VÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ

ĚSTNÍK V

ÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ

2007

Částka 44

28. března 2007

Cena 122,– Kč

OBSAH Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2562 I.

Registrace Přehled zrušených registrací za období od 26. 11. 2006 do 9. 3. 2007 . . . . . . . . 2563

II. Sdělení Úřadu a) Z rozhodovací činnosti Úřadu: 1. Ke zveřejňování osobních údajů na Internetu . . . . . . . . . . . . . . . . . . . . . . . 2564 2. K zabezpečení osobních údajů zpracovávaných v rámci zdravotnické dokumentace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2564 3. Ke zpracování osobních údajů v souvislosti se správou nemovitostí . . . . . 2564 4. K problematice aktualizace zpracovávaných osobních údajů . . . . . . . . . . . 2565 5. Ke zpracování rodných čísel v soukromé sféře . . . . . . . . . . . . . . . . . . . . . . . 2565 b) Vyjádření a doporučení ÚOOÚ k možnosti instalovat kamerový systém v prostorách školy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2566 c) Informace o stanovisku Ministerstva vnitra ČR ke zveřejňování záznamů městských kamerových sytémů . . . . . . . . . . . . . . . . . . . . . . . . . . . 2567 d) Prohlášení pro tisk – materiál z tiskové konference Úřadu pořádané dne 25. ledna u příležitosti Dne ochrany osobních údajů ke zpracovávání osobních údajů Společností pro celosvětovou mezibankovní finanční komunikaci (SWIFT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2568 e) Dokumenty vytvořené v rámci WP29 (Překlady pořízené Evropskou komisí, přetisky v původní podobě): 1. Stanovisko č. 1/2006 k problematice užívání právních předpisů EU o ochraně údajů na vnitřní postupy oznamování podezření z protiprávního jednání (whistleblowing) v oblasti účetnictví, vnitřních účetních kontrol, záležitostí auditu, boje proti úplatkářství a trestné činnosti v bankovním a finančním sektoru (WP117, 00195/06/CZ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2570 2. Stanovisko č. 6/2006 k návrhu nařízení Rady o příslušnosti, použitelném právu, uznávání a výkonu rozhodnutí a spolupráci ve věcech vyživovací povinnosti (WP123, 01313/06/CS) . . . . . . . . . . . . . . 2588 3. Stanovisko č.10/2006 ke zpracovávání osobních údajů Společností pro celosvětovou mezibankovní finanční komunikaci /Society for Worldwide Interbank Financial Telecommunication (SWIFT) /, (WP128, 01935/06/CS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2595 4. Pracovní dokument o ochraně údajů a důsledcích iniciativy eCall na ochranu soukromí (WP125, 01609/06/CS) . . . . . . . . . . . . . . . . . . . . . . . . 2625

Věstník Úřadu pro ochranu osobních údajů 44/2007

Strana 2562

ÚVOD Ve čtyřicáté čtvrté částce Věstníku Úřadu pro ochranu osobních údajů najdete přehled zrušených registrací za období od 26. 11. 2006 do 9. 3. 2007. Rubrika Sdělení Úřadu obsahuje podstatné části rozhodnutí Úřadu, k nimž dospěl na základě řešení případů porušení zákona o ochraně osobních údajů, nebo podezření z porušení tohoto zákona. Rubrika Sdělení přináší, v návaznosti na stanovisko ředitele odboru legislativního a právního Ministerstva školství, mládeže a tělovýchovy ČR, dokument nazvaný „Vyjádření a doporučení ÚOOÚ k možnosti instalovat kamerový systém v prostorách školy“. Materiál předkládá základní přístupová kritéria Úřadu pro ochranu osobních údajů k této problematice, která lze shrnout do zásad, jež je nutno v konkrétním případě vždy posoudit dříve, nežli se učiní rozhodnutí o instalaci kamerového systému. Ti, kteří se po důkladném zvážení rozhodnou ve svých zařízeních kamerové systémy instalovat zde najdou vysvětlení, jak postupovat z pohledu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Součástí rubriky je dále „Informace o stanovisku Ministerstva vnitra ČR ke zveřejňování záznamů městských kamerových systémů“. Se závěry MV ČR k této záležitosti se Úřad ztotožňuje a proto jej také publikuje ve svém Věstníku. V zájmu vyšší informovanosti o dokumentech vytvořených v rámci WP29 - Pracovní skupiny pro ochranu dat podle článku 29 (tj. čl. 29 směrnice 95/46/ES), která se zabývá problematikou ochrany osobních údajů a soukromí, předkládá Úřad tři stanoviska této pracovní skupiny. Jsou jimi Stanovisko č. 1/2006 o ochraně údajů na vnitřní postupy oznamování podezření z protiprávního jednání (whistleblowing), Stanovisko č. 6/2006 k návrhu nařízení Rady o příslušnosti, použitelném právu, uznávání a výkonu rozhodnutí a spolupráci ve věcech vyživovací povinnosti a Stanovisko č. 10/2006 ke zpacovávání osobních údajů Společností pro celosvětovou mezibankovní finanční komunikaci /Society for Worldwide Interbank Financial Telecommunication (SWIFT)/. V souvislosti s posledním uvedeným stanoviskem č. 10/2006 vydal Úřad na své tiskové konferenci konané dne 25. ledna 2007 u příležitosti Dne ochrany osobních údajů „Prohlášení pro tisk“ k otázce týkající se skutečnosti, že společnost SWIFT poskytuje bez vědomí klientů finančích institucí údaje o mezibankovních finančních transakcích na vyžádání úřadům USA v rámci boje poti terorismu. Posledním publikovaným materiálem je pracovní dokument pracovní skupiny WP 29 o ochraně údajů a důsledcích iniciativy eCall na ochranu soukromí. Úřad přetiskuje oficiální překlady právně nezávazných dokumentů WP29 v jejich původní podobě a nepřebírá odpovědnost za případné nepřesnosti překladu.


Strana 2563

Přehled zrušených registrací Číslo registrace 00013746/001 00013746/002 00013746/003 00009354/001 00008205/001 00008552/001 00008552/002 00014435/001 00004753/001 00016294/001 00016294/002 00030028/001

Subjekt KARBON INVEST A.S. KARBON INVEST A.S. KARBON INVEST A.S. MORAVSKÉ TEPLÁRNY A.S. DŮM DĚTÍ A MLÁDEŽE STARÉ MĚSTO OKRES UHERSKÉ HRADIŠTĚ MUZEUM UMĚNÍ OLOMOUC MUZEUM UMĚNÍ OLOMOUC PENZIJNÍ FOND VIVA A.S. V LIKVIDACI MADSEN & TAYLOR, A. S. KENVELO CZ,SPOL. S R.O. KENVELO CZ,SPOL. S R.O. CME MEDIA SERVICES S.R.O.

Datum zrušení 1. 12. 2006 1. 12. 2006 1. 12. 2006 28. 12. 2006 12. 01. 2007 27. 01. 2007 27. 01. 2007 27. 01. 2007 14. 02. 2007 14. 02. 2007 14. 02. 2007 14. 02. 2007


Strana 2564

II. SDĚLENÍ ÚŘADU Z rozhodovací činnosti Úřadu Sdělení úvodem: Úřad pro ochranu osobních údajů se prostřednictvím následující stručné charakteristiky vyjadřuje k některým problematickým okruhům případů porušování povinností při zpracování osobních údajů projednávaných Úřadem pro ochranu osobních údajů v rámci své rozhodovací činnosti. 1. Ke zveřejňování osobních údajů na Internetu Zveřejňování nejrůznějších osobních údajů na webových stránkách je stále velmi aktuálním tématem. Typické jsou případy zveřejnění osobních údajů dlužníků anebo občanů, jejichž záležitosti byly projednávány orgány obcí. Je tedy nutné zdůraznit, že zpřístupnění osobních údajů prostřednictvím webových stránek je jejich zpracováním podle § 4 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „zákon o ochraně osobních údajů“), a subjekt, který osobní data tímto způsobem zpřístupňuje (nemusí se jednat o tentýž subjekt, který předmětné stránky spravuje a provozuje) je z pohledu zákona o ochraně osobních údajů správcem osobních údajů ve smyslu § 4 písm. j) tohoto zákona. Správce osobních údajů je povinen při zpracování dat postupovat v souladu se zákonem o ochraně osobních údajů, tedy dodržet veškeré povinnosti zde stanovené. Jednou ze základních povinností správce, podle § 5 odst. 2 zákona o ochraně osobních údajů, je povinnost zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je zpracování možné jen, je-li naplněno některé z liberačních ustanovení podle § 5 odst. 2 písm. a) až g) zákona o ochraně osobních údajů. Avšak skutečnost, že správce různými způsoby zpracovává osobní údaje na základě určitého právního titulu (tedy souhlasu nebo zákonného zmocnění), neznamená, že může takové údaje automaticky, bez tohoto právního titulu, také publikovat na Internetu. Jednou z dalších základních zásad zpracování osobních údajů, kterou se musí každý správce osobních údajů řídit, je zásada účelnosti zpracování vyjádřená v § 5 odst. 1 písm. f) zákona o ochraně osobních údajů, tj. využívání údajů pouze k tomu účelu, k němuž byly shromážděny. Např. zaměstnavatel, který zcela legálně zpracovává poměrně rozsáhlé soubory osobních údajů o svých zaměstnancích, tak není oprávněn tyto údaje bez dalšího (zejména bez souhlasu dotčených zaměstnanců) zpřístupnit na Internetu. V případě zaměstnanců, jejichž pracovní povinnosti souvisí např. se stykem s veřejností, lze zveřejnit kontaktní informace, ale pouze v nezbytném rozsahu. Jiným příkladem může být publikování informace, že určitá osoba je vzhledem k neplnění svých smluvních závazků dlužníkem, a to aniž by součástí tohoto (nebo jiného) smluvního ujednání byl souhlas dotčeného subjektu se zpracováním osobních údajů tímto způsobem (tj. zveřejněním v případě prodlení).

Každý, kdo zvažuje zveřejnění osobních údajů na webových stránkách, musí tedy před tímto krokem důkladně zvážit, zda bude zapotřebí získat k tomuto kroku souhlas subjektů údajů (tj. předem získaný, svobodný a informovaný souhlas podle § 5 odst. 4 zákona o ochraně osobních údajů), anebo zda naplňuje některou z uvedených výjimek, při jejichž aplikaci je však nutno vycházet spíše z restriktivního výkladu. (čj. 1/06/SŘOSČ, 3/06/SŘ-OSČ, 4/06/SŘ-OSČ) 2. K zabezpečení osobních údajů zpracovávaných v rámci zdravotnické dokumentace V souvislosti se zpracováním osobních údajů ve zdravotnické dokumentaci (podle § 67a a § 67b zákona č. 20/1966 Sb., o péči o zdraví lidu) a při nakládání s ní je především nezbytné přijmout a důsledně dodržovat odpovídající opatření směřující k tomu, aby nedošlo k neoprávněnému nebo nahodilému přístupu k osobním údajům nebo k jejich ztrátě. Povinnost přijmout taková opatření vyplývá z § 13 odst. 1 zákona o ochraně osobních údajů tomu, kdo zdravotnickou dokumentaci vede, tedy zdravotnickému zařízení (bez ohledu na to, jedná-li se o osobu právnickou nebo fyzickou osobu podnikající). Obsahem této povinnosti je vyhodnocení všech rizik předmětného zpracování osobních údajů, v návaznosti na konkrétní organizaci zpracování a okolnosti, za nichž ke zpracování dochází, a dále přijetí a provedení odpovídajících opatření. Vhodná opatření pro zabezpečení ochrany osobních údajů je nezbytné přijmout nejen ve vztahu k běžným činnostem zdravotnického zařízení jako správce či zpracovatele osobních údajů, ale také zvláště pro každou ojedinělou operaci s osobními údaji, případně s jejich nosiči, která vybočuje z běžné činnosti správce nebo zpracovatele, jako je např. přeprava písemností (zdravotnické dokumentace) na jiné místo, jejich předávání jiným subjektům anebo skartace písemností uchovávaných v archivu. Při vyhodnocování rizik a přijímání opatření ve smyslu § 13 odst. 1 zákona o ochraně osobních údajů je dále nezbytné vypořádat se i s rizikem odcizení dokumentace nebo jiných nosičů, tedy i osobních údajů, které obsahují. Je třeba zdůraznit, že přijetí odpovídajících bezpečnostních opatření je zvláště důležité vzhledem k tomu, že v rámci zdravotnické dokumentace jsou zpracovávány kromě „obyčejných“ osobních údajů i údaje citlivé ve smyslu § 4 písm. b) zákona o ochraně osobních údajů. (čj. 8/06/SŘ-OSČ, 9/06/SŘOSČ, 22/06/SŘ-OSČ) 3. Ke zpracování osobních údajů v souvislosti se správou nemovitostí V souvislosti s výkonem správy domu, ať již ve vlastnictví společenství vlastníků jednotek nebo družstva, dochází vždy ke zpracování osobních údajů obyvatel domu. Tyto údaje jsou nezbytné pro řádný výkon správy domu, jako je např. správa

Věstník Úřadu pro ochranu osobních údajů 44/2007 fondu oprav nebo rozúčtování společných nákladů. Toto zpracování může provádět jak vlastník nemovitosti sám, v pozici správce osobních údajů, nebo lze výkonem této činnosti pověřit jiný subjekt, který potom jedná v roli zpracovatele osobních údajů. Odpovědnost za zpracování osobních údajů nese primárně správce ve smyslu § 4 písm. j) zákona o ochraně osobních údajů, v případě překročení či nedodržení stanovených podmínek zpracování však také (anebo pouze) zpracovatel [viz § 4 písm. k) tohoto zákona]. Při zpracování osobních údajů shromážděných při výkonu správy domu je vždy nutné dbát zejména na dodržení zásady účelnosti zpracování vyjádřené v § 5 odst. 1 písm. f) zákona o ochraně osobních údajů, tedy využívat tyto údaje skutečně jen k účelu, k němuž byly shromážděny. Vybočením z této zásady, a tedy porušením povinnosti při zpracovávání osobních údajů, může být i zveřejnění osobních údajů např. v souvislosti s existencí dluhu vůči majiteli či správci nemovitosti na místě přístupném i jiným osobám, než které jsou z titulu svého členství ve společenství vlastníků jednotek nebo družstvu oprávněny takové informace obdržet. V domech, kde je část obyvatel vlastníky jednotek či družstevníky a část nájemníky těchto subjektů, je pro náležité plnění povinností stanovených zákonem o ochraně osobních údajů při správě domu velmi podstatné rozlišování postavení jednotlivých obyvatel domu. Informace (včetně osobních údajů), na něž mají nárok spoluvlastníci domu, tedy osoby podílející se finančně např. na správě společných prostor nebo na opravách, není možné automaticky zpřístupnit všem, kteří v daném domě bydlí, bez rozdílu. Např. sdělení, že určitý spoluvlastník nebo družstevník dluží na poplatcích do fondu oprav nebo kolik přispěl na realizovanou rekonstrukci domu, lze sdělit ostatním spoluvlastníkům a družstevníkům, nikoli ale nájemníkům, naopak informace týkající se nájemníků lze, v přiměřené míře, zpřístupnit ostatním spoluvlastníkům nemovitosti (neboť např. počet osob v domácnosti hraje roli při správě celého domu), ale již ne ostatním nájemníkům. Současně lze konstatovat, že i v případě, kdyby všichni obyvatelé domu byli vlastníky jednotek nebo členy družstva, není vhodné informaci obsahující osobní údaje umístit ve veřejně přístupných částech domu (a to i zamčeného), neboť nelze zajistit, že nebude takto zpřístupněna jiným osobám, např. návštěvám. (čj. 2/06/SŘ-OSČ, 5/06/SŘ-OSČ, 33/06/SŘ-OSČ) 4. K problematice aktualizace zpracovávaných osobních údajů Na základě ustanovení § 5 odst. 1 písm. c) zákona o ochraně osobních údajů je každý správce či zpracovatel osobních údajů povinen zpracovávat pouze přesné osobní údaje a, je-li to nezbytné, také zpracovávané údaje aktualizovat. S touto povinností úzce souvisí i povinnost vyjádřená v § 5 odst. 1 písm. e) zákona o ochraně osobních údajů, tedy povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná k jejich zpracování. Z uvedeného je zřejmé, že každý, kdo zpracovává osobní údaje, musí v závislosti na rozsahu a okolnostech předmětného zpracování přijmout systém opatření, jejichž prostřednictvím

Strana 2565

zajistí, že nebudou zpracovávány nepřesné či chybné osobní údaje (tj. případné nedostatky v kvalitě údajů budou zjištěny), a dále že nebudou uchovávány osobní údaje, jejichž zpracování již není z hlediska dosažení stanoveného cíle nezbytné. V této souvislosti je nutno uvést, že zpracováním nepřesných osobních údajů podle § 5 odst. 1 písm. c) zákona o ochraně osobních údajů není pouze zpracování nesprávných údajů vzniklých např. gramatickou chybou, ale i zpracování formálně správných údajů v souvislosti s nesprávnou informací. Např. zpracování přesných identifikačních údajů spolu s informací o tom, že daná osoba je dlužníkem, ačkoli tomu tak ve skutečnosti není. Ve smyslu § 4 písm. a) zákona č. 101/2000 Sb. je totiž nutno pod pojmem osobní údaj rozumět jakoukoli informaci, kterou je možno vztáhnout ke konkrétní osobě. Povinnost zpracovávat pouze přesné osobní údaje však neznamená, že je vždy nezbytné zpracovávat jen absolutně správné údaje, neboť nepřesnosti mohou vzniknout již při shromažďování dat od samotných subjektů údajů, z čehož nelze vyvozovat odpovědnost daného správce. Nicméně zákon o ochraně osobních údajů požaduje, aby správce osobních údajů (případně zpracovatel na základě jeho pověření) prováděl, je-li to vzhledem k účelu zpracování nezbytné, také aktualizaci zpracovávaných osobních údajů, tedy nápravu zjištěných nepřesností. Zákon o ochraně osobních údajů správci neukládá, aby prováděl tuto kontrolu správnosti zpracovávaných údajů nepřetržitě, ale ponechává vyhodnocení způsobu vyrovnání se s touto povinností na dotyčném správci (vyhodnocení splnění této povinnosti je pak úkolem Úřadu v kontrolním nebo v sankčním řízení). Opatření směřující ke zjištění zpracování nesprávných osobních údajů jsou tak nezbytná zejména v systémech, jejichž provoz je zcela či do značné míry automatizovaný, a které jsou intenzivně využívány. Ke zjištění, že jsou zpracovávány nepřesné nebo již nadbytečné osobní údaje, často dochází na základě žádosti samotného subjektu údajů o opravu, doplnění či likvidaci zpracovávaných dat. Je nezbytné uvést, že takové žádosti subjektu údajů (je-li důvodná) je správce na základě § 21 zákona o ochraně osobních údajů povinen vyhovět. (čj. 10/06/SŘ-OSČ, 13/06/ SŘ-OSČ, 31/06/SŘ-OSČ) 5. Ke zpracování rodných čísel pro účely vedení soudních sporů Zvláštní úprava využívání rodných čísel je již od 1. dubna 2004 obsažena v zákoně č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), který v ustanovení § 13c odst. 1 taxativně stanoví, kdy lze rodná čísla využívat. Vzhledem k tomu, že rodné číslo je i přes svůj zvláštní status osobním údajem ve smyslu § 4 písm. a) zákona o ochraně osobních údajů, představuje zákon o evidenci obyvatel lex specialis k tomuto zákonu. Ten, kdo zpracovává rodná čísla, je tedy správcem osobních údajů podle § 4 písm. j) zákona o ochraně osobních údajů a vztahují se na něj veškeré povinnosti tímto zákonem uložené, pokud zákon o evidenci obyvatel nestanoví jinak. V soukromé sféře mohou být rodná čísla využívána zejména na základě souhlasu jejich nositelů, tj. podle § 13c odst. 1


Strana 2566

písm. c) zákona o evidenci obyvatel. Ustanovení § 13c odst. 1 písm. a) tohoto zákona totiž opravňuje k využívání rodných čísel pouze zde uvedené orgány státní správy a pro aplikaci postupu podle § 13c odst. 1 písm. b) zákona o evidenci obyvatel, tedy využití rodného čísla, stanoví-li tak zvláštní zákon, je nezbytné, aby takový zvláštní právní předpis výslovně stanovil povinnost identifikovat účastníky určitého právního vztahu rodnými čísly. V praxi se však stále vyskytují situace, kdy jsou rodná čísla soukromoprávními subjekty (typicky právními zástupci) běžně využívána pro označení stran soudního sporu či účastníků řízení, případně je tento údaj přímo vyžadován ze strany příslušných státních orgánů. Tuto praxi je však nutno zcela odmítnout, neboť to jsou právě státní instituce, které buď přímo zákon o evidenci obyvatel nebo jiná norma opravňuje k získávání a využívání rodných čísel. Naopak jednotlivé strany sporu či účastníci řízení a jejich zástupci jsou tímto postupem fakticky nuceni zpracovávat rodná čísla v rozporu se zákonem, neboť např. získání souhlasu se zpracováním rodného čísla žalovaného žalobcem bude zřejmě jen výjimečné a právní předpisy zpracování rodných čísel soukromoprávními subjekty obvykle neumožňují. Např. § 79 odst. 1 zákona č. 99/1963 Sb., občanský soudní řád, povinnost identifikovat účastníky soudního řízení (fyzické osoby) rodným číslem nestanoví, pouze požaduje, aby návrh

na zahájení řízení kromě obecných náležitostí obsahoval jméno, příjmení a bydliště účastníků. Z uvedeného je zřejmé, že zákon č. 99/1963 Sb. není zvláštním zákonem ve smyslu § 13c odst. 1 písm. b) zákona o evidenci obyvatel, který by umožňoval využívání rodných čísel. Oprávnění k využívání rodných čísel pro identifikaci účastníků řízení nelze vyvozovat ani ze skutečnosti, že některé veřejné evidence dostupné i ve formě dálkového přístupu (typicky katastr nemovitostí a obchodní rejstřík) rodná čísla obsahují a tak jej zpřístupňují široké veřejnosti. Zpracování rodných čísel v souvislosti s vedením těchto evidencí je v souladu s § 13c odst.1 písm. a) zákona o evidenci obyvatel. Předmětné zvláštní právní předpisy, upravující podmínky fungování těchto evidencí, však již neobsahují oprávnění uživatelů volně disponovat se zde uvedenými rodnými čísly. Závěrem je třeba uvést, že souhlasem s využitím rodného čísla podle § 13c odst. 1 písm. c) zákona o evidenci obyvatel je, s ohledem na absenci zvláštní úpravy, nutno rozumět souhlas se zpracováním osobních údajů podle zákona o ochraně osobních údajů, tedy svobodný a vědomý projev vůle, předcházející samotnému zpracování. (čj. 15/06/SŘ-OSČ) Poznámka: Za jednotlivými texty, které jsou rozděleny do tématických okruhů, jsou vždy kurzívou uvedena interní čj., pod kterými jsou jednotlivé případy v Úřadu evidovány.

Vyjádření a doporučení ÚOOÚ k možnosti instalovat kamerový systém v prostorách školy Zpracováno 12. března 2007 Vydává se v návaznosti na publikované vyjádření odboru legislativního a právního Ministerstva školství, mládeže a tělovýchovy ČR ze dne 6.12. 2006.¹) Základní přístupová kriteria Úřadu pro ochranu osobních údajů (dále jen „Úřad“) lze shrnout do těchto zásad, které je nutno v konkrétním případě vždy posoudit dříve, nežli se učiní rozhodnutí o instalaci kamerového systému: – Ochrana práva jednotlivce by měla být vždy zohledněna ve vztahu k zájmům, provozovatele školy nebo školského zařízení (dále jen „škola“), který musí vykonávat svá práva a povinnosti způsobem co nejméně zasahujícím do soukromí, a to nejen zaměstnanců a žáků, ale i dalších osob. – Škole musí být zřejmý velmi závažný důvod nebo vážná příčina, pro který je kamerový systém instalován a který neumožňuje použít jiný, méně invazivní prostředek zasahující do soukromí osob pohybujících se ve sledovaném prostoru. Přitom je třeba zdůraznit, že kamerový systém nelze nasazovat a ani následně využívat za účelem sledování fyzických osob – žáků, učitelů nebo zaměstnanců školy, ale pouze pro legitimní účely jako je například ochrana majetku.

– Musejí být dána jasná pravidla pro přístup jen vymezeného okruhu osob k systému a v něm uchovávaným záznamům nebo k jeho jednotlivým částem, včetně oprávnění manipulovat se sledovacími zařízeními nebo jejich režim upravovat. – Rovněž je nezbytné řešit zvláštní režim přístupu oprávněných osob k uchovávaným záznamům, to znamená, jak osob pověřených správcem pro nahlížení do záznamů, tak osob, které využijí svého práva přístupu k zaznamenaným údajům o nich. – Musí být stanovena doba uchovávání záznamů, která nepřesáhne dobu potřebnou k tomu, aby incident zaznamenaný kamerou bylo možno zjistit dodatečnými prostředky a předat k vyšetření příslušným orgánům. Přitom doba uchování by při běžném provozu systému neměla přesáhnout délku několika dnů s přihlédnutím k možným odchylkám jednotlivých záznamů pořizovaných například během prázdnin. – Před spuštěním systému by měl být vypracován projekt rozmístění kamer a instalace jednotlivých sledovacích a záznamových zařízení včetně stanovení režimu (časového) pro provoz jednotlivých snímacích stanovišť, který by měl být kritériem pro posouzení funkčnosti systému

Věstník Úřadu pro ochranu osobních údajů 44/2007 i z pohledu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon“). Pokud se shrnou shora uvedené podmínky a předpoklady pro zákonný rámec provozování kamerových systémů, lze v zásadě s přihlédnutím k současným postojům Úřadu, jejichž snahou je omezit provozování kamerových systémů ve školách jen na nezbytně nutnou míru, souhlasit s větší částí stanoviska MŠMT v tom směru, že: 1. Skutečnost, že neexistuje zvláštní právní úprava podmínek pro provozování kamerových systémů neznamená, že škola při splnění svých zákonných povinností správce osobních údajů nemůže rozhodnutí o instalaci kamerového systému se záznamem učinit. 2. Pokud se škola k tomuto kroku rozhodne, ocitá se toto zpracování v režimu zákona a musí proto splnit zde uváděné zákonné podmínky: – Učinit oznámení o zpracování podle § 16 zákona. – Zpracovávat osobní údaje pouze se souhlasem subjektu údajů podle § 5 odst. 2, pokud škola neprokáže kvalifikovaný důvod, který by ji opravňoval ke zpracování osobních údajů bez souhlasu. – Provozovat systém tak, aby bylo soukromí osob s ohledem na jejich právo podle § 10 zákona narušováno minimálně (posuzováno je např. i umístění kamer, úhel záběru, zobrazovací schopnost apod.). – Informovat monitorované osoby o instalaci a provozu systému podle § 11 zákona. – Přijmout bezpečnostní opatření pro provozování systému a ochranu zpracovávaných informací podle § 13

Strana 2567

zákona a stanovit přiměřenou dobu pro uchovávání záznamů podle § 5 odst. 1 písm. e). – Respektovat podmínky zvláštních právních předpisů upravujících možnosti sledování osob (zejména § 316 odst. 2 zákoníku práce). Závěr: Nad rámec výše uvedeného doporučení lze uvést: Záměrem tohoto vyjádření je odstranit přetrvávající rozdíly v přístupu k otázce, v jakých prostorách žáci i zaměstnanci školy, uplatňují své právo na soukromí. V tomto směru se odkazuje na judikaturu Evropského soudu pro lidská práva (ESLP)²), podle které je nutno pod pojmem soukromí člověka rozumět právo každého člověka na vytváření a rozvíjení vztahu s dalšími lidskými bytostmi, a to i na pracovišti (a lze tedy dovodit, že i v prostorách, kde jsou žáci vzděláváni). Dle soudu není dost dobře možné přesně oddělit soukromý a profesionální život, neboť právě v rámci svých pracovních aktivit má většina lidí největší příležitost navazovat a rozvíjet vztahy s vnějším okolím, a proto právo na respektování soukromého života zahrnuje i právo na respektování soukromí v zaměstnání (viz např. rozhodnutí ve věci Niemietz v. Německo z roku 1992). Poznámka: ¹) Plné znění dokumentu „Vyjádření odboru legislativního a právního MŠMT k otázce používání kamer ve školách“ ze dne 6. 12. 2006 je k dispozici na internetové adrese http://www.ucitelskenoviny.cz/nastenka_clanek.php?odkaz=kamery.html . ²) Více informací o ESLP je k dispozici na internetové adrese www. echr.coe.int .

Informace o stanovisku Ministerstva vnitra ČR ke zveřejňování záznamů městských kamerových systémů V Informačním servisu prevence kriminality za leden 2007, který vydává Ministerstvo vnitra ČR – odbor prevence kriminality, bylo publikováno stanovisko tohoto odboru ke zveřejňování záznamů z městských kamerových systémů. Se závěry MV k této problematice a s jeho právním názorem na přípustnost zveřejňování záznamů městských kamerových systémů se Úřad pro ochranu osobních údajů ztotožňuje, a proto jej publikuje i ve svém Věstníku. Stanovisko je přetištěno se souhlasem Ministerstva vnitra ČR. Zveřejňování záznamů z městských kamerových systémů V posledních měsících se na odbor prevence kriminality Ministerstva vnitra obrací čím dál více zástupců měst a obcí či pracovníků obecních policií s dotazem, zda je možné zveřejňovat záznamy z městských kamerových dohlížecích systémů.

Uvádíme proto obecnou odpověď na tuto veskrze právní otázku. Úvodem je třeba poznamenat, že záznam z kamerového dohlížecího systému je podle českého právního řádu osobním údajem ve smyslu ustanovení § 4 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů (dále jen zákon o ochraně osobních údajů). Z této skutečnosti pak vyplývá řada povinností pro správce a zpracovatele osobních údajů – záznamů z kamerového dohlížecího systému, kterým je v tomto případě konkrétní město či obec. Zejména se tedy jedná o povinnosti uložené správcům osobních údajů v ustanoveních § 5, § 11 až § 16 zákona o ochraně osobních údajů, které obsahují například povinnost správce stanovit účel, k němuž mají být osobní údaje zpracovány, zpracovat pouze přesné osobní údaje, uchovávat osobní údaje pouze pro dobu odpovídající stanovenému účelu, informovat subjekt údajů o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, a v neposlední řadě má správ-


Strana 2568

ce také oznamovací povinnost k Úřadu pro ochranu osobních údajů. V případě obcí respektive měst provozuje kamerový dohlížecí systém většinou obecní respektive městská policie. Ve smyslu ustanovení § 3 odst. 6 zákona o ochraně osobních údajů je v případě zajišťování veřejného pořádku a vnitřní bezpečnosti ve smyslu zvláštního zákona (v tomto případě zákona č. 553/1991 Sb., o obecní policii, ve znění pozdějších předpisů, dále jen zákon o obecní policii) město či obec jako správce osobních údajů vyňato z povinností stanovených v § 5 odst. 1, § 11 a § 12 zákona o ochraně osobních údajů. Z výkladového ustanovení § 4 písm. e) zákona o ochraně osobních údajů vyplývá, že zpracováním osobních údajů je mimo jiné i jejich zveřejňování. Zároveň ustanovení § 5 odst. 2 zákona o ochraně osobních údajů stanovuje taxativní výčet situací, kdy lze zpracovávat (tedy včetně zveřejňování) osobní údaje bez souhlasu subjektu údajů. V tomto taxativním výčtu se však zveřejňování nevyskytuje, a proto je tuto činnost nutno vykonávat toliko se souhlasem subjektů údajů. U zveřejňování osobních údajů nelze ani použít vynětí z určitých výše uvede-

ných povinností ve smyslu již uvedeného ustanovení § 3 odst. 6 zákona o ochraně osobních údajů, jelikož toto neuvádí vynětí z povinností stanovených v § 5 odst. 2 zákona o ochraně osobních údajů. Celou situaci lze tedy shrnout tak, že, i kdyby byly osobní údaje zveřejňovány v souvislosti se zajištěním veřejného pořádku na základě zvláštního zákona o obecní policii, má obec či město povinnost zveřejňovat osobní údaje jen se souhlasem subjektů údajů tedy osob vyskytujících se na záznamech. V opačném případě by byl porušen zákon o ochraně osobních údajů, který je zákonnou limitou práva na soukromí, jehož ústavní základ je obsažen v čl. 7 odst. 1 Listiny základních práv a svobod. Závěrem je nutné podotknout, že situace v případech, kdy městský kamerový dohlížecí systém provozuje Policie České republiky, je v podstatě identická s výše popsaným právním režimem záznamů zpracovávaných obecní policií. Poznámka: Výše uvedený materiál je k dispozici na http://www.mvcr. cz/ministerstvo/opk/servis/leden07.pdf .

