Ochrana osobních údajů

Směrnice 95/46/ES představuje na evropské úrovni referenční normu v oblasti ochrany osobních údajů. Zavádí právní rámec, jehož cílem je ustavení rovnováhy mezi vysokou úrovní ochrany soukromí jednotlivců a volným pohybem osobních údajů v rámci Evropské unie (EU). Za tímto účelem směrnice stanoví přísná omezení pro shromažďování a využívání osobních údajů a požaduje, aby byl v každém členském státě vytvořen nezávislý vnitrostátní subjekt pověřený dozorem nad všemi činnostmi souvisejícími se zpracováním osobních údajů.

AKT

Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Viz pozměňovací akt(y)).

PŘEHLED

Tato směrnice se vztahuje na údaje zpracovávané automaticky (např. počítačové databáze zákazníků), jakož i na údaje, které jsou obsaženy v neautomatizovaném rejstříku nebo do něj mají být zařazeny (tradiční lístkové rejstříky).

Směrnice se nevztahuje na zpracování údajů:

• prováděné fyzickou osobou pro výkon výlučně osobních či domácích činností;
• prováděné pro výkon činností, které nespadají do oblasti působnosti práva Společenství, jako je veřejná bezpečnost, obrana či bezpečnost státu.

Cílem směrnice je ochrana práv a svobod osob v souvislosti se zpracováním osobních údajů, a stanoví proto hlavní kritéria pro zákonnost zpracování těchto údajů a zásady pro kvalitu údajů.

Zpracování údajů je oprávněné pouze pokud:

• subjekt údajů nezpochybnitelně udělil souhlas; nebo
• je zpracování nezbytné pro splnění smlouvy, kde je subjekt údajů jednou ze stran; nebo
• je nezbytné pro splnění právní povinnosti, které podléhá správce; nebo
• je nezbytné pro zachování životně důležitých zájmů subjektu údajů; nebo
• je nezbytné pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo třetí osoba, které jsou údaje sdělovány; nebo
• je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, za podmínky, že nepřevyšují zájem nebo základní práva a svobody subjektu údajů, které vyžadují ochranu.

Zásady pro kvalitu údajů, které musí být dodržovány při všech činnostech zákonného zpracování osobních údajů, jsou:

• osobní údaje musí být zejména zpracovány korektně a zákonným způsobem a shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní. Mimo to musejí být přiměřené, podstatné a nepřesahující míru s ohledem na účely, pro které jsou shromažďovány, musejí být přesné, a je-li to nezbytné, i aktualizované, musejí být uchovávány po dobu ne delší než je nezbytné pro uskutečnění cílů, pro které jsou shromažďovány;
• zvláštní kategorie zpracování: musí být zakázáno zpracování osobních údajů, které odhalují rasový či etnický původ, názory na veřejné otázky, náboženské nebo filozofické přesvědčení, odborovou příslušnost, jakož i zpracování údajů týkajících se zdraví a sexuálního života. Toto ustanovení platí s výhradou případů, kdy je zpracování nezbytné např. k obraně životně důležitých zájmů subjektu údajů nebo pro účely zdravotní prevence či lékařských diagnóz.

Osoba, jejíž údaje jsou zpracovávány, tzv. subjekt údajů, má tato práva:

• právo získat informace: správce musí poskytnout osobě, od které získává údaje, které se jí týkají, některé informace (totožnost správce, účely zpracování, příjemci údajů atd.);
• právo na přístup k údajům: každý subjekt údajů musí mít právo získat od správce:
• právo vznést námitku proti zpracování údajů: subjekt údajů musí mít právo vznést z legitimních důvodů námitku proti zpracování osobních údajů, které se ho týkají. Musí mít také možnost na návrh a bezplatně vznést námitku proti zpracování osobních údajů připravovanému pro účely přímého marketingu. Konečně musí být informován dříve, než jsou osobní údaje sděleny třetí osobě pro účely přímého marketingu, a musí mu být výslovně poskytnuto právo vznést námitky proti tomuto sdělení

