DOPORUČENÍ KOMISE
DOPORUČENÍ
DOPORUČENÍ KOMISE
ze dne 1. března 2011
o pokynech pro uplatňování pravidel ochrany údajů v systému pro spolupráci v oblasti ochrany spotřebitele (CPCS)
(2011/136/EU)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 292 této smlouvy,
vzhledem k těmto důvodům:
(1) Cílem nařízení Evropského parlamentu a Rady (ES) č. 2006/2004 ze dne 27. října 2004 o spolupráci mezi vnitrostátními orgány příslušnými pro vymáhání dodržo vání zákonů na ochranu zájmů spotřebitele („nařízení o spolupráci v oblasti ochrany spotřebitele“) (1) je zlepšit spolupráci při vymáhání dodržování zákonů na ochranu zájmů spotřebitele na jednotném trhu, zřídit síť vnitros tátních veřejných donucovacích orgánů v rámci celé EU (dále jen „síť pro spolupráci v oblasti ochrany spotřebi tele“) a stanovit rámcové a obecné podmínky, za nichž mají donucovací orgány členských států spolupracovat v zájmu ochrany kolektivních ekonomických zájmů spotřebitelů.
(2) Spolupráce mezi vnitrostátními donucovacími orgány je zásadní pro účinné fungování jednotného trhu a v rámci této sítě pro spolupráci v oblasti ochrany spotřebitele může kterýkoli orgán požádat ostatní orgány o pomoc při vyšetřování možného porušování zákonů EU na ochranu zájmů spotřebitele.
(3) Cílem systému pro spolupráci v oblasti ochrany spotře bitele (Consumer Protection Cooperation System, dále jen
„CPCS“) je veřejným donucovacím orgánům umožnit, aby si vyměňovaly informace o možném porušení zákonů na ochranu zájmů spotřebitele ve stabilním a bezpečném prostředí.
(4) Při výměně informací mezi členskými státy pomocí elekt ronických prostředků musí být dodržována pravidla týka jící se ochrany osobních údajů, která jsou stanovena ve směrnici Evropského parlamentu a Rady 95/46/ES ze dne
24. října 1995 o ochraně fyzických osob v souvislosti se
(1) Úř. věst. L 364, 9.12.2004, s. 1.
zpracováním osobních údajů a o volném pohybu těchto údajů (2) (dále jen „směrnice o ochraně údajů“) a v naří zení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (3) (dále jen „nařízení o ochraně údajů“).
(5) V článku 8 Listiny základních práv Evropské unie je uznáno právo na ochranu údajů. CPCS by měl zajistit, aby byly různé povinnosti a odpovědnosti sdílené mezi Komisí a členskými státy, pokud jde o pravidla ochrany údajů, jednoznačné, aby byly subjektům údajů poskyto vány informace a aby byly k dispozici snadno dostupné mechanismy k prosazování jejich práv.
(6) Je vhodné vypracovat pokyny k uplatňování pravidel ochrany údajů v rámci CPCS (dále jen „pokyny“), aby se zajistilo dodržování pravidel ochrany údajů při jejich zpracování prostřednictvím CPCS.
(7) Pracovníci donucovacích orgánů by měli být vybízeni, aby se obrátili na své vnitrostátní orgány pro dohled nad ochranou údajů a vyžádali si pokyny a pomoc, pokud jde o nejlepší způsob uplatňování těchto pokynů v souladu s vnitrostátním právem, a aby v případě potřeby zajistili, že se na vnitrostátní úrovni provádějí postupy pro oznamování a předběžnou kontrolu činností spojených se zpracováváním údajů v rámci CPCS.
(8) Měla by být důrazně doporučena účast na školeních, která Komise pořádá s cílem poskytnout pomoc při uplatňování zmíněných pokynů.
(9) Nejpozději do dvou let od přijetí tohoto doporučení je nutno poskytnout Komisi zpětnou vazbu ohledně uplat ňování zmíněných pokynů. Komise by poté měla úroveň ochrany údajů v CPCS dále posoudit a měla by vyhod notit, zda jsou zapotřebí další nástroje, včetně regulač ních opatření.
(2) Úř. věst. L 281, 23.11.1995, s. 31.
(3) Úř. věst. L 8, 12.1.2001, s. 1.
(10) Je nutno přijmout potřebná opatření s cílem usnadnit zúčastněným stranám a uživatelům CPCS uplatňování zmíněných pokynů. Vnitrostátní orgány pro ochranu údajů a evropský inspektor ochrany údajů by měli pečlivě sledovat vývoj a uplatňování záruk ochrany údajů, pokud jde o CPCS.
(11) Zmíněné pokyny doplňují rozhodnutí Komise 2007/76/ES (1) a berou v úvahu stanovisko pracovní skupiny pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízené podle článku 29 (2) směrnice o ochraně údajů a stanovisko evropského inspektora ochrany údajů (3) zřízeného článkem 41 naří zení o ochraně údajů (dále jen „EIOÚ“),
PŘIJALA TOTO DOPORUČENÍ:
Členské státy by měly dodržovat pokyny stanovené v příloze.
V Bruselu dne 1. března 2011.
Za Komisi Xxxx XXXXX člen Komise
(1) Úř. věst. L 32, 6.2.2007, s. 192.
(2) Stanovisko č. 6/2007 o problémech ochrany údajů v souvislosti se systémem pro spolupráci v oblasti ochrany spotřebitele, 01910/2007/EN – WP 130 – přijaté dne 21. září 2007.
(3) Stanovisko EIOÚ, ref. č. 2010-0692.