Prohlášení pro tisk ke zpracovávání osobních údajů Společností pro celosvětovou mezibankovní finančí komunikaci (SWIFT) (Materiál je součástí tiskové zprávy z tiskové konference Úřadu konané 25. 1. 2007) Sdělení úvodem: V souvislosti se zveřejněním Stanoviska č.10/2006 Pracovní skupiny pro ochranu dat podle článku 29 směrnice 95/46/ES, které se týká zpracovávání osobních údajů Společností pro celosvětovou mezibankovní finanční komunikaci /Society for Worldwide Interbank Financial Telecommunication (SWIFT)/, publikuje Úřad současně svůj postoj k otázce týkající se skutečnosti, že společnost SWIFT poskytuje bez vědomí klientů finančních institucí údaje o mezibankovních finančních transakcích, na vyžádání úřadům USA v rámci boje proti terorismu. Materiál „Prohlášení pro tisk“ je součástí tiskové zprávy Úřadu z jeho tiskové konference konané dne 25. ledna 2007 u příležitosti Dne ochrany osobních údajů. Úřad pro ochranu osobních údajů považuje za solidní, aby klienti bank a finančních institucí i široká veřejnost byli o problému informování, což je i cílem tohoto prohlášení pro tisk. V červnu minulého roku se na Úřad pro ochranu osobních údajů, stejně jako na ostatní obdobné dozorové orgány nad ochranou osobních údajů ve členských státech EU i jinde ve světě, obrátila Privacy International s upozorněním, že společnost SWIFT poskytuje bez vědomí klientů finančních institucí údaje o mezibankovních finančních transakcích na vyžádání úřadům USA v rámci boje proti terorismu.

Privacy International je soukromá organizace se sídlem v Londýně, se členy z 30 zemí, založená v roce 1990; jejím cílem je střežit soukromí, lidská práva a občanské svobody. SWIFT (Society for Worldwide Interbank Financial Telecommunication) je světovou finanční službou pro usnadňování mezinárodních peněžních transferů. Jde o společnost družstevního typu založenou a provozovanou v rámci belgického práva, s ústředím v Belgii, v sídle Národní banky Belgie. Má řadu úřadoven v různých zemích (žádnou v ČR). Významnou úlohu v dozorových orgánech společnosti mají centrální banky zemí tzv. G-10, které základní kontrolní pravomoc přenesly právě na Národní banku Belgie. Z informace Privacy International a výsledků následného zjišťování zejména belgických úřadů dále vyplývá, že SWIFT má dvě operační centra, jedno v EU a druhé v USA. Provozovna v USA má funkci „záložní“ a přesně zrcadlí všechny podchycené operace. Na základě smlouvy uzavřené mezi společností SWIFT a úřady USA se z operačního centra data ve velkých množstvích přenášejí do tzv. „black-boxů“, které již jsou pod kontrolou USA, a to pravděpodobně na základě přibližných vymezení typu „od-do“, „země-země“, „banka-banka“ apod.; z nich pak Ministerstvo financí USA (US Department of Treasury) vybírá již individualizovaná data. Vše se děje na základě úředních žádostí o informace (tzv.

Věstník Úřadu pro ochranu osobních údajů 44/2007 „subpoenas“), které jsou pro subjekty působící v rámci jurisdikce USA závazné. Záležitostí předávání osobních údajů společností SWIFT úřadům USA v rámci boje proti terorismu se na svých jednáních zabývala také Pracovní skupina pro ochranu dat podle článku 29 („WP 29“), což je nezávislý poradní orgán Evropské komise složený z předsedů národních dozorových orgánů pro oblast ochrany osobních údajů. 22. listopadu 2006 přijala pracovní skupina WP 29 v této záležitosti podrobné stanovisko (http://ec.europa.eu/justice_ home/fsj/privacy/docs/wpdocs/2006/wp128_cs.pdf). Upozorňuje v něm na porušení několika ustanovení příslušné směrnice o ochraně osobních údajů (95/46/EC) a tedy i odpovídajících ustanovení v národních legislativách. Jedná se zejména o skutečnost, že data byla ve velkém rozsahu předávána pro účel nekompatibilní s původním komerčním účelem jejich sběru (čl. 6/1/b směrnice). Ani SWIFT, ani finanční instituce dále neinformovaly subjekty údajů o způsobu zpracování jejich údajů ve spojení s transfery do USA, jak to vyžadují čl. 10 a 11 směrnice. Nerespektovány jsou i čl. 25 a 26 směrnice, stanovující podmínky předávání údajů do „třetích“ zemí s neadekvátní legislativní ochranou osobních údajů, mezi které patří i USA. V souvislosti s bojem proti terorismu nemá příslušné zpracování dat právní oporu ani v právních normách EU, ani v nějakém závazném mezinárodním ujednání mezi EU a USA. WP 29 v závěrech vyzývá k okamžitému zahájení akcí, které by vedly k nápravě situace a k zastavení porušování zákona. Vyslovila názor o společné odpovědnosti společnosti SWIFT a finančních institucí, nicméně v nestejné míře této odpovědnosti. Hlavní opatření by se měla týkat v první řadě hlavní odpovědné osoby „správce“ dat, kterou je SWIFT. I když banky tuto společnost založily, již dlouhou dobu nově přistupující banky a finanční instituce nemají na její činnost přímý vliv, ve své naprosté většině nemají možnost její činnost kontrolovat a nerozhodují o povaze a způsobu poskytovaných služeb. Určitý vliv na její činnost a tedy i určitou míru odpovědnosti mají centrální banky zemí G-10 v čele s Národní bankou Belgie vzhledem ke své účasti v kontrolním aparátu a tedy i možnosti nepřímo činnost společnosti ovlivňovat. Zásadní odpovědnost společnosti SWIFT za předávání dat do USA je tedy nepochybná. Úřad pro ochranu osobních údajů se nespokojil jen pouhým sledováním vývoje v zahraničí. Již v červenci 2006 se předseda Úřadu obrátil dopisem na generálního guvernéra ČNB, ve kterém ho o případu informoval a požádal o součinnost při získávání dalších informací. V listopadu 2006 bylo po pracovní linii informováno MF ČR a na vyžádání byly informace s hodnocením situace poskytnuty také dalším rezortům, jmenovitě MZV ČR a MV ČR. Ještě v roce 2006 také byla z rozhodnutí předsedy Úřadu zahájena v rámci kompetencí

Strana 2569

Úřadu jakožto nezávislého orgánu dozoru kontrola několika bank, jejímž řízením byl pověřen inspektor Ing. Jan Zapletal. Účelem kontroly bylo prověřit, zda nedošlo při zpracovávání osobních údajů klientů bank v souvislosti s jejich předáváním do systému „SwiftNet Fin“ k porušení zákona a v takovém případě pak, kromě možných finančních sankcí, přijmout opatření na zastavení a nápravu příslušné závadné činnosti. I když kontrola Úřadu pro ochranu osobních údajů ve vybraných bankách dosud formálně uzavřena nebyla, již dnes je možné konstatovat, že zákon kontrolovanými subjekty z hlediska zpracování osobních údajů jejich klientů, které jsou součástí záznamů o mezibankovních transakcích předávaných do zahraničí a posléze také poskytované společností SWIFT úřadům v USA v rámci boje proti terorismu, porušen nebyl. Ve smlouvách kontrolovaných subjektů se společností SWIFT není žádná zmínka svědčící o tom, že by záznamy mohly být používány i pro jiné účely, nekompatibilní s komerčními účely, pro které jsou českými bankami zpracovávány a do zahraničí předávány. Transfery záznamů s osobními údaji do zahraničí kontrolované banky vesměs směrují v rámci EU, respektive Evropského hospodářského prostoru, s výjimkou informací o platbách ve měnách zemí mimo tento prostor, které nejprve směřují do banky v příslušné „třetí“ zemi. O tomto principu v souvislosti s použitím měny „třetí“ země jsou však klienti v rámci všeobecných obchodních podmínek informováni. Tokům osobních údajů v rámci EU/EHP nesmí být kladena žádná překážka z titulu ochrany osobních údajů. Jednoznačně tak stanoví již zmíněná směrnice 95/46/EC ve svém čl. 1 odst. 2 a stejně tak to vyplývá i z příslušného ustanovení § 27 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Závěrem nezbývá nežli znovu zdůraznit, že odpovědnost za stávající praxi je především na společnosti SWIFT, která osobní údaje do USA předává a úřadům USA poskytuje. Jistou odvozenou míru spoluzodpovědnosti je možné vyvodit i pro finanční instituce, které jsou součástí kontrolních mechanismů SWIFT, tedy centrální banky zemí G-10 v čele s Národní bankou Belgie. A právě tam je také třeba hledat nápravu a zvažovat případné sankce. Objevují se úvahy, že řešení do budoucna je možné očekávat od jednání orgánů EU s úřady USA s cílem právně podepřít transfery dat do USA mezinárodní smlouvou. To by ovšem současnou praxi příliš nezměnilo, nicméně by se docílilo určitých smluvních záruk pro zacházení s osobními údaji ze strany amerických úřadů. Úřad pro ochranu osobních údajů ovšem považuje za solidní, aby klienti bank a finančních institucí i široká veřejnost byli o problému alespoň informováni, což je i cílem tohoto prohlášení pro tisk. Poznámka: Výše uvedený materiál je také k dispozici na internetové adrese Úřadu http://www.uoou.cz/index.php?l=cz&m=top&mid=03 &u1=&u2=&t= .

Strana 2570


Pracovní skupina na ochranu údajŢ vytvoŐená podle þLÁNKU 29

00195/06/CZ

WP 117

Pracovní skupina 117

Stanovisko 1/2006 k problematice užívání právních pĜedpisĤ EU o ochranČ údajĤ na vnitĜní postupy oznamování podezĜení z protiprávního jednání (whistleblowing) v oblasti úþetnictví, vnitĜních úþetních kontrol, záležitostí auditu, boje proti úplatkáĜství a trestné þinnosti v bankovním a finanþním sektoru

PĜijaté dne 1. února 2006

Tato pracovní skupina, která byla vytvoŐena podle ÿlánku 29 smĚrnice 95/46/ES, pŐedstavuje nezávislý evropský poradní orgán v oblasti ochrany údajŢ a soukromí. Její úkoly jsou vymezené v ÿlánku 30 smĚrnice 95/46/ES a ÿlánku 15 smĚrnice 2002/58/ES. Služby sekretariátu zabezpeÿuje Őeditelství C (Obÿanské právo, základní práva a obÿanství) Generálního Őeditelství Evropské komise pro spravedlnost, svobodu a bezpeÿnost, B-1049 Brussel, Belgie, kanceláŐ ÿ. LX-46 01/43. Internetová stránka: http://europa.eu.int/comm/justice_home/fsj/privacy/index_en.htm


Strana 2571

OBSAH I.

ÚVOD ......................................................................................................................... 4

II.

ODģVODNċNÍ OMEZENÉHO PěEDMċTU ÚPRAVY TOHOTO STANOVISKA............................................................................................................ 5

III. ZVLÁŠTNÍ DģRAZ NA PRÁVNÍ PěEDPISY O OCHRANċ ÚDAJģ TÝKAJÍCÍ SE OCHRANY OSOB OZNAýENÝCH ZA PODEZěELÉ PROSTěEDNICTVÍM POSTUPģ OZNAMOVÁNÍ ................................................ 6 IV. POSOUZENÍ SLUýITELNOSTI POSTUPģ OZNAMOVÁNÍ S PRÁVNÍMI PěEDPISY O OCHRANċ ÚDAJģ .................................................... 7 1.

Zákonnost postupĤ oznamování (þlánek 7 smČrnice 95/46/ES) ........................ 7 i) Zavedení postupu oznamování je potĜebné ke splnČní právní povinnosti správce údajĤ (þl. 7 písm. c))............................................. 7 ii) Zavedení postupu oznamování je nutné k prosazení oprávnČného zájmu správce údajĤ (þlánek 7 písm. f)).............................................. 8

2.

UplatĖování zásad kvality údajĤ a proporcionality (þlánek 6 smČrnice o ochranČ údajĤ)................................................................................................ 9 i) Možnost omezení poþtu osob oprávnČných oznamovat nesrovnalosti nebo protiprávní jednání prostĜednictvím postupĤ oznamování........................................................................................ 10 ii) Možnost omezení poþtu osob, které mohou být oznaþeny za podezĜelé prostĜednictvím postupĤ oznamování ............................... 10 iii) PĜednost vytipovaných a dĤvČrných oznámení pĜed anonymními oznámeními ....................................................................................... 10 iv) Proporcionalita a pĜesnost shromažćovaných a zpracovávaných údajĤ .................................................................................................. 12 v) PĜísné dodržování lhĤt pro uchovávaní údajĤ............................................. 12

3.

Poskytování jasných a úplných informací o postupu oznamování (þlánek 10 smČrnice o ochranČ údajĤ) ......................................................... 13

4.

Práva osoby, proti níž bylo vzneseno podezĜení ............................................. 13

5.

i)

Právo na informace............................................................................ 13

ii)

Právo na pĜístup k údajĤm, jejich opravu a výmaz ........................... 14

Bezpeþnost úkonĤ zpracovávání údajĤ (þlánek 17 smČrnice 95/46/ES) ........ 14 i) HmotnČprávní opatĜení k zajištČní bezpeþnosti údajĤ ................................. 14 ii) Zachovávání mlþenlivosti o oznámeních podaných prostĜednictvím postupu oznamování.......................................................................... 15

6.

Správa postupĤ oznamování............................................................................ 15 i) Zvláštní interní organizaþní jednotka povČĜená správou postupĤ oznamování........................................................................................ 15 ii) Možnost využití externích poskytovatelĤ služeb........................................ 16 2


Strana 2572

iii) Zásada vyšetĜování podnikĤ EU v EU a výjimky z této zásady................ 16

7.

PĜedávání údajĤ do tĜetích zemí ..................................................................... 17

8.

Dodržování oznamovací povinnosti ............................................................... 17

V – ZÁVċRY .................................................................................................................... 18

3


Strana 2573

PRACOVNÍ SKUPINA PRO OCHRANU PěI ZPRACOVÁNÍ OSOBNÍCH ÚDAJģ

FYZICKÝCH

OSOB

vytvoĜená smČrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. Ĝíjna 19951 s ohledem na þlánek 29 a þl. 30 odst. 1 písm. c) a þl. 30 odst. 3 této smČrnice, s ohledem na její jednací Ĝád, a zejména na jeho þlánky 12 a 14, PěIJALA TOTO STANOVISKO: I.

ÚVOD

Toto stanovisko obsahuje pokyny k provádČní vnitĜních postupĤ oznamování podezĜení z protiprávního jednání (dále jen „oznamování“) v souladu s právními pĜedpisy EU o ochranČ údajĤ stanovenými smČrnicí 95/46/ES2. Skuteþnost, že zavádČní postupĤ oznamování v EvropČ v prĤbČhu roku 2005 vyvolalo množství otázek, vþetnČ otázek týkajících se ochrany údajĤ, ukazuje, že rozvoj tČchto þinností ve všech þlenských zemích EU mĤže být spojen se znaþnými obtížemi. Tyto obtíže jsou do znaþné míry zapĜíþinČny kulturními rozdíly, které vyplývají ze spoleþenských, a/nebo historických dĤvodĤ, jejichž existenci nelze popĜít ani pĜehlížet. Pracovní skupina si je vČdoma, že tyto obtíže zþásti souvisí se širokou škálou záležitostí, na nČž lze upozorĖovat pomocí vnitĜních postupĤ oznamování protiprávních jednání. Je jí rovnČž známo, že postupy oznamování vyvolávají v nČkterých þlenských státech EU specifické problémy v oblasti pracovního práva a že na tČchto otázkách, které si i nadále budou vyžadovat pozornost, se stále pracuje. Pracovní skupina musí rovnČž brát v úvahu skuteþnost, že v nČkterých zemích EU je používání postupĤ oznamování upraveno právními pĜedpisy, ale ve vČtšinČ zemí EU chybí specifická právní þi jiná úprava této problematiky. Z toho dĤvodu považuje pracovní skupina za pĜedþasné pĜijmout v této fázi obecnČ platné koneþné stanovisko k oznamování. V rámci tohoto stanoviska se rozhodla zabývat se tČmi otázkami, u nichž je potĜeba vydání pokynĤ EU nejnaléhavČjší. Vzhledem k této skuteþnosti a z dĤvodĤ uvedených v tomto dokumentu se toto stanovisko formálnČ omezuje na uplatĖování právních pĜedpisĤ EU o ochranČ údajĤ na vnitĜní postupy oznamování v oblasti úþetnictví, vnitĜních úþetních kontrol, otázek auditu, boje proti úplatkáĜství a trestné þinnosti v bankovním a finanþním sektoru. Pracovní skupina pĜijala toto stanovisko s jasnou pĜedstavou o tom, že musí dále rozvíjet otázku pĜípadné sluþitelnosti právních pĜedpisĤ EU o ochranČ údajĤ s vnitĜními postupy oznamování v jiných oblastech než tČch, které zde byly zmínČny, a to napĜíklad v oblasti lidských zdrojĤ, zdraví a bezpeþnosti práce, ohrožování a poškozování životního prostĜedí a páchání trestných þinĤ. V nejbližších mČsících provede analýzu této otázky,

1

ÚĜ. vČst. L 281, 23.11.1995, s. 31 k nahlédnutí na internetové adrese: http://europa.eu.int/comm/internal_market/privacy/law_en.htm

2

V souladu s konkrétním vymezením okruhu þinnosti pracovní skupiny se tento pracovní dokument nezabývá jinými právními problémy, jež mohou vyvstat v souvislosti s mechanismy oznamování, zejména v oblasti pracovního a trestního práva. 4


Strana 2574

aby zjistila, zda je i v souvislosti s tČmito záležitostmi zapotĜebí pokynĤ EU a v kladném pĜípadČ vypracuje další dokument, v nČmž doplní nebo upraví principy rozvinuté v souþasném dokumentu. II.

ODģVODNċNÍ OMEZENÉHO PěEDMċTU ÚPRAVY TOHOTO STANOVISKA

V roce 2002 pĜijal Kongres Spojených státĤ amerických v reakci na rĤzné finanþní skandály spoleþností zákon známý pod názvem Sarbanes-Oxley Act („zákon SOX“). Podle tohoto zákona se musí americké veĜejné spoleþnosti a jejich dceĜiné spoleþnosti (organizaþní složky) v EU, jakož i neamerické spoleþnosti kotované na amerických trzích s cennými papíry zavést v rámci svého auditorského výboru „postupy k pĜijímání, uchovávání a vyĜizování stížností pĜedložených emitentovi v souvislosti s úþetnictvím, vnitĜními úþetními kontrolami nebo otázkami auditu , jakož i možnost dĤvČrného anonymního pĜedkládání oznámení zamČstnanci emitenta o sporných otázkách úþetnictví nebo auditu.“3 ýlánek 806 zákona SOX obsahuje navíc ustanovení, jehož cílem je zajistit ochranu zamČstnancĤ spoleþností s veĜejnČ obchodovatelnými úþastnickými cennými papíry, kteĜí pĜedloží dĤkazy o podvodu, pĜed odvetnými opatĜeními, které by je mohly postihnout proto, že podali oznámení cestou postupu oznamování4. Ve Spojených státech je pro sledování uplatĖování zákona SOX pĜíslušná Komise pro cenné papíry (Securities and Exchange Commission, dále jen „SEC“). Uvedená ustanovení byla zapracována do pravidel systému Nasdaq5 a Newyorské burzy cenných papírĤ (New York Stock Exchange, dále jen „NYSE“)6. Spoleþnosti, které jsou kotovány na burzách cenných papírĤ Nasdaq nebo NYSE, musí tČmto burzovním institucím každoroþnČ pĜedkládat potvrzení o správnosti, úplnosti a oprávnČnosti svého úþetnictví. ProstĜednictvím tohoto certifikaþního Ĝízení spoleþnosti prokazují, že dodržují urþité pĜedpisy, vþetnČ pĜedpisĤ upravujících oznamování podezĜení z protiprávního jednání. Spoleþnostem, které nedodrží podmínky týkající se oznamování, mĤže Nasdaq, NYSE nebo SEC ukládat pĜísné sankce a pokuty. Z dĤvodu nejistoty ohlednČ sluþitelnosti postupĤ oznamování s právními pĜedpisy EU o ochranČ údajĤ jsou dotyþné spoleþnosti jednak ohroženy sankcí ze strany orgánĤ EU pro ochranu údajĤ v pĜípadČ porušení právních pĜedpisĤ EU o ochranČ údajĤ, a jednak sankcí ze strany amerických orgánĤ v pĜípadČ, že poruší zákonné pĜedpisy USA.

3 4

Sarbanes-Oxley Act, þl. 301 odst. 4. Sarbanes-Oxley Act, þlánek 406, zejména pak pokyny vydané nejvýznamnČjšími institucemi amerických trhĤ s cennými papíry (NASDAQ, NYSE), rovnČž stanoví, že spoleþnosti kotované na tČchto trzích musí pĜijmout „etický kodex“ vyšších finanþních úĜedníkĤ a ĜeditelĤ v oblasti úþetnictví, úþetního výkaznictví a záležitostí auditu, který by mČl zajistit mechanismy vynucování tČchto právních pĜedpisĤ.

5

PĜedpis þ. 4350 (D) (3): „Povinnosti a pravomoci auditorského výboru“.

6

Newyorská burza cenných papírĤ (NYSE), þlánek 303A.06: „Auditorský výbor“. 5


Strana 2575

UplatĖování nČkterých ustanovení zákona SOX na evropské dceĜiné spoleþnosti (organizaþní složky) amerických spoleþností a na evropské spoleþnosti kotované na amerických burzách cenných papírĤ je v souþasné dobČ pĜedmČtem soudního pĜezkumu ve Spojených státech amerických7. Navzdory této relativní nejistotČ v otázce, zda se na spoleþnosti se sídlem v EvropČ vztahují všechna ustanovení zákona SOX, se i spoleþnosti, na nČž se vztahují ustanovení zákona SOX s jasnými extrateritoriálními úþinky, chtČjí Ĝídit zvláštními ustanoveními uvedeného zákona upravujícími oznamování. Vzhledem k sankcím, které hrozí spoleþnostem v EU, považuje pracovní skupina 29 za nejdĤležitČjší zamČĜit svou analýzu pĜedevším na ty postupy oznamování, které upravují oznamování podezĜení z porušení právních pĜedpisĤ v oblasti úþetnictví, vnitĜních úþetních kontrol a otázek auditu ve smyslu zákona Sarbanes-Oxley Act, jakož i na dále uvedené související otázky. Touto analýzou hodlá pracovní skupina pĜispČt k nastolení právní jistoty pro spoleþnosti, na nČž se vztahují jak právní pĜedpisy EU o ochranČ údajĤ, tak i zákon SOX. III. ZVLÁŠTNÍ DģRAZ NA PRÁVNÍ PěEDPISY O OCHRANċ ÚDAJģ TÝKAJÍCÍ SE OCHRANY OSOB OZNAýENÝCH ZA PODEZěELÉ PROSTěEDNICTVÍM POSTUPģ OZNAMOVÁNÍ VnitĜní postupy oznamování jsou zpravidla zavádČny v zájmu uplatnČní zásad Ĝádné správy a Ĝízení spoleþností pĜi jejich bČžném fungování. Institut oznamování pĜedstavuje doplĖkový mechanismus umožĖující zamČstnancĤm oznamovat protiprávní jednání vnitĜní cestou s využitím zvláštního informaþního kanálu. DoplĖuje obvyklé informaþní a sdČlovací kanály organizace, jimiž jsou napĜíklad zástupci zamČstnancĤ, liniové Ĝízení, personál zodpovČdný za kontrolu kvality nebo interní auditoĜi, jejichž specifickým úkolem je oznamování takových protiprávních jednání. Na oznamování je tĜeba nahlížet jako na doplnČk vnitĜního Ĝízení, nikoliv jeho alternativu. Pracovní skupina zdĤrazĖuje, že postupy oznamování musí být uplatĖovány v souladu s právními pĜedpisy EU o ochranČ údajĤ. V praxi se bude uplatĖování postupĤ oznamování ve vČtšinČ pĜípadĤ opírat o zpracovávání osobních údajĤ (t.j. shromažćování, zaznamenávání, uchovávání, zpĜístupĖování a výmaz údajĤ týkajících se identifikované nebo identifikovatelné osoby), což si vyžádá uplatnČní právních pĜedpisĤ o ochranČ údajĤ. UplatĖování tČchto právních pĜedpisĤ bude mít rĤzné dĤsledky pro vytváĜení a správu postupĤ oznamování. V tomto dokumentu je podrobnČ popsána rozsáhlá škála tČchto dĤsledkĤ (viz oddíl IV). Pracovní skupina konstatuje, že stávající naĜízení a pokyny týkající se oznamování mají sice za cíl zajistit zvláštní ochranu osobČ, která podává oznámení prostĜednictvím takovéhoto postupu (dále jen „oznamovatel“), nikdy však zvláštČ neupravují ochranu osob oznaþených za podezĜelé, a to pĜedevším ochranu v souvislosti se zpracováváním jejich osobních údajĤ, tĜebaže má každá fyzická osoba i v pĜípadČ, že byla oznaþena za podezĜelou, nárok na právní ochranu, jež jí pĜiznávají smČrnice 95/46/ES a odpovídající ustanovení vnitrostátních právních pĜedpisĤ.

7

Odvolací soud USA (1. obvod) dne 5. ledna 2006 rozhodl, že ustanovení zákona SOX o ochranČ osob, které podávají oznámení o podezĜení z protiprávního jednání, se nevztahují na cizí státní pĜíslušníky pracující mimo území USA v zahraniþních organizaþních složkách spoleþností, jež se jinak Ĝídí ustanoveními zákona SOX. 6


Strana 2576

UplatĖování právních pĜedpisĤ EU o ochranČ údajĤ na postupy oznamování si vyžaduje vČnovat zvláštní pozornost problematice ochrany osoby, která mohla být oznaþena za podezĜelou na základČ upozornČní. V této souvislosti pracovní skupina zdĤrazĖuje, že postupy oznamování obsahují znaþné riziko stigmatizace a viktimizace této osoby uvnitĜ organizace, k níž pĜináleží. Tato osoba bude vystavena takovýmto rizikĤm dokonce dĜíve, než bude informována o tom, že je oznaþena za podezĜelou, a než dojde k vyšetĜování oznámených skuteþností za úþelem jejich prokázání nebo vyvrácení. Pracovní skupina zastává názor, že Ĝádné uplatĖování právních pĜedpisĤ o ochranČ údajĤ na postupy oznamování pĜispČje ke snížení takovýchto rizik. Domnívá se rovnČž, že uplatĖování tČchto právních pĜedpisĤ nebude v žádném pĜípadČ maĜit zamýšlený úþel postupĤ oznamování, ale naopak obecnČ pĜispČje k Ĝádnému fungování tČchto postupĤ. IV.

POSOUZENÍ SLUýITELNOSTI POSTUPģ OZNAMOVÁNÍ S PRÁVNÍMI PěEDPISY O OCHRANċ ÚDAJģ

Problematika uplatĖování právních pĜedpisĤ o ochranČ údajĤ na postupy oznamování zahrnuje Ĝešení otázek zákonnosti postupĤ oznamování (1); uplatĖovaní zásad kvality údajĤ a proporcionality (2); získávání jasných a úplných informací o postupu (3); ochranu práv obvinČné osoby (4); bezpeþnosti operací zpracování údajĤ (5); správy interních postupĤ oznamování (6); záležitostí spojených s mezinárodním pĜedáváním údajĤ (7); požadavkĤ oznamování a pĜedbČžné kontroly (8). 1.

Zákonnost postupĤ oznamování (þlánek 7 smČrnice 95/46/ES)

K tomu, aby byl postup oznamování zákonný, musí být dán jeden z legitimních dĤvodĤ ke zpracování údajĤ podle þlánku 7 smČrnice o ochranČ údajĤ. Za souþasného stavu jsou v tomto kontextu zĜejmČ relevantní dva dĤvody: bućto je zavedení postupu oznamování potĜebné ke splnČní právní povinnosti (þl. 7 písm. c)) nebo ochranČ právního zájmu správce údajĤ nebo tĜetí osoby, které byly tyto údaje zpĜístupnČny (þl. 7 písm. f))8. i) Zavedení postupu oznamování je potĜebné ke splnČní právní povinnosti správce údajĤ (þl. 7 písm. c)) Zavedení postupu oznamování by mČlo mít za cíl plnČní právní povinnosti ukládané právními pĜedpisy Spoleþenství nebo þlenského státu. PĜesnČji Ĝeþeno by mČlo jít o právní povinnost zavést postupy vnitĜní kontroly ve vymezených oblastech. V souþasné dobČ tato povinnost existuje ve vČtšinČ þlenských státĤ, napĜíklad v bankovním sektoru, kde se vlády rozhodly posílit vnitĜní kontroly, pĜedevším v souvislosti s þinnostmi úvČrových a investiþních spoleþností.

8

Spoleþnosti by mČly brát v úvahu, že v nČkterých þlenských státech podléhá zpracování údajĤ o podezĜeních ze spáchání trestných þinĤ dalším zvláštním podmínkám zajišĢujícím zákonnost jejich zpracovávání (viz níže, oddíl IV, 8). 7


Strana 2577

Tato právní povinnost zavést posílené kontrolní mechanismy existuje rovnČž v rámci boje proti úplatkáĜství, pĜedevším v dĤsledku provádČní Dohody OECD o boji proti úplatkáĜství zahraniþních veĜejných þinitelĤ v mezinárodních obchodních transakcích (Dohody OECD ze dne 17. prosince 1997). Na druhé stranČ nelze povinnost uloženou na základČ cizího právního nebo jiného pĜedpisu, který by vyžadoval zavedení postupĤ oznamování, nutnČ chápat jako právní povinnost zakládající legitimitu zpracování údajĤ v EU. V pĜípadČ jakékoliv jiné interpretace by byla usnadnČna možnost obcházet normy EU stanovené ve smČrnici 95/46 cestou cizích právních pĜedpisĤ. V dĤsledku toho nelze považovat ustanovení zákona SOX o oznamování za legitimní základ pro zpracovávání údajĤ podle þlánku 7 písm. c). V nČkterých zemích EU však mĤže na základČ vnitrostátních právních pĜedpisĤ existovat právní povinnost zavést postupy oznamování v oblastech, které jsou upraveny zákonem SOX9. V dalších zemích EU, kde neexistují takovéto právní povinnosti, je však možné dosáhnout téhož výsledku na základČ þl. 7 písm. f). ii) Zavedení postupu oznamování je nutné k prosazení oprávnČného zájmu správce údajĤ (þlánek 7 písm. f)) Zavedení postupĤ oznamování mĤže být potĜebné k prosazení oprávnČného zájmu správce údajĤ nebo tĜetí osoby, která byla s údaji seznámena (þl. 7 písm. f)). Tento dĤvod je pĜijatelný pouze za podmínky, že „neexistuje zájem na ochranČ základních práv a svobod subjektu, o nČmž jsou údaje vedeny, který by pĜevažoval nad tČmito oprávnČnými zájmy“. Významné mezinárodní organizace vþetnČ EU10 a OECD11 uznávají, že v zájmu zabezpeþení adekvátního fungování spoleþností je dĤležité opírat se o zásady Ĝádné správy a Ĝízení spoleþností. Zásady þi pokyny vypracované na tČchto fórech mají zajistit zvyšování transparentnosti a podnítit rozvoj Ĝádných finanþních a úþetních þinností, þímž pĜispívají k ochranČ zúþastnČných stran a finanþní stabilitČ trhĤ. Zejména uznávají oprávnČnost zájmu organizace na zavádČní vhodných postupĤ, jejichž prostĜednictvím se zamČstnancĤm umožní oznamovat nesrovnalosti a sporné úþetní nebo auditorské praktiky Ĝídícímu orgánu nebo auditorskému výboru. V rámci takovýchto postupĤ oznamování je tĜeba zajistit režim pĜimČĜeného a nezávislého pĜešetĜování oznámených skuteþností, což vyžaduje vhodné postupy výbČru osob zapojených do Ĝízení postupu oznamování. RovnČž je tĜeba zajistit režim vhodných navazujících opatĜení.

