OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU, RADE, EURÓPSKEMU HOSPODÁRSKEMU A SOCIÁLNEMU VÝBORU A VÝBORU REGIÓNOV

Ochrana súkromia v prepojenom svete Európsky rámec ochrany údajov pre 21. storočie

(Text s významom pre EHP)

1. AKTUÁLNE VÝZVY V OBLASTI OCHRANY ÚDAJOV

Rýchle tempo technologických zmien a globalizácia výrazne zmenili spôsob zhromažďovania, využívania a prenosu čoraz väčšieho objemu osobných informácií a prístupu k nim. Nové spôsoby zdieľania informácií prostredníctvom sociálnych sietí a vzdialené uchovávanie veľkého množstva údajov sa stali súčasťou života mnohých z 250 miliónov európskych používateľov internetu. Osobné údaje sa zároveň stali pre mnohé podniky cenným aktívom. Zber, zhromažďovanie a analýza údajov týkajúcich sa potenciálnych zákazníkov je často významnou časťou ich podnikateľských aktivít[1].

V tomto novom digitálnom prostredí majú fyzické osoby právo na účinnú kontrolu nad osobnými údajmi, ktoré sa ich týkajú. Ochrana údajov je v Európe základným právom, ktoré je zakotvené v článku 8 Charty základných práv Európskej únie, ako aj v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ), a preto sa musí náležite chrániť.

Nedostatok dôvery spôsobuje, že spotrebitelia váhajú s nákupmi on-line a ťažšie si zvykajú na nové služby. Vysoká úroveň ochrany údajov má preto kľúčový význam aj pre posilnenie dôvery v služby on-line a pre využitie potenciálu digitálnej ekonomiky, a tak aj pre podporu hospodárskeho rastu a konkurencieschopnosti priemyslu EÚ.

Na zaistenie voľného toku údajov medzi členskými štátmi sú potrebné moderné a harmonizované pravidlá v celej EÚ. Podniky musia mať k dispozícii jasné a jednotné pravidlá, ktoré zaistia právnu istotu a minimalizujú administratívnu záťaž. To je základný predpoklad pre to, aby mohol jednotný trh fungovať a stimulovať hospodársky rast, viesť k vytváraniu pracovných miest a podporovať inovácie[2]. Modernizácia pravidiel ochrany osobných údajov EÚ, ktorá posilňuje ich aspekt súvisiaci s vnútorným trhom, zaisťuje vysokú úroveň ochrany údajov fyzických osôb a podporuje právnu istotu, jasnosť a súdržnosť, a preto zaujíma ústredné miesto v rámci akčného plánu pre Štokholmský program Európskej komisie[3], v Digitálnej agende pre Európu[4] a zo širšieho pohľadu prispieva k stratégii rastu EÚ Európa 2020[5].

Smernica EÚ z roku 1995[6], hlavný legislatívny nástroj v oblasti ochrany osobných údajov v EÚ, bola míľnikom v histórii ochrany údajov. Jej ciele, ktorými sú zaistenie fungovania jednotného trhu a účinná ochrana základných práv a slobôd fyzických osôb, sú stále aktuálne. Bola však prijatá pred 17 rokmi v čase, keď bol internet ešte len vo svojich počiatkoch. V súčasnom novom a náročnom digitálnom prostredí nie sú existujúce pravidlá ani dostatočne harmonizované, ani dostatočne efektívne na zaistenie práva na ochranu osobných údajov. Práve z tohto dôvodu Komisia navrhuje zásadnú reformu rámca ochrany údajov v EÚ.

Okrem toho od nadobudnutia platnosti Lisabonskej zmluvy predstavuje článok 16 ZFEÚ nový právny základ pre modernizovaný a komplexný prístup k ochrane údajov a pre voľný pohyb osobných údajov, ktorý sa vzťahuje aj na policajnú a justičnú spoluprácu v trestných veciach[7]. Tento prístup je zohľadnený v oznámeniach Komisie týkajúcich sa Štokholmského programu a akčného plánu pre Štokholmský program[8], v ktorých sa zdôrazňuje, že „Únia musí zaviesť úplný režim ochrany osobných údajov, ktorý pokryje všetky oblasti jej právomocí“ a „zabezpečiť konzistentné uplatňovanie základného práva na ochranu údajov“.

S cieľom pripraviť reformu rámca ochrany údajov EÚ transparentným spôsobom začala Komisia od roku 2009 organizovať verejné konzultácie o ochrane údajov[9] a viesť intenzívny dialóg so zainteresovanými stranami[10]. Dňa 4. novembra Komisia uverejnila oznámenie o komplexnom prístupe k ochrane osobných údajov v Európskej únii[11], v ktorom sa uvádzajú hlavné prvky reformy. V období od septembra do decembra 2011 Komisia viedla posilnený dialóg s európskymi národnými orgánmi pre ochranu údajov a s európskym dozorným úradníkom pre ochranu údajov, ktorého cieľom bolo preskúmať možnosti súdržnejšieho uplatňovania pravidiel na ochranu údajov prijatých na úrovni EÚ vo všetkých členských štátoch EÚ[12].

