9.2.2012   

SK

Úradný vestník Európskej únie

C 35/1

1.

Komisia 12. októbra 2011 prijala tieto návrhy (ďalej len: „návrhy“) týkajúce sa spoločnej poľnohospodárskej politiky (ďalej len: „SPP“) po roku 2013, ktoré boli v ten istý deň odoslané európskemu dozornému úradníkovi pre ochranu údajov na konzultáciu:

2.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že s ním Komisia viedla formálne konzultácie a že do navrhovaných preambúl nariadenia o priamych platbách, nariadenia o jednotnej spoločnej organizácii trhov, nariadenia o rozvoji vidieka a horizontálneho nariadenia sa začlenil odkaz na toto stanovisko.

3.

Cieľom návrhov je poskytnúť rámec pre 1) životaschopnú výrobu potravín, 2) udržateľné hospodárenie s prírodnými zdrojmi a opatrenia proti zmene klímy a 3) vyvážený územný rozvoj. Zavádzajú teda niekoľko podporných režimov pre poľnohospodárov, ako aj ďalšie opatrenia na stimulovanie poľnohospodárskeho rozvoja a rozvoja vidieka.

4.

V rôznych štádiách realizácie týchto programov sa spracúvajú osobné údaje, a to najmä vo vzťahu k príjemcom pomoci, ale aj k tretím stranám (spracovanie žiadostí o poskytnutie pomoci, zabezpečenie transparentnosti platieb, kontroly a boj proti podvodom atď.). Hoci ťažisko spracovania a zodpovednosť spočíva na členských štátoch, k väčšine týchto údajov má prístup aj Komisia. Príjemcovia a v niektorých prípadoch aj tretie strany musia určeným príslušným orgánom poskytovať informácie, napríklad na účely kontroly podvodov.

5.

Význam ochrany údajov v súvislosti s SPP uznal aj Súdny dvor v rozhodnutí vo veci Schecke, v ktorom zrušil právne predpisy EÚ o zverejňovaní mien príjemcov finančných prostriedkov z poľnohospodárskych fondov (10). Európsky dozorný úradník pre ochranu údajov si uvedomuje, že v tomto prípade hľadiská ochrany údajov nie sú podstatou návrhov. K častiam, v ktorých sa návrhy dotýkajú spracovania osobných údajov, má však dôležité pripomienky.

6.

Cieľom tohto stanoviska nie je analyzovať celý súbor návrhov, ale ponúknuť východiskové body a usmernenia na návrh spracovania osobných údajov pri riadení SPP tak, aby sa dodržali základné práva na súkromie a ochranu údajov a zároveň zabezpečilo účinné riadenie pomoci, prevencia a vyšetrenie podvodov, ako aj transparentné a zodpovedné vynakladanie prostriedkov.

7.

Vzhľadom na to sa predkladané stanovisko delí na dve časti: prvá, všeobecnejšia časť, obsahuje analýzu a odporúčania relevantné pre väčšinu návrhov. Týka sa zväčša pripomienok k delegovaným a vykonávacím právomociam Komisie. Druhá časť hovorí o konkrétnych ustanoveniach obsiahnutých v niekoľkých návrhoch (11) a poskytuje odporúčania na riešenie zistených problémov.

8.

Ako už bolo uvedené, väčšinu operácií spracovania vykonávajú členské štáty. V mnohých prípadoch však môže k osobným údajom získať prístup aj Komisia. Preto európsky dozorný úradník pre ochranu údajov víta odkazy týkajúce sa uplatňovania smernice 95/46/ES a nariadenia (ES) č. 45/2001 v preambulách príslušných návrhov (12).

9.

Vo všeobecnosti možno pozorovať, že množstvo otázok, ktoré sa priamo týkajú ochrany údajov do predkladaných návrhov nie je začlenených, pričom sa však budú upravovať vo vykonávacích alebo delegovaných aktoch. To sa napríklad týka opatrení, ktoré sa majú prijať v oblasti monitorovania pomoci, zavádzania systémov IT, prenosov informácií do tretích krajín a kontrol na mieste (13).

10.

