Pracovní skupina pro ochranu údajů zřízená podle článku 29
02072/07/CS WP 141
Stanovisko 8/2007 k úrovni ochrany osobních údajů v Jersey
přijaté dne 9. října 2007
Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES. Je nezávislým evropským poradním orgánem ve věcech ochrany údajů a soukromí. Její úloha je popsána v článku 30 směrnice 95/46/ES a článku 15 směrnice 2002/58/ES. Služby sekretariátu zajišťuje ředitelství C (Občanská spravedlnost, práva a občanství) Evropské komise, generální ředitelství pro spravedlnost, svobodu a bezpečnost, B-1049 Brusel, Belgie, kancelář č. LX-46 06/80. Internetová stránka: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
STANOVISKO PRACOVNÍ SKUPINY PRO OCHRANU FYZICKÝCH OSOB V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ zřízené směrnicí 95/46/ES Evropského parlamentu a Rady ze dne 24. října 1995 k úrovni ochrany osobních údajů v Jersey
PRACOVNÍ SKUPINA PRO OCHRANU FYZICKÝCH OSOB V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ,
s ohledem na směrnici 95/46/ES Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů1 (dále jen „směrnice“), a zejména na článek 29 a čl. 30 odst. 1 písm. b) uvedené směrnice, s ohledem na svůj jednací řád2, a zejména na články 12 a 14 uvedeného řádu, PŘIJALA TOTO STANOVISKO: 1.
ÚVOD: ZÁKON O OCHRANĚ ÚDAJŮ V JERSEY
1.1. Statut Normanských ostrovů a ostrova Jersey Normanské ostrovy tvoří pět hlavních ostrovů: Jersey, Guernsey, Alderney, Herm a Sark v Lamanšském průlivu, v zálivu St. Malo u severozápadního pobřeží Francie. Tyto ostrovy nejsou součástí Spojeného království a nemají zastoupení v parlamentu ve Westminsteru. Na základě ústavy jsou rozděleny na správní oblasti Guernsey a Jersey. Správní oblast Jersey je závislé území Spojeného království. Spojené království odpovídá za mezinárodní záležitosti a obranu ostrova Jersey. V otázkách vnitřních záležitostí, včetně ochrany osobních údajů, je Jersey samosprávnou oblastí. Ačkoliv jsou orgány Spojeného království odpovědné za jednání o všech mezinárodních smlouvách, jejich ratifikace ze strany Spojeného království se netýká Jersey, pokud o to orgány této správní oblasti nepožádají.
1 2
Úř. věst. L 281, 23.11.1995, s. 31 dostupná na internetové stránce: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
Přijatý pracovní skupinou na třetím zasedání konaném dne 11. září1996.
2
Jersey je součástí celního území Společenství. Na obchod mezi Jersey a státy, které nejsou členy Společenství, se vztahuje společný celní sazebník, daně a ostatní opatření pro dovoz zemědělských produktů a v rámci obchodu mezi Jersey a Společenstvím je zaveden volný pohyb zboží. Avšak ostatní předpisy Společenství, včetně předpisů týkajících se ochrany osobních údajů, se na tuto oblast nevztahují. V době, kdy Spojené království provedlo uvedenou směrnici do svého práva, uvedly orgány Jersey, že se tyto právní předpisy nebudou na jejich území vztahovat. Poté správní oblast Jersey zavedla své vlastní právní předpisy o ochraně osobních údajů. Podle článku 299 Smlouvy o založení Evropského společenství se uvedená směrnice nevztahuje na Jersey, které se tímto řadí mezi třetí země ve smyslu článku 25 a 26 uvedené směrnice. 1.2. Stávající právní rámec pro ochranu údajů: Jménem uvedené správní oblasti byly ratifikovány tyto úmluvy: Evropská úmluva o ochraně lidských práv a základních svobod, Mezinárodní pakt o občanských a politických právech, Mezinárodní pakt o ekonomických, sociálních a kulturních právech, Úmluva OSN o odstranění všech forem rasové diskriminace. Úmluva Rady Evropy o ochraně osob s ohledem na automatizované zpracování osobních údajů (Úmluva č. 108). Zákon (správní oblasti Jersey) o ochraně osobních údajů z roku 1987, který vstoupil v platnost dne 11. listopadu 1987, vycházel ze zákona Spojeného království o ochraně osobních údajů z roku 1984, ačkoliv orgán dozoru, úřad registračního úředníka pro ochranu osobních údajů, nebyl nezávislým správním orgánem, ale spadal pod kontrolu vlády. Zásadní reformu přinesl zákon (správní oblasti Jersey) o ochraně osobních údajů z roku 2005, který byl vytvořen podle zákona Spojeného království o ochraně osobních údajů z roku 1998 a podle sekundárních právních předpisů přijatých na základě tohoto zákona. Jeho účelem je zohlednit požadavky uvedené směrnice. 2.
