Ochrana osobných údajov
Jedným z nevyhnutných predpokladov, ktorý štát usilujúci sa o začlenenie do schengenského priestoru je povinný splniť, je plná harmonizácia národnej právnej úpravy oblasti ochrany osobných údajov s prijatými zásadami bezpečnosti a ochrany osobných údajov na európskej úrovni.
Oblasť osobných údajov a zabezpečenie ich adekvátnej ochrany predstavuje významnú oblasť ochrany ľudských práv, a to najmä základného práva - práva na súkromie a je upravená vnútroštátnym právom ako aj medzinárodným či komunitárnym právom.
V súvislosti s vytvorením spoločného trhu opodstatnene vznikla potreba aj jednotnej úpravy a zabezpečenia jednotnej ochrany osobných údajov na európskej úrovni. Za prvý právny dokument upravujúci oblasť ochrany osobných údajov možno považovať Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov z 28. januára 1981, prijatie ktorého vyvolalo okamžitú reakciu vo forme odporučenia Komisie EÚ spočívajúceho vo výzve k podpísaniu a ratifikácii predmetného dohovoru všetkými členskými štátmi.
Nakoľko v tom období rôznorodosť právnych úprav oblasti ochrany osobných údajov jednotlivých členských štátov mohla mať za následok vytváranie prekážok pri prenose osobných údajov v rámci spoločného vnútorného trhu, bolo nevyhnutné upraviť aj sekundárnym právnym aktom pravidlá a zásady pohybu osobných údajov v rámci Európskeho spoločenstva. Takýmto základným predpisom sa stala smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe týchto údajov.
Ďalšie úsilie európskych inštitúcií viedlo k prijímaniu rôznych právnych aktov vo forme smerníc, nariadení či rozhodnutí vytvárajúcich komunitárne acquis pre oblasť ochrany osobných údajov. Predovšetkým ide o nasledovné právne akty:
- smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií;
- nariadenie Európskeho parlamentu a Rady 45/2001/ES z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov;
- smernica Európskeho parlamentu a Rady 2006/24/ES z 15. marca 2006 o uchovávaní údajov vytvorených alebo spracovaných v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb alebo verejných komunikačných sietí a o zmene a doplnení smernice 2002/58/ES;
- dodatkový protokol z 8.11.2001 k Dohovoru o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov týkajúci sa orgánov dozoru a cezhraničných tokov údajov;
- rozhodnutie Európskeho parlamentu, Rady a Komisie č. 1247/2002/ES z 1. júla 2002 o pravidlách a všeobecných podmienkach, ktorými sa spravuje výkon funkcie Európskeho dozorného úradníka pre ochranu údajov;
- rozhodnutie Komisie 2004/452/ES z 29. apríla 2004, ktorým sa ustanovuje zoznam subjektov, ktorých výskumní pracovníci majú na vedecké účely prístup k dôverným údajom;
- mnohé rozhodnutia Komisie o zodpovedajúcej ochrane osobných údajov v tretích krajinách, ktoré sa zaoberajú prenosom osobných údajov do tretích krajín za podmienky zabezpečenia adekvátnej úrovne ochrany osobných údajov v týchto krajinách.
Oblasť ochrany osobných údajov vo svojej komplexnosti a rozsiahlej pôsobnosti zasahujúcej do mnohých sfér spoločenského života nie je možné charakterizovať jednoduchým spôsobom, o to viac v špeciálnej bezpečnostnej oblasti, kde práve v rámci spolupráce jednotlivých služieb a orgánov presadzovania práva prebieha častá výmena osobných údajov. Táto skutočnosť viedla ku vzniku potreby špeciálnej úpravy ochrany osobných údajov zodpovedajúcej tejto oblasti.
