Ochrana osobních údajů

Ochrana osobních údajů a respektování soukromého života jsou základními evropskými právy. Evropský parlament vždy trval na tom, že je nezbytné dospět k rovnováze mezi zvyšováním bezpečnosti a ochranou lidských práv, včetně ochrany údajů a soukromí. V květnu 2018 vstoupila v platnost nová pravidla EU pro ochranu údajů, která posilují práva občanů a zjednodušují pravidla pro společnosti v digitálním věku. Z výzkumu uskutečněného pro Evropský parlament vyplývá, že právní předpisy EU týkající se regulace toků údajů přispívají k HDP v Evropské unii částkou 51,6 miliardy EUR ročně. Výzkum připravený pro Vyšetřovací výbor pro prošetření používání špionážního softwaru Pegasus a ekvivalentního špionážního softwaru (PEGA) potvrzuje význam ochrany údajů pro obranu demokracie a osobních svobod v EU.

Právní základ

Článek 16 Smlouvy o fungování Evropské unie (SFEU).

Články 7 a 8 Listiny základních práv Evropské unie.

Cíle

Unie musí zajistit, aby základní právo na ochranu údajů, které je zakotveno v Listině základních práv EU, bylo důsledně uplatňováno. Vzhledem k exponenciálnímu nárůstu objemu předávání údajů – přičemž největší podíl na tomto růstu tvoří EU, USA a Kanada – je třeba posílit postoj EU k ochraně osobních údajů v kontextu všech politik EU.

Dosažené výsledky

A. Institucionální rámec

1. Lisabonská smlouva

Před vstupem Lisabonské smlouvy v platnost byly právní předpisy týkající se ochrany údajů v prostoru svobody, bezpečnosti a práva rozděleny mezi první pilíř (ochrana údajů pro soukromé a komerční účely za použití metody Společenství) a třetí pilíř (ochrana údajů pro účely vymáhání práva na mezivládní úrovni). Postupy rozhodování v obou oblastech se tak řídily dvěma rozdílnými soubory pravidel. Pilířová struktura zanikla s Lisabonskou smlouvou, která poskytuje pevnější základ pro rozvoj přehlednějšího a účinnějšího systému ochrany údajů a zároveň vymezuje nové pravomoci Parlamentu, jenž se stal spolutvůrcem právních předpisů. Článek 16 SFEU stanoví, že Parlament a Rada určují pravidla ochrany fyzických osob při zpracovávání osobních údajů orgány, institucemi, agenturami a jinými subjekty Unie a členskými státy, pokud vykonávají činnosti spadající do oblasti působnosti práva Unie.

2. Strategické směry pro prostor svobody, bezpečnosti a práva

V návaznosti na program z Tampere (říjen 1999) a Haagský program (listopad 2004) schválila Evropská rada v prosinci 2009 víceletý program pro prostor svobody, bezpečnosti a práva na období 2010–2014 známý jako Stockholmský program. Ve svých závěrech z června 2014 definovala Evropská rada v souladu s článkem 68 SFEU strategické pokyny pro legislativní a operační plánování pro nadcházející roky v rámci prostoru svobody, bezpečnosti a práva. Jedním z klíčových cílů je lépe chránit osobní údaje v EU.

B. Hlavní legislativní nástroje pro ochranu údajů

1. Listina základních práv EU

V článcích 7 a 8 Listiny základních práv Evropské unie se respektování soukromého života a ochrana osobních údajů uznávají jako úzce související, avšak samostatná základní práva.

2. Rada Evropy

a. Úmluva č. 108 z roku 1981

Prvním právně závazným mezinárodním nástrojem přijatým v oblasti ochrany údajů byla Úmluva Rady Evropy č. 108 ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních údajů. Jejím účelem je zaručit každé fyzické osobě úctu k jejím právům a základním svobodám, a zejména k jejímu právu na soukromý život, se zřetelem k automatizovanému zpracování osobních údajů. Protokol, kterým se mění Úmluva, má za cíl rozšířit její působnost, zvýšit míru ochrany údajů a zlepšit její účinnost.

b. Evropská úmluva o ochraně lidských práv

Článek 8 Úmluvy o ochraně lidských práv a základních svobod ze dne 4. listopadu 1950 zakotvuje právo všech lidí na respektování jejich soukromého a rodinného života, jejich domova a jejich korespondence.

