PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29
02317-02/09/CS WP 166
Stanovisko 7/2009 k úrovni ochrany osobních údajů v Andorrském knížectví
přijaté dne 1. prosince 2009
Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES. Je to nezávislý evropský poradní orgán pro ochranu údajů a soukromí. Její úkoly jsou popsány v článku 30 směrnice 95/46/ES a v článku 15 směrnice 2002/58/ES. Sekretariát poskytuje ředitelství D (Základní práva a občanství) Evropské komise, generální ředitelství pro spravedlnost, svobodu a bezpečnost, 1049 Brusel, Belgie, kancelář LX-46 01/190. Internetové stránky: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů, s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, a zejména na článek 29 a čl. 30 odst. 1 písm. b) uvedené směrnice, s ohledem na jednací řád pracovní skupiny, a zejména na články 12 a 14 uvedeného jednacího řádu, PŘIJALA NÁSLEDUJÍCÍ STANOVISKO: 1. ÚVOD Velvyslanec Andorry při Evropské unii požádal dne 21. května 2008 Komisi, aby zahájila postup vedoucí k prohlášení, že Andorra poskytuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 6 směrnice 95/46/ES. Aby mohla Komise dostatečnost úrovně ochrany údajů v Andoře posoudit, požádala o vypracování zprávy střediskem „Centre de Recherches Informatique et Droit“ při univerzitě v Namuru. Uvedené středisko vypracovalo rozsáhlou zprávu, jež analyzuje, jak andorský právní systém plní požadavky na hmotné právo a jak jsou realizovány mechanismy na ochranu osobních údajů stanovené v pracovním dokumentu „Předávání osobních údajů do třetích zemí: použití článků 25 a 26 směrnice EU o ochraně údajů“, který pracovní skupina přijala dne 24. července 1998 (dokument WP12). Tato zpráva byla projednána podskupinou pro „bezpečný přístav“ na její schůzce, která se konala dne 18. března 2009. Na uvedené schůzce bylo navrženo, aby předseda pracovní skupiny zaslal andorrským orgánům dopis, jímž po kladném zhodnocení stávajícího režimu ochrany údajů v Andoře poukáže na některé skutečnosti, jež by mohly vyžadovat další objasnění. Dne 31. července 2009 zaslaly andorrské orgány prostřednictvím andorrské agentury pro ochranu údajů (APDA) pracovní skupině rozsáhlou zprávu, v níž na dotazy uvedené v dopisu poskytly své odpovědi. Andorrská zpráva byla podskupinou analyzována a stala se rovněž předmětem slyšení, které se konalo dne 16. září 2009 a při němž členové podskupiny požádali andorrské orgány, zastoupené ředitelem agentury APDA, vedoucím oddělení kontroly a vedoucím právního oddělení, o objasnění těch záležitostí, u nichž to i po projednání zprávy zaslané andorrskými orgány stále považovali za nutné.
Na schůzce ve dnech 12. a 13. října 2009 informovala podskupina pracovní skupinu o závěrech, k nimž při uvedeném slyšení dospěla, a navrhla jí, aby přijala toto stanovisko za podmínek obsažených v tomto dokumentu; tento návrh byl pracovní skupinou na uvedené schůzce schválen. 2. PRÁVNÍ PŘEDPISY O OCHRANĚ ÚDAJŮ V ANDORRSKÉM KNÍŽECTVÍ Andorra je malý stát ležící v Pyrenejích mezi Francií a Španělskem, který je podle rozlohy šestou nejmenší zemí světa. Má přibližně 80 000 obyvatel. Hospodářská činnost Andorry je soustředěna v terciárním sektoru (do kterého patří 89 % společností se sídlem v této zemi) a zejména v turistickém ruchu. Navíc jen třetina obyvatel má andorrskou národnost. Tyto zvláštnosti jsou důležité zejména v souvislosti s ochranou osobních údajů, jelikož nutně ovlivňují tok dat z Andorry i do Andorry a především také viditelnost rozhodnutí, jež jsou ve věci ochrany údajů přijímána dozorčím orgánem. Od schválení ústavy lidovým referendem dne 14. března 1993 je politickým systémem Andorry parlamentní spoluknížectví, přičemž funkce spoluknížat zastávají prezident Francouzské republiky a španělský arcibiskup ze Seo de Urgel. Článek 14 Ústavy Andorrského knížectví potvrzuje ochranu práva na soukromí, čest a ochranu před poškozením dobré pověsti a prohlašuje, že všechny fyzické osoby mají právo být chráněny zákonem proti neoprávněnému zasahování do soukromého nebo rodinného života. Ochranu osobních údajů upravuje