Odporúčanie Výboru ministrov Rady Európy č. R(87)15 členským štátom o úprave používania osobných údajov v policajnom sektore z roku 1987 predstavuje zásadný dokument pre oblasť pôvodného tretieho piliera pri rešpektovaní výnimky pre bezpečnostnú oblasť obsiahnutej v článku 9 Dohovoru Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov z 28. januára 1981. Na jednej strane sa uznáva nevyhnutnosť uviesť do súladu záujem spoločnosti na prevencii a stíhaní trestných činov a na udržovaní verejného poriadku a na druhú stranu záujmy jednotlivca a jeho právo na rešpektovanie súkromia. Predmetný dokument obsahuje zásady vzťahujúce sa na zhromažďovanie, uchovávanie, používanie a poskytovanie osobných údajov, ktoré sú predmetom automatizovaného spracovania k policajným účelom. Nevzťahuje sa na činnosť spravodajských služieb, nakoľko výraz „k policajným účelom“ pokrýva súbor činností náležiacich policajným orgánom pri prevencii a stíhaní trestných činov a udržovanie verejného poriadku. Zásady uvedené v predmetnom odporučení sú už v súčasnosti obsiahnuté v európskych právnych predpisoch. [Pikna B.: Ochrana osobných údajov v európskom práve so zameraním na aspekty bezpečnostné, Právnik 1/2008.]
Zásady ochrany osobných údajov sú priamo zakotvené v VI. Hlave Schengenského dohovoru a naviac individuálne a konkrétne aspekty spracúvania osobných údajov v súvislosti s prevádzkou Schengenského informačného systému sú obsahom aj IV. Hlavy Schengenského dohovoru.
Schengenský dohovor sa v čl. 126 odvoláva na minimálny štandard odkazujúc na dodržiavanie zásad Dohovoru Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov z 28. januára 1981, čo sa týka automatizovaného spracúvania osobných údajov prenášaných podľa Schengenského dohovoru. Navyše Schengenský dohovor stanovuje nasledovné zásady automatizovaného prenosu údajov:
- používanie osobných údajov prostredníctvom prijímajúceho štátu je prípustné výhradne na tie účely, pre ktoré stanovuje Schengenský dohovor prenos takýchto údajov, ktoré sú uvedené v samotnom dohovore; využitie k iným účelom je prípustné len s vopred daným súhlasom štátu, ktorý prenáša údaje a v súlade s právom prijímajúceho štátu. Súhlas sa smie udeliť, pokiaľ to povoľuje vnútroštátne právo tej strany, ktorá prenáša údaje;
- prenesené osobné údaje smú využívať výhradne justičné orgány, úrady a orgány, ktoré zaisťujú a plnia úlohy v súvislosti s plnením účelov stanovených Schengenským dohovorom;
- strana, ktorá prenáša údaje je povinná dbať na správnosť osobných údajov. Ak sa z úradnej moci alebo na základe žiadosti dotknutého ukáže, že boli oznámené nesprávne údaje alebo údaje, ktoré nesmú byť oznámené, je to nutné okamžite oznámiť prijímajúcej strane alebo ostatným stranám. Tieto sú povinné vykonať opravu alebo zničenie údajov alebo zaznamenať, že údaje nie sú správne alebo že boli oznámené nezákonne;
- v rámci svojej zodpovednosti podľa rozsahu vnútroštátneho práva sa nemôže štát voči poškodenému odvolať na to, že druhý štát oznámil nesprávne údaje. Ak vykoná prijímajúci štát náhradu škodu, ktorá bola zapríčinená používaním nesprávnych oznámených údajov, nahradí ten štát, ktorý preniesol údaje prijímajúcemu štátu, celkovú čiastku náhrady škody;
- prenos a príjem osobných údajov sa musia zaznamenať v zdrojovom súbore údajov a v súbore údajov, v ktorom sú vložené.
Schengenský dohovor taktiež upravuje neautomatizovaný prenos údajov, pričom platia obdobné pravidlá tohto prenosu ako na prenos automatizovaný.
V súvislosti s ochranou osobných údajov a následnou možnosťou kontroly jej dodržiavania, Schengenský dohovor v čl. 114 zaväzuje jednotlivé členské štáty určiť zodpovedný dozorný orgán na vnútroštátnej úrovni, ktorý nezávisle kontroluje podmienky a zásady spracúvania osobných údajov a overuje dodržiavanie práv dotknutých osôb pri využívaní údajov vložených v Schengenskom informačnom systéme. Ďalej ustanovuje zabezpečenie práva dotknutých osôb spočívajúce v možnosti požiadať dozorný orgán o preverenie údajov vložených v Schengenskom informačnom systéme, ako aj o ich využívaní. Toto právo sa používa podľa pravidla vnútroštátneho práva toho štátu, u ktorého bola uplatnená takáto žiadosť. Ak boli údaje vložené iným štátom, potom dôjde ku kontrole v užšej spolupráci s dozorným orgánom tohto štátu.