V článku 290 Zmluvy o fungovaní EÚ sa stanovujú podmienky vykonávania delegovaných právomocí Komisiou. Môže sa na ňu delegovať právomoc „prijímať všeobecne záväzné nelegislatívne akty, ktorými sa dopĺňajú alebo menia určité nepodstatné prvky legislatívneho aktu“. Tiež sa výslovne vymedzujú „ciele, obsah, rozsah a trvanie delegovania“. V oblasti vykonávacích právomocí sa v článku 291 Zmluvy o fungovaní EÚ stanovuje, že tieto právomoci možno na Komisiu delegovať, ak „sú potrebné jednotné podmienky na vykonávanie právne záväzných aktov Únie“. Zabezpečí sa primeraná kontrola členskými štátmi.

11.

Európsky dozorný úradník pre ochranu údajov sa domnieva, že kľúčové aspekty spracovania, ktoré sú uvedené v návrhoch, a potrebné záruky na ochranu údajov nemožno považovať za „nepodstatné prvky“. Preto je v hlavných legislatívnych textoch potrebné na zvýšenie právnej istoty upraviť aspoň tieto prvky (14):

12.

Po stanovení týchto prvkov v hlavných legislatívnych návrhoch sa môžu na podrobnejšiu realizáciu týchto ochranných opatrení využívať delegované alebo vykonávacie akty. Európsky dozorný úradník pre ochranu údajov očakáva, že sa s ním o vykonávacích a delegovaných aktoch slúžiacich na riešenie dôležitých otázok ochrany údajov budú viesť konzultácie.

13.

V niektorých prípadoch sa môžu spracúvať údaje súvisiace s (predpokladanými) trestnými činmi (napr. s podvodmi). Keďže v príslušných právnych predpisoch o ochrane údajov sa poskytuje osobitná ochrana týchto údajov (17), môže byť potrebná predchádzajúca kontrola zo strany príslušného vnútroštátneho orgánu na ochranu údajov alebo európskeho dozorného úradníka pre ochranu údajov (18).

14.

A napokon je potrebné predvídať bezpečnostné opatrenia, a to najmä v oblasti počítačových databáz a systémov. Tiež je potrebné zohľadniť zásady zodpovednosti a ochrany súkromia už v štádiu návrhu.

15.

Podľa článku 157 nariadenia o jednotnej spoločnej organizácii trhov sa Komisia splnomocňuje na prijatie vykonávacích aktov týkajúcich sa komunikačných požiadaviek na rôzne účely (napríklad zabezpečenie transparentnosti trhov, kontrolu opatrení v oblasti SPP alebo plnenie medzinárodných dohôd) (19), pričom „zohľadní potreby týkajúce sa údajov a prípadné synergie medzi zdrojmi údajov“ (20). Európsky dozorný úradník pre ochranu údajov odporúča, aby sa v tomto ustanovení konkrétne určilo, aké zdroje údajov sa budú používať na aké konkrétne účely. V tejto súvislosti chce európsky dozorný úradník pre ochranu údajov pripomenúť, že prepojenie databáz môže byť v rozpore so zásadou obmedzenia účelu (21), podľa ktorej sa osobné údaje nesmú ďalej spracúvať spôsobom, ktorý nie je v súlade s pôvodným účelom ich zbierania (22).

16.

V článkoch 74 a 77 nariadenia o rozvoji vidieka sa stanovuje, že na účely monitorovania a hodnotenia „sa navrhne spoločný systém monitorovania a hodnotenia v spolupráci medzi Komisiou a členskými štátmi“ vrátane elektronického informačného systému. Súčasťou systému bude spracúvanie údajov týkajúcich sa „kľúčových charakteristík príjemcu a projektu“, ktoré poskytli samotní príjemcovia (článok 78). Ak tieto „kľúčové informácie“ obsahujú osobné údaje, malo by sa to uviesť v ustanovení. Okrem toho je potrebné vymedziť kategórie údajov, ktoré sa majú spracúvať, a v oblasti vykonávacích aktov predpokladaných v článku 74 by sa mali viesť konzultácie s európskym dozorným úradníkom pre ochranu údajov.

17.

Podľa článku 92 toho istého návrhu okrem toho „Komisia v spolupráci s členskými štátmi“ zavedie nový informačný systém na bezpečenú výmenu „údajov spoločného záujmu“. Definícia kategórií údajov, ktoré sa majú vymieňať, je príliš všeobecná a mala by sa zúžiť pre prípad, že sa pomocou tohto systému budú prenášať osobné údaje. Okrem toho je potrebné objasniť vzťah medzi článkom 77 a článkom 92, keďže nie je jasné, či majú rovnaký účel a rozsah.