PŘÍLOHA
Pokyny k uplatňování pravidel ochrany údajů v systému pro spolupráci v oblasti ochrany spotřebitele (CPCS)
1. ÚVOD
Spolupráce mezi vnitrostátními orgány na ochranu spotřebitele je pro řádné fungování vnitřního trhu zásadní, jelikož neexistence účinného vymáhání práva v přeshraničních případech snižuje důvěru spotřebitelů při využívání přeshraničních nabídek, a tudíž jejich důvěru ve vnitřní trh, a vede rovněž k narušení hospodářské soutěže.
CPCS je nástroj informačních technologií, jenž byl zřízen nařízením o spolupráci v oblasti ochrany spotřebitele a který poskytuje strukturovaný mechanismus pro výměnu informací mezi vnitrostátními orgány na ochranu spotřebitele, jež tvoří síť pro spolupráci v oblasti ochrany spotřebitele. Kterémukoli orgánu veřejné správy umožňuje požádat ostatní orgány veřejné správy v této síti o pomoc při vyšetřování a řešení možného porušování právních předpisů EU v oblasti ochrany zájmů spotřebitele a při přijímání donucovacích opatření, která mají ukončit nepovolené obchodní praktiky prodejců a dodavatelů, kteří se zaměřují na spotřebitele žijící v jiných zemích EU. Prostřednictvím CPCS se podávají žádosti o informace a uskutečňuje se veškerá komunikace mezi příslušnými orgány veřejné správy týkající se uplatňování nařízení o spolupráci v oblasti ochrany spotřebitele.
Cílem nařízení o spolupráci v oblasti ochrany spotřebitele je zlepšit vymáhání dodržování zákonů na ochranu zájmů spotřebitele na celém vnitřním trhu, a to zřízením sítě vnitrostátních donucovacích orgánů v rámci celé EU, a stanovit podmínky, za nichž členské státy vzájemně spolupracují. V nařízení o spolupráci v oblasti ochrany spotřebitele je stanoveno, že tyto výměny informací a žádosti o vzájemnou pomoc mezi vnitrostátními donucovacími orgány je nutno uskutečňovat prostřednictvím určené databáze. CPCS byl proto navržen s cílem usnadnit tuto správní spolupráci a výměnu informací v zájmu vymáhání dodržování zákonů EU na ochranu zájmů spotřebitele.
Rozsah spolupráce je omezen na porušování právních aktů uvedených v příloze nařízení o spolupráci v oblasti ochrany spotřebitele, které chrání kolektivní ekonomické zájmy spotřebitelů, uvnitř Společenství.
2. OBLAST PŮSOBNOSTI A CÍL TĚCHTO POKYNŮ
Cílem těchto pokynů je zabývat se hlavním problémem souvisejícím se zajištěním rovnováhy mezi účinnou a účelnou spoluprací mezi příslušnými orgány členských států při vymáhání práva a současně dodržováním základních práv na soukromí a ochranu osobních údajů.
Osobní údaje jsou ve směrnici o ochraně údajů (1) definovány jako veškeré informace o identifikované nebo identifiko vatelné osobě; identifikovatelnou osobou je osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity.
Jelikož pracovníci vnitrostátních donucovacích orgánů (pracovníci, kteří vyřizují případy), jež jsou uživateli CPCS, nemusí být vždy odborníky v oblasti ochrany údajů a nemusí si být dostatečně vědomi požadavků na ochranu údajů, které ukládají jejich vnitrostátní právní předpisy týkající se ochrany údajů, je vhodné poskytnout uživatelům CPCS pokyny, v nichž je objasněno fungování CPCS z praktického hlediska ochrany údajů a kde jsou rovněž podrobně uvedena ochranná opatření, která jsou zabudována do systému, a možná rizika spojená s jeho používáním.
Tyto pokyny by měly pokrýt nejdůležitější záležitosti v oblasti ochrany údajů, které souvisí s CPCS, a poskytnout uživatelsky přívětivé vysvětlení, které mohou využít všichni uživatelé CPCS. Nejedná se však o vyčerpávající analýzu důsledků ochrany údajů v souvislosti s CPCS.
Důrazně se doporučuje konzultovat rovněž orgány pro ochranu údajů v členských státech s cílem zajistit, aby byly tyto pokyny doplněny specifickými povinnostmi uloženými ve vnitrostátních právních předpisech týkajících se ochrany údajů. Uživatelé CPCS mohou od těchto vnitrostátních orgánů pro ochranu údajů získat rovněž další pomoc a pokyny v zájmu splnění požadavků na ochranu údajů. Seznam těchto orgánů s kontaktními údaji a adresami internetových stránek je k dispozici na adrese:
xxxx://xx.xxxxxx.xx/xxxxxxx_xxxx/xxx/xxxxxxx/xxxxxxxxxxxx/#xx
Mělo by být zřejmé, že zpracovávání osobních údajů by mělo probíhat v souladu se zvláštními zásadami a podmínkami stanovenými ve směrnici o ochraně údajů. Pracovníci, kteří případy vyřizují, mají podle nařízení právo vyměňovat si prostřednictvím CPCS údaje, včetně osobních údajů, je-li účelem zpracování ukončení porušování zákonů EU na ochranu zájmů spotřebitele, které jsou uvedeny v příloze nařízení o spolupráci v oblasti ochrany spotřebitele. Před zpracováváním těchto údajů je však nutné zajistit, že jsou dodržovány zásady ochrany údajů a že je zpracovávání údajů nezbytně nutné k dosažení cílů nařízení o spolupráci v oblasti ochrany spotřebitele.
(1) Ustanovení čl. 2 písm. a).
Se zřetelem na tuto skutečnost musí pracovníci, kteří případy vyřizují a kteří mají přístup do CPCS, posoudit každý jednotlivý případ, než je možno provést zpracování osobních údajů (1). Cílem těchto pokynů je napomoci pracovníkům, kteří vyřizují případy, při tomto posuzování, a to uvedením některých hlavních zásad ochrany údajů, které je nutno vzít v úvahu.