Z uvedených diskusií vyplynulo, že občania aj podniky si želajú, aby Európska komisia reformovala pravidlá EÚ na ochranu údajov komplexne. Po posúdení dôsledkov rôznych možností politiky[13] Európska komisia navrhuje pevný a súdržný legislatívny rámec pokrývajúci všetky politiky Únie, ktorý posilňuje práva fyzických osôb, rozmer vnútorného trhu v oblasti ochrany údajov a znižuje administratívnu záťaž podnikov[14]. Komisia navrhuje, aby nový rámec pozostával z:

– nariadenia (ktorým sa nahrádza smernica 95/46/ES), ktorým sa ustanovuje všeobecný rámec EÚ pre ochranu údajov[15],

– a smernice (ktorou sa nahrádza rámcové rozhodnutie 2008/977/SVV[16]), ktorým sa stanovujú pravidlá ochrany osobných údajov spracúvaných na účely predchádzania trestným činom, ich odhaľovania, vyšetrovania alebo stíhania a na účely súvisiacich činností justičných orgánov.

V tomto oznámení sa uvádzajú hlavné prvky reformy rámca EÚ na ochranu údajov.

2. Poskytnúť fyzickým osobám kontrolu nad ich osobnými údajmi

Smernica 95/46/ES – ktorá je v súčasnosti hlavným právnym nástrojom EÚ v oblasti ochrany údajov – nezaisťuje dostatočnú harmonizáciu spôsobov, prostredníctvom ktorých môžu fyzické osoby uplatňovať svoje právo na ochranu údajov v jednotlivých členských štátoch. Ani právomoci národných orgánov zodpovedných za ochranu údajov nie sú harmonizované v dostatočnej miere tak, aby bolo možné zabezpečiť súdržné a účinné uplatňovanie pravidiel. V praxi to znamená, že uplatňovanie práv je v niektorých členských štátoch zložitejšie než v iných, a to najmä v on-line prostredí.

Tieto ťažkosti vyplývajú aj zo samotného objemu údajov, ktoré sa každodenne zhromažďujú, a zo skutočnosti, že používatelia často nevedia o tom, že údaje o nich sa zhromažďujú. Hoci sa mnoho Európanov domnieva, že sprístupňovanie osobných údajov sa v čoraz väčšej miere stáva súčasťou moderného života[17], 72 % používateľov internetu v Európe má stále obavy, že sa od nich v on-line prostredí vyžaduje príliš mnoho osobných údajov[18]. Majú pocit, že nad týmito údajmi nemajú kontrolu. Nie sú náležite informovaní o tom, čo sa z ich osobnými údajmi deje a komu a na aké účely sa tieto údaje odovzdávajú. Často nevedia, ako uplatniť svoje práva on-line.

„Právo byť zabudnutý“

Európsky študent, ktorý využíva služby sociálnej siete, sa rozhodne požiadať o prístup ku všetkým osobným údajom, ktoré o ňom sieť uchováva. Zistí pri tom, že sieť zhromažďuje oveľa viac údajov, než predpokladal, a že niektoré osobné údaje, o ktorých si myslel, že sú už vymazané, sa stále uchovávajú.

Reforma pravidiel EÚ na ochranu údajov zaistí, že k takýmto situáciám už nebude dochádzať, pretože sa ňou zavedie:

– výslovná povinnosť poskytovateľov služieb sociálnych sietí (a všetkých ostatných prevádzkovateľov údajov) minimalizovať objem osobných údajov o používateľoch, ktoré zhromažďujú a spracúvajú,

– povinnosť, aby základné nastavenie zaisťovalo nezverejnenie údajov,

– výslovnú povinnosť prevádzkovateľov údajov vymazať osobné údaje fyzickej osoby, ak táto osoba výslovne požiada o vymazanie a ak neexistuje žiaden legitímny dôvod na ich uchovávanie. V tomto konkrétnom prípade by bol poskytovateľ služieb sociálnej siete nútený bezodkladne a úplne vymazať všetky údaje o študentovi.

Ako sa zdôrazňuje v Digitálnej agende pre Európu, obavy súvisiace s ochranou súkromia patria medzi najčastejšie dôvody, pre ktoré ľudia nenakupujú tovary a služby on-line. Vzhľadom na príspevok sektora informačných a komunikačných technológií (IKT) k celkovému rastu produktivity Európe – 20 % priamo zo sektora IKT a 30 % z investícií z IKT[19] – má dôvera k takýmto službám zásadný význam pre podporu rastu hospodárstva EÚ a pre konkurencieschopnosť európskeho priemyslu.

Oznámenia o porušení ochrany údajov

Hackeri zaútočili na poskytovateľa služieb v oblasti hier on-line, ktoré sú zamerané na používateľov v EÚ. Došlo k prieniku do databáz obsahujúcich osobné údaje (vrátane mien, adries a možno údajov o kreditných kartách) desiatok miliónov používateľov na celom svete. Spoločnosť informovala dotknutých používateľov až po týždni.