3. Stávající legislativní nástroje EU pro ochranu údajů

a. Obecné nařízení o ochraně osobních údajů (GDPR)

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) je použitelné od května 2018. Cílem pravidel je chránit všechny občany EU před porušováním soukromí a ochrany údajů ve světě, který je čím dál více založen na datech, a zároveň vytvořit jasnější a soudržnější rámec pro podniky. Mezi práva občanů patří právo na jasný a výslovný souhlas se zpracováním jejich údajů a právo obdržet jasné a srozumitelné informace o tomto zpracování; právo být zapomenut: občan může požádat, aby jeho údaje byly vymazány; právo na převedení údajů k jinému poskytovateli služeb (např. při přechodu z jedné sociální sítě na jinou) a právo dozvědět se, že byly jejich údaje napadeny hackery. Nová pravidla platí pro všechny podniky působící v EU, včetně těch, které jsou usazené mimo ni. Dále lze uložit firmám, které tato pravidla poruší, nápravná opatření, například varování a pokyny nebo pokuty. Dne 24. června 2020 předložila Evropská komise zprávu o hodnocení a přezkumu tohoto nařízení[1].

b. Směrnice o prosazování práva v oblasti ochrany údajů

Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV je použitelná od května 2018. Tato směrnice chrání základní právo občanů na ochranu údajů pokaždé, kdy donucovací orgány používají osobní údaje. Zajišťuje řádnou ochranu osobních údajů obětí, svědků a osob podezřelých z trestných činů a usnadňuje přeshraniční spolupráci v boji proti trestné činnosti a terorismu. Dne 25. července 2022 zveřejnila Evropská komise svou opožděnou zprávu o uplatňování a fungování směrnice o prosazování práva. Po ní následovala hodnotící studie obsahující kritické posouzení provádění směrnice o prosazování práva, kterou zadal Výbor pro občanské svobody, spravedlnost a vnitřní věci (LIBE)[2]

c. Směrnice o soukromí a elektronických komunikacích

Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických telekomunikací (směrnice o soukromí a elektronických komunikacích) byla pozměněna směrnicí 2009/136/ES ze dne 25. listopadu 2009. Zabývá se citlivou otázkou uchovávání údajů, která byla opakovaně projednávána Soudním dvorem Evropské unie (SDEU), jenž v této záležitosti přijal řadu rozsudků, naposledy v roce 2020, kdy prohlásil, že unijní právo vylučuje obecné a nediskriminační uchovávání provozních a lokalizačních údajů.

V současnosti je již déle projednáván návrh nařízení Evropského parlamentu a Rady z roku 2017 o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích). Odborníci Evropského parlamentu uvedli, že Parlament by měl odolat snahám Rady vyloučit použitelnost evropských zásad ochrany údajů[3].

d. Nařízení o zpracování osobních údajů orgány a institucemi Unie

Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES vstoupilo v platnost dne 11. prosince 2018.

e. Články o ochraně údajů v legislativních aktech týkajících se specifických odvětví

Kromě výše uvedených hlavních legislativních aktů o ochraně údajů obsahují zvláštní ustanovení o ochraně údajů rovněž legislativní akty týkající se konkrétních odvětví. Jedná se například o:

  • článek 13 (o ochraně osobních údajů) směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti,
  • článek 6 (o zpracování údajů) směrnice Rady 2004/82/ES ze dne 29. dubna 2004 o povinnosti dopravců předávat údaje o cestujících (údaje API),
  • dne 13. prosince 2022 přijala Komise dva legislativní návrhy týkající se shromažďování a předávání údajů API, které API nahradí[4],
  • kapitolu VI (o zárukách ochrany údajů) nařízení Evropského parlamentu a Rady (EU) č. 2016/794 ze dne 11. května 2016 o Agentuře Evropské unie pro spolupráci v oblasti prosazování práva (Europol),
  • kapitolu VIII (o ochraně údajů) nařízení Rady (EU) 2017/1939 ze dne 12. října 2017, kterým se provádí posílená spolupráce za účelem zřízení Úřadu evropského veřejného žalobce.

4. Hlavní mezinárodní ujednání EU v oblasti předávání údajů

a. Sdílení obchodních údajů: rozhodnutí o odpovídající ochraně

Podle článku 45 obecného nařízení o ochraně osobních údajů má Komise pravomoc rozhodnout, zda určitá třetí země zajišťuje odpovídající ochranu údajů, ať už na základě jejích vnitrostátních právních předpisů nebo mezinárodních závazků, které uzavřela.

Zatímco předávání údajů mezi EU a Severní Amerikou exponenciálně vzrostlo, přičemž v USA převládá soukromá online reklama a sledování[5], přijal Parlament řadu usnesení, v nichž vyjádřil obavy ohledně transatlantických toků údajů. Především se domníval, že rozhodnutí o štítu mezi EU a USA pro ochranu osobních údajů neposkytuje dostatečnou míru ochrany požadovanou podle unijního práva, přičemž SDEU opakovaně zrušil rozhodnutí Evropské komise o odpovídající ochraně týkající se USA (viz jeho rozsudky z roku 2015 o „bezpečném přístavu“ ve věci Schrems a z roku 2020 o štítu mezi EU a USA pro ochranu osobních údajů ve věci Schrems II).

