PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29
0836-02/10/CS WP 179
Stanovisko č. 8/2010 k použitelnému právu
Přijaté dne 16. prosince 2010
Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES. Jedná se o nezávislý evropský poradní orgán ve věci ochrany údajů a soukromí. Její úkoly jsou popsány v článku 30 směrnice 95/46/ES a článku 15 směrnice 2002/58/ES. Sekretariát zajišťuje Ředitelství C (Základní práva a občanství Unie) ,Generálního ředitelství pro spravedlnost Evropské komise, B-1049 Brusel, Belgie, kancelář MO59 06/036. Internetové stránky: http://ec.europa.eu/justice/policies/privacy/index_en.htm
Shrnutí Toto stanovisko objasňuje oblast působnosti směrnice 95/46/ES, a zejména jejího článku 4, jenž určuje, které vnitrostátní právní předpisy o ochraně údajů, jež byly přijaty na základě směrnice, mohou být použitelné na zpracování osobních údajů. Toto stanovisko rovněž vyzdvihuje některé oblasti, u nichž je možné zlepšení. Určení práva EU použitelného na zpracování osobních údajů má objasnit oblast působnosti práva EU v oblasti ochrany údajů v EU/EHP i v širším mezinárodním kontextu. Jednoznačná shoda ohledně použitelného práva pomůže rovněž zajistit právní jistotu pro správce a jasný rámec pro fyzické osoby a jiné zúčastněné strany. Správné pochopení ustanovení o použitelných právních předpisech by mělo mimoto zajistit, aby ve vysoké úrovni ochrany osobních údajů, kterou zajišťuje směrnice 95/46, nebylo možno zjistit žádné trhliny nebo mezery. Pokud jde o čl. 4 odst. 1 písm. a), odkaz na („jakoukoli“) provozovnu znamená, že použitelnost práva určitého členského státu bude záviset na umístění provozovny správce v daném členském státě a právní předpisy ostatních členských států by mohly být použitelné na základě umístění jiných provozoven téhož správce v těchto členských státech. Aby bylo použitelné vnitrostátní právo, je rozhodující pojem „v rámci činností“ provozovny. To znamená, že se provozovna správce podílí na činnostech souvisejících se zpracováním osobních údajů, přičemž se přihlíží k míře zapojení do činností spojených se zpracováním, k povaze činností a nutnosti zaručit účinnou ochranu údajů. Co se týká ustanovení o „používání prostředků“ v čl. 4 odst. 1 písm. c), jež může znamenat, že se směrnice vztahuje na správce, kteří nejsou usazeni na území EU/EHP, stanovisko objasňuje, že by se mělo použít v případech, kdy v EU/EHP neexistuje provozovna, která by vedla k použití čl. 4 odst. 1 písm. a), nebo pokud zpracování není prováděno v rámci činnosti této provozovny. Ve stanovisku je rovněž uvedeno, že široký výklad pojmu „prostředky“ (v angličtině „equipment“), odůvodněný tím, že v ostatních jazykových verzích byl použit výraz, jenž se blíží anglickému slovu „means“, může mít v některých případech za následek, že evropské předpisy o ochraně údajů jsou použitelné i v případě, že dotyčné zpracování nemá žádnou skutečnou souvislost s EU/EHP. Stanovisko rovněž poskytuje vodítko a příklady ohledně ostatních ustanovení článku 4; bezpečnostních požadavků vyplývajících z práva použitelného podle čl. 17 odst. 3; možnosti, aby orgány pro ochranu údajů využívaly svou pravomoc kontrolovat zpracování či zakročit, pokud se toto zpracování uskutečňuje na jejich území, a to i tehdy, je-li použitelným právem právo jiného členského státu (čl. 28 odst. 6). Ve stanovisku se rovněž předpokládá, že by znění použité ve směrnici a soudržnost mezi jednotlivými částmi článku 4 měly prospěch z dalšího objasnění jakožto součásti revize obecného rámce pro ochranu údajů. Z tohoto hlediska by zjednodušení pravidel pro určení použitelného práva spočívalo v návratu k zásadě země původu: všechny provozovny správce v EU by pak uplatňovaly stejné právo – právo hlavní provozovny – bez ohledu na území, na němž se nacházejí. To by však mohlo být přijatelné pouze tehdy, bude-li dosaženo úplné harmonizace vnitrostátních právních předpisů, včetně harmonizace povinností souvisejících s bezpečností. Je-li správce usazen mimo EU, bylo by možno používat dodatečná kritéria s cílem zajistit, aby existovala dostatečná souvislost s územím EU, a současně zamezit tomu, aby se území EU využívalo k provádění protiprávních činností spojených se zpracováním údajů ze strany správců usazených ve třetích zemích. V tomto ohledu by bylo možno vypracovat tato kritéria: zaměření se na fyzické osoby, které má za následek uplatňování práva EU v oblasti ochrany údajů, pokud se činnost spojená se zpracováním osobních údajů týká fyzických osob v EU; používání kritéria týkajícího se prostředků pouze ve zbytkové podobě a omezeně při řešení mezních případů (údaje o subjektech údajů ze třetích zemí, správci, kteří nemají žádnou souvislost s EU), existuje-li v EU příslušná infrastruktura pro zpracovávání údajů. -2-
Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízená směrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 (Úř. věst. L 281, 23. 11. 1995, s. 31), s ohledem na článek 29 a čl. 30 odst. 1 písm. a) a odst. 3 uvedené směrnice, s ohledem na svůj jednací řád, přijala toto stanovisko:
-3-
I. II.
Úvod ........................................................................................................................... 5 Obecné poznámky a otázky politiky .......................................................................... 7 II.1. Stručná historie: od úmluvy č. 108 ke směrnici 95/46/ES................................... 7 II.2. Úloha pojmů ........................................................................................................ 7 II.2.a) Souvislosti a strategický význam ................................................................. 7 II.2.b) Oblast působnosti práva EU a vnitrostátního práva v EU/EHP ................... 8 II.2.c) Zamezení trhlinám a nepatřičnému překrývání............................................ 9 II.2.d) Použitelné právo a příslušnost v rámci směrnice ....................................... 10 III. Analýza ustanovení .............................................................................................. 10 III.1. Správce usazený v jednom či více členských státech (čl. 4 odst. 1 písm. a)) 10 a) „…provozovna správce na území členského státu …“ .............................. 11 b) „… zpracování je prováděno v rámci činností ...“ ..................................... 12 III.2. Správce usazený v místě, kde se právní předpisy určitého členského státu uplatňují na základě mezinárodního práva veřejného (čl. 4 odst. 1 písm. b)).............. 17 „… správce není usazen na území členského státu …“.......................... 17 III.2.a) III.2.b) „…, ale v místě, kde se vnitrostátní právní předpisy daného členského státu uplatňují na základě mezinárodního práva veřejného …“............................... 17 Správce není usazen na území Společenství, za účelem zpracování osobních III.3. údajů však používá prostředků umístěných na území členského státu (čl. 4 odst. 1 písm. c)) .........................................................................................................................18 a) „… správce není usazen na území Společenství …“.................................. 18 b) „… a používá za účelem zpracování osobních údajů prostředků, automatizovaných či nikoli, umístěných na území členského státu …“ .............. 19 c) „…ledaže jsou tyto prostředky použity pouze pro účely tranzitu přes území Společenství …“................................................................................................... 22 „… musí určit zástupce usazeného na území členského státu …“ (čl. 4 d) odst. 2) .................................................................................................................. 23 III.4. Úvahy týkající se praktických důsledků použití čl. 4 odst. 1 písm. c)........... 23 III.5. Právo použitelné na bezpečnostní opatření (čl. 17 odst. 3)............................ 25 Pravomoc a spolupráce orgánů dozoru (čl. 28 odst. 6) .................................. 25 III.6. III.6.a) „…orgán dozoru je oprávněn nezávisle na použitelném vnitrostátním právu …“ .................................................................................................................25 III.6.b) „…vykonávat na území vlastního členského státu pravomoci …“ ........ 25 III.6.c) „…vzájemně spolupracují v míře nezbytné pro plnění jejich úkolů …“ 26 Závěry................................................................................................................... 28 IV. IV.1. Objasnění stávajících ustanovení ................................................................... 28 Zlepšení stávajících ustanovení...................................................................... 30 IV.2. PŘÍLOHA......................................................................................................................... 32
-4-
I.
Úvod
Určení práva použitelného na zpracování osobních údajů podle směrnice 95/46/ES (dále jen „směrnice“ nebo „směrnice 95/46“) představuje z řady důvodů klíčovou záležitost. Ustanovení o použitelném právu jsou zásadní při určování vnějšího dosahu práva EU v oblasti ochrany údajů, jinými slovy, určení rozsahu, v jakém je právo EU v oblasti ochrany údajů použitelné na zpracování osobních údajů, které se zcela nebo částečně uskutečňuje mimo EU/EHP, má však významnou souvislost s tímto územím. Pravidla týkající se použitelného práva však určují rovněž oblast působnosti práva v oblasti ochrany údajů v EU/EHP s cílem zamezit možným konfliktům mezi vnitrostátními předpisy členských států EU/EHP k provedení směrnice a jejich překrývání1. Správné pochopení ustanovení o použitelném právu by mělo mimoto zajistit, aby ve vysoké úrovni ochrany osobních údajů, kterou zajišťuje směrnice 95/46, neexistovaly žádné trhliny nebo mezery. Směrnice obsahuje řadu ustanovení, která upravují otázky použitelného práva – jde zejména o článek 4, článek 17 a článek 28. Tato ustanovení vymezují vnitrostátní právo v oblasti ochrany údajů, jež se použije na základě směrnice, a orgán, který bude odpovídat za prosazování tohoto práva. Je důležité mít na paměti, že existuje vzájemný vztah mezi hmotným právem a soudní příslušností. To je podrobněji posouzeno níže. Má se za to, že uplatňování a výklad ustanovení směrnice týkajících se použitelného práva nejsou v Evropské unii ani zdaleka jednotné. V první zprávě o provádění směrnice o ochraně údajů Komise zdůraznila, že provádění článku 4 směrnice bylo „v několika případech nedostačující, což může způsobit kolizi práva, jíž se tento článek snaží zabránit“2. Podle technické přílohy zprávy, která představuje podrobnou analýzu řady vnitrostátních předpisů, lze toto nedostatečné provedení částečně vysvětlit složitostí samotného ustanovení. Podobně studie, kterou financovala Evropská komise3, zdůrazňuje nejednoznačnost a rozdílné uplatňování pravidel týkajících se použitelného práva, která jsou obsažena ve směrnici, a uvádí, že „jsou naléhavě nutná lepší, jasnější a jednoznačná pravidla týkající se použitelného práva“. Nedávno Komise ve sdělení „Komplexní přístup k ochraně osobních údajů v Evropské unii“4 uvedla, že „Komise posoudí, jak přezkoumat a zpřesnit stávající ustanovení o použitelném právu, včetně hledisek umožňujících určit prvky uspořádaného souboru osobních údajů, aby se zlepšila právní jistota, objasnila odpovědnost členských států za uplatňování pravidel pro ochranu údajů a v neposlední řadě poskytla stejná úroveň ochrany subjektům údajů v EU bez ohledu na místo, kde se nachází správce údajů“. 1
2 3
4
Směrnice 95/46/ES se podle Dohody o EHP vztahuje rovněž na země ESVO Norsko, Island a Lichtenštejnsko (viz rozhodnutí Smíšeného výboru EHP č. 83/1999 ze dne 25. června 1999, kterým se mění protokol 37 k Dohodě o EHP a příloha XI (Telekomunikační služby) Dohody o EHP; Úř. věst. L 296/41, 23.11.2000). První zpráva o provádění směrnice o ochraně osobních údajů (95/46/ES) z května 2003, s. 17. Zpráva je k dispozici na adrese http://ec.europa.eu/justice/policies/privacy/lawreport/report_en.htm „Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments“ z ledna 2010, k dispozici na adrese http://ec.europa.eu/justice/policies/privacy/studies/index_en.htm KOM(2010) 609 v konečném znění, 4.11.2010. -5-
Složitost otázek týkajících se použitelného práva se zvyšuje rovněž kvůli větší globalizaci a vývoji nových technologií: společnosti v rostoucí míře působí v různých jurisdikcích, poskytují služby a podporu nepřetržitě; internet velmi usnadňuje poskytování služeb na dálku a shromažďování a sdílení osobních údajů ve virtuálním prostředí; tzv. „cloud computing“ ztěžuje určení místa, kde se v daném čase nacházejí osobní údaje a používané prostředky. Je proto zásadní, aby všem subjektům, jež se podílejí na provádění směrnice, stejně jako v rámci každodenního uplatňování vnitrostátního práva v oblasti ochrany údajů ve veřejném i soukromém sektoru byl přesný význam ustanovení směrnice upravujících použitelné právo dostatečně jasný. Pracovní skupina se proto rozhodla přispět k objasnění některých hlavních ustanovení směrnice a zabývat se pojmem použitelného práva, jakkoli toto již učinila s ohledem na pojem „osobní údaje“ a pojmy „správce“ a „zpracovatel“5. V tomto stanovisku bude pracovní skupina odkazovat rovněž na jiná stanoviska, v nichž se zabývala otázkou použitelného práva, pokud se tato záležitost objevuje v souvislosti se zvláštními tématy, jichž se tato stanoviska týkají6. Konečným cílem pracovní skupiny je poskytnout právní jistotu při uplatňování práva EU v oblasti ochrany údajů. To na straně jedné znamená, že subjekty údajů si jsou vědomy toho, která pravidla se používají na ochranu jejich osobních údajů, a na straně druhé, že podniky i ostatní soukromé a veřejné subjekty vědí, která pravidla týkající se ochrany údajů upravují jejich zpracování údajů. Objasnění pojmu použitelné právo je nanejvýš důležité bez ohledu na možné změny stávajících ustanovení směrnice v budoucnu. Stávající ustanovení budou platná, dokud se nezmění, a v míře, v jaké nebudou změněna. Objasnění ustanovení o použitelném právu proto pomůže zajistit lepší dodržování směrnice, dokud nedojde ke změně právních předpisů. Při přípravě tohoto stanoviska využila pracovní skupina zkušenosti s uplatňováním stávajících ustanovení za účelem vydání doporučení zákonodárci s cílem pomoci při budoucí revizi směrnice. Ustanoveními o určení použitelného práva s ohledem na zpracování údajů se má řídit uplatňování směrnice v její oblasti působnosti, která je stanovena v článku 3. Jako taková budou tato ustanovení často ve vzájemném vztahu s jinými oblastmi práva, aniž by je ovlivňovala nad rámec své oblasti působnosti7.