zákon č. 15/2003 ze dne 18. prosince o ochraně osobních údajů, uplatňovaný prostřednictvím různých právních předpisů včetně dvou vyhlášek ze dne 1. července 2004, z nichž první schvaluje předpisy andorrské agentury pro ochranu údajů a druhá předpisy veřejného rejstříku souborů osobních údajů. V rámci postupu uvedeného v části 1 andorrské orgány rovněž informovaly pracovní skupinu o chystaném schválení všeobecných předpisů o ochraně údajů, které doplňují a objasňují ustanovení zákona o ochraně osobních údajů, jejichž schválení se předpokládá v posledních měsících roku 2009 nebo v prvních měsících roku 2010. V mezinárodní oblasti Andorra podepsala a ratifikovala Evropskou úmluvu o ochraně lidských práv (v platnosti od 22. ledna 1996) a její protokol (v platnosti od 6. května 2008) a dále Mezinárodní pakt o občanských a politických právech (který v Andoře vstoupil v platnost dne 19. července 2006). Co se týče ochrany údajů, Andorra podepsala a ratifikovala Úmluvu Rady Evropy č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat a její dodatkový protokol, přičemž oba tyto dokumenty vstoupily v platnost dne 1. září 2008. Konečně je nutno uvést, že podle článku 3 andorrské ústavy jsou mezinárodní smlouvy a dohody v andorrském právním systému platné od jejich zveřejnění v Úředním věstníku Andorrského knížectví a nemohou být vnitrostátními právními předpisy zrušeny. Znamená to, že takové smlouvy a dohody jsou od okamžiku jejich ratifikace součástí andorrského práva a jsou v něm přímo použitelné.
3
3. POSOUZENÍ ZÁKONA ANDORRSKÉHO KNÍŽECTVÍ O OCHRANĚ ÚDAJŮ JAKO PRÁVNÍHO NÁSTROJE POSKYTUJÍCÍHO ODPOVÍDAJÍCÍ OCHRANU OSOBNÍCH ÚDAJŮ Pracovní skupina poukazuje na to, že její posouzení přiměřenosti právních předpisů o ochraně údajů platných v Andoře se v podstatě týká zákona o ochraně osobních údajů z roku 2003. Ustanovení tohoto zákona byla porovnána s hlavními ustanoveními směrnice s přihlédnutím ke stanovisku pracovní skupiny uvedenému v dokumentu WP12. Stanovisko uvádí celou řadu zásad, které jsou jádrem zásad v oblasti ochrany údajů po obsahové stránce, a procedurální/prováděcí požadavky, jejichž dodržování lze považovat za minimální předpoklad pro to, aby mohla být ochrana údajů považována za odpovídající. 3.1. Zásady týkající se obsahu a) Základní zásady 1) Zásada respektování daného účelu. Údaje by měly být zpracovávány pro konkrétní účel a následně využívány nebo dále předávány, pouze pokud to neodporuje účelu jejich poskytnutí. Jedinou výjimkou z tohoto pravidla by byly údaje, které vyžaduje demokratická společnost na základě jednoho z důvodů uvedených v článku 13 směrnice. Pracovní skupina se domnívá, že právní předpisy Andorry tuto zásadu respektují. Zejména čl. 11 písm. a) zákona o ochraně osobních údajů stanoví, že „osobní údaje mohou zpracovávat pouze správci údajů, pokud jsou splněny tyto požadavky: a) zpracování se provádí pro účely uvedené v příslušném pravidle či rozhodnutí, kterým se zakládá soubor osobních údajů“. Co se týče této zásady, článek 27 zákona o ochraně osobních údajů ukládá všem správcům souborů údajů soukromé povahy povinnost zapsat je do rejstříku spravovaného andorrskou agenturou pro ochranu údajů, přičemž podle čl. 28 písm. c) je nutno výslovně uvést „účel zpracování údajů“. Článek 30 rovněž jako předpoklad vytvoření souboru údajů veřejné povahy stanoví přijetí pravidla pro vytvoření takového souboru, které „musí být schváleno veřejným orgánem zodpovědným za zpracování údajů a musí být zveřejněno v Úředním věstníku Andorrského knížectví“. Uvedené pravidlo musí podle čl. 31 písm. a) stanovit „účel zpracování souboru údajů“. Zákaz zpracovávání údajů pro účely neslučitelné s výše uvedeným se odvozuje od přímého použití Úmluvy č. 108, jejíž čl. 5 písm. b) stanoví, že „osobní údaje, které jsou předmětem automatizovaného zpracování, musejí [...] být shromažďovány pro stanovené a oprávněné účely a nesmí jich být použito způsobem neslučitelným s těmito účely“. Jak bylo uvedeno výše, tato zásada se v andorrském právu uplatňuje přímo prostřednictvím použití článku 3 ústavy.