Další důležité aspekty zpracování údajů:

• výjimky a omezení z práv subjektu údajů: rozsah povinností a práv týkajících se kvality údajů, informování subjektu údajů, práva na přístup k údajům a zveřejnění zpracování může být omezen, je-li to nezbytné mj. pro bezpečnost státu, obranu, veřejnou bezpečnost, stíhání trestných činů, významný hospodářský nebo finanční zájem členského státu nebo Evropské unie či pro ochranu subjektu údajů;
• důvěrná povaha a bezpečnost zpracování: jakákoli osoba, která jedná z pověření správce nebo zpracovatele, jakož i samotný zpracovatel, který má přístup k osobním údajům, je může zpracovávat pouze podle pokynů správce. Správce musí mimo to přijmout vhodná opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám a neoprávněnému sdělování nebo přístupu.
• oznámení orgánu dozoru o zpracování: správce musí zaslat oznámení vnitrostátnímu orgánu dozoru, a to před zahájením zpracování. Orgány dozoru po obdržení oznámení provedou předběžná šetření o případných rizicích z hlediska práv a svobod subjektů údajů. Musí být zajištěno zveřejnění zpracování a orgány dozoru musí vést rejstřík oznámených zpracování.

Každá osoba musí mít právo v případě porušení práv, jež jí jsou zaručeny vnitrostátními předpisy, které se uplatní na dotčené zpracování, předložit věc soudu. Kdokoli, kdo byl poškozen neoprávněným zpracováním svých osobních údajů, má mimo to právo na náhradu utrpěné škody.

K předávání osobních údajů z členského státu do třetí země může dojít, pokud dotyčná třetí země zajistí odpovídající úroveň ochrany. Třebaže k předávání osobních údajů z členského státu do třetí země, která takový stupeň ochrany nemá, dojít nesmí, směrnice uvádí množství výjimek z tohoto pravidla, např. když subjekt údajů udělil svůj souhlas, předání je nezbytné pro splnění smlouvy, je nezbytné pro zachování důležitého veřejného zájmu, nebo pokud členské státy povolí některá závazná podniková pravidla či standardní smluvní doložky

Cílem směrnice je též podpora vypracování vnitrostátních kodexů chování a kodexů chování platných na úrovni Společenství, které mají přispět k řádnému uplatňování vnitrostátních právních předpisů a právních předpisů Společenství.

Každý členský stát pověří jeden nebo několik nezávislých orgánů veřejné moci na svém území dohledem nad dodržováním předpisů přijatých členskými státy na základě této směrnice.

Zřizuje se pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů, která je složena ze zástupců vnitrostátních orgánů dozoru, zástupců orgánů dozoru vytvořených pro orgány a instituce Společenství, a ze zástupce Komise.

SOUVISEJÍCÍ AKTY

ZPRÁVA O PROVÁDĚNÍ

Sdělení Komise Evropskému parlamentu a Radě ze dne 7. března 2007 nazvané „Pokračování pracovního programu pro lepší provádění směrnice o ochraně osobních údajů“ ( KOM(2007) 87 v konečném znění - nebyla zveřejněna v Úředním věstníku).

Toto sdělení posuzovalo činnost prováděnou v rámci Pracovního programu pro lepší provádění směrnice o ochraně údajů, obsaženého v první zprávě o provádění směrnice 95/46/ES. Komise v něm vyzdvihla zlepšení v tom, že všechny členské státy již směrnici provedly do svých právních předpisů. Upřesnila, že směrnice by neměla být měněna.

Komise dodala, že:

• bude i nadále spolupracovat s členskými státy a v případě nutnosti zahájí oficiální řízení pro nesplnění povinnosti;
• vypracuje výkladové sdělení týkající se některých ustanovení;
• bude pokračovat v pracovním programu;
• v případě významného technologického pokroku v některém zvláštním odvětví navrhne na úrovni EU zvláštní právní předpisy zaměřené na toto odvětví;
• bude nadále spolupracovat se zahraničními partnery, zejména se Spojenými státy americkými.