5
6
7
Stanovisko č. 4/2007 k pojmu osobní údaje (WP 136); stanovisko č. 1/2010 k pojmům „správce“ a „zpracovatel“ (WP 169). Všechna stanoviska jsou k dispozici na adrese: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm Zejména pracovní dokument o určení mezinárodního uplatňování práva EU v oblasti ochrany údajů na zpracování osobních údajů internetovými servery nacházejícími se ve třetích zemích (WP 56), stanovisko č. 10/2006 ke zpracovávání osobních údajů Společností pro celosvětovou mezibankovní finanční komunikaci (Society for Worldwide Interbank Financial Telecommunication (SWIFT)) (WP 128) a stanovisko č. 1/2008 k otázkám ochrany údajů v souvislosti s vyhledávači (WP 148). Ačkoliv směrnice obsahuje ustanovení o odpovědnosti (článek 23) a sankcích (článek 24), obecné zásady občanského nebo trestního práva nejsou v zásadě dotčeny, jak je uvedeno v 21. bodě odůvodnění směrnice. Tyto zásady by byly dotčeny pouze tehdy, je-li to nezbytné ke stanovení sankcí v případě porušení zásad ochrany údajů. V praxi vedlo uplatňování směrnice v jednotlivých členských státech k různým scénářům, které zahrnují či nezahrnují trestní sankce. Jako další příklad je možno uvést, že směrnice sice obsahuje ustanovení o nutnosti souhlasu (viz čl. 2 písm. h), čl. 7 písm. a) a čl. 8 odst. 2 písm. a)) nebo o významu smluvních povinností (viz čl. 7 písm. b)), nezasahuje však do -6-
II.
Obecné poznámky a otázky politiky
II.1.
Stručná historie: od úmluvy č. 108 ke směrnici 95/46/ES V roce 1981 určili tvůrci úmluvy č. 108 vypracované pod záštitou Rady Evropy rizika, která vyvolávají otázky kolizních norem nebo mezery v právních předpisech, jež by mohly vyplývat z uplatňování různých vnitrostátních právních předpisů. Úmluva však neobsahovala zvláštní pravidla k řešení těchto problémů: skutečnost, že úmluva stanoví „společný základ hmotného práva“, byla považována za hlavní záruku, že i v případě existence různých předpisů budou zásady, jež se budou uplatňovat, nakonec stejné, což zamezí rozdílům v úrovni ochrany. Při vypracovávání směrnice o ochraně údajů se Evropská komise zabývala potřebou kritérií k určení použitelného práva. Ve svém původním návrhu8 Komise určila za hlavní rozhodující faktor místo, kde se nachází datový soubor, a sídlo správců za vedlejší rozhodující faktor v případě, že se soubor nachází ve třetí zemi. V průběhu jednání v Evropském parlamentu a Radě EU došlo k posunu od kritéria týkajícího se umístění souboru ke kritériu souvisejícímu s provozovnou správce. Umístění zařízení bylo určeno jako druhé kritérium v případě, není-li správce usazen v EU. Rada tato kritéria doplnila a poskytla další údaje, pokud jde o pojem provozovna. V pozměněném návrhu Komise9 bylo upřesněno, že by se zpracování mělo uskutečnit „v rámci činností provozovny“ správce, a zohledňovala se možnost, že správce může mít několik provozoven v různých členských státech. Jedna z hlavních změn se týkala skutečnosti, že hlavním kritériem pro určení použitelného práva nebylo místo, kde má správce svou hlavní provozovnu, nýbrž místo (jakékoli) provozovny správce. Níže budou rozvedeny důsledky těchto změn v podobě rozdílného a nikoliv jednotného uplatňování vnitrostátního práva v případě existence více provozoven.
II.2.
Úloha pojmů
II.2.a) Souvislosti a strategický význam Určení použití práva EU na zpracování osobních údajů má (jak bylo uvedeno výše) objasnit oblast působnosti práva EU v oblasti ochrany údajů v EU/EHP a v širším mezinárodním kontextu. Jednoznačná shoda ohledně použitelného práva pomůže zajistit právní jistotu pro správce a jasný rámec pro dotčené fyzické osoby a ostatní zúčastněné strany.
8 9
smluvního práva (např. podmínky uzavření smlouvy, rozhodné právo) či jiných aspektů občanského práva nad rámec vlastních ustanovení. KOM(1990) 314 - 2 ze dne 18.7.1990, návrh směrnice Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů. KOM(1992) 422 v konečném znění ze dne 15.10.1992. -7-
Určení použitelného práva úzce souvisí s určením správce10 a jeho provozovny (provozoven): hlavním důsledkem této spojitosti je opětovné potvrzení odpovědnosti správce a jeho zástupce, je-li správce usazen ve třetí zemi. Jak bude podrobněji rozvedeno níže, to neznamená, že vždy bude existovat jedno použitelné právo, zejména tehdy, má-li správce několik provozoven: rozhodující bude rovněž umístění těchto provozoven a povaha jejich činností. Jednoznačná souvislost mezi použitelným právem a správcem však může být zárukou účinnosti a vymahatelnosti, a to zejména v situaci, kdy může být obtížné (či někdy dokonce nemožné) soubor lokalizovat (jak tomu může být v případě tzv. „cloud computing“). Jednoznačné pokyny, pokud jde o pravidla týkající se použitelného práva, by měly pomoci reagovat na nový vývoj: technologický (internet; síťové soubory / „cloud computing“) i obchodní (nadnárodní společnosti). II.2.b) Oblast působnosti práva EU a vnitrostátního práva v EU/EHP Hlavním kritériem při určování použitelného práva je místo, kde se nachází provozovna správce, a místo, kde se používá zařízení nebo prostředky11, je-li správce usazen mimo EHP. To znamená, že za tímto účelem není rozhodující státní příslušnost nebo místo obvyklého bydliště subjektů údajů, ani fyzické umístění osobních údajů12. To zavádí širokou oblast působnosti s právními důsledky, které přesahují území EHP: směrnice (a vnitrostátní právní předpisy k jejímu provedení) se vztahuje na zpracovávání osobních údajů mimo EHP (pokud se uskutečňuje v rámci činností provozovny správce v EHP), jakož i na správce usazené mimo EHP (používají-li prostředky v EHP). V důsledku toho mohou být ustanovení směrnice použitelná na služby s mezinárodním rozměrem, jako jsou vyhledávače, sociální sítě a tzv. „cloud computing“. Tyto příklady jsou blíže rozvedeny dále v dokumentu. Pokud osobní údaje zpracovává správce údajů (X), jehož jediná provozovna se nachází v členském státě A, bude na zpracování použitelné vnitrostátní právo členského státu A bez ohledu na to, kde se zpracování provádí. Má-li správce X provozovnu (Y) rovněž v členském státě B, bude vnitrostátním právem použitelným na zpracování uskutečňované provozovnou Y vnitrostátní právo členského státu B, jestliže se toto zpracování provádí v rámci činností provozovny Y. Pokud se zpracování provozovnou Y uskutečňuje v rámci činností provozovny X v členském státě A, bude právem použitelným na zpracování právo členského státu A.
10 11
12
Viz stanovisko č. 1/2010 k pojmům „správce“ a „zpracovatel“ (WP 169). Jak je vysvětleno níže v bodě III.2 písm. b), anglický výraz „equipment“ (zařízení) byl v ostatních jazycích EU vyjádřen jako „prostředky“ (anglický výraz „means“). To podporuje široký výklad tohoto pojmu a vysvětluje, proč jsou v tomto dokumentu použity dva pojmy. Viz rovněž směrnice 2000/31/ES o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu. Co se týká práva použitelného na bezpečnostní opatření (článek 17), je dalším důležitým činitelem sídlo zpracovatele. Toto kritérium však není samo o sobě rozhodující a je nutno je použít ve spojení s hlavním kritériem týkajícím se provozovny správce. -8-
Zpracovává-li osobní údaje správce údajů, který není usazen v žádném z členských států, spadá zpracování do oblasti působnosti vnitrostátního práva členského státu, ve kterém se nachází prostředky (nebo zařízení) používané správcem údajů ke zpracování údajů. V rámci tohoto stanoviska budou posouzeny příklady těchto různých scénářů. Cílem této široké oblasti působnosti je v prvé řadě zajistit, aby nebyly fyzické osoby zbaveny ochrany, na niž mají nárok podle směrnice, a současně zabránit obcházení právních předpisů. Směrnice stanoví kritéria pro určení, i) zda se na konkrétní činnost spojenou se zpracováním osobních údajů vztahuje evropské právo (společně s právem třetí země, či nikoli), a ii) které vnitrostátní právo (tj. právo kterého členského státu) se použije na zpracování, pokud se na zpracování vztahuje evropské právo. Je třeba rovněž zmínit, že některé činnosti spojené se zpracováním údajů v EU nespadají do oblasti působnosti směrnice, mohou však vést k použití jiných právních nástrojů EU, jako je rámcové rozhodnutí 2008/977/SVV o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech13 nebo nařízení č. 45/2001 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství14 či jiné nástroje týkající se zvláštních subjektů nebo informačních systémů EU (např. Europol, Eurojust, SIS, CIS atd.)15. II.2.c) Zamezení trhlinám a nepatřičnému překrývání Cílem jednoznačných kritérií pro určení použitelného práva je zamezit obcházení vnitrostátních předpisů členských států a rovněž překrývání těchto předpisů. To, zda se na zpracování bude vztahovat právo jednoho či několika členských států, bude záviset na počtu a činnostech provozovny (provozoven) správce: o
Má-li správce jednu provozovnu, bude pro celou EU/EHP existovat jedno právo v závislosti na umístění této provozovny16.
o
Existuje-li několik provozoven: použití vnitrostátních právních předpisů bude rozděleno podle činností jednotlivých provozoven.
Uplatnění těchto kritérií by mělo zamezit souběžnému použití vnitrostátního práva více členských států na stejnou činnost spojenou se zpracováním údajů.