4
2) Zásada kvality a přiměřenosti údajů. Údaje by měly být přesné a v případě potřeby aktualizované. Údaje musí odpovídat účelu, pro který jsou předávány nebo dále zpracovávány, musí být pro něj významné a ve vztahu k němu přiměřené. Pracovní skupina se domnívá, že zásada kvality je výslovně obsažena v čl. 11 písm. b) zákona o ochraně osobních údajů, podle něhož „osobní údaje mohou zpracovávat pouze správci údajů, pokud jsou splněny tyto požadavky: […] b) že zpracovávané údaje odpovídají skutečným osobním údajům subjektů údajů a že jsou za tímto účelem přijata opatření k jejich aktualizaci nebo výmazu“. Co se týče zásady přiměřenosti, pracovní skupina opět zohledňuje přímou použitelnost Úmluvy č. 108 v Andoře, konkrétně čl. 5 písm. c), který zakazuje zpracovávání údajů přesahujících účely, pro něž byly uloženy. Proto se pracovní skupina domnívá, že právní předpisy Andorry danou zásadu respektují. 3) Zásada transparentnosti. Fyzické osoby by měly být informovány o účelu zpracování údajů, totožnosti správce údajů ve třetí zemi i o dalších skutečnostech v rozsahu nezbytném pro zajištění spravedlivosti. Jediné povolené výjimky by měly být v souladu s čl. 11 odst. 2 a článkem 13 směrnice. Pracovní skupina se domnívá, že právo subjektu údajů na informovanost je upraveno v článcích 13 a 15 zákona o ochraně osobních údajů (článek 13 upravuje případy, kdy byly údaje získány od subjektu údajů a článek 15 případy, kdy nebyly získány od subjektu údajů). Článek 13 zákona o ochraně osobních údajů požaduje, aby v okamžiku sběru údajů byl subjekt údajů informován správcem údajů o následujících skutečnostech za podobných podmínek, jaké používá směrnice: a) b) c) d) e)
totožnosti správce; účelu zpracování osobních údajů; příjemcích nebo kategoriích příjemců údajů; právech na přístup, opravy a výmaz údajů a o tom, jak lze těchto práv využít; právu subjektu údajů neudělit souhlas se zpracováním údajů a o následcích takového neudělení souhlasu.
Pokud jde o písmeno e), pracovní skupina se domnívá, že odkaz na souhlas se týká případů, kdy musí být souhlas udělen podle těch ustanovení zákona o ochraně osobních údajů, která upravují legitimitu zpracování údajů a která jsou obsažena v kapitole II andorrského zákona. V této souvislosti se skupina domnívá, že připomínky vznesené andorrskými orgány během slyšení s výše zmíněnou podskupinou ohledně definice souhlasu, jež je stanovena v zákoně o ochraně osobních údajů, jsou dostatečné k vyslovení závěru, že tento souhlas splňuje požadavky směrnice.
