11.5.2012 |
SK |
Úradný vestník Európskej únie |
C 136/1 |
Stanovisko európskeho dozorného úradníka pre ochranu údajov k legislatívnym návrhom o alternatívnom a online riešení spotrebiteľských sporov
2012/C 136/01
EURÓPSKY DOZORNÝ ÚRADNÍK PRE OCHRANU ÚDAJOV,
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16,
so zreteľom na Chartu základných práv Európskej únie, a najmä na jej články 7 a 8,
so zreteľom na smernicu Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (1),
so zreteľom na nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov, a najmä na jeho článok 41 (2),
PRIJAL TOTO STANOVISKO:
I. ÚVOD
I.1. Konzultácia s európskym dozorným úradníkom pre ochranu údajov a cieľ stanoviska
1. |
Komisia 29. novembra 2011 prijala dva legislatívne návrhy o alternatívnom riešení sporov (ďalej len: „návrhy“):
|
2. |
Európsky dozorný úradník pre ochranu údajov dostal 6. decembra 2011 návrh o ARS a návrh o RSO na konzultáciu. Pred prijatím návrhov sa uskutočnili aj neformálne konzultácie s európskym dozorným úradníkom pre ochranu údajov, ktorý poskytol neformálne pripomienky. Európsky dozorný úradník pre ochranu údajov víta túto skorú konzultáciu a skutočnosť, že väčšina odporúčaní uvedených v týchto pripomienkach bola zahrnutá do návrhov. |
3. |
Toto stanovisko sa zameriava na analýzu spracovania osobných údajov, ktorá sa predpokladá v návrhoch, a na vysvetlenie, ako sa v nich riešia otázky ochrany údajov. Sústredí sa na návrh o RSO, pretože zahŕňa centralizované spracovanie osobných údajov súvisiacich so spormi prostredníctvom online platformy. |
I.2. Cieľ návrhov
4. |
Systémy alternatívneho riešenia sporov (ARS) poskytujú alternatívne prostriedky na riešenie sporov, ktoré sú obvykle menej nákladné a rýchlejšie než predloženie veci súdu. Cieľom návrhu o ARS je zabezpečiť, aby tieto subjekty boli zavedené vo všetkých členských štátoch EÚ na riešenie každého cezhraničného spotrebiteľského sporu, ktorý vznikne pri cezhraničnom predaji tovaru alebo poskytovaní služieb v EÚ. |
5. |
Návrh o RSO vychádza z tejto celoeurópskej dostupnosti ARS v prípade spotrebiteľských sporov. Zriaďuje online platformu (ďalej len „platforma RSO“), ktorú spotrebitelia a obchodníci budú môcť použiť na postúpenie sťažností na cezhraničné online transakcie príslušnému subjektu ARS. |
II. VŠEOBECNÉ POZNÁMKY
6. |
Európsky dozorný úradník pre ochranu údajov podporuje cieľ návrhov a víta skutočnosť, že sa od počiatočnej fázy procesu prípravy prihliadalo k zásadám ochrany údajov. |
7. |
Európsky dozorný úradník pre ochranu údajov víta tiež odkazy na možnosť uplatnenia právnych predpisov o ochrane údajov v návrhu o RSO (5) a možnosť uplatnenia vnútroštátnych právnych predpisov, ktorými sa vykonáva smernica 95/46/ES v kontexte návrhu ARS (6), ako aj odkazy na konzultácie s európskym dozorným úradníkom pre ochranu údajov (7). |
III. OSOBITNÉ POZNÁMKY
III.1. Úloha kontrolórov: potreba jasného rozdelenia povinností
8. |
Podľa návrhu o RSO tri typy subjektov budú spracovávať údaje v kontexte každého sporu predloženého prostredníctvom platformy RSO:
V článku 11 ods. 4 je stanovené, že každý z týchto subjektov sa považuje za kontrolóra, pokiaľ ide o spracovanie osobných údajov súvisiacich s ich zodpovednosťou. |
9. |
Za zodpovedných za spracovanie rovnakých osobných údajov by sa však mohli považovať viacerí z týchto kontrolórov (9). Napríklad údaje týkajúce sa konkrétneho sporu zaslané prostredníctvom platformy RSO môžu skúmať viacerí sprostredkovatelia RSO a príslušný systém ARS, ktorý sa bude zaoberať sporom. Komisia tiež môže spracúvať tieto osobné údaje pri prevádzke a údržbe tejto platformy RSO. |
