Reforma osobných údajov v EÚ
Tri hlavné inštitúcie EÚ, Európsky parlament, Rada a Európska komisia, začali 24. júna 2015 rokovania v rámci spolurozhodovacieho postupu o navrhovanom všeobecnom nariadení o ochrane údajov (ďalej len „nariadenie GDPR“), ktorý je známy pod názvom neformálny „trialóg“ . Základom pre tento trialóg je návrh Komisie z januára 2012, legislatívne uznesenie Parlamentu z 12. marca 2014 a všeobecný prístup Rady prijatý 15. júna 2015 . Tieto tri inštitúcie sa zaviazali zaoberať sa nariadením GDPR v rámci širšieho reformného balíka pre ochranu údajov, ktorý zahŕňa navrhovanú smernicu o policajných a justičných činnostiach. Tento proces by mal byť ukončený koncom roka 2015 a na základe neho by k formálnemu prijatiu oboch nástrojov mohlo dôjsť začiatkom roku 2016, po ktorom by malo nasledovať dvojročné prechodné obdobie.
Reforma pravidiel ochrany údajov je legislatívny balík navrhnutý za účelom aktualizácie a modernizácie princípov Smernice o ochrane údajov z roku 1995. Unifikovaná a aktuálna legislatíva ochrany údajov je nevyhnutná pre zaručenie základných práv jednotlivcov na ochranu ich osobných údajov, podporu vývoja digitálnej ekonomiky a zefektívnenie boja proti transnacionálnemu zločinu a terorizmu. Jedným z hlavných dôvodov snahy o reformu ochrany osobných údajov je práve rozvíjajúci sa kyberpriestor a putovanie osobných údajov v kyberpriestore. O uvedenom svedčí aj cieľ reformy - posilniť právo na súkromie v online prostredí a podporiť digitálnu ekonomiku Európy. Reformný balík pre ochranu údajov bol navrhnutý predovšetkým ako prostriedok na posilnenie práv na ochranu súkromia online zabezpečením, aby ľudia boli lepšie informovaní o svojich právach a viac si kontrolovali svoje informácie.
Reforma ochrany osobných údajov je základ pre vytvorenie jednotného digitálneho trhu, ktorý je prioritou Únie a má za cieľ slobody spojené s jednotným trhom EÚ rozšíriť na digitálny svet a tým podporiť rast a zamestnanosť v EÚ. V nadväznosti na Lisabonskú stratégiu sa stratégiou Európa 2020 zaviedla digitálna agenda pre Európu ako jedna zo siedmich hlavných iniciatív, pričom sa uznala kľúčová úloha využívania informačných a komunikačných technológií, aby EÚ uspela vo svojom úsilí do roku 2020.
V predstavách Komisie má reforma znamenať väčšiu kontrolu občanov nad osobnými údajmi. Posilniť by sa malo právo byť zabudnutý aj upozornenia o zneužití dát. Jednotná legislatíva prinesie úspory, menej byrokracie a zároveň prísnejšie tresty za priestupky.
Osobné údaje sú všetky údaje týkajúce sa jednotlivca, jeho osobného, pracovného alebo verejného života. Môže ísť o akékoľvek informácie – meno, fotografiu, emailovú adresu, bankové spojenie, príspevky na sociálnych sieťach, zdravotné informácie alebo IP adresu počítača. V digitálnom veku má zhromažďovanie a uchovávanie osobných údajov veľký význam. Údaje používajú všetky podniky – od poisťovní a bánk až po sociálne médiá a vyhľadávače. V globalizovanom svete sa prenos údajov do tretích krajín stal dôležitým faktorom každodenného života. V online prostredí neexistujú hranice a „cloud computing“ zmenil pohľad na miesto uchovávania údajov. Preto zhromažďovanie, analýza, výmena a zneužívanie údajov a riziko „profilovania“ podnietené technickým vývojom dosiahli nebývalé rozmery a vyžadujú prísne pravidlá na ochranu údajov, ako sú rozhodné právo a vymedzenie zodpovedností všetkých zainteresovaných strán, pokiaľ ide o vykonávanie právnych predpisov EÚ v oblasti ochrany údajov.
Nový právny základ stanovený v článku 16 ZFEÚ a skutočnosť, že v článku 8 Charty základných práv , sa právo na ochranu osobných údajov uznáva za samostatné právo a rovnako sa v jej článku 7 za samostatné právo uznáva právo na rešpektovanie súkromia a rodinného života, plne vyžadujú a podporujú komplexný prístup k ochrane údajov vo všetkých oblastiach, v ktorých sa osobné údaje spracúvajú.