Navzdory nedostatečné reformě režimu ochrany údajů v USA dosáhla Evropská komise další dohody s USA a předložila návrh nového rámce EU–USA pro ochranu osobních údajů. Na popud Výboru LIBE ze dne 11. května 2023 přijal Parlament usnesení o přiměřenosti ochrany poskytované rámcem EU-–USA pro ochranu osobních údajů, v němž dospěl k závěru, že rámec EU a USA pro ochranu osobních údajů nevytváří zásadní rovnocennost úrovně ochrany, a vyzval Komisi, aby pokračovala v jednáních se svými americkými protějšky, ale aby se zdržela přijímání zjištění o odpovídající ochraně, dokud nebudou plně provedena všechna doporučení uvedená v usnesení Parlamentu a ve stanovisku Evropského sboru pro ochranu osobních údajů (EDPB).

Komise přijala svůj třetí rámec EU–USA pro ochranu osobních údajů dne 10. července 2023. .

b. Zastřešující dohoda mezi EU a USA

Podle postupu souhlasu se Parlament podílel na schvalování dohody mezi USA a EU o ochraně osobních informací týkajících se prevence, vyšetřování, odhalování a stíhání trestných činů, známé jako „zastřešující dohoda“. Cílem dohody je zajistit vysokou úroveň ochrany osobních údajů, jež jsou sdíleny v rámci transatlantické spolupráce pro účely vymáhání práva, konkrétně boje proti terorismu a organizované trestné činnosti.

c. Dohody o jmenné evidenci cestujících EU–USA, EU–Austrálie a EU–Kanada

EU uzavřela dvoustranné dohody o jmenné evidenci cestujících se Spojenými státy americkými, Austrálií a Kanadou. Součástí údajů jmenné evidence cestujících jsou informace, které cestující poskytnou při rezervaci a odbavení letů, a údaje shromážděné dopravci pro jejich vlastní obchodní účely. Údaje jmenné evidence cestujících mohou využívat donucovací orgány za účelem boje proti závažné trestné činnosti a terorismu.

d. Program EU–USA pro sledování financování terorismu (TFTP)

EU uzavřela dvoustrannou dohodu s USA o zpracovávání a předávání údajů o finančních transakcích z EU do USA pro účely Programu pro sledování financování terorismu.

5. Problematika ochrany údajů v usneseních zaměřených na konkrétní odvětví

Ochranou osobních údajů se rovněž zabývá několik usnesení Parlamentu týkajících se různých oblastí politiky. Jeho cílem je zajistit soulad s obecnými předpisy EU na ochranu údajů a ochranu soukromí v těchto odvětvích.

6. Orgány EU pro dohled nad ochranou údajů

Evropský inspektor ochrany údajů je nezávislým kontrolním orgánem, který zajišťuje, aby orgány a instituce EU plnily své povinnosti v oblasti ochrany údajů. Hlavními povinnostmi evropského inspektora ochrany údajů jsou dohled, konzultace a spolupráce.

Evropský sbor pro ochranu osobních údajů, bývalá pracovní skupina podle článku 29, má status orgánu EU s právní subjektivitou a má k dispozici nezávislý sekretariát. Členy sboru jsou vnitrostátní orgány dohledu členských států EU, evropský inspektor ochrany údajů a Komise. Evropský sbor pro ochranu údajů má rozsáhlé pravomoci: rozhoduje o sporech mezi vnitrostátními orgány dohledu a poskytuje poradenství a vydává pokyny ohledně hlavních konceptů obecného nařízení o ochraně osobních údajů a směrnice o prosazování práva v souvislosti s ochranou údajů.

Úloha Evropského parlamentu

Parlament, který si ochranu soukromí stanovil jako politickou prioritu, sehrává při utváření právních předpisů EU v oblasti ochrany osobních údajů klíčovou roli. Podle řádného legislativního postupu se mimoto podílí na reformě ochrany údajů na rovnocenné úrovni s Radou. V roce 2017 dokončil práci na posledním důležitém střípku mozaiky – novém nařízení o soukromí a elektronických komunikacích. Nyní očekává, že Rada konečně dovrší své úsilí, aby mohla být zahájena interinstitucionální jednání.

Parlament v řadě svých usnesení vyjádřil pochybnosti, pokud jde o odpovídající úroveň ochrany poskytované občanům EU v rámci „bezpečného přístavu“ mezi EU a USA, a tudíž i v rámci štítu mezi EU a USA pro ochranu osobních údajů. Řízení ve věci Schrems II vedlo ke zrušení prováděcího rozhodnutí Evropské komise (EU) 2016/1250 o odpovídající ochraně poskytované štítem EU–USA pro ochranu osobních údajů, neboť existovaly obavy z toho, že dohledová pravomoc vlády USA není omezena, což však právo EU vyžaduje, a že občané EU nemají k dispozici účinné opravné prostředky. V reakci na to přijal Evropský parlament usnesení, v němž vyjádřil politování nad tím, že Komise postavila vztahy s USA před zájmy občanů EU, a ochranu práva EU tak nechala jen na jednotlivých občanech[6].

V návaznosti na návrh Výboru LIBE ze dne 11. května 2023 přijal Parlament usnesení o přiměřenosti ochrany poskytované rámcem EU–USA pro ochranu osobních údajů, v němž dospěl k závěru, že rámec EU a USA pro ochranu osobních údajů nevytváří zásadní rovnocennost úrovně ochrany, a vyzval Komisi, aby pokračovala v jednáních se svými americkými protějšky, ale aby se zdržela přijímání zjištění o odpovídající ochraně, dokud nebudou plně provedena všechna doporučení uvedená v usnesení a ve stanovisku EDPB. Komise přijala rozhodnutí o rámci EU–USA pro ochranu osobních údajů dne 10. července 2023.

Parlament zřídil vyšetřovací výbor (PEGA), jehož úkolem je prošetřit používání špionážního softwaru Pegasus a ekvivalentního špionážního softwaru v členských státech EU. Výbor PEGA, jemuž předsedal poslanec EP Jeroen Lenaers, důkladně prošetřil postupy využívání špionážního softwaru k sledování členů opozice, novinářů, právníků a aktivistů občanské společnosti, jakož i to, jak tyto praktiky ovlivňují demokratické procesy a individuální práva v EU. Během svého šetření tyto záležitosti konzultoval s předními akademickými pracovníky, odborníky z praxe a orgány v EU i na celém světě. Tematická sekce Parlamentu připravila zprávy o pracovních cestách Výboru PEGA do Polska, Řecka a Kypru. Dne 8. května 2023 odhlasoval Výbor PEGA schválení své velmi kritické závěrečné zprávy obsahující doporučení týkající se vyšetřování údajných porušení a nesprávného úředního postupu při uplatňování práva EU v souvislosti s používáním špionážního softwaru Pegasus a ekvivalentního špionážního softwaru a která mimo jiné obsahuje doporučení zřídit technickou laboratoř EU pro výzkum a monitorování používání špionážního softwaru vůči občanům EU. Doporučení Parlamentu Radě a Komisi v návaznosti na zprávu Výboru PEGA bylo přijato na plenárním zasedání dne 15. června 2023. Komise však na doporučení včas nereagovala a zablokovala pilotní projekt technické laboratoře EU, který poslanci Parlamentu navrhli.

Parlament rovněž zadal řadu výzkumných studií, aby získal vědecký základ pro svou legislativní činnost na pozadí technologického vývoje a ochrany údajů, mimo jiné studii o dopadu obecného nařízení o ochraně osobních údajů (GDPR) na umělou inteligenci, studii o biometrickém rozpoznávání a detekci chování a studii o Metaverse.

Tento dokument zpracovala tematická sekce Evropského parlamentu Občanská práva a ústavní záležitosti.

 

[1]Sdělení Komise ze dne 24. června 2020 nazvané „Ochrana osobních údajů jakožto pilíř posílení postavení občanů a přístup EU k digitální transformaci – dva roky uplatňování obecného nařízení o ochraně údajů“ (SWD(2020)0115).
[2]Vogiatzoglou, P. et al., Assessment of the implementation of the Law Enforcement Directive, Evropský parlament, Generální ředitelství pro vnitřní politiky Unie, tematická sekce Občanská práva a ústavní záležitosti, 7. prosince 2022.
[3]Sartor, G. et al., The impact of Pegasus on fundamental rights and democratic processes, Evropský parlament, Generální ředitelství pro vnitřní politiky Unie, tematická sekce Občanská práva a ústavní záležitosti, leden 2023, s. 56–57.
[4]Vavoula, N. et al., Advance Passenger Information (API) – An analysis of the European Commission’s proposals to reform the API legal framework, Evropský parlament, Generální ředitelství pro vnitřní politiky Unie, tematická sekce Občanská práva a ústavní záležitosti, 8. června 2023.
[5]Maciejewski, M., Metaverse, Evropský parlament, Generální ředitelství pro vnitřní politiky Unie, tematická sekce Občanská práva  ústavní záležitosti, 26. června 2023.

Mariusz Maciejewski