Cílem je objasnit rovněž některé složitosti architektury CPCS, co se týká společných činností spojených se zpracováváním údajů a společné správy, a to vymezením úlohy Komise a úlohy příslušných orgánů členských států jakožto „společných správců“ při výměnách údajů v CPCS.
3. CPCS – NÁSTROJ INFORMAČNÍCH TECHNOLOGIÍ PRO SPOLUPRÁCI PŘI VYMÁHÁNÍ PRÁVA
CPCS je nástrojem informačních technologií, který byl navržen a je udržován Komisí ve spolupráci s členskými státy. CPCS má členským státům pomoci při praktickém uplatňování právních předpisů EU v oblasti ochrany zájmů spotře bitele. Je používán sítí pro spolupráci v oblasti ochrany spotřebitele složené z orgánů veřejné správy, které byly členskými státy a zeměmi EHP určeny za účelem vzájemné spolupráce a výměny informací při vymáhání dodržování zákonů na ochranu zájmů spotřebitele stanovených v nařízení o spolupráci v oblasti ochrany spotřebitele.
V článku 10 nařízení o spolupráci v oblasti ochrany spotřebitele je uvedeno:
„Komise vede elektronickou databázi, ve které ukládá a zpracovává informace obdržené podle článků 7, 8 a 9. Databáze je přístupná ke konzultaci pouze příslušným orgánům …“
V čl. 12 odst. 3 nařízení o spolupráci v oblasti ochrany spotřebitele se doplňuje:
„Žádosti o pomoc se podávají a veškeré informace se sdělují písemně na vzorových formulářích a zasílají se elektronicky prostřednictvím databáze vytvořené podle článku 10.“
CPCS usnadňuje spolupráci a výměny informací, které jsou omezeny na případy, kdy uvnitř Společenství dojde k porušení směrnic a nařízení uvedených v příloze nařízení o spolupráci v oblasti ochrany spotřebitele, jež se zabývají řadou témat, včetně nekalých obchodních praktik, prodeje na dálku, spotřebitelského úvěru, souborných služeb pro cesty, nepřiměře ných smluvních podmínek, dočasného užívání, elektronického obchodu a dalších. CPCS nelze použít k výměně informací v legislativních oblastech, jež nejsou ve zmíněné příloze výslovně uvedeny.
Příklady:
I. Obchodník usazený v Belgii používá při svých obchodech se spotřebiteli, kteří mají bydliště ve Francii, nepřiměřené podmínky v rozporu se směrnicí o nepřiměřených smluvních podmínkách. Orgán na ochranu spotřebitele ve Francii může CPCS využít k předložení žádosti orgánu na ochranu spotřebitele v Belgii, aby vůči tomuto obchodníkovi přijal veškerá nezbytná donucovací opatření, která jsou dostupná v Belgii, s cílem neprodleně ukončit protiprávní jednání uvnitř Společenství.
II. Orgán na ochranu spotřebitele v Dánsku obdrží stížnosti, že určité internetové stránky používají podvodné a klamavé obchodní praktiky na úkor spotřebitelů. Internetové stránky jsou hostovány ve Švédsku. Dánský orgán na ochranu spotřebitele potřebuje informace týkající se těchto internetových stránek. Může proto využít CPCS, aby si tyto informace vyžádal u švédského orgánu na ochranu spotřebitele, který je povinen požadované informace poskytnout.
Informace jsou zasílány členskými státy, jsou uchovávány v CPCS, přístup k nim mají členské státy, jimž byly informace určeny, a jsou vymazány Komisí (2). CPCS se používá jako úložiště informací a jako prostředek k výměně informací prostřednictvím účinného a bezpečného komunikačního systému.
Z hlediska ochrany údajů vytváří zřízení takovéto databáze vždy určitá rizika pro základní právo na ochranu osobních údajů: sdílení více údajů, než je nezbytně nutné pro účely účinné spolupráce, ponechání údajů, které již měly být vymazány, a uchovávání údajů, které již nejsou přesné či jsou nesprávné, a nezajištění ochrany práv subjektů údajů a povinností správců údajů. Je proto nutné se těmito riziky zabývat a zajistit, aby byli uživatelé CPCS náležitě informováni a školeni v pravidlech ochrany údajů a byli schopni zajistit dodržování platných právních předpisů týkajících se ochrany údajů.
4. PRÁVNÍ A DOHLEDOVÝ RÁMEC PRO OCHRANU ÚDAJŮ
Evropská unie má pevně stanovený právní rámec pro ochranu údajů od roku 1995: směrnici o ochraně údajů (3), která upravuje zpracovávání osobních údajů členskými státy, a nařízení o ochraně údajů (4), které upravuje zpracovávání osobních údajů orgány a institucemi Evropské unie. Uplatňování právních předpisů týkajících se ochrany údajů v současné době závisí na tom, kdo je zúčastněnou stranou nebo uživatelem CPCS.
(1) Je nutno uvést, že zásady ochrany údajů se vztahují na údaje uchovávané v elektronické i papírové podobě.
(2) Pokud jde o zvláštní pravidla týkající se výmazu údajů: viz rozhodnutí 2007/76/ES a „Síť pro spolupráci v oblasti ochrany spotřebitele: provozní příručka“.
(3) Směrnice 95/46/ES.
(4) Nařízení (ES) č. 45/2001.
Činnosti Komise spojené se zpracováváním údajů se řídí nařízením o ochraně údajů a činnosti pracovníků v příslušných vnitrostátních donucovacích orgánech, kteří případy vyřizují, spojené se zpracováváním údajů jsou upraveny vnitrostát ními právními předpisy k provedení směrnice o ochraně údajů.