18.

V odôvodnení 40 horizontálneho nariadenia sa uvádza, že členské štáty by mali prevádzkovať integrovaný administratívny a kontrolný systém (23) pre niektoré platby a mali by byť „oprávnené využívať tento integrovaný systém aj pre ostatné režimy podpory Únie“ s cieľom „zlepšiť účinnosť a monitorovanie podpory Únie“. Toto ustanovenie je potrebné objasniť, keďže sa nevzťahuje iba na využívanie synergií v oblasti infraštruktúry, ale aj na využívanie informácií uložených v tejto infraštruktúre na účely monitorovania iných podporných režimov.

19.

Podľa článku 73 ods. 1 písm. c) horizontálneho nariadenia žiadosti o poskytnutie pomoci okrem pozemkových a platobných nárokov obsahujú aj „všetky ďalšie informácie stanovené týmto nariadením alebo požadované so zreteľom na vykonávanie príslušných právnych predpisov v poľnohospodárskom odvetví alebo príslušným členským štátom“ (24). Ak sa očakáva, že tieto informácie budú obsahovať aj osobné údaje, je potrebné určiť konkrétne kategórie požadovaných údajov.

20.

V horizontálnom nariadení sa stanovuje viacero orgánov na praktické vykonávanie SPP, ktorým sa prideľujú úlohy (články 7 až 15). V prípade Komisie sa predpokladajú tieto právomoci (hlavy IV až VII):

21.

K prvej úlohe uvedenej v predchádzajúcom odseku bude patriť spracovanie osobných údajov, zatiaľ čo v prípade druhej úlohy prima facie neexistuje potreba spracovania osobných údajov: všeobecné hodnotenie opatrení sa môže vykonávať aj na základe agregovaných alebo anonymizovaných údajov. Ak Komisia neposkytne primerané odôvodnenie potreby spracovania osobných údajov v tejto súvislosti, je potrebné objasniť, že Komisii sa na účely všeobecného hodnotenia opatrení žiadne osobné údaje neposkytnú.

22.

V článkoch 49 až 52 a 61 až 63 horizontálneho nariadenia sa zavádzajú pravidlá kontrol na mieste (27). V návrhu sa stanovuje, že tieto pravidlá uplatňujú najmä príslušné orgány v členských štátoch, a to hlavne pri domácich návštevách alebo pri formálnom vypočúvaní osôb, Komisia však má k takto získaným informáciám prístup. Tu by mal zákonodarca určiť, že Komisia bude mať k týmto údajom prístup len na účely kontroly. Tiež je potrebné určiť kategórie osobných údajov, ku ktorým bude mať Komisia prístup.

23.

Na účely monitorovania pomoci sa v horizontálnom nariadení stanovuje administratívny a kontrolný systém (28) (články 68 až 78), ktorý pozostáva z viacerých databáz:

24.

Počítačová databáza pozostáva z jednotlivých databáz členských štátov (a voliteľne aj z decentralizovaných databáz v ich rámci). Zaznamenávajú sa v nej údaje získané od príjemcov prostredníctvom žiadostí o poskytnutie pomoci a platobných nárokov. Vzhľadom na to, že všetky údaje zhromaždené prostredníctvom žiadostí o poskytnutie pomoci nemusia byť na účely kontroly potrebné, mali by sa zvážiť možnosti minimalizovania spracovania osobných údajov v tomto zmysle.

25.

Prístup k administratívnemu a kontrolnému systému nie je výslovne regulovaný. Európsky dozorný úradník pre ochranu údajov podobne ako v prípade kontrol na mieste odporúča zákonodarcovi, aby jasne vymedzil pravidlá na prístup do tohto systému.

26.

V oblasti kontrol sa v horizontálnom nariadení predpokladá kontrola obchodnej dokumentácie vrátane dokumentov tretích strán (články 79 až 88) (29). Táto dokumentácia môže obsahovať osobné údaje tretích strán. V nástroji je potrebné stanoviť podmienky, za ktorých budú musieť tretie strany zverejniť svoju obchodnú dokumentáciu (30).

27.