5
Pokud nejsou údaje získány přímo od subjektu údajů, vyžaduje článek 15 zákona o ochraně osobních údajů, aby příjemce, který obdržel údaje v důsledku jejich předání, sdělil nejpozději do patnácti dnů od okamžiku obdržení těchto údajů subjektu údajů informace uvedené v čl. 13 písm. a) až d) spolu s totožností fyzické nebo právnické osoby, od níž správce údaje obdržel, přičemž subjekt údajů může, pokud to zákon dovoluje, vznést proti zpracování údajů námitku a požádat o jejich výmaz do jednoho měsíce poté, co byl o předání údajů informován. Pracovní skupina se proto domnívá, že právní předpisy Andorry tuto zásadu splňují. 4) Zásada bezpečnosti. Správce údajů by měl přijmout taková opatření v oblasti technického a organizačního zabezpečení, která jsou přiměřená rizikům, jež zpracování údajů představuje. Jakákoli osoba, která jedná z pověření správce údajů včetně samotného zpracovatele, smí údaje zpracovávat pouze podle pokynů správce. Pracovní skupina se domnívá, že právní předpisy Andorry jsou s touto zásadou v souladu. Článek 12 zákona o ochraně osobních údajů výslovně uvádí: „Správci údajů musí zavést nezbytná technická a organizační opatření na ochranu důvěrnosti a bezpečnosti zpracovávaných osobních údajů. Pokud jsou zpracováním zcela nebo zčásti pověřeni poskytovatelé služeb v oblasti zpracování osobních údajů, potom správce údajů zodpovídá za to, aby poskytovatelé zavedli dostatečná technická a organizační opatření k zajištění důvěrnosti a bezpečnosti údajů, které jsou předmětem dané služby.“ Pojem „poskytovatel služeb v oblasti zpracování osobních údajů“ odpovídá pojmu „zpracovatel údajů“ uvedenému ve směrnici, jelikož čl. 3 odst. 5 zákona o ochraně osobních údajů jej definuje jako „fyzickou nebo právnickou osobu soukromé nebo veřejné povahy, která zpracovává údaje jménem správce údajů nebo která má přístup k osobním údajům za účelem poskytování služby ve prospěch správce údajů a podléhá jeho kontrole, pokud údaje, k nimž má přístup, nevyužívá pro své vlastní účely nebo s nimi nezachází mimo rozsah obdržených pokynů nebo pro jiné účely, než je služba, která má být poskytnuta ve prospěch správce údajů“. 5) Právo na přístup k údajům, opravu a vznesení námitky. Subjekt údajů by měl mít právo získat kopii všech zpracovávaných údajů, které se ho týkají, a také právo na opravu těchto údajů, pokud se ukáže, že jsou nepřesné. V určitých situacích by měl mít možnost vznést námitku proti zpracování údajů, které se ho týkají. Jediné výjimky z těchto práv by měly být v souladu s článkem 13 směrnice. Právo na přístup k údajům stanoví článek 22 zákona o ochraně osobních údajů, který uvádí, že „jakýkoli subjekt údajů má právo být správcem údajů informován o údajích, jež jsou předmětem zpracování“. Správce údajů musí umožnit uplatnění tohoto práva během pěti dnů a smí si zvolit způsob, jakým budou příslušné informace subjektu údajů předány. Pracovní skupina se domnívá, že tento postup je v souladu s právem, které subjektu údajů uděluje článek 12 směrnice, a sice s právem na „srozumitelné oznámení
6
údajů, které jsou předmětem zpracování, a veškerých dostupných informací o původu údajů“. Právo na opravu údajů je stanoveno v článku 23 zákona o ochraně osobních údajů jako právo subjektu údajů na to, aby zpracovávané údaje byly opraveny, pokud jsou chybné, přičemž uplatnění tohoto práva musí být umožněno do jednoho měsíce od podání žádosti. Správce údajů smí toto právo odmítnout pouze tehdy (kromě případů, jež budou uvedeny níže), jestliže subjekt údajů neposkytne v případě potřeby dokumentaci, která prokazuje, že při zpracování údajů došlo k chybě. Pracovní skupina se domnívá, že toto právo odpovídá právu stanovenému v článku 12 směrnice. Pracovní skupina je také toho názoru, že právní předpisy Andorrského knížectví neobsahují pravidlo, které by upravovalo právo vznést námitku v podobném smyslu, jak je stanoveno v článku 14 směrnice. Nicméně má za to, že tuto mezeru vyplňují pravidla, která upravují právo na vznesení námitky a na výmaz údajů, jež jsou obsažena v článcích 15 a 24 zákona o ochraně osobních údajů. Podle prvního z těchto pravidel může subjekt údajů, v rámci omezení stanovených samotným článkem 15, vznést námitku proti zpracování svých údajů v důsledku jejich předání třetí straně do jednoho měsíce od obdržení informace, která musí být subjektu údajů povinně zaslána. Právo na výmaz údajů je v zákoně o ochraně osobních údajů stanoveno jako právo subjektu údajů „požádat správce údajů o výmaz zpracovávaných údajů“. Správce údajů musí na tuto žádost odpovědět do jednoho měsíce od jejího obdržení. Výjimku z tohoto pravidla lze učinit pouze v případě, že existuje právní nebo smluvní základ k tomu, aby správce ve zpracování údajů pokračoval. Zákon o ochraně osobních údajů stanoví dva typy výjimek z uplatnění těchto práv: výjimky týkající se výhradně práva na vznesení námitky použitelné na jakékoli zpracování údajů (článek 15) a výjimky týkající se všech těchto práv, které se však uplatní pouze na soubory údajů veřejné či soudní povahy (článek 32). Pracovní skupina se domnívá, že uvedené výjimky lze vykládat ve smyslu článku 13 směrnice, přičemž přihlíží také k vysvětlení, které v tomto ohledu poskytly andorrské orgány. Dále má za to, že u všech těchto práv pravidla výslovně stanoví, že v případě odepření daného práva se lze odvolat u příslušného orgánu. 6) Omezení týkající se následného předávání údajů. Další předávání osobních údajů příjemcem, kterému byly údaje původně předány, by mělo být povoleno pouze v případě, že se na druhého příjemce (tzn. příjemce následného předání) také vztahují pravidla zaručující přiměřenou úroveň ochrany. Jediné povolené výjimky by měly být v souladu s čl. 26 odst. 1 směrnice. Kapitola VI zákona o ochraně osobních údajů se týká mezinárodního předávání údajů a stanoví zejména, že „mezinárodní předávání údajů je zakázáno, pokud cílová země ve svých právních předpisech neposkytuje takovou úroveň ochrany osobních údajů, která je přinejmenším rovnocenná úrovni stanovené tímto zákonem“.