Komise a určené příslušné orgány (jako společní správci) jsou jakožto dva hlavní uživatelé, kteří hrají v CPCS zvláštní úlohu, povinny oznamovat a předkládat své činnosti spojené se zpracováváním údajů k předběžné kontrole příslušným orgánům dohledu a zajistit soulad s pravidly ochrany údajů. Vnitrostátní předpisy, jimiž se provádí směrnice o ochraně údajů, však mohou stanovit výjimky z požadavků jak na oznamování, tak na předběžné schválení.
Harmonizace právních předpisů týkajících se ochrany údajů měla zajistit vysokou úroveň ochrany údajů a zaručit základní práva fyzických osob a současně umožnit volný pohyb osobních údajů mezi členskými státy. Vzhledem ke skutečnosti, že vnitrostátní prováděcí opatření mohou mít za následek odlišná pravidla, uživatelům CPCS se důrazně doporučuje, aby v zájmu zajištění souladu s pravidly ochrany údajů tyto pokyny projednali se svými vnitrostátními orgány pro ochranu údajů, jelikož pravidla se mohou lišit, pokud jde např. o informace, které mají být poskytovány fyzickým osobám, nebo o povinnost oznámit určité činnosti spojené se zpracováváním údajů orgánům pro ochranu údajů.
Důležitým znakem právního rámce EU pro ochranu údajů je dohled ze strany nezávislých orgánů pro ochranu údajů. Občané mají právo podat u těchto orgánů stížnosti a bezodkladně řešit své obavy v souvislosti s ochranou údajů mimosoudní cestou. Na zpracovávání osobních údajů na vnitrostátní úrovni dohlížejí vnitrostátní orgány pro ochranu údajů a na zpracovávání osobních údajů evropskými orgány dohlíží evropský inspektor ochrany údajů (EIOÚ) (1). Komise proto podléhá dohledu ze strany EIOÚ a ostatní uživatelé CPCS dohledu ze strany vnitrostátních orgánů pro ochranu údajů.
5. KDO JE KDO V CPCS? – OTÁZKA SPOLEČNÉ SPRÁVY
CPCS je jednoznačným příkladem společných činností spojených se zpracováváním údajů a společné správy. Ačkoliv osobní údaje shromažďují, zaznamenávají, zveřejňují a vzájemně si je vyměňují pouze příslušné orgány v členských státech, Komise odpovídá za uchovávání a výmaz těchto údajů na svých serverech. Komise nemá k těmto osobním údajům přístup, je však považována za správce systému a jeho provozovatele.
Rozdělení jednotlivých úkolů a odpovědností mezi Komisi a členské státy lze proto shrnout následovně:
— Každý příslušný orgán je správcem údajů s ohledem na vlastní činnosti spojené se zpracováváním údajů.
— Komise není uživatelem, nýbrž provozovatelem systému a odpovídá především za údržbu a bezpečnost architektury systému. Komise však má přístup rovněž k upozorněním, zpětným informacím a ostatním údajům souvisejícím s daným případem (2). Tento přístup má Komise proto, aby mohla monitorovat uplatňování nařízení o spolupráci v oblasti ochrany spotřebitele a také předpisů na ochranu spotřebitelů uvedených v příloze nařízení o spolupráci v oblasti ochrany spotřebitele a shromažďovat statistické informace související s těmito povinnostmi. Komise však nemá přístup k informacím obsaženým v žádostech o vzájemnou pomoc a donucovací opatření, jelikož tyto jsou určeny pouze příslušným orgánům členských států, které se zabývají konkrétním dotyčným případem. Nařízení o ochraně údajů však nestanoví možnost, aby Komise mohla pomáhat příslušným orgánům v případě určitých sporů (3) a aby byla přizvána k účasti na koordinovaném šetření týkajícím se více než dvou členských států (4).
— Zúčastněné strany CPCS sdílejí odpovědnost za zákonnost zpracovávání, poskytování informací a udělování práva na přístup, námitku a opravu.
— Komise i příslušné orgány ve funkci správců odpovídají individuálně za zajištění toho, aby byla pravidla týkající se jejich činností spojených se zpracováváním údajů slučitelná s pravidly ochrany údajů.
6. ZÚČASTNĚNÉ STRANY A UŽIVATELÉ CPCS
V rámci CPCS existují různé profily pro přístup: přístup k databázi je omezený a je přidělen pouze určenému pracov níkovi příslušného orgánu (ověřený uživatel), přičemž tento přístup je nepřenosný. Žádostem o přístup do CPCS lze vyhovět pouze v případě pracovníků, které příslušné orgány členských států oznámily Komisi. Pro vstup do systému je zapotřebí přihlašovací jméno a heslo, které lze získat u ústředního styčného úřadu.
Úplný přístup k veškerým informacím, které byly v daném případě vyměněny, včetně všech příloh ve spisu CPCS, mají pouze uživatelé v dožádaném a dožadujícím příslušném orgánu. Ústřední styčné úřady si mohou přečíst pouze hlavní informace o případu, aby mohly určit příslušný orgán, jemuž je nutno žádost postoupit. Nemohou si přečíst důvěrné dokumenty přiložené k žádosti nebo upozornění.
(1) xxxx://xxx.xxxx.xxxxxx.xx/XXXXXXX/xxxx/XXXX.
(2) Články 8, 9 a 15 nařízení (ES) č. 2006/2004 o spolupráci v oblasti ochrany spotřebitele.
(3) Ustanovení čl. 8 odst. 5 nařízení (ES) č. 2006/2004 o spolupráci v oblasti ochrany spotřebitele.
(4) Článek 9 nařízení (ES) č. 2006/2004 o spolupráci v oblasti ochrany spotřebitele.
V případech týkajících se vymáhání práva jsou obecné informace sdíleny mezi uživateli ve všech příslušných orgánech, které byly oznámeny jako příslušné pro porušené právní akty. To se uskutečňuje prostřednictvím oznámení. Tato oznámení by měla obsahovat podrobný popis případu a neměly by v nich být uvedeny osobní údaje. Existují však výjimky, jako např. jméno prodejce či dodavatele (jedná-li se o fyzickou osobu).