ZÁKONA SPRÁVNÍ OBLASTI JERSEY O OCHRANĚ OSOBNÍCH ÚDAJŮ Z HLEDISKA ZAJIŠTĚNÍ JEJICH ODPOVÍDAJÍCÍ OCHRANY
POSOUZENÍ
Pracovní skupina pro ochranu osobních údajů zřízená podle článku 29 („pracovní skupina“) posuzuje přiměřenost zákona o ochraně osobních údajů v Jersey s odkazem na zákon (správní oblasti Jersey) o ochraně údajů z roku 2005 („zákon správní oblasti Jersey“). Metodická hlediska Metodická hlediska pro hodnocení režimu ochrany osobních údajů správní oblasti Jersey stanoví pracovní skupina ve svém dokumentu Předávání osobních údajů do třetích zemí: uplatnění článku 25 a 26 směrnice EU o ochraně osobních údajů (WP 12 5025/98).3 Tato hlediska lze rozčlenit takto:
3
Viz též Evropská komise, Preparation of a methodology for evaluating the adequacy of the level of protection of individuals with regard to the processing of personal data (Lucemburk: Úřad pro úřední tisky ES, 1998).
3
1. Obsahové zásady • • • • • • •
Omezení účelu Kvalita a přiměřenost údajů Transparentnost Zabezpečení údajů Práva na přístup, opravu a námitku Omezení následného předávání údajů Dodatečné zásady, které je třeba použít na zvláštní typy zpracování údajů, například (i) zpracování citlivých údajů, (ii) přímý marketing a (iii) automatizovaná rozhodnutí
2. Procedurální mechanismy / mechanismy prosazování • Zajištění dobré úrovně dodržování předpisů • Podpora jednotlivých subjektů údajů • Poskytnutí náležitého odškodnění poškozeným stranám Definice a oblast působnosti zákona Předmluva zákona uvádí, že účelem tohoto opatření je „zajistit novou úpravu zpracování informací týkajících se fyzických osob, včetně získávání, uchovávání, použití nebo zveřejnění těchto informací, a postupů pro účely s nimi souvisejícími a spojenými“. Zákon (správní oblasti Jersey) o ochraně údajů zavádí tyto definice hlavních pojmů v oblasti ochrany osobních údajů: Osobní údaje Osobní údaje jsou údaje týkající se živé osoby, kterou lze identifikovat– (a) podle těchto údajů nebo (b) podle těchto údajů a dalších informací, které má k dispozici nebo bude pravděpodobně mít k dispozici správce příslušných údajů, a zahrnují jakékoli vyjádření názoru na danou osobu, kterou lze takto identifikovat, a jakýkoli náznak záměrů správce údajů nebo jiné osoby vůči určité osobě, kterou lze takto identifikovat; 4 Tato definice se liší od definice zavedené ve směrnici. Zákon správní oblasti Jersey požaduje, aby byla určitá osoba identifikována na základě informací, které má nebo pravděpodobně bude mít k dispozici správce příslušných údajů. Směrnice naopak v článku 2 stanoví, že identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity a v 26. bodě odůvodnění upřesňuje, že pro určení, zda je osoba identifikovatelná, je třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou pro identifikaci dané osoby. To znamená, že tam, kde se informace týkají určité fyzické osoby, kterou může identifikovat nikoli správce, ale jiná osoba, by tyto informace byly chráněny podle směrnice, zatímco tam, kde identifikační informace získá správce údajů, by byly tyto informace chráněny pouze zákonem správní oblasti Jersey. 4
Článek 1.