Reforma pravidiel EÚ na ochranu údajov zaistí, že k takejto situácii už nebude môcť dôjsť. Podľa nových pravidiel budú mať spoločnosti povinnosť:

– posilniť svoje bezpečnostné opatrenia na predchádzanie a zabránenie porušeniam bezpečnosti,

– oznámiť prípady porušenia ochrany údajov národným orgánom pre ochranu údajov – ak je to možné, do 24 hodín od odhalenia incidentu – a dotknutým osobám bez zbytočného odkladu.

Cieľom nových legislatívnych aktov, ktorých návrhy predkladá Komisia, je posilniť práva a poskytnúť občanom efektívne a funkčné prostriedky, ktoré zaistia, že budú plne informovaní o tom, čo sa s ich osobnými údajmi deje, a ktoré im umožnia účinnejší výkon ich práv.

Na posilnenie práv fyzických osôb na ochranu ich osobných údajov navrhuje Komisia nové pravidlá, ktoré:

zlepšia možnosti kontroly, ktorú majú fyzické osoby nad svojimi osobnými údajmi, a to:

–        zaistením, že v prípadoch, keď sa vyžaduje ich súhlas, musí byť tento súhlas výslovný, a teda založený buď na vyhlásení, alebo inom jasnom akte vyjadrujúcom súhlas, a musí byť poskytnutý dobrovoľne,

–        zaručením účinného „práva byť zabudnutý“ v on-line prostredí pre používateľov internetu: právo na vymazanie údajov o používateľoch, ak odvolajú svoj súhlas a ak neexistujú iné legitímne dôvody na uchovávanie údajov,

–        zaručením jednoduchého prístupu k vlastným osobným údajom a práva na prenosnosť údajov: právo získať kópiu uchovávaných údajov od prevádzkovateľa a sloboda presunúť tieto údaje od jedného poskytovateľa služieb k inému bez akýchkoľvek prekážok,

–        posilnením práva na informácie, aby fyzické osoby plne chápali, ako sa s ich osobnými údajmi narába, a to najmä v prípade, keď sa operácie spracúvania údajov týkajú detí;

poskytnú fyzickým osobám prostriedky, ktoré im umožnia lepšie využívať ich práva, a to:

–        posilnením nezávislosti a právomocí národných orgánov pre ochranu údajov tak, aby mali k dispozícii náležité nástroje na účinné riešenie sťažností a aby medzi ich právomoci patrilo právo viesť skutočné vyšetrovanie, prijímať záväzné rozhodnutia a ukladať účinné a odrádzajúce sankcie,

–        posilnením správnych a súdnych prostriedkov nápravy pre prípad porušenia práv na ochranu údajov. Oprávnené združenia budú môcť podávať návrhy na začatie konania na súde v mene fyzických osôb;

posilnia bezpečnosť údajov, a to:

–        podporovaním používania technológií na zvýšenie ochrany súkromia (technológie, ktoré chránia dôvernosť informácií prostredníctvom minimalizovania uchovávania osobných údajov), základných nastavení zohľadňujúcich ochranu súkromia a systémov udeľovania certifikátov o nenarúšaní súkromia,

–        zavedením všeobecnej povinnosti[20] prevádzkovateľov údajov oznámiť prípady porušenia ochrany údajov bez zbytočného odkladu národným orgánom pre ochranu údajov (ak je to možné do 24 hodín) a dotknutým osobám;

zvýšia zodpovednosť tých, ktorí spracúvajú osobné údaje, a to najmä:

–        zavedením povinnosti prevádzkovateľov vymenovať úradníka pre ochranu údajov v spoločnostiach s viac než 250 zamestnancami a v podnikoch vykonávajúcich operácie spracúvania, ktoré svojou povahou, rozsahom alebo účelom predstavujú osobitné riziká v súvislosti s právami a slobodami fyzických osôb („rizikové spracúvanie“),

–        zavedením zásady „ochrany súkromia už v štádiu návrhu“ s cieľom zaistiť, aby sa záruky ochrany údajov zohľadnili už vo fáze plánovania postupov a systémov,

–        zavedením povinnosti vykonať posúdenie vplyvu z hľadiska ochrany údajov pre organizácie, ktoré vykonávajú rizikové spracúvanie.

3. Pravidlá ochrany údajov, ktoré vyhovujú potrebám elektronického jednotného trhu

Napriek tomu, že cieľom v súčasnosti platnej smernice je zaistiť rovnakú úroveň ochrany údajov v rámci EÚ, medzi pravidlami platnými v členských štátoch naďalej pretrvávajú značné rozdiely. V dôsledku toho môžu byť prevádzkovatelia údajov nútení plniť požiadavky 27 rozdielnych vnútroštátnych právnych poriadkov. Výsledkom je roztrieštené právne prostredie, ktoré vedie k právnej neistote a nerovnomernej ochrane fyzických osôb. To vedie k zbytočným nákladom a administratívnej záťaži pre podniky a predstavuje prekážku pre podniky pôsobiace na jednotnom trhu, ktoré by chceli rozšíriť svoje aktivity za hranice.

Právomoci národných orgánov zodpovedných za ochranu údajov a zdroje, ktorými disponujú, sa v jednotlivých členských štátoch výrazne líšia[21]. V niektorých prípadoch nie sú tieto orgány schopné uspokojivo plniť svoje úlohy v oblasti presadzovania. Spolupráca medzi týmito orgánmi na európskej úrovni – prostredníctvom existujúcej poradnej skupiny (tzv. pracovná skupina zriadená podľa článku 29)[22] – nevedie vždy ku konzistentnému presadzovaniu a je tiež potrebné zlepšiť ju.