13
14
15
16
Rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech (Úř. věst. L 350, 30.12.2008, s. 60). Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1). Europol: rozhodnutí Rady 2009/371/SVV, Úř. věst. L 121, 15.5.2009, s. 37; Eurojust: rozhodnutí Rady 2002/187/SVV, Úř. věst. L 63, 6.3.2002, s. 1, ve znění rozhodnutí Rady 2009/426/SVV, Úř. věst. L 138, 4.6.2009, s. 14. S výjimkou bezpečnostních opatření, která budou záviset na sídle možného zpracovatele, jak je stanoveno v čl. 17 odst. 3 směrnice. -9-
II.2.d) Použitelné právo a příslušnost v rámci směrnice V oblasti ochrany údajů je obzvláště důležité rozlišovat pojem použitelné právo (který určuje právní režim použitelný na určitou záležitost) a pojem příslušnost (jenž obvykle určuje schopnost vnitrostátního soudu rozhodnout v dané věci nebo vymáhat výkon rozsudku či příkazu). Použitelné právo a příslušnost ve vztahu k danému zpracování nemusí být vždy stejné. Vnější dosah práva EU je projevem její způsobilosti stanovit pravidla s cílem chránit základní zájmy v rámci své příslušnosti. Ustanovení směrnice rovněž určují oblast použitelnosti vnitrostátního práva členských států, nedotýkají se však pravomoci vnitrostátních soudů rozhodovat v příslušných věcech. Ustanovení směrnice však odkazují na územní působnost orgánů dozoru, které mohou uplatňovat a prosazovat použitelné právo. Ačkoliv ve většině případů se tyto dva pojmy – použitelné právo a pravomoc orgánů dozoru – shodují, což má obvykle za následek, že orgány členského státu A uplatňují právo tohoto členského státu A, směrnice výslovně stanoví možnost jiné úpravy. Ustanovení čl. 28 odst. 6 znamenají, že by vnitrostátní orgány pro ochranu údajů měly mít možnost vykonávat své pravomoci i v případě, kdy se na zpracování osobních údajů prováděné v oblasti jejich působnosti použijí právní předpisy v oblasti ochrany údajů jiného členského státu. Praktické důsledky této záležitosti budou blíže přezkoumány v budoucím stanovisku pracovní skupiny. Tímto dochází k přeshraničním případům, při jejichž projednávání je nutná spolupráce mezi orgány pro ochranu údajů s přihlédnutím k donucovacím pravomocem každého z nich. Rovněž z toho vyplývá potřeba, aby vnitrostátní předpisy náležitě prováděly příslušná ustanovení směrnice, jelikož to může být rozhodující pro účinnou přeshraniční spolupráci a prosazování. III.
Analýza ustanovení
Hlavním ustanovením týkajícím se použitelného práva je článek 4, jenž určuje, které vnitrostátní právní předpisy na ochranu údajů přijaté na základě směrnice mohou být použitelné na zpracování osobních údajů. III.1.
Správce usazený v jednom či více členských státech (čl. 4 odst. 1 písm. a))
Prvním případem, kterým se zabývá čl. 4 odst. 1, je případ, kdy správce má jednu či více provozoven na území EU. V tomto případě čl. 4 odst. 1 písm. a) stanoví, že členský stát použije své vnitrostátní právo v oblasti ochrany údajů, pokud „[...] zpracování je prováděno v rámci činností provozovny správce na území členského státu; pokud je stejný správce usazen na území několika členských států, musí přijmout opatření nezbytná pro dodržování povinností stanovených použitelným vnitrostátním právem každou ze svých provozoven“. Je vhodné připomenout, že pojem „správce“ je vymezen v čl. 2 písm. d) směrnice. Tato definice nebude v tomto stanovisku analyzována, jelikož ji pracovní skupina zřízená podle článku 29 objasnila ve svém stanovisku k pojmům „správce“ a „zpracovatel“17. 17
Stanovisko č. 1/2010 k pojmům „správce“ a „zpracovatel“ (WP 169). - 10 -
Dále je důležité zdůraznit, že provozovna nemusí mít právní subjektivitu, a rovněž to, že spojitost mezi pojmem provozovna a pojmem správa není pevně dána. Správce může mít několik provozoven, společní správci mohou své činnosti soustředit v jedné provozovně či v různých provozovnách. Rozhodujícím prvkem pro určení provozovny podle směrnice je účinný a skutečný výkon činností v souvislosti se zpracováním osobních údajů. a) „…provozovna správce na území členského státu …“ Pojem provozovna není ve směrnici vymezen. V preambuli směrnice je však uvedeno, že „usazení na území členského státu předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení (a) že právní forma (...) provozovny, ať jde o pobočku nebo dceřinou společnost s vlastní právní subjektivitou, není z tohoto hlediska rozhodující“ (19. bod odůvodnění). Pokud jde o svobodu usazování podle článku 50 SFEU (bývalý článek 43 Smlouvy o ES), Soudní dvůr měl za to, že stálá provozovna vyžaduje, aby „byly trvale dostupné lidské i technické zdroje potřebné pro poskytování příslušných služeb“18. Silný důraz, který je v preambuli směrnice kladen na „účinný a skutečný výkon činnosti prostřednictvím stálého zařízení“, je jednoznačně odrazem „stálé provozovny“, na kterou odkazoval Soudní dvůr v době přijetí směrnice. Ačkoliv není zřejmé, zda lze tento a následné výklady svobody usazování podle článku 50 SFEU ze strany Soudního dvora plně použít na případy, na něž se vztahuje článek 4 směrnice o ochraně osobních údajů, může výklad Soudního dvora v těchto případech poskytnout užitečné vodítko při analýze znění směrnice. Tento výklad je použit v následujících příkladech: – Pokud se „účinný a skutečný výkon činnosti“ uskutečňuje například v kanceláři právního zástupce prostřednictvím „stálého zařízení“, považovala by se kancelář za provozovnu. – Server nebo počítač se pravděpodobně nebude považovat za provozovnu, jelikož se jedná pouze o technické zařízení nebo nástroj pro zpracovávání údajů19. – Kancelář jednotlivce by se považovala za provozovnu, pokud tato kancelář dělá více, než jen zastupuje správce usazeného jinde, a aktivně se podílí na činnostech, v jejichž rámci se uskutečňuje zpracovávání osobních údajů.
18
19
Rozsudek ze dne 4. července 1985, Bergholz, (věc 168/84, Sb. rozh. 1985, s. 2251, bod 14) a rozsudek ze dne 7. května 1998, Lease Plan Luxembourg / Belgische Staat (C-390/96, Sb. rozh. 1998, s. I-2553). V posledně uvedeném případě se jednalo o určení, zda lze server společnosti nacházející se v jiné zemi, než ve které se nachází poskytovatel služby, považovat za stálou provozovnu. Cílem bylo určit, v které zemi má být uhrazena DPH. Soudce odmítl pokládat počítač za virtuální provozovnu (přičemž tento výklad znamená návrat k „tradičnějšímu“ pojmu „provozovna“, který se liší od výkladu přijatého v předchozím rozsudku ze dne 17. července 1997, ARO Lease / Inspecteur der Belastingdienst Grote Ondernemingen te Amsterdam (věc C-190/95, Sb. rozh. 1997, s. I-4383). To, zda jsou způsobilé jinak, například jako „prostředky“, bude projednáno dále v textu. - 11 -
– Forma kanceláře není každopádně rozhodující: i pouhého obchodního zástupce lze považovat za příslušnou provozovnu, vykazuje-li jeho přítomnost v daném členském státě dostatečnou stálost. Příklad č. 1: Publikace pro cestující Společnost usazená v členském státě A shromažďuje údaje týkající se služeb, které poskytují čerpací stanice v členském státě B, za účelem vytvoření publikace pro cestující. Údaje shromažďuje zaměstnanec, který cestuje po území státu B a pořizuje a zasílá fotografie a poznámky svému zaměstnavateli v členském státě A. V tomto případě jsou údaje shromažďovány v členském státě B (aniž by zde existovala „provozovna“) a jsou zpracovávány v rámci činností provozovny v členském státě A: použitelným právem je právo členského státu A. Ustanovení čl. 4 odst. 1 písm. a) odkazující na (jakoukoli) provozovnu správce na území členského státu vyvolává otázky (jiné než pojem provozovna), které vyžadují objasnění. Především, odkaz na („jakoukoli“) provozovnu znamená, že použitelnost práva určitého členského státu bude záviset na umístění provozovny správce v tomto členském státě a právní předpisy ostatních členských států mohou být použitelné na základě umístění jiných provozoven zmíněného správce v těchto členských státech. I v případě, že správce má hlavní provozovnu ve třetí zemi a v určitém členském státě má pouze jednu ze svých provozoven, mohlo by to znamenat použitelnost práva této země, jsou-li splněny ostatní podmínky čl. 4 odst. 1 písm. a) (viz níže písm. b)). To potvrzuje rovněž druhá část ustanovení, v níž se výslovně stanoví, že je-li stejný správce usazen na území několika členských států, musí zajistit, aby každá provozovna dodržovala příslušné použitelné právo. b) „… zpracování je prováděno v rámci činností ...“ Směrnice spojuje použitelnost práva určitého členského státu v oblasti ochrany údajů se zpracováním osobních údajů. Pojmem „zpracování“ se mimochodem pracovní skupina již zabývala v jiných stanoviscích, v nichž bylo zdůrazněno, že jednotlivé úkony nebo soubory úkonů s osobními údaji mohou být prováděny současně nebo v různých fázích20. V souvislosti s určením použitelného práva to může znamenat, že se na jednotlivé fáze zpracovávání osobních údajů mohou vztahovat různé použitelné právní předpisy. Zatímco znásobení použitelných právních předpisů proto představuje vážné riziko, je nutno uvážit možnost, že by souvislosti mezi jednotlivými činnostmi spojenými se zpracováním na makroúrovni mohly alternativně vést k použití jednoho vnitrostátního práva. Za účelem určení, zda se na jednotlivé fáze zpracování vztahuje právo jednoho či více členských států, je důležité mít na paměti celkový obraz, pokud jde o činnosti spojené se zpracováním: soubor zpracování prováděných v řadě různých členských států, jež však mají sloužit jednomu účelu, může mít za následek použití pouze jednoho vnitrostátního práva. V těchto případech je rozhodujícím činitelem při určování použitelného práva pojem „rámec činností“, a nikoli umístění údajů. 20
Viz například stanovisko č. 1/2010 k pojmům „správce“ a „zpracovatel“ (WP 169). - 12 -