Komise nemá přístup k žádostem o informace a donucovací opatření či důvěrným dokumentům, dostává však oznámení a upozornění.
7. ZÁSADY OCHRANY ÚDAJŮ VZTAHUJÍCÍ SE NA VÝMĚNY INFORMACÍ
Zpracovávání osobních údajů uživateli CPCS v členských státech se může uskutečnit pouze za podmínek a v souladu se zásadami, jež jsou stanoveny ve směrnici o ochraně údajů. Správce údajů odpovídá za zajištění toho, že při zpracovávání osobních údajů v CPCS jsou dodržovány zásady ochrany údajů.
Je třeba rovněž zmínit, že se na CPCS vztahují pravidla týkající se důvěrnosti údajů i ochrany údajů. Pravidla týkající se důvěrnosti údajů a profesního tajemství se mohou vztahovat na údaje obecně, zatímco pravidla ochrany údajů jsou omezena na osobní údaje.
Je důležité mít na paměti, že uživatelé CPCS v členských státech odpovídají za mnoho jiných činností spojených se zpracováváním údajů a nemusí být odborníky v oblasti ochrany údajů. Dodržování pravidel ochrany údajů v CPCS nesmí být zbytečně složité, ani představovat nadměrnou administrativní zátěž. Nemusí se rovněž jednat o univerzální systém. Tyto pokyny představují doporučení týkající se zacházení s osobními údaji a je nutno připomenout, že ne všechny údaje, které jsou v rámci CPCS vyměňovány, jsou osobními údaji.
Před každým odesláním informací do CPCS musí pracovníci donucovacích orgánů posoudit, zda jsou osobní údaje, které mají být zaslány, nezbytně nutné k dosažení účelů účinné spolupráce, a rovněž uvážit, komu osobní údaje zasílají. Pracovník donucovacího orgánu se musí sám sebe zeptat, zda příjemce tyto informace skutečně potřebuje pro účely upozornění nebo žádosti o vzájemnou pomoc.
Níže uvedený seznam základních zásad ochrany údajů má pracovníkům donucovacích orgánů, kteří mají přístup do CPCS, pomoci při provádění posouzení v každém jednotlivém případě, zda jsou dodržována pravidla ochrany údajů související se zpracováváním osobních údajů, a to pokaždé, když osobní údaje zpracovávají v systému. Pracovníci donucovacích orgánů by měli mít rovněž na paměti, že na vnitrostátní úrovni mohou existovat výjimky a omezení týkající se uplatňování zásad ochrany údajů, jež jsou uvedeny níže, a doporučuje se, aby své vnitrostátní orgány pro ochranu údajů konzultovali (1).
Jaké zásady ochrany údajů je třeba dodržovat?
Obecné zásady týkající se ochrany údajů, jež je nutno mít na paměti před zpracováním osobních údajů, byly převzaty ze směrnice o ochraně údajů. Jelikož tato směrnice byla provedena do vnitrostátního práva, pracovníkům, kteří případy vyřizují, se připomíná, aby konzultovali své vnitrostátní orgány pro dohled nad ochranou údajů, pokud jde o uplatňování níže uvedených zásad, a doporučuje se, aby ověřili, zda se na uplatňování těchto zásad nevztahují případné výjimky nebo omezení.
Zásada transparentnosti
Podle směrnice o ochraně údajů má subjekt údajů právo být informován, jsou-li zpracovávány jeho osobní údaje. Správce údajů musí předložit svůj název a adresu, účel zpracování údajů, příjemce údajů a veškeré další informace požadované k zajištění korektního zpracování údajů (2).
Údaje lze zpracovávat pouze za těchto okolností (3):
— dal-li subjekt údajů ke zpracování souhlas,
— je-li zpracování údajů nezbytné k plnění smlouvy nebo k jejímu uzavření,
— je-li zpracování údajů nezbytné k dodržení právní povinnosti,
— je-li zpracování údajů nezbytné k ochraně nezbytných zájmů subjektu údajů,
(1) Ustanovení čl. 11 odst. 2 a článku 13 směrnice 95/46/ES.
(2) Články 10 a 11 směrnice 95/46/ES.
(3) Článek 7 směrnice 95/46/ES.
— je-li zpracování údajů nezbytné k provedení úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce nebo třetí osoba, které jsou údaje sdělovány,
— je-li zpracování údajů nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány.
Zásada zákonnosti a korektnosti
Osobní údaje nelze shromažďovat nekorektním či nezákonným způsobem, ani je používat pro účely, které nejsou v souladu s účely stanovenými v nařízení o spolupráci v oblasti ochrany spotřebitele. Aby bylo zpracování zákonné, musí pracovníci, kteří případy vyřizují, zajistit, že mají jednoznačné důvody pro zpracování. Zpracování musí být prováděno za specifickými, jednoznačnými a zákonnými účely a nelze k němu přistoupit v rozporu s těmito účely (1). Tyto důvody mohou být stanoveny pouze v nařízení o spolupráci v oblasti ochrany spotřebitele.
Aby bylo zpracování korektní, musí být subjekty údajů informovány o účelech, pro něž mají být jejich údaje zpraco vávány, a o existenci práva na přístup, opravu a námitku.
Zásada přiměřenosti a přesnosti a lhůty pro uchovávání údajů
Informace musí být přiměřené, podstatné a nepřesahující míru s ohledem na účely, pro které jsou shromažďovány a/nebo dále zpracovávány. Údaje musí být přesné a aktuální, je-li to nezbytné; musí být přijata veškerá rozumná opatření, aby nepřesné nebo neúplné údaje s ohledem na účely, pro které byly shromažďovány nebo dále zpracovávány, byly vymazány nebo opraveny; osobní údaje musí být uchovávány ve formě, jež neumožňuje identifikaci subjektů údajů déle, než je nutné pro účely, pro něž byly údaje shromážděny nebo zpracovány. Je třeba vytvořit vhodná ochranná opatření pro osobní údaje, jež jsou uchovávány delší dobu k historickému, statistickému nebo vědeckému využití.
