Ochrana osobních údajů v Evropské unii
Úvod
Registrace čtenářů v knihovnách, rezervace letenek, lékařské ošetření, zřízení bankovního účtu, používání kreditních karet, surfování po internetu – to všechno jsou činnosti, při kterých lidé poskytují – často bezděčně – své osobní údaje.
Tyto údaje mohou být velmi rychle použity i mimo zemi, kde byly poskytnuty. V rámci Evropské unie se tímto problémem zabývají jak Evropská komise, tak i Rada EU a Evropský parlament. V Evropské komisi jsou otázky ochrany osobních údajů v kompetenci místopředsedy Evropské komise a komisaře pro spravedlnost, svobodu a bezpečnost (Franco Frattini), na úrovni Rady EU řeší tyto otázky Rada pro obecné záležitosti. Evropský parlament jedná na toto téma v rámci Výboru pro občanské svobody, spravedlnost a vnitřní věci.
Pozornost této problematice vzrůstá s rostoucí globalizací a rozvojem informačních a komunikačních technologií, které umožňují pohyb informací po celém světě rychlostí blesku.
Pokusy o právní regulaci ochrany osobních údajů spadají do počátku 90. let, kdy Evropská komise předložila Radě návrh Směrnice týkající se ochrany jednotlivce v souvislosti se zpracováním osobních údajů. Legislativní proces probíhal až do roku 1995, kdy byla Směrnice po řadě úprav schválena Radou EU i Evropským parlamentem [1].
Směrnice 95/46/ES
Směrnice byla přijata na podporu jednotného trhu, neboť rozdíly v národních legislativách členských států bránily volnému pohybu osobních údajů mezi těmito státy. Směrnice má rozsáhlý záběr a vztahuje se na „všechny operace nebo soubor operací, které se týkají osobních údajů“ (tzn. zpracování), včetně jejich shromažďování, ukládání a zpřístupňování.
Zahrnuje jak údaje zpracované počítačově, tak i údaje které jsou nebo budou součástí neautomatizovaných systémů, z nichž budou dostupné podle určitých kritérií (např. lístkový seznam uspořádaný abecedně podle jména klienta).
Směrnice zavádí termín „správce údajů“ (tj. osoba nebo orgán, který určuje účel a prostředky zpracování), s cílem sledovat řadu pravidel: čestné a zákonné zpracování, jednoznačný a legitimní účel sběru a zpřístupňování údajů, rozsah odpovídající účelu, pro který jsou data zpracovávána, přesnost údajů, a tam, kde je to potřebné, i aktuálnost údajů.
Pravidla zpracování údajů zahrnují souhlas subjektu údajů a zákonný důvod ke zpracování údajů. Existují rovněž výjimky z řady důvodů, včetně národní bezpečnosti, obrany a předcházení trestným činům a jejich vyšetřování.
Každý členský stát pověří jeden nebo několik orgánů veřejné moci na svém území dohledem nad dodržováním předpisů, včetně přijímání stížností od jednotlivců nebo podnikatelských subjektů.
Praktická aplikace Směrnice 95/46/ES
Článek 33 požaduje, aby Evropská komise předkládala pravidelní zprávy o transpozici této Směrnice do právních řádů členských států. První zpráva v roce 2003 uváděla, že v zásadě bylo dosaženo cíle zajistit silnou ochranu soukromí občanů a na druhé straně snazší pohyb osobní dat v EU.
Zároveň však zpráva konstatovala, že opožděná implementace v některých členských státech (pouze čtyři státy transponovaly tuto Směrnici do svých právních řádů ve stanoveném termínu – říjen 1998) spolu s rozdíly v těchto národních implementacích, zabránily evropskému hospodářství plně využít přínosy Směrnice.
Zpráva proto navrhla vypracování pracovního programu do konce roku 2004, který by měl zlepšit stávající situaci. V roce 2005 měl být tento program vyhodnocen a rozhodnuto, zda má být Směrnice doplněna.
