STANOVISKA
I
(Usnesení, doporučení a stanoviska)
STANOVISKA
EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ
Stanovisko evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady o kodexu chování pro používání počítačových rezervačních systémů
(2008/C 233/01)
EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ,
s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 286 této smlouvy,
s ohledem na Listinu základních práv Evropské unie, a zejména na článek 8 této listiny,
s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů,
s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů, a zejména na článek 41 tohoto nařízení,
s ohledem na žádost o stanovisko v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 obdrženou od Evropské komise dne
20. listopadu 2007,
Návrh v souvislostech
3. Cílem návrhu je aktualizovat ustanovení kodexu chování pro používání počítačových rezervačních systémů, jenž byl zaveden v roce 1989 nařízením Rady (EHS) č. 2299/89. Zdá se, že uvedený kodex čím dál méně vyhovuje novým tržním podmínkám a pro účely posílení hospodářské soutěže by měl být zjednodušen, avšak zároveň zachována základní ochranná opatření a zajištěno poskytování nestranných informací spotřebitelům.
4. Hlavním předmětem daného návrhu není ochrana osob- ních údajů. Protože však počítačové rezervační systémy zpracovávají obrovské množství osobních údajů, byl o ochraně údajů v rámci návrhu vypracován zvláštní článek, jehož cílem je doplnit ustanovení směrnice 95/46/ES, jež nicméně platí i nadále jakožto lex generalis.
PŘIJAL TOTO STANOVISKO:
I. ÚVOD
Konzultace s evropským inspektorem ochrany údajů
1. V souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 Komise zaslala evropskému inspektorovi ochrany údajů (dále jen EIOÚ) návrh nařízení o kodexu chování pro používání počítačových rezervačních systémů (dále jen „návrh“).
2. Návrh se týká zpracování údajů cestujících za použití počí- tačových rezervačních systémů a úzce souvisí s dalšími systémy shromažďování a používání údajů cestujících, a to v rámci EU nebo ve vztahu ke třetím zemím. Tyto systémy jsou pro EIOÚ předmětem značného zájmu, a inspektor konzultaci ze strany Komise vítá.
5. Na ochranu údajů mají dopad i jiná ustanovení návrhu, i když je jejich hlavním cílem zajistit poskytování rovnocen- ných informací všem zapojeným subjektům z hlediska spravedlivé hospodářské soutěže: ochrana totožnosti před- platitelů, ať se jedná o fyzické osoby nebo o podniky, je vítána i se zřetelem na ochranu soukromí.
6. Evropský inspektor ochrany údajů poukazuje na to, že návrh se zabývá činnostmi počítačových rezervačních systémů pouze s ohledem na jejich funkci jakožto rozhraní mezi leteckými společnostmi a cestovními kancelářemi. Nevztahuje se na poskytování dalších IT služeb, jako je hosting rezervačního systému leteckých společností. Na osobní údaje zpracované v tomto konkrétním kontextu se tedy některá z ochranných opatření stanovených v kodexu chování nebudou vztahovat. Bude se na ně však vztahovat obecný systém ochrany údajů podle směrnice 95/46/ES.
Zaměření stanoviska
7. EIOÚ se ve svém stanovisku nejprve věnuje oblasti působ- nosti a podmínkám použití dotyčného návrhu ve vztahu k uplatnění směrnice 95/46/ES. Poté se zaměřuje na konkrétní obsah a provádí analýzu jednotlivých článků návrhu ve vztahu k otázkám ochrany údajů. Určuje pozi- tivní aspekty a rovněž navrhuje možná zlepšení. Zvláštní pozornost věnuje podmínkám vynucování daných ustano- vení.
8. V závěru svého stanoviska EIOÚ věnuje pozornost otázkám přesahujícím konkrétní ustanovení návrhu a zabývá se některými širšími dopady zpracování údajů cestujících za použití počítačových rezervačních systémů, ať už se jedná o jejich rozhraní určené pro cestovní kance- láře nebo o aspekt poskytovatelů IT služeb. Předmětem zvláštní analýzy je pak přístup třetích zemí k údajům cestu- jících zanesených do počítačových rezervačních systémů.
II. OBLAST PŮSOBNOSTI A PODMÍNKY POUŽITÍ
9. Návrh obsahuje podrobná ustanovení o ochraně osobních údajů. Tato ustanovení „upřesňují a doplňují“ ustanovení směrnice 95/46/ES, přičemž ustanovení uvedené směrnice jimi nejsou dotčena (1). Tento explicitní vztah mezi oběma nástroji je pozitivním faktorem.
10. EIOÚ však podotýká, že oblast působnosti kodexu chování není shodný s oblastí působnosti směrnice 95/46/ES. Urču- jícím kritériem pro použití kodexu chování je totiž použití či nabídka použití daného sytému na území EU (2). Ustanovení směrnice se použijí, je-li správce usazen v některém člen- ském státě nebo je-li usazen mimo EU, avšak používá zaří- zení umístěné v EU (3).
11. Pokud jde o použití kodexu chování a dotyčné směrnice, lze si představit různé situace:
— Je-li počítačový rezervační systém umístěn v EU, použije se kodex chování i směrnice, neboť jsou splněny podmínky obou těchto dokumentů.
— Je-li počítačový rezervační sytém umístěn mimo EU, bude pro použití obou právních nástrojů určující nabídka použití služeb v EU a použití zařízení v EU.
Ačkoli jsou kritéria pro použití kodexu chování i směrnice odlišná, v praxi by jejich výsledkem mělo být kombinované použití obou nástrojů: nabídka služeb počítačových rezervač- ních systému v EU bude mít za následek použití kodexu chování, přičemž tato nabídka služeb se v praxi uskuteční prostřednictvím využití (počítačového) zařízení umístěného v EU, což bude mít za následek rovněž použití směrnice.
(1) Článek 11 odst. 9 návrhu.
(2) Článek 1 návrhu.
(3) Článek 4 odst. 1 písm. a) a c) směrnice 95/46/ES.
12. Dalším důsledkem široké oblasti působnosti kodexu chování a směrnice je jejich dopad na letecké společnosti, jež mohou být usazeny v EU nebo mimo ni. Letecké společnosti usazené mimo EU v podstatě nepodléhají evropským zásadám ochrany údajů, pokud pro zpracování osobních údajů nevyužívají zařízení umístěného v EU (použije se směrnice). Tato situace by například nastala v případě, kdy dotyčná letecká společnost využívá počítačový rezer- vační systém umístěný v EU pro účely hostingu rezervační služby. Je rovněž třeba vzít na vědomí, že údaje týkající se letů letecké společnosti budou podléhat právním před- pisům EU, jakmile budou zpracovány počítačovým rezer- vačním systémem umístěným v EU – nebo jsou-li v rámci EU nabízeny služby (použije se kodex chování).
III. ANALÝZA NÁVRHU
Základní zásady ochrany údajů
13. V článku 11 návrhu je stanoven seznam ochranných opatření týkajících se zpracování osobních údajů, včetně omezení účelu, nezbytnosti údajů, zvláštní ochrany citli- vých údajů, omezení uchovávání a včetně práv subjektů údajů na informace a přístup.
14. Článek 11 rovněž s potěšující důkladností pojednává o povaze počítačových rezervačních systémů, na něž má být nahlíženo jako na správce údajů s ohledem na prová- dění rezervací nebo vydávání letenek či jízdenek pro produkty dopravy. Subjektům údajů tedy bude umožněn výkon jejich práv nejen ve vztahu k cestovním kancelářím či leteckým dopravcům, nýbrž v příslušných případech i ve vztahu k počítačovým rezervačním systémům.
15. Povinnost zúčastněných dopravců a zprostředkovatelů zajistit správnost údajů (ovšem bez omezení na osobní údaje), jež je stanovena v článku 9, představuje explicitní odkaz na směrnici 95/46/ES, podle níž musejí být osobní údaje správné.
16. Je třeba poukázat na to, že uvedená ustanovení návrhu jsou v souladu s připomínkami Pracovní skupiny článku 29 uvedenými v jejím doporučení 1/98 (4). Je třeba je vnímat pozitivně i proto, že specifikují některá ustanovení směr- nice 95/46/ES: zejména se odkazuje na omezenou lhůtu uchování osobních údajů off-line (72 hodin) a na výmaz informací po uplynutí tří let, přičemž omezené podmínky přístupu jsou spojeny s původním účelem zpracování (řešení sporu o vyúčtování). Rovněž se předpokládá trans- parentnost zpracování, kdy předplatitel uvádí kontaktní údaje prodejce systému a informace o výkonu práv přístupu.
