznamovania a možnosti voľby. Takéto oprávnenie by neumožňovalo lekárovi poskytovať tie isté lekárske záznamy zdravotníckym organizáciám alebo komerčným farmaceutickým výskumným laboratóriám, čo by presahovalo rozsah pôsobenia účelov povolených zákonom a teda by to presahovalo rozsah pôsobenia danej výnimky [14]. Právna norma, o ktorej sa tu hovorí, môže predstavovať "samostatné" oprávnenie vykonávať osobitné veci s osobnými informáciami, ale ako ukazujú príklady uvedené nižšie, je to pravdepodobne výnimka zo širšieho práva ustanovujúceho zhromažďovanie, využívanie alebo poskytovanie osobných informácií.

Telekomunikačný zákon z roku 1996

Vo väčšine prípadov je oprávnené využívanie osobných informácií buď zlučiteľné s požiadavkami smernice a zásad, alebo je dovolené na základe jednej alebo druhej povolenej výnimky. Napríklad, oddiel 702 telekomunikačného zákona (kodifikovaného v 47 U.S.C. § 222) ukladá telekomunikačným prepravcom povinnosť dodržiavať dôvernosť osobných informácií, ktoré získavajú v priebehu poskytovania svojich služieb zákazníkom. Toto ustanovenie telekomunikačným prepravcom osobitne povoľuje:

(1) využívať informácie o zákazníkoch na poskytovanie telekomunikačných služieb, vrátane publikácie zoznamov účastníkov;

(2) poskytovať informácie o zákazníkoch iným na písomnú žiadosť zákazníka a

(3) poskytovať informácie o zákazníkoch v súhrnnej forme.

Pozri 47 U.S.C. § 222c)(1)-(3). Tento zákon tiež povoľuje telekomunikačným prepravcom výnimku využívať informácie o zákazníkoch:

(1) na zavedenie služieb, poskytovanie služieb, vyúčtovanie služieb a vyberanie poplatkov za služby;

(2) na ochranu proti podvodnému, obťažujúcemu alebo protiprávnemu správaniu a

(3) na poskytovanie telemarketingových, odkazových a administratívnych služieb počas hovorov začatých zákazníkom [15].

Id. § 222d)(1)-(3). Nakoniec, od telekomunikačných prepravcov sa požaduje, aby vydavateľom telefónnych zoznamov poskytovali informácie o zozname účastníkov, ktorý môže obsahovať len mená, adresy, telefónne čísla a druh podnikania pri komerčných zákazníkoch. Id., § 222e).

Výnimka založená na "explicitnom oprávnení" by mohla prísť do úvahy vtedy, keď telekomunikační prepravcovia používajú CPNI na zabránenie podvodu alebo iného nezákonného konania. Dokonca aj v takomto prípade by sa takéto kroky mohli označiť ako urobené vo "verejnom záujme" a teda povolené zásadami.

Pravidlá navrhované Ministerstvom zdravotníctva USA

Ministerstvo zdravotníctva USA (HHS – Health and Human services) navrhlo pravidlá týkajúce sa štandardov ochrany súkromia identifikovateľných informácií o zdravotnom stave jednotlivcov. Pozri 64 Fed. Reg. 59918 (2. november 1999) (má sa kodifikovať v 45 C.F.R. pts. 160-164). Tieto pravidlá by vykonávali požiadavky na ochranu súkromia vyplývajúce zo zákona o prenosnosti a zúčtovateľnosti zdravotného poistenia z roku 1996, Pub. I., 104-191. Navrhované pravidlá by vo všeobecnosti zakazovali dotknutým subjektom (programy starostlivosti o zdravie, zdravotnícke zúčtovacie ústavy a zdravotnícki pracovníci prenášajúci zdravotné informácie v elektronickej forme) využívať alebo poskytovať chránené zdravotné informácie bez súhlasu jednotlivca. Pozri navrhované 45 C.F.R. § 164506. Podľa navrhovaných pravidiel by sa poskytnutie chránených zdravotných informácií vyžadovalo len na dva účely: 1. na umožnenie jednotlivcom, aby si prezreli a skopírovali zdravotné informácie o nich samých, pozri id. v § 164154; a 2. na vymáhanie výkonu týchto pravidiel, pozri id. v § 164522.

Navrhované pravidlá by v obmedzených prípadoch umožňovali využívať alebo poskytovať chránené zdravotné informácie bez osobitného súhlasu jednotlivca. Tieto okolnosti zahrňujú napríklad dohľad nad zdravotníckym systémom, vymáhanie výkonu práva a naliehavé prípady. Pozri id. V § 164510. Navrhované pravidlá podrobne ustanovujú obmedzenia takéhoto využívania a poskytovania zdravotných informácií. Navyše, povolené spôsoby využívania a poskytovania chránených zdravotných informácií by boli obmedzené na minimálne množstvo potrebných informácií. Pozri id. V § 164506.

Povolené spôsoby využívania zdravotných informácií explicitne povolené navrhovanými nariadeniami sú vo všeobecnosti zlučiteľné so zásadami "bezpečného prístavu" alebo sú inak povolené inou výnimkou. Napríklad, je povolené vymáhanie výkonu práva a súdna administratíva, ako aj lekársky výskum. Iné spôsoby využívania takýchto informácií ako napríklad dohľad nad zdravotníckym systémom, fungovanie starostlivosti o verejné zdravie a vládne systémy údajov slúžia verejným záujmom. Poskytovanie takýchto informácií s cieľom spracovania platieb na zdravotnú starostlivosť a zdravotné poistenie sú potrebné v rámci poskytovania zdravotnej starostlivosti. Využívanie v naliehavých prípadoch na konzultácie s najbližšími príbuznými ohľadom liečby pacienta tam, kde súhlas daného pacienta "nie je možné prakticky alebo primeraným spôsobom získať" alebo na určenie totožnosti alebo príčiny smrti mŕtveho človeka chránia životne dôležité záujmy dotknutej osoby, ktorá je predmetom údajov a iných osôb. Využívanie pri riadení vojenského personálu v aktívnej službe a iných osobitných skupín jednotlivcov pomáha náležitému výkonu vojenskej misie alebo v podobných naliehavých situáciách; v každom prípade sa takéto spôsoby využívania len málo, ak vôbec, uplatňujú na spotrebiteľov vo všeobecnosti.

Zostáva už len využívanie osobných informácií zdravotníckymi zariadeniami na vyhotovenie zoznamu pacientov. Hoci takéto využitie by sa nedalo zaradiť na úroveň "životne dôležitých" záujmov, zoznamy v skutočnosti pomáhajú pacientom a ich priateľom a príbuzným. Taktiež rozsah tohto povoleného využívanie je sám o sebe obmedzený. Preto spoľahnutie sa na výnimku zo zásad s cieľom využitia "explicitne povoleného" zákonom v tomto prípade predstavuje minimálne riziko vo vzťahu k súkromiu pacientov.

Zákon o náležitom podávaní informácií o úverovej schopnosti zákazníkov

Európska Komisia vyjadrila obavy, že výnimka týkajúca sa "explicitného oprávnenia" by "v skutočnosti mala za následok vznik situácie, kedy by sa dala konštatovať primeraná úroveň ochrany osobných informácií" vo vzťahu zákonu o náležitom podávaní informácií o úverovej schopnosti zákazníkov (FRCA – Fair Credit Reporting Act). Nebolo by to tak. V prípade, v ktorom by neexistovalo osobitné konštatovanie o primeranosti úrovne ochrany osobných informácií vo vzťahu k FCRA, tie organizácie v USA, ktoré by sa inak spoľahli na takéto konštatovanie, by museli prisľúbiť dodržiavanie zásad "bezpečného prístavu" vo všetkých aspektoch. To znamená, že tam, kde požiadavky FCRA presahujú úroveň ochrany zakotvenú v zásadách, organizácie v USA musia len dodržiavať FCRA. A naopak, tam, kde sa neuplatňuje FCRA, tieto organizácie by museli uviesť svoje informačné stratégie do súladu so zásadami. Výnimka by nič nezmenila na tejto základnej schéme. Svojimi podmienkami sa výnimka uplatňuje len tam, kde príslušný zákon explicitne povoľuje konanie, ktoré by bolo nezlučiteľné so zásadami "bezpečného prístavu". Výnimka by sa neuplatňovala tam, kde požiadavky FCRA jednoducho nie sú v súlade so zásadami "bezpečného prístavu" [16].