Účinný európsky a medzinárodný režim na ochranu údajov je nevyhnutným základom pre cezhraničný tok osobných údajov a súčasné rozdiely v právnych predpisoch na ochranu údajov a v ich presadzovaní ovplyvňujú ochranu údajov a osobné slobody, právnu istotu a jasnosť v zmluvných vzťahoch, rozvoj elektronického obchodu a elektronického podnikania, dôveru spotrebiteľov v systém, cezhraničné transakcie, svetové hospodárstvo a jednotný európsky trh a v tejto súvislosti je výmena údajov dôležitá, keď umožňuje a zaisťuje verejnú bezpečnosť na vnútroštátnej i medzinárodnej úrovni.
Európska rada vyzvala Komisiu, aby zhodnotila fungovanie nástrojov EÚ v oblasti ochrany údajov a v prípade potreby predstavila ďalšie legislatívne a nelegislatívne iniciatívy . Európsky parlament vo svojej rezolúcii o Štokholmskom programe uvítal komplexný systém ochrany údajov v EÚ a okrem iného vyzval k revízii rámcového rozhodnutia. Komisia vo svojom akčnom pláne na implementáciu Štokholmského programu zdôraznila potrebu zabezpečiť, aby sa základné právo na ochranu osobných údajov uplatňovalo v kontexte politík EÚ konzistentne. Vo svojom oznámení „Komplexný prístup k ochrane osobných údajov v Európskej únii“ Komisia dospela k záveru, že EÚ potrebuje komplexnejšiu a konzistentnú politiku, pokiaľ ide o základné právo na ochranu osobných údajov. Podľa tohto oznámenia, Komisia predniesla návrh na reformu ochrany údajov v januári 2012. Európsky parlament prijal v júli 2012 uznesenie týkajúce sa tejto reformy.
2 SÚČASNÁ PRÁVNA ÚPRAVA OCHRANY OSOBNÝCH ÚDAJOV
V súčasnosti pôsobia v Európe dva právne systémy – právne nástroje prijaté na pôde Rady Európy (ďalej len „RE“) – Dohovor č. 108 a na pôde Európskej únie – aktuálne platná Smernica Európskeho parlamentu a Rady 95/46/EC z 24.10.1995 (ďalej len „Smernica z roku 1995“). Je potrebné si uvedomiť, že všetky členské štáty EÚ sú viazané oboma právnymi reguláciami, keď vezmeme do úvahy skutočnosť, že Rada Európy má ku dnešnému dňu 47 členských štátov a z nich 28 sú členovia EÚ. Rovnako esenciálna je aj judikatúra najvyšších orgánov oboch právnych systémov – Európskeho súdu pre ľudské práva (ďalej len „ESĽP“) a Súdneho dvora EÚ (ďalej len „SDEÚ“). V nasledujúcej časti priblížime najvýznamnejšie prvky oboch právnych úprav.
Hlavný právny predpis EÚ týkajúci sa ochrany osobných údajov, smernica 95/46/ES3, bol prijatý v roku 1995 a jeho úlohou bolo dosiahnuť dva ciele – chrániť základné právo na ochranu údajov a zaručiť voľný tok osobných údajov medzi členskými štátmi. Smernicu doplnilo rámcové rozhodnutie 2008/977/SVV ako všeobecný nástroj na úrovni Únie určený na ochranu osobných údajov v oblastiach policajnej a justičnej spolupráce v trestných veciach .
Územné uplatňovanie smernice prekračuje hranice členských štátov EÚ a zahŕňa aj štáty, ktoré nie sú členskými štátmi EÚ, ale patria do Európskeho hospodárskeho priestoru, a to Island, Lichtenštajnsko a Nórsko. Dôležitou výnimkou z uplatňovania smernice o ochrane údajov je tzv. výnimka pre domáce činnosti, konkrétne pre spracúvanie osobných údajov súkromnými osobami na výlučne osobné účely alebo účely domácnosti .