9

Nizozemský zákoník správy a Ĝízení spoleþností (Corporate Governance Code), 9.12.2003, oddíl II, 1.6. Návrh španČlského Jednotného kodexu správy a Ĝízení registrovaných spoleþností, kapitola IV, þl. 67 odst. 1 písm. d). Tento kodex musí ještČ pĜezkoumat španČlský ÚĜad na ochranu údajĤ, který posoudí jeho dĤsledky na ochranu údajĤ.

10

11

Evropské spoleþenství: Doporuþení Komise ze dne 15. února 2005 o úloze Ĝídících pracovníkĤ registrovaných spoleþností s nevýkonnými nebo dozorþími právy a o výborech nejvyššího (dozorþího) orgánu (ÚĜ. vČst. L 52, 25.2.2005, s. 51). OECD: Principy Ĝádné správy a Ĝízení spoleþností OECD 2004. ýást 1, oddíl IV. 8


Strana 2578

KromČ toho se v tČchto pokynech a pĜedpisech zdĤrazĖuje, že by bylo vhodné zajistit ochranu oznamovatelĤ a zavést pĜimČĜené záruky jejich ochrany pĜed odvetnými opatĜeními (diskriminaþní pĜístup a disciplinární opatĜení)12. Cíl zajištČní finanþní bezpeþnosti na mezinárodních finanþních trzích a pĜedevším pĜedcházení podvodĤm a protiprávnímu jednání v oblasti úþetnictví, vnitĜních úþetních kontrol, otázek auditu i oznamování úplatkáĜství, trestné þinnosti v bankovním a finanþním odvČtví nebo zneužívání informací v obchodním styku a boj proti tČmto jevĤm lze vskutku považovat za oprávnČné zájmy zamČstnavatele, jimiž lze odĤvodnit zpracovávání osobních údajĤ v rámci postupĤ oznamování v tČchto oblastech. ŽivotnČ dĤležitým zájmĤm obchodních spoleþností, pĜedevším tČch, které jsou registrovány na finanþních trzích, je zajistit, aby byly zprávy o podezĜeních z úþetních manipulací nebo o chybném úþetním auditu, které mohou mít vliv na finanþní výkazy spoleþností a dotýkat se oprávnČných zájmĤ zúþastnČných stran na finanþní stabilitČ spoleþnosti, pĜedkládány správní radČ za úþelem pĜijetí pĜimČĜených opatĜení. V této souvislosti je možné považovat americký Sarbanes-Oxley Act za jednu z tČchto iniciativ pĜijatých k zajištČní stability finanþních trhĤ a ochranu oprávnČných zájmĤ zúþastnČných stran pĜijetím právních pĜedpisĤ, které zaruþují pĜimČĜenou správu a Ĝízení spoleþností. Z uvedených dĤvodĤ zastává pracovní skupina názor, že zavádČní takovýchto vnitĜních mechanismĤ odpovídá oprávnČným zájmĤm správcĤ údajĤ i v tČch zemích EU, kde neexistuje zvláštní právní požadavek na zavedení postupĤ oznamování v oblasti úþetnictví, vnitĜních úþetních kontrol, záležitostí audit a boje proti úplatkáĜství a trestné þinnosti v bankovním a finanþním odvČtví. Ustanovení þl. 7 písm. f) však vyžaduje zajištČní rovnováhy mezi oprávnČnými zájmy odĤvodĖujícími zpracovávání osobních údajĤ a základními právy osob, o nichž jsou tyto údaje vedeny. Pro úþely posouzení této rovnováhy zájmĤ by se mČly zohlednit otázky proporcionality, subsidiarity i závažnosti údajných protiprávních jednání, které lze oznamovat, jakož i dĤsledky pro subjekt, o nČmž jsou údaje vedeny. V rámci posouzení rovnováhy zájmĤ bude rovnČž potĜebné zavést pĜimČĜená ochranná opatĜení. V þlánku 14 smČrnice 95/46/ES se mimo jiné stanoví, že v pĜípadČ zpracování údajĤ na základČ þl. 7 písm. f) mají fyzické osoby právo kdykoliv vznést z vážných oprávnČných dĤvodĤ námitky proti zpracovávání údajĤ, které se jejich týkají. Tyto otázky jsou podrobnČji rozvedeny v dalším textu . 2. UplatĖování zásad kvality údajĤ a proporcionality (þlánek 6 smČrnice o ochranČ údajĤ) Podle smČrnice 95/46/ES musí být osobní údaje zpracovávané nestranným a zákonným zpĤsobem13 shromažćovány pouze pro úþely úþel specifikovaného, výslovnČ stanoveného a zákonného použití14 a nelze je používat pro úþely nesluþitelné s tČmito úþely. KromČ toho musí být zpracovávané údaje adekvátní, relevantní a nesmí být

12

Viz napĜíklad Public Interest Disclosure Act 1998 (Spojené království).

13

ýl. 6 odst. 1 písm. a) smČrnice 95/46/ES.

14

ýl. 6 odst. 1 písm. b) smČrnice 95/46/ES. 9


Strana 2579

nepĜimČĜené vzhledem k úþelĤm, pro nČž které jsou shromažćovány, popĜ. dále zpracovávány15. Soubor tČchto pravidel se nČkdy oznaþuje jako „zásada proporcionality“. Dále je nutno pĜijmout pĜimČĜená opatĜení k zajištČní výmazu nebo opravy nepĜesných nebo neúplných údajĤ16. UplatĖování tČchto zásadních pravidel ochrany údajĤ má Ĝadu dĤsledkĤ pro zpĤsob podávání oznámení zamČstnanci organizace a jejich zpracování touto organizací. Analýza tČchto dĤsledkĤ je obsažena v dalším textu. i) Možnost omezení poþtu osob oprávnČných oznamovat nesrovnalosti nebo protiprávní jednání prostĜednictvím postupĤ oznamování V souvislosti s uplatĖováním zásady proporcionality pracovní skupina doporuþuje, aby spoleþnost odpovČdná za postup oznamování peþlivČ zvážila, zda by bylo vhodné omezit poþet osob zpĤsobilých oznamovat údajné protiprávní jednání prostĜednictvím postupu oznamování, a to pĜedevším vzhledem k závažnosti údajných protiprávních jednání, která jsou pĜedmČtem oznámení. Pracovní skupina však bere na vČdomí, že kategorie vymezených zamČstnancĤ mohou v nČkterých pĜípadech zahrnovat všechny zamČstnance v nČkteré z oblastí, na nČž se vztahuje toto stanovisko. Pracovní skupina si je vČdoma toho, že rozhodujícím þinitelem budou okolnosti každého jednotlivého pĜípadu. Nemá proto zájem normativnČ upravit toto otázku a ponechává na správcích údajĤ, aby posoudili, zda jsou taková omezení vhodná vzhledem ke zvláštním okolnostem, za nichž pĤsobí, pĜiþemž jejich rozhodnutí mĤže podléhat ovČĜení ze strany pĜíslušných orgánĤ. ii) Možnost omezení poþtu osob, které mohou být oznaþeny za podezĜelé prostĜednictvím postupĤ oznamování V souvislosti s uplatĖováním zásady proporcionality pracovní skupina doporuþuje, aby spoleþnost zavádČjící postup oznamování peþlivČ posoudila, zda by bylo vhodné omezit poþet osob, o nichž lze podávat prostĜednictvím tohoto postupu oznámení, a to pĜedevším s ohledem na závažnost oznamovaných údajných protiprávních jednání. Pracovní skupina však bere na vČdomí, že vymezené kategorie zamČstnancĤ mohou v nČkterých pĜípadech zahrnovat všechny zamČstnance v nČkteré z oblastí, na nČž se vztahuje toto stanovisko. Pracovní skupina si je vČdoma, že rozhodujícím þinitelem budou okolnosti každého jednotlivého pĜípadu. Nehodlá tudíž normativnČ upravovat toto otázku a ponechává na správcích údajĤ, aby posoudili, zda jsou tato omezení vhodná vzhledem ke zvláštním okolnostem, za nichž pĤsobí, pĜiþemž jejich rozhodnutí mĤže podléhat ovČĜení ze strany pĜíslušných orgánĤ. iii) PĜednost vytipovaných a dĤvČrných oznámení pĜed anonymními oznámeními Otázka, zda by se v rámci postupĤ oznamování mČlo umožnit podávat oznámení anonymnČ, nikoli otevĜeným zpĤsobem (t.j. s uvedením totožnosti oznamovatele zásadnČ pod podmínkou zachovávaní dĤvČrnosti) si zasluhuje zvláštní pozornost.

15

ýl. 6 odst. 1 písm. c) smČrnice 95/46/ES.

16

ýl. 6 odst. 1 písm. d) smČrnice 95/46/ES. 10


Strana 2580

Anonymnost nemusí být vhodným Ĝešením, aĢ již pro oznamovatele nebo pro organizaci, a to z mnoha dĤvodĤ: -

anonymita nezabrání ostatním úspČšnČ odhadnout, kdo záležitost pĜedložil; vyšetĜování záležitosti je obtížnČjší, jestliže lidé nemohou klást doplĖující otázky; ochranu oznamovatele pĜed odvetnými opatĜením i v pĜípadČ, že je stanovená zákonem17, lze snáze zajistit, jestliže se záležitost nastolí otevĜeným zpĤsobem; anonymní oznámení mohou soustĜedit pozornost lidí na oznamovatele, napĜíklad v domnČní, že pĜedkládá záležitost ve zlém úmyslu; organizace se vystavuje riziku, že vytvoĜí prostĜedí, v nČmž dochází k podávání oznámení ve zlém úmyslu; vČdomí zamČstnancĤ, že prostĜednictvím postupu oznamování mĤže kdykoliv dojít k podání anonymního oznámení týkajícího se jejich osoby, by mohlo zpĤsobit zhoršení sociálního klimatu v rámci organizace.

Pokud jde o právní pĜedpisy o ochranČ údajĤ, pĜedstavují anonymní oznámení specifický problém v souvislosti se zásadním požadavkem nestranného shromažćování údajĤ. Pracovní skupina zastává názor, že v zájmu splnČní tohoto požadavku by mČlo být pravidlem, aby se prostĜednictvím postupĤ oznamování podávala pouze oznámení s uvedením totožnosti oznamovatele. Pracovní skupina si však uvČdomuje, že oznamovatelé nemusí být vždy v takové pozici nebo duševním stavu, aby v oznámení uvedli svou totožnost. RovnČž si je vČdoma skuteþnosti, že v rámci spoleþností se bČžnČ podávají anonymní stížnosti, a to zejména v situacích, kde neexistují organizované mechanismy anonymního oznamování, a že tuto realitu nelze ignorovat. Pracovní skupina proto zastává názor, že lze výjimeþnČ a za dále uvedených podmínek se mohou prostĜednictvím postupĤ oznamování podávat a Ĝešit anonymní oznámení. Pracovní skupina se domnívá, že by postupy oznamování mČly být nastaveny tak, aby nebyla dávána pĜednost anonymním zprávám jako obvyklému zpĤsobu podávání stížností. Spoleþnosti by pĜedevším nemČly veĜejnČ oznamovat možnost podávání anonymních zpráv prostĜednictvím tohoto mechanismu. Na druhé stranČ, jelikož by postupy oznamování mČly zajišĢovat zachovávání mlþenlivosti pĜi nakládání s totožností oznamovatele, mČlo by být osobČ, která zamýšlí podat oznámení na základČ postupu oznamování, dáno na srozumČnou, že nebude v dĤsledku svého jednání vystavena postihu. Z tohoto dĤvodu by mČl oznamovatel být pĜi prvním kontaktu s postupem oznamování informován, že jeho totožnost bude uchována v tajnosti ve všech fázích Ĝízení a zejména nebude odhalena tĜetím stranám, aĢ již se jedná o osobu, proti níž bylo vzneseno podezĜení nebo o liniový management zamČstnavatele. Bude-li osoba podávající oznámení prostĜednictvím uvedeného mechanismu vzdor tČmto informacím trvat na své anonymitČ, oznámení bude v rámci postupu pĜijato. RovnČž je nutné informovat oznamovatele o tom, že mĤže být nutné sdČlit jejich totožnost pĜíslušným osobám þinným v dalším vyšetĜování nebo v následném soudním Ĝízení zahájeném na základČ výsledku vyšetĜování provedeného v rámci postupu oznamování.

17

NapĜíklad podle zákona Spojeného království „Public Interest Disclosure Act“. 11


Strana 2581

PĜi zpracovávaní anonymních oznámení je nutno postupovat velmi obezĜetnČ. V rámci této obezĜetnosti by se napĜíklad mohlo vyžadovat, aby první pĜíjemce pĜezkoumal, zda je možno pĜipustit oznámení a zda je vhodné uvést jej v rámci postupu do obČhu. RovnČž by bylo vhodné zvážit, zda by se anonymní oznámení z dĤvodu rizika zneužití mČla vyšetĜovat a zpracovávat rychleji než stížnosti podané pod podmínkou mlþenlivosti. Takováto zvláštní obezĜetnost však neznamená, že by se anonymní oznámení nemČla vyšetĜovat, aniž by došlo k náležitému posouzení všech skuteþností pĜípadu jako tehdy, bylo-li oznámení podáno otevĜenČ. iv) Proporcionalita a pĜesnost shromažćovaných a zpracovávaných údajĤ V souladu s þl. 6 odst. 1 písm. b) a c) smČrnice o ochranČ údajĤ lze osobní údaje shromažćovat pouze pro úþely specifikovaného, výslovnČ stanoveného a zákonného použití a tyto údaje musí být adekvátní, relevantní a nikoli nepĜimČĜené úþelĤm, k nimž se shromažćují nebo dále zpracovávají. Vzhledem k tomu, že úþelem postupu oznamování je zajištČní Ĝádné správy a Ĝízení spoleþností, mČly by se údaje shromažćované a zpracovávané v rámci postupĤ oznamování omezit jen na skuteþnosti, které souvisí s tímto úþelem. Spoleþnosti, které zavádČjí tyto postupy, by mČly pĜesnČ vymezit druh informací, jež se mají prostĜednictvím postupu zpĜístupĖovat, tím, že podávané informace omezí na informace týkající se úþetnictví, vnitĜních úþetních kontrol, auditu nebo bankovní a finanþní trestné þinnosti a boje proti úplatkáĜství. Je všeobecnČ známo, že v nČkterých zemích mohou právní pĜedpisy výslovnČ stanovit uplatĖování postupĤ oznamování na jiné kategorie závažných protiprávních jednání, jež je zapotĜebí zveĜejnit z dĤvodu veĜejného zájmu18. Ty však nepatĜí do pĜedmČtu úpravy tohoto stanoviska, neboĢ se nemohou uplatĖovat v jiných zemích. V rámci postupu by se mČly zpracovávat jen ty osobní údaje, které jsou objektivnČ naprosto nutné k provČĜení pĜedložených tvrzení. Oznámení o stížnostech by se kromČ toho mČly uchovávat oddČlenČ od ostatních osobních údajĤ. Pokud se skuteþnosti oznámené v rámci postupu oznamování nevztahují na oblasti pĜíslušného mechanismu, lze je pĜedat pĜíslušným odpovČdným osobám spoleþnosti, popĜ. organizace, jsou-li ohroženy významné zájmy subjektu, jehož se údaje týkají, nebo morální integrita zamČstnancĤ, nebo v pĜípadČ, že vnitrostátní právní pĜedpisy stanoví zákonnou povinnost oznamovat informace veĜejným orgánĤm nebo orgánĤm þinným v trestním Ĝízení. v) PĜísné dodržování lhĤt pro uchovávaní údajĤ Ve smČrnici 95/46/ES se stanoví, že se zpracovávané osobní údaje uchovávají po dobu potĜebnou pro úþel, pro nČjž byly shromáždČny nebo dále zpracovány. Tento požadavek je nutný k zajištČní souladu se zásadou proporcionality zpracovávaní osobních údajĤ. Osobní údaje zpracovávané v rámci postupĤ oznamování by poté mČly být neprodlenČ vymazány, obvykle do dvou mČsícĤ od ukonþení vyšetĜování skuteþností uvedených v oznámení.

18

NapĜíklad podle zákona Spojeného království „Public Interest Disclosure Act 1998“. 12


Strana 2582

Uvedené lhĤty se nevztahují na pĜípady, kdy bylo zahájeno soudní nebo disciplinární Ĝízení proti obvinČnému nebo oznamovateli, jenž se dopustil oznámení nepravdivých skuteþností nebo pomluvy. V uvedených pĜípadech se osobní údaje uchovávají až do ukonþení takovýchto Ĝízení i bČhem lhĤty pro podání opravného prostĜedku. Tyto lhĤty pro uchovávaní údajĤ se Ĝídí právními pĜedpisy jednotlivých þlenských státĤ. Jestliže subjekt, který vyĜizuje upozornČní, zjistí, že toto upozornČní je neopodstatnČné, je neprodlenČ proveden výmaz souvisejících osobních údajĤ. KromČ toho se i nadále uplatní vnitrostátní právní pĜedpisy upravující archivaci údajĤ obchodních spoleþností. Tyto pĜedpisy mohou pĜedevším upravovat pĜístup k archivovaným údajĤm a pĜesnČ vymezit úþely, pro nČž je pĜístup umožnČn, okruh osob, kterým lze umožnit pĜístup k této dokumentaci, a jiná vhodná bezpeþnostní opatĜení.

3. Poskytování jasných a úplných informací o postupu oznamování (þlánek 10 smČrnice o ochranČ údajĤ) V zájmu splnČní požadavku jasnosti a úplnosti informací o postupu je správce údajĤ povinen informovat subjekt, jehož se údaje týkají, o existenci, úþelu a fungování postupu oznamování, o adresátech oznámení, právu na pĜístup k údajĤm, a na opravu a výmaz údajĤ o osobách, kterých se oznámení týká. Správci údajĤ by rovnČž mČli informovat o skuteþnosti, že je totožnost oznamovatele uchovávána v tajnosti po celou dobu Ĝízení a že zneužití postupu mĤže mít za následek zahájení Ĝízení proti osobČ, která se takového zneužití dopustila. Na druhé stranČ lze uživatele postupu informovat i o tom, že pĜi užití postupu v dobré víĜe nebudou ohroženi sankcí.

4.

Práva osoby, proti níž bylo vzneseno podezĜení

Právní rámec vytvoĜený smČrnicí 95/46/ES klade dĤraz na ochranu osobních údajĤ pĜíslušného subjektu. Vzhledem k tomu by z hlediska ochrany údajĤ mČly být postupy oznamování zamČĜeny na práva subjektu, kterého se údaje týkají, aniž by došlo k porušení práv oznamovatele. Mezi právy dotþených stran, vþetnČ legitimní potĜeby spoleþnosti provést vyšetĜování, by mČlo být dosaženo rovnováhy. i) Právo na informace V þlánku 11 smČrnice 95/46/ES se stanoví povinnost informovat fyzické osoby v pĜípadČ, že osobní údaje nebyly získány pĜímo od nich, ale od tĜetí strany. Osoba odpovČdná za Ĝízení postupu oznamování informuje osobu oznaþenou v oznámení za podezĜelou co možná nejdĜíve poté, co byly zaznamenány údaje, které se jí týkají. Podle þlánku 14 má tato osoba rovnČž právo vznést námitky proti zpracovávání jejích údajĤ v pĜípadČ, že je legitimita zpracovávaní založena þl. 7 písm. f). Právo vznést námitky však lze uplatĖovat jen ze závažných oprávnČných dĤvodĤ, jež se týkají konkrétní situace této osoby. ZamČstnanec, o nČmž bylo podáno oznámení, musí být informován pĜedevším o: [1] subjektu odpovídajícím za Ĝízení postupu oznamování, [2] skutcích, z jejichž spáchání je obvinČn, [3] oddČleních nebo útvarech jeho obchodní spoleþnosti nebo jiných subjektĤ þi spoleþností ve skupinČ, k níž pĜináleží jeho spoleþnost, jimž lze doruþit oznámení a [4] o tom, jak mĤže uplatnit své právo na pĜístup k informacím a na jejich opravu. 13


Strana 2583

Pokud však existuje vážné riziko, že by byla poskytnutím tČchto informací ohrožena schopnost spoleþnosti úþinnČ provČĜit daná tvrzení nebo získat potĜebné dĤkazy, mĤže být podezĜelá osoba informovaná až poté, co takové riziko zanikne. Úþelem této výjimky z pravidla stanoveného þlánkem 11 je zajistit dĤkazní prostĜedky a ochránit je pĜed zniþením nebo pozmČnČním osobou oznaþenou za podezĜelou. Výjimku je nutno uplatĖovat restriktivnČ na základČ posouzení každého jednotlivého pĜípadu, pĜiþemž by dotþené zájmy mČly být uváženy v širších souvislostech. V rámci postupu oznamování je tĜeba pĜijmout nutná opatĜení zabraĖující zniþení zpĜístupnČných informací. ii) Právo na pĜístup k údajĤm, jejich opravu a výmaz Podle þlánku 12 smČrnice 95/46/ES mají subjekty, o kterých se vedou údaje, možnost pĜístupu k údajĤm zaznamenaným o jejich osobách pro úþely kontroly pĜesnosti údajĤ a jejich opravy v pĜípadČ, že jsou nepĜesné, neúplné nebo neaktuální (dále jen „právo na pĜístup k údajĤm a jejich opravu“). V dĤsledku toho se pĜi zavádČní postupĤ oznamování musí zajistit respektování práva fyzických osob na pĜístup k údajĤm a na opravu nesprávných, neúplných nebo neaktuálních údajĤ. Výkon tČchto práv však lze omezit v zájmu zajišĢování ochrany práv a svobod jiných subjektĤ zapojených do mechanismu oznamování. Takovéto omezení by se mČlo uplatĖovat na základČ posouzení každého jednotlivého pĜípadu. Osoba oznaþená v oznámení za podezĜelou nesmí být v rámci postupu za žádných okolností informována o totožnosti oznamovatele s uvedením dĤvodu, že jako osoba podezĜelá má právo na pĜístup k informacím. To však neplatí, jestliže oznamovatel úmyslnČ podá nepravdivé oznámení. S výjimkou uvedeného pĜípadu by však vždy mdlo být zaruþeno utajení totožnosti oznamovatele. KromČ výše uvedených skuteþností mají subjekty, o nichž se vedou údaje, právo na opravu nebo výmaz svých údajĤ, jestliže jejich zpracovávání není v souladu s ustanoveními této smČrnice, a to pĜedevším z dĤvodu neúplnosti nebo nepĜesnosti údajĤ (plánek 12 písm. b)).

5.

Bezpeþnost úkonĤ zpracovávání údajĤ (þlánek 17 smČrnice 95/46/ES)

i) HmotnČprávní opatĜení k zajištČní bezpeþnosti údajĤ V souladu s þlánkem 17 smČrnice 95/46/ES pĜijme spoleþnost anebo organizace, která odpovídá za Ĝízení postupu oznamování, veškerá odĤvodnČná technická a organizaþní opatĜení na zajištČní bezpeþnosti údajĤ pĜi jejich shromažćování, pĜedávání anebo uchovávání. Úþelem tohoto þlánku je zajistit ochranu údajĤ pĜed náhodným anebo nezákonným zniþením nebo náhodnou ztrátou a neoprávnČným zveĜejnČním nebo neoprávnČným pĜístupem. Oznámení lze pĜijmout jakýmikoliv elektronickými þi jinými prostĜedky zpracování údajĤ. Uvedené prostĜedky by mČly být používány výluþnČ pro postup oznamování s cílem zabránit jeho využití v rozporu s jeho pĤvodním úþelem a pĜispČt ke zvýšení ochrany dĤvČrnosti údajĤ. 14


Strana 2584

V souladu s bezpeþnostními pĜedpisy platnými v rĤzných þlenských státech musí být tato bezpeþnostní opatĜení pĜimČĜená úþelu vyšetĜování oznámených problémĤ. Jestliže provádČní postupu oznamování zajišĢuje externí poskytovatel služeb, je potĜebné zaruþit pĜimČĜenou ochranu informací prostĜednictvím smlouvy mezi ním a správcem údajĤ. KromČ toho musí správce údajĤ pĜedevším pĜijmout veškerá potĜebná opatĜení k zajištČní bezpeþnosti informací zpracovávaných v prĤbČhu celého Ĝízení. ii)

Zachovávání mlþenlivosti oznamování

o oznámeních

podaných

prostĜednictvím

postupu

Zachovávání mlþenlivosti o oznámeních je základním pĜedpokladem ke splnČní povinnosti zaruþit bezpeþnost operací zpracovávání údajĤ vyžadovanou smČrnicí 95/46/ES. V zájmu dosažení cíle, jemuž má postup oznamování sloužit, a s cílem motivovat fyzické osoby, aby postup využívaly a oznamovaly skuteþnosti, které mohou nasvČdþovat pochybení anebo protiprávnímu jednání ze strany spoleþnosti, je velmi dĤležité zajistit dostateþnou ochranu oznamovatelĤ prostĜednictvím povinnosti zachovávat mlþenlivost o oznámeních a utajení jejich totožnosti pĜed tĜetími stranami. Spoleþnosti, které zavádČjí postupy oznamování, by mČly pĜijmout vhodná opatĜení k zajištČní utajení totožnosti oznamovatele a zabránČní jejich zpĜístupnČní osobČ oznaþené za podezĜelou, a to v prĤbČhu jakéhokoliv vyšetĜování. Pokud se však prokáže, že oznámení je neodĤvodnČné, a oznamovatel podal nepravdivé oznámení úmyslnČ, mĤže mít osoba oznaþená za podezĜelou zájem na zahájení Ĝízení ve vČci urážky na cti anebo pomluvy. V tomto pĜípadČ mĤže být nutné oznámit osobČ oznaþené za podezĜelou totožnost oznamovatele, pokud to umožĖuje vnitrostátní právní úprava. Vnitrostátní právní pĜedpisy a zásady, jimiž se Ĝídí oznamování v oblasti správy a Ĝízení spoleþností, rovnČž zajišĢují ochranu oznamovatele pĜed odvetnými opatĜeními za využití postupu oznamování, jimiž jsou napĜ. disciplinární opatĜení anebo diskriminaþní pĜístup uplatĖovaný ze strany spoleþnosti anebo organizace. Zachovávání mlþenlivosti o osobních údajích musí být zaruþeno v prĤbČhu jejich shromažćování, zpĜístupĖování anebo uchovávání.

6.

Správa postupĤ oznamování

V souvislosti s postupy oznamování je potĜeba peþlivČ zvážit, jakým zpĤsobem se mají oznámení pĜijímat a jak se s nimi má nakládat. TĜebaže pracovní skupina dává pĜednost zajištČní postupu v rámci spoleþnosti, je si vČdoma, že spoleþnosti se mohou rozhodnout využít externích poskytovatelĤ služeb, kterým svČĜí þást správy postupu, pĜedevším v oblasti pĜijímání oznámení. Tito externí poskytovatelé služeb musí být vázáni pĜesnČ vymezenou povinností zachovávat mlþenlivost a zavázat se k dodržování zásady ochrany údajĤ. Bez ohledu na to, zda spoleþnost zĜídila vnitĜní postup oznamování, anebo využila externích poskytovatelĤ služeb, musí pĜedevším dodržovat ustanovení þlánkĤ 16 a 17 smČrnice. i) Zvláštní interní organizaþní jednotka povČĜená správou postupĤ oznamování V rámci spoleþnosti anebo skupiny je nutno zĜídit zvláštní organizaþní jednotku povČĜenou zpracováváním oznámení a vedením vyšetĜování. 15


Strana 2585

Tuto organizaþní jednotku má tvoĜit pouze omezený poþet speciálnČ vyškolených a motivovaných osob smluvnČ zavázaných zachovávat zvláštní povinnosti v souvislosti s ochranou dĤvČrných informací. Postup oznamování by mČl být dĤslednČ oddČlen od jiných organizaþních jednotek spoleþnosti, napĜ. oddČlení lidských zdrojĤ. Dále je nutno v potĜebném rozsahu zajistit, aby byly shromažćované a zpracovávané informace zprostĜedkovávány pouze osobám, které mají v rámci spoleþnosti anebo skupiny, do které spoleþnost patĜí, zvláštní povČĜení provádČt vyšetĜovaní oznámených skuteþností nebo pĜijímat potĜebná opatĜení navazující na oznámené skuteþnosti. Osoby, jimž jsou tyto informace poskytovány, musí o nich zachovávat mlþenlivost a zajistit dodržování bezpeþnostních opatĜení. ii) Možnost využití externích poskytovatelĤ služeb Jestliže se spoleþnosti nebo skupiny spoleþností obrátí na externí poskytovatele služeb a svČĜí jim þást správy postupu oznamování, nesou i nadále zodpovČdnost za výsledné operace zpracovávání údajĤ, jelikož externí poskytovatelé služeb pĤsobí jen jako zpracovatelé údajĤ ve smyslu smČrnice 95/46/ES. Externími poskytovateli služeb mohou být spoleþnosti provozující telefonická stĜediska, specializované spoleþnosti nebo advokátní kanceláĜe, které se specializují na pĜijímání oznámení a v nČkterých pĜípadech i na provádČní nČkterých nutných vyšetĜovacích úkonĤ. Tito externí poskytovatelé služeb budou rovnČž povinni dodržovat zásady zakotvené v smČrnici 95/46/ES. Na základČ smlouvy se spoleþností, jejímž jménem se postup oznamování provozuje, se musí zavázat, že budou informace shromažćovány a zpracovávány v souladu se zásadami zakotvenými ve smČrnici 95/46/ES, a to výluþnČ jen pro úþely, pro než byly shromáždČny. PĜedevším musí dodržovat pĜesnČ vymezené povinnosti zachovávat mlþenlivost a oznamovat zpracovávané informace pouze vymezeným osobám ve spoleþnosti nebo organizaci, které jsou povČĜeny vyšetĜováním oznámených skuteþností anebo pĜijímáním potĜebných opatĜení v návaznosti na oznámené skuteþnosti. RovnČž budou povinni dodržovat lhĤty pro uchovávání údajĤ, jimiž je vázán správce údajĤ. Spoleþnost, která používá tyto postupy, musí z dĤvodu své funkce jakožto správce údajĤ pravidelnČ provČĜovat dodržování zásad stanovených pokyny externích poskytovatelĤ služeb . iii) Zásada vyšetĜování podnikĤ EU v EU a výjimky z této zásady S pĜihlédnutím k charakteru a struktuĜe nadnárodních skupin mĤže být zapotĜebí zprostĜedkovávat skuteþnosti a výsledky oznámení v rámci širší skupiny i mimo EU. O tom, na jaké úrovni, a tedy v kterém státČ by se mČlo oznámení posuzovat, by se v zájmu dodržení zásady proporcionality mČlo zpravidla rozhodnout s pĜihlédnutím k povaze a závažnosti údajného protiprávního jednání. Pracovní skupina je toho názoru, že by skupiny mČly v zásadČ oznámení Ĝešit na místní úrovni, t.j. v jednom z þlenských státĤ EU, aniž by automaticky zprostĜedkovávaly veškeré informace ostatním spoleþnostem skupiny. Pracovní skupina však uznává urþité výjimky z tohoto pravidla. Údaje pĜijaté prostĜednictvím postupu oznamování lze zprostĜedkovat v rámci skupiny v pĜípadČ, že je jejich zprostĜedkování potĜebné z dĤvodu vyšetĜování, a to vzhledem 16


Strana 2586

k povaze nebo závažnosti oznámeného protiprávního jednání nebo pokud to vyžaduje struktura skupiny. ZprostĜedkování informací se považuje za potĜebné pro úþely vyšetĜování, napĜíklad v pĜípadČ, kdy je v oznámení oznaþen za podezĜelého partner jiné právnické osoby v rámci skupiny, popĜ. významný þlen nebo Ĝídící pracovník dotþené spoleþnosti. V takovém pĜípadČ musí být údaje zprostĜedkovávány za podmínky zachování mlþenlivosti a bezpeþnosti pĜíslušné organizaþní jednotky právního subjektu, jemuž se informace poskytují a který poskytuje v souvislosti se správou oznámení stejné záruky jako organizace povČĜená vyĜizováním tČchto oznámení ve spoleþnosti pĤsobící v EU.