Inými slovami, naším cieľom nie je to, aby táto výnimka znamenala, že čokoľvek, čo nie je požadované je preto "explicitne povolené". Navyše, výnimka sa uplatňuje len vtedy, kedy to, čo je explicitne povolené podľa práva USA je v rozpore so zásadami "bezpečného prístavu". Skôr než by sa povolilo nedodržiavanie zásad, príslušný zákon musí spĺňať oba tieto prvky.

Oddiel 604 FRCA napríklad explicitne povoľuje spotrebiteľským spravodajským agentúram vydávať správy týkajúce sa spotrebiteľov v rozličných stanovených situáciách. Pozri napríklad FCRA, § 604. Ak pritom oddiel 604 oprávňuje agentúry podávajúce informácie o úverovej schopnosti zákazníkov konať v rozpore so zásadami "bezpečného prístavu", potom by sa agentúry podávajúce správy o úverovej schopnosti zákazníkov museli spoľahnúť na spomínanú výnimku (pokiaľ sa samozrejme neuplatňuje nejaká iná výnimka). Agentúry podávajúce informácie o úverovej schopnosti zákazníkov musia spĺňať súdne príkazy a predvolanie pred súd zo strany veľkej poroty a využívať informácie o úverovej schopnosti zákazníkov na základe vládnej licencie, agentúry na vymáhanie sociálnej podpory a výživného na deti slúžia vo verejnom záujme. Id. § 604a)(1), (3)(D) a (4). To znamená, že určitá agentúra podávajúca informácie o úverovej schopnosti zákazníkov by sa nemusela spoliehať s týmto cieľom na "explicitné oprávnenie". Tam, kde agentúra podávajúca informácie o úverovej schopnosti zákazníkov koná v súlade s písomnými pokynmi spotrebiteľa, bola by plne v súlade so zásadami bezpečného prístavu. Id., § 604a)(2). Podobne, správy o spotrebiteľoch je možné získať na účely pracovnoprávneho vzťahu len s písomným súhlasom spotrebiteľa (id., §§ 604a)(3)(B) a b)(2)(A)ii)) a na účely úverových alebo poisťovacích transakcií, ktoré nezačal spotrebiteľ len vtedy, keď spotrebiteľ nevyjadril nesúhlas s takýmito ponukami (id., § 604c)(1)(B)). FCRS tiež zakazuje agentúram podávajúcim informácie o úverovej schopnosti zákazníkov, aby poskytovali lekárske informácie na účely pracovnoprávneho vzťahu bez súhlas spotrebiteľa. Id., § 604g). Takéto spôsoby využitia sú v súlade so zásadami o oznámení a možnosti voľby. Iné účely povolené oddielom 604 zahrňujú transakcie, na ktorých sa zúčastňuje spotrebiteľ a z tohto dôvodu by boli povolené zásadami. Pozri id., § 604a)(3)(A) a (F).

Zostávajúce prípady použitia "povolené" oddielom 604 sa vzťahujú na druhotné úverové trhy. Id., § 604a)(3)(E). Medzi použitím správ o spotrebiteľoch na tento účel a zásadami bezpečného prístavu ako takými nie je žiaden rozpor. Je pravda, že FRCA napríklad od agentúr podávajúcich informácie o úverovej schopnosti zákazníkov nepožaduje, aby spotrebiteľom poskytovali oznámenie a požadovali ich súhlas, keď na tento účel vydávajú správy. Avšak znovu opakujeme, že absencia požiadavky neznamená "explicitné oprávnenie" konať spôsobom iným ako ten, ktorý sa požaduje. Podobne oddiel 608 povoľuje agentúram podávajúcim informácie o úverovej schopnosti zákazníkov, aby poskytovali niektoré osobné informácie vládnym orgánom. Toto "oprávnenie" by agentúru podávajúcu informácie o úverovej schopnosti zákazníkov neoprávňovalo k tomu, aby ignorovala svoje záväzky týkajúce sa dodržiavania zásad bezpečného prístavu. Toto je v rozpore s inými nami uvádzanými príkladmi, v ktorých sa výnimky z uplatnenia požiadaviek na potvrdzujúce oznámenie a možnosť voľby vykonávajú tak, žer explicitne povoľujú využívanie osobných informácií bez oznámenia a možnosti voľby.

Záver

Z nášho hoci obmedzeného prehľadu týchto právnych noriem vyplýva jasná schéma:

- "Explicitné oprávnenie" v rámci zákona vo všeobecnosti povoľuje využívanie alebo poskytovanie osobných informácií bez predchádzajúceho súhlasu jednotlivca; to znamená, že takáto výnimka by bola obmedzená na zásady oznámenia a možnosti voľby.

- Vo väčšine prípadov sú výnimky povolené určitým zákonom ustanovené pozorne tak, aby sa uplatňovali v osobitných situáciách na osobitné účely. Vo všetkých prípadoch zákon inak zakazuje také neoprávnené využívanie alebo poskytovanie osobných informácií, ktoré nespadá do rámca takéhoto vymedzenia.

- Vo väčšine prípadov, odrážajúc ich legislatívny charakter, oprávnené využívanie alebo poskytovanie osobných informácií slúži verejnému záujmu.

- V takmer všetkých prípadoch sú oprávnené prípady využívania osobných informácií buď plne v súlade so zásadami "bezpečného prístavu", alebo spadajú pod jednu z ostatných povolených výnimiek.

Na záver, výnimka týkajúca sa "explicitných oprávnení" v rámci zákona má v dôsledku svojej povahy pravdepodobne pomerne obmedzený rozsah pôsobenia.

C. Koncentrácie a akvizície

V článku 29 vyjadrila pracovná skupina obavy zo situácií, kedy nad organizáciou majúcou štatút bezpečného prístavu nadobudne kontrolu spoločnosť alebo sa takáto organizácia zlúči so spoločnosťou, ktorá neprijala záväzok v zmysle dodržiavania zásad bezpečného prístavu. Pracovná skupina však zrejme predpokladá, že vzniknutá nová spoločnosť by nebola viazaná zásadami "bezpečného prístavu" vo vzťahu k osobným informáciám uchovávaným spoločnosťou, nad ktorou bola nadobudnutá kontrola, avšak v rámci práva USA to nemusí byť nevyhnutne tak. Všeobecné pravidlo v Spojených štátoch týkajúce sa koncentrácií a akvizícií ustanovuje, že spoločnosť, ktorá nadobúda akcie inej spoločnosti, ktoré sú v obehu, zvyčajne preberá povinnosti a záväzky nadobudnutej firmy. Pozri 15 Fletcher Cyclopedia of the Law of Private Corporations § 7117 (1990); pozri tiež Model Bus. Corp. Act § 11.06(3) (1979) ("vzniknutá spoločnosť má všetky záväzky každej spoločnosti, ktorá je účastníckou stranou danej koncentrácie"). Inými slovami, koncentráciou alebo akvizíciou vzniknutá firma, ktorá sa spojila s organizáciou alebo nadobudla organizáciu majúcu štatút bezpečného prístavu by podľa tejto metódy bola viazaná záväzkami nadobudnutej spoločnosti v rámci systému bezpečného prístavu.

Navyše, dokonca aj vtedy, ak by sa koncentrácia alebo akvizícia vykonala prostredníctvom akvizície majetku, záväzky nadobudnutého podniku by aj tak za určitých okolností zaväzovali nadobúdajúcu firmu. 15 Fletcher, § 7122. Avšak dokonca aj tam, kde záväzky po vykonaní koncentrácie stratili účinnosť je treba podotknúť, že by taktiež stratili účinnosť po vykonaní koncentrácie v prípade, že boli údaje prenášané z Európy na základe zmluvy – jedinej životaschopnej alternatívy vo vzťahu k bezpečnému prístavu pre prenosy údajov do Spojených štátov. Okrem toho, v súčasnosti prehodnotené dokumenty bezpečného prístavu požadujú, aby každá organizácia so štatútom bezpečného prístavu oznámila Ministerstvu obchodu každý prípad akvizície a umožňujú pokračovanie prenosu údajov do následníckej organizácie len vtedy, keď sa následnícka organizácia pripojí k systému bezpečného prístavu. Pozri FAQ 6. V skutočnosti Spojené štáty v súčasnosti prehodnotili systém bezpečného prístavu v tom zmysle, že požadujú, aby organizácie v USA v takejto situácii vymazali informácie, ktoré získali v rámci systému bezpečného prístavu, ak sa ich záväzky ohľadom dodržiavania zásad bezpečného prístavu už nebudú vykonávať alebo ak sa neuplatňujú iné primerané bezpečnostné záruky.