Pracovníci, kteří případy vyřizují, musí posoudit, zda informace, které zpracovávají, jsou nezbytně nutné pro účely, jichž má být dosaženo.
Zásada omezení účelu
Osobní údaje musí být shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmějí být dále zpraco vávány způsobem neslučitelným s účely, na něž je subjekt údajů upozorněn. Pracovníci, kteří případy vyřizují, by měli zpracovávat osobní údaje pouze v případě, existuje-li jednoznačný účel zpracování, tj.: v nařízení o spolupráci v oblasti ochrany spotřebitele existují právní důvody pro předání údajů.
Právo na přístup
Podle směrnice o ochraně údajů (2) mají subjekty údajů právo být informovány o zpracovávání svých osobních údajů, o účelech zpracovávání, o příjemcích údajů a o svých zvláštních právech, tj. právu na informace a opravu. Subjekt údajů má právo na přístup ke všem svým údajům, jež jsou zpracovávány. Subjekt údajů má rovněž právo požádat o opravu, výmaz nebo blokování neúplných nebo nepřesných údajů nebo údajů, jež nebyly zpracovány v souladu s pravidly ochrany údajů (3).
Citlivé údaje
Je zakázáno zpracovávání údajů, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, odborovou příslušnost, údajů týkajících se zdraví, sexuálního života, protiprávního jednání a rozsudků v trestních věcech. Směrnice o ochraně údajů (4) však stanoví určité výjimky z tohoto pravidla, kdy mohou být citlivé údaje za stanovených podmínek zpracovávány (5). Jelikož se uživatelé CPCS mohou ocitnout v situaci, kdy nakládají s citlivými údaji (6), doporučuje se přistupovat k citlivým údajům obezřetně. Uživatelům CPCS se doporučuje, aby se obrátili na svůj vnitrostátní orgán pro ochranu údajů a zjistili, zda se na zpracovávání citlivých údajů vztahují výjimky.
Výjimky
V souvislosti s předcházením trestným činům a jejich vyšetřováním, odhalováním a stíháním stanoví směrnice o ochraně údajů možnost některých výjimek. Pracovníkům, kteří případy vyřizují, se doporučuje prostudovat vnitrostátní právní předpisy, aby posoudili, zda jsou takovéto výjimky možné a v jakém rozsahu (7). Mají-li být použity výjimky, doporučuje se, aby byly jednoznačně uvedeny v prohlášení každého příslušného orgánu o ochraně osobních údajů.
(1) Ustanovení čl. 6.1 písm. b) směrnice 95/46/ES.
(2) Články 10, 11 a 12 směrnice 95/46/ES.
(3) Článek 12 směrnice 95/46/ES.
(4) Ustanovení čl. 8 odst. 2 směrnice 95/46/ES.
(5) Článek 8 směrnice 95/46/ES.
(6) Kapitola 4 přílohy rozhodnutí 2007/76/ES.
(7) Stanovisko č. 6/2007 o problémech ochrany údajů v souvislosti se systémem pro spolupráci v oblasti ochrany spotřebitele, 01910/2007/EN – WP 130 – přijaté dne 21. září 2007, s. 24–26.
Uplatňování zásad ochrany údajů
Uplatňování těchto zásad ochrany údajů na fungování CPCS vede k těmto doporučením:
1. Používání CPCS by mělo být důsledně omezeno na účely stanovené v nařízení o spolupráci v oblasti ochrany spotřebitele. V čl. 13 odst. 1 nařízení o spolupráci v oblasti ochrany spotřebitele se uvádí, že sdělené informace lze použít pouze pro účely zajišťování souladu se zákony na ochranu zájmů spotřebitelů. Tyto zákony jsou uvedeny v příloze zmíněného nařízení.
2. Doporučuje se, aby pracovníci donucovacích orgánů používali informace získané na základě žádosti o vzájemnou pomoc či upozornění pouze pro účely související s daným případem a za přísného dodržení zákonných požadavků na ochranu údajů a aby předem posoudili, zda je třeba zpracovávat údaje v rámci šetření, které je prováděno v zájmu široké veřejnosti.
3. Při předávání údajů posoudí pracovníci donucovacích orgánů v každém jednotlivém případě to, kdo by měl být příjemcem informací, jež mají být zpracovávány.
4. Uživatelé CPCS by měli pečlivě zvolit otázky uvedené v žádosti o vzájemnou pomoc a nevyžadovat více údajů, než je nezbytné. Jedná se nejen o otázku dodržování zásad pro kvalitu údajů, nýbrž rovněž o záležitost související se snižováním administrativní zátěže.
5. Směrnice o ochraně údajů (1) vyžaduje, aby byly osobní údaje přesné a aktualizované. Doporučuje se, aby k zajištění přesnosti údajů uložených v CPCS přispíval příslušný orgán, který informace poskytl. V CPCS byly jako další funkce přidány zprávy ve vyskakovacích oknech, které pracovníkům, kteří případy vyřizují, pravidelně připomínají, aby ověřili, zda jsou osobní údaje přesné a aktualizované.