V článku 87 toho istého návrhu sa stanovuje, že úradníci Komisie majú prístup k všetkým dokumentom „vypracovaným na účel kontroly“„v súlade s príslušnými ustanoveniami vnútroštátnych právnych predpisov“. To sa vzťahuje na prípady, keď sa na kontrole podieľajú (odsek 2), a prípady, v ktorých sú určité akty vyhradené pre úradníkov určených zákonmi členského štátu, v ktorom sa kontrola uskutočňuje (odsek 4). V oboch prípadoch je potrebné zabezpečiť, aby mali úradníci Komisie prístup k údajom len v prípade potreby (t. j. na účely kontroly), a to aj v prípadoch, ak vnútroštátne právo umožňuje prístup na iné účely. Európsky dozorný úradník pre ochranu údajov vyzýva zákonodarcu, aby do textu s týmto cieľom vložil spresňujúce informácie.

28.

Podľa článku 102 horizontálneho nariadenia oznamujú členské štáty určité kategórie informácií, vyhlásení a dokumentov Komisii. Patrí sem aj „prehľad výsledkov všetkých dostupných auditov a vykonaných kontrol“ [článok 102 ods. 1 písm. c) bod v)]. V tomto prípade je potrebné stanoviť buď to, že v týchto prehľadoch sa nebudú nachádzať žiadne osobné údaje, alebo, ak sú osobné údaje potrebné, stanoví sa účel, na ktorý je potrebné ich oznámiť.

29.

V článku 70 ods. 1 horizontálneho nariadenia sa stanovuje, že počítačová databáza umožňuje konzultáciu údajov od roku 2000 „prostredníctvom príslušného orgánu členského štátu“ a umožňuje aj „priamu a bezprostrednú konzultáciu“ údajov, ktoré sa týkajú „aspoň“ piatich predchádzajúcich po sebe nasledujúcich kalendárnych rokov (31).

30.

Systém identifikácie a evidencie platobných nárokov je zavedený tak, aby umožnil „overovanie nárokov a krížové kontroly so žiadosťami o pomoc a systémom identifikácie poľnohospodárskych pozemkov“. V článku 72 ods. 2 horizontálneho nariadenia sa stanovuje, že údaje sú k dispozícii na obdobie „aspoň“ štyroch rokov (32).

31.

V súvislosti s týmito dvomi systémami pripomína európsky dozorný úradník pre ochranu údajov článok 6 ods. 1 písm. e) smernice 95/46/ES a článok 4 ods. 1 písm. e) nariadenia (ES) č. 45/2001, v ktorých sa stanovuje, že údaje sa v identifikovateľnej podobe nesmú ukladať dlhšie, než je potrebné na účely, na ktoré sa zbierali. To znamená, že okrem minimálnych období sa musia stanoviť aj maximálne obdobia uchovávania údajov.

32.

V druhom pododseku článku 157 ods. 1 nariadenia o jednotnej spoločnej organizácii trhov sa stanovuje, že údaje sa môžu postúpiť tretím krajinám a medzinárodným organizáciám. Európsky dozorný úradník pre ochranu údajov chce pripomenúť, že prenos osobných údajov krajinám, ktoré nezabezpečia primeranú ochranu, by mohol byť oprávnený len na základe jednotlivých prípadov, ak sa uplatňuje niektorá z výnimiek stanovených v článku 26 smernice 95/46/ES alebo v článku 9 ods. 6 nariadenia (ES) č. 45/2001 (napr. ak je postúpenie potrebné alebo sa vyžaduje zákonom z dôvodu dôležitých verejných záujmov).

33.

V takom prípade je potrebné stanoviť konkrétny účel prenosu (napr. v súvislosti s plnením medzinárodných dohôd) (33). Príslušné medzinárodné dohody by mali obsahovať konkrétne záruky na ochranu súkromia a osobných údajov, ako aj na vykonávanie týchto práv dotknutými osobami. Okrem toho, ak sa údaje majú postúpiť Komisii, toto postúpenie by malo podliehať schváleniu európskym dozorným úradníkom pre ochranu údajov (34).

34.

V odôvodnení 70 a v dôvodovej správe horizontálneho nariadenia sa uvádza, že sa pripravujú nové pravidlá uverejňovania informácií o príjemcoch „zohľadňujúce výhrady, ktoré vyjadril Súdny dvor Európskej únie“ vo veci Schecke  (35).

35.