[1] Druhá novelizácia práva – občianskoprávne delikty; Inštitút amerického práva (1997).

[2] Mohlo by ísť napríklad o prípad, kedy sa jednotlivci spoľahli na záväzky organizácie v USA v rámci systému zásad "bezpečného prístavu" tým, že dali svoj súhlas správcovi údajov na prenos svojich osobných informácií do USA.

[3] Pavesich v. New England Life Ins. Co. 50 S.E. 68 (Ga. 1905).

[4] Id., v 69.

[5] Elektronickým vyhľadávaním v databáze Westlaw bolo zistených 2703 oznámených prípadov civilných žalôb na štátnych súdoch od roku 1995, ktoré sa týkali "ochrany súkromia". Už predtým sme komisii poskytli výsledky tohto vyhľadávania.

[6] Pozri napr. Ústavu Aljašky, čl. 1. odd. 22; Arizony, čl. 2, odd. 8; Kalifornie, čl. 1, odd. 1; Floridy, čl. 1, odd. 23; Havajských ostrovov, čl. 1, odd. 5; štátu Illinois, čl. 1, odd. 6; štátu Louisiana, čl. 1, odd. 5; štátu Montana, čl. 2 odd. 10; štátu New York, čl. 1, odd. 12; štátu Pennsylvania, čl. 1, odd. 1; štátu Južná Karolína, čl. 1, odd. 10; a štátu Washington, čl. 1, odd. 7.

[7] Id., v kapitole 28, oddiel 62B.

[8] Id., v kapitole 28, oddiel 652C.

[9] Id., v kapitole 28, oddiel 652D.

[10] Id., v kapitole 28, oddiel 652E.

[11] Komisii sme už skôr poskytli informácie o žalobách o malé náhrady škôd.

[12] Výsledkom nedávneho elektronického prehľadávania databázy Westlaw bolo 994 prípadov oznámených z jednotlivých štátov, ktoré sa týkali náhrady škôd a porušovania súkromia.

[13] Na objasnenie, príslušná právna norma sa nebude musieť osobitne odvolávať na zásady bezpečného prístavu.

[14] Podobne by sa lekár v tomto prípade nemohol spoliehať na zákonné právo stojace nad výkonom jednotlivca čo sa týka možnosti vysloviť sa proti priamemu marketingu ustanovenej vo FAQ 12. Rozsah pôsobenia akejkoľvek výnimky na základe "explicitného oprávnenia" je nevyhnutne obmedzené na rozsah pôsobenia oprávnenia v rámci relevantného práva.

[15] Rozsah pôsobnosti tejto výnimky je veľmi obmedzený. Podľa tejto výnimky môže telekomunikačný prepravca využívať CPNI len počas hovoru začatého zákazníkom. Navyše, ako sme boli informovaní zo strany FCC, komunikační prepravcovia nemôžu využívať CPNI na obchodovanie so službami idúcimi za rámec požiadavky zákazníka. A nakoniec, keďže zákazník musí schváliť využívanie CPNI na tento účel, toto ustanovenie vlastne vôbec nie je "výnimkou".

[16] Táto naša diskusia by sa nemala chápať v tom zmysle, že FCRA neposkytuje "primeranú" ochranu. Každé posudzovanie FCRA musí brať do úvahy ochranu poskytovanú touto právnou normou v jej celistvosti a nesmie sa sústrediť len na výnimky, ako to robíme my v tomto prípade.

--------------------------------------------------

PRÍLOHA V

14. júla 2000

John Mogg

Riaditeľ, DG XV

Európska Komisia

Office C 107-6/72

Rue de la Loi/Wetstraat 200

B-1049 Brusel

Vážený pán Mogg,

ako vidím, v súvislosti s mojím listom z 29. marca 2000, ktorý som Vám poslal, sa vynorilo viacero otázok. S úmyslom vysvetliť našu právomoc v tých oblastiach, vo vzťahu ku ktorým vznikli otázky, Vám posielam tento list, ktorý s cieľom uľahčenia odkazov v budúcnosti predstavuje doplnenie a rekapituláciu textu predchádzajúcej korešpondencie.

Pri Vašich návštevách v našom úrade a vo Vašej korešpondencii ste nastolili niekoľko otázok o právomoci Federálnej obchodnej komisie v oblasti ochrany súkromia v rámci online sietí. Myslím si, že je vhodné, aby som zhrnul moje predchádzajúce odpovede týkajúce sa činnosti FTC v tejto oblasti a aby som poskytol ďalšie informácie o jurisdikcii tohto orgánu v oblasti ochrany súkromia spotrebiteľov v súvislosti s otázkami, ktoré ste nastolili vo Vašom poslednom liste. Konkrétne sa pýtate, či: (1) má FTC právomoc v oblasti prenosov údajov týkajúcich sa pracovnoprávnych vzťahov, ak sa tieto prenosy vykonávajú spôsobom porušujúcim zásady "bezpečného prístavu" uplatňované v USA; (2) má FTC právomoc v oblasti programov neziskových spoločností dohliadajúcich nad ochranou súkromných informácií na internete (non-profit privacy "seal" programs); (3) sa zákon o FTC rovnako uplatňuje tak v offline svete, ako aj v online svete; (4) čo sa stane, ak sa právomoc FTC prekrýva s právomocou iných orgánov zameraných na vymáhanie výkonu práva.

Uplatňovanie zákona o FTC na ochranu súkromia

Ako viete, v posledných piatich rokoch prevzala FTC iniciatívu v rámci podpory snáh podnikateľskej a spotrebiteľskej sféry Spojených štátov vypracovať celkovú stratégiu riešenia problémov ochrany súkromia spotrebiteľa, vrátane zhromažďovania a využívania osobných informácií na internete. Prostredníctvom verejných workshopov a sústavných konzultácií s predstaviteľmi podnikateľskej sféry, spotrebiteľskej sféry a s našimi kolegami na Ministerstve obchodu a vo vláde USA sme pomohli identifikovať kľúčové problémy danej oblasti a vypracovať primerané spôsoby riešenia.

Zákonná právomoc Federálnej obchodnej komisie v tejto oblasti je ustanovená v oddiele 5 zákona o Federálnej obchodnej komisii ("Federal Trade Commission Act"), ktorý zakazuje "nekalé alebo klamlivé konanie alebo postupy" pri obchodovaní alebo ovplyvňujúce obchodovanie [1]. Klamlivé postupy je vymedzená ako vyhlásenie, opomenutie alebo postup, pri ktorých je pravdepodobné, že uvedú do omylu rozumne uvažujúcich spotrebiteľov v materiálnom zmysle. Postup je nekalý, ak spôsobuje alebo pravdepodobne spôsobí značné poškodenie spotrebiteľov a ktorej sa nedá rozumným spôsobom vyhnúť a nedá sa vyvážiť prevládajúcimi výhodami vo vzťahu k spotrebiteľom alebo konkurencii [2].

Je pravdepodobné, že určité postupy zhromažďovania informácií porušujú zákon o FTC. Napríklad, ak určitá webovská stránka nepravdivo tvrdí, že dodržiava deklarovanú stratégiu ochrany súkromia alebo súbor samoregulačných usmernení, oddiel 5 zákona o FTC ustanovuje právny základ označenia takéhoto nepravdivého vyhlásenia ako klamlivého. Skutočne sa nám úspešne podarilo vymáhať výkon tohto práva v záujme posilnenia tejto zásady [3]. Navyše, Komisia má také postavenie, že je schopná označiť mimoriadne nečestné praktiky v oblasti porušovania súkromia ako nekalé podľa oddielu 5, ak takéto postupy zahrňujú deti alebo využitie vysoko citlivých informácií, ako napríklad finančných záznamov [4] a lekárskych záznamov. Federálna obchodná Komisia uplatňuje a bude naďalej uplatňovať takéto konanie v oblasti vymáhania výkonu práva prostredníctvom našich aktivít v oblasti monitorovania a vyšetrovania a prostredníctvom žiadostí o prešetrenie, ktoré dostávame od samoregulačných organizácií a iných, vrátane členských štátov Európske únie.