V březnu 2007 vydala Komise Sdělení o pokračování pracovního programu pro lepší provádění směrnice o ochraně osobních údajů [2], ve kterém konstatovala, že všechny členské státy Směrnici transponovaly, a jejich právní systémy pokrývají v obecném slova smyslu všechna hlavní opatření. Z tohoto důvodu nehodlá Komise Směrnici doplňovat, ale bude pokračovat v pracovním programu s cílem zlepšit realizaci příslušných opatření.
Na základě článku 29 této Směrnice byla vytvořena Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů (Article 29 Working Party – Pracovní skupina článku 29). Tento nezávislý poradní orgán je složen ze zástupce orgánu dozoru nebo orgánů dozoru určených jednotlivými členskými státy, včetně zástupce orgánu nebo orgánů vytvořených pro orgány a instituce Společenství a zástupce Komise.
Podle článku 30 je cílem Pracovní skupiny článku 29:
- posuzovat veškeré otázky týkající se uplatňování vnitrostátních předpisů přijatých k provedení této Směrnice s cílem přispívat k jejímu jednotnému uplatňování,
- zaujímat pro Komisi stanovisko o úrovni ochrany ve Společenství a ve třetích zemích,
- poskytovat Komisi poradenství o všech návrzích změn této Směrnice, o všech návrzích doplňujících nebo zvláštních opatřeních, která by měla být přijata pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů, jakož i o všech ostatních návrzích opatření ve Společenství, která mají vliv na tato práva a svobody,
- zaujmout stanovisko ke kodexům chování vypracovaným na úrovni Společenství.
Pracovní skupině bylo uloženo předkládat Výroční zprávu Evropskému parlamentu, Radě a Komisi. První zpráva byla publikována v roce 1997.
Nařízení 45/2001/ES
V prosinci roku 2000 schválil Evropský parlament a Rada EU Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů [3]. Jeho cílem je zajistit jak účinné dodržování předpisů upravujících ochranu základních práv a svobod fyzických osob, tak i volný pohyb osobních údajů mezi členskými státy a orgány a institucemi Společenství při výkonu jejich pravomocí.
Nařízení stanoví zásady pro kvalitu údajů, pro jejich legitimní zpracování, dále zvláštní kategorie zpracování, zásady pro informování subjektů údajů, práva subjektů údajů, výjimky a omezení a důvěrnou povahu a bezpečnost zpracování. Zřizuje funkci „inspektora osobních údajů“ v každém orgánu a instituci a jeho úkoly a stanoví zásady kontroly.
Dále se tímto Nařízením zřizuje nadřazený nezávislý orgán dozoru – Evropský inspektor ochrany údajů a jsou stanoveny jeho úkoly.
Součástí Nařízení jsou rovněž opravné prostředky (žaloba k Evropskému soudnímu dvoru a stížnost Evropskému inspektorovi ochrany údajů) a zásady ochrany osobních údajů a soukromí v rámci vnitřních telekomunikačních sítí.
Evropský inspektor ochrany údajů
V lednu 2004 byl jmenován prvním Evropským inspektorem ochrany údajů (European Data Protection Supervisor – EDPS) Peter Hustinx. Z titulu své funkce je zodpovědný za to, že instituce a orgány EU samy zpracovávají osobní údaje svých pracovníků a dalších osob zákonným způsobem. Kromě toho řeší stížnosti a provádí průzkumy.
Každá instituce nebo orgán EU má mít svého vlastního Ochránce osobních údajů (Data Protection Officer – DPO), který by registroval zpracovatelské operace a hlásil rizikové systémy EDPS. EDPS je propojen s národními ochránci osobních údajů prostřednictvím Pracovní skupiny článku 29.