Zpráva Komise ze dne 15. května 2003 nazvaná „První zpráva o provádění směrnice o ochraně údajů (95/46/ES)“ ( KOM(2003) 265 v konečném znění - nebyla zveřejněna v Úředním věstníku).

Zpráva především shrnula výsledky konzultací, které Komise vedla s vládami, institucemi, podnikatelskými svazy, sdruženími spotřebitelů a s občany za účelem vyhodnocení směrnice 95/46/ES. Výsledky ukázaly, že z těch, s nimiž byly konzultace provedeny, se pro revizi směrnice vyslovila pouze malá část. Komise mimo jiné po konzultacích s členskými státy konstatovala, že většina z nich a rovněž většina vnitrostátních orgánů dozoru nepovažuje za nutné v dané chvíli směrnici měnit.

Směrnice i přesto, že v jejím prováděním došlo ke zpožděním a mezerám, splnila svůj hlavní cíl, kterým je odstranění překážek pro volný pohyb osobních údajů mezi členskými státy. Komise měla mimo jiné za to, že bylo dosaženo cíle spočívajícího v zaručení vysoké úrovně ochrany ve Společenství, neboť některé normy pro ochranu údajů, které jsou ve směrnici stanoveny, patří mezi nejvyspělejší na světě.

Dalších cílů politiky vnitřního trhu však nebylo dosaženo tak jednoznačně. Právní úprava ve věci ochrany údajů se mezi jednotlivými členskými státy ještě ve velké míře liší. Tyto rozdílnosti znemožňují mnohonárodním organizacím stanovení celoevropských politik v oblasti ochrany údajů. Komise proto oznámila, že podnikne kroky nezbytné k tomu, aby byla zjednána náprava, a vyhne se přitom pokud možno podání formální žaloby.

Pokud jde o celkovou úroveň dodržování právních předpisů o ochraně údajů v EU, je potřeba zdůraznit tři problematické body:

• nedostatek zdrojů určených pro provádění;
• velmi rozdílnou míru dodržování ze strany správců údajů;
• patrně nízkou úroveň povědomí subjektů údajů o svých právech, která může být příčinou jevu uvedeného v předchozí odrážce.

Aby Komise zajistila lepší provádění směrnice o ochraně údajů, přijala pracovní program stanovující některé činnosti, které je třeba realizovat od přijetí této zprávy do konce roku 2004. Mezi tyto činnosti patří následující iniciativy:

• diskuse s členskými státy a orgány pověřenými ochranou údajů o tom, které změny by bylo třeba provést v jejich vnitrostátních právních řádech, aby byly zcela v souladu s požadavky směrnice;
• zapojení kandidátských zemí do úsilí o kvalitnější a jednotnější provádění směrnice;
• zlepšení oznamování veškerých právních aktů, jimiž se směrnice provádí;
• zjednodušení podmínek mezinárodního předávání údajů;
• podpora technologií, které posilují ochranu soukromí;
• podpora samoregulace a evropských kodexů chování.

SMĚRNICE O SOUKROMÍ A ELEKTRONICKÝCH KOMUNIKACÍCH

Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12.7.2002, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích).

Tato směrnice byla přijata v roce 2002 zároveň s novou právní úpravou, jejímž cílem je vytvořit rámec pro odvětví elektronických komunikací. Směrnice obsahuje ustanovení o řadě více či méně citlivých témat, jako je uchovávání údajů o spojení ze strany členských států pro účely policejního sledování (zadržení údajů), zasílání nevyžádaných elektronických zpráv, užívání tzv. „cookies“ a zařazování osobních údajů do veřejných seznamů.

