27. 6. 2016
ID: 101840upozornění pro uživatele

Další nařízení a směrnice z dílny Bruselu – tentokráte o ochraně osobních údajů

Datum 4. květen 2016 je možné považovat za významný okamžik v oblasti ochrany osobních údajů, a to nejen v rámci České republiky, nýbrž v celoevropském kontextu. V Úředním věstníku Evropské unie byly totiž právě v tento den zveřejněny hned tři významné dokumenty, které se dotýkají ochrany osobních údajů. Jedná se o následující: nařízení o ochraně osobních údajů, směrnici o používání údajů jmenné evidence cestujících (PNR) a tzv. trestněprávní směrnici.

 
 Rödl & Partner, advokáti, v.o.s.
 
V tomto příspěvku se budeme postupně věnovat všem shora nastíněným předpisům. S ohledem na obsáhlost těchto předpisů není na tomto místě možné, ani to není naším záměrem, podrobně rozebírat a popisovat veškerá ustanovení nařízení a směrnic. Naši pozornost zaměříme na základní rysy a hlavní principy a pokusíme se o stručné, avšak ucelené a přehledné shrnutí toho, co evropská legislativa v rámci uvedených právních předpisů přináší.

Za základní předpis celého „balíčku“ lze označit Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále také jen „nařízení o ochraně osobních údajů“), čítající téměř 90 stran, které navazuje na směrnici 95/46/ES z roku 1995, avšak přináší několik novinek, nových institutů a v neposlední řadě si klade za cíl sjednotit dosavadní roztříštěnost v provádění ochrany údajů na území EU i rozdíly při zpracování osobních údajů v členských státech, jenž mohou bránit volnému pohybu osobních údajů v rámci EU a představují překážku pro výkon hospodářských činností na úrovni EU. Jaké nejdůležitější změny tedy nařízení o ochraně osobních údajů přináší?

V prvé řadě se jedná o rozšíření práv subjektu údajů, tedy fyzické osoby, jejíž osobní údaje jsou zpracovávány. Výslovně je již upraveno právo na výmaz (právo být zapomenut), dále právo na přenositelnost údajů k jinému správci, či právo vznést námitku proti zpracování osobních údajů včetně profilování.[1] Nařízení klade výslovně důraz na to, aby byly osobní údaje zpracovávány zákonným a transparentním způsobem, aby byly shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely a pouze v nezbytném rozsahu. Zároveň se vždy musí jednat o přesné a v případě potřeby aktualizované osobní údaje.

Nedotčeny nezůstaly ani povinnosti zpracovatelů osobních údajů. Ačkoliv nařízení o ochraně osobních údajů již nepočítá s registrační povinností zpracovatelů, ukládá povinnost vést interní záznamy o činnostech zpracování, které budou na vyžádání poskytnuty dozorovému úřadu. Nově zavedena je dále nejen pro zpracovatele, nýbrž také pro správce povinnost hlásit případy porušení zabezpečení osobních údajů – v případě zpracovatele správci a v případě správce dozorovému úřadu.

Jak jsme již z evropských předpisů zvyklí, dochází i touto směrnicí k nárustu byrokracie, vzniku nových úřadu a funkcí. Jmenovitě se jedná kupř. o jmenování pověřence pro ochranu osobních údajů, který je jmenován správcem a zpracovatelem v určitých nařízením stanovených případech, k jehož hlavním úkolům patří poskytování informací a poradenství správcům, zaměstnavatelům, zpracovatelům, spolupráce s dozorovým úřadem a dále se jedná o vznik sboru pro ochranu osobních údajů jako subjektu EU s právní subjektivitou, jenž je tvořen vedoucím jednoho dozorového úřadu z každého členského státu a evropským inspektorem ochrany údajů.

Nařízení o ochraně osobních údajů doporučujeme věnovat náležitou pozornost, mj. z důvodu velmi vysokých postihů – pokut, ukládaných při porušení nařízení, které mohou v návaznosti na závažnost porušení ustanovení nařízení dosáhnout 10 až 20 mil. eur nebo jedná-li se o podnik s 2 až 4 procenty celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která ze dvou uvedených hodnot bude vyšší.

Toto nařízení již vstoupilo v platnost a je použitelné ode dne 25. května 2018.