Schengenský dohovor v čl. 115 zakladá spoločný dozorný orgán zodpovedný za dohľad nad technickou pomocnou jednotkou Schengenského informačného systému. Spoločný dozorný orgán je tvorený 2 zástupcami národného dozorného orgánu každého štátu a predstavuje nezávislý orgán s vlastnými právomocami. Úlohou spoločného dozorného orgánu je preverovať správne vykonávanie ustanovení dohovoru. Spoločný dozorný orgán je tiež kompetentný preskúmať ťažkosti uplatňovania alebo výkladu, ktoré vznikajú v súvislosti s fungovaním Schengenského informačného systému, preskúmať problémy, ktoré sa môžu vyskytnúť pri výkone nezávislej kontroly vnútroštátnymi dozornými orgánmi alebo pri vykonávaní práva na informáciu, ako aj na vypracovanie zosúladených návrhov na spoločné riešenia existujúcich otázok. Výkon kontroly sa riadi podľa ustanovení Schengenského dohovoru, podľa Dohovoru Rady Európy z 28. januára 1981 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov, podľa doporučení R (87)15 ministerského výboru Rady Európy o využití osobných údajov v policajnej oblasti zo 17. septembra 1987 a podľa vnútroštátneho práva pre technickú pomocnú jednotku príslušného štátu.
Spoločný dozorný orgán je ďalej oprávnený vydávať stanoviská v prípadoch, ak štáty nie sú schopné dosiahnuť vzájomnú dohodu v súvislosti s oprávnenosťou existencie záznamu v Schengenskom informačnom systéme. V takýchto prípadoch štát, ktorý nevytvoril záznam predkladá žiadosť o stanovisko Spoločnému dozornému orgánu.
Odvolací výbor zriadený v rámci Spoločného dozorného orgánu rieši sťažnosti osôb smerujúce voči prevádzkovateľovi národnej časti Schengenského informačného systému príslušného štátu vo veci porušenia práva na informácie k osobným údajom spracúvaným v Schengenskom informačnom systéme, ako aj vo veci porušenia práva na opravu či výmaz neaktuálnych alebo neoprávnene spracúvaných osobných údajov. Taktiež plní úlohu koordinácie národných dozorných orgánov jednotlivých štátov.
Začlenením schengenského acquis do rámca EÚ Amsterdamskou zmluvou, Spoločný dozorný orgán naďalej vykonával svoju činnosť, tak ako je zakotvená v Schengenskom dohovore. Zmenou oproti dovtedajšiemu fungovaniu bolo prijatie Rozhodnutia Rady 2000/641/JHA zo 17. októbra 2000 o zriadení sekretariátu pre spoločné dozorné orgány na ochranu údajov vytvoreného v zmysle Dohovoru o zriadení Európskeho policajného úradu (Dohovor o Europole), Dohovoru o používaní informačných technológií na colné účely a Dohovoru o vykonávaní Schengenskej dohody o postupnom zrušení kontrol na spoločných hraniciach (Schengenský dohovor), ktorým sa vytvoril Generálny sekretariát pre existujúce spoločné dozorné orgány spomenutých inštitúcií. Dôvodom prijatia uvedeného právneho aktu bola potreba zavedenia efektívneho výkonu funkcií týchto spoločných dozorných orgánov pri zachovaní nezávislosti ich výkonu, ako aj zníženie prevádzkových nákladov spojených s dovtedajším fungovaním založeným na báze individuálneho postavenia týchto orgánov.