7
Pracovní skupina považuje výklad výrazu „rovnocenná“, jak je použit v andorrském zákoně, za uspokojivý, stejně jako vysvětlení poskytnutá orgány této země, a objasňuje, že uvedený výraz by měl být vykládán tak, jak je uveden v článku 25 směrnice, tedy v tom smyslu, že omezení se týká zemí, které nenabízejí „přiměřenou“ úroveň ochrany. Pracovní skupina rovněž zohledňuje vysvětlení podané článkem 36 zákona, který za „rovnocennou“ považuje úroveň ochrany stanovenou v členských státech a ve státech „prohlášených Komisí Evropských společenství za země s rovnocennou úrovní ochrany“. Článek 37 zákona o ochraně osobních údajů stanoví výjimky z výše uvedeného obecného pravidla přiměřenosti a uvádí, že lze provádět předání údajů: a) k nimž dochází na základě jednoznačného souhlasu subjektu údajů; b) k nimž dochází v souladu s mezinárodními dohodami, jichž se Andorrské knížectví účastní; c) k nimž dochází za účelem poskytnutí mezinárodní pomoci nebo za účelem uznání, výkonu a obrany určitého práva v rámci soudního procesu; d) k nimž dochází za účelem zdravotní prevence nebo diagnózy, zdravotnické péče, sociální prevence nebo diagnózy nebo ve zvlášť důležitém zájmu subjektu údajů; e) k nimž dochází při převodech peněz nebo při bankovních úhradách; f) které jsou nezbytné pro stanovení, výkon, plnění nebo ověření právních vztahů nebo smluvních závazků mezi subjektem údajů a správcem údajů; g) které jsou nezbytné k ochraně veřejného zájmu; h) které se týkají údajů, jež pocházejí z veřejných rejstříků, nebo k nimž dochází při plnění funkce a účelu veřejných rejstříků. Pracovní skupina se domnívá, že vysvětlení a objasnění poskytnutá k této otázce andorrskými orgány jsou dostačující k vyslovení závěru, že uvedené výjimky odpovídají výjimkám stanoveným v čl. 26 odst. 1 směrnice. Dále se pracovní skupina domnívá, že kromě výjimek, které odkazují na již zmíněnou charakteristiku souhlasu, by se měla výjimka uvedená v písmeni e) považovat za zahrnutou v čl. 26 odst. 1 písm. b) a c) směrnice. Pracovní skupina rovněž s uspokojením přijímá vysvětlení andorrských orgánů, že veřejný zájem uvedený v písmeni g) musí být vždy důležitým zájmem, jelikož andorrský právní systém nehovoří o možné existenci „nějakého“ veřejného zájmu, ale vždy o veřejném zájmu jako takovém, takže v této zemi nemůže existovat veřejný zájem, který by nebyl důležitý. Stejně tak považuje pracovní skupina za uspokojivé vysvětlení andorrských orgánů, pokud jde o pojmy „veřejné rejstříky“ a „veřejně přístupné rejstříky“. K předání uvedenému v písmeni h) tak může dojít pouze v takových případech a rozsahu, jak je stanoveno v pravidlech týkajících se jednotlivých rejstříků, takže v žádném případě by nebylo možné hromadné předání údajů obsažených ve veřejném rejstříku ani předání údajů v jiném rozsahu nebo za jiných podmínek, než jak stanoví předpisy upravující fungování daného rejstříku, které obecně vyžadují žadatelův oprávněný zájem znát obsah rejstříku.