10. |
V tejto súvislosti európsky dozorný úradník pre ochranu údajov víta skutočnosť, že v odôvodnení 20 návrhu o RSO sa uvádza, že právne predpisy o ochrane údajov sa uplatňujú na všetky tieto subjekty. V legislatívnej časti návrhu o RSO by však malo byť aspoň uvedené, ktorému z kontrolórov by dotknuté osoby mali adresovať svoje žiadosti o prístup, opravu, zablokovanie a vymazanie a ktorý kontrolór by mal byť zodpovedný v prípade konkrétnych porušení predpisov o ochrane údajov (napríklad za porušenie bezpečnosti). Dotknuté osoby by tiež mali byť zodpovedajúcim spôsobom informované. |
III.2. Obmedzenie prístupu a doba uchovávania
11. |
Podľa článku 11 návrhu o RSO je prístup k osobným údajom spracúvaným prostredníctvom platformy RSO obmedzený na:
|
12. |
Európsky dozorný úradník pre ochranu údajov víta tieto obmedzenia účelu a práv prístupu. Nie je však jasné, či všetci sprostredkovatelia RSO (najmenej 54) budú mať prístup k osobným údajom vzťahujúcim sa na všetky spory. Európsky dozorný úradník pre ochranu údajov odporúča objasniť, že každý sprostredkovateľ RSO bude mať prístup len k údajom potrebným na splnenie jeho povinností podľa článku 6 ods. 2. |
13. |
Pokiaľ ide o dobu uchovávania, európsky dozorný úradník pre ochranu údajov víta článok 11 ods. 3, ktorý umožňuje uchovávanie osobných údajov len po dobu nevyhnutnú pre vyriešenie sporu a na zabezpečenie toho, aby dotknuté osoby mohli uplatniť svoje právo na prístup. Víta tiež záväzok automaticky vymazať údaje 6 mesiacov po uzavretí sporu. |
III.3. Spracovanie osobitných kategórií údajov: prípadná potreba predchádzajúcej kontroly
14. |
Vzhľadom na účel návrhov je možné, že sa budú spracúvať osobné údaje súvisiace s podozrením na porušenie právnych predpisov. Údaje o zdravotnom stave môžu byť takisto spracúvané v rámci sporov vyplývajúcich z predaja tovaru a poskytovania služieb súvisiacich so zdravím. |
15. |
Spracovanie osobných údajov v rámci platformy RSO preto môže podliehať predbežnej kontrole zo strany vnútroštátnych orgánov pre ochranu údajov a európskeho dozorného úradníka pre ochranu údajov, ako sa vyžaduje v článku 27 nariadenia (ES) č. 45/2001 a článku 20 smernice 95/46/ES (11). Európsky dozorný úradník pre ochranu údajov rozumie, že Komisia si je vedomá toho, že predtým, ako začne fungovať platforma RSO, bude potrebné posúdiť, či toto spracovanie má byť predmetom predbežnej kontroly. |
III.4. S európskym dozorným úradníkom pre ochranu údajov by sa malo konzultovať o delegovaných a vykonávacích aktoch týkajúcich sa formulára sťažnosti
16. |
Informácie, ktoré sa majú poskytnúť v elektronickom formulári sťažnosti (ďalej len: „formulár“), sú podrobne uvedené v prílohe k návrhu o RSO. Patria k nim osobné údaje strán (meno, adresa a prípadne e-mail a adresa webovej stránky) a údaje na určenie, či subjekt ARS je oprávnený zaoberať sa príslušným sporom (bydlisko spotrebiteľa v čase objednania tovaru alebo služieb, druh príslušného tovaru alebo služieb.) |
17. |
Európsky dozorný úradník pre ochranu údajov víta článok 7 ods. 6, v ktorom sa pripomína, že iba údaje presné, relevantné a ktorých rozsah zodpovedá účelom môžu byť spracované prostredníctvom formulára a príloh k nemu. Zoznam údajov obsiahnutých v prílohe tiež zohľadňuje zásadu obmedzenia účelu. |
18. |
Tento zoznam však môže byť upravený delegovanými aktmi a charakteristiky formulára budú upravené vykonávacími aktmi (12). Európsky dozorný úradník pre ochranu údajov odporúča zahrnúť odkaz o potrebe konzultovať s európskym dozorným úradníkom pre ochranu údajov, ak sa tieto akty budú týkať spracovania osobných údajov. |