Konzistentné presadzovanie pravidiel ochrany údajov v celej Európe

Nadnárodná spoločnosť s viacerými pobočkami v EÚ začala v Európe prevádzkovať on-line mapovací systém, ktorý zhromažďuje obrazové snímky všetkých súkromných a verejných budov a môže tiež obsahovať snímky ľudí na ulici. V jednom členskom štáte sa zahrnutie nerozmazanej snímky osôb, ktoré nevedeli o tom, že sú fotografované, považovalo za nezákonné, zatiaľ čo v iných členských štátoch nedošlo k žiadnemu porušenie právnych predpisov na ochranu údajov. V dôsledku toho jednotlivé národné orgány pre ochranu údajov neriešili túto situáciu konzistentne.

Reforma pravidiel EÚ na ochranu údajov zaistí, že k takejto situácii už v budúcnosti nebude môcť dôjsť, pretože:

– požiadavky a záruky týkajúce sa ochrany údajov budú stanovené v nariadení EÚ, ktoré bude mať priamy účinok celej Únii,

– rozhodovať o tom, či spoločnosť koná v súlade so zákonom, bude len orgán pre ochranu údajov v krajine, v ktorej má daná spoločnosť svoje hlavne sídlo,

– včasná a účinná koordinácia medzi národnými orgánmi pre ochranu údajov – vzhľadom na to, že služba sa poskytuje fyzickým osobám vo viacerých členských štátoch – pomôže zaistiť, aby sa nové pravidlá EÚ v oblasti ochrany údajov uplatňovali a presadzovali konzistentne vo všetkých členských štátoch.

Bude potrebné posilniť národné orgány a ich spoluprácu, aby bolo možné zaistiť konzistentné presadzovanie pravidiel a v konečnom dôsledku aj ich jednotné uplatňovanie v celej EÚ.

Pevný, jasný a jednotný legislatívny rámec na úrovni EÚ pomôže uvoľniť potenciál elektronického jednotného trhu a podporiť hospodársky rast, inovácie a vytváranie pracovných miest. Nariadením sa odstráni problém roztrieštenosti právnych úprav 27 členských štátov a odstránia sa prekážky vstupu na trh, čo je obzvlášť významný faktor z hľadiska mikro, malých a stredných podnikov.

Nové pravidlá tiež zvýhodnia podniky z EÚ v globálnom konkurenčnom prostredí. V rámci zreformovaného regulačného rámca budú môcť svojich zákazníkov uistiť, že s cennými osobnými údajmi sa bude zaobchádzať s náležitou starostlivosťou a obozretnosťou. Dôvera v súdržný regulačný rámec EÚ bude predstavovať kľúčovú výhodu pre poskytovateľov služieb a stimul pre investorov hľadajúcich ideálne podmienky z hľadiska miesta poskytovania služieb.

S cieľom posilniť rozmer vnútorného trhu v oblasti ochrany údajov Komisia navrhuje:

–        stanoviť pravidlá ochrany údajov na úrovni EÚ prostredníctvom nariadenia priamo uplatniteľného vo všetkých členských štátoch[23], ktoré ukončí kumulatívne a súbežné uplatňovanie rozdielnych národných právnych predpisov na ochranu osobných údajov. Čisté úspory podnikov vyplývajúce zo samotného zníženia administratívnej záťaže v dôsledku tohto opatrenia dosiahnu približne 2,3 miliardy EUR ročne,

–        zjednodušiť regulačné prostredie prostredníctvom drastického zníženia byrokracie a zrušenia formalít, ako je napríklad všeobecná notifikačná povinnosť (čistá úspora vo výške 130 miliónov EUR, len pokiaľ ide o zníženie administratívnej záťaže). Osobitná pozornosť sa venuje špecifickým potrebám mikro, malých a stredných podnikov vzhľadom na ich význam pre konkurencieschopnosť európskeho hospodárstva,

–        ešte viac posilniť nezávislosť a právomoci národných orgánov pre ochranu údajov, aby mohli viesť vyšetrovania, prijímať záväzné rozhodnutia a ukladať účinné a odrádzajúce sankcie, a stanoviť povinnosť členských štátov poskytnúť im na tento účel dostatočné zdroje,

–        vytvoriť systém „jednotného kontaktného miesta“ pre ochranu údajov v EÚ: prevádzkovatelia údajov v EÚ budú podliehať jedinému orgánu pre ochranu údajov, a to orgánu pre ochranu údajov toho členského štátu, v ktorom má daná spoločnosť hlavné sídlo,

–        vytvoriť podmienky pre rýchlu a efektívnu spoluprácu medzi orgánmi pre ochranu údajov vrátane povinnosti orgánu pre ochranu údajov uskutočňovať vyšetrovania a kontroly na základe žiadosti iného orgánu pre ochranu údajov a vzájomného uznávania rozhodnutí,