8
Stejně tak považuje pracovní skupina za dostačující formulace, které se týkají výjimky uvedené v písmeni d), zejména s ohledem na zvláštnosti Andorry související s její zeměpisnou polohou a obyvatelstvem, takže lze konstatovat, že uvedenou výjimku pokrývá čl. 26 odst. 1 písm. e) směrnice. b) Další zásady Dokument WP12 uvádí určité zásady, které je nutno uplatňovat na zvláštní typy zpracování údajů, přičemž se soustředí na tyto aspekty: 1) Citlivé údaje. Pokud se jedná o „citlivé“ kategorie údajů (uvedené v článku 8 směrnice), měla by platit další bezpečnostní opatření, například požadavek, že subjekt údajů musí s jejich zpracováním výslovně souhlasit. Pracovní skupina se domnívá, že tuto zásadu andorrské právní předpisy splňují, zejména s ohledem na ustanovení článků 19 až 21 zákona o ochraně osobních údajů a na definici citlivých údajů uvedenou v čl. 3 odst. 11 tamtéž, který obsahuje výčet těchto údajů odpovídající výčtu v článku 8 směrnice. Zákon o ochraně osobních údajů zejména stanoví, že „citlivé údaje se smějí zpracovávat nebo předávat pouze s výslovným souhlasem subjektu údajů“. Kromě toho je výslovně zakázáno vytvářet soubory výlučně za účelem shromažďování nebo zpracování citlivých údajů. Pracovní skupina přivítala objasnění andorrských orgánů, pokud jde o odvětvová pravidla týkající se zpracování zdravotních údajů a existenci povinnosti zachovávat důvěrnou povahu údajů, která je v andorrském právním systému výslovně uvedena, stejně jako objasnění skutečnosti, že epidemiologické studie se provádějí anonymně. 2) Přímý marketing. Pokud se údaje předávají pro účely přímého marketingu, subjekt údajů by měl mít v jakémkoli stádiu možnost se zpracováním svých údajů pro tyto účely vyslovit svůj nesouhlas. Andorrské právní předpisy tuto zásadu výslovně neuvádějí. Pracovní skupina se nicméně domnívá, že je to v andorrských právních předpisech zaručeno uplatněním různých pravidel. Při sběru údajů musí správce údajů informovat subjekt údajů o účelech, ke kterým budou jejich údaje zpracovány, a případně také o nutnosti získat jeho souhlas (články 13 a 17 zákona o ochraně osobních údajů). Stejně tak, pokud nejsou údaje získány od subjektu údajů, musí být subjekt údajů ve lhůtě patnácti dnů o účelech zpracování informován a během následujícího měsíce pak může vyslovit s tímto zpracováním svůj nesouhlas (článek 15). Subjekt údajů může také kdykoli uplatnit své právo požadovat výmaz údajů, což může být zamítnuto, jen pokud to právní předpisy umožňují; to by v žádném případě nebylo možné při použití údajů pro účely přímého marketingu (článek 24 zákona o ochraně osobních údajů). V případě žádosti o zastavení zpracování údajů pro tyto účely po jejich
9
shromáždění nebo po uplatnění práva uvedeného v článku 15 zákona o ochraně osobních údajů by tudíž správce údajů měl této žádosti vyhovět. Pracovní skupina se proto domnívá, že právní předpisy Andorry tuto zásadu zaručují. 3) Automatizované individuální rozhodnutí. Pokud je účelem předání údajů přijetí automatizovaného rozhodnutí ve smyslu článku 15 směrnice, měla by mít fyzická osoba právo znát postup přijímání tohoto rozhodnutí a také by měla být přijata další opatření na ochranu oprávněného zájmu této fyzické osoby. Podobně jako v předchozím případě není tato zásada v andorrských právních předpisech výslovně uvedena. Pracovní skupina bere v úvahu objasnění poskytnutá andorrskými orgány ohledně ochrany práva subjektu údajů v souvislosti s automatizovanými individuálními rozhodnutími, zejména ujištění, že podle zákona o ochraně osobních údajů může subjekt údajů vždy uplatnit své právo na přístup k údajům a na jejich výmaz, což mu umožní obeznámit se s postupem prováděného zpracování a vznést proti němu námitku. Ačkoli to nemá vliv na kladné hodnocení andorrských právních předpisů, pracovní skupina se přesto domnívá, že by bylo velmi žádoucí, aby andorrské právní předpisy výslovně tuto zásadu uváděly, a vyloučily tak v budoucnu jakoukoli pochybnost o jejím možném uplatnění. V tomto směru pracovní skupina s uspokojením hodnotí skutečnost, že k zákonu o ochraně osobních údajů se připravují prováděcí předpisy, a žádá orgány Andorrského knížectví, aby v těchto předpisech jasně vyjádřily zásadu, na kterou se zde odkazuje, a to podobným způsobem, jak je stanoveno v článku 15 směrnice. 