Pojem „rámec činností“ neznamená, že použitelným právem je právo členského státu, v němž je usazen správce, nýbrž právo členského státu, kde se provozovna správce podílí na činnostech souvisejících se zpracováním údajů. Posouzení různých scénářů může pomoci objasnit, co se rozumí pojmem „rámec činností“, a jeho vliv při určování práva použitelného na různé činnosti spojené se zpracováním prováděné v řadě různých zemí. a. Pokud má správce provozovnu v Rakousku a v rámci činností této provozovny zpracovává v Rakousku osobní údaje, bude použitelným právem zjevně rakouské právo, tj. členského státu, kde se nachází provozovna. b. Ve druhém scénáři má správce provozovnu v Rakousku a v rámci činností této provozovny zpracovává osobní údaje shromážděné prostřednictvím svých internetových stránek. Tyto internetové stránky jsou dostupné uživatelům v různých zemích. Právem v oblasti ochrany údajů, které je použitelné na zpracování údajů, bude přesto rakouské právo, tj. právo členského státu, kde se nachází provozovna, bez ohledu na místo, kde se nacházejí uživatelé a údaje. c. Ve třetím scénáři je správce usazen v Rakousku a zadává zpracování externě zpracovateli v Německu. Zpracování v Německu je prováděno v rámci činností správce v Rakousku. To znamená, že zpracování je prováděno pro obchodní účely a podle pokynů rakouské provozovny. Na zpracování prováděné zpracovatelem v Německu bude použitelné rakouské právo. Na zpracovatele se budou mimoto vztahovat požadavky německého práva, pokud jde o bezpečnostní opatření, která je povinen zavést v souvislosti se zpracováním21. Tato ujednání budou vyžadovat koordinovaný dozor ze strany německých a rakouských orgánů pro ochranu údajů. d. Ve čtvrtém scénáři otevře správce usazený v Rakousku zastoupení v Itálii, které zajišťuje veškerý obsah italských internetových stránek a vyřizuje žádosti italských uživatelů. Činnosti spojené se zpracováním údajů, jež vykonává italská kancelář, jsou prováděny v rámci italské provozovny, takže se na tyto činnosti bude vztahovat italské právo. Závěry ohledně použitelného práva lze vyvodit pouze na základě přesného pochopení pojmu „v rámci činností“. Při provádění této analýzy je nutno vzít v úvahu tyto aspekty: Zásadní je míra zapojení provozovny (provozoven) do činností, v jejichž rámci jsou zpracovány osobní údaje. Zde je nutno ověřit „kdo co dělá“, tj. jaké činnosti jsou prováděny kterou provozovnou, aby bylo možno určit, zda je dotyčná provozovna relevantní pro použití vnitrostátního práva v oblasti ochrany údajů. Pokud provozovna zpracovává osobní údaje v rámci vlastních činností, bude použitelným právem právo členského státu, v němž se tato provozovna nachází. Jestliže provozovna zpracovává
21
Podle čl. 17 odst. 3 směrnice 95/46/ES je zpracovatel s ohledem na bezpečnostní opatření vázán povinnostmi, jež jsou stanoveny v právních předpisech členského státu, ve kterém je usazen zpracovatel. V případě rozporu mezi hmotněprávními povinnostmi souvisejícími s bezpečností na základě práva zpracovatele a práva správce, má přednost lex loci (právo zpracovatele). Ačkoliv konečnou odpovědnost má i nadále správce, zpracovatel musí prokázat, že přijal veškerá potřebná opatření podle smlouvy se správcem a splnil povinnosti související s bezpečností vymezené právními předpisy členského státu, ve kterém je usazen zpracovatel (další informace viz bod III.5). - 13 -
osobní údaje v rámci činností jiné provozovny, bude použitelným právem právo členského státu, v němž se nachází tato druhá provozovna. Vedlejším prvkem je povaha činností provozovny, tento prvek však pomáhá při určování práva použitelného na každou provozovnu: otázka, zda činnost zahrnuje zpracování údajů, či nikoli, a jaké zpracování se uskutečňuje v rámci které činnosti, závisí velkou měrou na povaze těchto činností. Alternativně bude mít dopad na použitelné právo skutečnost, že se jednotlivé provozovny mohou podílet na zcela odlišných činnostech, v jejichž rámci jsou zpracovávány osobní údaje. Tyto aspekty jsou objasněny v příkladu č. 4. V úvahu je nutno vzít rovněž celkový cíl směrnice, jelikož ta usiluje o zajištění účinné ochrany fyzických osob, a to jednoduchým, schůdným a předvídatelným způsobem. Příklad č. 2: Předávání osobních údajů v souvislosti s faktoringem Italský podnik veřejných služeb předává informace o svých dlužnících francouzské investiční bance za účelem odkupu pohledávek. Pohledávky vznikly v souvislosti s neuhrazenými fakturami za elektřinu. Toto předávání informací o pohledávkách zahrnuje předávání osobních údajů zákazníků francouzské investiční bance, konkrétně pobočce v Itálii (tj. provozovně francouzské banky v Itálii). Francouzská investiční banka je správcem údajů s ohledem na zpracování, které představuje předávání údajů, a italská pobočka zajišťuje správu a vymáhání pohledávek jejím jménem. Údaje jsou zpracovávány správcem údajů ve Francii i v italské pobočce. Francouzský správce údajů poskytne všem italským zákazníkům informační sdělení o výše uvedené činnosti uskutečňované prostřednictvím italské pobočky. Pro účely směrnice je italská pobočka provozovnou a její činnosti spočívající v zpracovávání osobních údajů za účelem informování zákazníků o ujednáních musí dodržovat italské právní předpisy v oblasti ochrany údajů. Rovněž bezpečnostní opatření v rámci italské pobočky musí splňovat podmínky italských právních předpisů v oblasti ochrany údajů, zatímco francouzský správce musí s ohledem na údaje zpracovávané v jeho provozovně ve Francii souběžně plnit povinnosti související s bezpečností stanovené ve francouzských právních předpisech. Subjekty údajů, tj. dlužníci, se za účelem výkonu svých práv v oblasti ochrany údajů, jako je právo na přístup, opravu a výmaz podle italského práva, mohou obrátit na kancelář italské pobočky. Při analýze těchto kritérií je nutno použít funkční přístup: rozhodujícími činiteli by spíše než teoretické hodnocení stran týkající se použitelného práva mělo být jejich chování v praxi a jejich vzájemné vztahy: jaká je skutečná úloha jednotlivých provozoven a jaká činnost se uskutečňuje v rámci které provozovny? Pozornost je nutno věnovat míře zapojení jednotlivých provozoven do činností, v jejichž rámci jsou zpracovávány osobní údaje. Pochopení pojmu „v rámci“ je proto užitečné rovněž ve složitých případech, kdy dochází k rozdělení jednotlivých činností vykonávaných různými provozovnami téže společnosti v EU. - 14 -
Příklad č. 3: Shromažďování údajů o zákaznících ze strany prodejen Řetězec obchodů „prêt à porter“ má své ústředí ve Španělsku a prodejny po celé EU. K shromažďování údajů týkajících se zákazníků dochází v každé prodejně, údaje jsou však předávány do španělského ústředí, v němž se uskutečňují některé činnosti související se zpracováním údajů (analýza profilů zákazníků, služby pro zákazníky, cílená reklama). Činnosti, jako je přímý marketing zaměřený na zákazníky v celé Evropě, řídí výhradně ústředí ve Španělsku. Lze mít za to, že se tyto činnosti uskutečňují v rámci činností španělské provozovny. Na tyto činnosti spojené se zpracováním by proto bylo použitelné španělské právo. Jednotlivé prodejny však i nadále odpovídají za aspekty zpracování osobních údajů svých zákazníků, které se uskutečňuje v rámci činností daných prodejen (např. shromažďování osobních údajů zákazníků). Nakolik je toto zpracování prováděno v rámci činností jednotlivých prodejen, vztahuje se na ně právo země, v níž se nachází dotyčná prodejna. Přímým praktickým důsledkem této analýzy je to, že každá prodejna musí na základě příslušných vnitrostátních právních předpisů přijmout potřebná opatření k informování fyzických osob o podmínkách shromažďování a dalšího zpracování jejich údajů. V případě stížnosti se zákazníci mohou obrátit přímo na orgán pro ochranu údajů ve své zemi. Pokud stížnost souvisí s akcemi přímého marketingu v rámci činností španělského ústředí, musí místní orgán pro ochranu údajů případ postoupit svému španělskému protějšku. Je tudíž možné, že se jedna provozovna podílí na řadě různých druhů činností a že se na zpracování údajů v rámci těchto různých činností vztahuje právo různých členských států. V zájmu stanovení předvídatelného a proveditelného přístupu v případě, že na různé činnosti jedné provozovny lze použít právní předpisy více členských států, je nutno použít funkční přístup, včetně uvážení širších právních souvislostí. Příklad č. 4: Ústřední databáze lidských zdrojů V praxi stále častěji dochází k případům, kdy se na jednu databázi mohou vztahovat různé použitelné právní předpisy. Tak je tomu často v oblasti lidských zdrojů, kdy dceřiné společnosti / provozovny v různých zemích soustředí údaje o zaměstnancích v jedné databázi. Ačkoliv k tomu obvykle dochází kvůli úsporám z rozsahu, nemělo by to mít dopad na povinnosti každé provozovny podle místního práva. Tak je tomu nejen z hlediska ochrany údajů, nýbrž rovněž v rámci pracovního práva a ustanovení o veřejném pořádku. Jsou-li například údaje zaměstnanců irské dceřiné společnosti (která se považuje za provozovnu) předány do ústřední databáze ve Spojeném království, v níž jsou uloženy rovněž údaje zaměstnanců dceřiné společnosti / provozovny ve Spojeném království, použijí se právní předpisy o ochraně údajů dvou různých členských států (Irska a Spojeného království). Použití právních předpisů dvou různých členských států není jednoduše výsledkem toho, že údaje pocházejí ze dvou různých členských států, nýbrž vyplývá ze skutečnosti, že se zpracovávání údajů irských zaměstnanců provozovnou ve Spojeném království uskutečňuje v rámci činností irské provozovny jakožto zaměstnavatele. - 15 -
Tento příklad dokládá skutečnost, že místo, kam jsou údaje zasílány nebo kde se nacházejí, není to, co určuje, které vnitrostátní právo se použije. Hlavními faktory jsou povaha a místo výkonu běžných činností, jež určují „rámec“, v němž se provádí zpracování: údaje o lidských zdrojích nebo údaje o zákaznících proto obvykle podléhají právním předpisům v oblasti ochrany údajů země, v níž se uskutečňuje činnost, v jejímž rámci jsou tyto údaje zpracovávány. To rovněž potvrzuje, že neexistuje žádný přímý vzájemný vztah mezi použitelným vnitrostátním právem a příslušností, jelikož se vnitrostátní právo může používat mimo vnitrostátní jurisdikci. Kritéria používaná k určení použitelného práva mají tudíž dopad na různých úrovních: o
Za prvé, pomáhají určit, zda je na zpracování vůbec použitelné právo EU v oblasti ochrany údajů.
o
Za druhé, použije-li se právo EU v oblasti ochrany údajů, kritéria určí a) které vnitrostátní právo v oblasti ochrany údajů je použitelné a b) v případě několika provozoven v různých členských státech, které vnitrostátní právo v oblasti ochrany údajů se použije na kterou činnost spojenou se zpracováním.
o
Za třetí, kritéria napomohou v případě mimoevropského rozměru činností spojených se zpracováním, jak je tomu v následujícím případě, kdy je správce usazen mimo EHP.
Příklad č. 5: Poskytovatel internetových služeb Poskytovatel internetových služeb (správce údajů) má své ústředí mimo EU, například v Japonsku. Má obchodní kanceláře ve většině členských států EU a kancelář v Irsku, která vyřizuje záležitosti spojené se zpracováváním osobních údajů, včetně podpory IT. Správce buduje datové centrum v Maďarsku se zaměstnanci a servery vyhrazenými pro zpracovávání a uchovávání údajů týkajících se uživatelů jeho služeb. Správce v Japonsku má rovněž další provozovny v různých členských státech EU s různými činnostmi: -
datové centrum v Maďarsku se podílí pouze na technické údržbě;
-
obchodní kanceláře poskytovatele internetových služeb pořádají obecné reklamní kampaně;
-
kancelář v Irsku je jediná provozovna v EU s činnostmi, v jejichž rámci jsou skutečně zpracovávány osobní údaje (bez ohledu na vstupní údaje z japonského ústředí).
Činnosti irské kanceláře vedou k použití práva EU v oblasti ochrany údajů: osobní údaje jsou zpracovávány v rámci činností irské kanceláře, na toto zpracování se proto vztahují právní předpisy EU o ochraně údajů. Právem použitelným na zpracování prováděné v rámci činností irské kanceláře jsou irské právní předpisy o ochraně údajů, a to bez ohledu na skutečnost, zda se zpracování uskutečňuje v Portugalsku, Itálii či v jiném členském státě.