7.

PĜedávání údajĤ do tĜetích zemí

PĜedávání údajĤ do tĜetích zemí se Ĝídí þlánky 25 a 26 smČrnice 95/46/ES. Užití þlánkĤ 25 a 26 nabývá na významu pĜedevším tehdy, jestliže spoleþnost svČĜí þást správy postupu oznamování externímu poskytovatelovi služeb pĤsobícímu mimo EU, anebo pokud byly údaje získané oznámením uvedeny do obČhu v rámci skupiny, a v dĤsledku toho byly poskytnuty nČkterým spoleþnostem mimo území EU. K tČmto pĜenosĤm údajĤ mĤže dojít pĜedevším v pĜípadČ spoleþností pĤsobících v EU jako dceĜiné spoleþnosti (organizaþní složky) spoleþností ze tĜetích zemí. Jestliže tĜetí zemČ, do níž mají být údaje odeslány, nezajišĢuje pĜimČĜenou úroveĖ ochrany osobních údajĤ podle þlánku 25 smČrnice 95/46/ES, lze údaje pĜedávat z tČchto dĤvodĤ: [1] pĜíjemcem osobních údajĤ je subjekt pĤsobící ve Spojených státech amerických, který se zavázal dodržovat zásady „bezpeþného pĜístavu“ (Safe Harbour); [2] pĜíjemce uzavĜel se spoleþností v EU, která údaje pĜedává, smlouvu o pĜedávání údajĤ, v níž se zavázal k pĜimČĜeným ochranným opatĜením napĜíklad na základČ vzorové smluvní doložky vydané Evropskou komisí na základČ rozhodnutí Komise ze dne 15. þervna 2001 nebo 21. prosince 2004; [3] pĜíjemce pĜijal soubor závazných vnitropodnikových pravidel, které byly náležitČ schváleny pĜíslušnými orgány ochrany údajĤ.

8.

Dodržování oznamovací povinnosti

Na základČ uplatĖování þlánkĤ 18 až 20 smČrnice o ochranČ údajĤ musí spoleþnosti, které zĜídily postup oznamování, dodržovat povinnost podávat oznámení vnitrostátním orgánĤm pro ochranu údajĤ nebo se podrobit pĜedbČžným kontrolám provádČným tČmito orgány. V þlenských státech, kde je provádČn tento postup oznamování, mohou operace zpracovávání údajĤ, jež by mohly vyvolat zvláštní rizika ohlednČ práv a svobod subjektu, o nČmž jsou údaje vedeny, podléhat pĜedbČžným kontrolám vnitrostátních orgánĤ pro ochranu údajĤ. O takovýto pĜípad by se mohlo jednat, pokud vnitrostátní právní pĜedpisy umožĖují, aby údaje o podezĜeních z trestných þinĤ zpracovávaly soukromé právní subjekty za urþitých zvláštních podmínek, napĜíklad pod podmínkou pĜedchozí kontroly pĜíslušnými vnitrostátními orgány dozoru. O tento pĜípad by se mohlo jednat rovnČž tehdy, jestliže se vnitrostátní orgán domnívá, že operace zpracovávání údajĤ mohou subjektu, jehož se oznámení týká, bránit ve výkonu urþitého práva, využívaní jistých výhod anebo v uzavírání smluv. Otázka, zda operace zpracovávání údajĤ podléhají 17


Strana 2587

pĜedchozí kontrole, se posuzuje na základČ vnitrostátních právních pĜedpisĤ a zvyklostí vnitrostátního orgánu pro ochranu údajĤ. V – ZÁVċRY Pracovní skupina je toho názoru, že postupy oznamování mohou pĜedstavovat užiteþný prostĜedek, s jehož pomocí mĤže spoleþnost nebo organizace monitorovat dodržování obecných právních pĜedpisĤ i pĜedpisĤ týkajících se správy a Ĝízení spoleþností, zejména pak úþetnictví, vnitĜních úþetních kontrol a auditu, jakož i boje proti úplatkáĜství a trestné þinnosti v bankovním a finanþním odvČtví i jiných porušení trestného práva. Mohou dané spoleþnosti napomoci pĜi Ĝádném provádČní zásad správy a Ĝízení spoleþností a odhalovaní skuteþností, které by mohly mít vliv na postavení spoleþnosti. Pracovní skupina zdĤrazĖuje, že postupy oznamování v oblastech úþetnictví, vnitĜních úþetních kontrol a auditu, jakož i potírání úplatkáĜství a trestné þinnosti v bankovním a finanþním odvČtví, jichž se týká pĜedkládané stanovisko, je tĜeba zavádČt v souladu se zásadami ochrany osobních údajĤ zakotvenými ve smČrnici 95/46/ES. Zastává názor, že dodržování tČchto zásad pĜispívá k Ĝádnému fungování uvedených postupĤ. ZajištČní základního práva na ochranu osobních údajĤ, aĢ již se jedná o oznamovatele nebo osobu oznaþenou za podezĜelou, má v prĤbČhu celého Ĝízení o oznámení s využitím postupu oznamování zásadní význam. Pracovní skupina zdĤrazĖuje, že zásady ochrany údajĤ stanovené ve smČrnici 95/46/ES je tĜeba v plné míĜe uplatĖovat na postupy oznamování, pĜedevším co se týþe práva osoby oznaþené za podezĜelou na pĜístup k údajĤm i jejich opravu a výmaz. Pracovní skupina však s pĜihlédnutím k rĤzným dotþeným zájmĤm uznává, že výkon tČchto práv mĤže ve velmi specifických pĜípadech podléhat omezením v zájmu dosažení rovnováhy mezi právem na ochranu soukromí a zájmy sledovanými postupem oznamování. Jakákoliv omezení této povahy by však mČla být uplatĖována restriktivnČ v rozsahu, v nČmž jsou nutná k dosažení cílĤ postupu oznamování.

V Bruselu dne 1. února 2006

Za pracovní skupinu

pĜedseda Peter Schaar

18

Strana 2588


Pracovní skupina pro ochranu údajŢ zŐízená podle ÿlánku 29

01313/06/CS WP 123

Stanovisko þ. 6/2006 k návrhu naĜízení Rady o pĜíslušnosti, použitelném právu, uznávání a výkonu rozhodnutí a spolupráci ve vČcech vyživovací povinnosti

pĜijaté dne 9. srpna 2006

Tato pracovní skupina byla zŐízena podle ÿlánku 29 smĚrnice 95/46/ES. Je to nezávislý evropský poradní orgán pro ochranu dat a soukromí. Její úkoly jsou popsány v ÿlánku 30 smĚrnice 95/46/ES a ÿlánku 15 smĚrnice 2002/58/ES. Sekretariát poskytuje Evropská komise, Generální Őeditelství pro spravedlnost, svobodu a bezpeÿnost, ŏeditelství C (Obÿanská spravedlnost, práva a obÿanství), B 1049 Brusel, Belgie, kanceláŐ ÿ. LX-46 01/43. Internetová stránka: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm


Strana 2589

PRACOVNÍ SKUPINA PRO OCHRANU FYZICKÝCH OSOB PěI ZPRACOVÁNÍ OSOBNÍCH ÚDAJģ

zĜízená smČrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. Ĝíjna 1995, s ohledem na ustanovení þlánku 29 a þl. 30 odst. 1 písm. a) a odst. 3 uvedené smČrnice a ustanovení þl. 15 odst. 3 smČrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. þervence 2002, s ohledem na svĤj jednací Ĝád, a zejména na þlánky 12 a 14 uvedeného jednacího Ĝádu, pĜijala toto stanovisko:

I. Souvislosti Pracovní skupina byla informována o návrhu Komise na vydání naĜízení Rady o pĜíslušnosti, použitelném právu, uznávání a výkonu rozhodnutí a spolupráci ve vČcech vyživovací povinnosti Cílem návrhu je odstranit pĜekážky, které zabraĖují úspČšnému vymáhání výživného v rámci celé Evropské unie. Zejména kapitola VIII tohoto návrhu („Spolupráce“) obsahuje postup, jehož souþástí je úprava shromažćování informací o situaci oprávnČného i povinného, jakož i výmČny tČchto informací prostĜednictvím sítČ ústĜedních orgánĤ þlenských státĤ. V souvislosti s touto úpravou vyvstává Ĝada otázek týkajících se ochrany údajĤ, jež chce pracovní skupina v tomto stanovisku blíže osvČtlit. II. Právní rámec zpracování osobních údajĤ Podle postupu, jehož užití se pĜedpokládá v tomto návrhu, lze v procesu shromažćování a zpracování osobních údajĤ rozlišit tĜi základní etapy: x

osobní údaje zpracovávané urþitým poþtem správcĤ údajĤ k nejrĤznČjším úþelĤm (napĜíklad zamČstnavateli, finanþními úĜady, úĜady sociálního zabezpeþení nebo orgány, které vedou veĜejné rejstĜíky a registry) jsou využívány ústĜedními orgány za úþelem usnadnČní vymáhání vyživovacích povinností;

x

osobní údaje shromáždČné ústĜedními orgány jsou sumarizovány a pĜedány soudu, který rozhoduje o pohledávce výživného;

x

soud, který rozhoduje o pohledávce výživného, tyto údaje zpracuje pro úþely zajištČní výkonu rozhodnutí o vyživovacích povinnostech.

PĜi užití tohoto postupu je tĜeba uplatnit Ĝadu zásad a pravidel obsažených ve smČrnici 95/46/ES (dále jen „SmČrnice“). V první etapČ shromažćování údajĤ ústĜedním orgánem zpracovávaných k jinému, nesluþitelnému úþelu pĜedstavuje výjimku ve smyslu zásady omezení úþelu stanovené v þlánku 6 SmČrnice. Takové výjimky lze uplatnit pouze tehdy, jsou-li splnČny podmínky þlánku 13 SmČrnice. Podle ustanovení tohoto þlánku „þlenské státy mohou pĜijmout legislativní opatĜení s cílem omezit rozsah povinností a práv stanovených v rĤzných þláncích SmČrnice, vþetnČ þl. 6 odst. 1, jestliže toto omezení pĜedstavuje opatĜení nezbytné pro zajištČní […] 2/7


Strana 2590

ochrany subjektu údajĤ nebo práv a svobod druhých“. Evropský soudní dvĤr objasnil, že naopak pĜedávání údajĤ tĜetím stranám k „hospodáĜským“ úþelĤm „zakládá zásah ve smyslu þlánku 8 EÚLP“. KromČ toho by odchylky od zásady omezení úþelu stanovené ve SmČrnici musely zohlednit þlánek 13 SmČrnice, a proto by musely „být zdĤvodnČny z hlediska þlánku 8 Úmluvy“, (vČc Rechnungshof, C-465/00, §68 an.). Podle Úmluvy je ke zdĤvodnČní zásahu do práva na soukromý život nutné postupovat „v souladu se zákonem“ a tento zásah musí být „v demokratické spoleþnosti nezbytný“ k dosažení cíle, který je ve veĜejném zájmu. Štrasburská judikatura opakovanČ pĜipomnČla, že právní pĜedpisy upravující zásah do soukromého života „musí s dostateþnou pĜesností vymezit rozsah diskreþní pravomoci svČĜené pĜíslušným orgánĤm a zpĤsob, jakým má být tato pravomoc vykonávána s ohledem na legitimní cíl daného opatĜení tak, aby byla obþanĤm zajištČna dostateþná ochrana proti zvĤli1 ". Co se týþe druhé a tĜetí etapy, spadá shromažćování a zpracování osobních údajĤ vnitrostátními ústĜedními orgány a soudy (nebo jinými vnitrostátními orgány, jimž je svČĜeno rozhodování o vyživovací povinnosti) podle ustanovení þlánku 3 SmČrnice do pĤsobnosti uvedené smČrnice. Osobní údaje jsou v rámci soudní spolupráce v obþanskoprávních vČcech s pĜeshraniþními prvky skuteþnČ zpracovávány do té míry, v níž je to nezbytné pro Ĝádné fungování vnitĜního trhu, což bylo doloženo v dĤvodové zprávČ návrhu samotného. Jedná se o oblast práva Spoleþenství, a proto se zde neuplatní výjimky z pĤsobnosti SmČrnice obsažené v þl. 3 odst. 2. Vzhledem k tomu se toto zpracování údajĤ Ĝídí zásadami a právními pĜedpisy stanovenými SmČrnicí, zejména pak následujícími ustanoveními:

1

x

ýlánek 6 stanoví, že osobní údaje musejí být shromažćovány pro stanovené úþely, výslovnČ vyjádĜené a legitimní, a nesmČjí být dále zpracovávány zpĤsobem nesluþitelným s tČmito úþely. Osobní údaje musejí být zároveĖ pĜimČĜené, podstatné a nepĜesahující míru s ohledem na úþely, pro které jsou shromažćovány a/nebo dále zpracovávány; musejí být pĜesné a je-li to nezbytné, i aktualizované; musejí být uchovávány ve formČ umožĖující identifikaci subjektu údajĤ po dobu ne delší než je nezbytné pro uskuteþnČní cílĤ, pro které jsou shromažćovány nebo dále zpracovávány.

x

ýlánek 7 vyžaduje pĜimČĜený dĤvod, aby zpracování osobních údajĤ bylo oprávnČné. Údaje lze zpracovávat zejména pokud je to nezbytné pro splnČní právní povinnosti, které podléhá správce, nebo je-li to nezbytné pro vykonání úkolu ve veĜejném zájmu nebo pĜi výkonu veĜejné moci, a to podle ustanovení písmene c) a e) citovaného þlánku.

x

ýlánek 8, jedná-li se o citlivé údaje, napĜíklad pĜi výmČnČ údajĤ o sociálních dávkách pobíraných z dĤvodu urþitého zdravotního stavu. V takovýchto pĜípadech mĤže být zpracování údajĤ oprávnČné jen pokud je nezbytné pro zjištČní, uplatnČní nebo obranu právních nárokĤ (þl. 8 odst. 2 písm. e) nebo jsou-li poskytnuta vhodná ochranná opatĜení, stanovená prostĜednictvím vnitrostátních právních pĜedpisĤ, mohou þlenské státy stanovit z dĤvodu významného veĜejného zájmu i jiné výjimky (þl. 8 odst. 4).

x

Ustanovení þlánkĤ 10 a 11 ukládají povinnost informovat subjekty údajĤ o zpracování jejich osobních údajĤ.

x

ýlánek 12 poskytuje subjektĤm údajĤ právo na pĜístup k jejich údajĤm a na opravu, výmaz nebo zablokování údajĤ, jejichž zpracování není v souladu s ustanoveními SmČrnice.

Rotaru v. Rumunsko, §55 an.; Amann v. Švýcarsko, §76 a §80; Khan v. Spojené království, §26; Valenzuela Contreras v. ŠpanČlsko, §60 a §61; Kopp v. Švýcarsko, §72 a §75; Funke v. Francie, § 57; Niemietz v. NČmecko, § 37; Kruslin v. Francie, §34 a §35; Malone v. Spojené království, §79 a §80. 3/7


Strana 2591

x

ýlánek 15 poskytuje obþanĤm právo nestat se subjektem automatizovaných individuálních rozhodnutí.

x

ýlánky 16 a 17 ukládají všem subjektĤm povČĜeným zpracováním údajĤ povinnost zachovávat dĤvČrnost a pĜijímat vhodná ochranná opatĜení.

x

V þláncích 22, 23 a 24 jsou upraveny opravné prostĜedky, náhrada škody a sankce za neoprávnČné zpracování údajĤ.

x

ýlánky 25 a 26 upravují pĜedávání osobních údajĤ do zemí, které nepatĜí do Evropského hospodáĜského prostoru.

III. Existující zajištČní ochrany údajĤ. Pracovní skupina s uspokojením konstatuje, že tento návrh již obsahuje Ĝadu prvkĤ, které mají za cíl dosáhnout souladu postupĤ zpracování údajĤ s výše vyjmenovanými zásadami a právními pĜedpisy upravujícími ochranu údajĤ. ZmiĖuje se zejména o dále uvedených opatĜeních. x

RĤzné druhy informací musí být pĜístupné v rĤzných stádiích postupu zjišĢování existence vyživovací povinnosti.

V souladu s þlánkem 6 SmČrnice mohou být vyžádány a zpĜístupnČny osobní údaje nezbytné ke zjištČní, kde se zdržuje povinný (napĜíklad zjištČní jeho adresy) a pĜi zahájení Ĝízení; na návrh osoby, která tvrdí, že má nárok na výživné, mohou být tyto údaje zpĜístupnČny. Naopak další údaje, které jsou nezbytné k vyhodnocení schopnosti povinného platit výživné a úþinnČ plnit svou povinnost (napĜíklad bankovní úþty, mzda nebo obdobné pĜíjmy) mohou být vyžádány a zpĜístupnČny jen tehdy, bylo-li v Ĝádném kontradiktorním Ĝízení prokázáno, že tato osoba skuteþnČ dluží výživné. x

Existuje obþanskoprávní filtraþní mechanismus k zahájení výmČny informací

Podle návrhu mĤže oprávnČný prostĜednictvím soudu podat ústĜednímu orgánu žádost o informace. Podání žádosti prostĜednictvím soudu pĜedstavuje pĜimČĜený kontrolní mechanismus ke zjištČní vČrohodného skutkového stavu, a k ovČĜení, zda je návrh na vymČĜení výživného ĜádnČ odĤvodnČný a zda jsou dané údaje k tomuto úþelu skuteþnČ nezbytné. x

VytváĜení kombinovaných rejstĜíkĤ je zakázáno

Souþasný návrh ukládá þlenským státĤm povinnost upravit pĜístup k údajĤm o povinném a oprávnČném tak, že budou obsaženy v nČkolika oddČlených rejstĜících. VytváĜení konsolidovaných rejstĜíkĤ obsahujících rĤzné kategorie informací pĤvodnČ obsažených v oddČlených rejstĜících, s cílem usnadnit vyhledávání informací, by bylo spojeno se znaþnými riziky pro osoby, jichž se tyto údaje týkají. Návrh proto výslovnČ zakazuje vytváĜení konsolidovaných rejstĜíkĤ, které by sdružovaly tyto informace. x

Existují záruky týkající se zpĜístupnČných údajĤ

Návrh stanoví, že pĜedávané informace smí být užívány pouze v souladu se zásadou omezení úþelu zakotvenou ve SmČrnici, a to pouze k usnadnČní vymáhání nárokĤ na výživné. Podle rozsahu pĜedávaných informací a s tím spojených rizik je nutno vytvoĜit další ochranná opatĜení. Návrh obsahuje zejména tyto prvky: informace by mČly být pĜedávány dožádaným orgánem pouze dožadujícímu orgánu. Dožadující orgán poté smí pĜedat informace pouze soudu nebo orgánu, který rozhoduje o nároku na výživné. Informace nesmí být sdČlovány oprávnČnému nebo tĜetí stranČ;

4/7


Strana 2592

jakmile dožádaný nebo dožadující orgán informace pĜedá, musí provést jejich výmaz. Informace smČjí být uchovávány pouze soudem, který rozhoduje o pohledávce výživného a to pouze po dobu, která je nezbytná k usnadnČní vymáhání pohledávky výživného, nejdéle však po dobu jednoho roku. K tomuto poslednímu bodu vypracovala pracovní skupina konkrétnČ zamČĜený komentáĜ, který je obsažen v následujícím textu; dožádaný ústĜední orgán musí poskytnout povinnému informace o zpracování jeho údajĤ v souladu s þlánky 10 a 11 SmČrnice. IV. KomentáĜ Pracovní skupina vymezila další body, v nichž by mČla být vytvoĜena doplĖující opatĜení na ochranu údajĤ v systému výmČny osobních údajĤ k zajištČní plného souladu se zásadami a ustanoveními SmČrnice. Vzhledem k tomu pĜedkládá pracovní skupina následující pĜipomínky k nČkterým ustanovením návrhu. x

Návrh by mČl obsahovat ustanovení upravující vhodná technická a organizaþní opatĜení k zajištČní zabezpeþení údajĤ v souladu s požadavky þlánku 17 SmČrnice i pĜimČĜenou povinnost mlþenlivosti. To se týká zejména pĜedávaní osobních údajĤ, napĜíklad podle þlánku 46.

x

ýlánek 41 podává obecný popis úkolĤ ústĜedních orgánĤ pĜi spolupráci v konkrétních pĜípadech. V oblasti výmČny osobních údajĤ, a to zejména údajĤ o povinném, se jeví jako nezbytné pĜedejít nedorozumČním a jasnČ stanovit, že takovéto shromažćování a výmČnu lze provádČt pouze za opatĜení na ochranu údajĤ, která jsou konkretizována v dalším textu. Za tímto úþelem je nutno nahradit v þl. 41 odst.1 písm. a) bodu i) slova „zejména na základČ þlánkĤ 44 až 47“ pĜesnČjším výrazem „za podmínek stanovených v þláncích 44 až 47“. Co se týþe výmČny údajĤ o oprávnČném, návrh by mČl konkretizovat úþel, který odĤvodĖuje takovouto výmČnu a stanovit pĜíslušné podmínky, jako je tomu v souþasné dobČ v pĜípadČ informací o povinném.

x

Ustanovení þl. 44 odst. 1 odkazuje v hrubých rysech na povinnosti ústĜedních orgánĤ pĜi obstarávání informací s obecným cílem usnadnit vymáhání pohledávek výživného a v písmenech a) až d) podává výþet konkrétních cílĤ. Toto ustanovení je ve své dosavadní formČ pĜíliš široké. Zásada omezení úþelu a zásada proporcionality vyžaduje provedení Ĝady zmČn; zejména: by mČl být podán restriktivní seznam datových prvkĤ; úþely by mČly být omezeny na 1) zjištČní, kde se zdržuje povinný, a 2) zjištČní a ohodnocení jeho majetku. ZjištČní zamČstnavatele povinného nebo jeho bankovních úþtĤ je relevantní jen když mzda nebo obdobný pĜíjem a bankovní úþet pĜedstavují samy o sobČ významné prvky majetkových hodnot povinného. Jsou-li tyto prvky zvláštČ zmínČny, mČly by být uvádČny v rubrice „ohodnocení majetku povinného“; z ustanovení by mČlo jasnČ vyplývat, že rĤzné druhy údajĤ zpĜístupĖovaných pro uvedené úþely by mČly být shromažćovány a zpĜístupĖovány jen pokud je taková informace nezbytná a relevantní pro vymáhání tČchto pohledávek; nemusí tomu tak být ve všech þlenských státech a za všech okolností; text by mČl odkazovat na zásadu, že by se nemČly zpracovávat citlivé údaje.

x

Ustanovení þl. 44 odst. 2 ukládá, aby shromažćování údajĤ obsáhlo minimálnČ informace z nČkolika rejstĜíkĤ. V zájmu omezení úþelu a zajištČní proporcionality by opČt mČlo být vypuštČno vymezení minima zdrojĤ informací; 5/7


Strana 2593

mČl by být uvádČn jednoznaþný vztah mezi vyžádanými informacemi a úþelem; toto ustanovení by mČlo zejména zajistit, že budou shromažćovány pouze informace, které jsou nezbytné a relevantní pro zamýšlený úþel. Informace o odvodech sociálního pojištČní zamČstnavateli podle písmene b) se nezdá být relevantní pro úþely uvedené v þl. 44 odst. 1. Pokud se toto ustanovení skuteþnČ vztahuje na povinného jakožto zamČstnavatele, mČlo by být uvedeno, že jeho právní povinnosti vĤþi jeho zamČstnancĤm by nemČly být dotþeny pohledávkami výživného vĤþi nČmu. Pokud se vztahuje na pĜíspČvky, které zamČstnavatel povinného platí za povinného jakožto svého zamČstnance, takovéto pĜíspČvky budou s nejvČtší pravdČpodobností podléhat obdobné právní povinnosti, a tudíž by rovnČž nemČly být dotþeny žalobami na výživné. Proto se navrhuje, aby bylo z textu vypuštČno sousloví „vþetnČ odvodĤ sociálního pojištČní zamČstnavateli“. x

Ustanovení þl. 44 odst. 3 zakazuje vytváĜení nových rejstĜíkĤ v þlenských státech. Za týmž úþelem a pro úplnost by toto ustanovení místo obecné formulace mČlo pojednávat o nových typech zpracování osobních údajĤ, vþetnČ vytváĜení nových rejstĜíkĤ.“ Je nutno výslovnČ zabránit zejména tČm druhĤm zpracování údajĤ, které obsahují zvláštní rizika, jako je zpracování biometrických údajĤ.

x

Ustanovení þl. 45 odst. 1 obsahující obþanskoprávní filtr zpracování návrhu na pĜiznání výživného se v zásadČ týká „soudu“. Urþení orgánu v rámci soudního systému, který smí rozhodnout o zasahování do práva na soukromí, se Ĝídí þlánkem 8 EÚLP. Druhá vČta tohoto ustanovení by tudíž mČla znít „pĜíslušný orgán nebo soudní orgán této jurisdikce podle ustanovení vnitrostátního práva žádost postoupí...“

x

V þl. 45 odst. 4 je zĜejmČ typografická chyba. Je nutno uvést „formuláĜe, na nČjž odkazuje ustanovení odstavce 2“ nikoli odstavce 1.

x

Ustanovení þl. 45 odst. 5 druhý pododstavec stanoví povinnost Komise zpĜístupnit „tyto informace“ veĜejnosti. To se vztahuje k dotazu þlenských státĤ, zda je zapotĜebí pĜedkládat doplĖující doklady podle ustanovení prvního pododstavce. Výraz „tyto informace“ však mĤže být matoucí, neboĢ mĤže být chápán tak, že odkazuje na osobní informace o povinném a oprávnČném. Bylo by tudíž vhodné nahradit souþasné znČní formulací „Komise zpĜístupní veĜejnosti informace, zda þlenské státy požadují pĜedkládání pĜekladĤ“ nebo obdobnou vČtou.

x

ýlánek 46 stanoví, aby dožadující ústĜední orgán po pĜedání informace soudu provedl její výmaz. V textu by mČlo být uvedeno, že je tento výmaz nutno provést „bezprostĜednČ“ po pĜedání.

x

Ustanovení þl. 46 odst. 3 stanoví, že informace nesmí být uchovávána po dobu delší jednoho roku. ZámČrem tohoto ustanovení je ochrana údajĤ a pracovní skupina tento úmysl Komise oceĖuje. Pracovní skupina si však je rovnČž vČdoma, že tato doba mĤže být v praxi pĜíliš krátká nebo naopak pĜíliš dlouhá pro zamýšlený úþel zpracování. Aby bylo možno vzít v úvahu praktické potĜeby, bylo by vhodnČjší stanovit, že soudní orgány mohou zpracovávat dané údaje pouze po dobu nezbytnou k tomu, aby se usnadnilo vymožení konkrétní pohledávky výživného.

6/7


Strana 2594

x

ýlánek 47 stanoví povinnost ústĜedního orgánu uvČdomit povinného, že byly zpĜístupnČny jeho údaje. Toto ustanovení by mČlo jasnČ vyjádĜit, že oznámení musí být provedeno bezprostĜednČ po zpĜístupnČní. Dále by v nČm mČla být obsažena informace o úþelu zpracování. Ustanovení písmene c) by tudíž mČlo znít „o úþelu zpĜístupnČní a o podmínkách...[zbytek nezmČnČn]". Naopak název a adresa kontrolního orgánu uvádČné v písmenu e) se nejeví jako nezbytné.

x

Konkrétní odkaz na použitelnost smČrnice 95/46/ES by mČl být obsažen v textu naĜízení v souladu s bodem odĤvodnČní 21. ýlánek 48 o vztazích k jiným nástrojĤm Spoleþenství se jeví jako vhodný pro umístČní tohoto odkazu. Navrhuje se tudíž, aby byl do þlánku 48 doplnČn þtvrtý odstavec tohoto znČní: "4. Shromažćování a zpracování osobních údajĤ provádČné podle tohoto naĜízení, zejména v rámci výmČny informací podle þlánkĤ 44 až 47, by mČlo být provádČno v plném souladu s vnitrostátními právními pĜedpisy pĜijatými na základČ smČrnice 95/46/ES“ nebo obdobná vČta.

x

ýlánky 22, 24 a 35 se týkají zásahu jiného orgánu než vnitrostátního ústĜedního orgánu. V tČchto pĜípadech by mČla být stanovena povinnost informovat subjekt údajĤ podobnČ jako v þlánku 47.

x

PĜíloha III obsahuje vzor informaþního dopisu povinnému, proti nČmuž bylo vydáno rozhodnutí o pĜímých mČsíþních platbách výživného. Tento návrh by mČl zajistit, že informace obsažená v tomto dopisu bude v souladu s požadavky þlánku 11 SmČrnice ohlednČ informací, které budou poskytnuty subjektu údajĤ, vþetnČ konkrétního pouþení o jeho právu na pĜístup k tČmto údajĤm a na jejich opravu.

x

PĜíloha V obsahuje vzor žádosti o pĜedání informací. Bod 4.1.3 se týká „dalších užiteþných informací“ a podává se v nČm výþet Ĝady prvkĤ. V návrhu by mČlo být jasnČ Ĝeþeno, že se to týká informací poskytnutých dožadující stranou s cílem usnadnit vyhledávání vyžádaných informací, ale netýká se to samotných vyžádaných informací. NaĜízení by kromČ toho mČlo obsahovat ustanovení, která by konkretizovala podmínky užití tČchto pomocných údajĤ v souladu se zásadami uvedenými v tomto dokumentu, a to vþetnČ úþelu, množství údajĤ a období, po nČž je možné tyto údaje uchovávat. V souladu s pĜedcházejícími komentáĜi k þlánku 47 by mČl být upraven i návrh pĜedchozích dvou pĜípadĤ informování povinného. Informování povinného je pravidlem a standardní volbou a nevychází ze zvláštního pĜípadu. Restriktivní opatĜení proti informování povinného pĜedstavuje výjimku, kterou lze použít pouze ve zvláštním pĜípadČ, pĜi kterém musí být v žádosti výslovnČ uvedeno náležité odĤvodnČní.