Európsky dozorný úradník pre ochranu údajov chce pripomenúť, že pravidlá uverejňovania informácií týkajúcich sa príjemcov by mali rešpektovať zásadu primeranosti. Ako potvrdil Súdny dvor (36), je potrebné dosiahnuť rovnováhu medzi základným právom príjemcov na ochranu súkromia a údajov a záujmom Európskej únie o zabezpečenie transparentnosti a dobrej správy verejných prostriedkov.

36.

Platí to aj v prípade druhého pododseku článku 157 ods. 1 nariadenia o jednotnej spoločnej organizácii trhov, podľa ktorého sa údaje môžu „zverejniť s výhradou ochrany osobných údajov a oprávnených záujmov podnikov pri ochrane ich obchodných tajomstiev“. V článkoch 157 ods. 2 písm. d) a 157 ods. 3 písm. c) sa Komisia splnomocňuje na prijímanie delegovaných aktov, v ktorých ide o „podmienky a spôsoby zverejnenia informácií“, a vykonávacích aktov o ustanoveniach zverejňovania informácií a dokumentov dostupných verejnosti.

37.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že zverejnenie informácií a dokumentov podlieha ochrane osobných údajov. Namiesto prijímania vykonávacích alebo delegovaných aktov by však mali byť základné prvky, ako napríklad účel zverejnenia alebo kategórie zverejnených údajov, stanovené v návrhoch.

38.

Je potrebné stanoviť práva dotknutých osôb, a to najmä v súvislosti s právom na informácie a právom na prístup. Platí to najmä v prípade článku 81 horizontálneho nariadenia, podľa ktorého možno kontrolovať obchodnú dokumentáciu príjemcov, ale aj dodávateľov, zákazníkov, prepravcov a iných tretích strán. Hoci príjemcovia môžu vedieť, že ich údaje sa spracúvajú, o použití svojich údajov na účely kontroly by sa mali primerane informovať aj tretie strany (napr. prostredníctvom vyhlásenia o ochrane súkromia v prípade zberu údajov alebo poskytnutia informácií na všetkých príslušných webových stránkach a vo všetkých dokumentoch). Do návrhov je potrebné začleniť povinnosť informovať dotknuté osoby vrátane tretích strán.

39.

Dôležité je počítať s bezpečnostnými opatreniami, a to najmä v oblasti počítačových databáz a systémov. Tiež je potrebné zohľadniť zásady zodpovednosti a ochrany súkromia už v štádiu návrhu. Zoznam bezpečnostných opatrení, ktoré sa majú prijať v oblasti počítačových databáz a systémov, je potrebné začleniť aspoň do delegovaných alebo vykonávacích aktov. Je to o to dôležitejšie, že osobné údaje spracúvané v súvislosti s kontrolami môžu obsahovať údaje o predpokladaných trestných činoch.

40.

Európsky dozorný úradník pre ochranu údajov víta požiadavky stanovené v článku 103 horizontálneho nariadenia týkajúce sa dôvernosti a služobného tajomstva v prípade kontroly v zmysle článkov 79 až 88 toho istého nariadenia.

41.

Európsky dozorný úradník pre ochranu údajov sa domnieva, že z dôvodu zvýšenia právnej istoty by sa mali upraviť najdôležitejšie aspekty operácií spracovania údajov, s ktorými sa počíta v návrhoch, a potrebné záruky na ochranu údajov v hlavných legislatívnych textoch, a nie v delegovaných alebo vykonávacích aktoch:

42.

Tieto prvky možno v delegovaných alebo vykonávacích aktoch ďalej rozpracovať. Európsky dozorný úradník pre ochranu údajov očakáva, že sa s ním budú v tejto súvislosti viesť konzultácie.

43.

Okrem toho by sa mali minimálne vo vykonávacích alebo delegovaných aktoch predvídať bezpečnostné opatrenia, a to najmä v oblasti počítačových databáz a systémov. Tiež je potrebné zohľadniť zásady zodpovednosti a ochrany súkromia už v štádiu návrhu.

44.

A napokon, vzhľadom na to, že v niektorých prípadoch možno spracúvať údaje súvisiace s (predpokladanými) trestnými činmi (napr. súvisiace s podvodmi), môže byť potrebná predchádzajúca kontrola, ktorú vykonajú príslušné vnútroštátne orgány na ochranu údajov alebo európsky dozorný úradník pre ochranu údajov.