Keďže smernica o ochrane údajov je určená len pre členské štáty EÚ, bolo potrebné prijať ďalší právny nástroj s cieľom stanoviť ochranu údajov pri spracovaní osobných údajov inštitúciami a orgánmi EÚ. Nariadenie č. 45/2001 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov stanovuje rovnaké pravidlá a obmedzenia na úrovni inštitúcií EÚ a orgánov. Tiež zakladá úrad Európskeho dozorného úradníka pre ochranu údajov, nezávislý orgán dohľadu s úlohou zabezpečenia dodržiavania Smernice.
Ďalším špecifickým právnym nástrojom je Smernica 2002/58/EC týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách). Upravuje spracovávanie osobných údajov a ochranu súkromia v oblasti elektronických komunikácií a reguluje oblasti ako súkromie, fakturačné a prevádzkové údaje, pravidlá pre nevyžiadanú poštu, atď.
Rámcové rozhodnutie Rady 2008/977/SVV o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach je prvým všeobecným právnym rámcom pre ochranu údajov v „treťom pilieri“ EÚ. Jeho obsah je taktiež založený na Dohovore č. 108, ale od Smernice z roku 1995 sa odlišuje v mnohých aspektoch, ktoré súvisia so špecifickou povahou subjektov.
3 REFORMNÝ BALÍK
„Pred 17 rokmi používalo internet menej ako 1% Európanov. Dnes sa drvivá väčšina osobných údajov prenáša a vymieňa v rámci kontinentov a vôbec po svete v zlomku sekundy. Ochrana osobných údajov je základným právom všetkých Európanov. Nie vždy však občania majú pocit, že majú úplnú kontrolu nad svojimi údajmi. Moje návrhy pomôžu vybudovať dôveru v online služby, pretože ľudia budú lepšie informovaní o svojich právach a budú mať väčšiu kontrolu nad svojimi informáciami. Reforma pomôže dosiahnuť tento cieľ a súčasne uľahčí situáciu podnikov a zníži ich náklady. Silný, jasný a jednotný právny rámec na úrovni EÚ pomôže uvoľniť potenciál jednotného trhu s digitálnym obsahom a podporiť hospodársky rast, inovácie a tvorbu pracovných miest.“ Takto sa dňa 25. januára 2012 vyjadrila podpredsedníčka Komisie a komisárka EÚ pre spravodlivosť Viviane Redingová, keď Európska komisia predložila návrh komplexnej reformy pravidiel ochrany údajov v EÚ v roku 1995 s cieľom posilniť právo na súkromie v online prostredí a podporiť digitálnu ekonomiku Európy.
Reforma zahŕňa dva legislatívne návrhy: návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) a návrh Smernice Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov (smernica o všeobecnej ochrane údajov).
Hlavné prvky reformy sú: – ochrana údajov ako základné právo; – pokrytie všetkých typov situácií a odvetví, – technicky neutrálny právny rámec, ktorý zahŕňa rôzne postupy spracúvania údajov, – predchádzanie fragmentácii a poskytnutie právnej istoty jednotlivcom, podnikom a verejným subjektom, – zaistenie harmonizácie spracúvania osobných údajov zo strany orgánov presadzovania práva a výmena týchto údajov medzi nimi, – zaistenie ochrany jednotlivcov z EÚ v prípade, že sú osobné údaje zasielané do tretích krajín, a poskytnutie bezpečných a flexibilných nástrojov pre medzinárodný tok údajov.
3.1 Všeobecné nariadenie o ochrane údajov
Jadrom balíka Komisie je všeobecné nariadenie o ochrane údajov. Tento návrh nariadenia aktualizuje a modernizuje princípy smernice o ochrane údajov z roku 1995. Zakladá práva jednotlivcov a stanovuje povinnosti osôb spracúvajúcich a zodpovedných za spracúvanie údajov. Zároveň zavádza metódy pre zabezpečenie dodržiavania ako aj rozsah sankcií za porušenie pravidiel.
Návrh sa opiera o článok 16 ZFEÚ, ktorý je novým právnym základom pre prijatie pravidiel ochrany údajov zavedeným Lisabonskou zmluvou. Toto ustanovenie umožňuje prijať pravidlá týkajúce sa ochrany fyzických osôb, pokiaľ ide o spracúvanie osobných údajov zo strany členských štátov pri výkone činností, ktoré patria do rozsahu pôsobnosti práva Únie. Umožňuje aj prijatie pravidiel týkajúcich sa voľného pohybu osobných údajov vrátane osobných údajov spracovávaných členskými štátmi alebo súkromnými subjektmi. Nariadenie sa považuje za najvhodnejší právny nástroj na vymedzenie rámca ochrany osobných údajov v Únii najmä vďaka priamemu uplatňovaniu nariadenia v súlade s článkom 288 ZFEÚ, čo zníži rozdielnosť právnych úprav.