- 16 -
To znamená, že za těchto předpokladů by datové centrum v Maďarsku muselo dodržovat irské právo v oblasti ochrany údajů, pokud jde o zpracovávání osobních údajů uživatelů služeb poskytovatele. Tím by však nebylo dotčeno použití maďarského práva na jiné zpracování osobních údajů prováděné maďarským datovým centrem ve vztahu k jeho vlastním činnostem – například zpracování osobních údajů týkajících se zaměstnanců datového centra. Pokud jde o obchodní kanceláře se sídlem v ostatních členských státech, je-li jejich činnost omezena na obecné reklamní kampaně nezaměřené na uživatele, které nezahrnují zpracování osobních údajů uživatelů, nevztahují se na ně právní předpisy EU v oblasti ochrany údajů. Jestliže se však rozhodnou provádět v rámci svých činností zpracování zahrnující osobní údaje fyzických osob v zemi, v níž jsou usazeny (např. zasílání cílených reklamních materiálů uživatelům a možným budoucím uživatelům pro vlastní obchodní účely), budou muset dodržovat místní právní předpisy o ochraně údajů. Nelze-li zjistit žádnou souvislost mezi zpracováním údajů a irskou provozovnou (podpora IT je velmi omezená a neexistuje žádný podíl na zpracovávání osobních údajů), mohla by přesto ostatní ustanovení směrnice vést k použití zásad ochrany údajů, například tehdy, pokud správce používá prostředky v EU. To je posouzeno v bodě III.3. III.2. Správce usazený v místě, kde se právní předpisy určitého členského státu uplatňují na základě mezinárodního práva veřejného (čl. 4 odst. 1 písm. b)) Ustanovení čl. 4 odst. 1 písm. b) upravuje méně obvyklý případ, kdy se právo určitého členského státu v oblasti ochrany údajů použije tehdy, pokud „správce není usazen na území členského státu, ale v místě, kde se vnitrostátní právní předpisy daného členského státu uplatňují na základě mezinárodního práva veřejného“. III.2.a) „… správce není usazen na území členského státu …“ Z důvodu zajištění soudržnosti čl. 4 odst. 1 je nutno první podmínku vykládat v tom smyslu, že správce nemá na území členského státu provozovnu, která by vedla k použitelnosti čl. 4 odst. 1 písm. a) (viz níže bod III.3 písm. a)). Jinými slovy, v případě neexistence příslušné provozovny v EU nelze určit vnitrostátní právo v oblasti ochrany údajů podle čl. 4 odst. 1 písm. a). III.2.b) „…, ale v místě, kde se vnitrostátní právní předpisy daného členského státu uplatňují na základě mezinárodního práva veřejného …“ Ve zvláštních případech však mohou vnější kritéria vyplývající z mezinárodního práva veřejného stanovit rozšíření použití vnitrostátního práva v oblasti ochrany údajů mimo hranice daného členského státu. Tak tomu může být v případě, kdy mezinárodní právo veřejné nebo mezinárodní dohody určují právo použitelné na velvyslanectví nebo konzulát nebo právo použitelné na plavidlo či letadlo. Nachází-li se v těchto případech správce na jednom z těchto zvláštních míst, bude použitelné vnitrostátní právo v oblasti ochrany údajů určeno mezinárodním právem. Je však důležité rovněž zdůraznit, že se vnitrostátní právo v oblasti ochrany údajů nemusí vztahovat na zahraniční mise či mezinárodní organizace na území EU, mají-li podle - 17 -
mezinárodního práva zvláštní postavení, a to buď obecně, nebo prostřednictvím dohody o sídle: tato výjimka by zabránila použití čl. 4 odst. 1 písm. a) na dotyčnou misi nebo mezinárodní organizaci. Příklad č. 6: Zahraniční velvyslanectví Na velvyslanectví určitého členského státu v Kanadě se vztahují vnitrostátní právní předpisy tohoto členského státu týkající se ochrany údajů, a nikoli kanadské právo v oblasti ochrany údajů. Na velvyslanectví určité země v Nizozemsku se nevztahuje nizozemské právo v oblasti ochrany údajů, jelikož velvyslanectví mají podle mezinárodního práva zvláštní postavení. Porušení bezpečnosti údajů, k němuž dojde v rámci činností tohoto velvyslanectví, proto nepovede k použití nizozemského práva v oblasti ochrany údajů a k následným donucovacím opatřením. Nevládní organizace s kancelářemi v členských státech EU nebude mít v zásadě prospěch z podobné výjimky, ledaže je tato výjimka výslovně stanovena v mezinárodní dohodě s hostitelskou zemí. III.3. Správce není usazen na území Společenství, za účelem zpracování osobních údajů však používá prostředků umístěných na území členského státu (čl. 4 odst. 1 písm. c)) Ustanovení čl. 4 odst. 1 písm. c) má zajistit právo na ochranu osobních údajů stanovené ve směrnici EU v případě, kdy správce není usazen na území EU/EHP, zpracování osobních údajů však má jednoznačnou souvislost s tímto územím, jak je uvedeno ve 20. bodě odůvodnění22. Ustanovení čl. 4 odst. 1 písm. c) stanoví použití práva členského státu, pokud „správce není usazen na území Společenství a používá za účelem zpracování osobních údajů prostředků, automatizovaných či nikoli, umístěných na území zmíněného členského státu, ledaže jsou tyto prostředky použity pouze pro účely tranzitu přes území Společenství“. Toto ustanovení je obzvláště důležité vzhledem k vývoji nových technologií, a zejména internetu, které usnadňují shromažďování a zpracovávání osobních údajů na dálku a bez ohledu na fyzickou přítomnost správce na území EU/EHP23. a) „… správce není usazen na území Společenství …“ Toto ustanovení je relevantní, není-li správce přítomen na území EU/EHP, přičemž pro účely čl. 4 odst. 1 písm. a) směrnice by tuto přítomnost bylo možno považovat za provozovnu, jak bylo analyzováno výše. 22
23
20. bod odůvodnění: „vzhledem k tomu, že skutečnost, že zpracování údajů provádí osoba usazená ve třetí zemi, nesmí bránit ochraně osob stanovené v této směrnici; že v takovýchto případech je třeba podřídit zpracování dotčených údajů právním předpisům členského státu, ve kterém jsou lokalizována zařízení pro zpracování údajů, a přijmout záruky, aby práva a povinnosti uvedené v této směrnici byly v praxi dodržovány“. Viz pracovní dokument pracovní skupiny o určení mezinárodního uplatňování práva EU v oblasti ochrany údajů na zpracování osobních údajů internetovými servery nacházejícími se ve třetích zemích (WP 56). - 18 -
Je důležité objasnit výklad znění „není usazen“. Mělo by být zřejmé, že se čl. 4 odst. 1 písm. c) použije pouze tehdy, není-li použitelný čl. 4 odst. 1 písm. a): tj. pokud správce nemá v EU/EHP provozovnu, která je relevantní pro dotyčné činnosti. Proto by skutečnost, že správce usazený mimo EU/EHP používá prostředky v členském státě A, ve kterém nemá žádnou provozovnu, neznamenala použitelnost práva tohoto členského státu, má-li správce již provozovnu v členském státě B a zpracovává osobní údaje v rámci činností této provozovny. Zpracování v členském státě A (kde se používají prostředky) i v členském státě B (kde se nachází provozovna) bude podléhat právu členského státu B. To pracovní skupina objasnila ve svém stanovisku k otázkám ochrany údajů v souvislosti s vyhledávači24. Ustanovení čl. 4 odst. 1 písm. c) se na druhou stranu použije v případě, kdy správce nemá v EU „relevantní“ provozovnu. To znamená, že správce sice má v EU provozovny, jejich činnosti však nesouvisí se zpracováním osobních údajů. Takovéto provozovny nepovedou k použití čl. 4 odst. 1 písm. a). To znamená, že jelikož by při uplatňování ustanovení směrnice neměly existovat žádné trhliny či rozpory, provozovna, která není relevantní pro dotyčné činnosti, nemusí zabránit použití kritéria týkajícího se „prostředků“: existence provozovny by mu mohla zabránit pouze tehdy, pokud tato provozovna zpracovává osobní údaje v rámci týchž činností. Logickým důsledkem tohoto výkladu je, že by existence společnosti s různými činnostmi mohla vést k použití čl. 4 odst. 1 písm. a) i c), pokud tato společnost používá prostředky a má provozovny v různých rámcích. Jinými slovy, správce usazený mimo EU/EHP, který používá prostředky v EU, by musel dodržet čl. 4 odst. 1 písm. c) i v případě, že má provozovnu v EU, pokud tato provozovna zpracovává osobní údaje v rámci jiných činností. Existence této provozovny by znamenala použití čl. 4 odst. 1 písm. a) na tyto jiné činnosti. Příležitost lépe objasnit oblast působnosti čl. 4 odst. 1 písm. c) a to, co se míní slovním spojením „správce není usazen na území Společenství“, může vzniknout při revizi rámce pro ochranu údajů, a to v souladu se smyslem směrnice a zněním jejího 20. bodu odůvodnění. V preambuli směrnice je jednoznačně uvedeno, že cílem je ochrana fyzických osob a zamezení mezerám při uplatňování zásad. Z tohoto důvodu se pracovní skupina domnívá, že by se ustanovení čl. 4 odst. 1 písm. c) mělo použít v případech, kdy v EU/EHP neexistuje žádná provozovna, která by vedla k použití čl. 4 odst. 1 písm. a), nebo pokud zpracování není prováděno v rámci činností této provozovny. b) „… a používá za účelem zpracování osobních údajů prostředků, automatizovaných či nikoli, umístěných na území členského státu …“ Rozhodujícím prvkem, který určuje použitelnost tohoto článku, a tudíž práva určitého členského státu v oblasti ochrany údajů, je použití prostředků umístěných na území členského státu.
24
Stanovisko pracovní skupiny podle článku 29 č. 1/2008 k otázkám ochrany údajů v souvislosti s vyhledávači (WP 148). - 19 -
Pracovní skupina již objasnila, že pojem „používání“ předpokládá dva prvky: určitý druh činnosti správce a jednoznačný záměr správce zpracovávat osobní údaje25. Ačkoliv ne každé používání prostředků v EU/EHP povede k použití směrnice, není nutné, aby správce tyto prostředky vlastnil či měl nad nimi úplnou kontrolu, aby zpracování spadalo do oblasti působnosti směrnice. Je nutno podotknout, že existuje rozdíl mezi slovem použitým v anglické verzi čl. 4 odst. 1 písm. c) („equipment“) a slovem použitým v ostatních jazykových verzích tohoto ustanovení, které se více blíží anglickému slovu „means“ (prostředky). Terminologie použitá v ostatních jazykových verzích čl. 4 odst. 1 písm. c) je rovněž v souladu se zněním čl. 2 písm. d), v němž je definován správce: osoba, která určuje účel a „prostředky“ zpracování. Vzhledem k těmto úvahám pokládá pracovní skupina anglické slovo „equipment“ za „means“26. Rovněž podotýká, že podle směrnice mohou být tyto prostředky „automatizované či nikoli“. To vede k širokému výkladu kritéria, které tudíž zahrnuje lidské a/nebo technické mezičlánky, například při průzkumech nebo šetřeních. Vztahuje se tudíž na shromažďování informací pomocí dotazníků, jak tomu je například v případě některých zkoušek farmaceutických výrobků. Vyvstává otázka, zda by činnosti zadávané, zejména zpracovateli, externě a vykonávané na území EU/EHP jménem správců usazených mimo EHP bylo možno považovat za „prostředky“. Široký výklad, který je obhajován výše, vede ke kladné odpovědi, nejsou-li tyto činnosti vykonávány v rámci činnosti provozovny správce v EHP, přičemž v tomto případě by se použil čl. 4 odst. 1 písm. a). Je však nutno přihlédnout k někdy nežádoucím důsledkům takovéhoto výkladu, jak je uvedeno v bodě III.4: pokud správce usazený v různých zemích světa nechává zpracovávat své údaje v členském státě EU, kde se nachází databáze a zpracovatel, musí tito správci dodržovat právo tohoto členského státu v oblasti ochrany údajů. Je třeba posoudit každý jednotlivý případ a vyhodnotit způsob, jakým jsou prostředky skutečně používány ke sběru a zpracovávání osobních údajů. Na základě těchto úvah pracovní skupina uznala možnost, že shromažďování osobních údajů prostřednictvím počítačů uživatelů, jako například v případě tzv. cookies nebo bannerů Javascript, vede k použití čl. 4 odst. 1 písm. c), a tudíž práva EU v oblasti ochrany údajů na poskytovatele služeb, kteří jsou usazeni ve třetích zemích27. Tento výklad ustanovení o „používání prostředků“ podporuje širokou oblast působnosti. Jak však bylo zmíněno, zdůrazňuje rovněž některé důsledky, které nejsou uspokojivé, jeli výsledkem to, že evropské právo v oblasti ochrany údajů je použitelné i v případech, kdy existuje omezená souvislost s EU (např. správce usazený mimo EU, který zpracovává údaje osob, jež nejsou rezidenty EU, a používá v EU pouze prostředky). V zájmu zajištění větší jistoty v budoucím rámci pro ochranu údajů existuje zjevná 25 26
27
Viz citovaný dokument WP 56. Je třeba rovněž připomenout, že anglické jazykové znění směrnice v předchozích verzích (např. v pozměněném návrhu z roku 1992 – KOM(92)422 v konečném znění ) rovněž používalo výraz „means“, tento však byl při projednávání (v poměrně pozdní fázi) pozměněn na výraz „equipment“, jak je patrné ve znění společného postoje z března 1995. Viz citovaný dokument WP 56, s. 10 a následující strany. - 20 -
potřeba větší jasnosti a stanovení dalších podmínek pro používání tohoto kritéria. Tento bod bude rozpracován v závěrečné části dokumentu. Další příklad: není zřejmé, v jakém rozsahu by se měly za prostředky pokládat telekomunikační koncová zařízení či jejich části. Za určitého ukazatele v tomto ohledu lze považovat skutečnost, zda je daný nástroj určen či se používá v prvé řadě ke shromažďování nebo dalšímu zpracování osobních údajů. Skutečnost, že správce vědomě shromažďuje osobní údaje, a to i mimochodem, pomocí určitých prostředků v EU, však rovněž vede k použití směrnice. Příklad č. 7: Geolokační služby Společnost usazená na Novém Zélandu používá vozidla po celém světě, mj. v členských státech EU, k shromažďování informací o přístupových bodech Wi-Fi (včetně informací o soukromém koncovém zařízení jednotlivců) za účelem poskytování geolokačních služeb svým zákazníkům. Tato činnost v mnoha případech zahrnuje zpracování osobních údajů. Použití směrnice o ochraně osobních údajů bude vyvoláno dvěma způsoby: – za prvé, vozidla shromažďující informace o Wi-Fi při projíždění ulicemi lze považovat za prostředky ve smyslu čl. 4 odst. 1 písm. c); – za druhé, při poskytování geolokačních služeb fyzickým osobám bude správce používat rovněž mobilní zařízení jednotlivců (prostřednictvím zvláštního programového vybavení, které je instalováno v přístroji) jako prostředek k poskytování aktuálních informací o místě, kde se nachází přístroj a jeho uživatel. Ustanovení směrnice bude nutno dodržovat při shromažďování informací za účelem poskytování služby i při poskytování samotné geolokační služby.