Pracovní skupina pevnČ doufá, že úvahy obsažené v tomto stanovisku budou pĜimČĜeným zpĤsobem zohlednČny. V Bruselu dne 9. srpna 2006 Za pracovní skupinu PĜedseda Peter Schaar

7/7


Strana 2595

Pracovní skupina zŐízená podle ÿlánku 29

01935/06/CS WP128

Stanovisko 10/2006 ke zpracovávání osobních údajĤ Spoleþností pro celosvČtovou mezibankovní finanþní komunikaci (Society for Worldwide Interbank Financial Telecommunication (SWIFT))

PĜijaté dne 22. listopadu 2006

Tato pracovní skupina byla zĜízena podle þlánku 29 smČrnice 95/46/ES. Je to nezávislý evropský poradní subjekt pro ochranu údajĤ a soukromí. Její úkoly jsou popsány v þlánku 30 smČrnice 95/46/ES a v þlánku 15 smČrnice 2002/58/ES. Sekretariát zajišĢuje Ĝeditelství C (civilní soudnictví, práva a obþanství) Evropské komise, generální Ĝeditelství pro spravedlnost, svobodu a bezpeþnost, B-1049 Brussels, Belgium, kanceláĜ þ. LX-46 01/43. Webová stránka: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm


Strana 2596

2


Shrnutí Toto stanovisko pracovní skupiny zĜízené podle þlánku 29 zahrnuje zjištČní o zpracovávání osobních údajĤ Spoleþností pro celosvČtovou mezibankovní finanþní komunikaci (Society for Worldwide Interbank Financial Telecommunication, dále jen „SWIFT“). Pracovní skupina zĜízená podle þlánku 29 v této souvislosti zdĤrazĖuje, že i v rámci boje proti terorismu a trestné þinnosti musí zĤstat základní práva zaruþena. Proto trvá na respektování zásad globální ochrany údajĤ. SWIFT je celosvČtová služba pĜenosu finanþních zpráv, která usnadĖuje mezinárodní penČžní pĜevody. SWIFT uchovává všechny zprávy po dobu 124 dní ve dvou operaþních stĜediscích, z nichž jedno je v Evropské unii a druhé ve Spojených státech amerických – zpĤsobem zpracování údajĤ uvádČným v tomto dokumentu jako „zrcadlení“. Zprávy obsahují osobní údaje jako jména plátce a pĜíjemce. Po teroristických útocích v záĜí 2001 vydalo Ministerstvo financí USA podmínky pro úĜední obsílky, které vyžadují, aby SWIFT poskytla pĜístup k informacím o zprávách uchovávaných ve Spojených státech amerických. SWIFT vyhovČla úĜedním obsílkám, i když byla ujednána jistá omezení pĜístupu Ministerstva financí USA. Záležitost vešla ve známost díky pozornosti, kterou jí vČnoval tisk, koncem þervna a zaþátkem þervence 2006. Jako družstvo se sídlem v Belgii podléhá SWIFT belgickým právním pĜedpisĤm na ochranu údajĤ, kterými se provádí smČrnice Evropské unie o ochranČ údajĤ 95/46/ES (dále jen „smČrnice“). Finanþní instituce se sídlem v Evropské unii, které užívají službu SWIFT, podléhají vnitrostátním právním pĜedpisĤm pro ochranu údajĤ, kterými se provádí smČrnice v þlenském státČ, v nČmž jsou usazeny. Pracovní skupina dochází k závČru, že: -

Jak SWIFT, tak i finanþní instituce pĜíkazce sdílejí spoleþnou odpovČdnost, tĜebaže na rĤzné úrovni, za zpracování osobních údajĤ jako „správci údajĤ“ ve smyslu þl. 2 písm. d) smČrnice.

-

Další zpracovávání osobních údajĤ, pĜi známém znaþném rozsahu úĜedních obsílek Ministerstva financí USA, je dalším úþelem, který není sluþitelný s pĤvodním obchodním úþelem, ke kterému byly osobní údaje shromažćovány, ve smyslu þl. 6 odst. 1 písm. b) smČrnice.

-

Ani SWIFT, ani finanþní instituce v Evropské unii neposkytly informace subjektĤm údajĤ o zpracování jejich osobních údajĤ, zejména pokud jde o jejich pĜedávání do USA, jak je stanoveno v þláncích 10 a 11 smČrnice.

-

Kontrolní opatĜení zavedená spoleþností SWIFT, zejména v souvislosti s pĜístupem Ministerstva financí USA k údajĤm, nijak nenahrazují nezávislé pĜezkoumání, které mohlo být provedeno orgány dozoru zĜízenými podle þlánku 28 smČrnice.

-

Pokud jde o pĜedávání do operaþního stĜediska Spojených státĤ amerických, SWIFT se nemĤže dovolávat þlánku 25 smČrnice, aby prohlásila zpracování za oprávnČné.

-

Žádná z výjimek uvedených v þl. 26 odst. 1 smČrnice se nevztahuje na zpracování údajĤ v USA.

-

SWIFT nevyužila mechanismĤ uvedených v þl. 26 odst. 2 smČrnice k tomu, aby obdržela oprávnČní ke zpracování od belgického orgánu dozoru pro ochranu údajĤ.

-

Pracovní skupina zĜízená podle þlánku 29 vyzývá SWIFT a finanþní instituce, aby neprodlenČ pĜijaly opatĜení za úþelem napravení souþasného protiprávního stavu.

-

Pracovní skupina zĜízená podle þlánku 29 dále vyzývá k vyjasnČní dohledu nad spoleþností SWIFT.

Pracovní skupina zĜízená podle þlánku 29 bude sledovat a monitorovat vše, co je uvedeno výše.

Strana 2597


Strana 2598

OBSAH 1.

2.

3.

4.

SOUVISLOSTI ..................................... ERROR! BOOKMARK NOT DEFINED. 1.1

Sled událostí ...................................................................................................... 6

1.2

Fakta

............................................................................................................. 8

1.2.1

Zpracování údajĤ spoleþností SWIFT v þíslech.................................. 8

1.2.2

Kategorie zpracovávaných údajĤ ........................................................ 9

1.2.3

ÚĜední obsílky od Ministerstva financí USA ...................................... 9

PLATNÝ RÁMEC PRO OCHRANU ÚDAJģ......................................................... 10 2.1

Použitelnost smČrnice 95/46/ES ...................................................................... 10

2.2

Právo použitelné pro SWIFT........................................................................... 10

2.3

Právo použitelné pro finanþní instituce ........................................................... 10

ÚLOHA SPOLEýNOSTI SWIFT A FINANýNÍCH INSTITUCÍ .......................... 11 3.1

Úloha spoleþnosti SWIFT ............................................................................... 11

3.2

Úloha finanþních institucí ............................................................................... 13

3.3

Úloha centrálních bank.................................................................................... 15

POSOUZENÍ SLUýITELNOSTI S PRAVIDLY OCHRANY ÚDAJģ .................. 16 4.1

4.2

UplatnČní zásad kvality údajĤ a proporcionality (þlánek 6 smČrnice) .......... 15 4.1.1

Obchodní úþel.................................................................................... 15

4.1.2

Další zpracování pro nesluþitelné úþely............................................ 15

OprávnČnost (þlánek 7 smČrnice) .................................................................... 18 4.2.1

Nezbytné pro splnČní smlouvy (þl. 7 písm. b) smČrnice) .................. 18

4.2.2

Nezbytné pro splnČní právní povinnosti, které podléhá správce (þl. 7 písm. c) smČrnice) ....................................................... 18

4.2.3

Nezbytné pro uskuteþnČní oprávnČného zájmu správce (þl. 7 písm. f) smČrnice) .............................................................................. 18

4.3

Poskytování jasných a úplných informací o systému (þlánky 10 a 11 smČrnice) ......................................................................................................... 19

4.4

SplnČní požadavkĤ na oznamování (þlánky 18 až 20 smČrnice) .................... 21

4.5

Dohlížecí mechanismy .................................................................................... 20

4.6

PĜeshraniþní toky údajĤ (þlánky 25 a 26 smČrnice) ........................................ 22 4.6.1

Odpovídající ochrana údajĤ (þl. 25 odst. 1 smČrnice) ....................... 22

4.6.2

Dostateþná ochranná opatĜení zavedená pĜíjemcem (þl. 26 odst. 2 smČrnice) ............................................................................... 23

4.6.3

Výjimky (þlánek 26 smČrnice) .......................................................... 24 4.6.3.1

Souhlas subjektu údajĤ (þl. 26 odst. 1 písm. a) smČrnice) ........................................................................... 24 4


4.6.4

Strana 2599

4.6.3.2

PĜedání je nezbytné pro splnČní smlouvy mezi subjektem údajĤ a správcem nebo pro splnČní pĜedsmluvních opatĜení pĜijatých na žádost subjektu údajĤ (þl. 26 odst. 1 písm. b) smČrnice) .............. 24

4.6.3.3

PĜedání je nezbytné pro uzavĜení nebo splnČní smlouvy, která byla uzavĜena nebo která má být uzavĜena v zájmu subjektu údajĤ mezi správcem a tĜetí osobou (þl. 26 odst. 1 písm. c) smČrnice) .................. 25

4.6.3.4

PĜedání je nezbytné nebo se stává právnČ závazným pro zachování dĤležitého veĜejného zájmu nebo pro zjištČní, výkon nebo obranu právních nárokĤ pĜed soudem (þl. 26 odst. 1 písm. d) smČrnice) ......................... 25

4.6.3.5

PĜedání je nezbytné pro ochranu životnČ dĤležitých zájmĤ subjektu údajĤ (þl. 26 odst. 1 písm. e) smČrnice) ........................................................................... 26

ZjištČní............................................................................................... 26

5.

ZÁVċRY:.................................................................................................................. 27

6.

OPATěENÍ, KTERÁ JE TěEBA BEZODKLADNċ PěIJMOUT PRO ZLEPŠENÍ SOUýASNÉHO STAVU: ..................................................................... 28

5


Strana 2600

PRACOVNÍ SKUPINA PRO OCHRANU FYZICKÝCH SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJģ

OSOB

V

zĜízená smČrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. Ĝíjna 19951,

s ohledem na þlánek 29 a þl. 30 odst. 1 písm. a) a odstavec 3 uvedené smČrnice, s ohledem na její jednací Ĝád, a zejména na þlánky 12 a 14 uvedené smČrnice, pĜijala toto stanovisko:

1.

SOUVISLOSTI

Nezávislé orgány dozoru pro ochranu údajĤ v Evropské unii2 posuzují závažnou otázku týkající se rozsáhlého pĜedávání finanþních údajĤ spoleþností se sídlem v Evropské unii (SWIFT) orgánĤm Spojených státĤ amerických. Podrobnosti a podmínky tohoto pĜedávání, zejména zpracování osobních údajĤ týkajících se fyzických osob v EvropČ, vyvolaly znepokojení orgánĤ pro ochranu údajĤ, které spojily své úsilí pĜi šetĜení toku údajĤ a analýze jeho shody s evropskými zásadami soukromí, zejména se smČrnicí o ochranČ údajĤ (dále jen „smČrnice“). 1.1

Sled událostí

Pozornost tisku ve sdČlovacích prostĜedcích v EvropČ a ve Spojených státech koncem þervna a zaþátkem þervence 2006 zpochybnila úlohu a odpovČdnosti Spoleþnosti pro celosvČtovou mezibankovní finanþní komunikaci (Society for Worldwide Interbank Financial Telecommunication, dále jen „SWIFT“) v souvislosti s pĜedáním osobních údajĤ ÚĜadu pro Ĝízení zahraniþních aktiv (Office of Foreign Assets Control (OFAC)) Ministerstva financí Spojených státĤ amerických. SWIFT je družstvo se sídlem v Belgii, které pĤsobí v oblasti zpracování finanþních zpráv. Ukázalo se, že osobní údaje shromažćované a zpracovávané prostĜednictvím sítČ SWIFT pro mezinárodní penČžní pĜevody pomocí identifikaþního kódu banky (dále jen „BIC kód“) nebo „SWIFT“ kódu byly poskytovány Ministerstvu financí USA od konce roku 2001 na základČ úĜedních obsílek podle amerického práva pro úþely vyšetĜování terorismu.

1

ÚĜední vČstník þ. L 281 ze dne 23.11.1995, s. 31, k dispozici na webové stránce http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm

2

Vedle orgánĤ Evropské unie zahájily šetĜení této otázky další orgány dozoru pro ochranu údajĤ: Austrálie, Kanada, Nový Zéland, Švýcarsko, Island.

6


Strana 2601

Na základČ pozornosti tisku vydala spoleþnost SWIFT první prohlášení3 dne 23. þervna 2006. SWIFT je podle jejího tiskového prohlášení „družstvo vlastnČné prĤmyslem“, které poskytuje bezpeþené, standardizované služby pĜenosu zpráv a komunikaþní software více než 7 800 finanþním institucím na celém svČtČ.“ Evropská komise se rozhodla, že bude tento pĜípad pozornČ sledovat a v þervenci 2006 požádala belgické orgány o informace o podmínkách, za kterých SWIFT zpracovává osobní údaje, a zda dodržuje belgické právní pĜedpisy pro ochranu údajĤ, kterými se provádí smČrnice. Komise s þlenskými státy také ovČĜuje, zda banky využívající SWIFT k provádČní platebních pĜíkazĤ dodržují vnitrostátní právní pĜedpisy pro ochranu údajĤ, pokud jde o zpracování osobních údajĤ týkajících se tČchto plateb. Rozhodnutím ze dne 6. þervence 20064 Evropský parlament vyzval þlenské státy k tomu, aby zajistily, že na vnitrostátní úrovni nebude právní vakuum a že se právní pĜedpisy Spoleþenství pro ochranu údajĤ budou vztahovat také na centrální banky, a aby tento stav ovČĜily. Evropský parlament vyjádĜil v tomto rozhodnutí také vážné obavy ohlednČ úþelĤ pĜedávání údajĤ Ministerstvu financí USA. Také dĤraznČ odmítl „jakékoli tajné operace na území Evropské unie“, které ovlivĖují soukromí obþanĤ Evropské unie. Dále prohlásil, že je hluboce znepokojen tím, že by se takové operace mČly uskuteþĖovat bez vyrozumČní obþanĤ Evropy a jejich parlamentních zastoupení. KoneþnČ vybídl Spojené státy americké a jejich tajné a bezpeþnostní služby, aby jednaly v duchu dobré spolupráce a informovaly své spojence o veškerých bezpeþnostních operacích, které hodlají uskuteþnit na území Evropské unie. Byla nastolena otázka možnosti pĜedávání spojeného s „nezákonnými þinnostmi“, ale i pĜedávání „informací o hospodáĜských þinnostech dotþených osob a zemí“, které „by mohlo vést k celé ĜadČ forem ekonomické a prĤmyslové špionáže“. Rozhodnutí požadovalo, aby þlenské státy pĜedávaly výsledky jejich ovČĜení Evropské komisi, RadČ a Evropskému parlamentu. PĜedseda pracovní skupiny zĜízené podle þlánku 29 oznámil dne 27. þervence 2006, že se evropské orgány pro ochranu údajĤ rozhodly své þinnosti koordinovat. Na pĜíštím zasedání dne 26. a 27. záĜí 2006 uspoĜádala pracovní skupina zĜízená podle þlánku 29 první plenární rozpravu.5 Na veĜejném slyšení uspoĜádaném dne 4. Ĝíjna 2006 Výborem pro obþanské svobody Evropského parlamentu a Výborem pro hospodáĜské a mČnové záležitosti Evropského parlamentu byla tato otázka, mimo další úþastníky, projednána s vrchním finanþním úĜedníkem spoleþnosti SWIFT a s Evropskou centrální bankou6.

3

„Prohlášení spoleþnosti SWIFT o politice http://www.swift.com/index.cfm?item_id=59897

4

Rozhodnutí Evropského parlamentu o zachycování údajĤ o bankovních pĜevodech ze systému SWIFT tajnými službami USA (P6_TA-PROV(2006)0317)

5

Tisková sdČlení pracovní skupiny zĜízené podle þlánku 29: Tiskové sdČlení pracovní skupiny zĜízené podle þlánku 29 ve vČci Swift ze dne 28. þervence 2006: http://ec.europa.eu/justice_home/fsj/privacy/news/docs/PR_SWIFT_Affair_28_07_06_en.pdf; Tiskové prohlášení ve vČci SWIFT ze dne 27. záĜí 2006;

souladu“

uveĜejnČné

na

webové

http://ec.europa.eu/justice_home/fsj/privacy/news/docs/PR_Swift_Affair_26_09_06_en.pdf . 6

Plné znČní veĜejného slyšení lze najít na webové stránce http://www.europarl.europa.eu/news/expert/infopress_page/017-11292-275-10-40-90220061002IPR11291-02-10-2006-2006-false/default_en.htm 7 7

stránce


Strana 2602

Evropský inspektor ochrany údajĤ pĜedložil nČkolik úvodních pĜipomínek ke svému šetĜení úlohy Evropské centrální banky (ECB) podle naĜízení (ES) 45/2001.7 Na vnitrostátní úrovni kontaktovaly orgány dozoru pro ochranu údajĤ své pĜíslušné bankovní organizace. Belgický orgán pro ochranu údajĤ provedl šetĜení zákonnosti zpracovávání údajĤ spoleþností SWIFT. Belgický orgán pro ochranu údajĤ navázal v prĤbČhu tohoto šetĜení pĜímý kontakt se spoleþností SWIFT za úþelem stanovení jak pĤsobnosti, tak i rozsahu sledování a pĜedávání údajĤ. Belgický orgán pro ochranu údajĤ stanovil ve svém rozhodnutí ze dne 27. záĜí 2006, že pĜedávání osobních údajĤ spoleþností SWIFT do její americké poboþky je v rozporu s belgickým zákonem ze dne 8. prosince 1992 o ochranČ soukromí v souvislosti se zpracováním údajĤ osobní povahy8. Belgický orgán pro ochranu údajĤ pĜedevším zjistil, že SWIFT porušila základní ustanovení o povinnostech poskytování informací, omezení úþelu zpracování údajĤ a pĜedávání osobních údajĤ do tĜetích zemí. Belgický orgán pro ochranu údajĤ zjistil, že se SWIFT dopouštČla „skrytého, soustavného, rozsáhlého a dlouhodobého porušování základních evropských zásad týkajících se ochrany údajĤ“. Na základČ informací shromáždČných bČhem tČchto šetĜení chce pracovní skupina analyzovat, jak SWIFT dodržuje zásady ochrany údajĤ, které jsou obsaženy ve smČrnici a uskuteþĖovány ve všech þlenských státech podle vnitrostátních právních pĜedpisĤ pro ochranu údajĤ se širokým rozsahem pĤsobnosti. SWIFT zaslala pĜedsedovi pracovní skupiny zĜízené podle þlánku 29 kopii svých odpovČdí orgánĤm pro ochranu údajĤ Belgie, ŠpanČlska a Francie9. 1.2

Fakta 1.2.1

Zpracování údajĤ spoleþností SWIFT v þíslech

SWIFT zpracuje prĤmČrnČ 12 milionĤ zpráv za den10. Celkový objem zpracovaných zpráv þinil napĜ. v roce 2005 až 2,5 miliardy zpráv, z nichž 1,6 miliardy byly pro Evropu a 467 milionĤ pro Ameriku. Informace zpracované spoleþností SWIFT se týkají zpráv o finanþních transakcích stovek tisíc obþanĤ Evropské unie. Evropské finanþní instituce (bez omezení na banky) využívají službu SWIFTNet FIN k celosvČtovému pĜenosu zpráv v souvislosti s finanþními pĜevody mezi finanþními institucemi. Tento pĜenos se uskuteþĖuje bez ohledu na to, zda jsou zprávy zpracovány v Evropské unii (EU) a v Evropském hospodáĜském prostoru (EHP) nebo ve tĜetí zemi.

7

http://www.edps.europa.eu/Press/EDPS-2006-10-EN%20swift.pdf

8

http://www.privacycommission.be/communiqu%E9s/AV37-2006.pdf

9

Dopis spoleþnosti SWIFT pĜedsedovi pracovní skupiny zĜízené podle þlánku 29 ze dne 31. þervence 2006.

10

Výroþní zpráva spoleþnosti SWIFT 2005; http://www.swift.com/index.cfm?item_id=59684 . 8 8

k

dispozici

na

webové

stránce


Strana 2603

1.2.2 Kategorie zpracovávaných údajĤ Zprávy pĜenášené prostĜednictvím služby SWIFTNet FIN obsahují osobní údaje, jako jsou jména pĜíjemce a pĜíkazce. Zprávy týkající se plateb však mohou obsahovat více informací, napĜíklad referenþní þíslo umožĖující plátci a pĜíjemci urovnat platbu pomocí jejich náležitých úþetních dokladĤ. NČkteré druhy zpráv kromČ toho umožĖují zahrnout nestrukturované textové informace. NehledČ na obchodní místa v rĤzných zemích má SWIFT dvČ operaþní stĜediska umístČná v poboþkách SWIFT, jedno v jednom þlenském státČ Evropské unie a jedno ve Spojených státech amerických. V tČchto operaþních stĜediscích jsou jako souþást služby SWIFTNet FIN všechny zprávy zpracované spoleþností SWIFT uchovávány a zrcadleny po dobu 124 dní jako „záložní nástroj pro obnovu“ pro klienty pro pĜípad sporĤ mezi finanþními institucemi nebo ztráty údajĤ. Po tomto období jsou údaje vymazány. 1.2.3

ÚĜední obsílky od Ministerstva financí USA

Od teroristických útokĤ v záĜí 2001 adresovalo Ministerstvo financí USA Ĝadu správních úĜedních obsílek operaþnímu stĜedisku SWIFT ve Spojených státech amerických. SWIFT na dotaz uvedla, že od Ministerstva financí USA dosud obdržela 64 úĜedních obsílek a že jim vyhovČla. Podle práva USA se správní úĜední obsílkou rozumí pĜíkaz od vládního úĜedníka tĜetí osobČ, který pĜíjemci naĜizuje poskytnout nČkteré informace.11 Oblast úĜedních obsílek Ministerstva financí USA je v tomto pĜípadČ vČcnČ, územnČ i þasovČ velmi široká a je blíže urþena v úĜedních obsílkách a v korespondenci o jednáních mezi Ministerstvem financí USA a spoleþností SWIFT. Tyto úĜední obsílky jsou vydávány pro veškeré transakce, které souvisejí nebo mohou souviset s terorismem, vztahují se na poþet zemí a jurisdikcí x, na den y nebo na lhĤty „od … do …“ v rozsahu od jednoho týdne do nČkolika týdnĤ, na území USA i mimo nČj. Týkají se zpráv o mezibankovních operacích v rámci USA, smČĜujících do/z USA a také zpráv z území mimo USA, napĜíklad zpráv v rámci Evropské unie.12 SWIFT uzavĜela soukromČ dohodu s Ministerstvem financí USA o tom, jak vyhovČt úĜedním obsílkám. SWIFT tvrdí, že tak obdržela „významnou ochranu a záruky ohlednČ úþelu, dĤvČrnosti, dohledu a kontroly nad omezenými soubory údajĤ poskytnutými na základČ úĜedních obsílek“ 13. Podle zjištČní belgického orgánu pro ochranu údajĤ zajišĢuje skuteþné sdČlování osobních údajĤ Ministerstvu financí USA operaþní stĜedisko SWIFT v USA v nČkolika

11

Jednání pĜed soudním výborem, podvýborem pro terorismus, technologii a vnitĜní bezpeþnost Spojených státĤ amerických: „Nástroje pro boj proti terorismu: Orgán pro úĜední obsílky a pĜedbČžné zadržení teroristĤ“, svČdectví Rachel Brandové, Principal Deputy Assistant Attorney General, ÚĜad pro soudní politiku, Ministerstvo spravedlnosti USA, dne 22. þervna 2004; http://kyl.senate.gov/legis_center/subdocs/062204_brand.pdf

12

Srovnej stanovisko belgického orgánu pro ochranu údajĤ, B.2 (neoficiální pĜeklad do angliþtiny), poznámka pod þarou 8.

13

„Prohlášení spoleþnosti SWIFT o politice http://www.swift.com/index.cfm?item_id=59897. 9 9

souladu“

uveĜejnČné

na

webové

stránce


Strana 2604

krocích. Neprovádí se pĜímá extrakce individualizovaných údajĤ zrcadlených v databance spoleþnosti SWIFT, nýbrž SWIFT místo toho dohodla koncept „þerné skĜíĖky“ s Ministerstvem financí USA, které povolilo pĜedávání údajĤ ze zrcadlené databáze SWIFT do „þerné skĜíĖky“. Jakmile jsou údaje v „þerné skĜíĖce“, která je vlastnictvím Spojených státĤ amerických, provede Ministerstvo financí USA expertní vyhledávání. Další podrobnosti o sdČlování osobních údajĤ Ministerstvu financí USA byly sdČleny belgickému orgánu pro ochranu údajĤ a lze je najít v jeho stanovisku14. 2.

PLATNÝ RÁMEC PRO OCHRANU ÚDAJģ 2.1

Použitelnost smČrnice 95/46/ES

Protože jsou osobní údaje obsaženy ve zprávách pĜenášených prostĜednictvím služby SWIFTNet FIN, má pracovní skupina za to, že se smČrnice vztahuje na zpracovávání osobních údajĤ prostĜednictvím služby SWIFTNet FIN. Pracovní skupina zdĤrazĖuje, že skuteþnost, že zpracovávání osobních údajĤ souvisí s poskytováním služby, není pro urþení funkce subjektu jako správce údajĤ relevantní. Definice „zpracování osobních údajĤ“ a „osobních údajĤ“ jsou jasnČ vymezeny v þlánku 2 smČrnice. Pokud þinnosti vykonávané subjektem spadají pod tyto definice, vztahuje se na nČ uvedená smČrnice, a proto se zpracování údajĤ provede v plném souladu se smČrnicí. 2.2

Právo použitelné pro SWIFT

ýl. 4 odst. 1 písm. a) smČrnice uvádí, že každý þlenský stát použije na zpracování osobních údajĤ vnitrostátní ustanovení, která pĜijme na základČ smČrnice, pokud „(…) zpracování je provádČno v rámci þinností provozovny správce na území þlenského státu“. SWIFT má ústĜedí v La Hulpe v Belgii. SWIFT má také dvČ operaþní stĜediska (jedno v EvropČ a jedno ve Spojených státech amerických, která pĤsobí jako dokonalý „zrcadlový obraz“. KromČ toho má SWIFT nČkolik obchodních míst ve Spojeném království, ve Francii, v NČmecku, v Itálii, ve ŠpanČlsku atd. ÚstĜedí se sídlem v Belgii pĜijalo dĤležitá rozhodnutí o zpracovávání osobních údajĤ a pĜedávání údajĤ Ministerstvu financí USA. Zpracování osobních údajĤ spoleþností SWIFT proto podléhá belgickým právním pĜedpisĤm, kterými se provádí smČrnice, bez ohledu na to, kde se údaje zpracovávají. 2.3

Právo použitelné pro finanþní instituce

V souvislosti se zpracováním je pro finanþní instituce využívající služby SWIFT k jejich mezinárodním platebním pĜíkazĤm, které lze pokládat za správce, stanoveno použitelné vnitrostátní právo v þl. 4 odst. 1 písm. a) smČrnice a pokud jde o instituce a orgány

14

Viz. poznámka pod þarou 8. 10 10


Strana 2605

Spoleþenství, pak v þlánku 3 naĜízení (ES) 45/200115. To znamená, že v pĜípadČ finanþních institucí jsou použitelné rĤzné – i když harmonizované – právní pĜedpisy. Pracovní skupina zdĤrazĖuje, že protože jsou osobní údaje zpracovávány pĜi finanþních transakcích týkajících se stovek tisíc obþanĤ prostĜednictvím institucí se sídlem v Evropské unii (družstvo SWIFT, jakož i finanþní instituce využívající službu SWIFTNet FIN), jsou použitelné vnitrostátní právní pĜedpisy pro ochranu údajĤ – pĜijaté na základČ pĜedpisĤ provádČjících smČrnici – rĤzných dotþených þlenských státĤ. 3.

ÚLOHA SPOLEýNOSTI SWIFT A FINANýNÍCH INSTITUCÍ

Podle smČrnice musí správce zajistit, aby byly dodržovány povinnosti související se zpracováním osobních údajĤ. Otázkou je, zda SWIFT a/nebo finanþní instituce mají být považovány za správce nebo zpracovatele údajĤ. Podle definicí smČrnice se „správcem“ rozumí „fyzická nebo právnická osoba, orgán veĜejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo spoleþnČ s jinými urþuje úþel a prostĜedky zpracování osobních údajĤ“ (þl. 2 písm. d)); „zpracovatelem“ se rozumí „fyzická nebo právnická osoba, orgán veĜejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje pro správce“ (þl. 2 písm. e)). 3.1

Úloha spoleþnosti SWIFT

SWIFT se vždy prezentovala jako „pouze zprostĜedkovatel zpracování zpráv pro pĜenos zabezpeþených a dĤvČrných finanþních zpráv mezi finanþními institucemi. SWIFT není banka, ani nevede úþty pro klienty.“ Tato prezentace byla také základem pro posuzování, která provádČly nČkteré orgány pro ochranu údajĤ v þlenských státech pĜi schvalování zpracování údajĤ jejich bankami. Struktura mezinárodní služby SWIFT a smluvní ujednání mezi spoleþností SWIFT a finanþními institucemi jsou pomČrnČ složité. Pracovní skupina však upozorĖuje na to, že tento typ struktury vþetnČ úlohy poskytovatele služeb spolupracujícího s dalšími subjekty není výjimeþný. Zdá se, že struktura spoleþnosti SWIFT je pĜíkladem formální kooperativní sítČ. Spoleþnost SWIFT byla zĜízena v roce 1973 skupinou evropských bank, která chtČla vyvinout nový zpĤsob zasílání platebních pĜíkazĤ korespondentským bankám standardizovaným zpĤsobem. Pro tento úþel byla podle belgického práva zĜízena družstevní spoleþnost s ruþením omezeným. Pracovní skupina poukazuje na podobné pĜípady kooperativních sítí, jako je pĜípad databází ukonþených vztahĤ s obchodníky („Terminated Merchant Databases“), které provozují VISA a Mastercard ve spolupráci s finanþními institucemi za úþelem analýzy rizik spojených s pĜijetím každého jednotlivého obchodníka do systému VISA nebo

15

NaĜízení Evropského parlamentu a Rady (ES) þ. 45/2001 ze dne 18. prosince 2000 o ochranČ fyzických osob v souvislosti se zpracováním osobních údajĤ orgány a institucemi Spoleþenství a o volném pohybu tČchto údajĤ; ÚĜ. vČst. L 8, 12.1.2001, s. 1. 11 11


Strana 2606

Mastercard16. Pracovní skupina se také zmiĖuje o pĜípadech zúþtování a vypoĜádání transakþních systémĤ a systémĤ rezervací pro cestující, kdy cestovní agentury a letecké spoleþnosti na jedné stranČ a manažeĜi tČchto systémĤ (napĜíklad Galileo) na stranČ druhé mají rĤzné odpovČdnosti. Nezávisle na smluvním vztahu mezi spoleþností SWIFT a finanþními institucemi podle obþanského nebo obchodního práva, které mĤže zahrnovat výraz „subdodavatel“, z hlediska ochrany údajĤ, není SWIFT pouhým „subdodavatelem“ nebo zpracovatelem ve smyslu þlánku 2 smČrnice pro bČžné zpracování osobních údajĤ k jejich obvyklému obchodnímu úþelu. Fakta svČdþí o tom, že se SWIFT v posledních nČkolika desetiletích rozvíjela a že dČlá více než jen jedná v zájmu svých klientĤ. I kdybychom se jen chvilku domnívali, že SWIFT jednala jako „zpracovatel“, pĜece jen pĜevzala urþité odpovČdnosti pĜesahující soubor požadavkĤ a povinností kladených na zpracovatele, což nelze pokládat za sluþitelné s jejím tvrzením, že je jen „zpracovatelem“.17 Vedení spoleþnosti SWIFT pĤsobí v kontextu formální kooperativní sítČ, která urþuje jak úþel, tak i prostĜedky zpracování údajĤ v rámci služby SWIFTNet a osobní údaje, které se prostĜednictvím této služby zpracovávají. Vedení spoleþnosti SWIFT rozhoduje nezávisle o úrovni informací poskytovaných finanþním institucím v souvislosti se zpracováním. Vedení spoleþnosti SWIFT mĤže stanovit úþel a prostĜedky zpracování prostĜednictvím vývoje, marketingu a zmČn stávajících nebo nových služeb spoleþnosti SWIFT a zpracování údajĤ, napĜ. stanovením norem vztahujících se na její klienty, co se týþe formy a obsahu platebních pĜíkazĤ, aniž by si vyžádala souhlas finanþních institucí. SWIFT také vytváĜí pĜidanou hodnotu za zpracování osobních údajĤ, napĜ. uchovávání a ovČĜování správnosti osobních údajĤ a ochranu osobních údajĤ s vysokou úrovní zabezpeþení. Vedení spoleþnosti SWIFT má pravomoc pĜijímat dĤležitá rozhodnutí v souvislosti se zpracováním, napĜ. o úrovni zabezpeþení a umístČní jejích operaþních stĜedisek. Vedení spoleþnosti SWIFT koneþnČ zcela nezávisle sjednává a vypovídá své dohody o službách a navrhuje a provádí zmČny svých rĤzných smluvních dokumentĤ a politik18. Vše, co bylo uvedeno výše, naplĖuje skutkový a právní význam pojmu zpracování. Pokud jde o pĜedávání osobních údajĤ Ministerstvu financí USA, rozhodla se SWIFT vyhovČt úĜedním obsílkám USA. ProstĜednictvím korespondence a uklidĖujícího dopisu iniciovala neprĤhledným zpĤsobem jednání s Ministerstvem financí USA o podmínkách pro pĜedávání osobních údajĤ Ministerstvu financí USA. VČdomČ se rozhodla, že o tomto jednání nebude informovat pĜíslušné finanþní instituce. Kontrolní mechanismy získané a Ĝízené spoleþností SWIFT samozĜejmČ ovlivnily úþel a rozsah pĜedávání údajĤ Ministerstvu financí USA. Tyto þinnosti znaþnČ pĜesahují obvyklé možnosti zpracovatele údajĤ se zĜetelem na jeho pĜedpokládanou nesamostatnost ve vztahu k pĜíkazĤm správce údajĤ.