Evropský den ochrany údajů
Jediným závazným mezinárodním právním nástrojem s celosvětovou působností v dané oblasti je Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat Rady Evropy, která byla přijata 28. ledna 1981. Je otevřena všem státům, včetně těch, které nejsou členy Rady Evropy.
Evropská unie přistoupila k této Úmluvě v roce 1999. Tím projevila přání spolupracovat s Radou Evropy a pomoci vytvořit silnější mezinárodní fórum pro ochranu údajů, zejména vůči třetím zemím.
Na výroční den uzavření této Úmluvy se od roku 2007 koná z iniciativy Rady Evropy a s podporou Evropské komise Evropský den ochrany údajů. Jeho cílem je umožnit evropským občanům, aby pochopili, která osobní data jsou shromažďována a zpracovávána a proč, a jaká jsou práva občanů v této oblasti.
U příležitosti prvního Evropského dne ochrany údajů vytvořila Evropská komise webovou stránku věnovanou svému Ochránci osobních údajů [4]. Další dny se budou konat každoročně 28. ledna.
Směrnice 2002/58/ES
Internet převrací tradiční strukturu trhu tím, že poskytuje společnou obecnou infrastrukturu pro široký okruh služeb elektronických komunikací. Veřejně dostupné služby elektronických komunikací prostřednictvím internetu otevírají uživatelům nové možnosti, ale zároveň vytvářejí i nová rizika pro jejich osobní údaje a soukromí.
Jako součást právního rámce pro elektronické komunikace byla v roce 2002 vydána Směrnice 2002/58/ES o soukromí v elektronických komunikacích [4], která nahradila všechny dosavadní předpisy pro tuto oblast.
Směrnice se dotýká řady citlivých otázek, jako je uchovávání provozních údajů pro policejní účely, rozesílání nevyžádaných zpráv, užití „cookies“ a ukládání osobních údajů do veřejných adresářů.
Důvěrný charakter sdělení
Směrnice stanoví, že členské státy musí zajistit důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací. Musí především zabránit příposlechu, odposlechu či jiným druhům zachycování či sledování komunikace osobou jinou, než je osoba komunikující, bez souhlasu této osoby.
Uchovávání údajů
V citlivé otázce uchovávání údajů Směrnice stanoví, že členské státy mohou upustit od ochrany údajů, avšak pouze má-li to umožnit trestní vyšetřování nebo zajistit národní bezpečnost, obranu nebo veřejnou bezpečnost. Takovéto opatření je možno učinit pouze v případě, kdy jde o opatření „nezbytné, přiměřené a úměrné v rámci demokratické společnosti“.
Nevyžádaná sdělení
Směrnice stanoví, že automatické volací systémy bez zásahu člověka (automatické volací přístroje), faximilní přístroje (faxy) nebo elektronickou poštu je možno použít pro účely přímého marketingu pouze v případě účastníků, kteří k tomu dali předchozí souhlas.
„Cookies“
Cookies jsou skryté informace o komunikaci mezi uživatelem internetu a webovým serverem. Jsou uloženy v souboru na hard disku uživatele. Jejich původní účel byl uchovávat informace mezi relacemi. Jsou velmi užitečným, ale také nejvíce kritizovaným nástrojem monitoringu surfování po internetu. Směrnice stanoví, že uživatel by měl mít právo odmítnout cookies nebo podobné zařízení na svém terminálu.
Veřejné adresáře
Občané EU budou muset dávat souhlas k tomu, aby jejich telefonní čísla (pevná i mobilní), e-mailové a poštovní adresy mohly být uvedeny ve veřejných seznamech.
Směrnice 2006/24/ES
V březnu 2006 schválily Evropský parlament a Rada Směrnici o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně Směrnice 2002/58/ES [5]. Směrnice se snaží harmonizovat opatření členských států týkající se povinností poskytovatelů elektronických komunikačních služeb v oblasti uchovávání informací. Cílem Směrnice je zajistit dostupnost těchto údajů pro účely vyšetřování, odhalování a stíhání závažných trestných činů. Stanoví především:
- kategorie uchovávaných údajů,
- povinnost uchovávat údaje,
- způsob uchovávání údajů,
- opravné prostředky, odpovědnost a sankce.