4
Pokud jde o výraz „týkající se“ obsažený v definici, je třeba zmínit význam precedenčního práva Spojeného království zavedeného ve věci Durant. V tomto rozhodnutí odvolací soud Spojeného království stanovil dva pojmy pro lepší objasnění toho, zda se údaje „týkají“ určité osoby a jsou tedy „osobními údaji“ ve smyslu zákona Spojeného království o ochraně osobních údajů. Tyto pojmy se týkají toho, zda jsou údaje „biografické ve významném smyslu“ a zda jsou „informace zaměřeny“ na subjekt údajů, a jsou součástí obecnějšího zvážení v případě pochyb, zda jsou určité údaje informacemi majícími dopad na soukromí subjektu údajů. Vzhledem k silné provázanosti právního systému ostrova Jersey a jeho anglického protějšku, kdy u odvolacího soudu správní oblasti Jersey pracují angličtí právníci, může být podle tohoto případu následně postupováno. Protože však takovýto výklad omezuje definici osobních údajů uvedenou ve směrnici, může to ohrozit míru ochrany osobních údajů zajišťovanou právními předpisy správní oblasti Jersey. Příslušný rejstřík Pojem „příslušný rejstřík“ je v právních předpisech definován jako: jakýkoli soubor informací týkající se fyzických osob v tom smyslu, že i když informace nejsou zpracovávány pomocí automatizovaných prostředků podle pokynů vydaných za tímto účelem, je tento soubor uspořádán buď s odkazem na fyzické osoby nebo s odkazem na kritéria týkající se fyzických osob tak, aby byly konkrétní informace týkající se určité osoby snadno přístupné5. Zákon správní oblasti Jersey používá stejnou formulaci jako zákon Spojeného království o ochraně údajů z roku 1988, která byla uplatněna restriktivně precedenčním právem odvozeným z rozhodnutí odvolacího soudu ve věci Durant proti. Úřadu pro finanční služby6. Odvolací soud dospěl k závěru, že „‘příslušný rejstřík’ pro účely uvedeného zákona je omezen na systém,: 1) v němž jsou záznamy, které ho tvoří, uspořádány nebo je na ně odkazováno způsobem, jenž na počátku vyhledávání jasně udává, zda konkrétní informace, které mohou představovat osobní údaje o určité fyzické osobě, která je požaduje podle § 7, jsou v systému obsaženy a pokud ano, v kterém záznamu nebo záznamech; a 2) který má jako součást vlastního uspořádání nebo mechanismu odkazování prostředky na patřičné technické úrovni pro okamžité a dostatečně podrobné zjištění, zda a kde lze v jednotlivém záznamu nebo záznamech okamžitě lokalizovat konkrétní kritéria nebo informace o žadateli.” Tento výklad je více omezující než uvádí směrnice, která definuje rejstřík jako jakýkoli uspořádaný soubor osobních údajů přístupných podle určených kritérií, ať již je tento soubor centralizován, decentralizován nebo rozdělen podle funkčního či zeměpisného hlediska, a v 27. bodě odůvodnění upřesňuje, že obsah rejstříku musí být zejména uspořádán podle stanovených hledisek týkajících se osob, která umožňují snadný přístup k osobním údajům. Proto v těch případech, kdy je soubor uspořádán podle stanovených hledisek týkajících se osob a umožňujících snadný přístup k osobním údajům, ale kde nejsou splněny podmínky stanovené příslušným soudem (například tam, kde jsou informace o určité fyzické osobě obsaženy v záznamu, který není dále rozčleněn na složky uvádějící, jaký druh informací se zde uchovává), by tyto informace nepodléhaly ochraně v rámci uvedeného zákona, jelikož by se na ně měla vztahovat pravidla ochrany údajů obsažená ve směrnici. Vzhledem k silné provázanosti právního systému ostrova Jersey a jeho anglického protějšku, kdy 5 6
Článek 1. [2003] EWCA Civ 1746.