3.2. Procedurální/prováděcí mechanismy V dokumentu pracovní skupiny WP12 „Předávání osobních údajů do třetích zemí: použití článků 25 a 26 směrnice EU o ochraně údajů“ se uvádí, že pro posouzení přiměřenosti právního systému třetí země je nezbytné určit základní cíle procedurálního systému pro ochranu údajů a na tomto základě posoudit nejrůznější soudní i mimosoudní procedurální mechanismy používané ve třetích zemích. V tomto ohledu jsou cíle systému ochrany údajů v podstatě trojí: – –
zajistit dostatečnou úroveň dodržování pravidel, poskytovat podporu a pomoc jednotlivým subjektům údajů při uplatňování jejich práv, – v případě nedodržení pravidel poskytnout poškozené straně vhodnou možnost zjednání nápravy. a) Zajistit dostatečnou úroveň dodržování pravidel. Dobrý systém je obecně charakterizován vysokou mírou uvědomění správců údajů, co se týče jejich povinností, a uvědomění subjektů údajů, pokud jde o jejich práva a prostředky k jejich uplatňování. Při zajištění dodržování pravidel může hrát důležitou úlohu
10
existence účinných a odrazujících sankcí a samozřejmě i systémů přímého ověřování příslušnými orgány, kontrolory nebo nezávislými osobami pověřenými ochranou údajů. Pracovní skupina se domnívá, že tento cíl je splněn, přičemž bere v úvahu jednotlivá ustanovení andorrských právních předpisů, zejména: Andorrská agentura pro ochranu údajů (APDA) Kapitola VII zákona o ochraně osobních údajů zřizuje andorrskou agenturu pro ochranu údajů jako „veřejnou organizaci, která je právnickou osobou nezávislou na veřejné správě a má plnou způsobilost jednat“. Předpisy agentury stanoví, že se jedná o „nezávislý orgán, který při výkonu svých funkcí jedná objektivně a zcela nezávisle na andorrské veřejné správě a je spojen s vládou prostřednictvím ministerstva hospodářství“. Pracovní skupina se domnívá, že tento vztah podle andorrského veřejného práva neznamená žádný typ hierarchické závislosti. Pracovní skupina rovněž poznamenává, že pravidla obsažená v zákoně o ochraně osobních údajů a v předpisech agentury APDA dokládají nezávislost agentury, pokud jde o jmenování a odvolávání jejího ředitele a dvou kontrolorů, kterými je tvořena, i pokud jde o její rozpočtovou nezávislost, a to vzhledem k tomu, že jmenování a odvolávání uvedených osob i rozpočet agentury schvaluje zákonodárce (Consell General), přičemž v prvních dvou případech se vyžaduje zvláštní kvalifikovaná většina. Pro posouzení této nezávislosti bere v úvahu i skutečnost, že proti rozhodnutím agentury APDA se lze odvolat pouze u soudu. S cílem zajistit dodržování pravidel na ochranu údajů uděluje zákon o ochraně osobních údajů agentuře APDA přiměřené pravomoci. Zajistit dodržování těchto právních předpisů je obecnou povinností agentury APDA. Jak poznamenává pracovní skupina, zákon o ochraně osobních údajů uděluje agentuře APDA především pravomoc „vykonávat kontroly a ukládat sankce za porušení předpisů definovaná v kapitole V tohoto zákona“. Prostředky pro provádění a sankce Kapitola V zákona o ochraně osobních údajů se týká ukládání sankcí v důsledku porušení jeho ustanovení, přičemž jako obecnou zásadu stanoví, že „porušení tohoto zákona fyzickými osobami nebo právnickými osobami soukromé povahy podléhá správním sankcím. První porušení správcem údajů se trestá pokutou v maximální výši 50 000 EUR a případná následná porušení, za něž je zodpovědný tentýž správce údajů, se trestají pokutou až do výše 100 000 EUR“ (článek 33). Pro případy, kdy je správcem údajů veřejný orgán, článek 34 stanoví, že „se použijí právní ustanovení disciplinárních řádů“. Pracovní skupina bere v úvahu objasnění poskytnutá andorrskými orgány v tom smyslu, že odkazy zákona o ochraně osobních údajů na „disciplinární“ řád v oblasti veřejné správy je nutno správně vykládat jako zvláštní „sankční“ řád a že článek 14 předpisů agentury uděluje této agentuře pravomoc ukládat sankce v souvislosti se soubory údajů veřejné správy, přičemž v tomto bodu