Podpora FTC samoregulácii

FTC už dlhú dobu podporuje snahy podnikateľskej sféry v oblasti vypracovania účinných samoregulačných programov zameraných na zabezpečenie ochrany súkromia spotrebiteľov v rámci internetu. Aby však tieto snahy boli úspešné, musia sa na nich zúčastniť široké vrstvy podnikateľov. Zároveň musí mať samoregulácia podporu v oblasti vymáhania výkonu práva. Z týchto dôvodov bude FTC prioritne riešiť žiadosti o prešetrenie týkajúce sa nedodržiavania samoregulačných zásad obdržaných od takých organizácií ako BBOnline a TRUSTe. Tento prístup by bol v súlade s našimi dlhotrvajúcimi vzťahmi s Národným úradom pre dohľad nad oblasťou reklám (NARB – National Advertising Review Board), ktorý je súčasťou Úradu pre zlepšenie obchodu (Better Business Bureau) a ktorý postupuje sťažnosti v oblasti reklamy Federálnej obchodnej komisii. Národné oddelenie pre reklamu (NAD – National Advertising Division), ktoré je súčasťou NARB, rieši sťažnosti týkajúce sa reklám na národnej úrovni prostredníctvom rozhodcovského konania. Ak určitá strana odmietne splniť rozhodnutie NAD, podá sa žiadosť o prešetrenie na FTC. Pracovníci FTC prioritne preskúmajú napadnutú reklamu s cieľom zistenia, či porušuje zákon o FTC a často sa jej podarí zastaviť napadnuté konanie alebo presvedčiť príslušnú stranu, aby sa obrátila na konanie v rámci NARB.

Podobne bude FTC prednostne riešiť žiadosti o prešetrenie týkajúce sa nedodržiavania zásad "bezpečného prístavu" prichádzajúce z členských štátov EÚ. Tak, ako pri žiadostiach o prešetrenie prichádzajúcich zo samoregulačných organizácií v Spojených štátoch, naši pracovníci preskúmajú akékoľvek informácie súvisiace s tým, či konanie, ktoré je predmetom sťažnosti porušuje oddiel 5 zákona o FTC. Tento záväzok sa tiež nachádza v zásadách "bezpečného prístavu" v rámci často kladenej otázky (FAQ 11) týkajúcej sa vymáhania výkonu zásad.

GeoCities: Prvý prípad týkajúci sa ochrany súkromia v rámci online siete

Prvý prípad Federálnej obchodnej komisie týkajúci sa ochrany súkromia v rámci internetu, GeoCities, bol založený na právomoci Komisie podľa oddielu 5 [5]. V danom prípade FTC obvinila spoločnosť GeoCities, že nepravdivo informovala tak dospelých, ako aj deti o tom, ako budú využité ich osobné informácie. Vo svojej žalobe obvinila Federálna obchodná Komisia spoločnosť GeoCities z toho, že vyhlasovala, že určité osobné identifikujúce informácie, ktoré zhromažďuje na svojej webovskej stránke sa majú využiť len na interné účely alebo s cieľom poskytovania špeciálnych reklamných ponúk a výrobkov alebo služieb spotrebiteľom podľa ich želania, a že určité doplňujúce "dobrovoľné" informácie nebudú poskytnuté nikomu bez súhlasu spotrebiteľa. V skutočnosti boli tieto informácie poskytnuté tretím stranám, ktoré ich využili na oslovovanie zákazníkov s cieľom ponúk presahujúcich rámec, ku ktorému jednotliví zákazníci dali súhlas. V žalobe bola spoločnosť GeoCitie obvinená aj z toho, že uplatňovala klamlivé postupy čo sa týka zhromažďovania informácií od detí. Podľa žaloby FTC spoločnosť GeoCities tvrdila, že ona sama je prevádzkovateľom sekcie týkajúcej sa detí na jej webovskej stránke a že informácie zhromažďované v rámci tejto sekcie uchováva spoločnosť GeoCities. V skutočnosti túto sekciu na webovskej stránke prevádzkovali tretie strany, ktoré tieto informácie zhromažďovali a uchovávali.

Na základe uzavretia súdneho zmieru sa spoločnosti GeoCities zakazuje nepravdivo informovať o účele, na ktorý zhromažďuje alebo využíva osobné identifikujúce informácie od spotrebiteľov alebo o spotrebiteľoch, vrátane detí. V rozhodnutí sa požaduje, aby spoločnosť na svojej webovskej stránke umiestnila jasné a zreteľné oznámenie o ochrane súkromia informujúce spotrebiteľov, aké informácie sa zhromažďujú a na aký účel, komu sa poskytnú a akým spôsobom môžu spotrebitelia získať prístup k daným informáciám alebo ako ich môžu odstrániť. V záujme zabezpečenia kontroly zo strany rodičov sa v rozhodnutí od spoločnosti GeoCities tiež požaduje, aby pred tým, než začne zhromažďovať osobné identifikujúce informácie od detí vo veku 12 rokov a menej získala súhlas rodičov. Na základe tohto rozhodnutia sa od spoločnosti GeoCities požaduje, aby svojich spotrebiteľov informovala o možnosti a poskytla im možnosť odstránenia informácií, ktoré sa ich týkajú, z databázy GeoCities a z databáz akýchkoľvek tretích strán. V rámci zmieru sa osobitne požaduje, aby spoločnosť GeoCities rodičov detí vo veku 12 a menej rokov informovala o vymazaní a aby vymazala informácie týkajúce sa takýchto detí, pokiaľ príslušný rodič výslovne nesúhlasí s tým, aby sa tieto informácie uchovávali a využívali. A nakoniec, od spoločnosti GeoCities sa tiež žiada, aby sa skontaktovala s tretími stranami, ktorým predtým poskytla dané informácie a požiadala tieto strany, aby tieto informácie tiež vymazali [6].

ReverseAuction.com

Nedávno FTC predložila na súd žalobu vo veci porušovania súkromia ďalšou online spoločnosťou. V januári 2000 Komisia schválila žalobu proti spoločnosti ReverseAuction.com a súdny zmier s touto spoločnosťou prevádzkujúcou online aukčnú stránku, ktorá podľa obvinenia získavala osobné identifikujúce informácie o spotrebiteľoch zo stránky konkurenčnej spoločnosti (eBay.com) a posielala týmto spotrebiteľom klamlivé, nevyžiadané e-mailové správy s cieľom obchodovania s nimi [7]. V našej žalobe bola spoločnosť ReverseAuction obvinená z porušenia oddielu 5 zákona o FTC tým, že získavala osobne identifikovateľné informácie, ktoré obsahovali e-mailové adresy užívateľov stránky eBay a ich personalizované identifikačné mená ("IDs užívateľov") a tým, že posielala klamlivé e-mailové správy.

Ako sa uvádza v žalobe, pred tým, než začala spoločnosť ReverseAuction zhromažďovať spomínané informácie, zaregistrovala sa ako užívateľ stránky eBay a súhlasila s tým, že bude dodržiavať dohodu s užívateľom a stratégiu v oblasti ochrany súkromia spoločnosti eBay. Táto dohoda a stratégia chránia súkromie spotrebiteľa tým, že zakazujú užívateľom stránky eBay zhromažďovať a využívať osobné identifikujúce informácie na nepovolené účely, ako napríklad posielanie nevyžiadaných komerčných e-mailových správ. Naša žaloba teda v prvom rade obviňovala spoločnosť ReverseAuction, že urobila nepravdivé vyhlásenie, že bude dodržiavať dohodu s užívateľom a stratégiu v oblasti ochrany súkromia spoločnosti eBay, čo predstavuje klamlivú praktiku podľa oddielu 5. Alternatívna žaloba obviňovala spoločnosť ReverseAuction, že využívala dané informácie na posielanie nevyžiadaných komerčných e-mailov, čím porušovala dohodu s užívateľom a stratégiu v oblasti ochrany súkromia a dopustila sa nekalej praktiky podľa oddielu 5.