16

Viz. napĜ. pokyny „Guidelines for Terminated Merchant Databases“ pracovní skupiny zĜízené podle þlánku 29; k dispozici na webové stránce: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2005-01-11-fraudprevention_en.pdf.

17

Zpracovatelé údajĤ musí v každém pĜípadČ dodržet smČrnici, viz. napĜ. þl. 17 odst. 3 týkající se bezpeþnostních opatĜení.

18

Srovnej ustanovení 4.5.3 obecných podmínek, které uvádí: „má se za to, že klient dal souhlas k takovému zpracování…“.

12 12


Strana 2607

Zatímco se SWIFT prezentuje jako zpracovatel údajĤ, a nČkteré skuteþnosti mohou naznaþovat, že SWIFT v minulosti pĤsobila v nČkterých pĜípadech jako zpracovatel pro finanþní instituce, zastává pracovní skupina po uvážení úþinného manévrovacího prostoru, který má v situacích popsaných výše, stanovisko, že SWIFT je správcem podle definice uvedené v þl. 2 písm. d) smČrnice, jak co se týþe bČžného zpracování osobních údajĤ prostĜednictvím její služby SWIFTNet, tak i dalšího zpracování prostĜednictvím dalšího pĜedávání osobních údajĤ Ministerstvu financí USA. 3.2

Úloha finanþních institucí

Je nutno posoudit úlohu finanþních institucí pĜi používání služby SWIFTNet FIN. NČkteré finanþní instituce nebyly spoleþností SWIFT plnČ informovány o objemu a pĜesných charakteristikách zpracování a zrcadlení osobních údajĤ, vþetnČ dalšího pĜedávání zrcadlených osobních údajĤ Ministerstvu financí USA. Po zjištČní tČchto skuteþností od 23. þervna 2006 si však všechny finanþní instituce uvČdomují tyto okolnosti, když zasílají osobní údaje prostĜednictvím služby SWIFTNet FIN k úþelu mezinárodních penČžních pĜevodĤ. Má se za to a oþekává se, že si finanþní instituce podrží urþitý vliv na politiku družstva. NČkteré finanþní instituce jsou zastoupeny v pĜedstavenstvu spoleþnosti SWIFT a souþasná struktura Ĝízení spoleþnosti SWIFT byla pĤvodnČ vytvoĜena tak, aby umožĖovala bankám a finanþním institucím ponechat si urþitou kontrolu nad rozhodovacími procesy spoleþnosti SWIFT. Proto by tyto instituce mČly být považovány za spolupĤsobící s družstvem, jehož þleny jsou, pĜi urþování úþelu a prostĜedkĤ. Jsou také v pĜímém styku s dotþenými fyzickými osobami a hrají zásadní úlohu pĜi provádČní mezinárodních platebních pĜíkazĤ svých klientĤ. Je také dĤležité mít na pamČti, že finanþní instituce jsou samostatné a mohou sledovat vlastní cíle na mezibankovní úrovni. Pracovní skupina podotýká, že finanþní instituce þasto pĜijímají v rámci mezibankovního styku velmi dĤležitá rozhodnutí o pĜedávání osobních údajĤ spoleþnosti SWIFT, mnohdy bez vČdomí jejich klientĤ. Dokládají to tyto prvky: x

Finanþní instituce þasto nezávisle rozhodují na mezibankovní úrovni o prostĜedcích používaných pĜi provádČní platebních pĜíkazĤ. Mohou používat nebo vyvíjet alternativní nebo konkurenþní služby pro pĜenos tČchto finanþních zpráv v rámci mezibankovního systému (napĜ. elektronickou poštu, telefax, telefon). VýbČr na této úrovni bude urþovat globální parametry ochrany soukromí, pokud jde o platební pĜíkazy provádČné finanþními institucemi. Vzhledem k rozmanitosti služeb na mezibankovní úrovni se finanþní instituce pĜi výbČru mezibankovní služby mohou Ĝídit hledisky jinými než je bezpeþnost informací – která je podmínkou samozĜejmČ vždy – napĜíklad politikou profesionálního poskytovatele služeb v oblasti ochrany soukromí. Finanþní instituce mohou využít buć politiku pĜísné ochrany soukromí konkrétního poskytovatele, nebo Ĝešení, jako je virtuální privátní síĢ, jako záruku ochrany dĤvČry jejich klientĤ a jejich služeb v nejvyšší možné míĜe.

13 13


Strana 2608

x

Finanþní instituce dodržují a akceptují smluvní rámec služby SWIFTNet FIN19. Ze smluvní dokumentace (Data Retrieval Policy20) a politiky souladu SWIFT jsou si zákazníci spoleþnosti SWIFT vČdomi obecné zásady pĜedávání osobních údajĤ podléhajích úĜedním obsílkám, které jsou jim nebo spoleþnosti SWIFT doruþovány. Podle stanoviska belgického orgánu pro ochranu údajĤ argumentovala spoleþnost SWIFT tím, že se mohlo jednat o tisíce nebo dokonce desítky tisíc úĜedních obsílek zaslaných finanþním institucím za rok. Proto lze pochybovat o tom, že by si finanþní instituce pĤsobící na trhu mezinárodních plateb nebyly vČdomy obecné zásady úĜední obsílky.

x

Finanþní instituce musí posoudit možné dĤsledky a rizika pro ochranu soukromí, vþetnČ rizik porušení ochrany soukromí jejich klientĤ v souvislosti se službou SWIFTNet FIN, ke které se jako profesionální poskytovatel služeb smluvnČ zavazují. Proto je dĤležité provČĜit, zda politika instituce pĜíkazce týkající se ochrany soukromí obsahuje doložky o tČchto rizicích.

x

Vzhledem ke skuteþnosti, že finanþní instituce jednají jménem svých klientĤ dávajících platební pĜíkazy, nesmČjí pĜedávat nutné údaje k jiným úþelĤm než výhradnČ k pĜevodu plateb. Je-li finanþní instituci známo, že SWIFT užívá údaje jí svČĜené i jinak než výhradnČ k pĜevodu plateb, a pĜesto i nadále využívá služeb spoleþnosti SWIFT, je nutno nastolit otázku právního základu takového pĜevodu a použití: neexistuje-li zvláštní dohoda mezi finanþní institucí a jejími klienty, nejeví se svČĜení bankovních údajĤ spoleþnosti SWIFT k jiným úþelĤm než pouze k uznané službČ jako oprávnČné.

Finanþní instituce proto nejsou pouhými správci ve smyslu þl. 2 písm. d) smČrnice, co se týþe jejich vlastních zpracování údajĤ, nýbrž nesou urþitou odpovČdnost také v souvislosti se zpracováním údajĤ spoleþností SWIFT. Skuteþnost, že se struktura Ĝízení družstva SWIFT v prĤbČhu þasu patrnČ vyvinula do stádia, kdy by se Ĝízení SWIFT stalo nezávislejším než bylo pĤvodnČ zamýšleno, nebrání jeho zakladatelĤm, tj. finanþním institucím, ponechat si své oprávnČní jako správci údajĤ ve smyslu smČrnice. Na základČ výše uvedeného má pracovní skupina za to, že stanovisko, že existuje spoleþná odpovČdnost finanþních institucí a družstva SWIFT, v nČmž jsou zastoupeny, za zpracování osobních údajĤ prostĜednictvím služby SWIFTNet FIN, je podpoĜeno dostateþnými skuteþnostmi. Spoleþná odpovČdnost však nutnČ neznamená stejnou odpovČdnost. Zatímco SWIFT nese hlavní odpovČdnost za zpracování osobních údajĤ prostĜednictvím služby SWIFTNet FIN, nesou finanþní instituce jistou odpovČdnost také za zpracování osobních údajĤ svých klientĤ touto službou.

19

Souþástí smluvní dokumentace je „Uživatelská pĜíruþka spoleþnosti SWIFT“, která obsahuje standardizované typy zpráv, které je tĜeba používat.

20

Kde je stanoveno: „Aby se vylouþily všechny pochybnosti, nic z této politiky, nebo obecnČji ze závazku dĤvČrnosti spoleþnosti SWIFT vĤþi svým klientĤm, nelze vyložit jako bránČní spoleþnosti SWIFT v získávání, užívání nebo uveĜejĖování údajĤ o platebním styku nebo údajĤ zpráv, jak je dĤvodnČ nezbytné pro vyhovČní úĜední obsílce v dobré víĜe nebo jinému zákonnému postupu soudu nebo jiného pĜíslušného orgánu.“ Srovnej stanovisko belgického orgánu pro ochranu údajĤ, D.2, poznámka pod þarou 8. 14 14


3.3

Strana 2609

Úloha centrálních bank

SpoluodpovČdnost centrálních bank je nutno provČĜit s pĜihlédnutím k rĤzným úlohám, které hrají v souvislosti se spoleþností SWIFT a v souvislosti s dohledem v oblasti finanþních plateb. SWIFT pĜedevším podléhá spoleþnému dohledu centrálních bank skupiny deseti zemí (dále jen „skupina G-10“)21. Dohled se zamČĜuje v první ĜadČ na ovČĜení, že SWIFT má úþinné kontroly a postupy pro Ĝízení rizik, pokud jde o finanþní stabilitu a Ĝádnost finanþních infrastruktur. KromČ toho „pĜezkoumávají dohlížitelé postup spoleþnosti SWIFT pĜi odhalování a zmírĖování provozních rizik a mohou také posuzovat právní rizika, prĤhlednost opatĜení a politik klientských pĜístupĤ. Strategický smČr spoleþnosti SWIFT mĤže být projednán také s Radou a vrcholovým vedením“22. Hlavním nástrojem dohledu nad spoleþností SWIFT je vliv a tlak, který mĤže uplatnit dohlížecí orgán („pĜátelská domluva“). Dohlížitelé mohou sestavit doporuþení pro SWIFT; je však také zĜejmé, že dohled centrálních bank na SWIFT nezaruþuje SWIFTu žádné osvČdþení, schválení nebo oprávnČní. Ustanovení o zachování dĤvČrnosti neveĜejných informací jsou obsažena v memorandech o porozumČní mezi spoleþností SWIFT a centrálními bankami. Skupina G-10 byla v prĤbČhu roku 2002 informována o pĜedávání údajĤ orgánĤm Spojených státĤ amerických. Tato skupina však mČla za to, že tato otázka spadá mimo rámec pĤsobnosti její úlohy dozoru. Mnohé centrální banky kromČ toho považovaly memoranda o porozumČní týkající se dĤvČrnosti za pĜekážku pĜedložení této otázky pĜíslušným orgánĤm na vnitrostátní a evropské úrovni. Proto se skupina G-10 ani nezabývala dĤsledky týkajícími se ochrany údajĤ z pĜevodĤ orgánĤm USA, ani neinformovala pĜíslušné orgány, ani nevybídla SWIFT, aby tak uþinila. Mimoto prezident Evropské centrální banky (ECB) na veĜejném jednání v Evropském parlamentu uvedl, že centrální banky skupiny G-10 „nedaly spoleþnosti SWIFT souhlas ohlednČ jejího vyhovČní úĜedním obsílkám. Ve skuteþnosti jsme žádné takové oprávnČní dát nemohli, i kdybychom chtČli, protože to není v naší kompetenci. Proto je za svá rozhodnutí zodpovČdná výhradnČ spoleþnost SWIFT“. 23 Za druhé je nutno upozornit na to, že omezená úloha, kterou centrální banky v souþasné dobČ hrají pĜi dohledu nad spoleþností SWIFT, nevyluþuje, že také centrální banka mĤže být pokládána – jako kterákoli jiná finanþní instituce užívající službu SWIFTNet – za (spoleþného) správce, kdykoli vystupuje jako klient spoleþnosti SWIFT (viz. odstavec 3.2 výše), v pĜípadČ, že zpracovává osobní údaje pro úþel mezibankovních transakcí. V tomto ohledu skuteþnost, že nČkteré centrální banky byly informovány o pĜedávání

21

Skupinu G-10 tvoĜí Belgická národní banka, Kanadská banka, Deutsche Bundesbank (NČmecká spolková banka), Evropská centrální banka, Banque de France, Banca d' Italia, Japonská banka, De Nederlandsche Bank, Sveriges Riksbank, Švýcarská národní banka, Bank of England a Federal Reserve System (USA) zastoupená Federal Reserve Bank of New York a Board of Governors of the Federal Reserve System.

22

Financial Stability Review 2005, uveĜejnČno Belgickou národní bankou a k dispozici na její webové stránce www.nbb.be.

23

Jean-Claude Trichet: Prohlášení prezidenta ECB na veĜejném slyšení v Evropském parlamentu o zachycování údajĤ o bankovních pĜevodech ze systému SWIFT tajnými službami USA. 15 15


Strana 2610

údajĤ orgánĤm USA, by mohla být považována za relevantní pro urþení jejich odpovČdnosti jako uživatelĤ systému SWIFT. 4.

POSOUZENÍ SLUýITELNOSTI S PRAVIDLY OCHRANY ÚDAJģ 4.1

UplatnČní zásad (þlánek 6 smČrnice)

kvality

údajĤ

a

proporcionality

V souladu s þlánkem 6 smČrnice musejí být osobní údaje zpracovávány korektnČ a zákonným zpĤsobem;24 musejí být shromažćovány pro stanovené úþely, výslovnČ vyjádĜené a legitimní25 a nesmČjí být zpracovávány pro úþely nesluþitelné s pĤvodnČ stanovenými úþely, pro které byly shromažćovány. KromČ toho musí být zpracované údaje pĜimČĜené, podstatné a nepĜesahující míru s ohledem na úþely, pro které jsou shromažćovány a/nebo dále zpracovávány.26 Tato poslednČ zmiĖovaná pravidla se spoleþnČ oznaþují jako „zásada proporcionality“. KoneþnČ musí být pĜijata vhodná opatĜení, aby nepĜesné nebo neúplné údaje byly vymazány nebo opraveny.27 4.1.1

Obchodní úþel

Osobní údaje byly shromažćovány finanþními institucemi pouze pro úþel zpracovávání platebních pĜíkazĤ klientĤ a následnČ spoleþností SWIFT pro úþel provádČní služby SWIFTNet FIN (obchodní úþel). Tento obchodní úþel týkající se zpracování osobních údajĤ mĤže být proto považován za jediný stanovený, výslovnČ vyjádĜený a legitimní. Co se týþe pĜedávání osobních údajĤ do tĜetích zemí, viz. oddíl 4.6 níže. 4.1.2

Další zpracování pro nesluþitelné úþely

aa) Osobní údaje se nesmí zpracovávat pro úþely, které jsou nesluþitelné s pĤvodnČ stanoveným úþelem. Svým rozhodnutím zrcadlit všechna zpracování údajĤ v operaþním stĜedisku v USA se spoleþnost SWIFT dostala do pĜedvídatelné situace, kdy podléhá úĜedním obsílkám podle práva USA. V tomto pĜípadČ SWIFT obdržela úĜední obsílky vystavené Ministerstvem financí USA k úþelu údajného vyšetĜování pro podezĜení z terorismu. Tento další úþel se zcela liší od pĤvodnČ stanoveného úþelu jemu pĜíslušného zpracování osobních údajĤ a mĤže mít pĜímé dĤsledky pro fyzické osoby, jejichž osobní údaje se zpracovávají. Tento další úþel není sluþitelný s pĤvodnČ stanoveným, ryze obchodním úþelem, pro který byly osobní údaje shromažćovány.

24

ýl. 6 odst. 1 písm. a) smČrnice.

25

ýl. 6 odst. 1 písm. b) smČrnice.

26

ýl. 6 odst. 1 písm. c) smČrnice.

27

ýl. 6 odst. 1 písm. d) smČrnice. 16 16


Strana 2611

SWIFT si byla vČdoma tohoto dalšího úþelu. Vedení spoleþnosti SWIFT jej pĜijalo a spolupracovalo. SWIFT neupozornila na tento úþel ani uživatele jejích služeb, ani orgán dozoru pro ochranu údajĤ. bb) Bylo také zjištČno, že dochází k rozsáhlému pĜedávání údajĤ spoleþností SWIFT Ministerstvu financí USA bez úþinné možnosti kontroly individualizovaného charakteru požadovaných údajĤ. Podle spoleþnosti SWIFT by všechny finanþní zprávy mohly být potenciálnČ prozkoumány Ministerstvem financí USA pomocí systému „þerné skĜíĖky“. Tento systém umožĖuje Ministerstvu financí USA vyhledávat z „þerné skĜíĖky“ všechny zprávy – a v nich obsažené osobní údaje – které považuje za nutné. Pracovní skupina zdĤrazĖuje, že i pro úþely údajného vyšetĜování pro podezĜení z terorismu by mČly být spoleþností SWIFT pĜedávány pouze specifické a individualizované údaje pĜípad od pĜípadu, v plném souladu se zásadami ochrany údajĤ. Protože tomu tak není, není souþasná praxe pĜimČĜená, a proto porušuje þl. 6 odst. 1 písm. c) smČrnice. cc) ýlánek 13 stanoví, že „þlenské státy mohou pĜijmout legislativní opatĜení s cílem omezit rozsah povinností a práv uvedených v þl. 6 odst. 1 [jako zásada omezení úþelu], v þlánku 10, v þl. 11 odst. 1 [povinnost informovat subjekt údajĤ], a v þláncích 12 [právo na pĜístup] a 21 [zveĜejnČní zpracování], pokud toto omezení pĜedstavuje opatĜení nezbytné pro zajištČní [následující seznam dĤležitých veĜejných zájmĤ] c) veĜejné bezpeþnosti, d) pĜedcházení trestným þinĤm a jejich vyšetĜování, odhalování a stíhání [...]; f) kontrolní, inspekþní nebo regulaþní funkce vyplývající, i pouze pĜíležitostnČ, z výkonu veĜejné moci v pĜípadech uvedených v písmenech c), d) a e);“. Evropský soudní dvĤr do jisté míry vysvČtlil výklad tČchto ustanovení. Ve spojených vČcech C-465/00, C-138/01 a C-139/01 („Rechnungshof“) ze dne 20. kvČtna 2003 soud objasnil, že sdČlování údajĤ shromažćovaných pĤvodnČ pro „hospodáĜské“ úþely tĜetím stranám, vþetnČ orgánĤ veĜejné moci, „zakládá zásah ve smyslu þlánku 8 Evropské úmluvy o ochranČ lidských práv a základních svobod“. Výjimky ze zásady omezení úþelu stanovené ve smČrnici o ochranČ údajĤ musí kromČ toho splĖovat þlánek 13 uvedené smČrnice a musí být tedy „opodstatnČné z hlediska þlánku 8 úmluvy“ (Rechnungshof, C-465/00, § 68 a násl.). Aby byl zásah do práva na soukromí opodstatnČný podle Úmluvy, musí být uþinČn „v souladu s právními pĜedpisy“ a být „nezbytný v demokratické spoleþnosti“ pro úþel veĜejného zájmu. Štrasburská judikatura znovu pĜipomnČla, že zákon, kterým se stanoví zásah, „musí uvádČt rozsah každé takové diskreþní pravomoci pĜíslušných orgánĤ a zpĤsob jejího uplatĖování dostateþnČ jasnČ, s ohledem na legitimní cíl dotþeného opatĜení, aby jednotlivci mČli náležitou ochranu pĜed svévolí.“ TČchto ustanovení se však nelze dovolávat, protože SWIFT se v tČchto otázkách neĜídila belgickým právem.28

28

Stanovisko belgického orgánu pro ochranu údajĤ, srovnej poznámku pod þarou 8. 17 17


Strana 2612

dd) Pracovní skupina navíc poukazuje na existenci právních struktur na vládní úrovni. Pracovní skupina zdĤrazĖuje, že systémy by se mČly používat v souladu se zásadou zachování bankovního tajemství. V tomto ohledu odkazuje na 40+9 doporuþení Finanþního akþního výboru (FATF/GAFI), mezivládního orgánu založeného v roce 1989, jehož úþelem je vyvíjení a prosazování vnitrostátních a mezinárodních politik boje proti praní penČz a financování terorismu. Pracovní skupina také upozorĖuje na systém výmČny finanþních informací zavedený mezi pĜíslušnými vnitrostátními finanþními zpravodajskými buĖkami 96 zemí (Egmont Secure Web, ESW), koordinovaný sítí FinCEN ve Spojených státech amerických. V tomto rámci lze poskytovat finanþní informace žádající stranČ v souladu s vnitrostátními pravidly zemČ poskytující tyto informace. Pracovní skupina odkazuje také na stávající mechanismy spolupráce zĜízené nebo vyvinuté podle tĜetího pilíĜe (soudní a policejní spolupráce), a zejména podle mezinárodních dohod o vzájemné právní pomoci podepsaných dne 25. þervna 2003 mezi Spojenými státy americkými a Evropskou unií29 a, i když vzdálenČji, mezinárodní dohody o vydávání. I když tyto smlouvy nejsou dosud ratifikované, podle þlánku 18 VídeĖské úmluvy o smluvním právu30, stát je povinen zdržet se jednání, které by mohlo maĜit pĜedmČt a úþel smlouvy, jestliže podepsal smlouvu nebo vymČnil listiny tvoĜící smlouvu s výhradou ratifikace, dokud neoznámil úmysl, že se nehodlá stát její smluvní stranou. V dĤsledku rozhodnutí zrcadlit všechna zpracovávání údajĤ v operaþním stĜedisku USA se SWIFT dostala do pĜedvídatelné situace, kdy podléhá úĜedním obsílkám podle práva USA a zpĤsob zpracování osobních údajĤ se jeví jako obcházející již stávající struktury a mezinárodní dohody. Pracovní skupina má celkovČ za to, že zásady omezení úþelu a sluþitelnosti, proporcionality a nezbytnosti zpracovávaných osobních údajĤ nejsou dodržovány. 4.2

OprávnČnost (þlánek 7 smČrnice)

Aby bylo každé zpracování osobních údajĤ zákonné, musí být oprávnČné a musí splĖovat jeden z dĤvodĤ stanovených v þlánku 7 smČrnice. 4.2.1

Nezbytné pro splnČní smlouvy (þl. 7 písm. b) smČrnice)

SWIFT zpracovává osobní údaje obsažené ve zprávách prostĜednictvím služby SWIFTNet Fin pouze za úþelem provádČní platebních pĜíkazĤ svČĜených spoleþnosti SWIFT.

29

„Dohoda o vydávání mezi Evropskou unií a Spojenými státy americkými“ a „Dohoda o vzájemné právní pomoci mezi Evropskou unií a Spojenými státy americkými“. http://eur-lex.europa.eu/LexUriServ/site/en/oj/2003/l_181/l_18120030719en00270033.pdf a http://europa.eu.int/eurlex/pri/en/oj/dat/2003/l_181/l_18120030719en00340042.pdf#search=%22Agreement%20on%20mutu al%20legal%20assistance%20between%20the%20european%20union%22

30

VídeĖská úmluva o smluvním právu ze dne 23. kvČtna 1969. Spojené státy americké podepsaly tuto úmluvu. 18 18


Strana 2613

I kdyby však v této souvislosti mohlo být takové zpracování pro tento obchodní úþel pokládáno za nezbytné pro plnČní smlouvy mezi spoleþností SWIFT a dotþenými finanþními institucemi, není zpĤsob jeho provedení zrcadlením osobních údajĤ v operaþním stĜedisku v USA pĜijatelný z jiných dĤvodĤ uvedených v bodČ 4.6 níže. 4.2.2

Nezbytné pro splnČní právní povinnosti, které podléhá správce (þl. 7 písm. c) smČrnice)

Zpracování a zrcadlení by mohlo být nezbytné pro splnČní právní povinnosti, které podléhá správce. Spoleþnost SWIFT se sídlem v Belgii se ohlednČ tohoto konkrétního zpracování formálnČ nedovolávala právního základu v rámci belgického nebo evropského práva. Pracovní skupina dále podotýká, že belgické nebo evropské právo neukládá právní povinnost ohlednČ tohoto konkrétního zpracování údajĤ. Pracovní skupina kromČ toho již ve svém „stanovisku SOX“31 konstatovala, že „povinnost stanovenou zahraniþním zákonem nebo naĜízením (…) nelze oznaþit za právní povinnost, která by opravĖovala ke zpracování údajĤ v Evropské unii. Jakýkoli jiný výklad by usnadnil obcházení pravidel Evropské unie stanovených ve smČrnici zahraniþními pravidly“. Pracovní skupina má za to, že toto zdĤvodnČní plnČ platí také v tomto pĜípadČ. Proto nelze v tomto pĜípadČ použít þl. 7 písm. c) smČrnice pro odĤvodnČní zpracování a zrcadlení osobních údajĤ. 4.2.3

Nezbytné pro uskuteþnČní oprávnČného zájmu správce (þl. 7 písm. f) smČrnice)

Podle þl. 7 písm. f) smČrnice by zpracování a zrcadlení mohlo být nezbytné pro uskuteþnČní oprávnČných zájmĤ správce nebo tĜetí osoby þi osob, kterým jsou údaje sdČlovány, za podmínky, že nepĜevyšují zájem nebo základní práva a svobody subjektu údajĤ, které vyžadují ochranu podle þl. 1 odst. 1. Otázkou je, zda by mohl být þl. 7 písm. f) smČrnice použit k odĤvodnČní zpracování a zrcadlení, jehož dĤsledkem je to, že zpracování v operaþním stĜedisku ve Spojených státech amerických podléhají úĜedním obsílkám USA. Nelze popĜít, že spoleþnost SWIFT má oprávnČný zájem na tom, aby vyhovČla úĜedním obsílkám podle práva USA. Pokud by SWIFT tČmto úĜedním obsílkám nevyhovČla, podstupuje riziko uložení sankcí podle práva USA. Na druhé stranČ je také velmi dĤležité, aby byla nalezena a zachována „správná rovnováha“ mezi rizikem spoleþnosti SWIFT sankcionované Spojenými státy americkými za pĜípadné neuposlechnutí úĜedních obsílek a ochranou práv fyzických osob.

31

Stanovisko 1/2006 k uplatĖování pravidel Evropské unie pro ochranu údajĤ týkajících se interních systémĤ oznamování v oblastech úþetnictví, interních úþetních kontrol, revizních záležitostí, boje proti bankovní a finanþní trestné þinnosti. 19 19


Strana 2614

ýl. 7 písm. f) smČrnice požaduje, aby byla nastolena rovnováha mezi oprávnČným zájmem, který sleduje zpracování osobních údajĤ, a základními právy subjektĤ údajĤ. Tato kritéria rovnováhy zájmu by mČla brát v úvahu otázky proporcionality, subsidiarity, závažnosti údajných trestných þinĤ, které lze oznamovat, a dĤsledkĤ pro subjekty údajĤ. V souvislosti s rovnováhou kritéria zájmu bude nutno zavést také dostateþná ochranná opatĜení. PĜedevším þlánek 14 smČrnice stanoví, že je-li zpracování údajĤ založeno na þl. 7 písm. f), mají fyzické osoby právo vznést kdykoli z vážných a legitimních dĤvodĤ námitku proti zpracování osobních údajĤ, které se ho týkají. Spoleþnost SWIFT provádČla zpracovávání a zrcadlení jejích údajĤ „skrytČ, soustavnČ, rozsáhle a dlouhodobČ“32, aniž by specifikovala další nesluþitelný úþel v dobČ zpracování údajĤ a aniž by upozornila na tento úþel uživatele jejích služeb. Toto další zpracovávání a zrcadlení pro nesluþitelný úþel by mohlo mít dalekosáhlé dĤsledky pro každého jednotlivce. Pracovní skupina se proto domnívá, že zájmy týkající se základních práv a svobod þetných subjektĤ údajĤ pĜesahují zájem spoleþnosti SWIFT na tom, aby nebyla Spojenými státy americkými sankcionována za pĜípadné neuposlechnutí úĜedních obsílek.

4.3

Poskytování jasných a úplných informací o systému (þlánky 10 a 11 smČrnice)

Podle þlánkĤ 10 a 11 smČrnice je správce povinen informovat subjekty údajĤ o existenci, úþelu a fungování jeho zpracování údajĤ, pĜíjemcích osobních údajĤ a právu na pĜístup, opravu a výmaz subjektem údajĤ. Všichni klienti finanþních institucí, bez ohledu na jejich státní pĜíslušnost a zemi bydlištČ, mají právo vČdČt, co se s jejich „dĤvČrnými“ údaji stane. Pracovní skupina podotýká, že tyto informace týkající se zpracování a zrcadlení v operaþním stĜedisku USA nebyly poskytnuty ani spoleþností SWIFT, ani dotþenými finanþními institucemi. Podle þlánku 13 smČrnice mohou þlenské státy Evropské unie pĜijmout legislativní opatĜení s cílem omezit rozsah nČkterých povinností a práv uvedených ve smČrnici. Takové omezení musí pĜedstavovat opatĜení nezbytné pro zajištČní napĜ. pĜedcházení trestným þinĤm a jejich vyšetĜování, odhalování a stíhání nebo nedodržování deontologických pravidel pro regulovaná povolání pĜípad od pĜípadu a jen tehdy, jestliže je takový zásah opodstatnČný z hlediska þlánku 8 Úmluvy o ochranČ lidských práv. Taková celková, dlouhotrvající a rozsáhlá þinnost by však bez poskytovaných informací nebyla v souladu s þlánkem 13.

32



4.4

Strana 2615

SplnČní požadavkĤ na oznamování (þlánky 18 až 20 smČrnice)

Správci údajĤ musí splnit požadavky þlánkĤ 18 až 20 smČrnice o ochranČ údajĤ, pokud jde o oznamování jejich zpracovávání údajĤ vnitrostátním orgánĤm pro ochranu údajĤ nebo o pĜedbČžnou kontrolu tČmito orgány. V þlenských státech umožĖujících takový postup by zpracování mohla podléhat pĜedbČžné kontrole vnitrostátním orgánem pro ochranu údajĤ v rozsahu, v jakém tato zpracování pravdČpodobnČ pĜedstavují zvláštní riziko z hlediska práv a svobod subjektĤ údajĤ. Posouzení, zda se na tato zpracování vztahují požadavky na pĜedbČžnou kontrolu, závisí na vnitrostátních právních pĜedpisech a na zavedené praxi vnitrostátního orgánu pro ochranu údajĤ. Pracovní skupina podotýká, že spoleþnost SWIFT sice oznámila nČkteré druhy zpracování belgickému orgánu pro ochranu údajĤ33, ale neoznámila zpracování a zrcadlení v operaþním stĜedisku USA pro provádČní mezinárodních platebních pĜíkazĤ, ani další úþel. 4.5

Dohlížecí mechanismy

ZĜízení orgánĤ dozoru pro ochranu údajĤ v þlenských státech EU vykonávajících zcela nezávisle své úkoly je základním prvkem ochrany osob v souvislosti se zpracováním osobních údajĤ. Tato zásada úplné nezávislosti orgánu dozoru je stanovena v þlánku 28 smČrnice. Pro nedostatek informací poskytnutých vnitrostátnímu orgánu dozoru pro ochranu údajĤ spoleþností SWIFT, finanþními institucemi a dohlížiteli nemohly být úþinnČ použity stávající kontrolní mechanismy pro ochranu údajĤ uvedené ve smČrnici. Pracovní skupina lituje, že spoleþnost SWIFT nebo finanþní instituce neiniciovaly v souvislosti se zpracováním a zrcadlením osobních údajĤ v operaþním stĜedisku USA pĜedbČžnou konzultaci, formální þi neformální, s orgány pro ochranu údajĤ. Z ovČĜení vnitrostátními orgány vyplývá, že v souvislosti s pĜedáváním údajĤ spoleþností SWIFT Ministerstvu financí USA k dalšímu úþelu sestávala kontrolní opatĜení zavedená spoleþností SWIFT hlavnČ ze soukromých provČrek provádČných konzultaþní spoleþností a z revizí provádČných zamČstnanci spoleþnosti SWIFT („revizory“), kteĜí z bezpeþnostních dĤvodĤ nesmČli oznamovat podrobnosti o interním zjištČní. Spoleþnost SWIFT také uvedla, že na ni dohlíží vrcholový výbor zĜízený centrálními bankami skupiny G-10 a že o této vČci informovala dohlížitele. I když kontrolní opatĜení zavedená spoleþností SWIFT mohou pĜispČt ke zvýšení bezpeþnosti zpracování údajĤ, trvá pracovní skupina dĤraznČ na tom, že žádný jiný mechanismus zajištČný správci údajĤ nemĤže nahradit kontrolu zpracování údajĤ nezávislým orgánem dozoru veĜejné moci požadovaným podle þlánku 28 smČrnice. V každém pĜípadČ se dohlížecí skupina zĜízená centrálními bankami skupiny G-10 vyjádĜila, že není pĜíslušná pro zkoumání otázek týkajících se ochrany osobních údajĤ.