5
u odvolacího soudu správní oblasti Jersey pracují angličtí právníci, může být podle tohoto případu následně postupováno. Avšak pravděpodobný rozsah případného předávání těchto typů méně uspořádaných manuálních záznamů z nějakého členského státu EU na ostrov Jersey je malý. Proto tato situace nepředstavuje žádnou závažnou překážku pro posouzení zákona správní oblasti Jersey jako zákona poskytujícího odpovídající ochranu z hlediska nakládání s manuálními systémy záznamů. 2.1.
Obsahové zásady
Základní zásady Zásada omezení účelu vyžaduje, aby byly údaje zpracovávány pro stanovený účel a následně použity nebo sděleny dále pouze v míře slučitelné s účelem předání. Jedinými výjimkami z tohoto pravidla by byly výjimky požadované demokratickou společností na základě jednoho z důvodů uvedených v článku 13 směrnice. Výjimky lze také udělit podle článku 9 směrnice, jsou-li nezbytné pro zaručení svobody projevu. Pracovní skupina došla k závěru, že Jersey tento požadavek dodržuje. Druhá a pátá zásada ochrany osobních údajů v první části doložky zákona stanoví, že osobní údaje musí být získávány pouze pro stanovené a zákonné účely, že tyto údaje nesmí být dále zpracovávány žádným způsobem neslučitelným s tímto účelem nebo účely a že tyto údaje nebudou uchovávány déle, než je nezbytně nutné pro tento účel či účely. Zásada kvality a přiměřenosti údajů vyžaduje, aby byly údaje přesné a v případě potřeby aktualizované. Údaje musí být přiměřené, relevantní a nikoli přebytečné ve vztahu k účelům, pro které jsou předávány a dále zpracovávány. Ve své třetí a čtvrté zásadě v oblasti ochrany osobních údajů požaduje zákon správní oblasti Jersey, aby byly osobní údaje přiměřené, relevantní a nebyly přebytečné ve vztahu k účelu nebo účelům, pro které jsou zpracovávány, a aby byly přesné a v případě potřeby aktualizované. Pracovní skupina považuje proto tento požadavek ze strany zákona správní oblasti Jersey za splněný. Zásada transparentnosti údajů požaduje, aby byly fyzickým osobám poskytovány informace ohledně účelu zpracování údajů a totožnosti správce údajů ve třetí zemi a další informace v míře potřebné pro zajištění řádného zpracování. Výjimky by měly být povolovány pouze v souladu s čl. 11 odst. 2 a článkem 13 směrnice. Tento požadavek byl splněn v čl. 7 odst. 1 zákona správní oblasti Jersey, doplněného odstavcem 2 a 5 druhé části první doložky zákona. Zákon správní oblasti Jersey stanoví výjimky z uplatnění zásady transparentnosti. Obecně se tyto výjimky týkají stejných oblastí činnosti, které jsou popsány výše v souvislosti se zásadou omezení účelu, a obsahují stejná kritéria pro stanovení, zda uplatnění výjimky lze považovat za nezbytné pro dotyčný účel. Článek 31 zákona správní oblasti Jersey stanoví výjimku pro účely regulace určenou na ochranu proti zveřejňování finančních ztrát nebo újmy. Článek 32 zákona správní oblasti Jersey se týká zveřejňování novinových článků, literárních nebo uměleckých děl ve veřejném zájmu. Článek 34 zákona správní oblasti Jersey stanoví, že zásada transparentnosti se nebude vztahovat na případy, kdy údaje tvoří informace, které je 6