Po druhé, žaloba obviňovala spoločnosť ReverseAuction, že e-mailové správy spotrebiteľom obsahovali klamlivé oznámenie, v ktorom boli jednotliví spotrebitelia informovaní, že jeho alebo jej ID v rámci stránky eBay "čoskoro stratí platnosť". A nakoniec, žaloba spoločnosť ReverseAuction obviňovala, že e-mailové správy nepravdivo uvádzali, že eBay priamo alebo nepriamo poskytla spoločnosti ReverseAuction osobne identifikovateľné informácie užívateľov alebo sa inak zúčastňovala na rozširovaní nevyžiadaných e-mailov.

Na základe uzavretia súdneho zmieru dosiahnutého FTC sa spoločnosti ReverseAuction zakazuje v budúcnosti takýmto spôsobom porušovať zákon. Od tejto spoločnosti sa tiež požaduje, aby poskytla oznámenie spotrebiteľom, ktorí sa na základe e-mailu od ReverseAuction zaregistrovali alebo zaregistrujú u spoločnosti ReverseAuction. Toto oznámenie bude informovať týchto spotrebiteľov o tom, že ich ID užívateľa na stránke eBay nestratí platnosť a že spoločnosť eBay nevedela o tom, že spoločnosť ReverseAuction rozširovala nevyžiadané e-maily a ani na to neposkytla oprávnenie. Toto oznámenie tiež poskytne týmto spotrebiteľom príležitosť na zrušenie registrácie u spoločnosti ReverseAuction a na vymazanie ich osobných identifikujúcich informácií z databázy ReverseAuction. Navyše sa v rozhodnutí požaduje, aby spoločnosť ReverseAuction vymazala a zdržala sa využívania alebo poskytovania vo vzťahu k osobným identifikujúcim informáciám členov eBay, ktorí dostali e-mail: od ReverseAuction, ale sa u tejto spoločnosti neregistrovali. A nakoniec, v súlade s už dosiahnutými rozhodnutiami FTC v oblasti ochrany súkromia uzavretie súdneho zmieru požaduje, aby spoločnosť ReverseAuction uverejnila na svojej internetovej stránke svoju vlastnú stratégiu v oblasti ochrany súkromia, pričom toto urovnanie obsahuje podrobné ustanovenia o vedení záznamov, ktoré umožňujú FTC monitorovať dodržiavanie tejto stratégie.

Prípad ReverseAuction svedčí o tom, že FTC vyvíja aktívnu činnosť v zmysle vymáhania výkonu práva v záujme podpory samoregulačných snáh organizácií v oblasti ochrany súkromia spotrebiteľov v rámci online sietí. V tomto prípade išlo skutočne o postih konania, ktoré porušovalo stratégiu ochrany súkromia a dohodu s užívateľom chrániace súkromie spotrebiteľov a ktoré by mohlo narušiť dôveru spotrebiteľov v opatrenia v oblasti ochrany súkromia prijaté online spoločnosťami. Keďže v tomto prípade ide o to, že jedna spoločnosť si privlastnila informácie o spotrebiteľoch chránené stratégiou ochrany súkromia uplatňovanou inou spoločnosťou, daný prípad môže byť osobitne významný v súvislosti s obavami ohľadom ochrany súkromia súvisiacimi s prenosom údajov medzi spoločnosťami v rôznych krajinách.

Napriek činnosti Federálnej obchodnej komisie v oblasti vymáhania výkonu práva v prípadoch GeoCities, Liberty Financial Cos. a ReverseAuction je právomoc tohto orgánu v niektorých oblastiach ochrany súkromia v rámci online sietí viac obmedzená. Ako bolo uvedené vyššie, na to, aby bolo postihnuteľné podľa zákona o FTC, musí zhromažďovanie a využívanie osobných informácií bez súhlasu jednotlivca predstavovať buď klamlivú alebo nekalý obchodný postup. Preto je pravdepodobné, že by sa zákon o FTC neuplatnil na také praktiky v rámci webovských stránok, pri ktorých sa zhromažďovali osobne identifikovateľné informácie od spotrebiteľov, v rámci ktorých sa však neurobilo nepravdivé vyhlásenie o účele, na ktorý sa informácie zhromažďovali a ani sa informácie nevyužívali ani neposkytovali takým spôsobom, ktorý bol spôsobilý privodiť značnú ujmu spotrebiteľom. FTC taktiež nemá právomoc v širokom meradle požadovať, aby subjekty zhromažďujúce informácie na internete dodržiavali stratégiu ochrany súkromia alebo akúkoľvek osobitnú stratégiu ochrany súkromia [8]. Ako však bolo uvedené vyššie, skutočnosť, že určitá spoločnosť nedodržiava deklarovanú stratégiu ochrany súkromia je spôsobilá predstavovať klamlivý postup.

Navyše, právomoc FTC v tejto oblasti pokrýva nekalé alebo klamlivé konanie alebo praktiky, len ak sa vykonávajú "v rámci obchodovania alebo ovplyvňujú obchodovanie". Zhromažďovanie informácií komerčnými subjektmi, ktoré propagujú výrobky alebo služby, vrátane zhromažďovania a využívania informácií na komerčné účely by pravdepodobne spĺňalo požiadavku "obchodovania". Na druhej strane, mnohí jednotlivci alebo subjekty zhromažďujú informácie v rámci online sietí bez akéhokoľvek komerčného účelu, a teda nespadajú pod právomoc Federálnej obchodnej komisie. Príkladom takéhoto obmedzenia sú "priestory na rozhovory užívateľov PC siete", ak sú prevádzkované nekomerčnými subjektmi, napríklad charitatívnou organizáciou.

A nakoniec, existujú viaceré úplné alebo čiastočné zákonné výnimky zo základnej právomoci FTC v oblasti komerčných praktík, ktoré obmedzujú schopnosť FTC vyčerpávajúco reagovať na obavy týkajúce sa ochrany súkromia v rámci internetu. Tieto výnimky zahrňujú mnohé informačne intenzívne oblasti podnikania zamerané na spotrebiteľov ako banky, poisťovacie spoločnosti a letecké spoločnosti. Ako viete, tieto subjekty spadajú do právomoci iných federálnych alebo štátnych orgánov, ako napríklad federálne bankové orgány alebo Ministerstvo dopravy.

Avšak v prípadoch, kedy FTC má právomoc, prijíma a ak jej to umožnia zdroje, koná vo veci sťažností spotrebiteľov, ktoré dostane prostredníctvom pošty a telefonicky v rámci Strediska pre reakcie spotrebiteľov (CRC – Consumer Response Center) a v poslednom čase aj prostredníctvom svojej webovskej stránky [9]. CRC prijíma sťažnosti od všetkých spotrebiteľov, vrátane tých, ktorí majú trvalé bydlisko v členských štátoch Európskej únie. Zákon o FTC poskytuje Federálnej obchodnej komisii právomoc umožňujúcu zabraňovať ďalšiemu porušovaniu zákona o FTC prostredníctvom príkazov na spravodlivú nápravu, ako aj zabezpečovať odškodnenie poškodených spotrebiteľov. FTC však vždy skúma určitý prípad z toho hľadiska, či je prejavom nenáležitého správania sa danej spoločnosti vo všeobecnosti, pretože FTC nerieši individuálne spory spotrebiteľov. V minulosti zabezpečila Federálna obchodná Komisia odškodnenie tak pre občanov Spojených štátov, ako aj iných krajín [10]. FTC bude naďalej v príslušných prípadoch uplatňovať svoje právomoci s cieľom odškodnenia občanov iných krajín, ktorí boli poškodení v dôsledku klamlivých postupov podliehajúcich jej jurisdikcii.

Údaje týkajúce sa pracovnoprávnych vzťahov

Vo vašom poslednom liste žiadate o informácie objasňujúce jurisdikciu FTC v oblasti údajov týkajúcich sa pracovnoprávnych vzťahov. Po prvé, nastoľujete otázku, či by FTC mohla vzniesť žalobu podľa oddielu 5 proti spoločnosti, ktorá vyhlasuje, že dodržiava zásady "bezpečného prístavu", avšak prenáša alebo využíva údaje týkajúce sa pracovnoprávnych vzťahov spôsobom porušujúcim tieto zásady. Chceme Vás uistiť, že sme pozorne preskúmali legislatívu ustanovujúcu právomoci FTC, súvisiace dokumenty a relevantné precedenčné právo a prišli sme k záveru, že FTC má takú istú jurisdikciu v oblasti údajov týkajúcich sa pracovnoprávnych vzťahov, akú by vo všeobecnosti mala podľa oddielu 5 zákona o FTC [11]. To znamená, že za predpokladu, že určitý prípad spĺňa stanovené kritériá (nekalé alebo klamlivé konanie) umožňujúce postupovať v zmysle vymáhania práva v oblasti týkajúcej sa ochrany súkromia, mohli by sme začať konanie súvisiace s údajmi týkajúcimi sa pracovnoprávnych vzťahov.