(4) Doporučení o počítačových rezervačních systémech v letecké dopravě ze dne 28. dubna 1998, WP10.
17. Bez ohledu na uvedené prvky, které návrh již obsahuje, by jej bylo možno doplnit v souvislosti se třemi aspekty.
Citlivé údaje
18. Za prvé – pokud jde o možnost, že subjekt údajů vysloví souhlas se zpracováním citlivých údajů, mělo by být expli- citně uvedeno, že daný souhlas musí být založen na přimě- řených informacích. Ačkoli se v čl. 2 odst. h) směrnice 95/46/ES uvádí, že jakýkoli souhlas by měl být „svobodný, výslovný a vědomý“, praxe může být někdy odlišná. Proto by mohl být čl. 11 odst. 3 doplněn takto: „... jsou takové údaje zpracovávány, pouze pokud subjekt údajů udělil k jejich zpracování svůj výslovný a vědomý souhlas.“
Bezpečnostní opatření
19. Za druhé – pokud jde o bezpečnostní opatření, předpo- kládá se použití obecných zásad směrnice 95/46/ES. EIOÚ doporučuje doplnit tyto zásady povinnostmi, jež budou konkrétněji zaměřeny na zvláštní rysy osobních údajů zpracovávaných počítačovými rezervačními systémy. Protože počítačové rezervační systémy mohou fungovat jako globální rozhraní leteckých společností, ale i jako poskytovatel služeb nebo „hostingu“ konkrétní letecké společnosti, významné množství údajů zpracovávaných v rámci těchto dvou různých funkcí by mělo být jedno- značně odděleno, a to za použití „čínských“ zdí a dalších vhodných bezpečnostních opatření. EIOÚ doporučuje, aby bylo toto téma v článku 11 doplněno jako nový odstavec.
20. Proto by mohl článek 11 obsahovat nový odstavec, jenž by následoval po odstavci 4 a zněl takto: „Provozuje-li počítačový rezervační systém databáze za různým účelem jakožto rozhraní nebo pro účely ‚hostingu‘ pro určitou leteckou společnost, musí být podniknuta technická a organizační opatření pro zamezení propo- jení těchto databází a pro zajištění toho, že osobní údaje budou přístupné pouze pro konkrétní účel, za nímž byla shromážděna.“
Obchodní informace
21. Za třetí – EIOÚ vítá podmínky, jež jsou stanoveny v článku
7 a v čl. 11 odst. 5 pro zpracování údajů z hlediska analýzy trhu. Tyto údaje mohou prodejci systémů poskyt- nout třetím stranám pouze ve formátu, jenž není určitelný, ať už se týkají organizací, společností nebo fyzických osob. Cílem je v tomto případě zejména zamezit určitelnosti cestovních kanceláří (1), avšak předpokládá se, že se uplat- ňování anonymity vztahuje na jakýkoli druh osobních údajů zpracovávaných v rámci rezervace, a tedy i na osobní údaje klientů cestovních kanceláří. To by mělo být v návrhu upřesněno, přičemž čl. 11 odst. 5 by měl být doplněn takto: „Uplatnění anonymity se vztahuje na všechny subjekty
(1) Důvodová zpráva, strana 5. Další informace. „Podrobné vysvětlení návrhu“.
údajů účastnících se procesu rezervace, včetně konečného spotřebi- tele.“
IV. VYNUCOVÁNÍ
22. V důsledku široké oblasti působnosti uvedeného nařízení se pravomoci Komise a orgánů pro ochranu údajů ve věci jeho dodržování zúčastněnými subjekty vztahují i na správce údajů usazené mimo EU. V návrhu se výslovně uvádí, že za vynucování kodexu chování je odpovědná Komise, a proto je nezbytné, aby měla k zajištění dodržo- vání zásad ochrany údajů účinné prostředky.
23. Pro zajištění účinného vynucování kodexu chování by měla být v síti počítačových rezervačních systémů zaručena kontrola a dohledatelnost osobních údajů. Předávání osob- ních údajů a přístup k nim se totiž uskutečňuje ze strany různých subjektů, jako jsou letecké společnosti a cestovní kanceláře, a tyto údaje jsou v počítačových rezervačních systémech zpracovávány na různých úrovních, přičemž v některých případech dochází k jednání jménem letecké společnosti a v některých případech nikoli.