Smernica prijatá v roku 1995 vytvorila pre EÚ plošne konzistentný súbor národných zákonov na ochranu údajov. Smernica síce stanovila hlavné zásady, ale v členských štátoch sa pri jej aplikácií uplatňujú rôzne prístupy. Explozívny nárast využívania sociálnych sietí a veľkých analýz údajov (okrem iného) stále viac evidentne preukazuje, že potreba nového prístupu k ochrane údajov je odôvodnená.
EÚ musí byť vybavená komplexným, súdržným, moderným a kvalitným rámcom, schopným účinne chrániť základné práva jednotlivcov, predovšetkým súkromie, v súvislosti s každým spracovaním osobných údajov jednotlivcov v rámci EÚ i mimo nej a za každých okolností, aby mohla riešiť početné problémy spojené s ochranou údajov, ako sú problémy spôsobené globalizáciou, technologickým rozvojom, nárastom činností uskutočňovaných na internete, používaním v súvislosti so stále väčším množstvom aktivít, ako aj otázky bezpečnosti (t. j. boj proti terorizmu). Zámerom Nariadenia je preto harmonizovať národné zákony na ochranu osobných údajov po celej EÚ za súčasného oslovenia nového technologického rozvoja bez potreby implementácie do národných poriadkov. Napriek tomu to však stále ostávajú oblasti, v ktorých budú naďalej pretrvávať rozdiely medzi jednotlivými členskými štátmi.
Právo na ochranu osobných údajov je stanovené v článku 8 charty, v článku 16 ZFEÚ a v článku 8 Európskeho dohovoru o základných právach. Ako zdôraznil Súdny dvor EÚ , právo na ochranu osobných údajov sa nejaví ako absolútne právo, ale musí sa zohľadniť so zreteľom na jeho funkciu v spoločnosti . Ochrana údajov úzko súvisí s rešpektovaním súkromného a rodinného života, ktoré sú chránené článkom 7 charty.
Návrh nariadenia vychádza zo súčasne platnej smernice 95/46/ES ale zakotvuje aj nové prvky ako zásady transparentnosti (povinnosť pre prevádzkovateľov poskytnúť transparentné a ľahko dostupné a pochopiteľné informácie, pričom sa vychádza najmä z Madridskej rezolúcie o medzinárodných štandardoch o ochrane osobných údajov a súkromia ), spresnenie zásady obmedzenia spracovania údajov na nevyhnutné minimum a zavedenie komplexnej zodpovednosti a povinnosti pre prevádzkovateľa. Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli ľahko prístupné a ľahko pochopiteľné a napísané jasne a jednoducho. Týka sa to najmä situácií, ako je online reklama, v ktorých veľký počet účastníkov a technologická komplexnosť sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli zhromaždené, kým a na aké účely. Keďže deťom prislúcha osobitná ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracovanie zameriava osobitne na dieťa, by mali byť napísané jasne a jednoducho, aby ich dieťa mohlo jednoducho pochopiť.
Cieľom návrhu nariadenia je posilniť práva a poskytnúť jednotlivcom efektívne a funkčné prostriedky, ktoré zaistia, že budú plne informovaní o tom, čo sa s ich osobnými údajmi deje, a ktoré im umožnia účinnejší výkon ich práv. Pozitívum predstavuje aj posilnenie zodpovednosti tých, ktorí osobné údaje spracúvajú. Prevádzkovatelia tak budú musieť vykonávať operácie s osobnými údajmi dôslednejšie rešpektujúc právo fyzických osôb na súkromie.
Zavádza právo dotknutej osoby na prenosnosť údajov, t. j. na prenesenie údajov z jedného systému elektronického spracovania do iného bez toho, aby jej v tom prevádzkovateľ bránil. Ako predpoklad uplatnenia tohto práva a s cieľom zlepšiť prístup fyzických osôb k ich osobným údajom sa tu stanovuje právo získať od prevádzkovateľa tieto údaje v štruktúrovanej forme a v bežne používanom elektronickom formáte. Zjednoduší sa prenos údajov medzi jednotlivými prevádzkovateľmi. Budú stanovené spôsoby, ktoré dotknutej osobe uľahčia uplatnenie jej práv stanovených v tomto nariadení, vrátane mechanizmov pre vyžiadanie si bezplatného prístupu k údajom, ich opravu, výmaz a na uplatnenie práva namietať. Prevádzkovateľ by mal byť povinný odpovedať na žiadosť dotknutej osoby v stanovenej lehote a uviesť dôvody v prípade, že nemôže vyhovieť žiadosti dotknutej osoby. Rovnako ustanovuje povinnosť pre prevádzkovateľov poskytnúť transparentnú a ľahko dostupnú informáciu subjektom údajov o ich spracúvaných údajoch.