Chceli by sme tiež uviesť na pravú mieru nesprávne predstavy, že spôsobilosť FTC v oblasti vymáhania výkonu práva v súvislosti s ochranou súkromia je obmedzená na situácie, kedy určitá spoločnosť uplatnila klamlivé postupy vo vzťahu k jednotlivým spotrebiteľom. V skutočnosti, ako to objasňuje posledný prípad konania FTC v prípade ReverseAuction [12], FTC koná v zmysle vymáhania práva v oblasti ochrany súkromia v situáciách zahrňujúcich prenosy údajov medzi spoločnosťami, kedy jedna spoločnosť údajne konala protiprávne vo vzťahu k inej spoločnosti, čím privodila možnú ujmu tak spotrebiteľom, ako aj spoločnostiam. Predpokladáme, že toto je situácia, v ktorej je najviac pravdepodobný vznik problémov súvisiacich s pracovnoprávnymi vzťahmi, pretože údaje súvisiace s pracovnoprávnymi vzťahmi týkajúce sa jednotlivcov v Európe sa prenášajú z európskych spoločností do amerických spoločností, ktoré sa zaviazali dodržiavať zásady bezpečného prístavu.

Chceme však upozorniť na jednu okolnosť, za ktorej by konanie FTC bolo obmedzené. Stalo by sa tak za situácie, kedy sa už daná vec rieši v súvislosti s rozhodovaním o spore v rámci tradičného pracovného práva, najpravdepodobnejšie v súvislosti s uplatňovaním právneho nároku v rámci pravidiel na predkladanie pracovných sťažností v rámci rozhodcovského konania alebo v súvislosti so sťažnosťou ohľadom nekalej pracovnej praktiky na Národnom úrade pre pracovnoprávne vzťahy (National Labor Relations Board – NLBR). Nastalo by to napríklad v prípade, kedy zamestnávateľ prijal v rámci dohody o kolektívnom vyjednávaní záväzok týkajúci sa využívania osobných údajov a zamestnanec alebo odborový zväz tvrdia, že zamestnávateľ túto dohodu porušil. FTC by sa pravdepodobne spoľahla na takýto postup [13].

Jurisdikcia v oblasti programov neziskových organizácií dohliadajúcich nad ochranou osobných informácií na internete (členské spoločnosti takýchto programov poskytujúce služby cez internet potom smú na svojich stránkach zobrazovať pečať jednej alebo viacerých dohliadajúcich organizácií a tak preukazovať svoju serióznosť v oblasti ochrany osobných údajov, preto "seal programs", "seal" = pečať)

Po druhé, pýtate sa, či by FTC mala právomoc v oblasti programov organizácií dohliadajúcich nad ochranou osobných informácií na internete a spravujúcich mechanizmy na riešenie sporov v Spojených štátoch, ktoré urobili nepravdivé vyhlásenie ohľadom svojej úlohy pri vymáhaní zásad "bezpečného prístavu" a pri vybavovaní individuálnych sťažností, dokonca aj vtedy, keby takéto subjekty boli technicky "neziskové". Pri určovaní, či máme právomoc nad subjektom, ktorý sa deklaruje ako neziskový, FTC pozorne skúma, či daný subjekt napriek tomu, že sa neusiluje o zisky pre seba, podporuje nadobúdanie ziskov svojimi členmi. FTC úspešne uplatňuje svoju právomoc vo vzťahu k takýmto subjektom a 24. mája 1999 Najvyšší súd Spojených štátov v prípade Kalifornského združenia zubných lekárov v. Federálna obchodná Komisia jednomyseľne potvrdil právomoc FTC vo vzťahu k dobrovoľnému neziskovému združeniu miestnych spolkov zubných lekárov v protimonopolnej veci. Súd rozhodol:

Zákon o FTC sa snaží zahrnúť nielen subjekt "organizovaný s cieľom podnikania s cieľom svojho vlastného zisku," 15 U.S.C. § 44, ale tiež subjekt, ktorý vykonáva podnikateľskú činnosť s cieľom zisku "pre svojich členov."… Skutočne by sa ťažko dalo predpokladať, že kongres mal v úmysle takto vymedzeným pojmom ohľadom predmetných podporných organizácií, s príležitosťou ktorú by to so sebou nieslo, zabrániť právomoci tam, kde by účely zákona o FTC jednoznačne požadovali potvrdenie tejto právomoci.

Stručne povedané, určovanie toho, či sa má uplatniť právomoc vo vzťahu k určitému neziskovému subjektu spravujúcemu program dohliadania nad ochranou osobných informácií na internete by si vyžadovalo presné preskúmanie rozsahu, v akom daný subjekt poskytuje ekonomický prospech svojim ziskovým členom. Ak by takýto subjekt prevádzkoval svoj program spôsobom poskytujúcim ekonomický prospech jeho členom, FTC by pravdepodobne uplatnila svoju právomoc. Iná vec je, že FTC by pravdepodobne mala právomoc vo vzťahu k podvodnému programu tohto druhu, ktorý by urobil nepravdivé vyhlásenie čo sa týka jeho štatútu ako neziskového subjektu.

Ochrana súkromia v rámci offline sveta

Po tretie, uvádzate, že naša predchádzajúca korešpondencia sa sústredila na ochranu súkromia v oblasti online sietí. Napriek tomu, že je ochrana súkromia v oblasti online sietí, predstavujúcich rozhodujúcu súčasť vývoja elektronického obchodovania hlavným predmetom záujmu FTC, zákon o FTC sa datuje od roku 1914 a rovnako sa uplatňuje v rámci offline sveta. To znamená, že môžeme postihovať offline firmy, ktoré uplatňujú nekalé alebo klamlivé obchodné praktiky vo vzťahu k súkromiu spotrebiteľov [14]. Napríklad v prípade, v ktorom začala FTC minulý rok konanie, FTC v. TouchTone Information Inc. [15], bol "informačný burzový maklér" obvinený z protiprávneho získavania a predávania osobných finančných informácií spotrebiteľov. FTC obvinila spoločnosť TouchTone, že získavala informácie od spotrebiteľov prostredníctvom "predstieraného dôvodu (pretexting)" – tento termín vznikol v oblasti súkromného vyšetrovania na popísanie praktiky, pri ktorej sa získavajú osobné informácie o iných na základe falošného predstierania, zvyčajne telefonicky. V žalobe podanej 21. apríla 1999 na federálny súd v Colorado, sa žiada zákaz a všetky protiprávne nadobudnuté zisky.

Prekrývajúce sa právomoci

Nakoniec kladiete otázku týkajúcu sa vzájomného pôsobenia právomoci FTC a iných orgánov zameraných na vymáhanie výkonu práva, najmä v prípadoch, kde sa právomoci potenciálne prekrývajú. Máme veľmi dobré pracovné vzťahy s početnými inými orgánmi zameranými na vymáhanie výkonu práva, vrátane federálnych bankových orgánov a štátnych generálnych prokurátorov. V prípadoch prekrývajúcej sa právomoci veľmi často navzájom koordinujeme vyšetrovanie s cieľom maximalizácie našich zdrojov. Veľmi často tiež postupujeme veci na vyšetrovanie príslušnému federálnemu alebo štátnemu orgánu.

Dúfam, že tento prehľad bude pre Vás užitočný. V prípade, že potrebujete ďalšie informácie, rád Vám ich poskytnem.

S pozdravom,

Robert Pitofsky

[1] 15 U.S.C. § 45. Zákon o náležitom podávaní informácií o úverovej schopnosti zákazníkov sa uplatňuje tiež na zhromažďovanie a predaje údajov v rámci internetu, ktoré spĺňajú zákonom stanovené vymedzenie ohľadom "správy o spotrebiteľovi" a "spotrebiteľskej spravodajskej agentúry."

[2] 15 U.S.C. § 45.