11
odkazuje na zvláštní pravidla pro ukládání sankcí. Pracovní skupina bere rovněž v úvahu pravomoc agentury k zablokování databází jako bezpečnostního opatření. Jak již bylo řečeno, prováděním kontrol a ukládáním sankcí je pověřena agentura APDA. Pracovní skupina bere v úvahu široký rozsah uvedených pravomocí vzhledem k ustanovením zákona o ochraně osobních údajů a předpisů agentury. Na základě výše uvedených skutečností se pracovní skupina domnívá, že andorrské právní předpisy obsahují nezbytné prvky, které zaručují dostatečnou úroveň dodržování daných pravidel. b) Poskytovat podporu a pomoc jednotlivým subjektům údajů při uplatňování jejich práv. Fyzická osoba musí být schopna se domoci svých práv rychle a účinně a bez nadměrných nákladů, které by tomu bránily. Za tím účelem musí existovat nějaký druh institucionálního mechanismu, který umožňuje nezávislé vyšetřování stížností. Pracovní skupina je toho názoru, že andorrské právní předpisy zavedly ke splnění tohoto cíle různé mechanismy. Na jedné straně článek 25 zákona o ochraně osobních údajů stanoví, že výkon práv na přístup k údajům, opravy, výmaz a vznesení námitky „nemůže být správcem údajů podmiňován žádnou formální náležitostí ani úhradou případně vzniklých nákladů ze strany subjektu údajů“. Pro případ odepření uvedených práv zákon o ochraně osobních údajů stanoví, že se lze odvolat u příslušného soudu. Kromě toho čl. 41 třetí pododstavec zákona o ochraně osobních údajů stanoví, že agentura APDA může zahájit kontrolní činnost z vlastního podnětu nebo na žádost kteréhokoli subjektu údajů, který má za to, že jsou dotčena jeho práva nebo že správce údajů porušil povinnosti stanovené zákonem. Navíc čl. 20 odst. 2 předpisů agentury výslovně hovoří o kontrolách prováděných na žádost subjektů údajů a ukládá agentuře APDA povinnost tyto kontroly požadované subjekty údajů provádět. Na základě výše uvedených skutečností se pracovní skupina domnívá, že andorrské právní předpisy obsahují nezbytné prvky poskytující podporu a pomoc jednotlivým subjektům údajů při uplatňování jejich práv. c) V případě nedodržení pravidel poskytnout poškozené straně vhodnou možnost zjednání nápravy. Toto je klíčový prvek, který musí zahrnovat systém nezávislého soudního nebo rozhodčího řízení umožňující v případě potřeby vyplácet odškodnění a ukládat sankce. Článek 26 zákona o ochraně osobních údajů výslovně uznává právo subjektů údajů na odškodnění, na které mohou mít nárok v důsledku občanskoprávní odpovědnosti, která se může vztahovat na správce údajů v případě porušení zákona, přičemž toto právo na odškodnění je nezávislé na sankcích, které mohou být uloženy agenturou APDA. Z tohoto důvodu se pracovní skupina domnívá, že andorrské právní předpisy zahrnují nezbytné prvky, které v případě nedodržení pravidel zaručují poškozené straně vhodné možnosti zjednání nápravy.
12
4. VÝSLEDEK POSOUZENÍ Závěrem lze konstatovat, že na základě výše uvedených skutečností se pracovní skupina domnívá, že Andorrské knížectví zajišťuje odpovídající úroveň ochrany ve smyslu čl. 25 odst. 6 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Zároveň pracovní skupina požaduje, aby andorrské orgány v prováděcích předpisech k zákonu o ochraně osobních údajů zohlednily objasnění, jež jsou obsažena v tomto stanovisku, zejména pokud jde o právní úpravu automatizovaných individuálních rozhodnutí.
V Bruselu dne 1. prosince 2009.
Za pracovní skupinu předseda Alex TÜRK
13