správce ze zákona povinen zpřístupnit veřejnosti. První dvě výjimky se zřejmě blíží oblasti působnosti článku 13 směrnice. Článek 34 však nesplňuje kritéria nezbytná pro soulad s článkem 13 směrnice. Ve skutečnosti obsahuje výjimku, kterou nelze považovat za nezbytné opatření pro ochranu jakéhokoli důležitého veřejného zájmu uvedeného v článku 13 a která nemá žádnou oprávněnost vzhledem k tomu, že údaje, které správce zpřístupní veřejnosti (například údaje o právním statutu nějaké budovy ve veřejném rejstříku nemovitostí) nejsou stejné jako informace, které poskytl subjektu údajů o zpracování (správce, účel, kategorie údajů, příjemci, právo přístupu k údajům), a proto je nelze použít jako náhradu. Avšak hodnocení přiměřenosti se týká ochrany osobních údajů předávaných na ostrov Jersey z členských států EU, nikoli údajů shromažďovaných lokálně od subjektů údajů na ostrově Jersey. Je těžké předvídat okolnosti, za nichž údaje předané z EU na ostrov Jersey budou poté podléhat zápisu do veřejného rejstříku na ostrově Jersey. I kdyby k tomu došlo, povinnosti vyplývající ze zásady transparentnosti by z velké části připadly předávajícímu subjektu z EU a nikoli příjemci z ostrova Jersey. Doložka 7 zákona správní oblasti Jersey stanoví výjimky pro případ, kdy se údaje týkají akcí ozbrojených sil a kdy by byl dodržením předpisů tento účel dotčen. Výjimka se stanoví ohledně určitých údajů o financích obchodních společností, které jsou důležitým vnitrostátním hospodářským nebo finančním zájmem. Další výjimky se týkají prognóz vedení, informací, které mají být použity při jednání se subjektem údajů, a údajů, jichž se týká nárok na zákonnou výsadu z titulu určité profese. Tyto výjimky by byly zřejmě na základě článku 13 směrnice oprávněné. Výjimky v případě soudních jmenování a systému udělování řádů a titulů, které se týkají velmi omezené oblasti, do výjimek v článku 13 směrnice zjevně nespadají. Zásada zabezpečení vyžaduje, aby správce údajů přijal příslušná technická a organizační opatření s ohledem na rizika vyplývající ze zpracování údajů. Všechny osoby přímo podléhající správci, včetně zpracovatele, musí zpracovávat údaje pouze podle pokynů správce. Zdá se, že ohledně zásady zabezpečení splňují ustanovení zákona správní oblasti Jersey požadavky stanovené v pracovním dokumentu WP12. Požadavek, aby správce přijal příslušnou úroveň zabezpečení, je výslovně stanoven a v případě, kdy se provádí zpracování údajů pro správce, požadavek uzavření písemné smlouvy ukládající rovnocenné povinnosti zpracovateli jako správci údajů splňuje v tomto ohledu požadavky pracovního dokumentu WP12. Právo na přístup, opravu a námitku vyžaduje, aby měl subjekt údajů právo získat kopii všech údajů, které se ho týkají a které se zpracovávají, a právo opravy údajů v případě, že se zjistí, že jsou nepřesné. Za určitých okolností by měl mít též možnost vznést námitku proti zpracování údajů, které se ho týkají. Jedinou výjimkou z těchto práv by měly být případy uvedené v článku 13 směrnice. Co se týká práva přístupu k údajům, se zdá, že článek 7 zákona správní oblasti Jersey splňuje požadavky pracovního dokumentu WP12. Tyto výjimky z práva na přístup se jeví jako odpovídající výjimkám uvedeným v pracovním dokumentu WP12, jak umožňuje článek 13.