33



Strana 2616

Pracovní skupina proto odsuzuje skuteþnost, že v souvislosti s osobními údaji zpracovávanými prostĜednictvím služby SWIFTNet FIN byly stávající mechanismy pro nezávislou kontrolu zpracování osobních údajĤ orgány dozoru veĜejné moci obcházeny. 4.6

PĜeshraniþní toky údajĤ (þlánky 25 a 26 smČrnice)

ýlánky 25 a 26 smČrnice se použijí, jsou-li osobní údaje pĜedávány do tĜetí zemČ. Každé pĜedání údajĤ vytvoĜených na území Evropské unie, které mají být použity mimo území Evropské unie, musí podléhat odpovídajícímu hodnocení podle smČrnice. Ustanovení smČrnice týkající se pĜedávání osobních údajĤ do tĜetích zemí nelze kromČ toho používat oddČlenČ od ostatních ustanovení smČrnice. Jak je výslovnČ uvedeno v þl. 25 odst. 1, použijí se tato ustanovení, „aniž by tím bylo dotþeno dodržování vnitrostátních pĜedpisĤ pĜijatých na základČ ostatních ustanovení této smČrnice“. To znamená, že je nutno dodržovat další pĜíslušná ustanovení smČrnice bez ohledu na ustanovení týkající se úþelu pĜedání údajĤ do tĜetí zemČ34. K bČžné þinnosti služby SWIFTNet FIN patĜí plynulý a rozsáhlý pĜeshraniþní tok údajĤ v dĤsledku umístČní operaþních stĜedisek spoleþnosti SWIFT. Operaþní stĜediska spoleþnosti SWIFT nejsou samostatné právní subjekty, nýbrž poboþky („succursales“) družstevní spoleþnosti založené podle belgického práva. Režim ukládání a odesílání zpráv („store and forward“) tČchto dvou operaþních stĜedisek spoleþnosti SWIFT v EvropČ a v USA je následující: zprávy jsou automaticky dekódovány v operaþních stĜediscích pro uložení a pĜenos informací bČhem nČkolika milisekund. Tento režim „ukládání a odesílání“ je urþen k ovČĜení (kontrole správnosti nebo zda jsou uvedena písmena/þísla v polích povinných zpráv) informací (napĜíklad ovČĜení, že je uveden správný mČnový kód pĜevodu, napĜ. „EUR“) na základČ obsahu, který je standardizovaný. BČhem tohoto postupu jsou informace po dobu 124 dní rovnČž uchovávány v obou operaþních stĜediscích z bezpeþnostních dĤvodĤ (záložní kopie), které pak pĤsobí jako dokonalý „zrcadlový obraz“. Tím je zajištČno, že ukládání údajĤ je paralelní a údaje jsou identické. Pro oprávnČné zpracování a zrcadlení osobních údajĤ ve Spojených státech amerických spoleþností SWIFT musí být tyto údaje z Evropské unie nejprve pĜedány podle belgických právních pĜedpisĤ pĜijatých v souladu se smČrnicí o pĜedávání osobních údajĤ do tĜetích zemí, zejména s þlánky 25 a 26. PĜedávání spoleþností SWIFT do Spojených státĤ amerických proto musí být posuzováno s pĜihlédnutím ke dvČma aspektĤm: jednak k obchodnímu zpracování a zrcadlení osobních údajĤ belgickou spoleþností SWIFT do jejího operaþního stĜediska ve Spojených státech amerických, jednak ke zpracování údajĤ Ministerstvem financí USA pro další úþel schválený spoleþností SWIFT. 4.6.1

Odpovídající ochrana údajĤ (þl. 25 odst. 1 smČrnice)

Podle þl. 25 odst. 2 smČrnice se odpovídající úroveĖ ochrany poskytovaná tĜetí zemí „posoudí s ohledem na všechny okolnosti související s pĜedáním nebo pĜedáváním údajĤ; zejména se pĜihlédne k povaze údajĤ, úþelu a trvání pĜedpokládaného þi pĜedpokládaných zpracování, zemi pĤvodu a zemi koneþného urþení, právním

34

Pracovní skupina zĜízená podle þlánku 29: Pracovní dokument o spoleþném výkladu þl. 26 odst. 1 smČrnice 95/46/ES ze dne 24. Ĝíjna 1995. WP 114. 22 22


Strana 2617

pĜedpisĤm, obecným nebo zvláštním, platným v dotþené tĜetí zemi, jakož i profesním pravidlĤm a bezpeþnostním opatĜením, která jsou ve tĜetí zemi dodržována.“ S ohledem na výše uvedená kritéria a uplatĖování zásad stanovených v pracovním dokumentu WP1235 pracovní skupina konstatuje, že ve Spojených státech amerických v souþasné dobČ pouze systém „bezpeþného pĜístavu“ zajišĢuje odpovídající úroveĖ ochrany pro pĜedávání údajĤ z Evropské unie do organizací Spojených státĤ amerických, které se k tomuto systému pĜipojily. Nevztahuje se to však na finanþní služby36. Proto by se spoleþnost SWIFT, jako belgická právnická osoba, nemohla odvolávat na þlánek 25 smČrnice, pokud jde o zpracování a zrcadlení v operaþním stĜedisku v USA. 4.6.2

Dostateþná ochranná opatĜení zavedená pĜíjemcem (þl. 26 odst. 2 smČrnice)

Podle þl. 26 odst. 2 smČrnice mĤže þlenský stát povolit také pĜedání nebo pĜedávání osobních údajĤ do tĜetí zemČ, která nezajišĢuje odpovídající úroveĖ ochrany, pokud správce poskytne „dostateþná ochranná opatĜení pro ochranu soukromí a základních práv a svobod osob, jakož i pro výkon odpovídajících práv“. Na konci þl. 26 odst. 2 je také stanoveno, že tato ochranná opatĜení „mohou zejména vyplývat z vhodných smluvních doložek“. Pro usnadnČní používání smluvních doložek pĜijala Evropská komise tĜi rozhodnutí o standardních smluvních doložkách, z nichž dvČ upravují pĜedávání od jednoho správce údajĤ druhému, zatímco tĜetí upravuje pĜedávání od správce údajĤ zpracovateli údajĤ37. KromČ toho, nehledČ na možnost používání smluvních doložek k zajištČní tČchto dostateþných ochranných opatĜení, pracuje pracovní skupina zĜízená podle þlánku 29 od roku 2003 aktivnČ na možnosti nadnárodních skupin s použitím „závazných pravidel pro spoleþnosti“ ke stejnému úþelu38. V tomto pĜípadČ však spoleþnost SWIFT tČchto možností pro své zpracování a zrcadlení v operaþním stĜedisku Spojených státĤ amerických nevyužila39.

35

„PĜedávání osobních údajĤ do tĜetích zemí: UplatnČní þlánkĤ 25 a 26 smČrnice Evropské unie o ochranČ údajĤ“ schválené pracovní skupinou dne 24. þervence 1998; http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/1998/wp12_en.pdf.

36

srovnej http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm

37

Co se týþe pĜedávání od jednoho správce údajĤ druhému, pĜijala Komise první soubor standardních smluvních doložek dne 15. þervna 2001; následnČ toto rozhodnutí zmČnila a pĜipojila nový soubor alternativních doložek (rozhodnutí ze dne 27. prosince 2004). V souvislosti s pĜedáváním od správce údajĤ zpracovateli údajĤ pĜijala Komise dne 27. prosince 2001 soubor standardních smluvních doložek. Všechny tyto doložky jsou k dispozici na této webové stránce: http://ec.europa.eu/justice_home/fsj/privacy/modelcontracts/index_en.htm.

38

Srovnej pracovní dokument WP 74, „PĜedávání osobních údajĤ do tĜetích zemí: UplatnČní þl. 26 odst. 2 smČrnice EU o ochranČ údajĤ na závazná pravidla pro spoleþnosti pro mezinárodní pĜedávání údajĤ“ schválené pracovní skupinou dne 3. þervna 2003 a dalších doplĖkových dokumentĤ WP107 a WP108.

39

Kdyby spoleþnost SWIFT tČchto možností využila, pĜipomíná pracovní skupina zĜízená podle þlánku 29, že pokud jde o další pĜedávání údajĤ, nesmí výjimky z platných právních pĜedpisĤ pro ochranu údajĤ v žádném pĜípadČ pĜesahovat omezení nutná v demokratické spoleþnosti. 23

23


Strana 2618

4.6.3

Výjimky (þlánek 26 smČrnice)

ýl. 26 odst.1 smČrnice uvádí, že pĜedání nebo pĜedávání osobních údajĤ do tĜetí zemČ, která nezajišĢuje odpovídající úroveĖ ochrany, mĤže být provedeno tehdy, je-li splnČna jedna z podmínek uvedených v písmenech a) až f). Jak pracovní skupina uvedla dĜíve ve svém pracovním dokumentu WP1240 uvedeném výše, musí být výklad þl. 26 odst. 1 nezbytnČ striktní. Pracovní skupina v tomto ohledu zdĤrazĖuje, že tato logika je stejná jako u dodatkového protokolu k úmluvČ Rady Evropy þ. 108. Zpráva o tomto protokolu uvádí, že „strany mají pravomoc stanovit výjimky ze zásady odpovídající úrovnČ ochrany. PĜíslušné vnitrostátní právní pĜedpisy musí pĜesto respektovat zásadu obsaženou v evropském právu, aby doložky o výjimkách byly vykládány restriktivnČ, aby se výjimka nestala pravidlem.“.41 Možné výjimky v tomto pĜípadČ jsou tyto: 4.6.3.1 Souhlas subjektu údajĤ (þl. 26 odst. 1 písm. a) smČrnice) Aby byla tato výjimka uplatnČna oprávnČnČ, musí subjekt údajĤ udČlit svĤj jednoznaþný souhlas s pĜedpokládaným pĜedáním. Jak již bylo uvedeno v dĜívČjším pracovním dokumentu pracovní skupiny WP 12, musí být tento souhlas, aĢ jsou okolnosti, za nichž je dán, jakékoli, svobodným, výslovným a vČdomým projevem vĤle subjektu údajĤ, jak stanoví þl. 2 písm. h) smČrnice.42 Subjekt údajĤ musí být informován o pĜedání do tĜetí zemČ, která nezajišĢuje odpovídající úroveĖ ochrany nebo nezavedla vhodná ochranná opatĜení, a potom se mĤže rozhodnout, zda podstoupí související riziko nebo ne. Spoleþnost SWIFT neobdržela jasný souhlas subjektĤ údajĤ ke zpracování a zrcadlení v operaþním stĜedisku Spojených státĤ amerických, a proto se nemĤže odvolávat na þl. 26 odst. 1 písm. a) smČrnice. 4.6.3.2 PĜedání je nezbytné pro splnČní smlouvy mezi subjektem údajĤ a správcem nebo pro splnČní pĜedsmluvních opatĜení pĜijatých na žádost subjektu údajĤ (þl. 26 odst. 1 písm. b) smČrnice) Tato výjimka znamená, že pĜedané údaje musí být opravdu nezbytné k úþelu provádČní této smlouvy nebo tČchto pĜedsmluvních opatĜení. Z tohoto dĤvodu dochází pracovní skupina k závČru, že tato podmínka nemohla být uplatnČna na pĜedání údajĤ spoleþností SWIFT do operaþního stĜediska Spojených státĤ amerických, protože spoleþnost SWIFT nemá pĜímý smluvní vztah s fyzickou osobou. Tato výjimka nemĤže být uplatnČna ani na pĜedání dalších informací, které nejsou nezbytné pro úþel pĜedání, nebo pĜedávání pro úþel jiný než provádČní smlouvy. ObecnČji Ĝeþeno, umožĖují výjimky z þl. 26 odst. 1

40

Srovnej poznámku pod þarou 35 výše.

41

Srovnej zprávu o dodatkovém protokolu k úmluvČ þ. 108 o kontrolních orgánech a pĜeshraniþních tocích údajĤ, þl. 2 odst. 2 písm. a); tento dokument je pĜístupný na webové stránce: http://conventions.coe.int/Treaty/EN/Reports/Html/181.htm

42

Pracovní skupina zĜízená podle þlánku 29: Pracovní dokument o spoleþném výkladu þl. 26 odst. 1 smČrnice 95/46/ES ze dne 24. Ĝíjna 1995. WP 114. 24 24


Strana 2619

písmen b) až e) jen to, že se údaje nezbytné pro úþel pĜedání smí pĜedávat jen na základČ jednotlivých výjimek; co se týþe dalších údajĤ, mČla by být splnČna další opatĜení dokládající odpovídající úroveĖ. 4.6.3.3 PĜedání je nezbytné pro uzavĜení nebo plnČní smlouvy, která byla uzavĜena nebo která má být uzavĜena v zájmu subjektu údajĤ mezi správcem a tĜetí osobou (þl. 26 odst. 1 písm. c) smČrnice) RovnČž výjimka uvedená v þl. 26 odst. 1 písm. b), pĜedání údajĤ do tĜetí zemČ, která nezajišĢuje odpovídající ochranu, nemĤže být považována za spadající do výjimek obsažených v þl. 26 odst. 1 písm. c), pokud ji nelze pokládat za opravdu „nezbytnou pro uzavĜení nebo plnČní smlouvy mezi správcem údajĤ a tĜetí osobou v zájmu subjektu údajĤ“ a za splĖující pĜíslušné „kritérium nezbytnosti“. Toto kritérium vyžaduje úzkou a skuteþnou souvislost mezi zájmem subjektu a úþely smlouvy.43 Pracovní skupina dochází k závČru, že se tato podmínka nesmí vztahovat na pĜedávání údajĤ spoleþností SWIFT do operaþního stĜediska Spojených státĤ amerických. 4.6.3.4 PĜedání je nezbytné nebo se stává právnČ závazným pro zachování dĤležitého veĜejného zájmu nebo pro zjištČní, výkon nebo obranu právních nárokĤ pĜed soudem (þl. 26 odst. 1 písm. d) smČrnice) Spoleþnost SWIFT uvedla, že zrcadlení zpracování údajĤ do operaþních stĜedisek je považováno za rozhodující prvek v globálním finanþním systému, že toto zrcadlení zpracování bylo navrženo dohlížiteli (centrálními bankami skupiny G-10) z bezpeþnostních dĤvodĤ a že infrastruktura spoleþnosti SWIFT bude považována za rozhodující pro globální finanþní sektor. SWIFT se hájí tím, že tento dĤvod by opodstatĖoval pĜedávání na základČ þl. 26 odst. 1 písm. d) smČrnice. Pracovní skupina nemĤže s tímto výkladem souhlasit. I kdyby bylo zjištČno, že mezinárodní zrcadlení zpracování (v jiném svČtadílu než v EvropČ) je „nezbytné nebo se stalo právnČ závazným pro zachování dĤležitého veĜejného zájmu“ ve smyslu þl. 26 odst. 1 písm. d) smČrnice, je stále možné zrcadlit takové zpracování mimo rámec EU nebo EHP v zemi, která by poskytovala odpovídající úroveĖ ochrany. Pracovní skupina poukazuje na zemČ jako Argentina44 nebo Kanada45, na které se podle rozhodnutí Evropské komise nahlíží tak, že splĖují požadavky smČrnice. „Zrcadlení“ v zemi, která není þlenem Evropské unie a nemá odpovídající úroveĖ ochrany údajĤ, nebylo nezbytné a nemĤže být opodstatnČno þl. 26 odst. 1 písm. d). Osobní údaje shromažćované a zpracovávané prostĜednictvím sítČ SWIFT pro mezinárodní penČžní pĜevody pomocí BIC kódu nebo SWIFT kódu a zrcadlené v USA byly kromČ toho poskytovány Ministerstvu financí USA od konce roku 2001 na základČ úĜedních obsílek podle práva USA.

43

Pracovní skupina zĜízená podle þlánku 29: Pracovní dokument o spoleþném výkladu þl. 26 odst. 1 smČrnice 95/46/ES ze dne 24. Ĝíjna 1995. WP 114

44

Rozhodnutí Komise C(2003) 173 ze dne 30. þervna 2003; ÚĜ. vČst. L 168, 5.7.2003.

45

Rozhodnutí Komise 2002/2/ES ze dne 20.12.2001 o odpovídající ochranČ osobních údajĤ, kterou poskytuje kanadský zákon o ochranČ osobních informací a elektronických dokumentech; ÚĜ. vČst. L 2/13 ze dne 4.1.2002. 25 25


Strana 2620

Plná sledovatelnost pĜevodĤ finanþních prostĜedkĤ mĤže být obzvláštČ dĤležitým a cenným nástrojem pĜi pĜedcházení, vyšetĜování, odhalování a stíhání praní penČz a financování terorismu a podléhá ustanovením podle práva Evropské unie46. Pracovní skupina uznává, že boj proti terorismu pĜedstavuje legitimní úþel demokratických spoleþností v zájmu bezpeþnosti státu a že za tímto úþelem lze pĜijmout opatĜení, která zasahují do základního práva na ochranu osobních údajĤ. Pracovní skupina si je v této souvislosti plnČ vČdoma svého závazku. Má také za to, že mezinárodní nástroje skuteþnČ poskytují vhodný právní rámec umožĖující mezinárodní spolupráci. Za tímto úþelem zastává pracovní skupina stanovisko, že by mČly být využity možnosti, které souþasné formy mezinárodní spolupráce již k boji proti terorismu a vyšetĜování pro podezĜení z terorismu nabízejí, pĜi zajištČní požadované úrovnČ ochrany základních práv. Pracovní skupina však podotýká, že nelze použít ani þl. 26 odst. 1 písm. d) smČrnice, protože pĜedávání není nezbytné ani se nestává právnČ závazným pro zachování dĤležitého veĜejného zájmu þlenského státu EU (Belgie). AutoĜi smČrnice v této vČci nepochybnČ opravdu pĜedpokládali, že v této souvislosti platí pouze dĤležité veĜejné zájmy stanovené vnitrostátními právními pĜedpisy platnými pro správce údajĤ se sídlem v Evropské unii. Každý jiný výklad by zahraniþnímu orgánu usnadnil obcházení požadavku odpovídající ochrany v zemi pĜíjemce stanoveného ve smČrnici. 4.6.3.5 PĜedání je nezbytné pro ochranu životnČ dĤležitých zájmĤ subjektu údajĤ (þl. 26 odst. 1 písm. e) smČrnice) Tato výjimka se vztahuje na pĜedání, které se musí týkat osobního zájmu subjektu údajĤ, a souvisí-li se zdravotními údaji, musí být nezbytné pro základní diagnózu. Tato výjimka by se tedy nemČla používat k tomu, aby opodstatnila pĜedání osobních lékaĜských údajĤ pro úþel jako je obecný lékaĜský výzkum.47 Spoleþnost SWIFT netvrdila, že pĜedání je nezbytné pro ochranu životnČ dĤležitých zájmĤ subjektĤ údajĤ k úþelu zpracování a zrcadlení v operaþním stĜedisku USA. Pracovní skupina se domnívá, že tato výjimka zde není v žádném pĜípadČ na místČ. Nelze se odvolávat na þl. 26 odst. 1 písm. e) smČrnice. 4.6.4

ZjištČní

Spoleþnost SWIFT se mohla odvolávat na þl. 26 odst. 2 smČrnice ohlednČ zákonného pĜedávání osobních údajĤ do svého operaþního stĜediska v USA. Spoleþnost SWIFT se však rozhodla pĜedávat osobní údaje, aniž by splĖovala zákonné požadavky belgických právních pĜedpisĤ na tato mezinárodní pĜedávání údajĤ. Spoleþnost SWIFT se nemĤže odvolávat na žádnou z ostatních výjimek uvedených v þlánku 26 smČrnice.

46

NapĜ. naĜízení Evropského parlamentu a Rady o informacích o plátci podávaných v souvislosti s pĜevodem finanþních prostĜedkĤ pĜijaté dne 8. listopadu 2006, dosud nezveĜejnČné; pĤvodní návrh Komise KOM (2005) 343.

47

Pracovní dokument o spoleþném výkladu þl. 26 odst. 1 smČrnice 95/46/ES ze dne 24. Ĝíjna 1995; http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_en.pdf. 26 26


Strana 2621

Co se týþe zpracování a zrcadlení v USA, nebylo provádČno legálnČ ani zpracování a zrcadlení pro obchodní úþely. Pokraþující zpracovávání a zrcadlení, uvážíme-li jeho další nesluþitelný úþel a velký rozsah, pĜesahuje míru toho, co je nezbytné v demokratické spoleþnosti a dále brání spoleþnosti SWIFT pĜedávat osobní údaje do Spojených státĤ amerických. 5.

ZÁVċRY:

Z tČchto dĤvodĤ zastává pracovní skupina toto stanovisko: 5.1

SmČrnice Evropské unie o ochranČ údajĤ 95/46/ES se vztahuje na výmČnu osobních údajĤ prostĜednictvím služby SWIFTNet FIN;

5.2

S ohledem na smČrnici nesou spoleþnost SWIFT a finanþní instituce spoleþnou odpovČdnost za zpracování osobních údajĤ prostĜednictvím služby SWIFTNet FIN, pĜiþemž SWIFT nese hlavní odpovČdnost a finanþní instituce nesou urþitou odpovČdnost za zpracování osobních údajĤ jejich klientĤ.

5.3

Spoleþnost SWIFT a finanþní instituce v Evropské unii nedodržely ustanovení smČrnice:

5.4

5.3.1

SWIFT: Pokud jde o zpracování a zrcadlení osobních údajĤ v rámci služby SWIFTNet FIN, musí spoleþnost SWIFT jako správce údajĤ dodržovat své povinnosti podle smČrnice, k nimž patĜí povinnost poskytovat informace, požadavek oznamovat zpracování, povinnost zajistit odpovídající úroveĖ ochrany za úþelem splnČné požadavkĤ na mezinárodní pĜedávání osobních údajĤ;

5.3.2

Finanþní instituce: Finanþní instituce v Evropské unii mají jako správci údajĤ právní povinnost ujistit se, že spoleþnost SWIFT plnČ dodržuje právní pĜedpisy, zejména právní pĜedpisy pro ochranu údajĤ, aby byla zajištČna ochrana jejich klientĤ. Finanþní instituce odpovídají za to, že mají dostateþné znalosti o rĤzných platebních systémech a jejich technických a právních znacích a rizicích. Pokud by finanþní instituce (dostateþnČ) neusilovaly o dosažení takových znalostí, podstoupily by znaþná právní rizika a rizika pro klienty v dĤsledku nedodržení základní povinné péþe. Zejména zahrnují-li nČkteré služby, jako služba SWIFTNet FIN, rozsáhlé pĜedávání do zemí nezajišĢujících odpovídající ochranu údajĤ s ohledem na smČrnici nebo je-li pravdČpodobné, že by tato pĜedávání vyvolala urþité obavy nebo rizika týkající se soukromí, má pracovní skupina za to, že je nezbytné, aby jednotliví klienti finanþních institucí byli informováni finanþními institucemi jako poskytovateli profesionálních služeb v souladu s požadavky smČrnice týkajícími se prĤhlednosti.

Pracovní skupina zastává stanovisko, že nedostatek prĤhlednosti a odpovídajících a úþinných kontrolních mechanismĤ souvisejících s celým procesem pĜedání osobních údajĤ nejdĜíve do USA a potom na Ministerstvo financí USA pĜedstavuje vážné porušení s ohledem na smČrnici. KromČ toho 27 27


Strana 2622

jsou porušeny záruky na pĜedání údajĤ do tĜetí zemČ stanovené smČrnicí a zásady proporcionality a nezbytnosti. Co se týþe sdČlování osobních údajĤ Ministerstvu financí USA má pracovní skupina za to, že skryté, soustavné, rozsáhlé a dlouhodobé pĜedávání osobních údajĤ spoleþností SWIFT Ministerstvu financí USA již léta dĤvČrným, neprĤhledným a soustavným zpĤsobem bez existujícího právního základu a bez možnosti nezávislé kontroly veĜejnými orgány dozoru pro ochranu údajĤ zakládá porušení základních evropských zásad týkajících se ochrany údajĤ a není v souladu s belgickým a evropským právem. Stávající mezinárodní rámec je již k dispozici v souvislosti s bojem proti terorismu. Možnosti v nČm nabízené by mČly být využity pĜi zajišĢování požadované úrovnČ ochrany základních práv. 5.5

6.

Pracovní skupina znovu pĜipomíná48 závazek demokratických spoleþností zajistit dodržování základních práv a svobod osob. Právo osoby na ochranu osobních údajĤ je souþástí tČchto základních práv a svobod49. SmČrnice Spoleþenství o ochranČ osobních údajĤ (smČrnice 95/46/ES a 2002/58/ES) jsou souþástí tohoto závazku50. Cílem tČchto smČrnic je zajistit dodržování základních práv a svobod, zejména práva na soukromí v souvislosti se zpracováváním osobních údajĤ, a pĜispívat k dodržování práv, která jsou chránČna þlánkem 8 Evropské úmluvy o ochranČ lidských práv a þlánkem 8 Listiny základních práv Evropské unie. Ve všech tČchto nástrojích jsou stanoveny výjimky pro boj proti trestné þinnosti, které však musí respektovat zvláštní podmínky.

OPATěENÍ, KTERÉ JE SOUýASNÉHO STAVU:

TěEBA

BEZODKLADNċ

PěIJMOUT

PRO

ZLEPŠENÍ

S ohledem na výše uvedené skuteþnosti vyzývá tedy pracovní skupina k bezodkladnému pĜijetí tČchto opatĜení za úþelem zlepšení souþasného stavu: 6.1

Ukonþení protiprávního jednání: Spoleþnost SWIFT a finanþní instituce splní své právní povinnosti podle vnitrostátních a evropských právních pĜedpisĤ. To zahrnuje pĜijetí opatĜení pro zajištČní, aby veškerá pĜedání byla v souladu s právními pĜedpisy. V pĜípadČ nesouladu mohou správci údajĤ oþekávat, že budou pĜíslušnými orgány sankcionováni podle smČrnice a vnitrostátních právních pĜedpisĤ pro vynucení tohoto souladu.

6.2

Obnova zákonnosti zpracování: Pracovní skupina zĜízená podle þlánku 29 vyzývá SWIFT a finanþní instituce, aby neprodlenČ pĜijaly opatĜení za úþelem napravení souþasného protiprávního stavu, a obnovily stav, kdy lze provádČt mezinárodní penČžní pĜevody v plném souladu s právními pĜedpisy

48

ýlánek 29: Stanovisko 10/2001 k nutnosti vyváženého pĜístupu v boji proti terorismu; http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2001_en.htm .

49

Viz. zejména þlánek 8 Listiny základních práv Evropské unie, jakož i judikaturu Evropského soudu pro lidská práva ve vČci „Aman“ ze dne 16. února 2000 a „Rotaru“ ze dne 4. kvČtna 2000.

50

Viz. body 1, 2, 10 a 11 smČrnice 95/46/ES. 28 28


Strana 2623

pro ochranu údajĤ. Pracovní skupina vítá skuteþnost, že nČkteré orgány pro ochranu údajĤ již naléhají na finanþní instituce, aby bezodkladnČ nalezly Ĝešení. 6.3

OpatĜení týkající se spoleþnosti SWIFT: Pro veškerá svá zpracování údajĤ musí spoleþnost SWIFT jako správce pĜijmout opatĜení nezbytná pro splnČní jejích povinností podle belgických právních pĜedpisĤ pro ochranu údajĤ, kterými se provádí smČrnice.

6.4

OpatĜení týkající se centrálních bank: Souþasný stav vyžaduje vyjasnČní dohledu nad spoleþností SWIFT. Pracovní skupina doporuþuje nalézt vhodná Ĝešení pro nastolení souladu zejména s pravidly ochrany údajĤ nepochybnČ spadajícími do oblasti pĤsobnosti dohledu, aniž by byly dotþeny pravomoci vnitrostátních orgánĤ dozoru pro ochranu údajĤ, jakož i pro zajištČní, že pĜíslušné orgány budou v pĜípadČ potĜeby ĜádnČ a vþas informovány. Pracovní skupina se domnívá, že nedostateþný soulad s právními pĜedpisy pro ochranu údajĤ mĤže skuteþnČ poškodit dĤvČru klientĤ v jejich banky a ovlivnit tak i finanþní stabilitu platebního systému (ohrožení dobré povČsti). V pĜípadČ možného porušení ústavních nebo lidských práv by nemČlo být možné se odvolávat na právní pĜekážky, jako je povinnost dohlížitelĤ zachovávat služební tajemství, které by mohly být použity jako argument pro omezení úþinné kontroly nezávislými orgány pro ochranu údajĤ.

6.5

OpatĜení týkající se finanþních institucí: Všechny finanþní instituce v Evropské unii využívající službu SWIFTNet Fin, vþetnČ centrálních bank, musí zajistit, aby podle þlánkĤ 10 a 11 smČrnice EU 95/46/ES byli jejich klienti ĜádnČ informováni o tom, jak jsou jejich osobní údaje zpracovávány a jaká práva subjekty údajĤ mají. Musí také poskytovat informace o skuteþnosti, že k tČmto údajĤm mohou mít pĜístup orgány Spojených státĤ amerických. Orgány dozoru pro ochranu údajĤ budou tyto požadavky vynucovat za úþelem jejich splnČní všemi finanþními institucemi na evropské úrovni a budou spolupracovat na harmonizovaných informaþních oznámeních. V této souvislosti pĜipomíná pracovní skupina zĜízená podle þlánku 29 své stanovisko pĜijaté k harmonizovaným ustanovením o pĜístupu k informacím51. Zdá se také vhodné, aby finanþní instituce a centrální banky zvážily alternativní technická Ĝešení postupĤ užívaných v souþasné dobČ v souladu se zásadami smČrnice.

Pracovní skupina zdĤrazĖuje také toto: 6.6

51

Zachování našich základních hodnot v boji proti trestné þinností: pracovní skupina pĜipomíná, že žádná opatĜení pĜijatá v boji proti trestné þinnosti a terorismu by nemČla a nesmí snížit úroveĖ ochrany základních práv, kterou se vyznaþují demokratické spoleþnosti. Klíþovým prvkem boje proti terorismu je zajištČní zachování základních práv, která jsou základem

Pracovní skupina zĜízená podle þlánku 29 „Stanovisko k harmonizovanČjším ustanovením o pĜístupu k informacím“, ze dne 25. listopadu 2004. WP 100; http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2004/wp100_en.pdf. 29 29


Strana 2624

demokratických spoleþností a právČ tČmi hodnotami, o jejichž zniþení usilují ti, kdo obhajují použití násilí. 6.7

Zásady globální ochrany údajĤ: Pracovní skupina považuje za nezbytné, aby zásady ochrany osobních údajĤ, vþetnČ kontroly nezávislými orgány dozoru, byly plnČ respektovány v kterémkoli rámci globálních systémĤ výmČny informací.