Hlavním účelem směrnice o používání údajů jmenné evidence cestujících (PNR),[2] jež byla připravována více než 6 let (dále také jen „směrnice o používání údajů jmenné evidence cestujících“), je především zajištění bezpečnosti, ochrana života a bezpečí osob a vytvoření právního rámce pro ochranu údajů PNR.[3] Hlavním účelem dle neoficiálního jazyka směrnice je sledování lidí odcházejících bojovat do Sýrie pro tzv. Islámský stát a sledování pohybu teroristů. Často je totiž poukazováno na problém spočívající v tom, že pakliže se občan EU rozhodne pro svůj odchod do Sýrie a odletí kupř. z Německa do Turecka a po určité době se zpět do Německa vrátí, avšak přiletí do Prahy, nemá ani česká ani německá policie žádné účinné prostředky jak zjistit, že se může jednat o potencionálního teroristu. Tento problém by měl být zavedením databáze údajů PNR vyřešen. Každý členský stát je povinen zřídit či určit orgán příslušný pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti či pobočku tohoto orgánu jako svůj „útvar pro informace o cestujících“, který je odpovědný za shromažďování údajů PNR od leteckých dopravců, jejich uchovávání, zpracování, předávání příslušným orgánům a výměnu těchto údajů s útvary pro informace o cestujících jiných členských států, jakož také s Europolem.

Konkrétní seznam údajů shromažďovaných leteckými dopravci tvoří přílohu předmětné směrnice. Jedná se např. o identifikaci cestujícího, identifikaci sedadla, informace o zavazadlech, o cestovní agentuře, způsobu platby, atd. Považujeme za důležité zdůraznit, že směrnice o používání údajů jmenné evidence cestujících se použije automaticky výhradně na letech mimo EU. Členský stát se může dobrovolně rozhodnout, že bude směrnici aplikovat rovněž na lety uvnitř EU – v takovém případě však tuto skutečnost musí oznámit Evropské komisi, přičemž toto rozhodnutí může kdykoliv odvolat. Stejně tak je možné aplikovat směrnici pouze na vybrané lety uvnitř EU. Údaje PNR budou v databázi uchovány po dobu 5 let od jejich předání útvaru pro informace o cestujících členského státu, na jehož území let přistává nebo z něj odlétá. Po uplynutí 6 měsíců od předání údajů PNR budou veškeré údaje uchovány ve skrytém režimu tak, aby na jejich základě nemohlo dojít k přímé identifikaci cestujícího.

Členské státy jsou povinny uvést v účinnost své předpisy nezbytné pro dosažení souladu s touto směrnicí nejpozději do 25. května 2018.

Směrnice trestněprávní,[4] jak již samotný její název napovídá, obsahuje zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce. Zpracování osobních údajů dle této směrnice je přípustné pouze za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost. Jsou-li osobní údaje zpracovány pro jiné účely, použije se nařízení o ochraně osobních údajů. Za zmínku jistě dále stojí skutečnost, že je ze směrnice vyňato zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie (např. činnosti týkající se národní bezpečnosti), jakož také zpracování osobních údajů prováděné orgány, institucemi a jinými subjekty EU.

Jak již bylo zmíněno výše v rámci nařízení o ochraně osobních údajů i zde počítá směrnice s určením pověřence pro ochranu osobních údajů, jehož úkolem bude především dohlížet na dodržování povinností v oblasti ochrany osobních údajů, jakož také poskytovat informace a poradenství správci a zaměstnancům, kteří provádějí zpracování.

Členské státy jsou povinny uvést v účinnost své předpisy nezbytné pro dosažení souladu s touto směrnicí nejpozději do 6. května 2018.


JUDr. Martin Švéda

JUDr. Martin Švéda
,
advokát, partner

JUDr. Lucie Siebertová
,
advokátka


Rödl & Partner, advokáti, v.o.s.

Platnéřská 2
110 00  Praha 1

Tel.:    +420 236 163 111
Fax:    +420 236 163 799
e-mail:    prag@roedl.cz

Právnická firma roku 2015
 
--------------------------------
[1] „Profilování“ je další z novinek, kterou přináší nařízení o ochraně osobních údajů. Jedná se o nový druh zpracování osobních údajů a slovy nařízení se profilováním rozumí jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází nebo pohybu.
[2] Směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti
[3] Legální definici zkratky „PNR“, tj. jmenné evidence cestujících (v anglickém originále „passenger names records“) obsahuje čl. 3 odst. 5 směrnice o používání údajů jmenné evidence cestujících: „jmennou evidencí cestujících (dále jen „PNR“)“ evidence cestovních požadavků každého cestujícího, která obsahuje všechny potřebné informace, jež umožňují rezervujícím a zúčastněným leteckým dopravcům zpracovávat a kontrolovat rezervace u každé cesty rezervované kterýmkoliv cestujícím nebo jeho jménem bez ohledu na to, zda je uvedena v rezervačních systémech, kontrolních systémech odletů užívaných pro přihlášení cestujících k letu nebo jiných rovnocenných systémech poskytujících stejné funkce.
[4] Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz