STANOVISKA
I
(Usnesení, doporučení a stanoviska)
STANOVISKA
EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ
Stanovisko evropského inspektora ochrany údajů k návrhu rámcového rozhodnutí Rady o používání jmenné evidence cestujících pro účely vynucování práva
(2008/C 110/01)
EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,
s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 286 této smlouvy,
s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 této listiny,
s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (1),
s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (2), a zejména na článek 41 tohoto nařízení,
s ohledem na žádost o stanovisko v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 obdrženou od Evropské komise dne
13. listopadu 2007,
rámcového rozhodnutí Rady o používání jmenné evidence cestujících pro účely vynucování práva (dále jen „návrh“).
2. Návrh se týká zpracování údajů jmenné evidence cestují- cích (PNR) v rámci EU a úzce souvisí s dalšími systémy shromažďování a používání údajů cestujících, zejména s dohodou mezi EU a USA z července roku 2007. Tyto systémy jsou pro evropského inspektora ochrany údajů předmětem značného zájmu a inspektor již měl možnost předložit několik předběžných připomínek k dotazníku Komise, jenž se týkal plánovaného systému PNR Evropské unie a byl zaslán příslušným zúčastněným stranám (3) v prosinci roku 2006. Evropský inspektor ochrany údajů vítá konzultaci ze strany Komise. Podle evropského inspektora ochrany údajů by toto stanovisko mělo být uvedeno v preambuli rozhodnutí Rady.
Návrh v souvislostech
PŘIJAL TOTO STANOVISKO:
I. ÚVOD
3. Cílem návrhu je harmonizovat právní předpisy členských států o povinnostech pro letecké dopravce, kteří provozují lety na území nebo z území alespoň jednoho členského státu, v souvislosti s předáváním údajů PNR příslušným orgánům za účelem předcházení teroristickým trestným činům a organizované trestné činnosti a boje proti nim.
Konzultace s evropským inspektorem ochrany údajů
1. V souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 Komise zaslala evropskému inspektorovi ochrany údajů návrh
(1) Úř. věst. L 281, 23.11.1995, s. 31.
(2) Úř. věst. L 8, 12.1.2001, s. 1.
4. Evropská unie uzavřela s USA i s Kanadou ujednání o předávání údajů PNR pro účely srovnání. První dohoda uzavřená s USA v květnu roku 2004 byla nahrazena
(3) Včetně členských států, úřadů pro ochranu údajů a sdružení leteckých společností. Komise dotazník vypracovala s ohledem na přípravu posouzení dopadů tohoto návrhu.
novou dohodou v červenci roku 2007 (1). Podobná dohoda byla uzavřena v červenci roku 2005 s Kanadou (2). Ohledně dohody o výměně údajů PNR mají být dále zahájena jednání mezi EU a Austrálií a rovněž Jižní Korea v současné době vyžaduje údaje PNR týkající se letů na její území, i když v tomto stadiu se žádná jednání na evropské úrovni neplánují.
5. V rámci EU je tento návrh doplněním směrnice Rady 2004/82/ES (3) o povinnosti dopravců předávat údaje o cestujících známé jako údaje API za účelem boje proti nedovolenému přistěhovalectví a zdokonalení hraničních kontrol. Uvedená směrnice měla být provedena ve vnitro- státním právu členských států nejpozději dne 5. září 2006. Její provádění však dosud není ve všech členských státech zajištěno.
6. Narozdíl od údajů týkajících se předběžných informací o cestujících (API), jež by měly pomoci identifikovat fyzické osoby, údaje PNR uvedené v návrhu by přispěly k vypracování hodnocení rizik osob, k získání nových infor- mací a nacházení souvislostí mezi známými a neznámými lidmi.
7. Hlavní aspekty návrhu lze shrnout následovně:
— uložení povinnosti leteckým dopravcům poskytovat údaje PNR příslušným orgánům členských států za účelem předcházení teroristickým trestným činům a organizované trestné činnosti a boje proti nim,
— zřízení složky pro informace o cestujících odpovědné za shromažďování údajů PNR od leteckých dopravců (či určených zprostředkovatelů) a za provádění hodno- cení rizik cestujících v zásadě v každém členském státě,
— předávání informací vyhodnocených na tomto základě příslušným orgánům v jednotlivých členských státech a jejich výměna s jinými členskými státy případ od případu za výše uvedeným účelem,
— předávání informací do zemí mimo Evropskou unii bude podléhat dodatečným podmínkám,
(1) Dohoda mezi Evropskou unií a Spojenými státy americkými o zpracovávání údajů jmenné evidence cestujících (PNR) leteckými dopravci a o jejich předávání Ministerstvu vnitřní bezpečnosti Spoje- ných států amerických (dohoda PNR z roku 2007), (Úř. věst. L 204, 4.8.2007, s. 18).
(2) Dohoda mezi Evropským společenstvím a vládou Kanady o zpracovávání a předávání předběžných informací o cestujících a záznamů o knihování cestujících, (Úř. věst. L 82, 21.3.2006, s. 15).
(3) Směrnice Rady 2004/82/ES ze dne 29. dubna 2004 o povinnosti dopravců předávat údaje o cestujících, (Úř. věst. L 261, 6.8.2004, s. 24).
— stanovení doby uchovávání těchto údajů na třináct let, přičemž po dobu posledních osmi let budou tyto údaje uchovávány v databázi přístupné pouze za výjimeč- ných okolností,
— na zpracování osobních údajů podle tohoto rámco- vého rozhodnutí bude použitelné rámcové rozhodnutí o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech (dále jen „rámcové rozhodnutí o ochraně údajů“) (4),
— pokud jde o otázky týkající se protokolů a šifrování, jakož i kritérií a způsobů hodnocení rizik, Komisi bude nápomocen Výbor složený ze zástupců člen- ských států,
— přezkum tohoto rozhodnutí se uskuteční tři roky po jeho vstupu v platnost.
Zaměření stanoviska
8. Návrh, ohledně něhož je evropský inspektor ochrany údajů konzultován, je dalším krokem k pravidelnému shromažďování údajů fyzických osob, jež nejsou v zásadě podezírány z žádné trestné činnosti. Jak již bylo uvedeno, k tomuto vývoji dochází na mezinárodní úrovni i na úrovni Evropské unie.
9. Evropský inspektor ochrany údajů bere na vědomí, že rovněž Pracovní skupina článku 29 a Pracovní skupina pro policii a spravedlnost předložily k návrhu společné stanovisko (5). Evropský inspektor ochrany údajů toto stanovisko podporuje. Uvedené stanovisko vyzdvihuje a rozvíjí řadu dalších otázek.
10. Evropský inspektor ochrany údajů bude ve svém stano- visku analyzovat veškeré významné aspekty návrhu, avšak zaměří se na čtyři hlavní otázky.
— První z těchto otázek je oprávněnost zamýšlených opatření. Otázka účelu, nezbytnosti a přiměřenosti návrhu bude posouzena na základě kritérií článku 8 Listiny základních práv Evropské unie.
— Ve stanovisku bude rovněž posouzena otázka práva použitelného pro navrhované zpracování. Zvláštní pozornost si zaslouží zejména vymezení působnosti rámcového rozhodnutí o ochraně údajů v souvislosti s použitím právních předpisů pro ochranu údajů v rámci prvního pilíře. Rovněž bude posouzen důsledek platného právního rámce v oblasti ochrany údajů s ohledem na výkon práv subjektu údajů.
(4) Nejnovější znění návrhu je k dispozici v rejstříku Rady jako dokument
č. 16397/07.
(5) Společné stanovisko k návrhu rámcového rozhodnutí Rady o používání jmenné evidence cestujících pro účely vynucování práva, který byl před- xxxxx Xxxxxx dne 6. listopadu 2007, přijat Pracovní skupinou článku 29 dne 5. prosince 2007 a Pracovní skupinou pro policii a spravedlnost dne 18. prosince 2007, WP 145, WPPJ 01/07.
— Xxxxxxxxxx se poté zaměří na povahu příjemců údajů na úrovni jednotlivých států. Zejména povaha složek pro informace o cestujících, zprostředkovatelů a příslušných orgánů, jež mají hodnotit rizika a analyzovat údaje o cestujících, vzbuzuje zvláštní obavy, neboť tato problematika není v návrhu upřes- něna.
— Čtvrtá otázka souvisí s podmínkami předávání údajů třetím zemím. Není jasné, jaké podmínky se budou vztahovat na ty případy předávání, u nichž existují různé soubory pravidel: podmínky pro předávání stanovené v tomto návrhu, v rámcovém rozhodnutí o ochraně údajů a stávajících mezinárodních dohodách (s USA a Kanadou).
11. V poslední části budou vymezeny další podstatné otázky, včetně opatření představujících přínos pro ochranu údajů, ale i dalších zdroje obav.
II. OPRÁVNĚNOST NAVRHOVANÝCH OPATŘENÍ
12. Za účelem analýzy oprávněnosti navrhovaných opatření v souladu s hlavními zásadami ochrany údajů, a zejména s článkem 8 Listiny základních práv Evropské unie a články 5 až 8 Úmluvy Rady Evropy č. 108 (1) je třeba jasně vymezit účel zamýšleného zpracování osobních údajů, aby bylo možno posoudit jeho nezbytnost a přiměřenost. Mělo by se zaručit, že pro dosažení pláno- vaného účelu nejsou dostupné žádné jiné prostředky, které by představovaly menší zásah do lidských práv.
Stanovení účelu
13. Ze znění návrhu a z posouzení jeho dopadu vyplývá, že cílem není pouze identifikovat známé teroristy či známé pachatele trestné činnosti zapojené do organizované trestné činnosti tím, že se porovnají jejich jména se jmény zařazenými na seznamy spravované donucovacími orgány. Jeho účelem je shromažďovat informace, pokud jde o terorismus či organizovanou trestnou činnost, a konkrétněji „vypracovávat hodnocení rizika osob, získávat nové informace a nacházet souvislosti mezi známými a neznámými lidmi“ (2). Účelem uvedeným v čl. 3 odst. 5 návrhu je ve stejném duchu a v první řadě „iden- tifikovat osoby, které jsou nebo mohou být zapojeny do te- roristických nebo organizovaných trestných činů, a jejich spojence“.
14. Tento důvod má vysvětlit, že údaje API k dosažení uvede- ného účelu nestačí. Jak již bylo uvedeno, zatímco údaje API mají ve skutečnosti pomoci identifikovat fyzické osoby, údaje PNR nemají identifikační úlohu, avšak
(1) Úmluva Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních údajů, 28. ledna 1981.
podrobnosti těchto údajů by přispěly k vypracování hodnocení rizika osob, k získávání nových informací a k nacházení souvislostí mezi známými a neznámými lidmi.
15. Účel plánovaných opatření se netýká pouze dopadení známých osob, ale rovněž vypátrání osob, na něž se kritéria návrhu mohou vztahovat.
V zájmu identifikace těchto osob jsou hlavní součástí projektu hodnocení rizik a stanovení modelů. Devátý bod odůvodnění návrhu výslovně uvádí, že údaje musí být uchovávány „dostatečně dlouhou dobu, aby mohly být použity k vývoji ukazatelů rizik a ke zjišťování cestovních modelů a modelů chování“.
16. Účel je tedy popsán ve dvou rovinách: první rovina spočívá v celkovém cíli, tedy boji proti terorismu a organizované trestné činnosti, zatímco druhá rovina zahrnuje prostředky a opatření nezbytné pro dosažení uvedeného cíle. Ačkoli se zdá, že účel boje proti terorismu a organizované trestné činnosti je dostatečně jasný a oprávněný, o prostředcích používaných pro jeho dosa- žení lze diskutovat.
Stanovení modelů a hodnocení rizika
17. Návrh vůbec neuvádí, jakým způsobem budou modely stanoveny a jak bude hodnocení rizika prováděno. Posou- zení dopadů poskytuje toto upřesnění ohledně způsobu, jakým budou údaje PNR používány: porovnávat údaje cestujících „s kombinací charakteristik a vzorů chování, se zaměřením na hodnocení rizik. Pokud cestující odpo- vídá určitému hodnocení rizika, může být označen jako vysoce rizikový cestující“ (3).
18. Podezřelé osoby by mohly být vybírány podle konkrétních prvků podezření zahrnutých v jejich údajích PNR (například styk s podezřelou cestovní kanceláří, spojitost s odcizenou kreditní kartou), jakož i na základě „modelů“ či abstraktního profilu. Na základě modelů cestování by mohly být ve skutečnosti stanoveny různé standardní profily pro „běžné cestující“ a pro „podezřelé cestující“. Tyto profily by umožnily dále vyšetřovat cestující, kteří nespadají do „kategorie běžných cestujících“, zejména pokud je jejich profil spojován s dalšími podezřelými prvky, jako je například odcizená kreditní karta.
19. Přestože nelze předpokládat, že by cestující byli vybíráni podle svého náboženského vyznání či jiných citlivých údajů, zdá se, že by byli vyšetřování na základě jak konkrétních, tak i abstraktních informací, včetně standardních modelů a abstraktních profilů.
(2) Důvodová zpráva návrhu, kapitola I. (3) Posouzení dopadů, kapitola 2.1 „Definice problému“.
20. Není zcela jasné, zda lze tento druh vyšetřování označit za profilování. Profilování by spočívalo v „počítačové metodě, která využívá vytěžování dat (‚data mining‘) z databáze a která s určitou pravděpodobností, a tedy i s určitou chybovostí, umožňuje či má umožňovat klasifikaci fyzic- kých osob v dané kategorii s cílem přijmout individuální rozhodnutí týkající se této osoby“ (1).
21. Evropský inspektor ochrany údajů si je vědom toho, že definice profilování je v současné době předmětem diskuzí. Bez ohledu na to, zda je úředně uznáno, že cílem návrhu je profilování cestujících, hlavní předmět zájmu se netýká definic, ale dopadu návrhu na fyzické osoby.
22. Hlavní obava evropského inspektora ochrany údajů souvisí s tím, že se o fyzických osobách bude rozhodovat na základě modelů a kritérií vytvořených na základě údajů o cestujících obecně. Rozhodnutí o jedné fyzické osobě budou tedy moci být přijímána (alespoň zčásti) na základě modelů odvozených z údajů jiných fyzických osob. Skuteč- nost, že rozhodnutí budou přijímána ve vztahu k abstraktním souvislostem může mít obrovský dopad na subjekty údajů. Pro fyzické osoby je neobyčejně těžké bránit se proti takovým rozhodnutím.
23. Riziko se má rovněž hodnotit za situace, v níž neexistují jednotná kritéria pro identifikaci podezřelých. Evropský inspektor ochrany údajů má vážné pochybnosti o právní jistotě celého procesu filtrování, přičemž se domnívá, že kritéria, na jejichž základě bude prošetřován každý cestu- jící, nejsou dostatečně vymezena.
24. Evropský inspektor ochrany údajů připomíná judikaturu Evropského soudu pro lidská práva, podle níž musí být vnitrostátní právo dostatečně přesné co se týče okolností a podmínek za kterých mohou veřejné orgány zazname- návat a užívat informace o osobním životě občanů. „Tyto informace by měly být přístupné dotčené osobě a jejich
(1) Uvedená definice pochází z nedávné studie Rady Evropy o profilování: L'application de la Convention 108 au mécanisme de profi- lage, Eléments de réflexion destinés au travail futur du Comité consultatif (T-PD), Xxxx-Xxxx Xxxxxx, Xxxxxxxxxx Xxxxxx, Xxxx Xxxxxxx, Xxxxxxxx Xxxxxxx, Xxxxxxxxxx Xxxxxxx, listopad 2007 (dosud nezveřejněno). Viz rovněž definici Xxxx Xxxxxxxxx: „Obecně řečeno, profilování je proces, při němž se odvozuje soubor vlastností (souvisejících obvykle s chováním) jedné osoby či kolektivu a podle těchto vlastností se s touto osobou či tímto kolektivem následně jedná. Proces jako takový se skládá ze dvou složek: i) vytváření profilu – proces odvo- zování profilu; ii) uplatňování profilu – proces jednání s osobami/ subjekty na základě tohoto profilu“. L. A. BYGRAVE, Minding the machine: EC Data Protection Directive and Automated Profiling, Computer Law S Security Report, článek 15, 2001, vol. 00, xxx. 17–24. xxxx://xxx.xxxxxxx.xxx.xx/xx/xxxxxxxx/XXXX/0000/00.xxxx
dopad by měl být předvídatelný“. Pravidlo je „předvída- telné“, „pokud je vyjádřeno dostatečně přesně, aby umožnilo všem jednotlivcům – v případě potřeby pomocí vhodného poradenství – patřičně upravit své chování“ (2).
25. Závěrem lze říci, že stávající návrh je třeba pečlivě zvážit, zejména s ohledem na všechny uvedené druhy rizik. Zatímco samotný obecný účel boje proti terorismu a organizované trestné činnosti je jasný a oprávněný, hlavní rysy zamýšleného zpracovávání nejsou v návrhu dostatečně vymezeny a ospravedlněny. Evropský inspektor ochrany údajů tedy vyzývá normotvůrce EU, aby před přijetím rámcového rozhodnutí tuto otázku vyřešil.
Nezbytnost
26. Xxxxxx povaha daných opatření je zřejmá, jak je uvedeno výše. Na druhé straně lze stěží prokázat jejich užitečnost.
27. Posouzení dopadů návrhu se zaměřuje na nejlepší způsob, jakým zřídit PNR Evropské unie, a již méně na samotnou nezbytnost těchto PNR. V posouzení (3) se odkazuje na systémy PNR fungující v jiných zemích, zejména v USA a ve Spojeném království. Lze však jedině litovat toho, že o těchto systémech neexistuje dostatek přesných faktů a číselných údajů. V systému Semaphore užívaném ve Spojeném království byla v souvislosti s „trestnou činností různé povahy“ zaznamenána „četná zadržení“, přičemž jejich spojení s terorismem či organizovanou trestnou činností není upřesněno. Pokud jde o program USA, nejsou k dispozici žádné podrobnosti, vyjma toho, že „EU mohla posoudit hodnotu údajů PNR a uvědomit si jejich potenciál pro účely vynucování práva“.
28. Nejenže samotný návrh neobsahuje dostatek přesných infor- mací o konkrétních výsledcích těchto systémů PNR, ale ani zprávy zveřejněné jinými agenturami, například úřadem GAO ve Spojených státech, nepotvrzují v tomto stadiu účinnost těchto opatření (4).
(2) Rotaru v. Rumunsko, č. 28341/95, §§ 50, 52 a 55. Viz rovněž Amann v. Švýcarsko, č. no. 27798/95, §§ 50 a násl.
(3) Posouzení dopadů, kapitola 2.1 „Definice problému“.
(4) Viz například zprávu vládního úřadu Spojených států Government Accountability Office (GAO) zveřejněnou v květnu roku 2007 na žádost členů Kongresu „Aviation security: Efforts to Strengthen Interna- tional Passenger Prescreening are Under Way, but Planning and Implemen- tation Issues Romain“,
xxxx://xxx.xxx.xxx/xxx.xxxxx/x00000.xxx
29. Evropský inspektor ochrany údajů se domnívá, že je třeba důkladněji posoudit techniky spočívající ve vyhodnocování rizika, které představují fyzické osoby, za použití nástrojů pro vytěžování dat a modelů chování a že dříve, než budou tyto techniky použity v tak širokém měřítku, je zapotřebí jasně stanovit jejich užitečnost v rámci boje proti terorismu.
Proporcionalita
30. Za účelem posouzení rovnováhy mezi zásahem do soukromí fyzických osob a nezbytností daného opatření (1) jsou zohledněny tyto prvky:
— Opatření se vztahují na všechny cestující: na ty, již jsou předmětem vyšetřování ze strany donucovacích orgánů, i na ty, kteří předmětem vyšetřování nejsou. Jde o pro-aktivní opatření nebývalého rozsahu.
— Rozhodnutí o jednotlivých osobách mohou vycházet z abstraktních profilů, a tím obsahovat značnou chybovost.
— Povaha opatření, jež mají být přijata vůči fyzické osobě, souvisí s vynucováním práva: jejich důsledky jsou mnohem rušivější než v jiných kontextech, jako jsou podvody týkající se kreditních karet či marketing.
31. Xxxxxx se zásadou proporcionality neznamená pouze to, že navrhované opatření je účinné, ale i skutečnost, že plánovaného účelu návrhu nelze dosáhnout za použití nástrojů méně narušujících soukromí. Účinnost plánova- ných opatření nebyla prokázána. Dříve než budou zave- dena dodatečná či nová opatření za účelem zpracování osobních údajů, je třeba pozorně posoudit, zda neexistují jiné možnosti. Podle evropského inspektora ochrany údajů se takové komplexní posouzení neuskutečnilo.
32. Evropský inspektor ochrany údajů by rád připomněl ostatní rozsáhlé systémy sledování pohybu fyzických osob v EU či na jejích hranicích, které jsou v provozu nebo mají být zprovozněny, zejména vízový informační systém (2)
těchto nástrojů není boj proti terorismu či organizované trestné činnosti, jsou či budou do určité míry přístupné donucovacím orgánům v širším rámci boje proti trestné činnosti (4).
33. Další příklad se týká dostupnosti osobních údajů obsaže- ných ve vnitrostátních databázích policie, zejména v souvislosti s biometrickými údaji, v rámci Prümské smlouvy, podepsané v květnu roku 2005, jejíž působnost se rozšiřuje na všechny členské státy Evropské unie (5).
34. Všem těmto nástrojům je společné to, že umožňují globální sledování pohybu fyzických osob, i když z různých hledisek. Způsob, jakým již mohou přispět k boji proti určitým formám trestné činnosti, včetně tero- rismu, by měl být podroben hloubkové a komplexní analýze před tím, než bude rozhodnuto zavést nový způsob systematického prošetřování osob opouštějících EU či vstupujících na její území letecky. Evropský inspektor ochrany údajů doporučuje, aby Komise tuto analýzu provedla jakožto nezbytný krok v legislativním postupu.
Závěr
35. Vzhledem k výše uvedeným skutečnostem se evropský inspektor ochrany údajů domnívá, že vycházet z různých databází bez celkové představy o konkrétních výsledcích a nedostatcích:
— odporuje racionální legislativní politice, v níž se nesmí přijmout nové nástroje, dokud stávající nástroje nebyly plně provedeny a dokud nebylo prokázáno, že nepo- stačují (6),
— by mohlo jinak vést k přechodu ke společnosti napro- stého dohledu.
36. Boj proti terorismu může být zajisté oprávněným důvodem pro uplatnění výjimek ze základních práv týkají- cích se soukromí a ochrany údajů. Aby však byl tento zásah odůvodněný, je třeba, aby jeho nezbytnost byla
a Schengenský informační systém (3) Ačkoli hlavním cílem
(4) K této otázce viz: Stanovisko Evropského inspektora ochrany údajů k
(1) Podle čl. 9 Úmluvy 108 „odchylka od ustanovení článků 5, 6 a 8 této úmluvy je možná, pokud je stanovena právními předpisy strany a představuje nezbytné opatření v demokratické společnosti v zájmu:
1) ochrany bezpečnosti státu, veřejné bezpečnosti, měnových zájmů státu či potlačení trestných činů;
2) ochrany subjektu údajů či práv a svobod ostatních“.
(2) Rozhodnutí Rady 2004/512/ES ze dne 8. června 2004 o zřízení Vízo- vého informačního systému (VIS), (Úř. věst. L 213, 15.6.2004, s. 5). Návrh nařízení Evropského parlamentu a Rady o vízovém informačním systému (VIS) a výměně údajů o krátkodobých vízech mezi členskými státy, KOM/2004/0835 v konečném znění; Návrh rozhodnutí Rady o přístupu do Vízového informačního systému (VIS) za účelem jeho prohlížení pro orgány členských států odpovědné za vnitřní bezpeč- nost a pro Europol pro účely předcházení teroristickým trestným činům a jiným závažným trestným činům a jejich odhalování a vyšetřování, KOM/2005/0600 v konečném znění.
(3) Viz zejména rozhodnutí Rady 2007/533/SVV ze dne 12. června 2007 o zřízení, provozování a využívání Schengenského informačního systému druhé generace (SIS II), (Úř. věst. L 205, 7.8.2007).
návrhu rozhodnutí Rady o konzultačním přístupu do VIS pro orgány členských států odpovědné za vnitřní bezpečnost a pro Europol za účelem prevence, odhalování a vyšetřování teroristických trestných činů a dalších závažných trestných činů (KOM(2005) 600 v konečném znění), (Úř. věst. C 97, 25.4.2006, s. 6).
(5) Viz stanovisko evropského inspektora ochrany údajů k prumským rozhodnutím: stanovisko ze dne 4. dubna 2007 k podnětu patnácti členských států k přijetí rozhodnutí Rady o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti, (Úř. věst. C 169, 21.7.2007, s. 2), a stanovisko ze dne
19. prosince 2007 k podnětu Spolkové republiky Německo k přijetí rozhodnutí Rady o provádění rozhodnutí 2007/…/SVV o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti; toto stanovisko je k dispozici na xxxx://xxx.xxxx.xxxxxx.xx
(6) Evropský inspektor ochrany údajů se o této záležitosti zmínil několi- krát, naposledy ve svém stanovisku ze dne 25. července 2007 o provádění směrnice o ochraně osobních údajů (Úř. věst. C 255, 27.10.2007, s. 1).
podložena jasnými a nespornými argumenty a aby byla prokázána jeho proporcionalita. V případě značného zásahu do soukromí fyzických osob, s nímž se v návrhu počítá, se tato nezbytnost stupňuje.
37. Lze pouze konstatovat, že takové argumenty v návrhu chybí a že nezbytnost a proporcionalita navrhovaného opatření nebyla prokázána.
38. Evropský inspektor ochrany údajů trvá na tom, že nezbyt- nost a proporcionalita představují nezbytnou podmínku pro vstup tohoto návrhu v platnost. Xxxxxxxx další připo- mínka evropského inspektora ochrany v tomto stanovisku musí být vnímána v kontextu této prvotní podmínky.
III. POUŽITELNÉ PRÁVNÍ PŘEDPISY – VÝKON PRÁV
SUBJEKTU ÚDAJŮ
Použitelné právní předpisy
39. Níže uvedená analýza se zaměří na tři otázky:
— popis jednotlivých kroků zpracování údajů plánova- ných v návrhu za účelem vymezení právních předpisů použitelných v jednotlivých stadiích,
— omezení návrhu rámcového rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech, pokud jde o oblast působnosti a práva subjektu údajů,
— obecnější analýza týkající se rozsahu použitelnosti právního nástroje třetího pilíře na soukromé subjekty zpracovávající data v rámci prvního pilíře.
Právní předpisy použitelné v jednotlivých krocích zpracování údajů
40. V článku 11 návrhu je uvedeno, že „členské státy zajistí, aby na zpracování osobních údajů podle tohoto rámco- vého rozhodnutí bylo použitelné rámcové rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech (…/…)“.
41. I přes toto ustanovení však není jasné, do jaké míry bude rámcové rozhodnutí o ochraně údajů – nástroj v rámci třetího pilíře Smlouvy o EU – použitelné na údaje zpraco- vávané leteckými společnostmi, shromažďované složkami pro informace o cestujících a dále užívané jinými přísluš- nými orgány.
42. Prvním krokem zpracování osobních údajů, jenž je uveden v návrhu, je zpracování leteckými společnostmi, které mají povinnost zpřístupnit údaje PNR – v zásadě za použití
systému „dodávání“ (push) – vnitrostátním složkám pro informace o cestujících. Ze znění návrhu a z posouzení dopadů (1) vyplývá, že údaje by mohly být rovněž před- ávány zprostředkovatelům leteckými společnostmi hromadně. Letecké společnosti působí především v komerčním prostředí a podléhají vnitrostátním právním předpisům o ochraně údajů, tj. právním předpisům prová- dějícím směrnici 95/46/ES (2). Otázky ohledně použitel- ných právních předpisů vyvstanou v souvislosti s použitím shromážděných údajů pro účely vynucování práva, (3).
43. Zprostředkovatel by následně údaje filtroval (za účelem formátování a vynětí údajů PNR, jež nejsou na seznamu údajů zmíněných v návrhu) či zasílal přímo složkám pro informace o cestujících. Zprostředkovateli by rovněž mohly být subjekty ze soukromého sektoru, jako je tomu v případě společnosti SITA, jež v tomto smyslu působí v rámci dohody o jmenné evidenci cestujících s Kanadou.
44. Pokud jde o složky pro informace o cestujících, které jsou zodpovědné za hodnocení rizika celkového množství údajů, není jasné, kdo bude za zpracování těchto údajů zodpovědný. Mohly by být zapojeny celní a pohraniční orgány, a nikoliv nezbytně donucovací orgány.
45. Následné předávání filtrovaných údajů „příslušným“ orgánům by pravděpodobně probíhalo v kontextu vynuco- vání práva. Návrh uvádí, že „příslušné orgány zahrnují pouze orgány zodpovědné za prevenci nebo boj proti te- roristickým trestným činům a organizované trestné činnosti“.
46. V průběhu jednotlivých kroků zpracování údajů se zužuje vazba zapojených subjektů a sledovaného účelu na poli- cejní a justiční spolupráci v trestních věcech. Návrh však výslovně neuvádí, kdy konkrétně se rámcové rozhodnutí o ochraně údajů použije. Formulace příslušného ustano- vení by dokonce mohla vést k domněnce, že se toto rámcové rozhodnutí vztahuje na celý proces zpracování, či dokonce na letecké společnosti (4). Rámcové rozhodnutí o ochraně osobních údajů však samo o sobě obsahuje určitá omezení.
(1) Posouzení dopadů, příloha A, „Postup předávání údajů leteckými dopravci“, článek 6.3.
(2) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, (Úř. věst. L 281, 23.11.1995, s. 31).
(3) V tomto ohledu viz důsledky rozsudku o PNR. Rozsudek Soudního dvora ze dne 30. května 2006, Evropský parlament v. Xxxx (C-317/04) a Komise (C-318/04), spojené věci C-317/04 a C-318/04, Sb. rozh. (2006), bod 56.
(4) Článek 11 návrhu. Viz rovněž bod odůvodnění 10 v preambuli:
„Rámcové rozhodnutí Rady (…/…) o ochraně osobních údajů zpraco- vávaných v rámci policejní a soudní spolupráce v trestních věcech se vztahuje na všechny údaje zpracovávané podle tohoto rámcového rozhodnutí. Práva dotčených osob týkající se takového zpracovávání, zejména právo na informace, právo na přístup, na opravu, výmaz a blokování, jakož i práva na náhradu újmy a soudní opravné pro- středky by měla být totožná s právy poskytovanými rámcovým rozhod- nutím“.
47. V této souvislosti má evropský inspektor ochrany údajů zásadní pochyby o tom, zda hlava VI Smlouvy o EU může sloužit jako právní základ pro povinnosti a pro účely vynucování práva, pokud jde o subjekty ze soukromého sektoru. Rovněž je významná otázka, zda hlava VI Smlouvy o EU může sloužit jako právní základ pro povin- nosti veřejných orgánů, jež jsou v zásadě mimo rámec spolupráce v oblasti vynucování práva. Tyto otázky budou v tomto stanovisku dále rozvedeny.
Omezení použitelnosti rámcového rozhodnutí o ochraně údajů
48. Návrh rámcového rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolu- práce v trestních věcech obsahuje alespoň dvě omezení použitelnosti.
49. Za prvé je použitelnost rámcového rozhodnutí o ochraně údajů dobře vymezena v samotném rámcovém rozhodnutí s tím, že se použije „pouze na údaje shromažďované nebo zpracovávané příslušnými orgány za účelem předcházení trestným činům, jejich vyšetřování, odhalování nebo stíhání nebo výkonu trestů“ (1).
50. Za druhé se nepředpokládá, že by se rámcové rozhodnutí o ochraně údajů vztahovalo na údaje zpracovávané výhradně na úrovni jednotlivých států, ale omezuje se na údaje vyměňované mezi členskými státy a na další před- ávání třetím zemím (2).
51. Ve srovnání se směrnicí 95/46/ES obsahuje rámcové rozhodnutí o ochraně údajů rovněž určité nedostatky, ze- jména rozsáhlou výjimku ze zásady omezení účelu. Pokud jde o uvedenou zásadu, návrh jasně omezuje účel zpraco- vávání na boj proti terorismu a organizované trestné činnosti. Rámcové rozhodnutí o ochraně údajů však umožňuje zpracovávání pro širší účely. V tomto případě by zvláštní právo (návrh rámcového rozhodnutí o PNR) mělo převažovat nad právem obecným (rámcovým rozhodnutí o ochraně údajů) (3). Tato skutečnost by měla být ve znění návrhu výslovně uvedena.
52. Z tohoto důvodu evropský inspektor ochrany údajů dopo- ručuje vložit do návrhu následující ustanovení: „Osobní údaje předávané leteckými společnostmi podle tohoto rámcového rozhodnutí nemohou být zpracovávány pro jiné účely než pro boj proti terorismu a organizované trestné činnosti. Pokud jde o zásadu účelu, výjimky stano- vené v rámcovém rozhodnutí o ochraně osobních údajů
(1) Bod odůvodnění 5a, rámcové rozhodnutí o ochraně údajů, verze ze dne 11. prosince 2007.
(2) Článek 1.
(3) Pokud jde o tuto otázku, znění článku 27b posledního návrhu rámco- vého rozhodnutí o ochraně údajů v rámci třetího pilíře by mělo být pozorně zváženo a projednáno.
zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech nejsou použitelné“.
53. Závěrem evropský inspektor ochrany údajů bere na vědomí závažný nedostatek právní jistoty v souvislosti se systémem ochrany údajů použitelným pro různé subjekty zapojené do projektu, a zejména pro letecké společnosti a další subjekty v rámci prvního pilíře: ať již jde o pravidla návrhu, pravidla rámcového rozhodnutí o ochraně údajů či o vnitrostátní právní předpisy, jimiž je ve vnitrostátním právu provedena směrnice 95/46/ES. Normotvůrce by měl ujasnit, ve kterém okamžiku zpracování se uplatní právě tato různá pravidla.
Podmínky uplatňování pravidel prvního a třetího pilíře
54. Evropský inspektor ochrany údajů má zásadní pochyby o tom, zda nástroj v rámci třetího pilíře v rámci běžného postupu a pro účely vynucování práva vytváří zákonné povinnosti pro subjekty ze soukromého či veřejného sektoru, jež jsou v zásadě mimo rámec spolupráce pro účely vynucování práva.
55. Lze zde učinit srovnání s dvěma dalšími případy, kdy byl soukromý sektor zapojen do uchovávání či předávání údajů pro účely vynucování práva.
— Případ PNR Spojených států, kdy bylo plánováno systema- tické předávání údajů PNR leteckými společnostmi donuco- vacím orgánům. Soudní dvůr ve věci PNR rozhodl, že Společenství nemá pravomoc uzavřít dohodu o PNR. Jedním z důvodů bylo, že předávání údajů PNR úřadu US CBP představovalo zpracování týkající se veřejné bezpečnosti a činnosti státu v oblasti trestního práva (4). V tomto případě zpracování znamenalo syste- matické předávání úřadu, což je situace odlišná od případu následujícího:
— Obecné uchovávání údajů operátory elektronických komuni- kací Pokud jde o pravomoc Společenství zavést tuto lhůtu pro uchování, situace se od případu PNR Spoje- ných států liší vzhledem k tomu, že směrnice 2006/24/ES (5) pouze stanoví povinnost uchovávání, přičemž údaje zůstávají pod dohledem operátorů. Systematické předávání údajů donucovacím orgánům se nepředpokládá. Z toho lze vyvodit závěr, že pokud údaje zůstanou pod dohledem poskytovatelů služeb, zůstanou tito poskytovatelé rovněž zodpovědní vůči subjektu údajů za dodržování povinností týkajících se ochrany osobních údajů.
(4) Rozsudek Soudního dvora ze dne 30. května 2006, Evropský parla- ment v. Xxxx (C-317/04) a Komise (C-318/04), spojené věci C-317/04 a C-318/04, Sb. rozh. (2006), bod 56.
(5) Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. břez- na 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES, (Úř. věst. L 105, 13.4.2006, s. 54).
56. Ve stávajícím návrhu EU týkajícím se PNR musí letecké společnosti systematicky zpřístupňovat údaje PNR všech cestujících. Tyto údaje však nejsou předávány přímo a hromadně donucovacím orgánům: dříve než jsou vybrané informace zaslány příslušným úřadům, mohou být zaslány zprostředkovateli a jsou posouzeny třetí stranou, jejíž status je i nadále nejasný.
57. Hlavní část zpracovávání probíhá v šedé zóně, přičemž má materiální vazbu na první i na třetí pilíř. Jak bude rozvedeno v bodu IV., povaha subjektů zpracovávajících údaje není zřejmá. Letecké společnosti samozřejmě nejsou donucovacími orgány a zprostředkovatelé mohou být subjekty ze soukromého sektoru. I v případě veřejnopráv- ních složek pro informace o cestujících je třeba zdůraznit, že ne každý veřejný orgán má charakteristiky a pravomoci nezbytné pro vykonávání úkolů v oblasti vynucování práva.
58. Tradičně existoval jasný předěl mezi činnostmi v oblasti vynucování práva a činnostmi soukromého sektoru, kdy úkoly v oblasti vynucování práva vykonávají orgány zvláště určené, zejména policejní složky, a soukromé subjekty jsou dožadovány pro předávání osobních údajů těmto donucovacím orgánům v jednotlivých situacích. V současné době je tu tendence žádat od soukromých subjektů systematickou spolupráci pro účely vynucování práva, čímž vzniká otázka, jaký právní rámec pro ochranu údajů (první, či třetí pilíř) se vztahuje na podmínky této spolupráce a zejména, zda by měl vycházet z povahy správce údajů (soukromý sektor), nebo ze sledovaného účelu (vynucování práva)?
59. Evropský inspektor ochrany údajů již připomněl riziko právní mezery mezi činnostmi v rámci prvního a třetího pilíře (1). Není zdaleka jasné, zda se na činnosti soukro- mých společností, jež mají určitým způsobem spojitost s vymáháním trestního práva, vztahují opatření přijatá podle článků 30, 31 a 34 Smlouvy o EU.
60. Pokud by se nepoužil obecný rámec (první pilíř), poskyto- vatel služeb by musel ve svých databázích provádět obtížná rozlišení. Ve stávajícím systému je jasné, že správce údajů musí zajišťovat vůči subjektům údajů stejnou ochranu údajů bez ohledu na účely, jež ospravedl- ňují jejichž uchování. Je proto třeba se vyhnout situaci, v níž by zpracování ze strany poskytovatelů služeb v případě různých účelů podléhalo různým právním rámcům pro ochranu dat.
(1) Viz stanovisko evropského inspektora ochrany údajů ke sdělení Komise Evropskému parlamentu a Radě o pokračování pracovního programu pro lepší provádění směrnice o ochraně osobních údajů, (Úř. věst. C 255, 27.10.2007, s. 1). Viz rovněž výroční zprávu za rok 2006, s. 47.
Výkon práv subjektu údajů
61. Různé právní režimy, jež by se použily na vnitrostátní úrovni by měly zásadní dopad zejména na výkon práv subjektu údajů.
62. V preambuli návrhu se stanoví, že „informace, přístup, oprava, výmaz a blokování, jakož i náhrada újmy a soudní opravné prostředky jsou stanoveny rámcovým rozhod- nutím“. Tímto prohlášením však není zodpovězena otázka, kdo je správcem pověřeným reagovat na žádosti subjektu údajů.
63. Zatímco informace ohledně zpracování by mohly být sdělovány leteckými společnostmi, záležitost je složitější v případě přístupu k údajům či v případě oprav těchto údajů. Tato práva jsou ve skutečnosti rámcovým rozhod- nutím o ochraně údajů omezena. Jak již bylo uvedeno výše, lze pochybovat o tom, že by bylo možno uložit poskytovateli služeb, jako je letecká společnost, aby k údajům, jež má v držení, poskytoval odlišná práva na přístup a opravy v závislosti na sledovaném účelu (obchodní účely nebo vynucování práva). Dále je možné se domnívat, že tato práva mají být vykonávána ve vztahu ke složkám pro informace o cestujících nebo k jinak určeným příslušným orgánům. V tomto ohledu však návrh neobsahuje žádné další vysvětlení, a jak již bylo uvedeno, není ani zřejmé, zda tyto orgány (přinejmenším složky pro informace o cestujících) budou donucovacími orgány s omezeným (případně nepřímým) přístupem.
64. Dotčená osoba rovněž podstupuje riziko konfrontace s různými příjemci údajů, zejména pokud jde o složky pro informace o cestujících. Údaje se skutečně předávají složce pro informace o cestujících země odletu/příletu, mohou však být případ od případu předávány rovněž složkám pro informace o cestujících jiných členských států Kromě toho je možné, že si několik členských států vytvoří nebo určí jedinou společnou složku pro informace o cestujících. V takovém případě je možné, že by subjekt údajů musel uplatnit nápravu u orgánu jiného členského státu. Zde opět není zřejmé, zda se použijí vnitrostátní pravidla pro ochranu údajů ( harmonizovaná na EU úrovni), nebo zda bude třeba vzít v úvahu zvláštní právní předpisy pro vynu- cování práva (s ohledem na nedostatečnou celkovou harmonizaci ve třetím pilíři na úrovni členských států).
65. Stejná otázka vyvstává ohledně přístupu k údajům zpraco- vávaným zprostředkovateli, jejichž status je nejasný a kteří by rovněž mohli být společní několika leteckým společno- stem v různých zemích EU.
66. Evropský inspektor ochrany údajů je hluboce znepokojen právní nejistotou, jež ve věci výkonu uvedených základ- ních práv subjektu údajů přetrvává. Zdůrazňuje, že uvedená situace je především důsledkem toho, že odpo- vědnost za vynucování práva je svěřena subjektům, pro něž taková činnost není hlavním úkolem.
Závěr
67. Evropský inspektor ochrany údajů se domnívá, že návrh by měl ozřejmovat, jaký právní režim je použitelný v dané fázi zpracování, a dále určit, ke kterému subjektu či orgánu se obrátit v případě žádosti o přístup či opravu. Evropský inspektor ochrany údajů připomíná, že podle čl.
30 odst. 1 písm. b) Smlouvy o EU by ustanovení o ochraně údajů měla být přiměřená a v plném rozsahu pokrývat veškeré postupy zpracování stanovené v návrhu. Pouhý odkaz na rámcové rozhodnutí o ochraně údajů není postačující s ohledem na omezený rozsah tohoto rámcového rozhodnutí a na omezení práv v něm obsa- žená. Pokud jde o donucovací orgány, pravidla rámcového rozhodnutí o ochraně údajů by se měla vztahovat alespoň na veškeré zpracování stanovené návrhem, aby bylo zaru- čeno soudržné používání zásad ochrany údajů.
IV. POVAHA PŘÍJEMCŮ
68. Evropský inspektor ochrany údajů poukazuje na skuteč- nost, že návrh neobsahuje konkrétní ustanovení týkající se povahy příjemců osobních údajů shromážděných letec- kými společnostmi, ať už jde o zprostředkovatele, složky pro informace o cestujících, nebo o příslušné orgány. Je třeba vyzdvihnout, že povaha příjemce je v přímé souvis- losti s typem záruk ochrany údajů vztahujících se k tako- vému příjemci. Již byl zmíněn rozdíl mezi zárukami poskytovanými zejména podle pravidel prvního a třetího pilíře. Je nezbytné, aby použitelný režim byl srozumitelný všem zapojeným aktérům, včetně vlád členských států, donucovacích orgánů, orgánů pro ochranu údajů, jakož i správcům údajů a dotčeným subjektům údajů.
Zprostředkovatelé
69. Návrh se vůbec nezaobírá povahou zprostředkovatelů (1). Úloha zprostředkovatelů jakožto správců či zpracovatelů rovněž není stanovena. S ohledem na dosavadní zkuše- nosti se zdá, že subjekt ze soukromého sektoru, ať už počítačový rezervační systém, nebo jiný subjekt, by mohl být pověřen úkolem shromažďovat údaje PNR přímo od leteckých společností a postupovat je složkám pro infor- mace o cestujících. Tímto způsobem se údaje zpracovávají
(1) Článek 6 návrhu.
podle dohody o PNR s Kanadou. SITA (2) je společnost odpovědná za zpracování informací. Role zprostředkova- tele je rozhodující, neboť by mohl být odpovědný za filtrování či přeformátování údajů předávaných leteckými společnostmi hromadně (3). I když jsou zprostředkovatelé povinni vymazat zpracované informace poté, co byly postoupeny složkám pro informace o cestujících, zpraco- vání samo o sobě je vysoce citlivé, neboť důsledkem zapo- jení zprostředkovatelů je vytvoření další databáze obsahu- jící velká množství údajů, podle návrhu dokonce i citlivých údajů. Z těchto důvodů evropský inspektor ochrany údajů doporučuje, aby do zpracování údajů o cestujících nebyli zapojeni žádní zprostředkovatelé, nebudou-li jejich povaha a jejich úkoly jednoznačně určeny.
Složky pro informace o cestujících
70. Složky pro informace o cestujících hrají rozhodující roli v identifikaci osob, jež jsou nebo mohou být přímo či nepřímo zapojeny do teroristické nebo organizované trestné činnosti. Podle návrhu budou odpovědné za vytvo- ření ukazatelů rizik a poskytování informací o cestovních modelech (4). Je-li hodnocení rizik založeno na standardi- zovaných cestovních modelech a nikoli na hmotných důkazech spojených s konkrétním případem, lze na analýzu pohlížet jako na formu pro-aktivního opatření. Evropský inspektor ochrany údajů zdůrazňuje, že tento druh zpracování je v právních předpisech členských států v zásadě přísně regulován (ne-li zakázán) a je svěřen zvláštních veřejných orgánů, jejichž činnost je rovněž přísně regulována.
71. Složky pro informace o cestujících jsou tedy pověřeny velmi citlivým zpracováním informací, aniž by návrh uváděl podrobnosti ohledně jejich povahy a ohledně podmínek, za nichž mají tyto své pravomoci vykonávat. Ačkoli je pravděpodobné, že tento úkol bude provádět vládní subjekt, eventuálně orgán pověřený celními či hraničními kontrolami, návrh výslovně nebrání členským státům, aby jeho prováděním pověřily zpravodajské služby, nebo dokonce jakéhokoli zpracovatele. Evropský inspektor ochrany údajů zdůrazňuje, že transparentnost a záruky platné pro zpravodajské služby se ne vždy shodují s těmi, jež jsou platné pro tradiční donucovací orgány. Podrob- nosti o povaze složek pro informace o cestujících mají rozhodující význam, neboť s sebou ponesou přímé následky pro použitelný právní rámec a podmínky dozoru. Evropský inspektor ochrany údajů se domnívá, že návrh musí obsahovat další ustanovení, které se specifiky složek pro informace o cestujících bude podrobně zaobírat.
(2) SITA byla vytvořena v roce 1949 jedenácti členskými leteckými společ- nostmi. Letecké odvětví získává řešení poskytující přidanou hodnotu prostřednictvím komerční společnosti SITA INC (Information, Networ- king Computing) a síťové služby prostřednictvím SITA SC na bázi spolupráce.
(3) Posouzení dopadů, příloha A, „Postup předávání údajů leteckými dopravci“.
(4) Článek 3 návrhu.
Příslušné orgány
72. Z článku 4 návrhu vyplývá, že údaje může přijímat jaký- koli orgán odpovědný za předcházení teroristické a organizované trestné činnosti či za boj proti nim. Ačkoli je účel jasně definován, povaha tohoto orgánu není uvedena. V návrhu se nepředpokládá, že by příjemci byli omezeni na donucovací orgány.
Jak je uvedeno výše v případě složek pro zpracování infor- mací o cestujících, je nezbytné, aby dotyčné citlivé infor- mace byly zpracovávány v prostředí s jasným právním rámcem. Pro donucovací orgány tento požadavek platí ještě více než pro zpravodajské služby. S ohledem na prvky vytěžování dat a na pro-aktivní opatření, jež jsou v návrhu obsaženy, nelze vyloučit, že by takové zpravo- dajské služby, rovněž jako orgány jakéhokoli jiného druhu byly do zpracování údajů zapojeny.
Závěr
73. Z obecného hlediska evropský inspektor ochrany údajů poukazuje na to, že prosazování EU systému PNR je ještě obtížnější s ohledem na to, že donucovací orgány mohou mít různé pravomoci v závislosti na vnitrostátních práv- ních předpisech členských států v oblastech zpravodaj- ských služby, daňové a imigrační otázek či policie. To je však další důvod pro doporučení, aby byl návrh mnohem přesnější, pokud jde o povahu uvedených subjektů a o záruky kontrol provádění jejich úkolů. Do návrhu by měla být začleněna další ustanovení, jež by přesně stanovila pravomoci a právní povinnosti zprostředkovatelů, složek pro informace o cestujících a dalších příslušných orgánů.
V. PODMÍNKY PRO PŘEDÁVÁNÍ DO TŘETÍCH ZEMÍ
74. V návrhu jsou stanoveny určité záruky týkající se pře- dávání údajů PNR do třetích zemí (1). Zejména se v něm výslovně počítá s tím, že ve věci předávání údajů bude použito rámcové rozhodnutí o ochraně údajů, a stanoví se zvláštní omezení účelu a potřeba souhlasu členského státu v případě dalšího předávání. Předávání by rovněž mělo být v souladu s vnitrostátními právními předpisy dotyčného členského státu a s jakoukoli použitelnou mezinárodní dohodou.
75. Přetrvává však řada otázek, zejména ohledně povahy zmíněného souhlasu, podmínek použití rámcového rozhodnutí o ochraně údajů a ohledně otázky „vzájem- nosti“ související s předáváním údajů třetím zemím.
(1) Článek 8 návrhu.
Povaha souhlasu
76. Členský stát původu musí vydat výslovný souhlas s dalším předáním údajů z jedné třetí země do jiné třetí země. V návrhu není stanoveno, kdo a za jakých podmínek tento souhlas vydává a zda do příslušného rozhodování budou zapojeny vnitrostátní orgány pro ochranu údajů. Evropský inspektor ochrany údajů zastává názor, že způsob vydání souhlasu by měl být přinejmenším v souladu s vnitrostátními právními předpisy uvádějícími podmínky pro předávání osobních údajů do třetích zemí.
77. Kromě toho by souhlas členského státu neměl mít větší váhu než zásada, že přijímající země musí zajistit přimě- řenou úroveň ochrany pro účely zamýšleného zpracování. Uvedené podmínky by měly být kumulativní, podobně jako tomu je v rámcovém rozhodnutí o ochraně údajů (článek 14). Proto evropský inspektor ochrany údajů navrhuje do čl. 8 odst. 1 přidat písmeno c) v následujícím znění „a c) třetí stát zajistí odpovídající úroveň ochrany pro zamýšlené zpracování údajů“. V této souvislosti evropský inspektor ochrany údajů připomíná, že je nutné zavést mechanismus zajišťující společné normy a koordinovaná rozhodnutí s ohledem na přiměřenost (2).
Použití rámcového rozhodnutí o ochraně údajů
78. Návrh odkazuje na podmínky a záruky obsažené v rámcovém rozhodnutí o ochraně údajů s tím, že některá ustanovení upřesňuje, a to zejména výše uvedenou podmínku souhlasu dotyčného členského státu, a omezení účelu zpracování na předcházení teroristickým trestným činům a organizované trestné činnosti a boj proti nim.
79. Rámcové rozhodnutí o ochraně údajů samo o sobě stanoví podmínky pro předávání osobních údajů do třetích zemí, konkrétně s ohledem na omezení účelu, povahu příjemců, souhlas členského státu a zásadu přimě- řenosti. Umožňuje však rovněž odchylky od těchto podmínek pro předávání údajů s tím, že oprávněné převa- žující zájmy, zejména důležité veřejné zájmy, mohou být dostačujícím důvodem pro předání i v případě, že výše uvedené podmínky nejsou splněny.
80. Jak již bylo uvedeno v bodu III. tohoto stanoviska, podle názoru evropského inspektora ochrany údajů je třeba ve znění návrhu jasně stanovit, že přesnější záruky mají větší váhu než obecné podmínky – a výjimky – obsažené v rámcovém rozhodnutí o ochraně údajů v případech, kdy je toto rozhodnutí použitelné.
(2) Stanovisko evropského inspektora ochrany údajů ze dne 26. června 2007 k návrhu rámcového rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech, body 27 až 30, (Úř. věst. C 139, 23.6.2007, s.1).
Vzájemnost
81. Návrh se zabývá otázku možných „žádostí o protiopatření“ ze strany zemí, jež by mohly požádat EU o údaje PNR týkající se letů z EU na jejich území. Žádá-li EU o údaje z databází leteckých společností takovýchto třetích zemí, neboť provozují let do EU nebo z ní, mohla by dotyčná třetí země žádat od leteckých společností sídlících v EU totéž, včetně údajů o občanech EU. Ačkoli Xxxxxx tuto možnost považuje za „velmi nepravděpodobnou“, bere ji na vědomí. V této souvislosti odkazuje návrh na to, že dohody s USA a Kanadou počítají s tímto vzájemným přístupem, „který může být uplatněn automaticky“ (1). Evropský inspektor ochrany údajů se pozastavuje nad významem tohoto automatického vzájemného přístupu a nad použitím záruk v případě takových předávání údajů, zejména s ohledem na existenci odpovídající úrovně ochrany dotyčné země.
82. Mělo by se rozlišovat mezi třetími zeměmi, které již s EU uzavřely dohodu, a zeměmi, jež takovou dohodu nemají.
Země, jež dohodu s EU nemají
83. Evropský inspektor ochrany údajů poukazuje na to, že uvedený vzájemný přístup by mohl vést k tomu, že osobní údaje budou předávány do zemí, v nichž nelze poskytnout žádné demokratické záruky a odpovídající úroveň ochrany údajů.
84. V posouzení dopadů je zdůrazněna další výhoda EU systému PNR, ve kterém jsou údaje filtrovány složkami pro informace o cestujících. Příslušným orgánům člen- ských států a zřejmě i třetím zemím by měly předávány pouze vybrané údaje o podezřelých osobách (a nikoli hromadné údaje) (2). Evropský inspektor ochrany údajů doporučuje, aby byla tato otázka objasněna přímo v samotném návrhu, neboť jeho pouhá zmínka v posouzení dopadů nezbytnou ochranu neposkytuje.
85. Výběr údajů by sice přispěl k minimalizaci dopadu na soukromí cestujících, avšak je třeba připomenout, že zásady ochrany údajů zahrnují rovněž zásady jako nezbyt- nost, transparentnost a výkon práv subjektu, jež je třeba všechny vzít v úvahu při rozhodování, zda třetí země
Země, jež mají dvoustrannou dohodu s EU
86. Z posouzení dopadů vyplývá, že v důsledku daného zpra- cování údajů bude EU schopna „trvat na jistých normách a zajistit v takových dvoustranných dohodách se třetími zeměmi konzistentnost. Rovněž tak bude zajištěna možnost žádat o vzájemný přístup třetí země, s nimiž má EU dohodu, což v současné době není možné“ (3).
87. Z těchto úvah vyvstává otázka dopadu návrhu na stávající dohody s Kanadou a USA. Podmínky přístupu k údajům jsou v těchto dohodách mnohem širší, neboť údaje před předáním do těchto třetích zemí nepodléhají obdobnému výběru.
88. V posouzení dopadů se uvádí, že „v případě, kdy má EU mezinárodní dohodu se třetí zemí ohledně výměny údajů PNR či jejich předávání do této třetí země, takovéto dohody se řádně zohlední. Letečtí dopravci by měli zaslat údaje PNR složkám pro informace o cestujících v souladu s běžnými postupy podle stávajícího opatření. Složka pro informace o cestujících, jež takové údaje obdrží, je předá příslušnému úřadu té třetí země, s níž existuje příslušná dohoda“ (4).
89. Na jedné straně se tedy zdá, že návrh usiluje o předávání výhradně vybraných údajů jakémukoli příslušnému orgánu, ať už v rámci EU, nebo mimo ni, avšak na druhé straně se v posouzení dopadů, preambuli návrhu (bod odůvodnění 21) a samotném článku 11 připomíná, že stávající dohody by měly být řádně zohledněny. Z toho by bylo možno vyvodit, že filtrování může být platným opatřením pouze v případě dohod uzavřených v budoucnu. Z tohoto pohledu by se dalo předpokládat, že například pro orgány USA bude pravidlem hromadný přístup k údajům PNR, v souladu s ustanoveními dohody mezi EU a USA, avšak že současně a případ od případu by mohly být do USA předávány konkrétní údaje stanovené složkami pro infor- mace o cestujících, které by obsahovaly nejen údaje týka- jící se letů do USA.
90. Evropský inspektor ochrany údajů lituje, že návrh není v tomto rozhodujícím bodě dostatečně jasný. Přikládá zásadní význam tomu, aby podmínky pro předávání údajů PNR do třetích zemí byly soudržné a aby podléhaly ochraně na harmonizované úrovni. Kromě toho by z důvodu právní jistoty měla být upřesnění týkající se záruk předávání údajů uvedena přímo v návrhu a nikoli pouze v posouzení dopadů, jak je tomu nyní.
poskytuje odpovídající úroveň ochrany.
(3) Posouzení dopadů, kapitola 5.2 „Vztahy se třetími zeměmi“.
(1) Důvodová zpráva návrhu, kapitola 2.
(2) Posouzení dopadů, kapitola 5.2 „Ochrana soukromí“.
(4) Posouzení dopadů, příloha A „Subjekty, jež obdrží údaje od složek pro informace o cestujících“.
VI. JINÉ PODSTATNÉ OTÁZKY
Automatizované zpracování
91. Evropský inspektor ochrany údajů poukazuje na to, že návrh výslovně vylučuje, aby složky pro informace o cestujících a příslušné orgány členských států přijímaly donucovací opatření pouze na základě automatizovaného zpracování údajů jmenné evidence cestujících či na základě rasového nebo etnického původu osoby, jejího náboženského vyznání nebo filozofického přesvědčení, politických názorů nebo její sexuální orientace (1).
92. Takovéto upřesnění je vítané, neboť omezuje riziko svévol- ných opatření vůči jednotlivým osobám. Evropský inspektor ochrany údajů však podotýká, že jeho rozsah je omezen na donucovací opatření ze strany složek pro infor- mace o cestujících nebo ze strany příslušných orgánů. Jeho stávající znění nevylučuje automatizované filtrování osob podle standardních profilů ani nezabraňuje automati- zovanému sestavování seznamů podezřelých osob a provádění opatření jako zvýšený dohled, nepovažují-li se tato opatření za donucovací.
93. Evropský inspektor ochrany údajů se domnívá, že pojem donucovací opatření je příliš nejasný a že v zásadě by žádné rozhodnutí týkající se fyzických osob nemělo být učiněno pouze na základě automatického zpracování jejich údajů (2). Evropský inspektor ochrany údajů doporučuje znění odpovídajícím způsobem pozměnit.
Povaha údajů
94. V čl. 5 odst. 2 návrh obsahuje důležité upřesnění, neboť objasňuje, že leteckým společnostem se neukládá žádná povinnost shromažďovat či uchovávat jiné údaje než ty, jež shromáždily za původním obchodním účelem.
95. Několik aspektů zpracování těchto údajů si zasluhuje další připomínku:
— Údaje, jež mají být zpřístupněny podle seznamu v příloze 1 návrhu, jsou velmi rozsáhlé a daný seznam je podobný seznamu údajů, jež mají k dispozici americké orgány podle dohody EU a USA. Nad povahou některých vyžadovaných údajů se již několi- krát pozastavily orgány pro ochranu údajů, zejména Pracovní skupina článku 29 (3).
(1) Bod odůvodnění 20 a čl. 3 odst. 3 a 5 návrhu.
(2) V této souvislosti viz čl. 15 odst. 1 směrnice 95/46/ES. Tato směrnice takováto automatizovaná rozhodnutí zakazuje v případech, kdy by dotyčná osoba byla rozhodnutím zasažena. S ohledem na souvislosti návrhu budou subjekty údajů rozhodnutími učiněnými v rámci vynu- cování práva v každém případě vážně zasaženy. Subjekt údajů může být zasažen rovněž tím, že bude podroben vedlejším kontrolám, zejmé- na budou-li tato opatření prováděna opakovaně.
(3) Viz zejména stanovisko č. 5/2007 ze dne 17. srpna 2007 k navazující dohodě mezi Evropskou unií a Spojenými státy americkými o zpracovávání údajů jmenné evidence cestujících (PNR) leteckými dopravci a o jejich předávání Ministerstvu vnitřní bezpečnosti Spoje- ných států amerických uzavřené v červenci roku 2007, WP 138.
— Ze znění posouzení dopadů (4) a čl. 6 odst. 3 návrhu se zdá, že údaje by mohly být rovněž předávány zpro- středkovatelům leteckými společnostmi hromadně. V první fázi by údaje předávané třetí straně dokonce nebyly omezeny ani na údaje PNR uvedené v příloze 1 návrhu.
— Pokud jde o zpracování citlivých údajů, i kdyby tyto údaje bylo možno vyfiltrovat ve fázi zprostředkovatelů, přetrvává otázka, zda jejich původní předání leteckými společnostmi zcela nezbytné.
Evropský inspektor ochrany údajů podporuje názory, jež v tomto ohledu uvedla ve svém stanovisku Pracovní skupina článku 29.
Postup předávání údajů PNR
96. Od leteckých dopravců se sídlem mimo EU se vyžaduje, aby údaje složkám pro informace o cestujících nebo zpro- středkovatelům dodávali, pokud k tomu mají technické prostředky. Nemají-li tyto prostředky, budou muset povolit metodu dobývání údajů.
97. Umožnění různých metod předávání údajů v závislosti na dotyčných leteckých dopravcích pouze způsobí další obtíže v oblasti kontroly dodržování pravidel pro před- ávání údajů PNR. Rovněž je tu riziko, že tím bude naru- šena hospodářská soutěž mezi leteckými společnostmi EU a ostatními leteckými společnostmi.
98. Evropský inspektor ochrany údajů připomíná, že metoda dodávání, umožňující leteckým společnostem kontrolovat povahu předávaných údajů a okolnosti předávání, je s ohledem na proporcionalitu zpracování jedinou přípustnou metodou. Kromě toho musí spočívat v účinném dodávání, což znamená, že údaje by neměly být zprostředkovateli hromadně zaslány, nýbrž měly by být filtrovány již v první fázi zpracování. Není přípustné, aby údaje, jež nejsou nezbytné – a údaje, jež nejsou uvedeny v příloze 1 návrhu, – byly zaslány třetí straně, i kdyby je tato třetí strana měla okamžitě vymazat.
Uchovávání údajů
99. Článek 9 návrhu stanoví pro uchovávání údajů PNR období 5 let, přičemž během dalšího období 8 let mají být údaje uloženy v nevyužívané databázi, jež bude přístupná za výjimečných okolností.
(4) Posouzení dopadů, příloha A „Metoda předávání údajů leteckými dopravci“.
100. Evropský inspektor ochrany údajů se pozastavuje nad rozdílem mezi těmito dvěma druhy databází: je sporné, zda nevyužívaná databáze bude skutečným archivem, s odlišnými způsoby uchovávání a vyhledávání údajů. Většina podmínek přístupu do nevyužívané databáze totiž spočívá v požadavcích na bezpečnost, jež jsou použitelné rovněž v případě „databáze s pětiletou lhůtou uchovávání“.
101. Celková doba uchování – tedy 13 let – je v každém případě nepřiměřeně dlouhá. V posouzení dopadů je odů- vodněna potřebou vyvíjet ukazatele rizik a zavést cestovní modely a modely chování (1), přičemž účinnost je v tomto směru třeba dále prokázat. Ačkoli je zřejmé, že pokud v konkrétním případě probíhá vyšetřování, lze údaje ucho- vávat tak dlouho, jak to je nezbytné, nelze žádným způsobem odůvodnit uchovávání údajů o všech cestujících bez jakéhokoli podezření po dobu 13 let.
102. Evropský inspektor ochrany údajů dále poukazuje na to, že toto období uchovávání údajů nepodpořily členské státy ve svých odpovědích v dotazníku Komise, podle něhož by údaje měly být uchovávány v průměru po dobu 3,5 let (2).
103. Kromě toho je období 13 let srovnatelné s obdobím ucho- vávání údajů v délce 15 let, jež je uvedeno v poslední dohodě se Spojenými státy. Evropský inspektor ochrany údajů měl vždy za to, že takto dlouhé období uchovávání údajů bylo dohodnuto pouze v důsledku značného tlaku americké vlády a nikoli proto, že by na něm v kterékoli fázi legislativního procesu trvala Rada nebo Komise. Ne- existuje důvod převádět takovýto kompromis – jenž měl opodstatnění pouze jako nezbytný výsledek jednání – do právního nástroje v rámci samotné EU.
Úloha Výboru členských států
104. Výbor členských států zřízený podle článku 14 návrhu bude mít pravomoci týkající se otázek zabezpečení včetně protokolů a kódování údajů PNR, ale i v oblasti pokynů pro společná obecná kritéria, metody a postupy vztahující se k posouzení rizik.
105. Kromě těchto údajů návrh neobsahuje žádný prvek či kritérium týkající se konkrétních podmínek a rámce procesu posouzení rizik. V hodnocení dopadů se uvádí, že kritéria budou v konečné fázi záviset na informacích, jež bude mít k dispozici každý členský stát; ty se ovšem se
(1) Posouzení dopadů, příloha A, „Doba uchovávání údajů“.
(2) Posouzení dopadů, příloha B.
neustále vyvíjejí. Posouzení rizika tedy bude probíhat za situace, v níž neexistují jednotná kritéria pro identifikaci podezřelých. S ohledem na tyto skutečnosti bude role Výboru členských států značně obtížná.
Zabezpečení
106. Návrh podrobně rozebírá řadu bezpečnostních opatření (3), jež mají být přijata složkami pro informace o cestujících, zprostředkovateli a dalšími příslušnými orgány za účelem ochrany údajů. S ohledem na důležitost databáze a na citlivost zpracování se evropský inspektor ochrany údajů domnívá, že kromě těchto zamýšlených opatření by subjekt zpracovávající údaje měl být rovněž povinen úředně oznámit jakékoli narušení bezpečnosti.
107. Evropskému inspektoru ochrany údajů je znám projekt, jímž se takovýto oznamovací postup zavádí v odvětví elek- tronických komunikací na evropské úrovni. Doporučuje, aby byla záruka tohoto druhu obsažena ve stávajícím návrhu, a odkazuje v tomto ohledu na systém proti naru- šení bezpečnosti zavedený ve Spojených státech u státních agentur (4). K narušení bezpečnosti může bezpochyby docházet v jakékoli oblasti činnosti, a to v soukromém i ve veřejném sektoru, jak se ukázalo při nedávné ztrátě celé databáze občanů britskou státní správou (5). Rozsáhlé databáze, jako databáze uvedená v návrhu, by měly být přednostně vybaveny výše zmíněnou zárukou.
Přezkum a ustanovení o skončení platnosti
108. Evropský inspektor ochrany údajů bere na vědomí, že během tří let od vstupu rámcového rozhodnutí v platnost má dojít k přezkumu na základě zprávy vypracované Komisí. Oceňuje, že tento přezkum, založený na informa- cích poskytnutých členskými státy, bude věnovat zvláštní pozornost zárukám ochrany údajů a že se bude zabývat prováděním metody dodávání, uchováváním údajů a kvalitou hodnocení rizika. Tento přezkum by měl být komplexní a měl by zahrnovat výsledky analýzy statis- tických údajů získaných na základě zpracování informací PNR. Kromě prvků uvedených v článku 18 návrhu by tyto statistiky měly obsahovat podrobné statistické údaje o identifikaci vysoce rizikových osob, jako například kritéria takovéto identifikace a konkrétní výsledky jakých- koli donucovacích opatření, jež byla na dané identifikaci založena.
(3) Článek 12 návrhu.
(4) Viz zejména činnost americké Pracovní skupiny proti krádežím iden- tity („Identity Theft Task Force“),
(5) Viz odkaz na internetové stránky Britského úřadu pro daňové výnosy a cla:
xxxx://xxx.xxxx.xxx.xx/xxxxxxxxxxxx/xxxxxx-xxxx.xxx Viz rovněž xxxx://xxxx.xxx.xx.xx/0/xx/xx_xxxxxxxx/0000000.xxx
109. Evropský inspektor ochrany údajů již v tomto stanovisku zdůraznil, že chybí konkrétní argumenty osvětlující nezbytnost navrhovaného systému. Pokud by nicméně rámcové rozhodnutí vstoupilo v platnost, mělo by být přinejmenším doplněno ustanovením o skončení platnosti. Na konci tříletého období by rámcové rozhodnutí mělo být zrušeno, neobjeví-li se žádný prvek ospravedlňující jeho další platnost.
Dopad na jiné právní nástroje
110. V závěrečných ustanoveních návrhu je stanovena podmínka pro další používání již existujících dvoustran- ných či mnohostranných dohod či ujednání. Tyto nástroje mohou být použity pouze v případě, že jsou v souladu s cíli navrhovaného rámcového rozhodnutí.
111. Evropský inspektor ochrany údajů se pozastavuje nad oblastí působnosti tohoto ustanovení. Jak bylo zmíněno již v bodu V. týkajícímu se Vzájemnosti, není zřejmé, jaký bude mít toto ustanovení dopad na obsah dohod se třetími zeměmi, například na dohodu s USA. Dále rovněž není zřejmé, zda by uvedené ustanovení mohlo mít dopad na použitelnost nástrojů s širší oblastí působnosti, jako je Úmluva Rady Evropy č. 108. To se sice může jevit jako nepravděpodobné s ohledem na rozdíly týkající se institu- cionálního kontextu a zapojených subjektů, avšak veškeré riziko chybné interpretace by mělo být vyloučeno a návrh by měl jasně stanovit, že nemá žádný dopad na nástroje s širší oblastí působnosti, a to zejména na nástroje, jejichž předmětem je ochrana základních práv.
VII. ZÁVĚR
112. Evropský inspektor ochrany údajů zdůrazňuje, že stávající návrh má zásadní dopad v oblasti ochrany údajů. Svůj rozbor zaměřil na čtyři základní témata vznesená v návrhu a trvá na tom, že tyto otázky je třeba řešit. Za současných okolností návrh není v souladu se základními právy, ze- jména s článkem 8 Listiny základních práv Evropské unie, a neměl by být přijat.
113. Pro případ, že by výše uvedené připomínky byly zohled- něny, a to zejména připomínky týkající se oprávněnosti, obsahuje toto stanovisko několik návrhů příslušných usta- novení, a to zejména jeho body 67, 73, 77, 80, 90, 93, 106, 109 a 111.
Oprávněnost navrhovaných opatření
114. Zatímco samotný obecný účel boje proti terorismu a organizované trestné činnosti je jasný a oprávněný, hlavní rysy zamýšleného zpracovávání nejsou dostatečně vymezeny a ospravedlněny.
115. Evropský inspektor ochrany údajů se domnívá, že je třeba důkladněji posoudit techniky spočívající ve vyhodnocování rizika, které představují jednotlivci, za použití nástrojů pro vytěžování dat a modelů chování, a že dříve, než budou tyto techniky použity v tak širokém měřítku, je zapotřebí jasně stanovit jejich užitečnost v rámci boje proti tero- rismu.
116. Vycházet z různých databází bez celkové představy o konkrétních výsledcích a nedostatcích:
— odporuje racionální legislativní politice, v níž se nesmí přijmout nové nástroje, dokud stávající nástroje nebyly plně provedeny a dokud nebylo prokázáno, že nepo- stačují.
— by mohlo jinak vést k přechodu ke společnosti napro- stého dohledu.
117. Boj proti terorismu může být zajisté oprávněným důvodem pro uplatnění výjimek ze základního práv týka- jící se soukromí a ochrany údajů. Aby však byl tento zásah odůvodněný, je třeba, aby jeho nezbytnost byla podložena jasnými a nespornými argumenty a aby byla prokázána jeho proporcionalita. Toho všeho je ještě více zapotřebí v případě značného zásahu do soukromí jednotlivců, s nímž se v návrhu počítá.
118. Lze pouze konstatovat, že takovéto argumenty v návrhu chybí a nezbytnost a proporcionalita navrhovaného opatření nebyla prokázáná.
119. Evropský inspektor ochrany údajů trvá na tom, že nezbyt- nost a proporcionalita představují nezbytnou podmínku pro vstup tohoto návrhu v platnost
Použitelný právní rámec
120. Evropský inspektor ochrany údajů poukazuje na vážný nedostatek právní jistoty v souvislosti s právním režimem použitelným pro různé subjekty zapojené do projektu, a zejména pro letecké společnosti a další subjekty v rámci prvního pilíře: ať již jde o pravidla návrhu, pravidla rámcového rozhodnutí o ochraně údajů, či o vnitrostátní právní předpisy, jimiž je ve vnitrostátním právu provedena směrnice 95/46/ES. Normotvůrce by měl ujasnit, ve kterých fázích zpracování se použijí právě tato různá pravidla.
121. Současná tendence nařizovat soukromým subjektům syste- matickou spolupráci pro účely vynucování práva nastoluje otázku, jaký právní rámec pro ochranu údajů (první, či třetí pilíř) se vztahuje na podmínky této spolupráce a zejména, zda by měl vycházet z povahy správce údajů (soukromý sektor), nebo ze sledovaného účelu (vynu- cování práva).
122. Evropský inspektor ochrany údajů již zdůraznil riziko právní mezery mezi činnostmi v rámci prvního a třetího pilíře (1). Není skutečně zdaleka jasné, zda se na činnosti soukromých společností, jež mají určitým způsobem spojitost s vynucováním trestního práva, vztahují opatření přijatá podle článků 30, 31 a 34 Smlouvy o EU.
123. Je třeba se vyhnout situaci, v níž by zpracování ze strany poskytovatelů služeb za různými účely podléhalo různým právním rámcům pro ochranu dat, zejména s ohledem na obtíže, jež by tím subjektům údajů vznikly při výkonu jejich práv.
Povaha příjemců
124. Návrh by měl obsahovat konkrétní ustanovení týkající se povahy příjemců osobních údajů shromážděných letec- kými společnostmi, ať už jde o zprostředkovatele, složky pro informace o cestujících nebo o příslušné orgány.
125. Povaha příjemce, jímž v některých případech může být subjekt ze soukromého sektoru, je v přímé souvislosti s typem záruk ochrany údajů vztahujících se k takovému příjemci. Je nezbytné, aby použitelný režim byl srozumi- telný všem zapojeným subjektům, včetně normotvůrce, orgánů pro ochranu údajů, jakož i správcům údajů a dotčeným subjektům údajů.
Předávání údajů do třetích zemí
126. Evropský inspektor ochrany údajů zdůrazňuje, že je třeba zajistit, aby v přijímající zemi byla poskytnuta náležitá úroveň ochrany. Rovněž se pozastavuje nad významem zásady „vzájemnosti“ uvedené v návrhu a nad jejím použitím v případě zemí, jež jsou již vázány nějakou dohodou s EU, jako Kanada nebo USA. Přikládá zásadní význam tomu, aby podmínky předávání údajů PNR do třetích zemí byly soudržné a aby podléhaly ochraně na harmonizované úrovni.
Jiné podstatné otázky
127. Evropský inspektor ochrany údajů upozorňuje normo- tvůrce na konkrétní aspekty návrhu, jež vyžadují přesnější zpracování a lepší zohlednění zásady ochrany údajů. Jedná se zejména o tyto aspekty:
— měly by být omezeny podmínky, za nichž lze přijímat automatizovaná rozhodnutí;
— množství zpracovávaných údajů by mělo být sníženo;
— metoda předávání údajů by měla být založena výhradně dodávání;
— doba uchovávání údajů je považována za nepřiměřeně dlouhou a neopodstatněnou;
— role Výboru členských států by měla být upřesněna, pokud jde o jeho pokyny k „hodnocení rizik“;
— bezpečnostní opatření by měla zahrnovat postup
„oznamování narušení bezpečnosti“;
— přezkum rozhodnutí by měl obsahovat ustanovení o skončení platnosti;
— návrh by měl jasně stanovit, že nemá žádný dopad na nástroje s širší oblastí působnosti, jejichž předmětem je zejména ochrana základních práv.
Závěrečné poznámky
128. Evropský inspektor ochrany údajů poukazuje na skuteč- nost, že stávající návrh byl předložen v době, kdy institu- cionální kontext Evropské unie stojí před zásadní změnou. Důsledky Lisabonské smlouvy pro oblast rozhodování budou zásadní, zejména pokud jde o úlohu Parlamentu.
129. S ohledem na nebývalý dopad daného návrhu na základní práva evropský inspektor ochrany údajů doporučuje, aby návrh nebyl přijat ve stávajícím smluvním rámci, nýbrž aby bylo zajištěno, že na ni bude uplatněn postup spolu- rozhodování stanovený v nové smlouvě. Tím by byly posí- leny právní důvody, na jejichž základě by došlo k přijetí opatření stanovených návrhem.
(1) Viz stanovisko evropského inspektora ochrany údajů ke sdělení Komise Evropskému parlamentu a Radě o pokračování pracovního programu pro lepší provádění směrnice o ochraně osobních údajů, (Úř. věst. C 255, 27.10.2007, s. 1). Viz rovněž výroční zprávu za rok 2006, s. 47.