7
Co se týká práva na opravy, se zdá, že článek 14 zákona správní oblasti Jersey splňuje požadavky stanovené v pracovním dokumentu WP12, aby byl subjekt údajů schopen docílit opravy nepřesných údajů. Zákon správní oblasti Jersey tuto možnost rozšiřuje v tom smyslu, že pokud to soud zváží jako přiměřený postup, lze od správce údajů požadovat, aby oznámil příjemcům údajů, že tyto údaje byly opraveny.7 Právem na námitku se zabývá článek 10 zákona správní oblasti Jersey, který stanoví právo zabránit zpracování údajů, které by pravděpodobně způsobily škodu nebo potíže. Toto ustanovení odráží požadavek obsažený v pracovním dokumentu WP12, že by „za určitých okolností“ mělo být přiznáno právo vznést námitku. Omezení předávání údajů dále vyžaduje, aby bylo další předávání osobních údajů příjemcem původně předaných údajů povoleno pouze tehdy, podléhá-li druhý příjemce (tj. příjemce v rámci dalšího předání údajů) pravidlům poskytujícím přiměřenou úroveň ochrany. Jediné povolené výjimky by měly odpovídat čl. 26 odst. 1 směrnice. Ve své osmé zásadě ochrany osobních údajů stanoví zákon správní oblasti Jersey, že se osobní údaje nesmí předávat ze země nebo území mimo Evropský hospodářský prostor, pokud tato země nebo území nezajišťuje úroveň ochrany odpovídající uvedeným kritériím.8 Při uplatňování této zásady jsou rozhodnutí Evropského společenství týkající se přiměřenosti nebo jiných aspektů zpracování údajů ve třetí zemi údajně závazné pro orgány správní oblasti Jersey při všech soudních řízeních v rámci zákona (správní oblasti Jersey) o ochraně osobních údajů.9 Zákon správní oblasti Jersey neobsahuje žádný požadavek, aby bylo určité předání údajů mimo EHP oznámeno komisaři pro ochranu údajů buď před tímto předáním, nebo po něm. Požaduje se však, aby v době oznámení poskytl správce informace ohledně okruhu zemí mimo EHP, kam lze údaje předat. Jestliže se to týká deseti nebo méně zemí, musí být země uvedeny jmenovitě; pokud se předpokládá předávání údajů do více než deseti zemí, musí být v oznámení uvedeno, že může dojít k předání údajů na „celosvětové“ úrovni. Ačkoli předávání údajů nemusí být oznámeno, zjistí-li komisař pro ochranu údajů, že údaje byly předány za okolností, kdy nebyla zajištěna přiměřená úroveň ochrany, lze zaslat správci donucovací oznámení podle článku 40. Avšak rozhodnutí ohledně toho, zda byl tento požadavek splněn či nikoli, je ponecháno na správci a není spojeno s žádným konkrétním auditem nebo kontrolou ze strany Úřadu na ochranu údajů. Dodatečné zásady, které mají být uplatněny na zvláštní typy zpracování údajů: Citlivé údaje – tam, kde jde o „citlivé“ kategorie údajů (uvedené v článku 8 směrnice), musí být přijata dodatečná ochranná opatření, například požadavek, aby subjekt údajů udělil výslovný souhlas k takovému zpracování. Definice citlivých údajů v zákoně správní oblasti Jersey je v souladu s článkem 8.
7 8 9
Čl. 14 odst. 5. Doložka 1, část 2, odst. 13. Doložka 1, část 2, odst. 15.