24. Kromě toho, že je třeba jasně rozlišit mezi různými činnostmi počítačových rezervačních systémů, se podmínkou jasného přehledu o pohybu údajů mezi letec- kými společnostmi, cestovními kancelářemi a počítačovými rezervačními systémy zdá být režim datových toků v rámci systému. Tento režim je zásadní pro hodnocení pravomocí různých donucovacích orgánů (orgánů pro ochranu údajů a Komise).
25. Uvedená potřeba je o to naléhavější, že počítačové rezer- vační systémy jsou vzájemně propojeny a síť počítačových rezervačních systémů je komplexní. Je třeba objasnit, do jaké míry lze mít přístup např. k osobním údajům zane- seným prostřednictvím letecké společnosti či cestovní kanceláře coby klienta počítačového rezervačního systému a zpracovávat tyto údaje v rámci počítačového rezervač- ního systému ve fázi, jež se liší od fáze původní.
26. Podle článku 12 návrhu bude mít Komise v případě poru- šení nařízení pravomoc k zahájení vynucovacích postupů. Pravomoci Komise budou tedy mimo jiné zahrnovat kontrolu dodržování zásad ochrany údajů podle uvedeného nařízení.
27. V rámci této činnosti se úloha Komise může dostat do střetu s vnitrostátními orgány pro kontrolu údajů, budou-li činnosti počítačového rezervačního systému nebo prodejce systému spadat do oblasti působnosti vnitrostátních práv- ních předpisů na ochranu údajů. Pro tento případ by měly být zajištěny soudržné postupy vynucování a spolupráce. Vhodnou platformou pro usnadnění takovéto spolupráce by mohla být Pracovní skupina článku 29.
28. Kromě toho se Komise v rámci výkonu svých pravomocí bude zabývat zvláštními záznamy, včetně všech prvků údaj- ného porušení (např. přístup k záznamům dotyčných stran podle článku 15 návrhu). V těchto záznamech budou nevy- hnutelně obsaženy osobní údaje, což by mělo za následek pravomoc EIOÚ dohlížet na jejich zpracování v rámci jeho úkolů s ohledem na evropské orgány v souladu s nařízením (ES) č. 45/2001, jako je tomu ve všech jiných případech kdy Komise jedná jako správce údajů.
V. PŘÍSTUP TŘETÍCH ZEMÍ K ÚDAJŮM CESTUJÍCÍCH
29. Přístup třetích zemí k údajům cestujících byl podnětem k uzavření zvláštních dohod mezi Evropskou unií a dotyčnými třetími zeměmi, zejména dohody mezi EU a Kanadou z července roku 2005 a dohody mezi EU a Spojenými státy z července roku 2007. Podle těchto dohod musí údaje jmenné evidence cestujících (PNR) sdělo- vané leteckými společnostmi cizím orgánům splňovat zvláštní podmínky týkající se ochrany údajů.
30. V tomto kontextu by úloha počítačového rezervačního systému byla odlišná a závisela by na tom, zda dotyčný systém poskytuje pro letecké společnosti hosting nebo rozhraní.
Počítačový rezervační systém poskytující hosting leteckým společnostem
31. Jak bylo již uvedeno, letecké společnosti, jež nespravují svůj vlastní rezervační systém, obvykle zadávají subdodavatelské zakázky třetí straně, což může být počítačový rezervační systém. V takové situaci počítačový rezervační systém nejedná coby poskytovatel rozhraní pro cestovní kanceláře, nýbrž coby poskytovatel služby pro leteckou společnost. Coby poskytovatel hostingu by počítačový rezervační systém takto mohl poskytovat informace PNR orgánům třetí země.
32. Podle Komise (1) tato činnost počítačového rezervačního systému nespadá do oblasti působnosti nařízení, a povinnosti týkající se předávání údajů třetím stranám tedy za uvedených okolností nejsou porušeny. Nadále však platí obecné zásady ochrany údajů uvedené ve směrnici 95/46/ES, stejně jako zásady uvedené v úmluvě Rady Evropy 108, jde-li o podmínky předávání údajů do třetích zemí.