III.5. Bezpečnostné opatrenia: potreba posúdenia vplyvu na súkromie
19. |
Európsky dozorný úradník pre ochranu údajov víta ustanovenia venované dôvernosti a bezpečnosti. Bezpečnostné opatrenia uvedené v článku 12 návrhu o RSO zahŕňajú kontroly prístupu, bezpečnostný plán a riadenie bezpečnostných incidentov. |
20. |
Európsky dozorný úradník pre ochranu údajov odporúča doplniť aj odkaz na potrebu vykonať posúdenie vplyvu na súkromie (vrátane hodnotenia rizík) a na skutočnosť, že súlad s právnymi predpismi na ochranu údajov a bezpečnosť údajov by sa mali pravidelne kontrolovať a oznamovať. |
21. |
Okrem toho by chcel európsky dozorný úradník pre ochranu údajov pripomenúť, že pri príprave IT nástrojov na zriadenie platformy ODR by sa ochrana súkromia a údajov mala integrovať od úplného začiatku fázy prípravy návrhu (ochrana súkromia už v štádiu návrhu) vrátane zavedenia nástrojov umožňujúcich, aby užívatelia mohli lepšie chrániť osobné údaje (napr. overovanie a šifrovanie). |
III.6. Informácie pre dotknuté osoby
22. |
Európsky dozorný úradník pre ochranu údajov víta odôvodnenie 21 návrhu o RSO, v ktorom sa uvádza, že dotknuté osoby by mali byť informované o spracovaní svojich osobných údajov a svojich právach prostredníctvom verejne dostupného vyhlásenia o dôvernosti údajov. Povinnosť informovať dotknuté osoby by však mala byť zahrnutá v legislatívnej časti návrhu o RSO. |
23. |
Okrem toho dotknuté osoby by mali byť informované o tom, ktorý kontrolór je zodpovedný za dodržiavanie ich práv. Vyhlásenie o dôvernosti údajov by malo byť jasne viditeľné pre každého, kto vypĺňa formulár. |
IV. ZÁVER
24. |
Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že zásady ochrany údajov boli zahrnuté do textu, najmä pokiaľ ide o účel a obmedzenie prístupu, obmedzenie doby uchovávania a bezpečnostné opatrenia. Odporúča však:
|
25. |
Európsky dozorný úradník pre ochranu údajov by chcel tiež pripomenúť, že spracovanie osobných údajov v rámci platformy RSO môže podliehať predbežnej kontrole európskeho dozorného úradníka pre ochranu údajov a vnútroštátnych orgánov pre ochranu údajov. |
V Bruseli 12. januára 2012
Giovanni BUTTARELLI
Asistent európskeho dozorného úradníka pre ochranu údajov
(1) Ú. v. ES L 281, 23.11.1995, s. 31.
(2) Ú. v. ES L 8, 12.1.2001, s. 1.
(3) KOM(2011) 793 v konečnom znení.
(4) KOM(2011) 794 v konečnom znení.
(5) Odôvodnenie 20 a 21 a článok 11 ods. 4 návrhu o RSO.
(6) Odôvodnenie 16 návrhu o ARS.
(7) Preambuly a dôvodové správy návrhov.
(8) Každý členský štát bude musieť určiť jedno kontaktné miesto RSO, ktoré bude hostiteľom najmenej dvoch sprostredkovateľov RSO. Komisia zriadi sieť kontaktných miest RSO.
(9) Pozri tiež stanovisko 1/2010 pracovnej skupiny zriadenej podľa článku 29 o pojmoch „prevádzkovateľ“ a „spracovateľ“ prijaté 16. februára 2010 (WP 169), s. 17 – 24, k dispozícii na http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_sk.pdf
(10) Pozri článok 11 ods. 2 návrhu o RSO.
(11) V článku 27 nariadenia (ES) č. 45/2001 sa vyžaduje, aby spracovanie údajov týkajúcich sa zdravia a podozrení z trestných činov, trestných činov, odsúdení za trestné činy alebo bezpečnostných opatrení; podliehalo predbežnej kontrole európskeho dozorného úradníka pre ochranu údajov. Podľa článku 20 ods. 1 smernice 95/46/ES spracovateľské operácie, ktoré môžu predstavovať osobitné riziká pre ochranu údajov stanovené vnútroštátnymi právnymi predpismi o ochrane údajov, podliehajú predbežnej kontrole vnútroštátneho orgánu na ochranu údajov.
(12) Odôvodnenia 23 – 24 a článku 7 (ods. 4 – 5) návrhu o RSO.