Nařízení (EU) č. 611/2013 se vztahuje na oznámení poskytovatelů veřejně dostupných služeb elektronických komunikací o narušení bezpečnosti osobních údajů, pokud byly osobní údaje jejich zákazníků ztraceny, odcizeny nebo jinak ohroženy.

Dojde-li k narušení bezpečnosti osobních údajů a tyto údaje jsou ohroženy, jsou poskytovatelé podle směrnice 2002/58/ES povinni oznámit to příslušným vnitrostátním orgánům a v některých případech také dotčeným účastníkům a jednotlivcům. Nařízení (EU) 611/2013 zavádí technická prováděcí opatření, jež se vztahují na požadavky plnění oznamovací povinnosti.

Poskytovatelé by mimo jiné měli:

• informovat příslušný vnitrostátní orgán o bezpečnostní události do 24 hodin od jejího zjištění, aby se její důsledky maximálně omezily;
• při posuzování, zda informovat dotčené účastníky a jednotlivce, brát v úvahu povahu a obsah ohrožených údajů, např. zda jde o finanční informace, údaje o elektronické poště, internetové soubory protokolů, historie navštívených webových stránek atd.;
• poskytnout příslušnému vnitrostátnímu orgánu a/nebo dotčeným účastníkům a jednotlivcům podrobné informace o incidentu, o tom, jakých dat se událost týká a jaká byla podniknuta nápravná opatření.

STANDARDNÍ SMLUVNÍ DOLOŽKY PRO PŘEDÁVÁNÍ ÚDAJŮ DO TŘETÍCH ZEMÍ

Rozhodnutí 2004/915/ES Komise ze dne 27.12.2004, kterým se mění rozhodnutí 2001/497/ES o zavedení alternativního souboru standardních smluvních doložek pro předávání osobních údajů do třetích zemí (Úřední věstník L 385 ze dne 29.12.2004).

Evropská komise schválila nové standardní smluvní doložky, které mohou podniky používat k zajištění odpovídajících záruk při předávání osobních údajů z EU do třetích zemí. Tyto nové doložky budou připojeny k těm, které byly zavedeny již rozhodnutím Komise z června 2001 (viz níže).

Rozhodnutí 2001/497/ES Komise ze dne 15.06.2001, o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle směrnice 95/46/ES (Úřední věstník L 181 ze dne 4.7.2001).

Toto rozhodnutí stanoví standardní smluvní doložky, které zajistí odpovídající úroveň ochrany osobních údajů předávaných z EU do třetích zemí. Rozhodnutí stanoví povinnost členských států uznat, že společnosti či organizace, které ve svých smlouvách o předávání osobních údajů do třetích zemí používají takové standardní položky, zajišťují „odpovídající úroveň ochrany“ údajů.

Rozhodnutí Komise 2010/87/EU o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES (Úřední věstník L 39 ze dne 12.2.2010)

Rozhodnutí Komise osvědčují adekvátní úroveň ochrany osobních údajů třetím zemím na základě čl. 25 (6): Komise dosud uznala, že zásady ochrany údajů na bezpečném místě Andorry, Argentiny, Austrálie, Kanady (obchodních organizací), Švýcarska, Faerských ostrovů, ostrovů Guernsey, Man, Jersey, Izraele, Nového Zélandu, Uruguaye a Ministerstva obchodu USA poskytují dostatečnou ochranu.

OCHRANA ÚDAJŮ ORGÁNY A INSTITUCEMI SPOLEČENSTVÍ

Nařízení Evropského parlamentu a Rady (ES) 45/2001/ES ze dne 18.12.2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úřední věstník L8 ze dne 12.1.2001).

Cílem tohoto nařízení je zajistit ochranu osobních údajů v rámci orgánů a institucí Evropské unie. Text stanoví:

• záruku vysoké úrovně ochrany osobních údajů, které zpracovávají orgány a instituce Společenství;
• zřízení nezávislého kontrolního orgánu, který je pověřen dohledem nad prováděním těchto ustanovení.

Poslední aktualizace 08.03.2014