Základnými princípmi v pravidlách ochrany údajov EÚ sa stanú aj „Ochrana údajov by design“ a „Ochrana údajov by default“ – znamená to, že ochranné záruky majú byť začlenené do produktov a služieb od najzákladnejších stupňov vývoja a základné nastavenia rešpektujúce súkromie majú byť štandardom – napr. na sociálnych sieťach alebo v mobilných aplikáciách.
V článku 22 sa zohľadňuje diskusia o „zásade zodpovednosti“ a podrobne sa tu opisuje zodpovednosť a povinnosť prevádzkovateľa dodržiavať ustanovenia tohto nariadenia a preukázať dosiahnutie súladu, a to aj prostredníctvom prijatia interných pravidiel a mechanizmov na zabezpečenie takéhoto súladu.
Zavádza sa povinnosť pre prevádzkovateľov a sprostredkovateľov vykonávať posúdenie vplyvu na ochranu údajov pred vykonávaním operácií spracovania spojených s rizikami. Ďalej sa zavádza povinnosť určiť úradníka pre ochranu údajov pre verejný sektor a v prípade súkromného sektora pre veľké podniky, alebo ak hlavné činnosti prevádzkovateľa alebo sprostredkovateľa pozostávajú z operácií spracovania, ktoré si vyžadujú pravidelné a systematické monitorovanie.
Návrh potvrdzuje už existujúcu povinnosť členských štátov zriadiť nezávislý orgán dohľadu na národnej úrovni. Zároveň sa snaží o zavedenie mechanizmu pre vytvorenie jednotnosti v aplikácii práva ochrany údajov v EÚ. Komisia obzvlášť navrhuje v prípade, že sa spracovanie osobných údajov vykonáva vo viac ako jednom členskom štáte, ustanoviť jeden kompetentný dohľadný orgán pre kontrolu všetkých týchto činností. Tento princíp, známy ako one-stop-shop, znamená, že v každom prípade bude príslušným orgánom orgán členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ miesto hlavnej činnosti.
Zároveň návrh Komisie zahŕňa zriadenie Európskeho výboru pre ochranu údajov. Tento bude pozostávať z vedúcich predstaviteľov dozorných orgánov z jednotlivých členských štátov členského štátu a európskeho dozorného úradníka pre ochranu údajov. pozostávať zo zástupcov všetkých 28 nezávislých dozorných orgánov a nahradí pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, ustanovenú článkom 29 smernice 95/46/ES.
„Ochrana údajov bude tak významná, ako protimonopolizácia v intenciách compliance rizika. Podľa Nariadenia ochrana údajov už nebude oblasťou, kde by si podniky mohli dovoliť neuvážene riskovať.“
Pri pohybe osobných údajov za hranice sa môže zvýšiť riziko z hľadiska možnosti fyzických osôb uplatniť práva ochrany údajov, a to najmä pokiaľ ide o ich schopnosť chrániť sa pred nezákonným využitím alebo zverejnením týchto informácií. Návrh tiež zahŕňa úpravu prenosu osobných údajov do tretích krajín a medzinárodných organizácií. V tejto oblasti dostáva Komisia oprávnenia hodnotiť úroveň ochrany poskytovanú územným alebo sprostredkujúcim sektorom v tretej krajine. V prípadoch, kde Komisia neprijala rozhodnutie o primeranosti územia alebo sektora, môže sa prenos osobných údajov uskutočniť v určitých prípadoch alebo keď sú poskytnuté náležité záruky (štandardné ustanovenia o ochrane údajov, záväzné korporátne pravidlá, zmluvné doložky).
Návrh priznáva právo dotknutých osôb podať žalobu dozornému orgánu ako aj ich právo na súdny prostriedok nápravy, odškodnenie a vyvodenie zodpovednosti. Zavádza veľmi prísne sankcie pre prevádzkovateľov a sprostredkovateľov, ktorí porušia pravidlá ochrany údajov.
3.2 Aktuálny stav nariadenia
O Nariadení naďalej prebiehajú rokovania. Stále ostáva iba vo forme návrhu a rokujú legislatívne orgány EÚ a členských štátov. Aktuálne hlavné návrhy sú:
• Znenie Komisie: Komisia zverejnila prvý návrh Nariadenia 25. januára 2012
• Znenie Parlamentu: Dňa 12. marca 2014 prijal Parlament súbor navrhovaných dodatkov k návrhu Komisie
• Znenie Rady: Rada zverejnila kompromisný návrh spolu s návrhmi ďalších kapitol Nariadenia. Konečné znenie Rady sa očakáva v roku 2015.
Európsky parlament, Rada a Európska komisia, začali 24. júna 2015 rokovania v rámci spolurozhodovacieho postupu o navrhovanom všeobecnom nariadení o ochrane údajov, ktorý je známy pod názvom neformálny „trialóg“. Základ pre trialóg predstavuje návrh Komisie z 25. januára 2012, legislatívne uznesenie Parlamentu z 12. marca 2014 a všeobecný prístup Rady prijatý 15. júna 2015. Zavŕšenie procesu rokovania sa predpokladá koncom roka 2015 a na jeho základe by k formálnemu prijatiu oboch nástrojov mohlo dôjsť začiatkom roku 2016, nasledované prechodným obdobím dvoch rokov.
3.3 Smernica o ochrane osobných údajov spracúvaných za účelom vymáhania práva
Špecifická povaha policajných a súdnych činností vyžaduje špecifické pravidlá ochrany osobných údajov, aby bolo možné zabezpečiť voľné prúdenie údajov a spoluprácu medzi členskými štátmi v týchto oblastiach. Navrhovaná smernica sa zameriava na ochranu práv jednotlivcov na ochranu ich osobných údajov za súčasnej garancie vysokej úrovne verejnej bezpečnosti. Tento návrh sa aplikuje na cezhraničné i národné spracúvanie údajov kompetentnými orgánmi členských štátov za účelom vymáhania práva. Nepokrýva činnosti vykonávané inštitúciami, orgánmi, úradmi alebo agentúrami EÚ, rovnako ako ani činnosti spadajúce mimo rámca únijného práva.
Cieľom smernice je nahradiť rámcové rozhodnutie o ochrane údajov 2008/977/SVV, ktoré v súčasnosti upravuje spracúvanie osobných údajov v oblasti policajnej a justičnej spolupráce v trestných veciach, avšak pre členské štáty z neho vyplýva povinnosť aplikovať určenú úroveň ochrany osobných údajov len v súvislosti s ich cezhraničnou výmenou.
V porovnaní s rámcových rozhodnutím z roku 2008 prináša smernica komplexnú právnu úpravu, keďže sa má vzťahovať aj na ochranu osobných údajov pri ich spracúvaní na vnútroštátnej úrovni, čím by sa mala dosiahnuť minimalizácia rozdielov medzi jednotlivými úpravami a z toho vyplývajúca posilnená úroveň ochrany údajov.
Medzi princípmi návrh smernice stanovuje, že členské štáty musia zabezpečiť, aby osobné údaje boli spracúvané zákonne, zhromažďované na určité, presne vymedzené a legitímne účely, a nesmú prekračovať hranice účelu, na ktorý sú spracúvané. Aj keď zahŕňa povinnosti členských štátov poskytnúť zrozumiteľnú informáciu a zabezpečiť jednotlivcovo právo na prístup, taktiež stanovuje obmedzenia, ktoré umožňujú členským štátom prijať právne opatrenia obmedzujúce právo na prístup.
Popisuje zodpovednosť kontrolóra, vrátane prvkov zo všeobecného nariadenia o ochrane údajov ako napr. poskytnúť oznámenie o porušení a vymenovanie úradníka pre ochranu údajov (data protection officer). Prenos do tretej krajiny sa môže uskutočniť, iba ak je to potrebné na účely vymáhania práva a ak Komisia prijala rozhodnutie o vhodnosti úrovne ochrany, ktorú poskytuje táto krajina. Pokiaľ neexistuje rozhodnutie o vhodnosti, prenos údajov sa môže uskutočniť na základe dostatočných záruk. Navyše je k týmto možnostiam predpokladané ustanovenie pre osobitné účely. Dohliadajúce orgány môžu byť tie isté, ako tie zriadené podľa nariadenia o ochrane údajov.