V dôsledku uplatňovania čoraz frekventovanejšej spolupráce medzi policajnými a justičnými orgánmi jednotlivých členských štátov a v dôsledku absencie uceleného materiálu pojednávajúceho o pravidlách a jednotných štandardách zodpovedajúcej ochrany pri prenose a výmene osobných údajov, vznikla odôvodnená potreba práve takýto právny rámec ustanoviť.
Rámcové rozhodnutie Rady 2008/977/SVV z 27. novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach [Ú v. EÚ L 350, 30.12.2008, s. 60 - 71.] predstavuje jasný a špecifický súbor pravidiel ustanovených na ochranu osobných údajov v oblasti policajnej a justičnej spolupráce. Toto rámcové rozhodnutie sa vzťahuje iba na údaje zhromažďované alebo spracúvané príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania a stíhania alebo na účely výkonu trestov. Rámcové rozhodnutie by malo ponechať členským štátom možnosť presnejšie na vnútroštátnej úrovni stanoviť, ktoré ďalšie účely sa majú považovať za nezlučiteľné s účelom, na ktorý sa osobné údaje pôvodne zhromaždili. Ďalšie spracúvanie na historické, štatistické alebo vedecké účely vo všeobecnosti by sa nemalo považovať za zlučiteľné s pôvodným účelom spracúvania. Rozsah pôsobnosti tohto rámcového rozhodnutia sa obmedzuje na spracúvanie osobných údajov, ktoré sa prenášajú alebo poskytujú medzi členskými štátmi. Z tohto obmedzenia by sa nemali vyvodzovať žiadne závery týkajúce sa právomoci Únie prijímať akty o zhromažďovaní a spracúvaní osobných údajov na vnútroštátnej úrovni. Členské štáty by mali zaručiť, aby úroveň ochrany údajov pri ich vnútroštátnom spracúvaní zodpovedala úrovni ustanovenej v tomto rámcovom rozhodnutí. Samozrejme, pokiaľ ide o vnútroštátne spracúvanie údajov, toto rámcové rozhodnutie nebráni členským štátom poskytovať vyššie záruky ochrany osobných údajov, než ako sú ustanovené týmto rámcovým rozhodnutím. Rámcové rozhodnutie zároveň dbá, aby jednotlivými ustanoveniami neboli ohrozené legitímne činnosti policajných, colných, justičných a iných príslušných orgánov.
Rámcové rozhodnutie upravuje taktiež zásady spracúvania osobných údajov prijatých alebo poskytnutých od iného členského štátu. Ich ďalšie spracúvanie ako aj ďalší prenos by mali podliehať spoločným pravidlám prijatým na európskej úrovni. Ak osobné údaje možno ďalej spracúvať na základe súhlasu členského štátu, od ktorého sa získali, každý členský štát by mal mať možnosť stanoviť podmienky udelenia tohto súhlasu, napríklad všeobecným súhlasom pre kategórie informácií alebo kategórie ďalšieho spracúvania.
Ďalej sa rámcovým rozhodnutím upravujú postupy a podmienky, za akých možno realizovať prenos údajov orgánom v tretích štátoch alebo medzinárodným orgánom, ktoré majú povinnosti v oblasti predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestov, za podmienky zachovania záruky primeranej ochrany spracúvania údajov tretím štátom či medzinárodným orgánom. Rámcové rozhodnutie ráta aj s možnosťou prenosu údajov súkromným subjektom v členských štátoch (napr. finančné inštitúcie, poisťovne či iné subjekty v súvislosti s vedením trestného stíhania alebo predchádzania bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti a zabránenia vážnemu porušeniu práv fyzických osôb).
V rámci práv dotknutých osôb rámcové rozhodnutie upravuje právo osoby na prístup, opravu, vymazanie, zablokovanie údajov ako aj právo na náhradu škody a uplatnenie práva pred justičnými orgánmi v prípade porušenia práv ustanovených vnútroštátnym právnym poriadkom v súvislosti s ochranou osobných údajov. Zároveň sa zavádzajú možnosti pre obmedzenia práva na prístup, najmä z dôvodov:
- aby sa neovplyvnilo úradné alebo súdne vyšetrovanie alebo postup,
- aby sa zabránilo ovplyvňovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo v záujme výkonu trestov,
- na ochranu verejnej bezpečnosti,
- na ochranu národnej bezpečnosti,
- na ochranu dotknutej osoby alebo práv a slobôd iných.