Příklad č. 8: „Cloud computing“ „Cloud computing“, kdy jsou osobní údaje zpracovávány a uchovávány na serverech na několika místech po celém světě, je komplexním příkladem použití ustanovení směrnice. Přesné místo, kde jsou údaje uchovávány, není vždy známo a může se v čase měnit, to však není pro určení použitelného práva rozhodující. Aby bylo použitelné právo EU, postačuje, aby správce prováděl zpracování v rámci provozovny v EU nebo aby se příslušné prostředky nacházely na území EU, jak je stanoveno v čl. 4 odst. 1 písm. c) směrnice. Prvním rozhodujícím krokem bude určení, kdo je správcem a které činnosti se uskutečňují na jaké úrovni. Lze určit dvě hlediska: Správcem údajů je uživatel služby „cloud computing“: společnost například používá k organizování schůzek se svými zákazníky internetový diář. Používá-li společnost tuto službu v rámci činností své provozovny v EU, bude na základě čl. 4 odst. 1 písm. a) na toto zpracování údajů prostřednictvím internetového diáře použitelné právo EU. Společnost musí zajistit, aby služba poskytovala přiměřené záruky, co se týká ochrany údajů, zejména pokud jde o bezpečnost osobních údajů uchovávaných „v mraku“. Musí rovněž své zákazníky informovat o účelu a podmínkách používání jejich údajů. - 21 -
Správcem údajů může být v určitých případech rovněž poskytovatel služby „cloud computing“: tak tomu bude v případě, kdy poskytuje internetový diář, do něhož mohou soukromé strany nahrát údaje o veškerých svých osobních schůzkách, a nabízí služby s přidanou hodnotou, jako je synchronizace schůzek a kontaktů. Pokud poskytovatel služby „cloud computing“ používá prostředky v EU, bude se na něj na základě čl. 4 odst. 1 písm. c) vztahovat právo EU v oblasti ochrany osobních údajů. Jak je znázorněno níže, k použití směrnice nepovedou prostředky používané pouze pro účely tranzitu, použití však bude vyvoláno specifičtějšími prostředky, pokud například služba používá počítací zařízení či java skripty nebo instaluje tzv. cookies za účelem uchovávání a vyhledávání osobních údajů uživatelů. Poskytovatel služby „cloud computing“ musí poté uživatele informovat o způsobu zpracovávání, uchování údajů, o možném přístupu třetích stran k těmto údajům a musí zaručit vhodná bezpečnostní opatření na ochranu údajů. Příklad č. 9: Správce zveřejní seznamy pedofilů pro jednotlivé země Správce usazený v jednom z členských států EU/EHP zveřejní pro jednotlivé země seznamy osob, které jsou podezřelé ze spáchání trestných činů týkajících se nezletilých či byly za tyto trestné činy odsouzeny. Pokud jde o právo na ochranu osobních údajů osob uvedených v těchto seznamech, použitelným právem (podle něhož se posuzuje oprávněnost tohoto zpracování) jsou vnitrostátní právní předpisy o ochraně údajů členského státu, v němž je usazen správce. Pro určení použitelného práva v oblasti ochrany údajů není důležité, zda správce při zpracovávání údajů za tímto účelem používá prostředky v ostatních členských státech (např. internetové servery s různými názvy domén nejvyššího řádu, např. .fr, .it, .pl, atd.), nebo zda se přímo zaměřuje na občany z jiných zemí EU (např. zveřejněním seznamů jmen pro jednotlivé země v jazyce těchto zemí). Orgán dozoru v členském státě, v němž se nachází provozovna, může být každopádně ostatními orgány dozoru vyzván ke spolupráci, a to na základě stížností fyzických osob usazených v ostatních členských státech. V ostatních oblastech práva by bylo možno samozřejmě použít jiná kritéria týkající se souvislosti, tudíž použitelného práva, například k podání žaloby pro pomluvu podle trestního nebo občanského práva. c) „…ledaže jsou tyto prostředky použity pouze pro účely tranzitu přes území Společenství …“ Použití vnitrostátního práva členského státu EU je vyloučeno, pokud správce používá prostředky umístěné v daném členském státě pouze za účelem zajištění tranzitu přes území Unie, jako například v případě telekomunikačních sítí (kabely) nebo poštovních služeb, které zajišťují pouze tranzit přes území Unie s cílem dostat se do třetích zemí. Jelikož se jedná o výjimku z použití kritéria týkajícího se prostředků, měla by se vykládat úzce. Je třeba podotknout, že skutečné použití této výjimky není časté: v praxi stále více telekomunikačních služeb spojuje pouhý tranzit se službami s přidanou hodnotou, k nimž patří například filtrování spamu či jiné manipulace s daty při jejich přenosu. Pouhý kabelový přenos „z místa na místo“ postupně mizí. To je rovněž třeba mít na paměti při zvažování revize rámce pro ochranu údajů. - 22 -
d) „… musí určit zástupce usazeného na území členského státu …“ (čl. 4 odst. 2) Směrnice ukládá správci povinnost určit „zástupce“ na území členského státu, jehož právo je použitelné na základě používání prostředků ze strany zpracovatele v tomto členském státě ke zpracovávání osobních údajů. Tímto „není dotčena možnost podniknout právní kroky proti správci samotnému“. V tomto posledně uvedeném případě vyvolává otázka vymáhání práva vůči zástupci praktické problémy, jak ukazují zkušenosti členských států. Tak tomu bude například tehdy, je-li jediným zástupcem správce v EU právnická společnost. Ve vnitrostátních prováděcích předpisech neexistuje jednotná odpověď na otázku, zda lze zástupce považovat za odpovědného a namísto správce mu uložit sankce podle občanského nebo trestního práva. Rozhodující je povaha vztahu mezi zástupcem a správcem. V některých členských státech zástupce nahrazuje správce, a to rovněž s ohledem na prosazování práva a sankce, zatímco v ostatních má pouze pověření. Některé vnitrostátní právní předpisy výslovně stanoví pokuty vztahující se na zástupce28, zatímco v ostatních členských státech se tato možnost nepředpokládá29. V tomto ohledu je zapotřebí harmonizace na evropské úrovni s cílem zajistit větší účelnost úlohy zástupce. Subjekty údajů by měly mít zejména možnost uplatnit vůči zástupci svá práva, aniž by tím byla dotčena možnost podniknout právní kroky proti samotnému správci. III.4. Úvahy týkající se praktických důsledků použití čl. 4 odst. 1 písm. c) Rozhodující aspekt použití čl. 4 odst. 1 písm. c) souvisí s jeho praktickým důsledkem pro správce údajů. Ačkoliv je usazen mimo EU/EHP, bude muset uplatňovat zásady směrnice, používá-li prostředky umístěné na území EU ke zpracovávání osobních údajů. Je možno se ptát, zda zásady budou použitelné pouze na část zpracování, která se uskutečňuje v EU, nebo na správce jako takového, na všechny fáze zpracování, i když se uskutečňují ve třetí zemi. Tyto otázky mají obzvláštní význam v síťovém prostředí, jako je „cloud computing“, nebo v rámci nadnárodních společností. Uvažme například důsledky pro správce usazené v různých zemích světa, kteří nechávají údaje zpracovávat ve Francii, kde se nachází databáze a prostředky ke zpracování. Pokud infrastrukturu ve Francii používají různí správci, je použitelný čl. 4 odst. 1 písm. c) a všichni správci budou muset dodržovat francouzské právo. To může mít nežádoucí důsledky s ohledem na hospodářský dopad a vymahatelnost. Z praktických důvodů by bylo vhodné používání kritéria týkajícího se „prostředků/zařízení“ zmírnit, to je však vyváženo skutečností, že cílem zásad ochrany údajů je ochrana základního práva. Omezení práv fyzických osob na určité části zpracování jejich údajů se jeví jako nepřípustné. Přijatelné by nebylo ani omezení rozsahu ochrany na osoby s bydlištěm v EU, jelikož základní právo na ochranu osobních 28
29
Belgický zákon o ochraně údajů ze dne 8. prosince 1992, Úř. věst. ze dne 18. března 1993; nizozemský zákon ze dne 6. července 2000 o ochraně osobních údajů, Sbírka zákonů (Staadsblad) č. 302 ze dne 20. července 2000. Viz rovněž řecké právní předpisy (§ 3 odst. 3 písm. b) ve spojení s § 21 odst. 1 zákona č. 2472/1997). Francouzský zákon č. 78/17 ze dne 6. ledna 1978 například nestanoví takovýto druh pokut ukládaných zástupcům. - 23 -
údajů platí bez ohledu státní příslušnost nebo bydliště. Kritérium uvedené v čl. 4 odst. 1 písm. c) má tudíž za následek, že se zásady směrnice vztahují na správce jako takového, na všechny fáze zpracování, i když se uskutečňují ve třetí zemi. Použití směrnice na správce s ohledem na celé zpracování by mělo být podporováno, je-li souvislost s EU skutečná, a nikoli nejasná (jako například spíše náhodné než úmyslné použití prostředků v určitém členském státě). Z hlediska právní jistoty by mohl být vhodnější konkrétnější spojující činitel, který bere v úvahu příslušné „zaměření se“ na fyzické osoby, jako doplněk kritéria týkajícího se „prostředků/zařízení”, jak je blíže uvedeno v závěrech. Toto kritérium není nové a bylo v jiných souvislostech použito v právních předpisech EU30 a USA týkajících se ochrany dětí na internetu31. Tak je tomu rovněž v případě některých vnitrostátních předpisů k provedení směrnice 2000/31/ES o elektronickém obchodu32, kde se uvádí, že poskytovatelé, kteří nejsou usazeni v EHP, spadají do oblasti těchto vnitrostátních právních předpisů, poskytují-li služby zaměřené konkrétně na jejich území. Používání podobného kritéria v právních předpisech v oblasti ochrany údajů v EU by bylo možno uvážit během budoucích diskusí o revizi rámce pro ochranu údajů. Další praktický důsledek použití čl. 4 odst. 1 písm. c) se týká vzájemného vztahu mezi tímto ustanovením a články 25 a 26 směrnice. Skutečnost, že správce usazený mimo EU/EHP používá prostředky na území EU/EHP (a musí proto dodržovat veškerá příslušná ustanovení směrnice) by znamenala rovněž možné použití článků 25 a 26. V praxi však může být obtížné určit přesně důsledky takovéhoto scénáře. Pokud například správce X usazený mimo EHP shromažďuje osobní údaje pomocí prostředků umístěných na území EU (např. používáním tzv. cookies nebo prostřednictvím zpracovatele), musí směrnici dodržovat ve všech fázích zpracování. Zde existuje určitá paralela se situací, kdy správce usazený v EHP předává osobní údaje zpracovateli mimo EHP: rovněž v tomto případě budou správce i zpracovatel usazený mimo území EHP vázáni směrnicí. Způsob, jakým jsou tyto zásady uplatňovány v praxi v souladu s požadavky na odpovídající úroveň ochrany uvedené v článcích 25 a 26 směrnice, však není ve scénáři podle čl. 4 odst. 1 písm. c), který zahrnuje správce usazeného mimo EHP, zcela jasný. Pracovní skupina se domnívá, že je nutno blíže uvážit stávající nástroje, které upravují podmínky předávání, tak aby se více zabývaly touto situací.
30
31
32
Viz čl. 15 odst. 1 písm. c) nařízení Rady (ES) č. 44/2001 ze dne 22. prosince 2000 o příslušnosti a uznávání a výkonu soudních rozhodnutí v občanských a obchodních věcech (Úř. věst. L 12, 16.1.2001, s. 1), a pokud jde o jeho výklad, viz závěry generální advokátky Trstenjak ze dne 18. května 2010 ve věci C-144/09, Hotel Alpenhof. Použití COPPA (Children's Online Privacy Protection Act) může být založeno na sídle vydavatele v USA nebo na skutečnosti, že se internetové stránky zaměřují na děti v USA: zahraniční internetové stránky a internetové služby musí dodržovat COPPA, jsou-li zaměřeny na děti v USA či vědomé shromažďují či zveřejňují osobní údaje dětí v USA, viz 16 CFR 312.2, k dispozici na adrese http://www.ftc.gov/os/1999/10/64fr59888.pdf, s. 59912. Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu (směrnice o elektronickém obchodu), Úř. věst. L 178 , 17.7.2000, s. 1. - 24 -
III.5.
