Nová evropská pravidla ochrany osobních údajů. Za jakou cenu?

27.červenec 2012   Autor :  Michal Barbořík

Začátkem letošního roku, nedlouho po Vánocích, zaslala Evropská komise (dále jen Komise) členským státům objemný balíček. Nešlo však o balíček plný příjemných dárků, ale o legislativní balíček revidující právní rámec pro ochranu osobních údajů v Evropské unii, plný hodně problematických ustanovení.

Tento nový právní rámec vychází ze sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů „Ochrana soukromí v propojeném světě – Evropský rámec pro ochranu údajů pro 21. století“.

Součástí tohoto legislativního balíčku je:
— Návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) a
— Návrh směrnice Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů.

Žijeme v době nebývale rychlého technologického rozvoje, který před nás klade řadu výzev. Objem sdílených a shromažďovaných údajů dramaticky roste. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Jednotlivé osoby stále častěji zveřejňují své osobní údaje i v globálním měřítku. Technologie změnily ekonomiku i společenský život. Budování důvěryhodnosti internetového prostředí má pro hospodářský rozvoj klíčový význam. Nedostatek důvěry vede k tomu, že se spotřebitelé zdráhají nakupovat on-line a využívat nové služby. Mohlo by tedy dojít ke zpomalení rozvoje inovativního využívání nových technologií. Komise ve světle těchto skutečností seznala, a nutno říci, že v mnoha ohledech oprávněně, že stávající právní úprava ochrany osobních údajů začíná být zastaralá a nevyhovující a potřebuje změny. Jiná otázka je, zda to Komise uchopila za ten správný konec, ale k tomu se dostaneme dále.

Nejednoznačnost

Obecné nařízení o ochraně údajů má nahradit stávající směrnici Evropského parlamentu a Rady 95/46/ES z 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, v mnohém z této směrnice vychází, ale obsahuje i řadu významných novinek a odlišností. Už jen skutečnost, že nové nařízení je třikrát delší než stávající směrnice, napovídá, že kromě řady potřebných a užitečných ustanovení se na nás valí další povinnosti a s nimi i nová administrativní zátěž.

V první řadě platí, že na rozdíl od stávající směrnice bude nové nařízení v členských státech aplikovatelné přímo. A zde si návrh v mnohém protiřečí. Na jednu stranu Komise deklaruje, že je třeba jednotná úprava, na druhou stranu dává členským státům oprávnění přijímat množství výjimek. Na jednu stranu řadu otázek návrh upravuje velmi podrobně, na druhou stranu dává Komisi pravomoc přijmout celou řadu prováděcích předpisů k dílčím otázkám. V přístupu Komise se tak skrývá velké nebezpečí posilování pravomocí a rolí Komise a dalších unijních orgánů, které budou nad plněním povinností dohlížet či ustanovení nařízení vykládat (např. u Evropské rady pro ochranu údajů, zřizované dle tohoto návrhu mj. k zajišťování jednotného uplatňování tohoto nařízení, existují obavy, že devalvují roli národních orgánů dozoru, tj. u nás Úřadu pro ochranu osobních údajů). Existují proto silné názory (např. i v Senátu Parlamentu ČR), že Komise dostatečně nezdůvodnila, proč je nutné přijímat novou úpravu formou nařízení namísto dosavadní směrnice, zejména s ohledem na skutečnost, že návrh nařízení nepřináší vyjasnění a zjednodušení úpravy, které je nutné pro jednotnou aplikaci v členských státech EU.

Velmi ambiciózní cíl si Komise klade z pohledu územní působnosti nařízení. Ta se má vztahovat nejen na zpracová­vání osobních údajů v rámci činnosti provozovny správce nebo zpracovatele v Unii, ale také na zpracovávání osobních údajů subjektů, které mají bydliště v Unii, ze strany správce, který není usazen v Unii, pokud zpracovávání údajů souvisí s nabídkou zboží nebo služeb těmto subjektům v Unii nebo se sledováním jejich chování. V praxi se tak bude vztahovat na různé internetové obchody mimo Unii, které nabízejí služby i občanům Unie (např. oblíbené internetové obchody v USA, ale poslední dobou i v Číně) či hoteliéry v nejrůznějších exotických destinacích, nabízející třeba rezervace občanům EU. Že povinnosti stanovené nařízením nebudou prakticky vůči těmto subjektům vymahatelné, tím už se Komise nezabývá.

Inspektor v ordinaci

Největší nebezpečí tohoto návrhu se pak skrývá v hrozícím nárůstu administrativní zátěže. Povinnosti pro správce osobních údajů, jako například vypracovat transparentní a snadno dostupná pravidla pro zpracování osobních údajů a výkon práv subjektu údajů, povinnost oznamovat do 24 hodin případy narušení bezpečnosti osobních údajů orgánu dozoru i subjektům těchto údajů či povinnost správce i zpracovatele jmenovat inspektora ochrany osobních údajů (tuto povinnost má orgán veřejné moci či veřejnoprávní subjekt, podnik zaměstnávající 250 a více zaměstnanců, ale také správce nebo zpracovatel, jehož hlavní činnost spočívá ve zpracovávání údajů, které kvůli povaze, rozsahu nebo účelu vyžadují pravidelné a systematické sledování subjektu údajů). To je samozřejmě zcela namístě pro velké správce a zpracovatele osobních údajů, podstata problému je však v tom, že nařízení ukládá tyto povinnosti v naprosté většině všem bez rozdílu. Vztahují se jak na velké korporace, jako je Facebook, tak stejným způsobem i na běžné uživatele, kteří na Facebooku mají svůj profil a zpracovávají zde osobní údaje. Pro další ilustraci, snadno se podle nařízení může stát, že pekař, který rozváží zákazníkům pečivo (a tudíž zpracovává jejich osobní údaje – jména a adresy), bude muset vypracovat a na provozovně vedle reklamačního řádu umístit i metodiku zpracování a ochrany osobních údajů, nebo když půjdeme k lékaři (který musí pravidelně monitorovat osobní ­údaje pacientů), budeme v ordinaci vedle pana doktora a sestřičky uctivě zdravit i inspektora ochrany osobních údajů. To samozřejmě vše povede vedle vyšší administrativní zátěže i k vyšším nákladům a vyšším cenám pro zákazníky. To vše v době, kdy celá Evropa třikrát obrací každou korunu (euro).