Směrnice 95/46/ES nadále platí pro neveřejné komunikační služby.
Technologie zvyšující ochranu soukromí
2. května 2007 schválila Evropská komise Sdělení o podpoře ochrany osobních údajů prostřednictvím technologií zvyšujících ochranu soukromí (Privacy Enhancing Technologies – PETs) [6]. Tyto technologie mají umožnit informačním a komunikačním systémům a službám minimalizovat sběr a využívání osobních dat a usnadnit plnění pravidel ochrany údajů. Jejich využívání by proto mělo vést k tomu, že porušování určitých pravidel na ochranu osobních údajů se stane obtížnější a/nebo pomůže při jeho odhalování. Lepší dodržování pravidel na ochranu údajů by rovněž mělo pozitivní vliv na důvěru spotřebitele, zejména důvěru v kybernetický svět, to vše bez dopadu na fungování informačního systému.
Komise se již potřebou PETs zabývala. Pod záštitou 6. rámcového programu sponzoruje projekt PRIME [7], který řeší problémy digitální identity a soukromí v informační společnosti, projekt OPEN-TC [8], který umožní ochranu soukromí na základě otevřených důvěryhodných počítačových systémů a projekt DISCREET [9] vyvíjející middleware na posílení soukromí ve zdokonalených síťových službách.
Sdělení obsahuje rovněž budoucí jasné cíle v oblasti ochrany osobních údajů a prostředky k jejich dosažení především podporou rozvoje PETs a jejich využívání jak ze strany ochránců osobních údajů, tak i spotřebitelů.
Jmenná evidence cestujících (Passenger Name Record - PNR)
Jmenná evidence cestujících je označením pro soupis cestujících vytvářený leteckými společnostmi v USA, uložený v kontrolních databázích rezervací letenek a odletů. PNR může obsahovat maximálně 60 polí a podpolí.
V důsledku teroristických útoků v roce 2001 v USA požaduje nový americký zákon o bezpečnosti v letecké dopravě od leteckých společností, které provozují osobní dopravu do, z i po USA, aby umožnily přístup federálním úřadům USA k elektronickým údajům v PNR. Přes zásady zakotvené v legislativě EU některé evropské letecké společnosti tyto údaje poskytují.
V případě, že jsou údaje předávány do zemí mimo EU, vyžaduje Směrnice 95/46/ES, aby „příslušná třetí země zajistila odpovídající stupeň ochrany“. V říjnu 2002 prohlásila Pracovní skupina článku 29, že „zpracování dat předávaných leteckými společnostmi federálním úřadům USA“ odporuje tomuto požadavku, neboť zákon USA chrání pouze údaje občanů USA.
Následovala jednání mezi EU a USA směřující k dosažení právně závazného rámce pro všechny členské státy EU. Po rozsáhlých diskusích byla v květnu 2004 podepsána Dohoda o PNR. O dva roky později však Evropský soudní dvůr označil tuto Dohodu za protiprávní. S platností do 31. července 2007 byla poté podepsána dohoda prozatímní.
23. června 2007 schválila Rada novou sedmiletou Dohodu mezi EU a USA o zpracování a předávání dat PNR úřadům USA [10].
Stále však zůstává vážný problém v důsledku stanoviska Evropského parlamentu, že Dohoda „nezajišťuje odpovídající úroveň ochrany osobních údajů“, tím že je zásadně špatná v tom smyslu, že dostatečně přesně nedefinuje uvedené množství výjimek.