Právo použitelné na bezpečnostní opatření (čl. 17 odst. 3)
V čl. 17 odst. 3 se uvádí, že smlouva nebo právní akt, který zavazuje zpracovatele vůči správci, by měly rovněž zajistit dodržování bezpečnostních opatření „vymezených právními předpisy členského státu, ve kterém je usazen zpracovatel“. Důvodem této zásady je zajištění jednotných požadavků v rámci jednoho členského státu, pokud jde o bezpečnostní opatření, a snazší prosazování. Je však třeba uvést, že z evropského hlediska se bezpečnostní požadavky v jednotlivých členských státech značně liší: některé stanoví velmi podrobná pravidla, zatímco jiné pouze zkopírovaly obecné znění směrnice. Pokud jsou vnitrostátní právní předpisy obecné a jejich znění je převzato ze směrnice, nebude to mít žádné praktické důsledky. Pro zpracovatele nebude problém dodržet podrobnější povinnosti, které mu uloží správce podle svého vnitrostátního práva, nebo alternativně pro správce přijmout podrobnější požadavky podle právních předpisů zpracovatele. Pouze v případech, kdy se podrobná pravidla liší či jsou v rozporu, rozhoduje čl. 17 odst. 3 ve prospěch práva zpracovatele33. Zdá se však, že je vhodné, aby byla do diskusí o revizi rámce pro ochranu údajů zahrnuta další harmonizace povinností souvisejících s bezpečností. III.6. Pravomoc a spolupráce orgánů dozoru (čl. 28 odst. 6) Jak bylo uvedeno výše (viz bod II.2 písm. e)), čl. 28 odst. 6 má odstranit případnou mezeru mezi použitelným právem a příslušností orgánů dozoru, která může vzniknout v oblasti ochrany údajů na vnitřním trhu. Podle tohoto ustanovení mají vnitrostátní orgány pro ochranu údajů pravomoc dohlížet na uplatňování právních předpisů o ochraně údajů na území členského státu, v němž jsou usazeny. Je-li však na jejich území použitelné právo jiného členského státu, donucovací pravomoci orgánů pro ochranu údajů nebudou omezeny: kritéria týkající se použitelného práva uvedená ve směrnici stanoví možnost, že orgán pro ochranu údajů je oprávněn kontrolovat zpracování a zakročit, pokud se toto zpracování uskutečňuje na jeho území, a to i v případě, je-li použitelným právem právo jiného členského státu. III.6.a) „…orgán dozoru je oprávněn nezávisle na použitelném vnitrostátním právu …“ Toto ustanovení znamená, že vnitrostátní orgán dozoru je oprávněn jednat vždy v mezích své místní příslušnosti bez ohledu na skutečnost, zda je použitelným právem jeho vnitrostátní právo v oblasti ochrany údajů, či právo jiného členského státu. III.6.b) „…vykonávat na území vlastního členského státu pravomoci …“ Je-li použitelné právo v oblasti ochrany údajů jiného členského státu, může orgán dozoru na svém území plně vykonávat veškeré pravomoci, které mu byly uděleny vnitrostátním právním systémem. To zahrnuje vyšetřovací pravomoci, pravomoc zakročit, pravomoc účastnit se soudního řízení, pravomoc ukládat sankce. V případě účasti několika orgánů pro ochranu údajů, včetně orgánu v místě a orgánů členských států, jejichž právo je použitelné, je nezbytné, aby byla zajištěna spolupráce a aby byla jasná úloha každého orgánu pro ochranu údajů. Je proto nutno vyřešit řadu otázek, mj. zejména těchto: 33
To by mělo zamezit tomu, aby se určení zpracovatele údajů v jiné zemi s menšími povinnostmi pokládalo za porušení povinností správce údajů. - 25 -
-
procesní záležitosti, jako je určení vedoucího orgánu a způsob spolupráce s ostatními orgány pro ochranu údajů; rozsah pravomocí, které mají vykonávat jednotlivé orgány pro ochranu údajů. Zejména to, jak dalece bude orgán dozoru v daném místě vykonávat své pravomoci, pokud jde o uplatňování hmotněprávních zásad a ukládání sankcí. Měl by omezit uplatňování svých pravomocí na ověření skutečností, může přijmout předběžná donucovací opatření či dokonce konečná opatření? Může podat vlastní výklad ustanovení použitelného práva, nebo je to výsadou orgánu pro ochranu údajů v členském státě, jehož právo je použitelné? V této souvislosti je nutno podotknout, že ne všechny vnitrostátní právní předpisy stanoví možnost uložit sankce všem zúčastněným stranám34.
Vysoká úroveň harmonizace pravomocí v oblasti dozoru, které byly uděleny orgánům dozoru podle článku 28 směrnice, je základní podmínkou pro zaručení toho, aby byla účinným a nediskriminačním způsobem zajištěna přeshraniční ochrana údajů. Tato otázka si zaslouží další analýzu a pokyny v tomto ohledu pracovní skupina poskytne ve zvláštním dokumentu. Příklad č. 10: Přeshraniční zpracování osobních údajů uvnitř EU Činnosti spojené se zpracováním se uskutečňují ve Spojeném království, avšak v rámci činností provozovny správce usazeného v Německu. To bude mít tyto důsledky: –
na zpracování ve Spojeném království bude použitelné německé právo;
– orgán pro ochranu údajů ve Spojeném království musí mít pravomoc zkontrolovat obchodní prostory ve Spojeném království a vypracovat zjištění, která budou předána německému orgánu pro ochranu údajů; – německý orgán pro ochranu údajů by měl mít možnost uložit na základě zjištění orgánu pro ochranu údajů ve Spojeném království sankci správci usazenému v Německu. Dodatečně platí, že je-li provozovna ve Spojeném království zpracovatelem, vztahují se na bezpečnostní aspekty zpracování požadavky práva Spojeného království v oblasti ochrany údajů. To poté vede k otázce, jak by bylo možno náležitě vymáhat dodržování požadavků tohoto práva. III.6.c) „…vzájemně spolupracují v míře nezbytné pro plnění jejich úkolů …“ Orgány dozoru mají povinnost spolupracovat, tato povinnost je však současně omezena na to, co je nezbytné pro plnění jejich úkolů. Žádosti o spolupráci by proto měly souviset s výkonem jejich pravomocí a obvykle se týkají případů s přeshraničním významem. Ustanovení odkazuje zejména na výměnu „veškerých užitečných informací“, což by mohlo souviset například s informacemi o příslušných předpisech a právních nástrojích použitelných na daný případ. Spolupráce se však bude pravděpodobně uskutečňovat 34
Řecké právní předpisy například stanoví sankce pouze pro správce údajů a jejich zástupce, a nikoli pro zpracovatele. - 26 -
rovněž na různých úrovních: vyřizování přeshraničních stížností, shromažďování důkazů pro jiné orgány pro ochranu údajů nebo ukládání sankcí. Tato otázka je ještě naléhavější v mezinárodním kontextu, v případě správců působících na celosvětové úrovni, a vyžaduje zlepšení, pokud jde o spolupráci při prosazování. Nezbytným a vítaným krokem v tomto ohledu jsou iniciativy jako síť „Global Privacy Enforcement Network (GPEN)“, v níž jsou zapojeny orgány pro ochranu údajů z různých světadílů. Příklad č. 11: Sociální síť s ústředím ve třetí zemi a s provozovnou v EU Sociální síťová platforma má své ústředí ve třetí zemi a provozovnu v jednom z členských států. Provozovna stanoví a provádí politiky týkající se zpracovávání osobních údajů rezidentů EU. Sociální síť se aktivně zaměřuje na rezidenty ze všech členských států EU, kteří představují významnou část jejich zákazníků a příjmů. Rovněž instaluje cookies v osobních počítačích uživatelů v EU. V tomto případě bude podle čl. 4 odst. 1 písm. a) použitelným právem právo v oblasti ochrany údajů členského státu, v němž se nachází provozovna v EU. Otázka, zda sociální síť používá prostředky umístěné na území jiného členského státu, není důležitá, jelikož se veškeré zpracování uskutečňuje v rámci činností jediné provozovny a směrnice vylučuje kumulativní použití čl. 4 odst. 1 písm. a) a c). Orgán dozoru v členském státě, v němž je usazena sociální síť v EU, však bude mít podle čl. 28 odst. 6 povinnost spolupracovat s ostatními orgány dozoru, například za účelem vyřizování žádostí nebo stížností podaných rezidenty jiných členských států EU. Příklad č. 12: Evropská platforma e-Zdraví (e-health) Na evropské úrovni je zřízena platforma s cílem usnadnit zpracování při přeshraničním nakládání se záznamy pacientů. V zájmu usnadnění poskytování zdravotní péče při cestě do zahraničí umožňuje platforma výměnu souborů se souhrnnými údaji o pacientech, záznamů o léčení a lékařských předpisů. Ačkoliv platforma usnadňuje výměnu informací, v každém členském státě bude existovat jedna či více provozoven, v rámci jejichž činností se zpracovávají údaje pacientů. Potřebuje-li například bulharský rezident cestující do Portugalska neodkladné ošetření, jeho záznam bude prostřednictvím platformy zpracován portugalskými zdravotními službami podle portugalského práva v oblasti ochrany údajů. Pokud by pacient po návratu do Bulharska chtěl požadovat nápravu s ohledem na zpracování jeho údajů portugalským správcem, podá nejprve stížnost bulharskému orgánu pro ochranu údajů. Bulharský orgán pro ochranu údajů poté spolupracuje se svým portugalským protějškem, aby zjistil skutečnosti a ověřil, zda podle portugalských právních předpisů došlo k protiprávnímu jednání.
- 27 -
Jestliže do fungování platformy zasáhne Evropská komise tím, že zorganizuje toky osobních údajů a zaručí bezpečnost systému, může se rovněž mít za to, že zpracovává osobní údaje, což by vedlo k použití nařízení (ES) č. 45/2001. Pokud by si ve výše uvedeném příkladu bulharský občan stěžoval na nedodržení bezpečnosti s ohledem na jeho lékařské údaje, bude za účelem určení podmínek a důsledků tohoto porušení bulharský orgán pro ochranu údajů spolupracovat s evropským inspektorem ochrany údajů. IV.