Jednou z oblastí, na kterou se obecné nařízení nemá vztahovat (vedle např. bezpečnosti státu, společné zahraniční a bezpečnostní politiky, zpracovávání údajů prováděné orgány, institucemi a jinými subjekty Unie či fyzickou osobou k čistě osobním, domácím účelům bez dosahování zisku), je zpracovávání údajů prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. Tuto oblast má nově upravovat směrnice o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů.

Ta vychází z obecných ustanovení výše zmíněného obecného nařízení o ochraně údajů a má nahradit rámcové rozhodnutí Rady 2008/977/SVV z 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech. Nejenže návrh této směrnice přišel asi jen rok a čtvrt poté, co rámcové rozhodnutí začalo platit, a tudíž je návrh obecně hodnocen jako předčasný a nehotový, ale lze o něm navíc směle tvrdit, že porušuje zásadu subsidiarity. Oblast působnosti směrnice totiž není na rozdíl od stávajícího rámcového rozhodnutí omezena jen na přeshraniční zpracování údajů. Vztahuje se na veškeré, tedy i čistě vnitrostátní zpracování údajů prováděné příslušnými orgány, kterými jsou veškeré orgány veřejné moci příslušné k prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů. Podle Lisabonské smlouvy je ale v kompetenci EU policejní a justiční spolupráce, tedy přeshraniční kontakty mezi příslušnými orgány členských států, nikoli vnitrostátní policejní a justiční práce.

Všemocná komise

Velký problém pro členské státy pak představuje navrhovaná úprava předávání osobních údajů do třetích zemí (tj. mimo EU) nebo mezinárodním organizacím. Takové předávání má být omezeno pouze na případy, kdy je to nutné pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a kdy správce a zpracovatel splňují podmínky stanovené touto směrnicí. A klíčovou roli by zde měla sehrávat znovu Komise, která by tak mohla ovlivňovat, se kterými zeměmi a mezinárodními organizacemi členské státy EU mohou či nemohou spolupracovat a vyměňovat si osobní údaje. V případě, že by to Komise nepovolila, byla by možnost spolupráce s takovými státy a organizacemi omezena jen na velmi úzce definované případy. Zde je na místě připomenout, že široká možnost policejní a justiční spolupráce s USA je nezbytnou podmínkou pro náš bezvízový styk s touto zemí. Omezení této spolupráce by tak mělo zásadní negativní dopad na naše vztahy s USA, ale samozřejmě i s dalšími zeměmi a na ochranu našich národních zájmů.

Vedle toho návrh ukládá členským státům změnit všechny mezinárodní smlouvy, které by se směrnicí nebyly v souladu, a to do 5 let. Taková ambice je zcela nereálná, neboť druhou smluvní stranu není možné nutit ke změnám smluv a zároveň je třeba si uvědomit, že řada smluv v této oblasti jsou smlouvami mnohostrannými a v rámci OSN mívají takové úmluvy i na 180 smluvních stran (které povětšinou nemají zájem na změně úmluv).

I tento návrh pak přináší orgánům členských zemí další nemalou administrativní zátěž. V době hledání úspor ve státním rozpočtu se všechny státy snaží, aby úspory neměly vliv na počty policistů v ulicích, zatímco tato směrnice by nutila policisty trávit další dlouhé minuty a hodiny za psacím stolem vyplňováním nejrůznějších formulářů a poučení.

A tím to nekončí

A výše uvedený výčet problematických bodů k oběma návrhům není rozhodně konečný. Nicméně i tak je tento příspěvek možné zakončit trochu optimisticky konstatováním, že vyjednávání o těchto návrzích (kdy zejména nová obecná úprava ochrany osobních údajů je ve světle nových technologií a změn ve společnosti zcela na místě) je na samém počátku. V rámci prvního čtení mezi Komisí a členskými státy bylo zatím, právě kvůli výše uvedeným problematickým otázkám, projednáno pouhých 13 článků z celkových 91. Česká republika patří mezi státy, které na tyto problémy hlasitě upozorňují, k čemuž má vláda zmocnění i od Parlamentu ČR (zásadní stanovisko k oběma návrhům přijal Senát Parlamentu ČR svým usnesením č. 614 ze dne 24. května 2012). Můžeme tedy stále ještě doufat, že nová úprava ochrany osobních údajů povede k vyšší ochraně našeho soukromí a nikoli ke zhoršení vztahů se třetími zeměmi, k omezování evropské ekonomiky a k dalším zbytečným nákladům pro podnikatele a členské státy.