–        vytvoriť mechanizmus na zaistenie konzistentnosti na úrovni EÚ s cieľom zaistiť, aby rozhodnutia orgánov pre ochranu údajov, ktoré majú širší európsky dosah, plne zohľadňovali názory ostatných orgánov pre ochranu údajov a boli plne v súlade s právom EÚ,

–        transformovať pracovnú skupinu zriadenú podľa článku 29 na nezávislý Európsky výbor pre ochranu údajov s cieľom zlepšiť jej príspevok ku konzistentnému uplatňovaniu právnych predpisov na ochranu osobných údajov a poskytnúť pevný základ pre spoluprácu medzi orgánmi pre ochranu údajov vrátane európskeho dozorného úradníka pre ochranu údajov, a posilniť synergie a účinnosť prostredníctvom ustanovenia, že funkciu sekretariátu Európskeho výboru pre ochranu údajov bude plniť európsky dozorný úradník pre ochranu údajov.

Nové nariadenie EÚ zaistí spoľahlivú ochranu základného práva na ochranu údajov v celej Európskej únii a posilní fungovanie jednotného trhu. Zároveň – vzhľadom na skutočnosť, že, ako zdôraznil Súdny dvor EÚ[24], právo na ochranu osobných údajov sa nejaví ako absolútne právo, ale musí sa zohľadniť so zreteľom na jeho funkciu v spoločnosti[25] a musí byť v rovnováhe s ostatnými základnými právami, a to v súlade so zásadou proporcionality[26] – sa do nariadenia zahrnú výslovné ustanovenia zaisťujúce dodržiavanie ostatných základných práv, ako sú sloboda prejavu a právo na informácie a právo na obhajobu, ako aj dodržiavanie služobného tajomstva (napríklad v prípade právnických profesií), bez toho, aby bolo dotknuté právne postavenie cirkví v jednotlivých členských štátoch.

4. Používanie údajov v rámci policajnej a justičnej spolupráce v trestných veciach

Nadobudnutie platnosti Lisabonskej zmluvy, a najmä zavedenie nového právneho základu (článku 16 ZFEÚ), umožňujú vytvorenie komplexného rámca na ochranu údajov, ktorý zaisťuje vysokú úroveň ochrany údajov fyzických osôb a zároveň zohľadňuje osobitný charakter oblasti policajnej a justičnej spolupráce v trestných veciach. Umožňuje najmä, aby sa revidovaný rámec EÚ na ochranu údajov vzťahoval na cezhraničné aj vnútroštátne spracúvanie osobných údajov.. Zmenšili by sa tak rozdiely medzi právnymi úpravami jednotlivých členských štátov, čo by mohlo prispieť k celkovému zlepšeniu ochrany osobných údajov. Mohlo by to tiež viesť k jednoduchšej výmene informácií medzi policajnými a justičnými orgánmi členských štátov, a tak aj k zlepšeniu spolupráce v boji proti závažnej trestnej činnosti v Európe. Spracúvanie údajov policajnými a justičnými orgánmi v trestných veciach je v súčasnosti upravené najmä rámcovým rozhodnutím 2008/977/SVV, ktoré bolo prijaté pred nadobudnutím platnosti Lisabonskej zmluvy. Keďže ide o rámcové rozhodnutie, Komisia nemá žiadnu právomoc presadzovať dodržiavanie svojich pravidiel, čo prispelo k rozdielom vo vykonávaní. Okrem toho je rozsah pôsobnosti rámcového rozhodnutia obmedzený na cezhraničné spracúvanie údajov[27]. Znamená to, že na spracúvanie osobných údajov, ktoré nie sú predmetom výmeny, sa v súčasnosti nevzťahujú pravidlá EÚ, ktoré upravujú takéto spracúvanie a ochranu základného práva na ochranu údajov. To v niektorých prípadoch spôsobuje praktické ťažkosti polícii a iným orgánom, pre ktoré nemusí byť vždy jednoduché určiť, či má spracúvanie výlučne vnútroštátny alebo cezhraničný charakter, resp. predvídať, či sa „vnútroštátne“ údaje môžu neskôr stať predmetom cezhraničnej výmeny[28].

Cieľom nového zreformovaného rámca EÚ na ochranu údajov je preto zaistiť konzistentnú, vysokú úroveň ochrany údajov v snahe posilniť vzájomnú dôveru medzi policajnými a justičnými orgánmi rôznych členských štátov, a tak prispieť k voľnému toku údajov a účinnej spolupráci policajných a justičných orgánov.

S cieľom zaistiť vysokú úroveň ochrany osobných údajov v oblasti policajne a justičnej spolupráce v trestných veciach a uľahčiť výmenu osobných údajov medzi policajnými a justičnými orgánmi členských štátov predkladá Komisia, ako súčasť súboru opatrení na reformu ochrany údajov, smernicu, ktorá:

–        zaistí, aby sa v oblasti policajnej spolupráce a justičnej spolupráce v trestných veciach uplatňovali všeobecné zásady ochrany údajov, a to pri zohľadnení osobitného charakteru týchto oblastí,[29]

–        stanoví minimálne harmonizované kritériá a podmienky pre možné obmedzenia všeobecných pravidiel. Ide predovšetkým o právo fyzických osôb byť informovaný v prípadoch, keď policajné a justičné orgány narábajú s ich údajmi alebo k nim majú prístup. Takéto obmedzenia sú potrebné na účinné predchádzanie trestným činom, ich odhaľovanie, vyšetrovanie alebo stíhanie,

–        stanoví osobitné pravidlá, ktoré budú zohľadňovať osobitný charakter činností v oblasti presadzovania práva vrátane rozlišovania medzi rôznymi kategóriami dotknutých osôb, ktorých práva môžu byť odlišné (napr. svedkovia a podozriví).

5. OCHRANA ÚDAJOV V GLOBALIZOVANOM SVETE

Práva fyzických osôb musia byť naďalej chránené v prípadoch, keď dochádza k prenosu osobných údajov z EÚ do tretích krajín a vždy keď sú služby zamerané na fyzické osoby v členských štátoch a zo strany poskytovateľa údajov z tretej krajiny dochádza k používaniu alebo analyzovaniu ich údajov. Znamená to, že normy EÚ v oblasti ochrany údajov musia platiť bez ohľadu na geografické umiestnenie spoločnosti alebo jej prevádzky, ktorá údaje spracúva.

V dnešnom globalizovanom svete sa osobné údaje prenášajú cez čoraz väčší počet virtuálnych a geografických hraníc a uchovávajú sa na serveroch umiestnených v mnohých krajinách. Čoraz viac spoločností ponúka služby „cloud computing“, ktoré zákazníkom umožňujú prístup k údajom a ich uchovávanie na vzdialených serveroch. Tieto skutočnosti si vyžadujú zlepšenie súčasného mechanizmu prenosu údajov do tretích krajín. To zahŕňa aj rozhodnutia o primeranosti – t. j. rozhodnutia potvrdzujúce „primeranosť“ noriem ochrany údajov v tretích krajinách – a náležité záruky, ako sú štandardné zmluvné doložky alebo záväzné firemné pravidlá[30], aby sa zaistila vysoká úroveň ochrany pri medzinárodných operáciách spracúvania a uľahčil tok údajov cez hranice.

Záväzné firemné pravidlá

Skupina podnikov potrebuje uskutočniť prenos osobných údajov zo svojich filiálok v EÚ do svojich filiálok v tretích krajinách. Skupina by chcela zaviesť súbor záväzných firemných pravidiel s cieľom zaistiť súlad s právom EÚ a zároveň obmedziť administratívne požiadavky vzťahujúce sa na každý individuálny prenos. Záväzné firemné pravidlá v praxi zaisťujú, že sa v celej skupine uplatňuje jediný súbor pravidiel namiesto rôznych interných zmlúv.

Podľa súčasnej praxe, ktorá bola dohodnutá na úrovni pracovnej skupiny zriadenej podľa článku 29, sa pre uznanie toho, že záväzné firemné pravidlá určitého podniku poskytujú primerané záruky, vyžaduje dôkladné preskúmanie vykonané tromi orgánmi pre ochranu údajov (jedným „vedúcim“ a dvomi „hodnotiacimi“), ale pripomienky môžu vzniesť aj ďalšie orgány. Okrem toho právne predpisy mnohých členských štátov vyžadujú dodatočné národné povolenie pre prenosy podliehajúce záväzným firemným pravidlám, v dôsledku čoho je proces ich prijímania veľmi zložitý, nákladný, dlhý a komplexný.

Po uskutočnení reformy ochrany údajov:

– sa tento proces zjednoduší a zefektívni,

– záväzné firemné pravidlá budú schvaľované len jedným orgánom pre ochranu údajov a bude existovať mechanizmus, ktorý umožní rýchle zapojenie ostatných príslušných orgánov pre ochranu údajov,

– keď záväzné firemné pravidlá schváli jeden orgán, stanú sa platnými pre celú EÚ a nebude potrebné žiadne ďalšie povolenie na vnútroštátnej úrovni.

Na riešenie výziev súvisiacich s globalizáciou sú – najmä pre podniky s celosvetovou pôsobnosťou – potrebné flexibilné nástroje a mechanizmy, pričom je zároveň potrebné zaručiť bezchybnú ochranu údajov fyzických osôb. Komisia navrhuje tieto opatrenia:

–        jasné pravidlá, ktoré vymedzia, kedy sa právo EÚ vzťahuje na prevádzkovateľov údajov so sídlom v tretích krajinách, a to najmä stanovením pravidla, podľa ktorého sa vždy, keď sa tovary alebo služby ponúkajú fyzickým osobám v EÚ alebo keď sa monitoruje správanie týchto osôb, uplatňujú európske pravidlá,

–        všetky rozhodnutia o primeranosti bude prijímať Európska komisia na základe explicitných a jasných kritérií, a to aj v oblasti policajnej a justičnej spolupráce v trestných veciach,

–        zákonné toky údajov do tretích krajín sa uľahčia posilnením a zjednodušením pravidiel medzinárodných prenosov do krajín, na ktoré sa nevzťahuje žiadne rozhodnutie o primeranosti, a to najmä zefektívnením a rozšírením používania nástrojov, ako sú záväzné firemné pravidlá tak, aby sa mohli uplatňovať na prevádzkovateľov údajov a v rámci skupín podnikov, čo umožní lepšie zohľadniť rastúci počet podnikov zapojených do operácií spracúvania údajov, a to najmä pokiaľ ide o cloud computing,

–        nadviazanie dialógu a v náležitých prípadoch začatie rokovaní s tretími krajinami – najmä so strategickými partnermi EÚ a krajinami, na ktoré sa vzťahuje európska susedská politika – a príslušnými medzinárodnými organizáciami (ako sú Rada Európy, Organizácia pre hospodársku spoluprácu a rozvoj a Organizácia spojených národov) s cieľom podporiť uplatňovanie interoperabilných noriem zaručujúcich vysokú úroveň ochrany na celom svete.