Závěry
Cílem tohoto stanoviska je objasnit oblast působnosti směrnice 95/46/ES, a zejména článku 4 zmíněné směrnice. Vyzdvihuje však rovněž některé oblasti, v nichž by bylo možné další zlepšení. Níže jsou shrnuta hlavní zjištění v těchto dvou ohledech. IV.1. Objasnění stávajících ustanovení Určení použití práva EU na zpracování osobních údajů má objasnit oblast působnosti práva EU v oblasti ochrany údajů v EU/EHP i v širším mezinárodním kontextu. Jednoznačná shoda ohledně použitelného práva pomůže zajistit právní jistotu pro správce a jasný rámec pro fyzické osoby a ostatní zúčastněné strany. Správné pochopení ustanovení o použitelných právních předpisech by mělo mimoto zajistit, aby ve vysoké úrovni ochrany osobních údajů, kterou zajišťuje směrnice 95/46, nebylo možno zjistit žádné trhliny nebo mezery. Hlavním ustanovením o použitelném právu je článek 4, který určuje, které vnitrostátní právní předpisy o ochraně údajů přijaté na základě směrnice mohou být použitelné na zpracování osobních údajů. Podle čl. 4 odst. 1 písm. a) musí členský stát použít své vnitrostátní právní předpisy o ochraně údajů, je-li zpracování prováděno v rámci provozovny správce na území tohoto členského státu. Klíčem k určení příslušné provozovny pro účely čl. 4 odst. 1 písm. a) je to, zda dotyčná organizace vykonává činnosti účinně a skutečně. Odkaz na („jakoukoli“) provozovnu znamená, že k použitelnosti práva určitého členského státu vede umístění provozovny správce v tomto členském státě a právní předpisy ostatních členských států by mohly být použitelné na základě umístění jiných provozoven zmíněného správce v těchto členských státech. Rozhodujícím činitelem při určování oblasti působnosti použitelného práva je pojem „rámec činností“, a nikoli umístění údajů. Z pojmu „rámec činností“ vyplývá, že použitelným právem není právo členského státu, v němž je správce usazen, nýbrž kde se provozovna správce podílí na činnostech implikujících zpracování osobních údajů. V této souvislosti je zásadní míra zapojení provozovny (provozoven) do činností, v jejichž rámci jsou zpracovávány osobní údaje. Mimoto je třeba vzít v úvahu povahu činností provozoven a nutnost zaručit účinnou ochranu práv fyzických osob. Při analýze těchto kritérií je nutno použít funkční přístup: spíše než teoretický údaj o použitelném právu uvedený stranami by rozhodující mělo být jejich chování v praxi a vzájemný vztah. Ustanovení čl. 4 odst. 1 písm. b) se zabývá méně obvyklým případem, kdy se právo určitého členského státu v oblasti ochrany údajů použije tehdy, pokud „správce není usazen na území členského státu, ale v místě, kde se vnitrostátní právní předpisy daného - 28 -
členského státu uplatňují na základě mezinárodního práva veřejného“. Vnější kritéria vyplývající z mezinárodního práva veřejného budou určovat zvláštní případy rozšíření použití vnitrostátního práva v oblasti ochrany údajů mimo hranice státu, například v případě velvyslanectví nebo plavidel. Ustanovení čl. 4 odst. 1 písm. c) má zajistit právo na ochranu osobních údajů podle směrnice EU i v případě, že správce není usazen na území EU/EHP, zpracování je však určitým způsobem spojeno s EU/EHP. V zájmu zajištění soudržnosti článku 4 a s cílem zamezit mezerám při uplatňování práva v oblasti ochrany údajů se pracovní skupina domnívá, že by použití čl. 4 odst. 1 písm. c) neměla bránit existence provozovny správce na území Společenství, pokud tato provozovna není relevantní provozovnou pro účely čl. 4 odst. 1 písm. a). Ustanovení o „používání prostředků“ v čl. 4 odst. 1 písm. c) by se místo toho mělo použít v případech, kdy v EU/EHP neexistuje žádná provozovna, která by vedla k použití čl. 4 odst. 1 písm. a), nebo pokud zpracování není prováděno v rámci této provozovny. Rozhodujícím prvkem, který určuje použitelnost čl. 4 odst. 1 písm. c), a tudíž práva určitého členského státu v oblasti ochrany údajů, je používání prostředků umístěných na území daného členského státu. Pojem „používání“ předpokládá dva prvky: určitý druh činnosti správce a jednoznačný záměr správce zpracovávat osobní údaje. Z toho vyplývá, že ačkoliv ne každé použití prostředků v EU/EHP vede k použití směrnice, k tomu, aby se na zpracování vztahovala oblast působnosti směrnice, není nutné, aby správce tyto prostředky pro zpracování vlastnil nebo měl nad nimi úplnou kontrolu. Co se týká anglického výrazu „equipment“, pro nějž byl v ostatních jazycích EU použit výraz „prostředky“ (anglicky „means“), toto by mohlo vést k širokému výkladu kritérií ve prospěch rozsáhlé oblasti působnosti. Takovýto výklad může v některých případech vést k tomu, že evropské právo v oblasti ochrany údajů je použitelné i v případě, kdy dotyčné zpracování nemá žádnou skutečnou souvislost s EU/EHP. Zpracování osobních údajů správcem usazeným mimo EU/EHP pomocí prostředků v EU/EHP každopádně povede k použití směrnice podle čl. 4 odst. 1 písm. c), což znamená, že jsou použitelná rovněž všechna ostatní příslušná ustanovení směrnice. Použití vnitrostátního práva určitého členského státu je vyloučeno, pokud se prostředky používané správcem, které jsou umístěny v určitém členském státě, používají pouze k zajištění tranzitu přes území Společenství, například v případě telekomunikačních sítí (kabely) nebo poštovních služeb, které pouze zajišťují tranzit přes území Unie s cílem dostat se do třetích zemí. Ustanovení čl. 4 odst. 2 ukládá správci povinnost určit zástupce na území členského státu, jehož právo je použitelné na základě používání prostředků v tomto členském státě ze strany správce ke zpracování osobních údajů. V tomto posledně uvedeném případě může být problematické vymáhání právních předpisů vůči zástupci. V čl. 17 odst. 3 je uvedeno, že smlouva nebo právní akt, který zavazuje zpracovatele vůči správci, by měl rovněž stanovit, že zpracovatel musí dodržet bezpečnostní opatření „vymezená právními předpisy členského státu, ve kterém je usazen zpracovatel“. Důvodem této zásady je zajištění jednotných požadavků v rámci jednoho členského státu, pokud jde o bezpečnostní opatření, a snazší prosazování.
- 29 -
Cílem čl. 28 odst. 6 je odstranit možnou mezeru mezi použitelným právem a příslušností orgánů dozoru, která může vzniknout v oblasti ochrany údajů na vnitřním trhu, a to stanovením, že orgán pro ochranu údajů by měl být schopen využívat své pravomoci kontrolovat zpracování a zakročit, pokud se toto zpracování uskutečňuje na jeho území, i když je použitelným právem právo jiného členského státu. IV.2. Zlepšení stávajících ustanovení Ačkoliv by výše uvedené údaje a příklady měly přispět k zvýšení právní jistoty a ochrany práv fyzických osob při určení práva použitelného na zpracování osobních údajů, během jejich vypracovávání byly zjištěny určité nedostatky. Znění použité ve směrnici a soudržnosti mezi jednotlivými částmi článku 4 by prospělo další objasnění jakožto součást revize obecného rámce pro ochranu údajů. Pracovní skupina zjistila, že takovéto další objasnění je nezbytné v několika oblastech: a.
Je třeba se zabývat rozpory ve znění použitém v čl. 4 odst. 1 písm. a) a c), pokud jde o „provozovnu“ a formulaci, že správce „není usazen“ v EU. V zájmu zajištění soudržnosti s čl. 4 odst. 1 písm. a), které používá kritérium týkající se „provozovny“, by se ustanovení čl. 4 odst. 1 písm. c) mělo použít ve všech případech, kdy v EU neexistuje provozovna, která by vedla k použití čl. 4 odst. 1 písm. a), nebo pokud zpracování není prováděno v rámci činností této provozovny.
b.
Určité objasnění by bylo užitečné rovněž s ohledem na pojem „rámec činností“ provozovny. Pracovní skupina zdůrazňuje nutnost posoudit míru zapojení provozovny (provozoven) do činností, v jejichž rámci jsou zpracovávány osobní údaje, neboli jinými slovy ověřit „kdo co dělá“ v které provozovně. Výklad tohoto kritéria přihlíží k přípravné práci na směrnici a cíli stanovenému v té době, kterým je zachování rozdělení vnitrostátních právních předpisů použitelných na různé provozovny správce v EU. Pracovní skupina má za to, že čl. 4 odst. 1 písm. a) v současné podobě vede k funkčnímu, někdy však složitému řešení, což (jak se zdá) hovoří ve prospěch centralizovanějšího a harmonizovanějšího přístupu.
c.
Změna navrhovaná za účelem zjednodušení pravidel pro určování použitelného práva by spočívala v návratu k zásadě země původu: všechny provozovny správce v EU by pak používaly stejné právo bez ohledu na území, na němž se nacházejí. Z tohoto hlediska by prvním kritériem, které se použije, bylo umístění hlavní provozovny správce. Skutečnost, že v EU existuje několik provozoven, nevede k používání různých vnitrostátních právních předpisů.
d.
To by však mohlo být přijatelné pouze tehdy, neexistují-li mezi právními předpisy členských států žádné významné rozdíly. Účinné uplatňování zásady země původu by jinak vedlo k libovolnému určování příslušnosti ve prospěch členských států, jejichž právní předpisy jsou považovány za tolerantnější k správcům údajů. To by mohlo zjevně poškodit rovněž subjekty údajů. Právní jistota správců údajů a subjektů údajů bude zaručena pouze tehdy, bude-li dosaženo úplné harmonizace vnitrostátních právních předpisů, včetně harmonizace povinností souvisejících s bezpečností. Pracovní skupina proto podporuje důslednou harmonizaci zásad ochrany údajů, rovněž jako podmínku pro možný přechod na zásadu země původu.
- 30 -
e.
Je-li správce usazen mimo EU, měla by se použít dodatečná kritéria s cílem zajistit, aby existovala dostatečná souvislost s územím EU, a zamezit tomu, aby na území EU docházelo k provádění protiprávních činností spojených se zpracováním údajů ze strany správců usazených ve třetích zemích. V tomto ohledu by bylo možno vypracovat dvě kritéria: − Zaměření se na fyzické osoby nebo „přístup orientovaný na služby“: to by zahrnovalo zavedení kritéria pro určení použitelnosti práva EU v oblasti ochrany údajů, které je založeno na tom, že činnost zahrnující zpracování osobních údajů je zaměřena na fyzické osoby v EU. To by muselo spočívat ve významném zaměření na základě skutečné vazby mezi fyzickou osobou a určitou zemí EU nebo s přihlédnutím k této vazbě. Níže uvedené příklady dokládají, v čem by zaměření mohlo spočívat: skutečnost, že správce údajů shromažďuje osobní údaje v rámci služeb, které jsou dostupné výhradně pro rezidenty EU nebo zaměřené na tyto rezidenty, uvedení informací v jazycích EU, poskytování služeb nebo výrobků v zemích EU, dostupnost služby v závislosti na používání kreditní karty EU, zasílání reklamy v jazyce uživatele nebo reklamy na výrobky a služby dostupné v EU. Pracovní skupina podotýká, že se toto kritérium již používá v oblasti ochrany spotřebitele: jeho použití v souvislosti s ochranou údajů by správcům poskytlo dodatečnou právní jistotu, jelikož by museli uplatňovat stejné kritérium na činnosti, které často vedou k použití pravidel týkajících se ochrany spotřebitele i ochrany údajů. − Kritérium týkající se prostředků/zařízení: ukázalo se, že toto kritérium má nežádoucí důsledky, například možné všeobecné uplatňování práva EU. Nicméně je nutné předejít případům, kdy by mezera v právních předpisech umožnila, aby byla EU využívána jako útočiště pro údaje, jestliže například činnost spojená se zpracováním vyvolává nepřípustné etické otázky. Kritérium týkající se prostředků/zařízení by proto mělo být z hlediska základních práv zachováno, a to pouze ve zbytkové podobě. Poté by se používalo pouze jako třetí možnost, pokud by nebylo možné uplatnit druhé dvě možnosti: zabývalo by se mezními případy (údaje o subjektech údajů ze zemí mimo EU, správci, kteří nemají žádnou souvislost s EU), existuje-li v EU příslušná infrastruktura spojená se zpracováváním údajů. V posledně uvedeném případě může být stanoveno, že se použijí pouze určité zásady ochrany údajů – například oprávněnost a bezpečnostní opatření. Tento přístup, který by zjevně podléhal dalšímu vývoji a zpřesnění, by pravděpodobně vyřešil většinu problémů ve stávajícím čl. 4 odst. 1 písm. c).
f.
Jako poslední doporučení pracovní skupina požaduje větší harmonizaci, pokud jde o povinnost správců usazených ve třetích zemích určit zástupce v EU, s cílem zajistit větší účelnost úlohy zástupce. Zejména je nutno objasnit, nakolik by subjekty údajů mohly účinně uplatňovat vůči zástupci svá práva. V Bruselu dne 16. prosince 2010 Za pracovní skupinu předseda Jacob KOHNSTAMM - 31 -
PŘÍLOHA Ustanovení čl. 4 odst. 1 písm. a)
Má správce provozovnu / provozovny v jednom či více členských státech? (bod III.1)
Provádí se zpracování v rámci činností zmíněné provozovny (či jiné provozovny v témže Ano členském státě)? (bod III.1 písm. b))
Je použitelné vnitrostátní právo daného členského státu. Ano
Ne Provádí se zpracování v rámci činností provozovny na území jiného členského státu? (bod III.1 písm. b))
Ne
Ne
Pokračovat k čl. 4 odst. 1 písm. b).
Pokračovat k čl. 4 odst. 1 písm. b).
Ustanovení čl. 4 odst. 1 písm. b)
Začít u čl. 4 odst. 1 písm. a).
Je správce usazen v místě, kde se vnitrostátní právní předpisy daného členského státu uplatňují na základě mezinárodního práva veřejného? (bod III.2)
Je použitelné vnitrostátní právo daného členského státu. Ano
Ne Pokračovat k čl. 4 odst. 1 písm. c).
- 32 -
Je použitelné vnitrostátní právo tohoto jiného členského státu. Ano
Ustanovení čl. 4 odst. 1 písm. c)
Začít u čl. 4 odst. 1 písm. a) a b).
Používá správce automatizované či neautomatizované prostředky umístěné na území členského státu? (bod III.3 písm. b))
Ne Vnitrostátní právo daného členského státu není použitelné.
Používají se tyto prostředky výhradně pro účely tranzitu? (bod III.3 písm. c)) Ano
Je použitelné vnitrostátní právo daného členského státu. Ne
Ano Vnitrostátní právo daného členského státu není použitelné.
- 33 -