Pracovní skupina zĜízená podle þlánku 29 bude sledovat a monitorovat výše uvedené.

V Bruselu dne 22. listopadu 2006

Za pracovní skupinu pĜedseda Peter Schaar

30


Strana 2625

Pracovní skupina zŐízená podle ÿlánku 29

01609/06/CS WP 125

Pracovní dokument o ochranČ údajĤ a dĤsledcích iniciativy eCall na ochranu soukromí

PĜijatý dne 26. záĜí 2006

Tato pracovní skupina byla zŐízena podle ÿlánku 29 smĚrnice 95/46/ES. Jde o nezávislý evropský poradenský orgán pro ochranu údajŢ a soukromí. Jeho úlohy jsou stanoveny v ÿlánku 30 smĚrnice 95/46/ES a ÿlánku 15 smĚrnice 2002/58/ES. Funkci sekretariátu zajišŘuje Őeditelství C (Obÿanská spravedlnost, práva a státní obÿanství) Evropské komise, Generální Őeditelství pro spravedlnost, svobodu a bezpeÿnost, B-1049, Brusel, Belgie, kanceláŐ ÿ. LX-46 01/43. Internetová stránka: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm


Strana 2626

PRACOVNÍ SKUPINA PRO OCHRANU FYZICKÝCH OSOB V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJģ 1

zĜízená smČrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. Ĝíjna 1995

,

s ohledem na þl. 29 a 30 odst. 1 písm. c) a odst. 3 této smČrnice, s ohledem na svĤj jednací Ĝád, a zejména na þlánky 12 a 14 uvedeného jednacího Ĝádu, PěIJALA TENTO PRACOVNÍ DOKUMENT: 1.

ÚVOD

Cílem tohoto pracovního dokumentu je poukázat na otázky ohlednČ ochrany údajĤ a soukromí, které vyvstávají ve spojení s plánovaným zavedením harmonizované celoevropské služby tísĖového volání z palubního systému vozidla („služba eCall“), která je založena na jednotném evropském þísle tísĖového volání 1122. Jednou z iniciativ Evropské komise bylo zĜízení fóra eSafety, spoleþné veĜejnoprĤmyslové iniciativy zamČĜené na zvyšování silniþní bezpeþnosti využitím vyspČlých informaþních a komunikaþních technologií. Služba eCall byla oznaþena jako jedna z nejvyšších priorit a byla zĜízena Ĝídící skupina pro eCall složená ze zástupcĤ všech zainteresovaných subjektĤ3. ěídící skupina pro eCall vypracovala doporuþení zahrnující plán na zavedení služby eCall ve všech þlenských státech a na její zavedení jako standardní možnost do všech nových vozidel od 1 záĜí 20104. ěídící skupina pro eCall vydala memorandum o porozumČní týkající se provádČní služby eCall. Cílem tohoto memoranda je zajistit, aby služba eCall fungovala ve všech þlenských státech EU. Zavazuje zainteresované subjekty, aby systém eCall zavádČly spoleþnČ na základČ spoleþnČ schváleného plánu a specifikace rozhraní, vþetnČ minimálního souboru údajĤ (MSD). Memorandum podepsali v srpnu 2004 Evropská komise, za automobilový prĤmysl Asociace evropských výrobcĤ automobilĤ (ACEA) a víceodvČtvové partnerské uskupení ERTICO. V souþasnosti obsahuje pĜes 60 podpisĤ, vþetnČ podpisu sedmi þlenských státĤ EU5, Švýcarska a Norska. Nedávno schválil Evropský parlament velkou vČtšinou rezoluci na podporu zavádČní služby eCall6, kterou vyzývá þlenské státy k podpisu memoranda. Pracovní skupina zĜízená podle þlánku 29 si je vČdoma sociálnČ-hospodáĜského pĜínosu, který obþanĤm mĤže pĜinést všeobecné zavedení služby eCall, nicménČ toto zavedení bude mít dĤsledky na ochranu soukromí a údajĤ, což je tĜeba zdĤraznit a pĜimČĜenČ se tím zabývat. 1 2

3

4 5 6

ÚĜ. vČst. L 281, 23.11.1995, s. 31, dostupné na: http://ec.europa.eu/justice_home/fsj/privacy/ SdČlení Komise: druhé sdČlení o e-bezpeþnosti: ZpĜístupnČní systému eCall obþanĤm (KOM(2005) 431, dostupné na této internetové stránce: http://europa.eu/information_society/activities/esafety/index_en.html SdČlení Komise: Informaþní a komunikaþní technologie pro bezpeþná a inteligentní vozidla, KOM(2003) 542 v koneþném znČní, 15.9.2003. Doporuþení Ĝídící skupiny eCall vþetnČ všech pĜíloh lze nalézt na internetové adrese: http://www.esafetysupport.org/en/ecall_toolbox/driving_group_ecall. Finsko, Švédsko, ěecko, Itálie, Litva, Slovinsko a Kypr. Zpráva o bezpeþnosti silniþního provozu: ZpĜístupnČní systému eCall obþanĤm. Zpravodaj: Gary Titley (A6-0072/2006) 2


Strana 2627

Pracovní skupina zĜízená podle þlánku 29 proto považuje za nutné, s ohledem na úkoly, které ji byly svČĜeny þl. 30 odst. 1 písm. a) smČrnice na ochranu údajĤ, a s cílem reagovat na otázky spojené s ochranou soukromí a údajĤ, které vyvstávají v souvislosti s pĜedpokládaným zavedením služby eCall, analyzovat stávající situaci a této problematice vČnuje tento pracovní dokument. 2.

PRINCIP SLUZBY ECALL

Navrhovaná struktura služby eCall je založena na kvazi-soubČžném hlasovém a datovém pĜenosu z generátoru eCall na nejbližší centrum tísĖového volání („PSAP“). Úlohu centra tísĖového volání bude plnit orgán veĜejné správy anebo soukromý poskytovatel služby pod dohledem orgánu veĜejné správy. TísĖové volání vyšle v pĜípadČ nehody generátor eCall automaticky pomocí senzorĤ umístČných ve vozidle (nebo jej spustí manuálnČ cestující ve vozidle) a pĜenese je do pĜíslušného PSAP. TísĖové volání sestává ze dvou prvkĤ: z þistČ hlasového (audio) telefonního hovoru na þíslo 112 a z minimálního souboru údajĤ (MSD). TísĖové volání (údaje+hlas) se pĜenáší pĜes mobilní síĢ a operátor mobilní sítČ (MNO) je zaregistruje jako tísĖové volání na þíslo 112. Na základČ postupu pĜi volání na þíslo 112 pĜidá operátor mobilní sítČ k volání identifikaci volající linky (CLI) a v souladu se smČrnicí o univerzální službČ7 a doporuþením E1128 co nejpĜesnČjší urþení polohy. Po tomto postupu pĜedá telekomunikaþní operátor hlasový záznam spolu s CLI, co nejpĜesnČjší informací o poloze a minimálním souborem údajĤ o tísĖovém volání pĜíslušnému centru pro tísĖové volání. Centrum tísĖového volání poté vyšle generátoru eCall zprávu, v které upĜesní, že minimální soubor údajĤ byl správnČ pĜijat. Je dĤležité zdĤraznit, že u navrhované služby eCall nebude palubní systém sledován žádnou tĜetí stranou trvale, jelikož nebude trvale napojen na mobilní komunikaþní sítČ, ale pouze tehdy, bude-li aktivován v pĜípadČ nehody anebo spuštČn manuálnČ cestujícími ve vozidle. Minimální soubor údajĤ (MSD)9 sestává z údajĤ o i) þase nehody, ii) pĜesném urþení polohy vþetnČ smČru jízdy, iii) identifikaci vozidla, iv) klasifikaci eCall vážnosti nehody (minimálnČ informace, zda bylo tísĖové volání uskuteþnČno manuálnČ anebo automaticky), v) pĜípadném poskytovateli služby.

7

8

9

SmČrnice Evropského parlamentu a Rady 2002/22/ES ze dne 7. bĜezna 2002 o univerzální službČ a právech uživatelĤ týkajících se sítí a služeb elektronických komunikací. ÚĜ. vČst. L 108, 24.4.2002, s. 51 Doporuþení Komise 2003/558/ES ze dne 25. þervence 2003 o zpracovávání informací o místČ volajícího v elektronických komunikaþních sítích pro úþely rozšíĜení místních služeb tísĖového volání. ÚĜ. vČst. L 189, s. 49 Viz popis minimálního souboru údajĤ v závČreþných doporuþeních Ĝídící skupiny pro eCall, oddíl 4.2.2.4. 3


Strana 2628

O zaĜazení nepovinných údajĤ týkajících se stavu nehody, které bylo pĤvodnČ plánováno v rámci minimálního souboru údajĤ, probíhá zatím diskuze. Tyto nepovinné údaje (napĜ. typ paliva používaného ve vozidle) by mČly být sluþitelné s právními pĜedpisy na ochranu údajĤ. Zejména by mČly být sluþitelné se zásadou proporcionality. MČly by obsahovat pouze údaje nezbytné pro pĜimČĜené vyĜízení nouzové situace. Navrhovaná struktura služby eCall stanoví možnost rozšíĜit dále úþinnost služby, pokud poskytovatel služby poskytne na základČ doplĖujících údajĤ obsažených v úplném souboru údajĤ (FSD) další osobní údaje a údaje o vozidle. SLUŽBA ECALL Z HLEDISKA OCHRANY ÚDAJģ A SOUKROMÍ A PRÁVNÍ ODģVODNċNÍ

3. 3.1.

Povinná anebo dobrovolná služba

Evropská komise spolu s þlenskými státy a zástupci automobilového odvČtví se prozatím shodli na samoregulaþním pĜístupu, ale pokud zavádČní služby eCall nebude pokraþovat podle dohodnutého plánu, mĤže Komise pĜijmout další opatĜení, vþetnČ regulaþních opatĜení. PĜesto, že si pracovní skupina zĜízená podle þlánku 29 uvČdomuje, že obecné zavedení služby eCall by pĜineslo sociálnČ-hospodáĜský pĜínos a zvýšení veĜejné bezpeþnosti, existují jisté obavy ohlednČ ochrany údajĤ a soukromí, kterými je tĜeba se v tomto dokumentu zabývat. PĜed bližším prozkoumáním úþinkĤ služby na ochranu údajĤ se pracovní skupina zĜízená podle þlánku 29 zabývala dvČmi možnostmi pro provádČní služby eCall, které je tĜeba zvážit na samém zaþátku a dále analyzovat: x možnost 1)

služba eCall by mČla být poskytována na dobrovolném základČ;

x možnost 2)

služba eCall by mČla být povinnČ využívanou službou.

Možnost 1: Pokud bude služba eCall poskytována na dobrovolné bázi jako druh vyspČlé služby na podporu bezpeþnosti silniþního provozu, je tĜeba zavést jednoduchý zpĤsob její aktivace/deaktivace. V tomto pĜípadČ by se systém de facto instaloval do vozidla a jeho aktivace by byla dobrovolná10. Uživatel, který nemusí být nutnČ i vlastníkem vozidla, by mČl kdykoli možnost zapnout anebo vypnout systém bez jakýchkoli technických anebo finanþních pĜekážek. Tuto možnost lze provést prostĜednictvím napĜ. zabudováním daného tlaþítka/ovladaþe podobného ovladaþi airbagu, který by byl snadno použitelný.

10

To neznamená, že službu by nešlo aktivovat automaticky, pokud jí bude motor vybaven, ale že si jí mĤže uživatel kdykoli aktivovat/deaktivovat. 4


Strana 2629

Tato možnost vychází ze skuteþnosti, že jedním z ústĜedních kritérií pro zákonné zpracování údajĤ je þl. 7 písm. a) smČrnice na ochranu údajĤ, který umožĖuje zpracovávat údaje, jen pokud k tomu dala pĜíslušná osoba jasný souhlas. Tento souhlas se poskytuje dobrovolnČ a pĜíslušné osobČ by se rovnČž mČlo umožnit svĤj souhlas odvolat. Je tĜeba zdĤraznit, že o dobrovolný souhlas se nejedná, pokud by musela pĜíslušná osoba v tomto ohledu pĜijmout klauzuli v rámci smlouvy, o jejichž klauzulích není možno jednat (což je vČtšinou pĜípad smluv o prodeji vozidla). Dále pracovní skupina zĜízená podle þlánku 29 považuje za nezákonné situace napĜ. pokud by pojišĢovací spoleþnosti nebo pĤjþovny automobilĤ vyvíjeli na zákazníka nátlak, aby ponechal službu eCall aktivovanou. Obdobnou povinnost by bylo možné požadovat po zamČstnancích používajícím firemní vozidla, pokud by byl na nČ vyvíjen nátlak, aĢ již pĜímo þi nepĜímo, aby využívali službu eCall. Pracovní skupina zĜízená podle þlánku 29 by chtČla zdĤraznit, že pokud nebude možné systém eCall aktivovat a zvláštČ deaktivovat kdykoli na místČ bez dalšího úsilí a bezplatnČ, budou se uživatelé obávat pĜípadných dĤsledkĤ na ochranu soukromí a mohou se rozhodnout, že systém nebudou používat. V tomto ohledu je také tĜeba navrhnout jednoduchou nezpoplatnČnou aktivaci/deaktivaci, protože i to by mohlo být odrazovým mĤstkem pro všeobecné zavedení služby eCall. I když v mnoha pĜípadech by mohlo být pro pĜíslušnou osobu zpracování údajĤ v jejím životním zájmu a zavedení služby eCall by tak bylo sluþitelné s ustanoveními þl. 7 písm. c), d) a e) smČrnice na ochranu údajĤ, ve všech pĜípadech tomu tak nebude. NapĜ. mĤže dojít k tomu, že v pĜípadČ nehody bude automaticky vysláno tísĖové volání, ale záchranné služby nebudou zapotĜebí. Na základČ informací o konfiguraci systému eCall, které jsou v souþasnosti dostupné, má pracovní skupina za to, že bude možné urþit polohu pĜíslušného vozidla, které pĜitom nebude trvale sledováno – protože systém bude zahrnut do komunikaþní sítČ jen pokud dojde k nehodČ anebo pokud bude spuštČn manuálnČ. Pracovní skupina tuto možnost vítá a chtČla by zdĤraznit, že z hlediska ochrany údajĤ by nebylo pĜijatelné, aby byla pĜíslušná zaĜízení trvale pĜipojena na síĢ a vozidla tím trvale sledovatelná kvĤli možné aktivaci pĜístroje eCall. To znamená, že by bylo napĜ. pĜijatelné uchovávat v pamČti pĜístroje eCall tĜi poslední polohy vozidla naposledy zaznamenané systémy GPS/Galileo (pokud je jimi vozidlo vybaveno a pokud jsou napojeny na pĜístroj eCall), aniž by docházelo k jakémukoli sdČlování údajĤ, pokud by nedošlo ke spouštČcímu signálu (napĜ. k nehodČ nebo manuální aktivaci). V tomto pĜípadČ by bylo nezbytné jasnČ vymezit rozsah shromažćovaných údajĤ a zabránit jakémukoli dalšímu využití informací – napĜ. pro jiné úþely než zajištČní bezpeþnosti silniþního provozu. Možnost 2: Pokud by byla služba eCall povinná, byl by systém de facto instalován do vozidla a jeho aktivace by byla povinná. Tuto možnost bude však potĜeba stvrdit pĜíslušným právním pĜedpisem platným v rámci celé EU. Takový právní pĜedpis by musel být ĜádnČ odĤvodnČn, pokud jde o ochranu údajĤ.

5


Strana 2630

Pokud by byla služba eCall povinným nástrojem, potom by musela být veškeré omezení soukromí pĜi uplatĖování zásad stanovených smČrnicí na ochranu údajĤ, mezi jinými i zásada proporcionality, jasnČ stanovena v daném právním pĜedpisu. Do systému eCall by mČly být zapojeny technologie na ochranu soukromí s cílem poskytnout uživatelĤm služby eCall požadovanou úroveĖ ochrany soukromí. Je potĜeba rovnČž rozvíjet a integrovat do systému bezpeþnostní prvky, které zabrání sledování a zneužívání údajĤ. To bude souþást plánu pro možnost 1. S cílem získat poradenství ohlednČ nejlepších možných postupĤ je potĜeba konzultovat vnitrostátní orgány na ochranu údajĤ. Pro shrnutí: pokud bude služba eCall volitelná, je tĜeba pĜedstavit Ĝešení pĜíznivé pro uživatele, které jim nabídne aby si sami zvolili, zda službu využijí, a to tím, že jim umožní z technického hlediska službu eCall vypnout/zapnout v závislosti na situaci, napĜ. pomocí elektronických vypínaþĤ, inteligentních karet anebo jiných zaĜízení umožĖujících dobrovolnou aktivaci pĜístroje eCall, a v pĜípadČ zájmu sdČlovat kromČ údajĤ obsažených v minimálním souboru údajĤ i další údaje. Pokud bude služba eCall volitelná, bude potĜeba zaþlenit pravidla do pĜíslušných právních pĜedpisĤ s ohledem na zásady o ochranČ údajĤ. V obou zmínČných pĜípadech bude pracovní skupina zĜízená podle þlánku 29 podporovat zvyšování povČdomí o dĤsledcích služby na ochranu soukromí a údajĤ. Vnitrostátní orgány na ochranu údajĤ budou pod záštitou pracovní skupiny zĜízené podle þlánku 29 napomáhat v rozšiĜování povČdomí o službČ eCall s dĤrazem na otázky ohlednČ ochrany údajĤ jako napĜ. transparentní a zákonné zpracování údajĤ shromažćovaných prostĜednictvím služby eCall. Pracovní skupina zĜízená podle þlánku 29 upĜednostĖuje zavést službu eCall na dobrovolném principu. Pokud bude zvolena možnost, kdy bude služba zavádČna povinnČ, bude tĜeba zajistit Ĝádné zabezpeþení ochrany údajĤ. 3.2.

DvČ úrovnČ poskytování služeb

Bez ohledu na to, zda bude zavedení služby eCall povinné þi volitelné, pĜedpokládá iniciativa eCall možnost rozšíĜeného systému poskytovatelĤ služeb s pĜidanou hodnotou. V daném pĜípadČ budou existovat dvČ úrovnČ služeb: 1) První plánovaná úroveĖ služeb bude iniciovat sdČlování informací obsažených v MSD pĜíslušnému centru tísĖového volání, jako jsou poloha vozidla, þas nehody, identifikace vozidla a statut služby eCall (minimálnČ informace, zda bylo tísĖové volání uskuteþnČno manuálnČ anebo automaticky), které stanoví stupeĖ závažnosti nehody. Tato „základní“ služba je jediná, kterou podporuje Evropská komise. 2) Druhá úroveĖ služby spoþívá v tom, že bude ke sdČlovaným „základním“ informacím obsaženým v MSD pĜidávat doplĖující informace, které bude mít k dispozici tĜetí strana poskytující služby s pĜidanou hodnotou, napĜ. pojišĢovací spoleþnosti, automobilová call centra, lékaĜské spoleþnosti, právníci, motoristické kluby atd. Pokud dojde k pĜenosu „úplného souboru údajĤ“ (FSD), bude vyžadováno uzavĜení smlouvy mezi vlastníkem vozidla a poskytovatelem služby.

6


Strana 2631

V tomto pĜípadČ by uživatel umožnil poskytovateli služby obdržet doplĖující údaje o nehodČ anebo o cestujících a poskytnout napĜ. pomoc pojišĢovací spoleþnosti, automobilového klubu nebo jazykovou pomoc apod. Oþekává se, že tato rozšíĜená služba bude rozvinuta tržními subjekty. Proti tomuto schématu nelze v podstatČ nic namítat. Tyto otázky jsou však komplexnČjší a vyžadují podrobnČjší posouzení. Vzhledem ke skuteþnosti, že nČkteré údaje, které budou zpracovávány, budou citlivé povahy, musí být pĜísnČ dodržována zejména pravidla pro ochranu údajĤ. U rozšíĜených základních funkcí tísĖového volání, které spoþívají v tom, že soukromému poskytovateli služby je kromČ MSD zaslán i úplný soubor údajĤ, se vyžaduje podrobnČjší definice. Tyto služby by mČly být plnČ v souladu s pĜíslušnými právními pĜedpisy o ochranČ údajĤ a soukromí. Pracovní skupina zĜízená podle þlánku 29 pĜipomíná základní zásady, kterými by se mČli poskytovatelé služeb Ĝídit: i)

Pracovní skupina chce zdĤraznit, že FSD nebude „a priori“ stanovený soubor informací, ale bude se spíše odvíjet od dohody uþinČné mezi vlastníkem/uživatelem vozidla v rámci uzavĜených smluv a bude záviset na FSD a jednotlivých poskytovatelích služeb (pojišĢovacích spoleþnostech, automobilových klubech, lékaĜských spoleþnostech apod.). Proto úþely, pro které lze FSD a jeho jednotlivé body použit, musí být jasnČ stanoveny v jednotlivých smlouvách. Ve smlouvách by rovnČž mČlo být jasnČ stanoveno, že poskytovatel služby je správcem pĜíslušných údajĤ a je vázán veškerými povinnostmi souvisejícími s ochranou údajĤ a soukromí, kterými jsou správci údajĤ vázáni podle smČrnice na ochranu údajĤ a vnitrostátních právních pĜedpisĤ.

ii)

Je možno pĜedávat pouze takové údaje, které jsou „nezbytné“ a „relevantní“ pro pĜíslušné úþely, což znamená, že je tĜeba zajistit, aby všichni poskytovatelé pĜijímali pouze údaje požadované pro úþely pĜíslušné smlouvy. Jak je zĜejmé z hlediska ochrany údajĤ, nebude povolen jakýkoli pĜesun FSD v celku. To bude pravdČpodobnČ vyžadovat vhodné technické úpravy, aby byl systém eCall schopen vybírat pouze ty údaje, které budou pro jednotlivé poskytovatele služby relevantní. V tomto ohledu bude rovnČž nezbytné zvážit, zda pĜíslušné informace mají být pĜedávány ve všech pĜípadech, jak je zmínČno výše, protože mohou nastat pĜípady, kdy dojde k nehodČ a bude spuštČn systém, ale nebude zapotĜebí pohotovostních (lékaĜských) služeb.

iii)

Kategorie informací zahrnutých do FSD by mČly být jasnČ vymezeny zástupci automobilového odvČtví a dotþenými zainteresovanými subjekty a vlastníkĤm vozidla musí být poskytnuty vhodné informace o fungování a provozu systému. Souþástí tČchto informací by mČly být rovnČž dĤsledky rozhodnutí vlastníka vozidla o odvolání svého souhlasu s pĜesunem FSD nebo jeho þásti; ještČ jednou, odvolání souhlasu by nemČlo být v neprospČch zájmĤ vlastníka vozidla.

iv)

Pokud bude FSD obsahovat lékaĜské þi jiné údaje citlivé povahy, bude tĜeba s tČmito informacemi nakládat obzvláštČ opatrnČ. KromČ výslovného souhlasu vlastníka vozidla, bude nakládání s tČmito údaji vyžadovat pĜijetí zvláštních bezpeþnostních opatĜení, která jsou v nČkterých pĜípadech upĜesnČna ve vnitrostátních právních pĜedpisech.

7


Strana 2632

v)

Ustanovení týkající se budoucích pĜenosĤ údajĤ budou muset být dodržována, zejména pokud poskytovatel služby zapojí do zpracování (þásti) údajĤ orgány sídlící ve tĜetích zemích; užiteþné informace viz doporuþení obsažené v dokumentu WP7411. OSTATNÍ OTÁZKY SPOJENÉ SE SLUŽBOU ECALL

4.

Z obecného hlediska existují rovnČž obavy ohlednČ vytvoĜení databází telekomunikaþními operátory, doby uchování shromáždČných údajĤ a otázek spojených se zabezpeþením uchovaných údajĤ. 4.1.

Databáze

Další otázky ohlednČ ochrany údajĤ vyvstávají ve spojení s databázemi vytvoĜenými s cílem vyhnout se nesprávnému užití nebo zneužití systému, které by mČly propojit informace o totožnosti vlastníka vozidla a SIM kartou systému eCall a jejichž hlavním úþelem by bylo vyhledávat osoby, které systém zneužívají, napĜ. Ĝidiþe, kteĜí zabloudili apod. V pĜípadČ nesprávného využití anebo zneužití systému, které by mohlo zpĤsobit problémy centrĤm tísĖového volání (napĜ. pokud systém uskuteþní nČkolik tísĖových volání bez platného dĤvodu), mČla by tato centra zavést postup pro sledování zneužívání systému. Pro daný úþel je možno využít dvou postupĤ: i) požadovat po operátorech mobilní sítČ, aby identifikovali vlastníka zaĜízení (pomocí informací uchovaných v databázi SIM karty), jak je tomu nyní u tísĖových volání na þíslo 112, a ii) požadovat identifikaci po orgánu spravujícího identifikaþní þíslo vozidla (VIN). Jednou z hlavních obav pracovní skupiny zĜízené podle þlánku 29 je potenciální riziko, že jakákoli tĜetí strana mĤže mít z rĤzných úþelĤ k tČmto databázím pĜístup. Proto si pĜeje zdĤraznit, že by nemČlo být umožnČno jakékoli druhotné využití údajĤ, napĜ. v rámci donucovacích postupĤ spojených s provozem, jelikož by to bylo v rozporu se zásadami smČrnice na ochranu údajĤ. 4.2.

Otázky zabezpeþení

Další obavy se týkají otázek zabezpeþení; toho, zda je systém eCall dostateþnČ zajištČn proti neautorizovaným vstupĤm. Aby mohl být provozován dĤvČryhodný systém a bylo možno se vyhnout neautorizovanému pĜístupu rĤzných tĜetích stran k osobním údajĤm systému eCall, je potĜeba zajistit dostateþnou úroveĖ zabezpeþení systému uvnitĜ vozidla a v pĜenosovém protokolu12.

11

12

http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2003/wp74_en.pdf Plánuje se, že automobiloví výrobci pĤvodního vybavení by zajišĢovali dostateþnou úroveĖ zabezpeþení údajĤ uchovávaných v systému uvnitĜ vozidla. Dostateþná úroveĖ bezpeþnosti pĜenosového protokolu by pak byla zajištČna jeho standardizací ETSI.

8


4.3.

Strana 2633

Proporcionalita

PĜi využití služby eCall bude pro zpracování nouzové situace pĜenášen minimální soubor údajĤ (MSD). Pracovní skupina zĜízená podle þlánku 29 má za to, že stávající požadavek, aby MSD obsahoval celé þíslo VIN, lze považovat s ohledem na daný úþel za nepĜimČĜený. Pracovní skupina zĜízena podle þlánku 29 se zabývá skuteþností že vzhledem k tomu, že v nČkterých þlenských státech v souþasné dobČ uspokojivČ funguje stávající systém tísĖového volání, nemusí být zavedení služby eCall ve všech pĜípadech nezbytné. Tento argument je dĤležitý, jelikož se týká otázky proporcionality, tzn. je adekvátní zavést systém pro tísĖové volání založený na urþení polohy i v tČch zemích, kde systém tísĖového volání již uspokojivČ funguje? 4.4.

Povaha správce údajĤ

Správcem údajĤ v pĜípadČ služby eCall bude centrum tísĖového volání, které by mČlo zavést protokoly pro uchovávání osobních údajĤ, jejich zpracování a ochranu, které budou obdobné jako protokoly užívané pro jakákoli jiná tísĖová volání. OperátoĜi mobilní sítČ budou pĜenášet minimální soubor údajĤ transparentním zpĤsobem a mČli by zajišĢovat, aby údaje v rámci služby eCall nebyly uchovávány v jinou dobu, než je nezbytné pro zajištČní jejich adekvátního pĜenos pĜíslušnému centru tísĖového volání. Poté by mČl být soubor minimálních údajĤ vymazán. Pokud jde o identifikaci volající linky a informace o poloze pĜedávaná centru tísĖového volání, mČly by být zavedeny protokoly obdobné jako ty, které se používají pro zpracování místních tísĖových volání E112 (rozšíĜení místních služeb tísĖového volání) podle smČrnice o univerzální službČ a doporuþení Komise o zpracovávání informací o místČ volajícího v elektronických komunikaþních sítích pro úþely rozšíĜení místních služeb tísĖového volání. 4.5.

Doba uchování

Pracovní skupina zĜízena podle þlánku 29 by ráda zdĤraznila, že pĜimČĜená doba uchování údajĤ o tísĖovém volání by mČla být definována pro rĤzné strany v rámci služby eCall. Vnitrostátní orgány budou dohlížet na to, aby tyto lhĤty byly stanoveny a ĜádnČ dodržovány. 5.

ZAVERY

Pracovní skupina zĜízena podle þlánku 29 pĜi analýze obav spojených s dĤsledky zavedení služby eCall na ochranu soukromí upĜednostĖuje a doporuþuje pro možné zavedení služby eCall pĜístup založený na dobrovolné bázi.

9


Strana 2634

Z hlediska ochrany údajĤ je tísĖové volání, které je odesláno automaticky zaĜízením nebo spuštČno manuálnČ, poté pĜenášeno pĜes mobilní sítČ a ústící v informace, kde došlo k nouzové situaci, v zásadČ pĜijatelné, a to za podmínky, že bude existovat zvláštní právní základ a bude zajištČno dostateþné zabezpeþení ochrany údajĤ. NicménČ je tĜeba vždy zohlednit úþely tísĖového volání a pĜimČĜenost údajĤ, které mají být zpracovány, zejména pokud zpracování zahrnuje tzv. úplný soubor údajĤ.

V Bruselu dne 26. záĜí 2006 Za pracovní skupinu místopĜedseda Jose Luis Piñar Mañas

10


Strana 2635

Strana 2636


Věstník Úřadu pro ochranu osobních údajů Vydavatel: Úřad pro ochranu osobních údajů Adresa redakce: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7 Redakce: Miluše Nejedlá, tel.: 234 665 232, fax: 234 665 505 e-mail: [email protected] internetová adresa: www.uoou.cz Administrace: Písemné objednávky předplatného, změny adres a počtu odebíraných výtisků – SEVT, a. s., Pekařova 4, 181 06 Praha 8-Bohnice, telefon: 283 090 352, 283 090 354, fax: 233 553 422, www.sevt.cz, e-mail: [email protected]. – Předpokládané roční předplatné se stanovuje za dodávku kompletního ročníku a je od předplatitelů vybíráno formou záloh ve výši oznámené ve Věstníku a pro tento rok činí 450 Kč – Vychází podle potřeby – Tiskne: sprint servis, Lovosická 31, Praha 9. Distribuce: Předplatné, jednotlivé částky na objednávku i za hotové – SEVT, a. s., Pekařova 4, 181 06 Praha 8-Bohnice, telefon: 283 090 352, 283 090 354, fax: 233 553 422; drobný prodej v prodejnách SEVT, a. s. – Praha 5, Elišky Peškové 14, tel./fax: 257 320 049, – Praha 4, Jihlavská 405, tel.: 261 260 414 – Brno, Česká 14, tel.: 542 213 962 – Ostrava, roh ul. Nádražní a Denisovy, tel.: 596 120 690 – České Budějovice, Česká 3, tel.: 387 319 045 a ve vybraných knihkupectvích. Distribuční podmínky předplatného: Jednotlivé částky jsou expedovány předplatitelům neprodleně po dodání z tiskárny. Objednávky nového předplatného jsou vyřizovány do 15 dnů a pravidelné dodávky jsou zahajovány od nejbližší částky po ověření úhrady předplatného, nebo jeho zálohy. Částky vyšlé v době od zaevidování předplatného do jeho úhrady jsou doposílány jednorázově. Změny adres a počtu odebíraných výtisků jsou prováděny do 15 dnů. Lhůta pro uplatnění reklamací je stanovena na 15 dnů od data rozeslání, po této lhůtě jsou reklamace vyřizovány jako běžné objednávky za úhradu. V písemném styku vždy uvádějte IČ (právnická osoba) a kmenové číslo předplatitele. Podávání novinových zásilek povoleno ŘPP Praha.

ISSN 1213-3442

VÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ

Recommend Documents