6. ZÁVER

Cieľom reformy ochrany údajov v EÚ je vytvoriť moderný, pevný, konzistentný a komplexný rámec ochrany údajov pre Európsku úniu. Posilní sa ochrana základného práva fyzických osôb na ochranu údajov. Ďalšie práva a slobody, ako sú sloboda prejavu a právo na informácie, práva dieťaťa, právo podnikať, právo na spravodlivý proces a služobné tajomstvo (napríklad v prípade právnických profesií), ako aj právne postavenie cirkví v členských štátoch, budú zachované.

Reforma prinesie prospech predovšetkým fyzickým osobám vďaka posilneniu ich práv na ochranu údajov a ich dôvery v digitálne prostredie. Reforma tiež výrazne zjednoduší právne prostredie pre podniky a verejný sektor. To by malo podľa očakávaní stimulovať rozvoj digitálnej ekonomiky v rámci jednotného trhu EÚ aj za jeho hranicami v súlade s cieľmi stratégie Európa 2020 a Digitálnej agendy pre Európu. Reforma napokon posilní dôveru medzi orgánmi presadzovania práva s cieľom uľahčiť výmenu údajov medzi nimi a ich spoluprácu v boji proti závažnej trestnej činnosti, a to pri zaistení vysokej úrovne ochrany fyzických osôb.

Európska komisia bude úzko spolupracovať s Európskym parlamentom a Radou, aby zaistila dosiahnutie dohody o novom rámci EÚ na ochranu údajov do konca roku 2012. V priebehu procesu prijímania ako aj po jeho skončení, a to najmä v súvislosti s vykonávaním nových právnych nástrojov, bude Komisia udržiavať úzky a transparentný dialóg so všetkými zainteresovanými stranami, do ktorého budú zapojení predstavitelia súkromného a verejného sektora. Budú medzi nimi zástupcovia polície a justičných orgánov, regulačných orgánov v oblasti elektronických komunikácií, organizácií občianskej spoločnosti, orgánov pre ochranu údajov a akademickej obce, ako aj špecializovaných agentúr EÚ, ako sú Eurojust, Europol, Agentúra pre základné práva a Európska agentúra pre bezpečnosť sietí a informácií .

V kontexte neustáleho rozvoja informačných technológií a meniaceho sa sociálneho správania má takýto dialóg mimoriadny význam, aby bolo možné využiť príspevky jednotlivých aktérov na zaistenie vysokej úrovne ochrany údajov fyzických osôb, rastu a konkurencieschopnosti priemyslu EÚ, operatívnej účinnosti verejného sektora (vrátane polície a justície) a nízkej miery administratívnej záťaže.

[1]               Trh analýzy veľmi rozsiahlych súborov údajov rastie celosvetovo ročne o 40 %: http://www.mckinsey.com/mgi/publications/big_data/.

[2]               Pozri aj závery Európskej rady z 23. októbra 2011, v ktorých sa zdôrazňuje „kľúčová úloha“ jednotného trhu „pri dosahovaní rastu a zamestnanosti“, ako ja potreba dobudovať elektronický jednotný trh do roku 2015.

[3]               KOM(2010) 171 v konečnom znení.

[4]               KOM(2010) 245 v konečnom znení.

[5]               KOM(2010) 2020 v konečnom znení.

[6]               Smernica 95/46/ES o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, Ú. v. ES L 281, 23.11.1995, s. 31.

[7]               Osobitné pravidlá spracúvania údajov členskými štátmi v oblasti spoločnej zahraničnej a bezpečnostnej politiky sa stanovia rozhodnutím Rady založeným na článku 39 ZEÚ.

[8]               KOM(2009) 262 a KOM(2010) 171.

[9]               Zorganizovali sa dve verejné konzultácie o reforme ochrany údajov: jedna prebiehala od júla do decembra 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm) a druhá od novembra 2010 do januára 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm).

[10]             V roku 2010 sa uskutočnili cielené konzultácie s orgánmi členských štátov a súkromnými zainteresovanými stranami. V novembri 2010 komisárka EÚ pre spravodlivosť Vivian Redingová zorganizovala okrúhly stôl venovaný reforme ochrany údajov. V priebehu roka 2011 sa uskutočnili aj ďalšie špecializované workshopy a semináre zamerané na osobitné otázky (napr. oznámenia o porušení ochrany údajov).

[11]             KOM(2010) 609.

[12]             Pozri list komisárky EÚ pre spravodlivosť Vivian Redingovej z 19. septembra 2011 adresovaný členom pracovnej skupiny zriadenej podľa článku 29, uverejnený na adrese http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.