33. EIOÚ se domnívá, že subjekty poskytující takovéto IT služby jsou za poskytovanou službu i za další předání údajů třetí straně odpovědné. V tomto smyslu by měly být ve vztahu k poskytované službě považovány za spolu- správce, společně s dotyčnými leteckými společnostmi. Z toho vyplývá, že předání údajů cestujících poskytovatelem služby – ať už se jedná o počítačový rezervační systém nebo o jiného poskytovatele IT služeb – do třetí země musí
(1) Rozhodnutí C(2005) 625 o souladu přístupu USA ke jmenné evidenci cestujících s nařízením (ES) č. 2299/89 o kodexu chování pro použí- vání počítačových rezervačních systémů.
splňovat podmínky jakékoli dohody, jež byla s touto zemí uzavřena.
34. Povinnosti mohou zahrnovat řešení praktických otázek, jako jsou postupy předávání údajů a přechod z metody
„dodávání“ (push) k metodě „vytěžování“ (pull), z čehož plyne, že služba IT kontroluje podmínky předávání a povahu předávaných údajů. Je třeba rovněž vzít v úvahu povinnosti týkající se transparentnosti, ve shodě s leteckými společnostmi a v míře, v níž jsou rezervační služby letecké společnosti ve skutečnosti vykonávány danou IT službou. Subjekt údajů by rovněž měl mít možnost požadovat od počítačového rezervačního systému nápravu, pokud jde o zpracování údajů ze strany počítačového rezervačního systému v daném kontextu jejich předání třetí straně.
Počítačový rezervační systém poskytující rozhraní
35. Nezávisle na situaci, kdy počítačové rezervační systémy fungují jako poskytovatelé služeb a musejí zohledňovat mezinárodní dohody uzavřené mezi EU a třetími zeměmi, je třeba rovněž zvážit případ, kdy počítačové rezervační systémy fungují jako rozhraní: v takovém případě se na jakoukoli žádost třetí strany o osobní údaje vztahují podmínky nařízení, a předání údajů by v zásadě nemělo být povoleno. Podle čl. 11 odst. 4 návrhu je totiž přístup k údajům počítačových rezervačních systémů povolen výlučně v případě sporu o vyúčtování. Je důležité, že toto ustanovení se použije nezávisle na umístění počítačového rezervačního systému (což může být v EU nebo ve Spoje- ných státech), jsou-li služby nabízené k využití na území Společenství.
VI. ZÁVĚR
36. EIOÚ vítá, že jsou v návrhu zahrnuty zásady ochrany údajů určující ustanovení směrnice 95/46/ES. Tato ustanovení zvyšují právní jistotu a mohla by být účelně doplněna dodatečnými ochrannými opatřeními ve třech oblastech: zajištění plně informovaného souhlasu subjektů údajů pro účely zpracování citlivých údajů; stanovení bezpečnostních opatření s přihlédnutím k různým službám nabízeným počítačovými rezervačními systémy a k ochraně obchod- ních informací (viz odstavce 18–21 tohoto stanoviska).
37. Pokud jde o oblast působnosti návrhu, kritéria, v jejichž důsledku je návrh použitelný na počítačové rezervační systémy umístěné ve třetích zemích, vyvolávají otázku jeho praktické použitelnosti způsobem soudržným s použitím lex generalis, tedy se směrnicí 95/46/ES (viz odstavce 9–12).
38. EIOÚ se domnívá, že pro zajištění účinného provádění návrhu je třeba jasného a všeobecného zvážení celé proble- matiky počítačových rezervačních systémů, s ohledem na komplexnost sítě počítačových rezervačních systémů a na podmínky přístupu třetích stran k osobním údajům zpra- covávaným počítačovými rezervačními systémy.
39. Ačkoli tato témata přesahují konkrétní ustanovení návrhu, považuje se za nezbytné nahlížet na otázku počítačových rezervačních systémů v globálním kontextu a uvědomovat si důsledky a výzvy spojené s tím, že ke zpracování obrov- ského množství osobních údajů, včetně citlivých, dochází v celosvětové síti, jež je v praxi přístupná orgánům třetích států.
40. Je proto rozhodující, aby orgány odpovědné za vynucování, tedy podle návrhu Komise, jakož i orgány pro ochranu údajů (viz odstavce 22–35), zajistily účinné dodržování
nejen těch aspektů návrhu, jež se týkají hospodářské soutěže, nýbrž i zásad ochrany údajů.
V Bruselu dne 11. dubna 2008.
Xxxxx XXXXXXX
evropský inspektor ochrany údajů