[3] Pozri GeoCities, spis č. C-3849 (konečné rozhodnutie 12. feb. 1999) (dostupné na www.ftc.gov/ os/1999/9902/9823015d%26o.htm); Liberty Financial Cos., spis č. C-3891 (konečné rozhodnutie 12. aug. 1999) (dostupné na www.ftc.gov/opa/1999/9905/younginvestor.htm). Pozri tiež pravidlo zákona o ochrane súkromia detí v rámci online sietí (Children's Online Privacy Protection Act Rule – COPPA), 16 C.R.F. časť 312 (dostupné na www.ftc.gov/opa/1999/9910/childfinal.htm). Pravidlo COPPA, ktoré nadobudlo účinnosť minulý mesiac vyžaduje, aby prevádzkovatelia webovských stránok určených pre deti pod 13 rokov alebo ktorí vedome zhromažďujú osobné informácie od detí pod 13 rokov uplatňovali štandardy týkajúce sa náležitých informačných praktík formulované v danom pravidle.

[4] Pozri FTC v. Touch Tone, Inc., civilná žaloba č. 99-WM-783 (D.Co.) (podaná 21. apríla 1999) na www.ftc.gov/opa/1999/9904/touchtone.htm. List so stanoviskom pracovníkov FTC zo 17. júla 1997 vydaný ako odpoveď na sťažnosť podanú Strediskom pre mediálne vzdelávanie, na www.ftc.gov/os/1997/9707/cenmed.htm.

[5] Geocities, spis č. C-3849 (konečné rozhodnutie 12. febr. 1999) (dostupné na www.ftc.gov/os/1999/9902/9823015d%26o.htm).

[6] Komisia následne rozhodla v ďalšej veci ohľadom zhromažďovania osobných informácií od detí v rámci online siete. Spoločnosť Liberty Financial Companies, Inc. prevádzkovala webovskú stránku Young Investor, ktorá bola určená pre deti od 13 – 19 rokov a ktorá bola zameraná na záležitosti týkajúce sa peňazí a investovania. Komisia vzniesla obvinenie, že na stránke sa nepravdivo vyhlasovalo, že osobné informácie zhromažďované od detí v rámci prieskumu sa budú uchovávať ako anonymné a že účastníkom bude zaslaný e-mailový spravodaj, ako aj ceny. V skutočnosti sa osobné informácie o jednotlivých deťoch a ich rodinných financiách uchovávali identifikovateľným spôsobom a nebol zaslaný žiaden spravodaj ani ceny. Súdny zmier zakazuje v budúcnosti takéto nepravdivé vyhlásenia a požaduje, aby spoločnosť Liberty Financial umiestnila na svoje stránky určené pre deti oznámenie o ochrane súkromia a aby pred tým, než začne zhromažďovať osobné identifikovateľné informácie od detí získala overiteľný súhlas rodičov. Liberty Financial Cos., spis č. C-3891 (konečné rozhodnutie 12. aug. 1999) (dostupné na www.ftc.gov/opa/1999/9905/younginvestor.htm).

[7] Pozri ReverseAuction.com, Inc., civilná žaloba č. 000032 (D.D.C.) (podaná 6. januára 2000) (komuniké pre tlač a súdny zápis na www.ftc.gov/opa/2000/01/reverse4.htm).

[8] Z tohto dôvodu Federálna obchodná Komisia v svedeckej výpovedi pre Kongres uviedla, že by pravdepodobne bola potrebná dodatočná legislatíva s cieľom ustanovenia, aby všetky americké komerčné webovské stránky zamerané na spotrebiteľov dodržiavali osobitné čestné informačné praktiky. "Ochrana súkromia spotrebiteľa na celosvetovom webe", pred podvýborom pre telekomunikácie, obchod a ochranu spotrebiteľov výboru Snemovne reprezentantov pre obchod, Snemovňa reprezentantov USA, 21. júla 1998 (svedeckú výpoveď možno nájsť na www.ftc.gov/os/9807/privac98.htm). FTC vyčkávala s požadovaním takejto legislatívy preto, aby poskytla samoregulačným snahám príležitosť preukázať rozsiahle uplatňovanie čestných informačných praktík na webovských stránkach. V správe Federálnej obchodnej komisie pre Kongres týkajúcej sa ochrany súkromia v rámci online sietí, "Ochrana súkromia v rámci online sietí: Správa pre Kongres," jún 1998 (správu možno nájsť na www.ftc.gov/reports/privacy3/toc.htm), FTC odporúčala, aby legislatíva požadovala, že komerčné webovské stránky musia získať súhlas rodičov predtým, než začnú zhromažďovať osobne identifikovateľné informácie od detí pod 13 rokov. Pozri poznámku pod čiarou 3 vyššie. Minulý rok sa v správe FTC, "Samoregulácia a ochrana súkromia v rámci online sietí: Správa Federálnej obchodnej komisie pre kongres," júl 1999 (túto správu možno nájsť na www.ftc.gov/os/1999/9907/index.htm#13) konštatovalo, že sa v oblasti samoregulácie urobil dostatočný pokrok a preto sa FTC rozhodla v tom čase nepredkladať odporúčané legislatívne opatrenia. FTC bude v nadchádzajúcich týždňoch opäť podávať Kongresu správu o pokroku v oblasti samoregulácie.

[9] Pozri http:/www.ftc.gov/ftc/complaint.htm s cieľom online formuláru na podávanie sťažnosti Federálnej obchodnej komisii.

[10] Napríklad v nedávnom prípade, ktorý sa týkal internetového pyramídového programu získala FTC vrátenie peňazí pre 15622 spotrebiteľov, spolu vo výške asi 5,5 milióna USD. Trvalé bydlisko spotrebiteľov bolo v Spojených štátoch a v 70 ďalších krajinách. Pozri www.ftcgov/opa/9807/fortunar.htm; www.ftc.gov/opa/9807/ftcrefund01.htm.

[11] S výnimkou prípadov, kedy sa právomoc vylučuje podľa ustanovení o právomoci FTC, právomoc FTC podľa zákona o FTC týkajúca sa praktík "v rámci obchodovania a ovplyvňujúcich obchodovanie" existuje súčasne s ústavnou právomocou Kongresu podľa ustanovenia o medzištátnom obchode, Spojené štáty v. American Building Maintenance Industries, 422, U.S. 271, 277 č. 6 (1975). Právomoc FTC by teda zahrňovala praktiky týkajúce sa pracovnoprávnych vzťahov uplatňované vo firmách a podnikoch v rámci medzinárodného obchodu.

[12] Pozri "Online aukčná stránka vyrovnáva záležitosti vo veci obvinenia zo strany FTC", spravodaj FTC (6. január 2000) dostupný na http://www.ftc.gov/opa/2000/01/reverse4.htm.

[13] Rozhodnutie o tom, či určité správanie predstavuje "nekalý pracovný postup" alebo porušenie dohody o kolektívnom vyjednávaní je technickou záležitosťou, ktorá sa zvyčajne prenecháva na expertné tribunály pre pracovnoprávne vzťahy, ktoré vykonávajú vypočutie sťažností, napríklad na rozhodcov v pracovnoprávnych sporoch a na NLRB.

[14] Ako viete z predchádzajúcich diskusií, zákon o náležitom podávaní informácií o úverovej schopnosti zákazníkov tiež dáva FTC právomoc chrániť finančné súkromie spotrebiteľov v intenciách tohto zákona a FTC nedávno vydala rozhodnutie týkajúce sa tejto veci. Pozri v Vec spoločnosti Trans Union, spis č. 9255 (1. marec 2000) (komuniké pre tlač a stanovisko dostupné na www.ftc.gov/os/2000/03/index.htm.#1).

[15] Civilná žaloba 99-WM-783 (D.Colo.) (dostupná na http://www.ftc.gov/opa/1999/9904/touchtone.htm) (doposiaľ nerozhodnutý dočasný súdny zmier).

--------------------------------------------------

PRÍLOHA VI

John Mogg

Riaditeľ, DG XV

Európska Komisia

Office C 107-6/72

Rue de la Loi/Wetstraat 200

B-1049 Brusel

Vážený pán generálny riaditeľ Mogg:

Posielam Vám tento list na žiadosť Ministerstva obchodu USA s cieľom objasniť úlohu Ministerstva dopravy USA v oblasti ochrany súkromia spotrebiteľov vo vzťahu k informáciám, ktoré spotrebitelia poskytujú leteckým spoločnostiam.