[13]             Pozri posúdenie vplyvu SEK(2012) 72.

[14]             V neskoršej fáze sa pristúpi aj k zmenám a doplneniam zameraným na zosúladenie osobitných a odvetvových nástrojov, ako je napríklad nariadenie (ES) č. 45/2001, Ú. v. EÚ L 8, 12.1.2001, s.1.

[15]             Nariadením sa zavádza aj obmedzené množstvo technických úprav smernice o súkromí a elektronických komunikáciách (smernica 2002/58/ES, naposledy zmenená a doplnená smernicou 2009/136/ES – Ú. v. EÚ L 337, 18.12.2009, s. 11) s cieľom zohľadniť transformáciu smernice 95/46/ES na nariadenie. Podstatné právne dôsledky nového nariadenia a novej smernice pre smernicu o súkromí a elektronických komunikáciách Komisia v náležitom čase preskúma, pričom zohľadní výsledky rokovaní o súčasných návrhoch s Európskym parlamentom a Radou.

[16]             Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach, Ú. v. EÚ L 350, 30.12.2008, s. 60. Správa o vykonávaní rámcového rozhodnutia členskými štátmi [KOM(2012) 12] sa prijíma ako súčasť súboru opatrení na reformu ochrany údajov.

[17]             Pozri Osobitný Eurobarometer 359 – „Attitudes on Data Protection and Electronic Identity in the European Union“, jún 2011, s. 23.

[18]             Tamtiež, s. 54.

[19]             Pozri Digitálnu agendu pre Európu, str. 4.

[20]             V súčasnosti táto povinnosť existuje len v sektore telekomunikácií na základe smernice o súkromí a elektronických komunikáciách.

[21]             Viac informácií týkajúcich sa tohto aspektu možno nájsť v posúdení vplyvu pripojenom k právnym návrhom, SEK(2010) 72.

[22]             Pracovná skupina zriadená podľa článku 29 bola ustanovená v roku 1996 (článkom 29 smernice 95/46/ES) ako poradný orgán, ktorého členmi sú zástupcovia národných dozorných orgánov pre ochranu údajov, európsky dozorný úradník pre ochranu údajov (EDPS) a zástupca Komisie. Viac informácií o jej činnosti možno nájsť na adrese http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[23]             Podľa návrhu by sa pravidlá uplatniteľné v oblasti policajnej a justičnej spolupráce v trestných veciach mali vymedziť v smernici (pozri bod 4), čím sa poskytne členským štátom v tejto osobitnej oblasti väčšia voľnosť.

[24]             Rozsudok Súdneho dvora Európskej únie z 9. novembra 2010, spojené veci C-92/09 a C-93/09, Volker und Markus Schecke a Eifert, Zb. 2010, zatiaľ neuverejnený v Zbierke.

[25]             V súlade s článkom 52 ods. 1 charty je možné obmedziť výkon práva na ochranu osobných údajov, ak je takéto obmedzenie ustanovené zákonom, rešpektuje podstatu týchto práv a slobôd a za predpokladu dodržiavania zásady proporcionality je nevyhnutné a skutočne zodpovedá cieľom všeobecného záujmu, ktoré sú uznané Európskou úniou, alebo je potrebné na ochranu práv a slobôd iných.

[26]             Rozsudok Súdneho dvora Európskej únie zo 6. novembra 2003, vec C-101/01, Lindqvist, Zb. 2003. s. I-12971, body 82 – 90; rozsudok zo 16. decembra 2008, vec C-73/07, Satamedia, Zb. 2008, s. I-9831, body 50 – 62.

[27]             Presnejšie, rámcové rozhodnutie sa vzťahuje na osobné údaje, ktoré sa prenášajú alebo poskytujú alebo sa preniesli alebo poskytli medzi členskými štátmi alebo ku ktorých výmene došlo medzi členskými štátmi a inštitúciami alebo orgánmi EÚ (pozri článok 1 ods. 2).

[28]             Túto skutočnosť potvrdili niektoré členské štáty v odpovediach na dotazník Komisie v súvislosti so správou o vykonávaní rámcového rozhodnutia KOM(2012) 12.

[29]             Pozri vyhlásenie č. 21 o ochrane osobných údajov v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce, ktoré je pripojené k Záverečnému aktu medzivládnej konferencie, ktorá prijala Lisabonskú zmluvu.

[30]             „Záväzné firemné pravidlá“ sú kódexy osvedčených postupov vychádzajúce z európskych noriem ochrany údajov a schválené aspoň jedným orgánom pre ochranu údajov; tieto kódexy organizácie vypracovali a dobrovoľne dodržiavajú, aby sa zaistili primerané záruky vo vzťahu k určitým kategóriám prenosov osobných údajov medzi spoločnosťami, ktoré sú súčasťou rovnakej skupiny podnikov a ktoré sú týmito firemnými pravidlami viazané. Nie sú výslovne upravené smernicou 95/46/ES, ale vyvinuli sa v rámci praxe medzi orgánmi pre ochranu údajov s podporou pracovnej skupiny zriadenej podľa článku 29.