Zavádza pravidlá o povinnej vzájomnej pomoci a všeobecnú povinnosť spolupracovať. Zároveň stanovuje, že Európska poradná rada pre ochranu údajov (the European Data Protection Advisory Board) môže tiež plniť svoje úlohy pre vykonávanie činností zahrnutých v tejto smernici.
Diskusie o návrhu smernice sa uskutočňujú v Pracovnej skupine pre výmenu informácií a ochranu údajov (DAPIX).
4 OCHRANA OSOBNÝCH ÚDAJOV MEDZI EÚ A USA VO SVETLE NAJNOVŠIEHO ROZHONDUTIA SD EÚ
Dňa 6.10.2015 Súdny dvor EÚ rozhodol v právnej veci C-362/14 Maximillian Schrems proti Data Protection Commissioner (komisár pre ochranu údajov). Návrh na začatie prejudiciálneho konania sa týka výkladu článku 25 ods. 6 a článku 28 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov z hľadiska článkov 7, 8 a 47 Charty základných práv Európskej únie ako aj v podstate platnosti rozhodnutia Komisie 2000/520/ES z 26. júla 2000 v súlade so smernicou 95/46 o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA. Išlo o vec jeho odmietnutia vyšetriť sťažnosť podanú pánom Schremsom z dôvodu, že Facebook Ireland Ltd zasiela do Spojených štátov osobné údaje svojich používateľov a uchováva ich na serveroch umiestnených v tejto krajine. Pán Schrems v tejto súvislosti odkazoval na odhalenia pána Edwarda Snowdena týkajúce sa činností informačných služieb Spojených štátov, najmä National Security Agency (ďalej len „NSA“).
Súdny dvor vyhlásil rozhodnutie Komisie 2000/520/ES , ktoré konštatuje, že Spojené štáty zaisťujú preneseným osobným údajom primeranú úroveň ochrany, za neplatné. Otázka Vyššieho súdu Írska smeruje k tomu, či rozhodnutie Komisie 2000/520/ES bráni tomu, aby vnútroštátny dozorný orgán preskúmal sťažnosť, v ktorej sa uvádza, že tretia krajina nezaisťuje primeranú úroveň ochrany, a prípadne zastavil spochybnený prenos údajov. Súdny dvor konštatuje, že existencia rozhodnutia Komisie, ktoré konštatuje, že tretia krajina zaisťuje preneseným osobným údajom primeranú úroveň ochrany, nemôže vylúčiť ani obmedziť právomoci, ktorými disponujú vnútroštátne dozorné orgány podľa Charty základných práv Európskej únie a smernice. žiadne ustanovenie smernice nebráni vnútroštátnym orgánom kontrolovať prenosy osobných údajov do tretích krajín, ktoré boli predmetom rozhodnutia Komisie. Takto aj v prípade existencie rozhodnutia Komisie vnútroštátne dozorné orgány, na ktoré sa podala žiadosť, musia mať možnosť nezávisle preskúmať, či prenos údajov osoby do tretej krajiny spĺňa požiadavky stanovené smernicou. Zatiaľ čo Súdny dvor má jediný právomoc vyhlásiť neplatnosť aktu Únie, vnútroštátne dozorné orgány, na ktoré bola podaná žiadosť, môžu aj pri existencii rozhodnutia Komisie, ktoré konštatuje, že tretia krajina poskytuje primeranú úroveň ochrany osobných údajov, preskúmať, či prenos údajov osoby do tejto krajiny dodržiava požiadavky právnej úpravy Únie týkajúcej sa ochrany týchto údajov, ako aj obrátiť sa na vnútroštátne súdy z rovnakého titulu ako dotknutá osoba, aby tieto súdy podali návrh na začatie prejudiciálneho konania s cieľom preskúmať platnosť tohto rozhodnutia.