Ministerstvo dopravy podporuje samoreguláciu ako najmenej rušivý a najúčinnejší prostriedok zabezpečenia ochrany informácií poskytovaných spotrebiteľmi leteckým spoločnostiam, a preto podporuje zavádzanie režimu "bezpečného prístavu", ktorý by umožnil leteckým spoločnostiam spĺňať požiadavky smernice Európskej únie týkajúce sa ochrany súkromia vo vzťahu k prenosom osobných informácií mimo EÚ. Ministerstvo si však uvedomuje, že na to, aby sa samoregulačné snahy realizovali je nevyhnutné, aby letecké spoločnosti, ktoré sa zaviažu spĺňať zásady ochrany súkromia vytýčené v rámci režimu "bezpečného prístavu" v skutočnosti tieto zásady aj dodržiavali. V tomto smere by mala mať samoregulácia oporu vo vymáhaní výkonu práva. To znamená, že využívajúc svoje existujúce zákonné právomoci v oblasti ochrany spotrebiteľov bude ministerstvo zabezpečovať, aby letecké spoločnosti dodržiavali svoje záväzky v oblasti ochrany súkromia, ktoré prijali vo vzťahu k verejnosti a bude konať vo vzťahu k žiadostiam o prešetrenie obvinení z nedodržiavania zákona, ktoré dostaneme od samoregulačných organizácií a iných, vrátene členských štátov Európske únie.

Právomoc nášho ministerstva týkajúca sa konania v zmysle vymáhania výkonu práva je zakotvená v 49 U.S.C. 41712, ktorým sa prevádzkovateľom zakazuje, aby sa zúčastňovali na vykonávaní "nekalého alebo klamlivého postupu alebo nekalého spôsobu hospodárskej súťaže" pri poskytovaní služieb leteckej dopravy, ktoré by privodili alebo by boli spôsobilé privodiť ujmu spotrebiteľovi. Oddiel 41712 je zostavený podľa oddielu 5 zákona o Federálnej obchodnej komisii (15 U.S.C. 45). Leteckí prepravcovia sú však podľa 15 U.S.C. 45a)(2) vyňatí z pôsobnosti Federálnej obchodnej komisie vyplývajúcej z oddielu 5.

Môj úrad vyšetruje a koná v prípadoch podľa 49 U.S.C. 41712. (Pozri napr. DOT príkazy 99-11-5, 9. november 1999, 99-8-23, 26. august 1999, 99-6-1, 1. jún 1999; 98-6-24, 22. jún 1998; 19. jún 1998; 98-5-31, 22. máj 1998; a 97-12-23, 18. december 1997.) Začatie konania v takýchto prípadoch zakladáme na našich vlastných vyšetrovaniach, ako aj na oficiálnych a neoficiálnych sťažnostiach, ktoré dostávame od jednotlivcov, cestovných agentúr, leteckých spoločností a zahraničných vládnych orgánov.

Chcel by som upozorniť na to, že zlyhanie prepravcu v oblasti zachovania ochrany informácií získaných od cestujúcich by samo o sebe nepredstavovalo porušenie oddielu 41712. Ak sa však prepravca oficiálne a verejne zaviaže dodržiavať zásady "bezpečného prístavu" v zmysle ochrany získaných spotrebiteľských informácií, potom by ministerstvo bolo oprávnené využiť svoju zákonnú právomoc podľa oddielu 41712 na vymáhanie výkonu týchto zásad. To znamená, že ak cestujúci poskytne informácie prepravcovi, ktorý sa zaviazal dodržiavať zásady "bezpečného prístavu", akékoľvek nedodržanie týchto zásad by bolo spôsobilé privodiť spotrebiteľovi ujmu a bolo by porušením oddielu 41712. Môj úrad by v rámci vysokého stupňa priority vykonal vyšetrovanie každej takejto údajnej činnosti a konal v prípade preukázania takejto činnosti. O výsledkoch každého takéhoto prípadu budeme informovať tiež Ministerstvo obchodu.

Porušenie oddielu 41712 môže mať za následok vydanie príkazu na zdržanie sa konania a uloženie civilných sankcií za porušenie týchto príkazov. Napriek tomu, že nemáme právomoc priznávať náhradu škody alebo odškodnenie plniace represívnu funkciu vo vzťahu k jednotlivým sťažovateľom, máme však právomoc schvaľovať vysporiadania ako výsledok vyšetrovania a prípadov iniciovaných ministerstvom, na základe ktorých sa spotrebiteľom poskytujú určité protihodnoty buď v zmysle zmiernenia škôd, alebo ako kompenzácia peňažných pokút, ktoré by sa inak museli zaplatiť. Robili sme tak v minulosti a môžeme a budeme tak robiť v súvislosti so zásadami bezpečného prístavu, ak nás na to okolnosti budú oprávňovať. Opakované porušovanie oddielu 41712 zo strany niektorej americkej leteckej spoločnosti by tiež vznieslo otázku celkovej spôsobilosti danej leteckej spoločnosti dodržiavať zásady, čo by v mimoriadne závažných prípadoch mohlo viesť tomu, že sa daná letecká spoločnosť nebude viac považovať za spôsobilú prevádzkovania, a preto stratí svoje oprávnenie ekonomického prevádzkovateľa. (Pozri, DOT príkazy 93-6-34, 23. jún 1993 a 93-6-11, 9. jún 1993. Napriek tomu, že toto konanie nezahrňovalo oddiel 41712, jeho výsledkom bolo zrušenie oprávnenia na prevádzku vo vzťahu k prepravcovi za celkové nedodržiavanie ustanovení federálneho zákona o letectve, bilaterálnej dohody a pravidiel a nariadení ministerstva.)

Dúfam, že tieto informácie budú pre Vás užitočné. Ak máte ešte nejaké otázky alebo potrebujete ďalšie informácie, môžete sa so mnou kedykoľvek skontaktovať.

S pozdravom,

Samuel Podberesky

generálny zástupca Rady pre vymáhanie výkonu práva a konanie v oblasti letectva

--------------------------------------------------

PRÍLOHA VII

Odvolávajúc sa na článok 1 ods. 2 písm. b), vládnymi orgánmi v Spojených štátoch splnomocnenými v prípade nedodržiavania zásad vykonávaných v súlade s FAQ vyšetrovať sťažnosti a získavať náhrady škody vo vzťahu k nekalým alebo klamlivým praktikám, ako aj odškodnenie pre jednotlivcov bez ohľadu na krajinu ich trvalého bydliska alebo štátnu príslušnosť sú:

1. Federálna obchodná Komisia a

2. Ministerstvo dopravy USA.

Federálna obchodná Komisia koná na základe svojej právomoci podľa oddielu 5 zákona o Federálnej obchodnej komisii. Jurisdikcia Federálnej obchodnej komisie podľa oddielu 5 je vylúčená vo vzťahu k bankám, sporiteľniam a úverovým inštitúciám a úverovým družstvám; k telekomunikáciám a verejným prepravcom v rámci dopravy medzi štátmi USA, leteckým prepravcom a k prevádzkovateľom zariadení na porciovanie a balenie mäsa a k prevádzkovateľom dobytčích staníc. Napriek tomu, že oblasť poisťovníctva nie je osobitne zaradená do zoznamu výnimiek v oddiele 5, zákon McCarran-Fergusona [1] ponecháva reguláciu podnikania v oblasti poisťovníctva na jednotlivé štáty. Ustanovenia zákona o FTC sa však vzťahujú na oblasť poisťovníctva do tej miery, po ktorú takéto podnikanie neupravuje právo príslušného štátu. FTC si ponecháva zvyškovú právomoc vo vzťahu k nekalým alebo klamlivým postupom, ktorých sa dopustili poisťovacie spoločnosti v oblasti mimo poisťovacej činnosti.

Ministerstvo dopravy USA koná na základe svojej právomoci podľa hlavy 49 Zákonníka Spojených štátov oddiel 41712. Ministerstvo dopravy USA zakladá začatie konania v jednotlivých prípadoch na svojich vlastných vyšetrovaniach, ako aj na oficiálnych a neoficiálnych sťažnostiach prijatých od jednotlivcov, cestovných agentúr, leteckých spoločností a zahraničných vládnych orgánov.

[1] 15. U.S.C. § 1011 a nasl.

--------------------------------------------------