6. Praktickým způsobem, jak subjekty údajů informovat o jejich právech, je využití podrobného prohlášení o ochraně údajů na internetových stránkách. Doporučuje se, aby každý příslušný orgán na svých internetových stránkách uvedl prohlášení o ochraně údajů. Každé prohlášení o ochraně údajů by mělo splňovat informační povinnosti stanovené ve směrnici o ochraně údajů, obsahovat odkaz na internetové stránky s prohlášením Komise o ochraně údajů a uvádět rovněž další informace, včetně kontaktních údajů dotyčného příslušného orgánu, jakož i případná vnitrostátní omezení týkající se práva na přístup nebo informace. Všichni dotčení správci údajů odpovídají za zajištění toho, aby byla zveřejněna prohlášení o ochraně údajů.
7. Subjekt údajů může požádat o přístup, opravu a výmaz svých osobních údajů z více než jednoho zdroje. Ačkoliv každý příslušný orgán jakožto správce údajů odpovídá za vlastní činnosti spojené se zpracováváním údajů, mělo by se přistoupit ke koordinované reakci na žádosti týkající se přeshraničních případů. Doporučuje se, aby v těchto případech příslušné orgány o obdržení žádosti informovaly ostatní dotčené příslušné orgány.
Jestliže se příslušný orgán domnívá, že by vyhovění žádosti mohlo ovlivnit postup vyšetřování nebo vymáhání práva, který provádějí jiné příslušné orgány, měl by si první orgán dříve, než žádosti vyhoví, vyžádat stanovisko druhého orgánu.
Subjekt údajů se může se svou žádostí obrátit rovněž na Komisi. Komise může vyhovět pouze žádosti o údaje, k nimž má přístup. Po přijetí žádosti by Komise měla konzultovat příslušný orgán, který informace poskytl. Nejsou-li vzneseny žádné námitky, nebo pokud příslušný orgán nereaguje v přiměřené lhůtě, může Komise rozhodnout, zda žádosti vyhoví či nevyhoví, na základě nařízení o ochraně údajů. Komise by si měla vyžádat rovněž stanovisko příslušných orgánů, jejichž vyšetřovací činnosti nebo činnosti vymáhání práva mohou být ohroženy, bude-li žádosti vyhověno. Komise by měla přezkoumat, zda by takové výměny usnadnilo, kdyby byly do CPCS doplněny některé technické funkce.
8. V rozhodnutí 2007/76/ES, kterým se provádí nařízení o spolupráci v oblasti ochrany spotřebitele, je stanoveno, že v rámci CPCS budou vytvořeny kolonky pro jména ředitelů společností. Pracovníci donucovacích orgánů musí posoudit, zda je uvedení tohoto typu osobních údajů nezbytné pro vyřešení případu. Před každým odesláním infor mací do CPCS a před zasláním upozornění nebo žádosti o vzájemnou pomoc jinému příslušnému orgánu je třeba v každém jednotlivém případě posoudit, zda je nezbytné ve vyhrazené kolonce uvést jméno ředitele společnosti.
9. Rozhodnutí 2007/76/ES, kterým se provádí nařízení o spolupráci v oblasti ochrany spotřebitele, vyžaduje, aby příslušný orgán, který odesílá žádosti o informace nebo donucovací opatření či upozornění, uvedl, zda je nutno s informacemi nakládat jako s důvěrnými. Učiní tak v každém jednotlivém případě. Obdobně musí dožádaný orgán při poskytnutí informací uvést, zda se má s informacemi zacházet jako s důvěrnými. CPCS obsahuje implicitní funkci, pomocí níž musí uživatelé CPCS výslovně povolit přístup k dokumentům, a to kliknutím na příznak pro důvěrné údaje.
(1) Ustanovení čl. 6.1 písm. d) směrnice 95/46/ES.
8. CPCS A OCHRANA ÚDAJŮ
Prostředí příznivé pro ochranu údajů
CPCS byl vytvořen s přihlédnutím k požadavkům právních předpisů v oblasti ochrany údajů:
— CPCS používá s-TESTA, což jsou zabezpečené transevropské služby pro telematiku mezi správními orgány. Nabízejí řízenou, spolehlivou a bezpečnou celoevropskou komunikační platformu pro evropské a vnitrostátní správní orgány. Síť s-TESTA je založena na jednoúčelové uzavřené infrastruktuře zcela oddělené od internetu. Struktura systému obsahuje vhodná bezpečnostní opatření, jež mají zajistit co nejlepší ochranu sítě. Síť podléhá bezpečnostní akreditaci, čímž je zaručeno, že je schopná přenášet tajné informace na úrovni „EU Restricted“.
— Byla zavedena řada technických funkcí: zabezpečená a osobní hesla pro oznámené příslušné pracovníky v určených orgánech, používání bezpečné sítě s-TESTA, zprávy ve vyskakovacích oknech, které pracovníkům, kteří případy vyřizují, připomínají, že při zpracovávání osobních údajů musí vzít v úvahu pravidla ochrany údajů, vytváření různých uživatelských profilů, které přístup k informacím upravují v závislosti na úloze uživatelů (příslušný orgán, ústřední styčný orgán nebo Komise), možnost omezit přístup k dokumentům tím, že jsou označeny jako důvěrné, a zpráva na domovské stránce CPCS, která upozorňuje na pravidla ochrany údajů.
— Prováděcí pravidla (1), která zahrnují hlavní aspekty k zajištění dodržování ochrany údajů: jednoznačná pravidla pro výmaz (které informace; jak a kdy údaje vymazat); zásady, které upřesňují druhy přístupu k informacím (úplný přístup mají pouze přímo dotčené příslušné orgány a ostatní mají přístup pouze k obecným informacím).
— Provozní pokyny (2), které blíže objasňují, co je nutno uvážit při vyplňování jednotlivých kolonek a uplatňování těchto pokynů (3).
— Roční přezkumy s cílem zajistit, aby příslušné orgány ověřovaly přesnost osobních údajů (plánuje se označování, dosud však není zavedeno) a rovněž aby byly případy uzavřeny a/nebo vymazány, jak je stanoveno v pravidlech, k zajištění toho, aby se na tyto případy nezapomnělo. Komise bude se členskými státy pravidelně pořádat systematické posuzování jednotlivých případů, jež byly otevřeny podstatně déle, než průměrnou dobu pro řešení případů.