Komisia mala povinnosť konštatovať, že Spojené štáty skutočne zaisťujú z dôvodu svojho vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísali, úroveň ochrany základných práv, ktorá je v podstate rovnocenná úrovni zaručenej v rámci Únie podľa smernice v spojení s Chartou, pričom Komisia takéto konštatovanie nevykonala, ale preskúmala len režim bezpečného prístavu. Režim sa uplatňuje iba na americké podniky, ktoré k nemu pristúpia, pričom samotné orgány verejnej moci Spojených štátov mu nepodliehajú. Požiadavky týkajúce sa národnej bezpečnosti, verejného záujmu alebo vymáhania práva Spojených štátov majú prednosť pred režimom bezpečného prístavu a americké podniky sú povinné bez akéhokoľvek obmedzenia neuplatniť pravidlá ochrany stanovené týmto režimom, ak sú v rozpore s takýmito požiadavkami. Americký režim bezpečného prístavu tak umožňuje zásahy zo strany amerických orgánov verejnej moci do základných práv osôb, pričom rozhodnutie Komisie neobsahuje nijaké ustanovenie, čo sa týka existencie pravidiel, ktorých cieľom by bolo obmedzenie týchto prípadných zásahov, v Spojených štátoch alebo existencie účinnej právnej ochrany proti týmto zásahom.
Existujú dve oznámenia Komisie , z ktorých možno vyvodiť, že orgány Spojených štátov mali prístup k osobným údajom preneseným z členských štátov do tejto krajiny a mohli ich spracovať spôsobom nezlučiteľným najmä s účelom ich prenosu a nad rámec toho, čo bolo prísne nevyhnutné a primerané vzhľadom na národnú bezpečnosť. Rovnako Komisia konštatovala, že pre dotknuté osoby neexistovali správne alebo súdne prostriedky nápravy umožňujúce najmä prístup k údajom, ktoré sa ich týkajú, a prípadne dosiahnuť ich opravu alebo ich vymazanie.
Súdny dvor rovnako uvádza, že právna úprava, ktorá neupravuje nijakú možnosť osoby podliehajúcej súdnej právomoci uplatniť právne prostriedky nápravy, aby mala prístup k osobným údajom, ktoré sa jej týkajú, alebo dosiahnuť opravu alebo vymazanie takýchto údajov, zasahuje podstatu obsahu základného práva na účinnú súdnu ochranu, pričom takáto možnosť je súčasťou existencie právneho štátu.
Tento rozsudok má za následok, že írsky dozorný orgán je povinný preskúmať sťažnosť pána Schremsa so všetkou náležitou starostlivosťou, ktorá sa vyžaduje, a že je jeho úlohou po skončení svojho vyšetrovania rozhodnúť, či je podľa smernice potrebné zastaviť prenos údajov európskych používateľov Facebooku do Spojených štátov z dôvodu, že táto krajina nezaisťuje primeranú úroveň ochrany osobných údajov.
Safe Harbour predstavoval najjednoduchšiu cestu pre americké spoločnosti, ako legálne importovať osobné údaje z EÚ, ale nikdy sa nejednalo o jedinú cestou. Čo sa stane teraz, je, že tieto spoločnosti budú musieť použiť iné mechanizmy na prenos osobných údajov. Jedným z možných spôsobov sú známe "vzorové zmluvy doložiek" alebo štandardizované obchodné podmienky. Uvedené rozhodnutie prišlo v čase prípravy reforiem nového režimu Safe Harbour, Umbrella Agreement a reformného balíka týkajúceho sa ochrany údajov v EÚ.
ZÁVER
Je nepochybné, že výzvy a nároky, ktoré sú kladené na ochranu údajov a súkromia jednotlivcov sa budú zvyšovať exponenciálne s ďalším vývojom technológií. Preto je potrebné si uvedomiť, že ako sa nezastaví vývoj digitalizácie a informatizácie spoločnosti, práca na zdokonaľovaní systémov ochrany dôstojnosti človeka tiež nebude dokončená. Reformný balík navrhovanej legislatívy EÚ, ktorý bude v dohľadnej dobe prijatý, nie je ani zďaleka konečným cieľom. Predpokladaným prínosom reformy by malo byť najmä zharmonizovanie pravidiel a vytvorenie konzistentnej a efektívnej cesty k zakotveniu pevných štandardov ochrany údajov v Európe. Ako uznávajú inštitúcie EÚ, dôvera občanov je dôležitou podmienkou pre nové produkty a služby, ktoré sú spojené so spracúvaním osobných údajov. V dnešnej dobe je táto dôvera ľudí značne narušená, ako to potvrdili aj výsledky nedávneho prieskumu Eurobarometer , na základe ktorého 8 z 10 opýtaných potvrdilo, že nemajú pocit úplnej kontroly nad svojimi údajmi. Ostáva teda veriť, že reforma prinesie očakávané výsledky a odstráni tento stav neistoty.