Rezoluce ke druhému Evropskému dni ochrany osobních údajů
5. prosince 2007 vydala Pracovní skupina článku 29 Rezoluci ke druhému Evropskému dni ochrany osobních údajů [11], ve které konstatuje, že právo na soukromí zůstává životní nezbytností i v době boje proti terorismu a mezinárodnímu zločinu. Mezi základní povinnosti v oblasti ochrany osobních údajů patří nejen varování před nebezpečím restriktivních opatření, která by mohla být navržena institucemi vynucujícími právo, ale též nalézání alternativních řešení, která by méně narušovala a naopak více chránila soukromí občanů. Důraz by měl být kladen na technologická řešení (PETs), která by zajistila rovnováhu mezi bezpečnostními požadavky na jedné straně a právem na soukromí na straně druhé. Rezoluce upozorňuje na skutečnosti, že uchovávání údajů z telekomunikačního provozu a rozprava o Evropském systému sběru a ukládání údajů o cestujících jsou pouze dvěma příklady, které svědčí o nebezpečí hrozícím soukromí občanů EU. Další iniciativy předpokládají sběr otisků prstů a monitorování pohybu řidičů na silnicích. Ochrana soukromí zůstává jednou z hlavních výzev pro neustále se měnící svět.
Hlavní zdroje informací o ochraně osobních údajů
- Webová stránka Generálního ředitelství pro svobodu, bezpečnost a spravedlnost
http://ec.europa.eu/dgs/justice_home/index_en.htm [5] (pouze A, F, N) - Hlavní webová stránka ochrany údajů Generálního ředitelství pro svobodu, bezpečnost a spravedlnost
http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm [6] (pouze A, F, N) - Tematický portál informační společnosti
http://ec.europa.eu/information_society/policy/ecomm/current/
consumer_rights/data_ protection/index_en.htm [7] - Legislativa z oblasti ochrany osobních údajů
http://europa.eu/scadplus/leg/en/s21012.htm [8] - Evropský parlament – Výbor pro občanské svobody, spravedlnost a vnitřní věci
http://www.europarl.europa.eu/activities/committees/
homeCom.do?language=CS&body=LIBE [9] - Webová stránka Evropského inspektora ochrany údajů
http://www.edps.europa.eu/ [10] - Rada Evropy
http://www.coe.int/T/E/Legal_affairs/Legal_co-operation/Data_protection [11]
- Směrnice Evropského parlamentu a Rady 95/46 ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Úřední věstník EU, L 281, 23.11.1995
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:15:31995L0046:CS:PDF [12] - Sdělení Komise Evropskému parlamentu a Radě o pokračování pracovního programu pro lepší provádění směrnice o ochraně osobních údajů. KOM(2007) 87
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2007:0087:FIN:CS:PDF [13] - Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. Úřední věstník, L 8, 12.1.2001
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:01:CS:HTML [14] - Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací. Úřední věstník L 201, 31.7.2002
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:01:CS:HTML [15] - Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně Směrnice 2002/58/ES, Úřední věstník L 105, 13.4.2006
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:CS:PDF [16] - Sdělení Komise Evropskému parlamentu a Radě o podpoře ochrany osobních údajů prostřednictvím technologií zvyšujících ochranu soukromí (PETs) KOM(2007) 228
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2007:0228:FIN:CS:PDF [17] - https://www.prime-project.eu [18]
- http://www.opentc.net [19]
- http://www.ist-discreet.org [20]
- Rozhodnutí Rady 2007/551/SZBP/SVV ze dne 23. července 2007 o podpisu, jménem Evropské unie, Dohody mezi Evropskou unii a Spojenými státy americkými o zpracování údajů jmenné evidence cestujících (PNR) leteckými dopravci a o jejich předávání Ministerstvu vnitřní bezpečnosti Spojených států (Dohoda PNR 2007). Úřední věstník EU L 204, 4.8.2007
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:204:0016:0017:CS:PDF [21] - Resolution by the Article 29 Working Party on the 2nd European Data Protection Day
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp144_en.pdf [22]