Rámcové rozhodnutie zdôrazňuje nezávislý výkon funkcií dozorných orgánov jednotlivých členských štátov, pričom by tieto mali mať prostriedky potrebné na plnenie svojich povinností vrátane právomoci vyšetrovania a intervencie najmä v prípadoch sťažností fyzických osôb alebo právomoc obrátiť sa na súd. Tieto dozorné orgány by mali pomáhať zabezpečiť transparentnosť spracúvania v členských štátoch, do ktorých právomoci patria. Ich právomoci by však nemali zasahovať do osobitných pravidiel stanovených pre trestné konanie alebo do nezávislosti súdnictva.
Vylúčenie pôsobnosti rámcového rozhodnutia je stanovené v samotnej preambule, a to okrem zadeklarovania eliminácie vplyvu na ochranu osobných údajov v zmysle práva Spoločenstva, ako aj na ďalšie špecifické pravidlá ochrany osobných údajov zakotvené v rôznych právnych aktoch sa rámcové rozhodnutie neuplatňuje taktiež na niekoľko aktov prijatých na základe hlavy VI Zmluvy o Európskej únii, ktoré obsahujú osobitné ustanovenia o ochrane osobných údajov vymieňaných alebo inak spracúvaných podľa týchto aktov. V niektorých prípadoch tieto ustanovenia predstavujú úplný a ucelený súbor pravidiel pokrývajúci všetky príslušné aspekty ochrany údajov (zásady kvality údajov, pravidlá bezpečnosti údajov, úprava práv a záruk dotknutých osôb, organizácia dohľadu a zodpovednosti) a upravujú tieto otázky podrobnejšie ako toto rámcové rozhodnutie. Toto rámcové rozhodnutie by nemalo mať vplyv na príslušný súbor ustanovení o ochrane údajov uvedených aktov, a to najmä na tie, ktoré upravujú fungovanie Europolu, Eurojustu, Schengenského informačného systému a colného informačného systému, ako ani na tie, ktoré zavádzajú priamy prístup pre orgány členských štátov k určitým systémom údajov iných členských štátov. To isté sa uplatňuje aj vo vzťahu k ustanoveniam o ochrane údajov, ktorými sa riadi automatizovaný prenos profilov DNA, daktyloskopických údajov a údajov z vnútroštátnej evidencie vozidiel medzi členskými štátmi podľa rozhodnutia Rady 2008/615/SVV z 23. júna 2008 o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti. V iných prípadoch je rozsah pôsobnosti ustanovení o ochrane údajov v aktoch prijatých na základe hlavy VI Zmluvy o Európskej únii obmedzenejší. Často sa nimi ustanovujú podmienky pre členské štáty, ktoré prijímajú informácie obsahujúce osobné údaje z iných členských štátov, pokiaľ ide o účel, na ktorý možno uvedené údaje použiť, ale pokiaľ ide o iné aspekty ochrany údajov, odkazujú na Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracúvaní osobných údajov z 28. januára 1981 alebo na vnútroštátne právo. Týmto rámcovým rozhodnutím by nemali byť dotknuté ani ustanovenia týchto aktov ukladajúcich podmienky pre prijímajúce členské štáty, pokiaľ ide o používanie alebo ďalší prenos osobných údajov, v rozsahu, v ktorom sú obmedzujúcejšie než zodpovedajúce ustanovenia tohto rámcového rozhodnutia. Pravidlá ustanovené v tomto rámcovom rozhodnutí by sa však mali uplatňovať na všetky ostatné aspekty. Týmto rámcovým rozhodnutím nie je dotknutý Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracúvaní osobných údajov, jeho dodatkový protokol z 8. novembra 2001, ani dohovory Rady Európy o justičnej spolupráci v trestných veciach. [Body 39, 40 a 41 preambuly Rámcového rozhodnutia Rady 2008/977/SVV z 2 . novembra 2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej spolupráce v trestných veciach, Ú v. EÚ L 350, 30.12.2008, s. 60 - 71.]