8
Zákon správní oblasti Jersey stanoví podmínky pro zpracování citlivých údajů. Pracovní dokument WP12 požaduje, aby byla pro zpracování citlivých osobních údajů zavedena dodatečná ochranná opatření se zvláštním upozorněním na výslovný souhlas daného subjektu. Doložka 3 zákona správní oblasti Jersey uvádí výčet podmínek, které musejí být splněny předtím, než lze citlivé osobní údaje zpracovávat. Přímý marketing – tam, kde jsou údaje předávány pro účely přímého marketingu, by měl mít subjekt údajů možnost kdykoli „zvolit vynětí údajů“, aby údaje o něm již nebyly k takovým účelům využívány. Zákon správní oblasti Jersey umožňuje tuto volbu a doplňuje dodatečné ochranné opatření umožňující obrátit se na soud, pokud správce údajů na uvedenou žádost nereagoval. To je v souladu s požadavkem pracovního dokumentu WP12 v této oblasti. Automatizované individuální rozhodnutí – tam, kde jsou údaje předávány za účelem přijetí automatizovaného rozhodnutí ve smyslu článku 15 směrnice, by měla mít daná osoba právo znát logické odůvodnění tohoto rozhodnutí a měla by být přijata další opatření na ochranu jejích oprávněných zájmů. Ustanovení zákona správní oblasti Jersey se zdají být v tomto ohledu pro odůvodnění přiměřenosti dostatečná. Při zajišťování práva vznést námitku k použití systémů automatizovaného rozhodování přesahuje zákon správní oblasti Jersey alespoň v některých zvláštních situacích požadavky pracovního dokumentu WP12. Umožňuje navíc poté, co je rozhodnutí učiněno, požádat správce údajů, aby toto rozhodnutí znovu zvážil. Obsahuje také požadavek, aby byla daná osoba informována o logice fungování daného systému. 2.2.
Procedurální mechanismy / mechanismy prosazování
Zásady obsažené v pracovním dokumentu WP12 požadují, aby byly v rámci hodnocení přiměřenosti právního systému nějaké třetí země identifikovány související cíle procedurálního systému v oblasti ochrany osobních údajů a na tomto základě posouzeny typy různých soudních a mimosoudních mechanismů používaných v této zemi. Cílem systému na ochranu osobních údajů je zajistit dobrou úroveň dodržování uvedených pravidel; zajistit podporu a pomoc jednotlivým subjektům údajů při výkonu jejich práv a zajistit příslušné odškodnění pro poškozenou stranu v případě, že nejsou pravidla dodržována. Zajištění dobré úrovně dodržování pravidel znamená, že systém je charakterizován vysokým stupněm informovanosti správců údajů o jejich povinnostech a subjektů údajů o jejich právech a způsobu jejich výkonu. Existence účinných a odrazujících sankcí může hrát důležitou úlohu při zajišťování respektování pravidel stejně tak, jako systémy přímého ověřování ze strany orgánů, auditorů nebo nezávislých úředníků pro ochranu osobních údajů. Pracovní skupina bere na vědomí, že zákon správní oblasti Jersey poskytuje pro účely tohoto cíle řadu prvků, včetně níže uvedených.
9
(a) Komisař pro ochranu údajů Zákon správní oblasti Jersey zřizuje úřad komisaře pro ochranu údajů jmenovaného stavovským sněmem, což je částečně volená jednokomorové instituce, která má výkonnou i zákonodárnou moc. Komisař má právní statut „výhradní korporace“, tedy úřadu nezávislého na vládě, a zároveň má právní statut, který mu zůstává i po odchodu z tohoto úřadu. Komisaře může odvolat pouze stavovský sněm a podmínky jmenování nesmí být vykládány jako podmínky zakládající pracovní poměr nebo funkci prostředníka mezi stavy a jmenovanou osobou. Uvedená osoba je placena ze všeobecných příjmů sněmu. Vzhledem k tomu, že je komisař jmenován stavy, tedy parlamentem, a může být pouze jimi odvolán, není pochyb, že může vykonávat své povinnosti zcela nezávisle. Povinnosti a pravomoci komisaře spočívající ve shromažďování oznámení, posuzování určitých forem zpracování, pravomoci vyšetřování a prosazování jsou uvedeny v zákoně správní oblasti Jersey. Další povinnosti stanoví článek 51 uvedeného zákona. Pravomoci komisaře se zdají být omezenější, než