— Automatický výmaz případů týkajících se vzájemné pomoci 5 let po uzavření případu, jak se vyžaduje v nařízení o spolupráci v oblasti ochrany spotřebitele.
— CPCS je vyvíjejícím se nástrojem informačních technologií, který má být příznivý pro ochranu údajů. Do architektury systému již bylo zabudováno mnoho ochranných funkcí, jak bylo popsáno výše. V případě potřeby hodlá Komise vyvinout další zlepšení.
Některé dodatečné pokyny
Jak dlouho by měl být případ uložen a kdy by měl uzavřen a vymazán?
Informace z CPCS může vymazat pouze Komise (4), která tak obvykle činí na žádost příslušného orgánu. V takovéto žádosti musí příslušný orgán uvést důvody pro výmaz. Jedinou výjimkou jsou žádosti o donucovací opatření. Tyto žádosti Komise automaticky vymaže 5 let po uzavření případu dožadujícím orgánem.
Pravidla s danými lhůtami byla stanovena s cílem zajistit výmaz údajů, které již nejsou zapotřebí, nepřesných údajů, údajů, které se ukázaly jako nepodložené, a/nebo údajů, jež byly uloženy po maximální stanovenou dobu uchovávání.
Proč je doba uchovávání údajů stanovena na 5 let?
Doba uchovávání má usnadnit spolupráci mezi orgány veřejné správy příslušnými pro vymáhání dodržování zákonů na ochranu zájmů spotřebitelů při řešení protiprávního jednání uvnitř Společenství a přispět k bezproblémovému fungování vnitřního trhu, kvalitnímu a jednotnému vymáhání dodržování zákonů na ochranu zájmů spotřebitelů, sledování ochrany ekonomických zájmů spotřebitelů a k zvýšení úrovně a jednotnosti při vymáhání práva. Během doby uchovávání údajů mohou ověření uživatelé – úředníci donucovacích orgánů pracující pro příslušný orgán, který se případem původně zabýval, nahlédnout do spisu, a stanovit tak souvislost s potenciálně se opakujícími případy protiprávního jednání, která pomůže lepšímu a účinnějšímu vymáhání práva.
(1) Rozhodnutí 2007/76/ES.
(2) Síť pro spolupráci na ochranu spotřebitele: provozní pokyny – schváleny výborem pro spolupráci v oblasti ochrany spotřebitele dne
8. června 2010.
(3) Obsah těchto pokynů bude začleněn do budoucích školení týkajících se CPCS.
(4) Článek 10 nařízení (ES) č. 2006/2004 o spolupráci v oblasti ochrany spotřebitele a kapitola 2 přílohy rozhodnutí 2007/76/ES, kterým se provádí nařízení o spolupráci v oblasti ochrany spotřebitele.
Jaké informace lze zahrnout do diskusního fóra?
K CPCS je připojeno diskusní fórum, které představuje nástroj určený pro výměnu informací ohledně záležitostí, jako jsou nové donucovací pravomoci a osvědčené postupy. Diskusní fórum, přestože jej pracovníci donucovacích orgánů nevy užívají často, by obecně nemělo sloužit k výměně údajů souvisejících s případem a nemělo by odkazovat na osobní údaje.
Jaký druh údajů lze zahrnout do stručných shrnutí a přiložených dokumentů?
V rozhodnutí 2007/76/ES, kterým se provádí nařízení o spolupráci v oblasti ochrany spotřebitele, je pro upozornění a žádosti o informace a donucovací opatření stanovena kolonka „přiložené dokumenty“. Stručná shrnutí jsou kolonky, v nichž je nutno uvést popis protiprávního jednání. Doporučuje se, aby do stručných shrnutí nebyly zahrnuty osobní údaje, jelikož účelem těchto kolonek je obecný popis protiprávního jednání. Osobní údaje v přiložených dokumentech, které nejsou naprosto nezbytné, by měly být začerněny nebo odstraněny.
Co se rozumí „důvodným podezřením“, že došlo k protiprávnímu jednání?
Důvodné podezření je nutno vykládat v souladu s vnitrostátními právními předpisy. Doporučuje se však, aby podezření na protiprávní jednání byla do CPCS zařazena pouze tehdy, existují-li na podporu daného případu určité důkazy o protiprávním jednání nebo o pravděpodobném protiprávním jednání.
Jak postupovat v případě předávání do třetích zemí?
Nařízení o spolupráci v oblasti ochrany spotřebitele (1) stanoví, že informace sdělené podle tohoto nařízení může členský stát, který má dvoustrannou dohodu o pomoci, rovněž sdělit orgánu třetí země, dá-li k tomu souhlas příslušný orgán, který informace původně poskytl, a jsou-li splněny předpisy o ochraně údajů.
Dokud Evropská unie neuzavře mezinárodní dohodu o ujednáních o vzájemné spolupráci (2) se třetí zemí, doporučuje se, aby jakékoli dvoustranné dohody o pomoci uzavřené s dotčenou třetí zemí stanovily přiměřená opatření na ochranu údajů a aby byly oznámeny příslušným orgánům pro dohled nad ochranou údajů, aby bylo možno provést předběžnou kontrolu, s výjimkou situace, kdy Komise zjistí, že třetí země zaručuje odpovídající úroveň ochrany osobních údajů přenášených z Unie v souladu s článkem 25 směrnice o ochraně údajů.
(1) Ustanovení čl. 14 odst. 2 nařízení (ES) č. 2006/2004 o spolupráci v oblasti ochrany spotřebitele.
(2) Článek 18 nařízení (ES) č. 2006/2004 o spolupráci v oblasti ochrany spotřebitele.