povinnosti stanovené v článku 28 směrnice. Co se týká vyšetřovacích pravomocí a možnosti komisaře získat přístup do určitých prostor a shromáždit informace, je zpravidla potřeba soudní příkaz, což může působit obtíže, pokud tomu správce údajů brání. To snižuje účinnost tohoto opatření, které je v této podobě nevhodné pro namátkové kontroly nebo vedení vyšetřování bez vyzvání. Obavy pracovní skupiny ohledně nedostatku dostatečných pravomocí Komisaře proto vrhají určité pochybnosti na jeho vhodnost jako nástroje pro zajištění dobré úrovně dodržování předpisů. (b) Existence odpovídajících donucovacích prostředků a sankcí Zákon správní oblasti Jersey stanoví řadu sankcí vůči správcům údajů, kteří neplní jeho požadavky. Článek 17 stanoví nesplnění oznamovací povinnosti jako protiprávní jednání. Článek 20 požaduje, aby správce oznámil veškeré změny v povaze nebo účelů zpracování osobních údajů. Podpora jednotlivých subjektů údajů znamená, že určitá osoba by měla mít možnost prosadit svá práva rychle a účinně a bez prohibitivních nákladů. Pro tento účel musí být zaveden určitý institucionální mechanismus umožňující nezávislé vyšetřování stížností. V tomto ohledu zákon správní oblasti Jersey poskytuje odpovídající úroveň ochrany. Bez oficiální ústavy je obtížné zaručit nezávislost nějakého úřadu, ale neexistuje žádný důkaz jakéhokoli stupně politického zasahování do výkonu úřadu komisaře a žádný náznak sporů týkajících se úrovně poskytovaných zdrojů. Ustanovení článku 42 zákona správní oblasti Jersey umožňující subjektu údajů požádat komisaře, aby posoudil legitimnost zpracování, zajišťují důležitý doplněk práv, která může určitý subjekt vymáhat prostřednictvím soudů. Kromě toho článek 53 uvádí případy, kdy subjekty údajů mohou požádat o pomoc komisaře ohledně soudního řízení. V tomto ohledu zákon správní oblasti Jersey splňuje požadavek podpory jednotlivých subjektů údajů. Zákon správní oblasti Jersey také pokračuje ve zřizování tribunálu pro ochranu osobních údajů, který slouží jako odvolací orgán v souvislosti s rozhodnutími komisaře.
10
Zajištění náležité nápravy je klíčovým prvkem, který musí zahrnovat systém nezávislého soudního rozhodování nebo rozhodčího řízení umožňující případné vyplácení odškodnění a ukládání sankcí. Článek 13 zákona správní oblasti Jersey stanoví, že osoba, která byla poškozena z důvodu porušení nějakého požadavku uvedeného zákona ze strany správce údajů, má právo na nápravu. Dále stanoví práva týkající se opravy, blokování, výmazu a zničení všech nepřesných údajů. Tato práva přesahují rámec samotných údajů a zahrnují jakékoli vyjádření názoru, u něhož vyjde najevo, že se zakládal na nepřesných údajích. Uvedená práva jsou doplněna ustanoveními o protiprávním jednání, majícím nepříznivý dopad na nějaké osoby. Pracovní skupina považuje tedy zákon správní oblasti Jersey za zákon, který dostatečně zajišťuje odpovídající nápravu v případě, kdy byly nějaké osoby poškozeny v důsledku porušení příslušných pravidel. 3.
VÝSLEDKY POSOUZENÍ
Ačkoli mohou existovat určité pochyby, zda zákon správní oblasti Jersey zcela splňuje požadavky uložené členským státům směrnicí o ochraně osobních údajů, pracovní skupina připomíná, že přiměřenost neznamená úplnou rovnocennost s úrovní ochrany stanovené směrnicí. Existují určité obavy v oblastech definic osobních údajů a dalších pojmů; transparentnosti a pravomocí komisaře, ale po přihlédnutí k vysvětlením a ujištěním poskytnutým orgány správní oblastí Jersey nepovažuje pracovní skupina tyto obavy za významné ve vztahu k ochraně poskytované v oblasti osobních údajů předávaných z členských států EU do Jersey. Na základě výše uvedených zjištění tak pracovní skupina dospěla k závěru, že Jersey zajišťuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 6 směrnice 95/46/ES Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
V Bruselu dne 9. října 2007
Za pracovní skupinu předseda Peter SCHAAR
11
